Trong một mạng riêng của một công ty thì thông tin và tài nguyên
được chia sẻ. Ngày nay, luồng thông tin là rất quan trọng, ví dụ chi ph hoạt
động của một công ty có thể được giảm xuống nếu biết khai thác dây
chuyền tốt hơn. Công ty đó có thể cải tiến các dịch vụ của nó bằng việc
chia sẻ thông tin bên trong và với các đối tác doanh nghiệp bên ngoài của
nó. Cũng bởi tính toàn cầu của môi trường kinh doanh nên việc kinh doanh
có thể diễn ra ở tất cả các văn phòng trên thế giới. Các vị trí địa lý khác
nhau dẫn tới việc kết nối giữa các mạng riêng khác nhau trở nên khó khăn.
Mạng riêng ảo (VPN) đã trở thành cấu trúc mạng phổ biến cho các
mạng liên hiệp công ty. Chúng cho phép liên hiệp để kết nối các mạng cục
ộ LAN) trong các cơ quan chính và cơ quan nhánh như thể chúng trong
cùng một mạng. Khi các VPN được xây dựng trên cơ sở hạ tầng mạng thì
dữ liệu được chuyển đổi giữa các LAN khác nhau sẽ qua Internet và v vậy
sẽ dễ dàng bị nghe trộm, giả mạo Do đó phương pháp an ninh bảo mật
phải được sử dụng để giải quyết những vấn đề riêng tư này. Giao thức bảo
mật được lựa chọn trong đồ án này là giao thức IPSec.
Các mảng cổng có thể lập trình được (FPGAs) là các thiết bị phần
cứng mà có thể định lại cấu hình, ví dụ việc lập trình một FPGA có thể cho
ph p ch ng ta thay đổi chức năng của nó. Trong đồ án này tôi lựa chọn các
FPGA là thiết bị phần cứng cho mạng riêng ảo vì sử dụng các FPGA sẽ có
nhiều ứng dụng mạng nhất đối với việc thay đổi các chuẩn mã mật go i
ra, các FPGA với giá thành thấp hơn, công suất nhỏ, thời gian triển khai
ngắn và trên công nghệ mạch tích hợp các ứng dụng đặc biệt thì thời gian
đưa ra thị trường sẽ ngắn hơn.
ội dung ch nh của đồ n n y l tập trung nghi n cứu c c k thuật
cơ ản đồng thời đi s u v o thiết kế thiết ị ảo mật dựa tr n giao thức
2
ec iải thuật chuẩn mã ho dữ liệu DES) v giải thuật ăm ảo mật
(SHA_1) được sử dụng cho việc mã ho v chứng thực dữ liệu o n ộ
thiết kế được thực hiện tr n chip để có được tốc độ xử l cao v t nh
mềm dẻo trong thiết kế
ồ n gồm có chương ội dung ch nh của c c chương đó l
IPS rong chương n y sẽ tr nh
y những vấn đề cơ ản về mạng ri ng ảo giao thức đặc iệt l
c c k thuật trong việc sử dụng giao thức ec
2 M P : trong chương n y sẽ tr nh y tổng quan
về mã ho v c ng nghệ c c thuật to n sử dụng cho việc ảo mật v
x c thực dữ liệu đặc iệt đi s u v o thuật to n D v
T IP P
trong chương n y sẽ tr nh y c c ước thiết kế module truyền thông
Ethernet dùng Spartan-3E Starter Kit v D thiết kế module bảo
mật, xác thực và các module cơ bản khác để xây dựng thiết bị IPsec sử
dụng công nghệ FPGA.
Do vấn đề nghi n cứu kh phức tạp v thời gian th có hạn n n
kh ng tr nh khỏi những thiếu sót k nh mong được sự đóng góp kiến của
c c thầy c v c c ạn đọc m xin gửi lời cảm ơn ch n th nh đến thầy
gi o N T c ng c c thầy c gi o đã tận t nh gi p
đ em trong qu tr nh l m đồ n n y
90 trang |
Chia sẻ: ngtr9097 | Lượt xem: 2008 | Lượt tải: 0
Bạn đang xem trước 20 trang tài liệu Đồ án Nghiên cứu các kĩ thuật cơ bản và thiết kế thiết bị bảo mật dựa trên giao thức IPsec, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
1
LỜI NÓI ĐẦU
Trong một mạng riêng của một công ty thì thông tin và tài nguyên
được chia sẻ. Ngày nay, luồng thông tin là rất quan trọng, ví dụ chi ph hoạt
động của một công ty có thể được giảm xuống nếu biết khai thác dây
chuyền tốt hơn. Công ty đó có thể cải tiến các dịch vụ của nó bằng việc
chia sẻ thông tin bên trong và với các đối tác doanh nghiệp bên ngoài của
nó. Cũng bởi tính toàn cầu của môi trường kinh doanh nên việc kinh doanh
có thể diễn ra ở tất cả các văn phòng trên thế giới. Các vị trí địa lý khác
nhau dẫn tới việc kết nối giữa các mạng riêng khác nhau trở nên khó khăn.
Mạng riêng ảo (VPN) đã trở thành cấu trúc mạng phổ biến cho các
mạng liên hiệp công ty. Chúng cho phép liên hiệp để kết nối các mạng cục
ộ LAN) trong các cơ quan chính và cơ quan nhánh như thể chúng trong
cùng một mạng. Khi các VPN được xây dựng trên cơ sở hạ tầng mạng thì
dữ liệu được chuyển đổi giữa các LAN khác nhau sẽ qua Internet và v vậy
sẽ dễ dàng bị nghe trộm, giả mạo… Do đó phương pháp an ninh bảo mật
phải được sử dụng để giải quyết những vấn đề riêng tư này. Giao thức bảo
mật được lựa chọn trong đồ án này là giao thức IPSec.
Các mảng cổng có thể lập trình được (FPGAs) là các thiết bị phần
cứng mà có thể định lại cấu hình, ví dụ việc lập trình một FPGA có thể cho
ph p ch ng ta thay đổi chức năng của nó. Trong đồ án này tôi lựa chọn các
FPGA là thiết bị phần cứng cho mạng riêng ảo vì sử dụng các FPGA sẽ có
nhiều ứng dụng mạng nhất đối với việc thay đổi các chuẩn mã mật go i
ra, các FPGA với giá thành thấp hơn, công suất nhỏ, thời gian triển khai
ngắn và trên công nghệ mạch tích hợp các ứng dụng đặc biệt thì thời gian
đưa ra thị trường sẽ ngắn hơn.
ội dung ch nh của đồ n n y l tập trung nghi n cứu c c k thuật
cơ ản đồng thời đi s u v o thiết kế thiết ị ảo mật dựa tr n giao thức
2
ec iải thuật chuẩn mã ho dữ liệu DES) v giải thuật ăm ảo mật
(SHA_1) được sử dụng cho việc mã ho v chứng thực dữ liệu o n ộ
thiết kế được thực hiện tr n chip để có được tốc độ xử l cao v t nh
mềm dẻo trong thiết kế
ồ n gồm có chương ội dung ch nh của c c chương đó l
IPS rong chương n y sẽ tr nh
y những vấn đề cơ ản về mạng ri ng ảo giao thức đặc iệt l
c c k thuật trong việc sử dụng giao thức ec
2 M P : trong chương n y sẽ tr nh y tổng quan
về mã ho v c ng nghệ c c thuật to n sử dụng cho việc ảo mật v
x c thực dữ liệu đặc iệt đi s u v o thuật to n D v
T IP P
trong chương n y sẽ tr nh y c c ước thiết kế module truyền thông
Ethernet dùng Spartan-3E Starter Kit v D thiết kế module bảo
mật, xác thực và các module cơ bản khác để xây dựng thiết bị IPsec sử
dụng công nghệ FPGA.
Do vấn đề nghi n cứu kh phức tạp v thời gian th có hạn n n
kh ng tr nh khỏi những thiếu sót k nh mong được sự đóng góp kiến của
c c thầy c v c c ạn đọc m xin gửi lời cảm ơn ch n th nh đến thầy
gi o N T c ng c c thầy c gi o đã tận t nh gi p
đ em trong qu tr nh l m đồ n n y
3
Chương ẠN RIÊN ẢO VÀ I O THỨ IPS
1.1 T
Công nghệ VPN cung cấp một phương thức giao tiếp an toàn giữa
các mạng riêng dựa trên cơ sở hạ tầng mạng công cộng (Internet). Thay vì
dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các
liên kết ảo được truyền qua Internet giữa các văn phòng chi nhánh (branch-
office), những người dùng từ xa (mobile users) về văn phòng chính.
1.1.1
có thể h trợ m h nh kh c nhau:
h nh 1.1): có thể được thiết kế h
trợ truy xuất có ảo vệ từ xa tới mạng c ng ty qua nternet ử dụng m
h nh client server như sau
- y client muốn truy cập v o mạng c ng ty th trước ti n phải kết
nối đến ất k nh cung cấp dịch vụ nternet ISP) n o.
- iếp theo lient phải khởi tạo kết nối đến server của c ng ty
ết nối n y được thực hiện ằng phần mềm client được c i đặt tr n
m y host ở xa
- gay khi kết nối được thiết lập m y client có thể li n lạc với hệ
thống trong c ng ty c c m y kh c trong c ng ty qua nternet như l m y
trong nội ộ c ng ty
4
1.
LAN to LAN internetworking site to site go i khả năng truy xuất
từ xa có thể l m cầu nối cho mạng với nhau để h nh th nh
một ntranet mở rộng iải ph p n y cần kết nối server với
server.
5
Controlled access within Intranet ạng nternet cũng có thể sử dụng
k thuật để thực hiện việc truy xuất có điều khiển đến c c lớp mạng
con ri ng Ở chế độ n y server đóng vai tr như gateway của mạng
hương ph p n y đặc iệt th ch hợp để ảo vệ cho c c của mạng
1.1.2 Đ
iảm chi ph thường xuy n cho ph p tiết kiệm đến 6 % chi ph
so với thu đường truyền v giảm đ ng kể tiền cước gọi đến của c c nh n
vi n l m việc ở xa iảm được cước ph đường d i khi truy cập cho
c c nh n vi n di động v c c nh n vi n l m việc ở xa nhờ v o việc họ truy
cập v o mạng th ng qua c c điểm kết nối O oint of resence ở địa
phương hạn chế gọi đường d i đến c c modem tập trung
iảm chi ph đầu tư ẽ kh ng tốn chi ph đầu tư cho m y chủ ộ định
tuyến cho mạng đường trục v c c ộ chuyển mạch phục vụ cho việc truy
cập ởi v c c thiết ị n y do c c nh cung cấp dịch vụ quản l v l m chủ
ng ty cũng kh ng phải mua thiết lập cấu h nh hoặc quản l c c nhóm
modem phức tạp go i ra họ cũng có thể thu với gi rẻ c c thiết ị phục
vụ kh ch h ng thường có sẵn ở c c nh cung cấp dịch vụ hoặc từ c c c ng
ty dịch vụ gi trị gia tăng nhờ thế việc n ng cấp mạng trở n n dễ d ng v t
tốn k m hơn
iảm chi ph quản l v h trợ ới quy m kinh tế của m nh c c nh
cung cấp dịch vụ có thể mang lại cho c ng ty c c khoản tiết kiệm có gi trị
so với việc tự quản l mạng giảm hoặc loại trừ hẳn nh n vi n “ tại nh ”
ơn nữa nhận được sự h trợ v phục vụ 4 4 do những nh n vi n l nh
nghề sẵn s ng đ p ứng mọi l c giải quyết nhanh chóng c c sự cố
ruy cập mọi l c mọi nơi h ch h ng của qua mạng mở rộng
n y có c ng quyền try cập v khả năng như nhau đối với c c dịch vụ trung
t m ao gồm www email … cũng như c c ứng dụng thiết yếu kh c
6
khi truy cập ch ng th ng qua những phương tiện kh c nhau như qua mạng
cục ộ ocal rea etwork modem modem c p đường d y thu
ao số xD … m kh ng cần quan t m đến những phần phức tạp n
dưới
uy nhi n mạng c n có một số mặt hạn chế
y u cầu hiểu iết về khả năng ảo mật để c i đặt v cầu h nh ảo vệ
đối với mạng c ng cộng hay nternet
hất lượng v độ tin cậy kh ng ch phụ thuộc v o sự điều khiển của c ng
ty m c n ị ảnh hưởng ởi c c
Kh ng tương th ch giữa c c nh sản xuất cung cấp thiết ị hư vậy gi
cả cũng l một vấn đề
1.2
ạng ri ng ảo tương ứng với cấu tr c một mạng ri ng được đặt c ng
với cơ sở hạ tầng mạng c ng cộng ự kết nối cấu tr c mạng n y có thể
được mã ho hoặc kh ng được mã ho ơn nữa cũng có thể thực hiện c c
mạng ri ng ảo tr n c c mạng kh c v dụ như mạng nternet ec l một
giao thức m có thể sử dụng trong cấu tr c mạng ri ng ảo để cung cấp sự
ảo mật v t nh ri ng tư ởi c c thuật to n mã ho v c c h m ăm ói
c ch kh c mạng ri ng ảo ảo mật m ch tới một mạng ri ng ảo
với ec
ấn đề cốt yếu của mạng ri ng ảo l sự tạo đường hầm ới sự tạo
đường hầm th c c sự kết nối v giao thức trong suốt giữa c c mạng
ntranet kh c nhau của c ng cơ quan hay c c nhóm kh c nhau có c ng ậc
ới sự trong suốt kết nối th c c nhóm kh c nhau phải được kết nối với
nhau như thể họ ở tr n c ng một mạng ọ kh ng cần iết tới cấu tr c v
chi tiết của c c kết nối ới sự trong suốt giao thức th c c nhóm kh c nhau
sử dụng c c giao thức kh c nhau có thể được kết nối với nhau như thể họ
7
sử dụng c ng một giao thức iều n y đạt được việc đóng gói c c gói dữ
liệu ở c c điểm cuối của đường hầm với một giao thức kh c
1.2 VPN
ó rất nhiều giao thức mạng m y t nh được sử dụng cho
tunening ó giao thức phổ iến v ch ng kh ng tương th ch với nhau
PPTP oint- to- oint unneling rotocol l nghi thức iến thể của
Point to Point Protocol d ng truyền qua mạng dial up th ch hợp cho
ứng dụng truy cập từ xa của nhưng cũng h trợ trong
nternetworking hoạt động ở lớp của m h nh O
Layer 2 Forwarding (L2F): l giao thức được ph t triển ởi isco
ystem c ng l c với sự ph t triển của của icrosoft y l một giao
thức cho ph p c c remote host có thể truy xuất đến mạng ntranet của một
tổ chức th ng qua cơ sở hạ tầng mạng c ng cộng với t nh ảo mật v khả
năng quản l chặt chẽ
IP sercurity (IPSec): ấu tr c ec cung cấp một framework cho việc
ảo mật tại lớp cho cả v4 v v6 ằng việc cung cấp sự ảo mật tại
lớp n y c c giao thức tại c c lớp cao hơn như transport application có thể
sử dụng sự ảo mật ec m kh ng cần th m ất cứ sự thay đổi n o
rong qu tr nh mã ho v chứng thực dữ liệu ec sử dụng một trong hai
hoặc cả hai giao thức sau để ảo mật th ng tin uthentication header
protocol v capsulating ecurity ayload protocol c thực
ec sử dụng h m ăm mật mã để cung cấp t nh to n v n v x c thực
mạnh cho gói dữ liệu m x c thực kh ng cung cấp khả năng ảo mật
hoặc chống lại sự ph n t ch đường truyền n ảo mật ec sử dụng mật
mã có kho để cung cấp t nh to n v n v ảo mật của gói tin huật to n
ngầm định sử dụng chuẩn mã ho dữ liệu của theo chế độ ipher lock
hain D nó kh ng cung cấp x c thực v chống chối ỏ ó có
8
thể cung cấp dịch vụ x c thực ằng c ch sử dụng iến đổi mật mã h trợ
nó uy nhi n một sự gợi nhỏ đó l nếu cần x c thực hoặc chống chối ỏ
th hãy d ng uthentication eader m ảo mật ec kh ng cung
cấp ảo vệ chống kiểu tấn c ng ph n t ch truyền th ng
.
1.2.2 T IP
iao thức mạng nternet l một giao thức lớp mạng m chứa
th ng tin địa ch v v i th ng tin điều khiển để điều khiển c c gói dữ liệu
l giao thức tốt nhất l giao tiếp cở ản trong hệ giao thức nternet
ch r k ch thước c c gói dữ liệu khi nó đi qua nternet hần mềm
thực hiện chức năng định tuyến lựa chọn đường đi cho dữ liệu sẽ được
gửi ao gồm tập hợp c c quy tắc để m ph n ph t gói dữ liệu tới đ ch
ó l giao thức kh ng có kết nối m i gói được xử l độc lập với c c gói
kh c ếu việc truyền tin y u cầu độ tin cậy cao th giao thức phải được
kết hợp với một giao thức tin cậy như l
truyền dữ liệu th nh c c gói m i gói được truyền đi lần lượt i
gói có thể đi theo c c hướng kh c nhau
9
c gói lớp được gọi l c c datagram i datagram ao gồm
một header tới 6 yte v dữ liệu data datagram ao gồm một
phần yte cố định v một phần option có thể thay đổi với k ch thước tối
đa 4 yte ộ d i tối đa cho ph p của datagram l 6 6 yte
Một v4 datagram ao gồm a th nh phần ch nh eader có k ch thước
yte v chứa một số c c trường rường option gồm tập hợp c c trường có
k ch thước có thể thay đổi m có thể hoặc kh ng được iểu diễn Data l
dữ liệu được đóng gói từ lớp cao hơn thường l một đoạn hoặc gói dữ
liệu D đầy đủ Datagram header chứa địa ch nguồn v đ ch điều
khiển mảnh thứ tự ưu ti n kiểm tra tổng được sử dụng để t ch c c l i
truyền v option để ghi th ng tin định tuyến hoặc dấu hiệu thời gian
ersion 4 its hi n ản 4 của giao thức nternet pv4 đã được
sử dụng năm nhưng phi n ản 6 v6 hoặc ng sẽ sớm thay thế
nó rường 4 it đầu ti n trong một datagram chứa phi n ản của giao thức
10
m được sử dụng để tạo ra datagram ó được sử dụng để x c minh lại
nơi gửi nơi nhận v mọi router giữa ch ng ph hợp tr n định dạng của
datagram. Tr n thực tế trường n y iểu thị nhận dạng tới phần mềm
đang chạy trong m y xử l m nó được y u cầu để kiểm tra trường version
trước khi xử l một datagram để chắc rằng nó ph hợp với khung phần
mềm y u cầu
eader length 4 it rường 4 it n y x c định k ch thước to n
ộ của v4 datagram header ruờng n y l cần thiết ởi v k ch thước của
header thay đổi từ tới 6 yte ất cả c c trường trong header có k ch
thước cố định trừ c c trường option v trường corresponding padding
ype of service O its rường it n y đặc trưng cho c ch m
gói dữ liệu sẽ được điều khiển ởi c c router rường O n y được chia
th nh hai trường con precedence its v O its
Precedence
(3 bit)
D
(1 bit)
T
(1 bit)
R
(1 bit)
C
(1 bit)
Unused
(1 bit)
Precedence l một trường con it với c c gi trị thay đổi từ ở chế độ
nhị ph n mức ưu ti n th ng thường tới ở chế độ nhị ph n
điều khiển mạng cho ph p người gửi ch thị mức quan trọng của m i
datagram. Precedence x c định quyền ưu ti n của m i gói dữ liệu khi có sự
cố tắc nghẽn chẳng hạn ếu một router ị tắc nghẽn v cần loại ỏ v i gói
dữ liệu th c c gói dữ liệu có quyền ưu ti n thấp nhất sẽ ị loại ỏ trước
tiên. ột gói dữ liệu trong mạng nternet được sử dụng cho việc quản l
mạng quan trọng hơn một gói dữ liệu được sử dụng cho việc gửi th ng tin
kh ng ắt uộc tới một nhóm người sử dụng n o đó hiều router sử dụng
một gi trị quyền ưu ti n l 6 hoặc cho việc định tuyến lưu lượng để l m
11
cho c c router có thể trao đổi th ng tin khi c c mạng ị tắc nghẽn iện tại
trường con precedence chưa được sử dụng ở v4 nhưng hy vọng rằng nó
sẽ được sử dụng trong c c phi n ản tương lai
rường O l một trường con it m i it có một ngh a ri ng iệt c
it D ch r loại vận chuyển mong muốn cho gói dữ liệu hi
ch ng được thiết lập th it D y u cầu độ giữ chậm thấp it y u cầu tốc
độ cao it y u cầu độ tin cậy cao v it y u cầu gi th nh thấp ất
nhi n nó kh ng thể đối với nternet để đảm ảo kiểu vận chuyển đã được
y u cầu Do đó y u cầu vận chuyển có thể gợi ra c c thuật to n định tuyến
kh ng như một y u cầu c datagram mang c c kho từ một người sử
dụng tới một m y t nh ở xa có thể thiết lập it D để y u cầu ch ng được
ph n ph t nhanh tới mức có thể trong khi c c datagram mang một file
truyền lớn có thể có y u cầu thiết lập it để ch ng truyền qua đường có
thể truyền dung lượng lớn
ặc d it trong c c it O có thể l hoặc l nhưng ch có it có
thể có gi trị trong m i datagram.
TOS bit Description
0000
0001
0010
0100
1000
Normal (default)
Minimine cost
Maximise reliability
Maximise throughput
Maximise delay
1.1: Type of service
Overall length 6 its hung datagram d nh 6 it cho trường total
length k ch thước tối đa của datagram l 6 yte rường 6 it n y
x c định k ch thước to n ộ header v dữ liệu của datagram ở dạng c c
12
yte ể x c định k ch thước dữ liệu tới từ lớp cao hơn ta lấy k ch thước
to n ộ trừ đi k ch thước của header hi k ch thước của trường l 6 it
th k ch thước to n ộ của datagram lớn nhất l 16 - 6 yte
trong đó k ch thước header từ đến 6 yte c n lại l dữ liệu từ lớp tr n
rong thực tế v i mạng vật l kh ng thể đóng gói dữ liệu l 6 yte
trong qu tr nh ph n đoạn
dentification D 6 its rường 6 it n y đặc trưng cho sự nhận
dạng một datagram đến từ host nguồn rường D được sử dụng để gi p
đ ch tập hợp lại c c đoạn nhỏ lại th nh datagram an đầu ó được thiết lập
ởi người gửi v nhận dạng duy nhất một datagram đã gửi đi từ host
nguồn ự kết hợp giữa việc nhận dạng v địa ch phải x c định duy nhất
c ng datagram khi nó rời đi từ host nguồn ể ảo đảm t nh duy nhất th
giao thức sử dụng một ộ couter để g n nhãn c c datagram hi một
datagram được ph n đoạn th gi trị trong trường nhận thực được sao lại
trong tất cả c c đoạn Do đó tất cả c c đoạn có c ng số nhận dạng giống
với số nhận dạng của datagram an đầu ố nhận dạng gi p đ ch trong việc
tổng hợp lại datagram
lags it rường it n y được sử dụng trong việc ph n đoạn
rường flag có độ d i it it thứ nhất được d ng để dự trữ it thứ hai
được gọi l it „don‟t fragment‟ ếu gi trị của nó l th datagram kh ng
ph n đoạn it thứ a được gọi l it „more fragment‟ ếu gi trị của nó l
điều đó có ngh a rằng datagram kh ng phải l đoạn cuối c ng c n có
nhiều đoạn nữa đến ếu nó có gi trị l điều đó có ngh a rằng nó l đoạn
cuối c ng hoặc duy nhất
ragmentation offset its ột phần nhỏ trong datagram được gọi
l c c fragment qu tr nh ph n chia datagram được gọi l fragmentation
rường it n y x c định offset tới datagram chưa được ph n đoạn
được sử dụng để tổng hợp lại datagram m đã được ph n đoạn rường
13
n y cho thấy quan hệ vị tr giữa của m i đoạn tương ứng với datagram
n o đó ể tổ hợp lại được datagram th đ ch phải nhận được tất cả c c
đoạn từ đoạn có offset tới đoạn có offset cao nhất
ime to live its ột datagram phải có một giới hạn thời gian
sống trong lưu lượng đi qua nternet rường it n y iểu thị thời gian
cho ph p datagram ở tr n mạng nternet
rotocol its rường it n y x c định giao thức mức cao m sử
dụng c c dịch vụ của lớp ột datagram có thể đóng gói dữ liệu từ
v i giao thức lớp cao hơn như l D v rường n y
iểu thị giao thức đ ch cuối c ng tới datagram sẽ được chia
eader checksum 6 its hương ph p ph t hiện l i được sử dụng ởi
c c giao thức được gọi l checksum rường 6 it n y ảo đảm
t nh nguy n v n của c c gi trị header hecksum ảo vệ chống lại c c l i
m có thể xảy ra trong qu tr nh truyền của gói dữ liệu
IP addressing
c địa ch có quan hệ tới lớp kh c nhau của cấu tr c được
thấy trong ảng dưới đ y
Layer TCP/IP Protocol Address
Application
Transport
Internet
Network
access
HTTP, FTP, SMTP
DSN and other
protocols
TCP, UDP
IP, ICMP, IGMP
Physical network
Port address
--
IP address
Physical (link)
address
1.
Physical (local or link) address Ở lớp vật l c c host v router
được nhận dạng ởi c c địa ch vật l của ch ng ịa ch vật l l địa ch
14
lớp thấp nhất m được đặc trưng ởi địa ch n t hoặc địa ch local được x c
định ởi mạng hoặc ịa ch local n y chứa trong một khung
được sử dụng ởi lớp truy cập mạng ột địa ch local được gọi l địa ch
vật l v nó thường được thực thi trong phần cứng ạng thernet hay
token ring sử dụng địa ch 6 yte m được in tr n card giao diện mạng
(NI được c i đặt trong host hoặc router ịa ch vật l l duy nhất trong
mạng cục ộ nhưng kh ng thiết tr n to n mạng ịa ch vật l có thể l
unicast multicast hoặc oardcast ịa ch vật l sẽ thay đổi khi khi một gói
dữ liệu rời từ mạng tới mạng
IP address ột địa ch được gọi l địa ch logic ở lớp mạng ởi
v nó thường được thực thi trong phần mềm ịa ch logic sẽ nhận dạng
host hay router ở lớp mạng ịa ch nternet có thể l unicast multicast
hoặc oardcast ịa ch logic cần thiết cho c c dịch vụ th ng tin phổ iến
m độc lập với c c mạng vật l ở lớp dưới ịa ch được thiết kế cho
một hệ thống địa ch chung m m i host có thể được nhận dạng duy nhất
ột địa ch nternet hiện nay l it có thể x c định duy nhất một host
được kết nối tới nternet
Port address hu i dữ liệu cần có địa ch v địa ch vật l để
di chuyển dữ liệu từ nguồn tới host đ ch r n thực tế việc ph t t n một gói
tới một host hay một router y u cầu hai lớp địa ch logic v vật l c m y
t nh l c c thiết ị m có thể chạy nhiều chương tr nh xử l tại c ng một
thời điểm ho v dụ m y t nh giao tiếp với m y t nh sử dụng
ại c ng thời điểm m y t nh có thể giao tiếp với m y t nh
sử dụng giao thức truyền file ếu c c qu tr nh n y xảy ra đồng
thời ch ng ta cần một phương ph p để ghi nhãn c c qu tr nh kh c nhau
rong cấu tr c nhãn được g n tới một qu tr nh được gọi l một
port address ột port address ở trong cấu tr c có k ch thước l 6
bit.
15
nternet ssigned um er uthority quản l số cổng từ
tới cho c c dịch vụ c cổng từ 6 đến thường được
sử dụng ởi hệ thống cho c c dịch vụ đặc iệt nhưng hầu như kh ng
thấy tr n c c hệ điều h nh kh c c dịch vụ thường được iết ởi số cổng
kh c khau
Addressing schemes
i địa ch được l m th nh hai phần như l một c ch m netid
x c định một mạng v hostid nhận dạng một host tr n mạng đó ột địa ch
thường được ghi ằng ốn số nguy n thập ph n được t ch ằng ốn dấu
chấm v dụ 4 ếu địa ch n y thay đổi từ k hiệu thập
ph n- chấm th nh dạng nhị ph n th nó trở th nh 1110111
10000111 01011101.
ịa ch được chia th nh loại kh c nhau D v oại
v kh c nhau ở số cổng cho ph p ở m i mạng ớp D được sử dụng
cho multicasting v lớp được d nh ri ng để sử dụng trong tương lai.
Address
Class
Netid Hostid Number of Networks and Hosts
Network Host
A (0)
B (10)
C (110)
D(1110)
E (1111)
Fist octet
(8 bits)
Two octets
(16 bits)
Three octets
(24 bits)
--
--
Fist octet
(24 bits)
Two octets
(16 bits)
Last