Đăng ký Đăng nhập
Trang chủ Tìm hiểu mô hình mpls vpn và vấn ðề bảo mật cho mpls vpn...

Tài liệu Tìm hiểu mô hình mpls vpn và vấn ðề bảo mật cho mpls vpn

.DOC
101
416
97

Mô tả:

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC GIAO THÔNG VẬN TẢI HÀ NỘI KHOA ĐIỆN – ĐIỆN TỬ BỘ MÔN KỸ THUẬT THÔNG TIN ĐỒ ÁN TỐT NGHIỆP Đề tài: TÌM HIỂU MÔ HÌNH MPLS/VPN VÀ VẤN ĐỀ BẢO MẬT CHO MPLS/VPN Giảng viên hướng dẫn : ThS. Vũ Hoàng Hoa Sinh viên thực hiện : Trần Tuấn Anh Lớp :Kỹ thuật Thông tin và Truyền thông - K48 Hà nội, 5-2012 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC GIAO THÔNG VAANIJ TẢI HÀ NỘI --------------------------------------------------BẢN NHẬN XÉT ĐỒ ÁN TỐT NGHIỆP Họ và tên sinh viên: .................................................. Số hiệu sinh viên: ......................... Ngành:........................................................................Khoá: ........................................... Giảng viên hướng dẫn:..................................................................................................... Cán bộ phản biện: ........................................................................................................... 1. Nội dung thiết kế tốt nghiệp: .................................................................................................................................................. .................................................................................................................................................. .................................................................................................................................................. .................................................................................................................................................. .................................................................................................................................................. .................................................................................................................... 2. Nhận xét của cán bộ phản biện: .................................................................................................................................................. .................................................................................................................................................. .................................................................................................................................................. .................................................................................................................................................. .................................................................................................................................................. .................................................................................................................................................. .................................................................................................................................................. .................................................................................................................................................. ................................................ Ngày tháng năm Cán bộ phản biện ( Ký, ghi rõ họ và tên ) LỜI NÓI ĐẦU Đồ án “Nghiên cứu dịch vụ mạng riêng ảo, công nghệ chuyển mạch nhãn đa giao thức và ứng dụng của chuyển mạch nhãn đa giao thức vào việc xây dựng mạng riêng ảo” đã nghiên cứu những khái niệm và ứng dụng từ cơ bản đến nâng cao của dịch vụ mạng riêng ảo và công nghệ chuyển mạch nhãn đa giao thức. Đồ án cũng đã nghiên cứu sự kết hợp của hai công nghệ trên để tạo ra một công nghệ mới hiện đang được triển khai rộng rãi ở trong và ngoài nước : Công nghệ MPLS/VPN. Trong quá trình nghiên cứu và thực hiện đề tài, tác giả đã nhận được sự chỉ bảo và giúp đỡ nhiệt tình của Giảng viên ThS Vũ Hoàng Hoa. Tác giả xin chân thành cảm ơn ThS Nguyễn Khắc Kiểm cùng các thầy cô trong bộ môn KỸ THUẬT THÔNG TIN giúp đỡ tác giả hoàn thành đồ án nay. Mặc dù tác giả đã cố gắng hoàn thiện đề tài, tuy nhiên đồ án chắc chắn vẫn còn nhiều thiếu sót và hạn chế. Tác giả mong nhận được sự chỉ bảo của các thầy cô để có thể hoàn thiện và phát triển đồ án trong thời gian tới. Xin chân thành cảm ơn. Trần Tuấn Anh TÓM TẮT ĐỒ ÁN Mục đích của đồ án là giới thiệu một số khái niệm cơ bản của công nghệ MPLS và ứng dụng của MPLS trong thiết lập mạng riêng ảo VPN. Bắt đầu bằng việc chỉ ra các vấn đề khó khăn gặp phải của các công nghệ kết nối và chuyển mạch WAN truyền thống trước yêu cầu của mạng hiện nay. Đồ án giới thiệu công nghệ MPLS, chỉ ra các ưu điểm giúp nâng cao chất lượng của mạng. Đồ án cũng nêu ra và phân tích một số những thành phần, hoạt động cơ bản và quan trọng của công nghệ MPLS. Trong thiết lập mạng riêng ảo đồ án nêu ra những khó khăn trong việc thiết lập mạng riêng ảo trước đây, và cách giải quyết những khó khăn đó bằng công nghệ MPLS. Trong phần phụ lục đồ án xây dựng mô hình mô phỏng công nghệ MPLS và MPLS/VPN để có thể hiểu rõ hơn quá trình hoạt động của MPLS. ABSTRACT The purpose of thesis is to introduce some basic concepts of MPLS technology and application of it in establishing Virtual Private Network (VPN). It begins with indicating difficult issues that traditional WAN connecting and switching technology has met. The thesis introduces MPLS technology and indicates many advantages that help improve network ‘s quality. The thesis also mentions and analyses some basic, important components and operation of MPLS technology. In establishing virtual private network, the thesis mention the difficulty with previous technologies, and the solution of it by MPLS technology. In appendix, the thesis buitds simulated MPLS and MPLS/VPN topology to learn more about operation of MPLS. 2 Chương 1. Mạng riêng ảo VPN MỤC LỤC LỜI NÓI ĐẦU.............................................................................................................2 TÓM TẮT ĐỒ ÁN.......................................................................................................3 MỤC LỤC....................................................................................................................4 DANH SÁCH HÌNH VẼ.............................................................................................7 MỞ ĐẦU....................................................................................................................12 Chương I.....................................................................................................................13 MẠNG RIÊNG ẢO VPN...........................................................................................13 1.1 Giới thiệu chung.................................................................................................13 1.2 Khái niệm mạng riêng ảo VPN..........................................................................13 1.3 Quá trình phát triển của VPN.............................................................................16 1.4 Giao thức đường hầm VPN................................................................................16 1.5 Phân loại mạng VPN..........................................................................................17 1.5.1 Remote Access VPNs...................................................................................................18 1.5.2 Site – to – Site VPNs.................................................................................................20 1.5.2.1 Intranet VPNs.........................................................................................................20 1.5.2.2 Extranet VPNs.......................................................................................................22 1.6 Cấu trúc mạng VPN...........................................................................................24 1.7 Bảo mật trong VPN............................................................................................27 1.7.1 Giới thiệu bảo mật trong VPN....................................................................................27 1.7.2 Giao thức IPSEC...........................................................................................................28 1.7.2.1 IPSEC và các giải pháp an toàn dữ liệu trong mô hình OSI..................................28 1.7.2.2 Khung giao thức IPSEC.........................................................................................28 1.7.3 Các cơ chế kết nối VPN..............................................................................................30 1.7.4 Kết hợp an ninh SA và giao thức IKE.........................................................................32 1.7.4.1 Kết hợp an ninh SA (Security Assocciation).........................................................32 1.8 Mô hình mạng VPN..........................................................................................34 1.8.1 Overlay VPN.................................................................................................................34 1.8.2 Peer – to – Peer VPN.................................................................................................35 Kết luận......................................................................................................................38 Chương II...................................................................................................................39 CHUYỂN MẠCH NHÃN ĐA GIAO THỨC MPLS................................................39 (Multi-Protocol Label Switch)...................................................................................39 2.1 Tổng quan về MPLS..........................................................................................39 2.1.1 Khái niệm và sự phát triển của MPLS.......................................................................39 2.1.2 Ưu điểm của MPLS so với các công nghệ trước đó.................................................40 2.2 Các khái niệm và thành phần cơ bản trong MPLS.............................................43 2.2.1 Nhãn (Label).................................................................................................................43 Đồ án tốt nghiệp Chương 1. Mạng riêng ảo VPN 3 2.2.2 FEC (Forwarding Equivalence Class)...........................................................................44 2.2.3 Label Stack (Chồng nhãn)............................................................................................44 2.2.4 LSR và Edge LSR........................................................................................................45 2.2.5 LSP................................................................................................................................46 2.2.6 Kiến trúc của MPLS.....................................................................................................46 2.2.7 Cơ chế gán nhãn..........................................................................................................49 2.2.8 Cơ chế phân phối nhãn................................................................................................49 2.2.9 Các cơ chế chuyển mạch của Router trong MPLS.....................................................49 2.2.9.1 Chuyển mạch xử lý (Process Switching)...............................................................49 2.2.9.2 Chuyển mạch nhanh (Fast Switching)...................................................................49 2.2.9.3 CEF........................................................................................................................50 2.2.9.4 Minh họa quá trình thực hiện các cơ chế chuyển mạch router..............................51 2.3 Hoạt động của MPLS trong chế chế độ khung (Frame - Mode)........................52 2.3.1 Khái niệm.....................................................................................................................52 2.3.2 Chức năng của LSR.....................................................................................................53 2.3.3 Cơ chế tạo và phân phối nhãn trong Frame – Mode................................................53 2.3.3.1 Tạo nhãn chung theo mạng đích (per – plat form).................................................57 2.3.3.2 Phân phối nhãn tự động.........................................................................................57 2.3.3.3 Lưu giữ tất cả các nhãn..........................................................................................58 2.3.3.4 Điều khiển LSP độc lập.........................................................................................58 2.3.4 Hội tụ mạng khi có sự thay đổi trong Frame - Mode.................................................58 2.3.5 Cơ chế PHP..................................................................................................................61 2.4 Hoạt động MPLS trong chế độ tế bào (Cell – Mode)........................................62 2.4.1 Khái niệm.....................................................................................................................62 2.4.2 Chức năng LSR trong chế độ tế bào.........................................................................63 2.4.3 Cơ chế tạo và phân phối nhãn trong chế độ tế bào (Cell – Mode)........................63 2.4.3.1 Tạo nhãn theo cổng riêng biệt................................................................................67 2.4.3.2 Phân phối nhãn theo yêu cầu.................................................................................68 2.4.3.3 Lưu giữ nhãn có lựa chọn......................................................................................68 2.4.3.4 Điều khiển LSP có thứ tự.......................................................................................69 2.4.4 Hội tụ mạng khi có sự thay đổi..................................................................................70 2.5 Khả năng ứng dụng của MPLS..........................................................................70 2.5.1 Hạn chế của các phương pháp định tuyến truyền thống..........................................70 3.5.2 Các ứng dụng của MPLS.............................................................................................72 Kết luận......................................................................................................................73 Chương III..................................................................................................................73 ỨNG DỤNG CÔNG NGHỆ MPLS TRONG VIỆC THIẾT LẬP VPN...................73 3.1 Ưu điểm của MPLS VPN.....................................................................................73 3.2 Các khái niệm, thành phần cơ bản của MPLS/VPN...........................................74 3.2.1 VRF...............................................................................................................................75 3.2.2 Sự trao đổi thông tin định tuyến qua P-network.........................................................76 3.2.3 RD và VPNv4..............................................................................................................76 3.2.4 Route Target..................................................................................................................77 3.2.5 SOO...............................................................................................................................79 3.3 Hoạt động của MPLS/VPN..................................................................................80 3.3.1 Quá trình trao đổi thông tin định tuyến trong MPLS/VPN........................................80 3.3.2 Quá trinh gửi bản tin định tuyến của VPN.................................................................82 3.3.3 Truyền gói tin trong mạng MPLS/VPN......................................................................82 3.3.4 PHP trong MPLS/VPN..................................................................................................83 3.3.5 Quá trình truyền thông tin về nhãn VPN....................................................................84 Đồ án tốt nghiệp Chương 1. Mạng riêng ảo VPN 4 3.4 Truy cập Internet trong MPLS/VPN....................................................................84 3.4.1 Truy cập Internet thông qua VPN dành riêng..............................................................84 3.4.2 Truy cập Internet thông qua bảng định tuyến chính..................................................85 3.5 Multi VRF CE......................................................................................................86 3.6 Triển khai MPLS/VPN tại Việt Nam...................................................................87 3.6.1 Lợi ích kinh tế của MPLS/VPN cho các doanh nghiệp tại Việt Nam......................87 3.6.2 Giải pháp MPLS/VPN được triển khai tại Việt Nam................................................89 Kết luận......................................................................................................................90 CHƯƠNG 4: PHÂN TÍCH VẤN ĐỀ AN TOÀN TRONG MẠNG MPLS/VPN ......................................................................................................................................1 4.1 Tách biệt các VPN.................................................................................................1 4.2 Tách biệt không gian địa chỉ..................................................................................1 4.3 Tách biệt về lưu lượng...........................................................................................2 4.4 Chống lại sự tấn công.............................................................................................3 4.5 Nơi mạng lõi MPLS có thể bị tấn công..................................................................3 4.6 Mạng lõi MPLS bị tấn công như thế nào...............................................................4 4.7 Mạng lõi được bảo vệ như thế nào.........................................................................5 4.8 Dấu cấu trúc mạng lõi............................................................................................5 4.9 Bảo vệ chống lại sự giả mạo..................................................................................5 4.10 So sánh tính bảo mật với ATM/ Frame Relay.....................................................6 4.10.1 Sự tách biệt VPN..........................................................................................................6 4.10.2 Chống lại các cuộc tấn công.......................................................................................7 4.10.3 Dấu cơ sở hạ tầng mạng lõi.......................................................................................7 4.10.4 Không có sự giả mạo VPN..........................................................................................7 4.10.5 CE-CE visibility............................................................................................................7 Kết luận........................................................................................................................9 Đồ án tốt nghiệp Chương 1. Mạng riêng ảo VPN 5 DANH SÁCH HÌNH VẼ HÌNH 1.1 Mô hình mạng VPN....................................................................................4 HÌNH 1.2 : Mô hình L2TP...........................................................................................8 HÌNH 1.3 Các loại mạng VPN.....................................................................................9 HÌNH 1.4 Thiết lập không sử dụng VPN remote access...........................................10 HÌNH 1.5 Mô hình mạng VPN thiết lập kết nối từ xa..............................................11 HÌNH 1.6 Mô hình Intranet VPNs sử dụng bộ định tuyến.......................................12 HÌNH 1.7 Mô hình Intranet VPN...............................................................................13 HÌNH 1.8 Mạng mở rộng truyền thống.....................................................................15 HÌNH 1.9 Mô hình Extranet VPNs...........................................................................16 HÌNH 1.10 Cấu trúc phần cứng của VPN.................................................................17 HÌNH 1.11 Đặc trưng của VPN client......................................................................19 HÌNH 1.13 Bộ tập trung VPN Cisco 3000.................................................................20 HÌNH 1.14 Giao thức mào đầu xác thực...................................................................24 HÌNH 1.15 Cấu trúc gói tin ESP...............................................................................25 HÌNH 1.16 Phương thức đóng gói trong Transport mode........................................26 HÌNH 1.17 Phương thức đóng gói trong Tunnel mode...........................................26 HÌNH 1.18 Thiết bị mạng thực hiện IPSEC..............................................................27 HÌNH 1.19 Kết hợp an ninh SA................................................................................28 HÌNH 1.20 Năm bước hoạt động của IPSEC............................................................30 HÌNH 1.22 Mô hình VPN ngang cấp sử dụng router dành riêng..............................34 HÌNH 2.1 Sự phát triển của MPLS............................................................................37 HÌNH 2.2 Cơ chế truyền các gói tin trong MPLS......................................................38 HÌNH 2.3 Frame Relay trên MPLS............................................................................39 HÌNH 2.4 ATM trên MPLS.......................................................................................40 HÌNH 2.5 Thiết bị mạng lõi không cần sử dụng BGP...............................................41 HÌNH 2.6 MPLS trong mô hình IP over ATM..........................................................41 HÌNH 2.7 Traffic Engineering với MPLS.................................................................42 HÌNH 2.8 Cấu trúc của nhãn......................................................................................42 HÌNH 2.9 Label Stack................................................................................................44 HÌNH 2.10 Các LSR và Edge LSR............................................................................45 Đồ án tốt nghiệp Chương 1. Mạng riêng ảo VPN 6 HÌNH 2.11 LSR và Edge LSR trong Frame-mode MPLS.........................................45 HÌNH 2.12 LSR và Edge LSR trong Cell-mode MPLS............................................46 HÌNH 2.13 LSP từ router A tới rotuer I trong mạng MPLS......................................46 HÌNH 2.14 Cấu trúc của LSR....................................................................................47 HÌNH 2.15 Cấu trúc của LSR ( Edge LSR)...............................................................48 HÌNH 2.16 Các thành phần của CEF.........................................................................51 HÌNH 2.17 Cơ chế chuyển mạch thông thường.........................................................52 HÌNH 2.18 Cơ chế chuyển mạch CEF.......................................................................53 HÌNH 2.19 Nhãn trong Frame-Mode MPLS.............................................................54 HÌNH 2.20 MPLS Forwarding trong frame-mode.....................................................54 HÌNH 2.21 Các router xây dựng bảng định tuyến.....................................................55 HÌNH 2.22 Các bảng của router B ban đầu...............................................................55 HÌNH 2.23 Router B quảng bá nhãn..........................................................................56 HÌNH 2.24 FIB của router A......................................................................................56 HÌNH 2.25 Quảng bá nhãn của router C....................................................................57 HÌNH 2.26 Các bảng của router B.............................................................................57 HÌNH 2.27 Quá trình chuyển gói tin..........................................................................58 HÌNH 2.28 Tạo nhãn theo cơ chế per-platform.........................................................59 HÌNH 2.29 Tạo nhãn theo cơ chế per-platform.........................................................59 HÌNH 2.30 Lưu tất cả các nhãn nhận được................................................................60 HÌNH 2.31 Lưu tất cả các nhãn nhận được................................................................60 HÌNH 2.32 Mạng MPLS ở trạng thái hoạt động thường...........................................61 HÌNH 2.34 Các thông tin còn lại sau khi xóa............................................................62 HÌNH 2.35 Tính toán lại hệ thống mạng....................................................................62 HÌNH 2.36 Liên kết được hồi phục............................................................................63 HÌNH 2.37 Hoạt động của các LSR trong MPLS thông thường...............................64 HÌNH 2.38 Mạng MPLS sử dụng cơ chế PHP...........................................................65 HÌNH 2.39 Nhãn trong Cell-Mode MPLS.................................................................65 HÌNH 2.40 MPLS Forwarding trong cell-mode........................................................66 HÌNH 2.41 Bảng IP routing của các router trong ATM............................................66 HÌNH 2.42 Quá trình request nhãn............................................................................67 Đồ án tốt nghiệp Chương 1. Mạng riêng ảo VPN 7 HÌNH 2.43 Quá trình reply nhãn................................................................................68 HÌNH 2.44 Sự sử dụng lại nhãn đã cấp cho các yêu cầu tới cùng đích.....................69 HÌNH 2.45 Các gói tin bị ghép vào nhau...................................................................69 HÌNH 2.46 Xin cấp nhãn ứng với mỗi yêu cầu gửi tới..............................................70 HÌNH 2.47 Các gói tin được lưu giữ tạm thời cho đến khi truyền............................70 HÌNH 2.48 Tạo nhãn theo cơ chế per-interface.........................................................71 HÌNH 2.49 An toàn trong cơ chế per-platform..........................................................71 HÌNH 2.50 An toàn trong cơ chế per-interface..........................................................72 HÌNH 2.51 Phân phối nhãn theo yêu cầu...................................................................72 HÌNH 2.52 Lưu giữ nhãn có lựa chọn........................................................................73 HÌNH 2.53 LSP có thứ tự...........................................................................................74 HÌNH 2.54 Update thông tin và tìm đường dựa theo IP............................................76 HÌNH 2.55 Chuyển mạch IP over ATM....................................................................76 HÌNH 2.56 Ví dụ về chọn đường giữa các địa điểm..................................................77 HÌNH 3.1 Kết nối VPN theo mô hình mesh trước đây..............................................80 HÌNH 3.2 Kết nối VPN theo mô hình mesh trong MPLS/VPN................................81 HÌNH 3.3 Mô hình mạng MPLS/VPN.......................................................................81 HÌNH 3.4 Mô hình VRF............................................................................................82 HÌNH 3.5 Trao đổi thông tin định tuyến của khách hàng trong P-network...............83 HÌNH 3.6 Sử dụng RD trong MPLS/VPN.................................................................84 HÌNH 3.7 Mô hình Site thuộc nhiều VPN.................................................................85 HÌNH 3.8 Mô hình VPN giữa các Site.......................................................................86 HÌNH 3.9 Ngăn ngừa lặp bằng SOO..........................................................................87 HÌNH 3.10 Trao đổi thông tin giữa CE và PE router.................................................88 HÌNH 3.11 Trao đổi thông tin giữa các router trong P-network................................89 HÌNH 3.12 Trao dổi thông tin định tuyến của các PE router.....................................89 HÌNH 3.13 Trao đổi thông tin dịnh tuyến về các tuyến của VPN.............................90 HÌNH 3.14 Truyền gói tin IP trong mạng MPLS/VPN.............................................91 HÌNH 3.15 Truyền gói tin 1 nhãn trong MPLS/VPN................................................91 HÌNH 3.16 Truyền gói tin đi sử dụng 2 nhãn trong MPLS/VPN..............................91 HÌNH 3.17 PHP trong MPLS/VPN...........................................................................92 Đồ án tốt nghiệp 8 Chương 1. Mạng riêng ảo VPN HÌNH 3.18 Truyền thông tin về nhãn VPN trong MPLS/VPN.................................93 HÌNH 3.19 Hub and Spoke Internet..........................................................................95 HÌNH 3.20 Kết nối Internet trực tiếp.........................................................................96 HÌNH 3.21 Multiple VRF CE....................................................................................97 HÌNH 4.1 Cấu tạo của một giải địa chỉ VPN-IPv4..................................................101 HÌNH 4.2 Mặt phẳng địa chỉ trong MPLS/VPN......................................................102 HÌNH 4.3 Tách biệt lưu lượng.................................................................................103 HÌNH 4.4 dải địa chỉ có thể nhận ra từ VPN...........................................................104 Danh sách bảng biểu Bảng 2.1 Tóm tắt chức năng các loại router 58 Bảng 2.2 Cấu trúc bảng LIB 60 Bảng 2.3 Cấu trúc bảng FIB 62 Bảng 2.4 Cấu trúc bảng LFIB 62 Bảng 2.5 Các cơ chế được sử dụng trong các chế độ hoạt động của MPLS Mối quan hệ giữa Site, VRF, VPN 83 Bảng 3.1 Danh sách các từ viết tắt Đồ án tốt nghiệp 101 9 Chương 1. Mạng riêng ảo VPN IGP Interior Gateway Protocol IKE Internet Key Exchange IP Internet Protocol IPSEC Internet Protocol Security LAN Local Area Network LFIB Label Forwarding Information Base LIB Label Information Base LSR Label Switching Router MPLS Multi Protocol Label Switching OSI Open System Interconnection P router Provider Router PE router Provider Edge Router PPP Point-to-Point Protocol SA Security Association TCP Trasmission Control Protocol UDP User Datagram Protocol VPN Virtual Private Network VRF VPN Routing Forwarding WAN Wide Area Network MỞ ĐẦU Với mục đích nghiên cứu tìm hiểu những ứng dụng mới nhất về dịch vụ mạng riêng ảo (VPN) đang được triển khai rộng rãi cả ở trong và ngoài nước, đồ án tập trung phân tích những đặc điểm và khái niệm cơ bản cũng như những ưu nhược điểm của công nghệ mạng riêng ảo truyền thống. Đồ án cũng đi sâu tìm hiểu một công nghệ mới _ công nghệ chuyển mạch nhãn đa giao thức (MPLS), qua đó kết hợp MPLS với VPN để tạo nên MPLS/VPN. MPLS/VPN đã phần nào khắc phục được những nhược điểm của mô hình VPN truyền thống đồng thời phát huy được những ưu điểm của nó nhằm mang đến cho người dùng sự tiện lợi ở mức cao nhất. Đồ án gồm 4 chương : Đồ án tốt nghiệp Chương 1. Mạng riêng ảo VPN 10 Chương 1 : Mạng riêng ảo VPN Chương 1 tập trung nghiên cứu những khái niệm, mô hình, công nghệ kỹ thuật và phương pháp triển khai dịch vụ mạng riêng ảo VPN truyền thống qua đó phát hiện ra những nhược điểm còn tồn tại của mô hình VPN truyền thống Chương 2 : Chuyển mạch nhãn đa giao thức MPLS Chương 2 tập trung nghiên cứu những khái niệm, mô hình, công nghệ kỹ thuật và phương pháp triển khai hệ thống mạng MPLS. Quá trình định tuyến, chuyển mạch, phân phối nhãn, ưu và nhược điểm của MPLS so với mạng IP truyền thống cũng được tìm hiểu trong khuôn khổ nội dung của đề tài. Chương 3 : Ứng dụng công nghệ MPLS trong việc thiết lập mạng riêng ảo VPN Chương 3 tổng hợp những kiến thức đã được tìm hiểu trong 2 chương đầu để tạo ra một công nghệ dịch vụ VPN mới _ công nghệ MPLS/VPN. Nội dung của chương cũng làm nổi bật những ưu điểm của công nghệ MPLS/VPN so với các công nghệ VPN truyền thống khác. Chương 4: Phân tích vấn đề an toàn trong mạng MPLS/ VPN Chương 4 Tìm hiểu về khả năng chống lại các cuộc tấn công trong mạng MPLS/VPN đối với các mô hình có khả năng bị tấn công. Nội dung chung của đồ án làm nổi bật những ưu điểm của công nghệ MPLS so với công nghệ IP truyền thống, qua đó sử dụng công nghệ MPLS vào trong dịch vụ VPN để tạo ra một dịch vụ VPN hoàn thiện và dễ sử dụng đối với người dùng. Tuy nhiên, đồ án mới chỉ dừng ở mức nghiên cứu, chưa được áp dụng trên thiết bị thực tế. Mặc khác, những ứng dụng khác của MPLS như điều khiển lưu lượng (Traffic Engineering) và chất lượng dịch vụ (Quality of Service) cũng chưa được nghiên cứu sâu. Tác giả hy vọng trong thời gian tới, cùng với việc củng cố kiến thức nền tảng về công nghệ MPLS, cũng như cơ hội được thực tế trên những thiết bị thật, tác giả sẽ phát triển đồ án để hoàn thiện những hiểu biết của mình về dịch vụ mạng riêng ảo (VPN) cũng như công nghệ chuyển mạch nhãn đa giao thức (MPLS). Chương I MẠNG RIÊNG ẢO VPN 1.1 Giới thiệu chung Hiện nay lợi nhuận của các nhà cung cấp dịch vụ thu được một phần từ các dịch vụ thuê kênh (Leased Line, Frame Relay, ATM) và các dịch vụ kết nối cơ bản khác. Tuy nhiên xu hướng giảm lợi nhuận từ các dịch vụ này bắt buộc các nhà cung cấp phải nghiên cứu và triển khai những dịch vụ mới dựa trên nền IP để đảm bảo lợi nhuận lâu dài. Về phía khách hàng, phướng án truyền thông nhanh, an toàn và tin cậy đang trở thành mối quan tâm của nhiều công ty, tổ chức đặc biệt là các công ty, tổ chức Đồ án tốt nghiệp Chương 1. Mạng riêng ảo VPN 11 có các địa điểm phân tán về mặt vật lý, công ty đa quốc gia. Giải pháp thông thường được áp dụng bởi đa số các công ty là thuê các đường truyền riêng (leased lines) để duy trì một mạng WAN (Wide Area Network). Các đường truyền này, được giới hạn từ ISDN (Intergrated Services Digital Network, 128 Kbps) cho đến đường cáp quang OC3 (Optical Carrier-3, 155Mbps). Mỗi mạng WAN đều có các điểm thuận lợi trên một mạng công cộng khi xét đến độ tin cậy, hiệu năng và tính an toàn, bảo mật. Nhưng để bảo trì một mạng WAN, đặc biệt khi sử dụng các đường truyền riêng, có thể trở nên quá đắt và chi phí sẽ trở nên tăng vọt khi công ty muốn mở rộng thêm các văn phòng đại diện. Mạng riêng ảo VPN (Virtual Private Network) chính là một giải pháp cho vấn đề này. VPN có thể đáp ứng các nhu cầu của khách hàng bằng các kết nối dạng any-to-any, các lớp đa dịch vụ, các dịch vụ có giá thành quản lý thấp, riêng tư, tích hợp xuyên suốt cùng với các mạng Intranet hoặc mạng Extranet. Một nhóm người dùng (Users) trong mạng Intranet và Extranet có thể hoạt động thông qua mạng IP. Các mạng VPN có chi phí vận hành thấp hơn hẳn so với việc thuê đường truyền riêng (Leased Lines) trên phương diện quản lý, băng thông và dung lượng. Hiểu một cách đơn giản, VPN là một mạng mở rộng có tính tự quản. VPN có thể liên kết các user thuộc một nhóm kín hay giữa các nhóm khác nhau. Các thuê bao VPN có thể di chuyển trong một kết nối mềm dẻo trải dài từ mạng cục bộ đến mạng hoàn chỉnh. Các thuê bao này có thể dùng trong cùng một mạng (Intranet VPN) hoặc khác mạng (Extranet VPN). Mạng riêng ảo (VPN) là một trong những ứng dụng rất quan trọng trong mạng NGN. Các công ty, các doanh nghiệp đặc biệt là các công ty đa quốc gia có nhu cầu rất lớn về loại hình dịch vụ này. Với VPN họ hoàn toàn có thể sử dụng các dịch vụ viễn thông, truyền số liệu cục bộ với chi phí thấp, với an ninh đảm bảo, với cơ chế bảo mật và cung cấp chất lượng dịch vụ (QoS) theo yêu cầu. 1.2 Khái niệm mạng riêng ảo VPN Chúng ta xét một công ty có trụ sở phân tán ở nhiều nơi. Để kết nối các máy tính tại các vị trí xa nhau này, công ty cần có một mạng thông tin. Mạng này được gọi là mạng riêng với ý nghĩa là nó chỉ được công ty đó sử dụng, và với ý nghĩa các kế hoạch định tuyến và đánh địa chỉ trong mạng đó là độc lập với việc định tuyến và đánh địa chỉ của các mạng khác. Mạng này được gọi là mạng ảo với ý nghĩa là các phương tiện được sử dụng để xây dựng mạng này có thể không chỉ dành riêng cho công ty đó mà chia sẻ dùng chung với các công ty khác. Hoặc các phương tiện cần thiết dể xây dựng mạng này được cung cấp bởi các nhà cung cấp dịch vụ viễn thông. Các công ty sử dụng mạng VPN gọi là các khách hàng VPN. Có thể hiểu mạng VPN là tập hợp gồm nhiều Site, các site được quy định với nhau bởi các chính sách quản lý, quy định cả về kết nối cũng như chất lượng dịch vụ giữa các site. Theo định nghĩa của IETF (Internet Engineering Task Force) mạng VPN là một kiểu mạng diện rộng riêng (Privite WAN) sử dụng mạng đường trục IP riêng hoặc mạng Internet công cộng (Hình 1.1). Đồ án tốt nghiệp Chương 1. Mạng riêng ảo VPN 12 HÌNH 1.1 Mô hình mạng VPN Đơn giản hơn, có thể hiểu mạng VPN là mạng sử dụng mạng công cộng (ví dụ như mạng Internet) mà vẫn đảm bảo độ an toàn và chi phí hợp lý trong quá trình kết nối giữa hai điểm truyền thông. Mạng VPN được xây dựng dựa trên sự trợ giúp của đường hầm logic (Tunnel) riêng. Những đường hầm này cho phép hai điểm đầu cuối trong mạng trao đổi dữ liệu với nhau thông qua mạng theo kiểu tương tự như kết nối điểm - điểm. Mặc dù công nghệ đường hầm được áp dụng trong phần lõi của mạng VPN, nhưng những kỹ thuật và phương pháp bảo mật chi tiết vẫn được áp dụng nhằm đảm bảo an toàn cho những thông tin quan trọng của các công ty khi truyền qua các mạng trung gian. Các kỹ thuật bảo mật bao gồm:  Firewall Một firewall cung cấp biện pháp ngăn chặn hiệu quả giữa mạng riêng của người sử dụng với Internet. Người dùng có thể sử dụng tường lửa ngăn chặn các cổng được mở, loại gói tin được phép truyền qua và giao thức sử dụng. Một vài sản phẩm VPN, chẳng hạn như Cisco's 1700 router, có thể nâng cấp để bao gồm cả tường lửa bằng cách chạy Cisco IOS tương ứng ở trên router. Người dùng cũng nên có tường lửa trước khi sử dụng VPN, nhưng tường lửa cũng đôi khi ngăn chặn các phiên làm việc của VPN.  Encryption Đây là quá trình mã hoá dữ liệu khi truyền đi khỏi máy tính theo một quy tắc nhất định và máy tính đầu xa có thể giải mã được. Hầu hết các hệ thống mã hoá máy tính thuộc về 1 trong 2 loại sau: o Mã hoá sử dụng khoá riêng (Symmetric-key encryption) o Mã hoá sử dụng khoá công khai (Public-key encryption) Trong hệ symmetric-key encryption, mỗi máy tính có một mã bí mật sử dụng để mã hoá các gói tin trước khi truyền đi. Khoá riêng này cần được cài Đồ án tốt nghiệp Chương 1. Mạng riêng ảo VPN 13 trên mỗi máy tính và máy tính phải biết được trình tự giải mã đã được quy ước trước. Mã bí mật còn được sử dụng để giải mã gói tin. Ví dụ: User 1 tạo ra một bức thư mã hoá mà trong nội dung thư mỗi ký tự được thay thế bằng ký tự ở sau nó 2 vị trí trong bảng ký tự . Như vậy A sẽ được thay bằng C, và B sẽ được thay bằng D. User 1 đã nói với User 2 khoá riêng là Dịch đi 2 vị trí (Shift by 2). User 2 nhận được thư sẽ giải mã sử dụng chìa khoá riêng đó. Còn những User khác sẽ không đọc được nội dung thư. Hệ Public-key encryption sử dụng một tổ hợp khoá riêng và khoá công cộng để thực hiện mã hoá, giải mã. Khoá riêng chỉ sử dụng tại máy tính đó, còn khoá công cộng được truyền đi đến các máy tính khác mà nó muốn trao đổi thông tin bảo mật. Để giải mã dữ liệu mã hoá, máy tính kia phải sử dụng khoá công cộng nhận được, và khoá riêng của chính nó. Một phần mềm mã hóa công khai thông dụng là Pretty Good Privacy (PGP) cho phép người sử dụng mã hoá đựợc hầu hết mọi thứ.  Authentication Authentication là tiến trình đảm báo những dữ liệu được phân phát đến đúng địa chỉ của người nhận. Thêm nữa tính xác thực cũng đảm bảo người nhận, nhận được đầy đủ bản tin và nguồn gốc của bản tin. Dạng đơn giản nhất của quá trình xác thực là yêu cầu tên người sử dụng và mật khẩu để được phép truy nhập vào dữ liệu. Với dạng phức tạp, quá trình xác thực có thể dựa trên quá trình mã hoá sử dụng khoá bí mật hoặc quá trình mã hoá sủ dụng khoá công cộng.  Authorization Authorization là một tiến trình cho phép hoặc từ chối người sử dụng, sau khi đã truy nhập vào mạng thành công, được quyền truy nhập vào tài nguyên lưu trữ trên mạng hay không. 1.3 Quá trình phát triển của VPN VPN thực ra không phải là công nghệ mới. Ngược lại, khái niệm mạng VPN đã được thảo luận từ cách đây khoảng mười lăm năm và đã phát triển qua một vài thế hệ mạng cho đến ngày nay. Khái niệm đầu tiên về VPN được AT&T đưa ra vào khoảng cuối thập niên tám mươi. VPN được biết đến như là: “Mạng được định nghĩa bởi phần mềm” (Software Defined Network - SDN). SDN là mạng WAN với khoảng cách xa, nó được thiết lập dành riêng cho người dùng. SDN dựa vào cơ sở dữ liệu truy nhập để phân loại mỗi cố gắng truy nhập vào mạng ở gần hoặc từ xa. Dựa vào thông tin, gói dữ liệu sẽ được định tuyến đến đích thông qua cơ sở hạ tầng chuyển mạch công cộng. Thế hệ thứ hai của VPN xuất hiện cùng với sự ra đời của công nghệ X25 và ISDN vào đầu thập kỷ chín mươi. Trong một thời gian, mặc dù giao thức X25 qua mạng ISDN được thiết lập như là một giao thức của VPN, tuy nhiên, tỉ lệ sai lỗi Đồ án tốt nghiệp Chương 1. Mạng riêng ảo VPN 14 trong quá trình truyền dẫn vượt quá sự cho phép. Do đó thế hệ thứ hai của VPN nhanh chóng bị lãng quên trong một thời gian ngắn. Sau thế hệ thứ hai, thị trường VPN bị chậm lại cho đến khi công nghệ Frame Relay và công nghệ ATM (Asynchronous Tranfer Mode) ra đời. Thế hệ thứ ba của VPN dựa trên công nghệ Frame Relay và công nghệ ATM. Những công nghệ này dựa trên khái niệm chuyển mạch kênh ảo (Virtual Circuit Switching). Trong thời gian gần đây, thương mại điện tử (E-Commerce) đã trở thành một phương thức thương mại hữu hiệu, những yêu cầu của người sử dụng mạng VPN cũng rõ ràng hơn. Người dùng hay các công ty mong muốn một giải pháp mà có thể dễ dàng được thực hiện, thay đổi, quản trị, có khả năng truy nhập trên toàn cầu và có khả năng cung cấp bảo mật ở mức cao, từ đầu cuối đến đầu cuối. Thế hệ gần đây (thế hệ thứ tư) của VPN là IP-VPN. IP-VPN đã đáp ứng được tất cả những yêu cầu này bằng cách ứng dụng công nghệ đường hầm (Tunneling Technology). 1.4 Giao thức đường hầm VPN Hầu hết các VPN đều dựa trên tunneling để hình thành mạng riêng ảo trên nền internet. Về cơ bản, tunneling là quá trình xử lý và đặt toàn bộ các gói tin (packet) trong một gói tin khác và gửi đi trên mạng. Giao thức sinh ra các gói tin được đặt tại cả hai điểm thu phát gọi là giao tiếp kênh - tunnel interface, ở giao tiếp đó các gói tin truyền đi và đến. Kênh thông tin yêu cầu ba giao thức khác nhau:    Giao thức sóng mang - Carrier protocol . Giao thức đóng gói - Encapsulating protocol: bao gồm các giao thức GRE, IPSEC, L2F, PPTP, L2TP cho phép che giấu nội dung truyền Giao thức gói - Passenger protocol: giao thức bao gồm IPX, NetBeui, IP Nếu xét trên phương diện các giao thức đóng gói thì có ba giao thức đường hầm chính thường được sử dụng trong VPN để đảm bảo độ tin cậy cho VPN trong quá trình truyền dẫn gồm:  Giao thức IPSEC  Giao thức PPTP  Giao thức L2TP Đồ án tốt nghiệp Chương 1. Mạng riêng ảo VPN 15 HÌNH 1.2 : Mô hình L2TP 1.5 Phân loại mạng VPN Mục tiêu đặt ra đối với công nghệ mạng VPN là thoả mãn được ba yêu cầu cơ bản sau:  Tại mọi thời điểm, các nhân viên của công ty có thể truy nhập từ xa vào nguồn tài nguyên chia sẻ chung trong mạng của cônng ty.  Nối liền các chi nhánh văn phòng.  Khả năng điều khiển được quyền truy nhập của khách hàng, các nhà cung cấp dịch vụ hoặc các đối tượng bên ngoài khác là yêu cầu rất quan trọng trong hợp tác kinh doanh. Dựa vào những yêu cầu cơ bản trên, hiện nay, VPN đang phát triển thành hai hướng chính.  Remote Access VPNs  Site – to – Site VPNs o Mạng VPN cục bộ (Intranet VPN) o Mạng VPN mở rộng (Extranet VPN) Đồ án tốt nghiệp Chương 1. Mạng riêng ảo VPN 16 HÌNH 1.3 Các loại mạng VPN 1.5.1 Remote Access VPNs Remote Access VPNs cho phép truy cập bất cứ lúc nào bằng Remote, mobile và các thiết bị truyền thông của nhân viên các chi nhánh kết nối đến tài nguyên mạng của tổ chức Remote Access VPNs mô tả việc các người dùng ở xa sử dụng các phần mềm VPN để truy cập vào mạng Intranet của công ty thông qua gateway hoặc VPN concentrator. Vì lý do này, giải pháp thường được gọi là client/server. Trong giải pháp này, nguời dùng thuờng sử dụng các công nghệ WAN truyền thống để tạo lại các tunnel về mạng HO (Head Office)của họ. Một hướng phát triển khá mới trong remote access VPN là dùng wireless VPN, trong đó một nhân viên có thể truy cập về mạng của họ thông qua kết nối không dây. Trong thiết kế này, các kết nối không dây cần phải kết nối về một trạm wireless và sau đó về mạng của công ty. Trong cả hai trường hợp, phần mềm client trên máy PC đều cho phép khởi tạo các kết nối bảo mật, hay các kết nối đuờng hầm (tunnel) Một phần quan trọng của thiết kế này là việc thiết kế quá trình xác thực ban đầu nhằm để đảm bảo là yêu cầu được xuất phát từ một nguồn tin cậy. Thường thì giai đoạn ban đầu này dựa trên cùng một chính sách về bảo mật của công ty. Chính sách này bao gồm: quy trình (procedure), kỹ thuật, server (RADIUS server, TACACS+ …) Một số thành phần chính:  Remote Access Server (RAS): đặt tại trung tâm có nhiệm vụ xác thực và chứng nhận các yêu cầu gửi tới  Quay số kết nối đến trung tâm, điều này sẽ làm giảm chi phí cho một số yêu cầu ở khá xa so với trung tâm.  Hỗ trợ cho những người có nhiệm vụ cấu hình, bảo trì, quản lý RAS và hỗ trợ truy cập từ xa bởi người dùng Đồ án tốt nghiệp
- Xem thêm -

Tài liệu liên quan