BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC GIAO THÔNG VẬN TẢI HÀ NỘI
KHOA ĐIỆN – ĐIỆN TỬ
BỘ MÔN KỸ THUẬT THÔNG TIN
ĐỒ ÁN TỐT NGHIỆP
Đề tài:
TÌM HIỂU MÔ HÌNH MPLS/VPN
VÀ VẤN ĐỀ BẢO MẬT CHO MPLS/VPN
Giảng viên hướng dẫn : ThS. Vũ Hoàng Hoa
Sinh viên thực hiện : Trần Tuấn Anh
Lớp :Kỹ thuật Thông tin và Truyền thông - K48
Hà nội, 5-2012
BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC GIAO THÔNG VAANIJ TẢI HÀ NỘI
--------------------------------------------------BẢN NHẬN XÉT ĐỒ ÁN TỐT NGHIỆP
Họ và tên sinh viên: .................................................. Số hiệu sinh viên: .........................
Ngành:........................................................................Khoá: ...........................................
Giảng viên hướng dẫn:.....................................................................................................
Cán bộ phản biện: ...........................................................................................................
1. Nội dung thiết kế tốt nghiệp:
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
....................................................................................................................
2. Nhận xét của cán bộ phản biện:
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
................................................
Ngày
tháng
năm
Cán bộ phản biện
( Ký, ghi rõ họ và tên )
LỜI NÓI ĐẦU
Đồ án “Nghiên cứu dịch vụ mạng riêng ảo, công nghệ chuyển mạch nhãn đa
giao thức và ứng dụng của chuyển mạch nhãn đa giao thức vào việc xây dựng
mạng riêng ảo” đã nghiên cứu những khái niệm và ứng dụng từ cơ bản đến nâng
cao của dịch vụ mạng riêng ảo và công nghệ chuyển mạch nhãn đa giao thức. Đồ án
cũng đã nghiên cứu sự kết hợp của hai công nghệ trên để tạo ra một công nghệ mới
hiện đang được triển khai rộng rãi ở trong và ngoài nước : Công nghệ MPLS/VPN.
Trong quá trình nghiên cứu và thực hiện đề tài, tác giả đã nhận được sự chỉ bảo
và giúp đỡ nhiệt tình của Giảng viên ThS Vũ Hoàng Hoa. Tác giả xin chân thành
cảm ơn ThS Nguyễn Khắc Kiểm cùng các thầy cô trong bộ môn KỸ THUẬT
THÔNG TIN giúp đỡ tác giả hoàn thành đồ án nay.
Mặc dù tác giả đã cố gắng hoàn thiện đề tài, tuy nhiên đồ án chắc chắn vẫn còn
nhiều thiếu sót và hạn chế. Tác giả mong nhận được sự chỉ bảo của các thầy cô để
có thể hoàn thiện và phát triển đồ án trong thời gian tới.
Xin chân thành cảm ơn.
Trần Tuấn Anh
TÓM TẮT ĐỒ ÁN
Mục đích của đồ án là giới thiệu một số khái niệm cơ bản của công nghệ
MPLS và ứng dụng của MPLS trong thiết lập mạng riêng ảo VPN. Bắt đầu bằng
việc chỉ ra các vấn đề khó khăn gặp phải của các công nghệ kết nối và chuyển mạch
WAN truyền thống trước yêu cầu của mạng hiện nay. Đồ án giới thiệu công nghệ
MPLS, chỉ ra các ưu điểm giúp nâng cao chất lượng của mạng. Đồ án cũng nêu ra
và phân tích một số những thành phần, hoạt động cơ bản và quan trọng của công
nghệ MPLS. Trong thiết lập mạng riêng ảo đồ án nêu ra những khó khăn trong việc
thiết lập mạng riêng ảo trước đây, và cách giải quyết những khó khăn đó bằng công
nghệ MPLS. Trong phần phụ lục đồ án xây dựng mô hình mô phỏng công nghệ
MPLS và MPLS/VPN để có thể hiểu rõ hơn quá trình hoạt động của MPLS.
ABSTRACT
The purpose of thesis is to introduce some basic concepts of MPLS
technology and application of it in establishing Virtual Private Network (VPN). It
begins with indicating difficult issues that traditional WAN connecting and
switching technology has met. The thesis introduces MPLS technology and
indicates many advantages that help improve network ‘s quality. The thesis also
mentions and analyses some basic, important components and operation of MPLS
technology. In establishing virtual private network, the thesis mention the difficulty
with previous technologies, and the solution of it by MPLS technology. In
appendix, the thesis buitds simulated MPLS and MPLS/VPN topology to learn
more about operation of MPLS.
2
Chương 1. Mạng riêng ảo VPN
MỤC LỤC
LỜI NÓI ĐẦU.............................................................................................................2
TÓM TẮT ĐỒ ÁN.......................................................................................................3
MỤC LỤC....................................................................................................................4
DANH SÁCH HÌNH VẼ.............................................................................................7
MỞ ĐẦU....................................................................................................................12
Chương I.....................................................................................................................13
MẠNG RIÊNG ẢO VPN...........................................................................................13
1.1 Giới thiệu chung.................................................................................................13
1.2 Khái niệm mạng riêng ảo VPN..........................................................................13
1.3 Quá trình phát triển của VPN.............................................................................16
1.4 Giao thức đường hầm VPN................................................................................16
1.5 Phân loại mạng VPN..........................................................................................17
1.5.1 Remote Access VPNs...................................................................................................18
1.5.2 Site – to – Site VPNs.................................................................................................20
1.5.2.1 Intranet VPNs.........................................................................................................20
1.5.2.2 Extranet VPNs.......................................................................................................22
1.6 Cấu trúc mạng VPN...........................................................................................24
1.7 Bảo mật trong VPN............................................................................................27
1.7.1 Giới thiệu bảo mật trong VPN....................................................................................27
1.7.2 Giao thức IPSEC...........................................................................................................28
1.7.2.1 IPSEC và các giải pháp an toàn dữ liệu trong mô hình OSI..................................28
1.7.2.2 Khung giao thức IPSEC.........................................................................................28
1.7.3 Các cơ chế kết nối VPN..............................................................................................30
1.7.4 Kết hợp an ninh SA và giao thức IKE.........................................................................32
1.7.4.1 Kết hợp an ninh SA (Security Assocciation).........................................................32
1.8 Mô hình mạng VPN..........................................................................................34
1.8.1 Overlay VPN.................................................................................................................34
1.8.2 Peer – to – Peer VPN.................................................................................................35
Kết luận......................................................................................................................38
Chương II...................................................................................................................39
CHUYỂN MẠCH NHÃN ĐA GIAO THỨC MPLS................................................39
(Multi-Protocol Label Switch)...................................................................................39
2.1 Tổng quan về MPLS..........................................................................................39
2.1.1 Khái niệm và sự phát triển của MPLS.......................................................................39
2.1.2 Ưu điểm của MPLS so với các công nghệ trước đó.................................................40
2.2 Các khái niệm và thành phần cơ bản trong MPLS.............................................43
2.2.1 Nhãn (Label).................................................................................................................43
Đồ án tốt nghiệp
Chương 1. Mạng riêng ảo VPN
3
2.2.2 FEC (Forwarding Equivalence Class)...........................................................................44
2.2.3 Label Stack (Chồng nhãn)............................................................................................44
2.2.4 LSR và Edge LSR........................................................................................................45
2.2.5 LSP................................................................................................................................46
2.2.6 Kiến trúc của MPLS.....................................................................................................46
2.2.7 Cơ chế gán nhãn..........................................................................................................49
2.2.8 Cơ chế phân phối nhãn................................................................................................49
2.2.9 Các cơ chế chuyển mạch của Router trong MPLS.....................................................49
2.2.9.1 Chuyển mạch xử lý (Process Switching)...............................................................49
2.2.9.2 Chuyển mạch nhanh (Fast Switching)...................................................................49
2.2.9.3 CEF........................................................................................................................50
2.2.9.4 Minh họa quá trình thực hiện các cơ chế chuyển mạch router..............................51
2.3 Hoạt động của MPLS trong chế chế độ khung (Frame - Mode)........................52
2.3.1 Khái niệm.....................................................................................................................52
2.3.2 Chức năng của LSR.....................................................................................................53
2.3.3 Cơ chế tạo và phân phối nhãn trong Frame – Mode................................................53
2.3.3.1 Tạo nhãn chung theo mạng đích (per – plat form).................................................57
2.3.3.2 Phân phối nhãn tự động.........................................................................................57
2.3.3.3 Lưu giữ tất cả các nhãn..........................................................................................58
2.3.3.4 Điều khiển LSP độc lập.........................................................................................58
2.3.4 Hội tụ mạng khi có sự thay đổi trong Frame - Mode.................................................58
2.3.5 Cơ chế PHP..................................................................................................................61
2.4 Hoạt động MPLS trong chế độ tế bào (Cell – Mode)........................................62
2.4.1 Khái niệm.....................................................................................................................62
2.4.2 Chức năng LSR trong chế độ tế bào.........................................................................63
2.4.3 Cơ chế tạo và phân phối nhãn trong chế độ tế bào (Cell – Mode)........................63
2.4.3.1 Tạo nhãn theo cổng riêng biệt................................................................................67
2.4.3.2 Phân phối nhãn theo yêu cầu.................................................................................68
2.4.3.3 Lưu giữ nhãn có lựa chọn......................................................................................68
2.4.3.4 Điều khiển LSP có thứ tự.......................................................................................69
2.4.4 Hội tụ mạng khi có sự thay đổi..................................................................................70
2.5 Khả năng ứng dụng của MPLS..........................................................................70
2.5.1 Hạn chế của các phương pháp định tuyến truyền thống..........................................70
3.5.2 Các ứng dụng của MPLS.............................................................................................72
Kết luận......................................................................................................................73
Chương III..................................................................................................................73
ỨNG DỤNG CÔNG NGHỆ MPLS TRONG VIỆC THIẾT LẬP VPN...................73
3.1 Ưu điểm của MPLS VPN.....................................................................................73
3.2 Các khái niệm, thành phần cơ bản của MPLS/VPN...........................................74
3.2.1 VRF...............................................................................................................................75
3.2.2 Sự trao đổi thông tin định tuyến qua P-network.........................................................76
3.2.3 RD và VPNv4..............................................................................................................76
3.2.4 Route Target..................................................................................................................77
3.2.5 SOO...............................................................................................................................79
3.3 Hoạt động của MPLS/VPN..................................................................................80
3.3.1 Quá trình trao đổi thông tin định tuyến trong MPLS/VPN........................................80
3.3.2 Quá trinh gửi bản tin định tuyến của VPN.................................................................82
3.3.3 Truyền gói tin trong mạng MPLS/VPN......................................................................82
3.3.4 PHP trong MPLS/VPN..................................................................................................83
3.3.5 Quá trình truyền thông tin về nhãn VPN....................................................................84
Đồ án tốt nghiệp
Chương 1. Mạng riêng ảo VPN
4
3.4 Truy cập Internet trong MPLS/VPN....................................................................84
3.4.1 Truy cập Internet thông qua VPN dành riêng..............................................................84
3.4.2 Truy cập Internet thông qua bảng định tuyến chính..................................................85
3.5 Multi VRF CE......................................................................................................86
3.6 Triển khai MPLS/VPN tại Việt Nam...................................................................87
3.6.1 Lợi ích kinh tế của MPLS/VPN cho các doanh nghiệp tại Việt Nam......................87
3.6.2 Giải pháp MPLS/VPN được triển khai tại Việt Nam................................................89
Kết luận......................................................................................................................90
CHƯƠNG 4: PHÂN TÍCH VẤN ĐỀ AN TOÀN TRONG MẠNG MPLS/VPN
......................................................................................................................................1
4.1 Tách biệt các VPN.................................................................................................1
4.2 Tách biệt không gian địa chỉ..................................................................................1
4.3 Tách biệt về lưu lượng...........................................................................................2
4.4 Chống lại sự tấn công.............................................................................................3
4.5 Nơi mạng lõi MPLS có thể bị tấn công..................................................................3
4.6 Mạng lõi MPLS bị tấn công như thế nào...............................................................4
4.7 Mạng lõi được bảo vệ như thế nào.........................................................................5
4.8 Dấu cấu trúc mạng lõi............................................................................................5
4.9 Bảo vệ chống lại sự giả mạo..................................................................................5
4.10 So sánh tính bảo mật với ATM/ Frame Relay.....................................................6
4.10.1 Sự tách biệt VPN..........................................................................................................6
4.10.2 Chống lại các cuộc tấn công.......................................................................................7
4.10.3 Dấu cơ sở hạ tầng mạng lõi.......................................................................................7
4.10.4 Không có sự giả mạo VPN..........................................................................................7
4.10.5 CE-CE visibility............................................................................................................7
Kết luận........................................................................................................................9
Đồ án tốt nghiệp
Chương 1. Mạng riêng ảo VPN
5
DANH SÁCH HÌNH VẼ
HÌNH 1.1 Mô hình mạng VPN....................................................................................4
HÌNH 1.2 : Mô hình L2TP...........................................................................................8
HÌNH 1.3 Các loại mạng VPN.....................................................................................9
HÌNH 1.4 Thiết lập không sử dụng VPN remote access...........................................10
HÌNH 1.5 Mô hình mạng VPN thiết lập kết nối từ xa..............................................11
HÌNH 1.6 Mô hình Intranet VPNs sử dụng bộ định tuyến.......................................12
HÌNH 1.7 Mô hình Intranet VPN...............................................................................13
HÌNH 1.8 Mạng mở rộng truyền thống.....................................................................15
HÌNH 1.9 Mô hình Extranet VPNs...........................................................................16
HÌNH 1.10 Cấu trúc phần cứng của VPN.................................................................17
HÌNH 1.11 Đặc trưng của VPN client......................................................................19
HÌNH 1.13 Bộ tập trung VPN Cisco 3000.................................................................20
HÌNH 1.14 Giao thức mào đầu xác thực...................................................................24
HÌNH 1.15 Cấu trúc gói tin ESP...............................................................................25
HÌNH 1.16 Phương thức đóng gói trong Transport mode........................................26
HÌNH 1.17 Phương thức đóng gói trong Tunnel mode...........................................26
HÌNH 1.18 Thiết bị mạng thực hiện IPSEC..............................................................27
HÌNH 1.19 Kết hợp an ninh SA................................................................................28
HÌNH 1.20 Năm bước hoạt động của IPSEC............................................................30
HÌNH 1.22 Mô hình VPN ngang cấp sử dụng router dành riêng..............................34
HÌNH 2.1 Sự phát triển của MPLS............................................................................37
HÌNH 2.2 Cơ chế truyền các gói tin trong MPLS......................................................38
HÌNH 2.3 Frame Relay trên MPLS............................................................................39
HÌNH 2.4 ATM trên MPLS.......................................................................................40
HÌNH 2.5 Thiết bị mạng lõi không cần sử dụng BGP...............................................41
HÌNH 2.6 MPLS trong mô hình IP over ATM..........................................................41
HÌNH 2.7 Traffic Engineering với MPLS.................................................................42
HÌNH 2.8 Cấu trúc của nhãn......................................................................................42
HÌNH 2.9 Label Stack................................................................................................44
HÌNH 2.10 Các LSR và Edge LSR............................................................................45
Đồ án tốt nghiệp
Chương 1. Mạng riêng ảo VPN
6
HÌNH 2.11 LSR và Edge LSR trong Frame-mode MPLS.........................................45
HÌNH 2.12 LSR và Edge LSR trong Cell-mode MPLS............................................46
HÌNH 2.13 LSP từ router A tới rotuer I trong mạng MPLS......................................46
HÌNH 2.14 Cấu trúc của LSR....................................................................................47
HÌNH 2.15 Cấu trúc của LSR ( Edge LSR)...............................................................48
HÌNH 2.16 Các thành phần của CEF.........................................................................51
HÌNH 2.17 Cơ chế chuyển mạch thông thường.........................................................52
HÌNH 2.18 Cơ chế chuyển mạch CEF.......................................................................53
HÌNH 2.19 Nhãn trong Frame-Mode MPLS.............................................................54
HÌNH 2.20 MPLS Forwarding trong frame-mode.....................................................54
HÌNH 2.21 Các router xây dựng bảng định tuyến.....................................................55
HÌNH 2.22 Các bảng của router B ban đầu...............................................................55
HÌNH 2.23 Router B quảng bá nhãn..........................................................................56
HÌNH 2.24 FIB của router A......................................................................................56
HÌNH 2.25 Quảng bá nhãn của router C....................................................................57
HÌNH 2.26 Các bảng của router B.............................................................................57
HÌNH 2.27 Quá trình chuyển gói tin..........................................................................58
HÌNH 2.28 Tạo nhãn theo cơ chế per-platform.........................................................59
HÌNH 2.29 Tạo nhãn theo cơ chế per-platform.........................................................59
HÌNH 2.30 Lưu tất cả các nhãn nhận được................................................................60
HÌNH 2.31 Lưu tất cả các nhãn nhận được................................................................60
HÌNH 2.32 Mạng MPLS ở trạng thái hoạt động thường...........................................61
HÌNH 2.34 Các thông tin còn lại sau khi xóa............................................................62
HÌNH 2.35 Tính toán lại hệ thống mạng....................................................................62
HÌNH 2.36 Liên kết được hồi phục............................................................................63
HÌNH 2.37 Hoạt động của các LSR trong MPLS thông thường...............................64
HÌNH 2.38 Mạng MPLS sử dụng cơ chế PHP...........................................................65
HÌNH 2.39 Nhãn trong Cell-Mode MPLS.................................................................65
HÌNH 2.40 MPLS Forwarding trong cell-mode........................................................66
HÌNH 2.41 Bảng IP routing của các router trong ATM............................................66
HÌNH 2.42 Quá trình request nhãn............................................................................67
Đồ án tốt nghiệp
Chương 1. Mạng riêng ảo VPN
7
HÌNH 2.43 Quá trình reply nhãn................................................................................68
HÌNH 2.44 Sự sử dụng lại nhãn đã cấp cho các yêu cầu tới cùng đích.....................69
HÌNH 2.45 Các gói tin bị ghép vào nhau...................................................................69
HÌNH 2.46 Xin cấp nhãn ứng với mỗi yêu cầu gửi tới..............................................70
HÌNH 2.47 Các gói tin được lưu giữ tạm thời cho đến khi truyền............................70
HÌNH 2.48 Tạo nhãn theo cơ chế per-interface.........................................................71
HÌNH 2.49 An toàn trong cơ chế per-platform..........................................................71
HÌNH 2.50 An toàn trong cơ chế per-interface..........................................................72
HÌNH 2.51 Phân phối nhãn theo yêu cầu...................................................................72
HÌNH 2.52 Lưu giữ nhãn có lựa chọn........................................................................73
HÌNH 2.53 LSP có thứ tự...........................................................................................74
HÌNH 2.54 Update thông tin và tìm đường dựa theo IP............................................76
HÌNH 2.55 Chuyển mạch IP over ATM....................................................................76
HÌNH 2.56 Ví dụ về chọn đường giữa các địa điểm..................................................77
HÌNH 3.1 Kết nối VPN theo mô hình mesh trước đây..............................................80
HÌNH 3.2 Kết nối VPN theo mô hình mesh trong MPLS/VPN................................81
HÌNH 3.3 Mô hình mạng MPLS/VPN.......................................................................81
HÌNH 3.4 Mô hình VRF............................................................................................82
HÌNH 3.5 Trao đổi thông tin định tuyến của khách hàng trong P-network...............83
HÌNH 3.6 Sử dụng RD trong MPLS/VPN.................................................................84
HÌNH 3.7 Mô hình Site thuộc nhiều VPN.................................................................85
HÌNH 3.8 Mô hình VPN giữa các Site.......................................................................86
HÌNH 3.9 Ngăn ngừa lặp bằng SOO..........................................................................87
HÌNH 3.10 Trao đổi thông tin giữa CE và PE router.................................................88
HÌNH 3.11 Trao đổi thông tin giữa các router trong P-network................................89
HÌNH 3.12 Trao dổi thông tin định tuyến của các PE router.....................................89
HÌNH 3.13 Trao đổi thông tin dịnh tuyến về các tuyến của VPN.............................90
HÌNH 3.14 Truyền gói tin IP trong mạng MPLS/VPN.............................................91
HÌNH 3.15 Truyền gói tin 1 nhãn trong MPLS/VPN................................................91
HÌNH 3.16 Truyền gói tin đi sử dụng 2 nhãn trong MPLS/VPN..............................91
HÌNH 3.17 PHP trong MPLS/VPN...........................................................................92
Đồ án tốt nghiệp
8
Chương 1. Mạng riêng ảo VPN
HÌNH 3.18 Truyền thông tin về nhãn VPN trong MPLS/VPN.................................93
HÌNH 3.19 Hub and Spoke Internet..........................................................................95
HÌNH 3.20 Kết nối Internet trực tiếp.........................................................................96
HÌNH 3.21 Multiple VRF CE....................................................................................97
HÌNH 4.1 Cấu tạo của một giải địa chỉ VPN-IPv4..................................................101
HÌNH 4.2 Mặt phẳng địa chỉ trong MPLS/VPN......................................................102
HÌNH 4.3 Tách biệt lưu lượng.................................................................................103
HÌNH 4.4 dải địa chỉ có thể nhận ra từ VPN...........................................................104
Danh sách bảng biểu
Bảng 2.1
Tóm tắt chức năng các loại router
58
Bảng 2.2
Cấu trúc bảng LIB
60
Bảng 2.3
Cấu trúc bảng FIB
62
Bảng 2.4
Cấu trúc bảng LFIB
62
Bảng 2.5
Các cơ chế được sử dụng trong các chế độ hoạt động
của MPLS
Mối quan hệ giữa Site, VRF, VPN
83
Bảng 3.1
Danh sách các từ viết tắt
Đồ án tốt nghiệp
101
9
Chương 1. Mạng riêng ảo VPN
IGP
Interior Gateway Protocol
IKE
Internet Key Exchange
IP
Internet Protocol
IPSEC
Internet Protocol Security
LAN
Local Area Network
LFIB
Label Forwarding Information Base
LIB
Label Information Base
LSR
Label Switching Router
MPLS
Multi Protocol Label Switching
OSI
Open System Interconnection
P router
Provider Router
PE router
Provider Edge Router
PPP
Point-to-Point Protocol
SA
Security Association
TCP
Trasmission Control Protocol
UDP
User Datagram Protocol
VPN
Virtual Private Network
VRF
VPN Routing Forwarding
WAN
Wide Area Network
MỞ ĐẦU
Với mục đích nghiên cứu tìm hiểu những ứng dụng mới nhất về dịch vụ mạng
riêng ảo (VPN) đang được triển khai rộng rãi cả ở trong và ngoài nước, đồ án tập
trung phân tích những đặc điểm và khái niệm cơ bản cũng như những ưu nhược
điểm của công nghệ mạng riêng ảo truyền thống. Đồ án cũng đi sâu tìm hiểu một
công nghệ mới _ công nghệ chuyển mạch nhãn đa giao thức (MPLS), qua đó kết
hợp MPLS với VPN để tạo nên MPLS/VPN. MPLS/VPN đã phần nào khắc phục
được những nhược điểm của mô hình VPN truyền thống đồng thời phát huy được
những ưu điểm của nó nhằm mang đến cho người dùng sự tiện lợi ở mức cao nhất.
Đồ án gồm 4 chương :
Đồ án tốt nghiệp
Chương 1. Mạng riêng ảo VPN
10
Chương 1 : Mạng riêng ảo VPN
Chương 1 tập trung nghiên cứu những khái niệm, mô hình, công nghệ kỹ thuật
và phương pháp triển khai dịch vụ mạng riêng ảo VPN truyền thống qua đó phát
hiện ra những nhược điểm còn tồn tại của mô hình VPN truyền thống
Chương 2 : Chuyển mạch nhãn đa giao thức MPLS
Chương 2 tập trung nghiên cứu những khái niệm, mô hình, công nghệ kỹ thuật
và phương pháp triển khai hệ thống mạng MPLS. Quá trình định tuyến, chuyển
mạch, phân phối nhãn, ưu và nhược điểm của MPLS so với mạng IP truyền thống
cũng được tìm hiểu trong khuôn khổ nội dung của đề tài.
Chương 3 : Ứng dụng công nghệ MPLS trong việc thiết lập mạng riêng ảo
VPN
Chương 3 tổng hợp những kiến thức đã được tìm hiểu trong 2 chương đầu để tạo
ra một công nghệ dịch vụ VPN mới _ công nghệ MPLS/VPN. Nội dung của chương
cũng làm nổi bật những ưu điểm của công nghệ MPLS/VPN so với các công nghệ
VPN truyền thống khác.
Chương 4: Phân tích vấn đề an toàn trong mạng MPLS/ VPN
Chương 4 Tìm hiểu về khả năng chống lại các cuộc tấn công trong mạng
MPLS/VPN đối với các mô hình có khả năng bị tấn công.
Nội dung chung của đồ án làm nổi bật những ưu điểm của công nghệ MPLS so
với công nghệ IP truyền thống, qua đó sử dụng công nghệ MPLS vào trong dịch vụ
VPN để tạo ra một dịch vụ VPN hoàn thiện và dễ sử dụng đối với người dùng.
Tuy nhiên, đồ án mới chỉ dừng ở mức nghiên cứu, chưa được áp dụng trên thiết
bị thực tế. Mặc khác, những ứng dụng khác của MPLS như điều khiển lưu lượng
(Traffic Engineering) và chất lượng dịch vụ (Quality of Service) cũng chưa được
nghiên cứu sâu.
Tác giả hy vọng trong thời gian tới, cùng với việc củng cố kiến thức nền tảng về
công nghệ MPLS, cũng như cơ hội được thực tế trên những thiết bị thật, tác giả sẽ
phát triển đồ án để hoàn thiện những hiểu biết của mình về dịch vụ mạng riêng ảo
(VPN) cũng như công nghệ chuyển mạch nhãn đa giao thức (MPLS).
Chương I
MẠNG RIÊNG ẢO VPN
1.1 Giới thiệu chung
Hiện nay lợi nhuận của các nhà cung cấp dịch vụ thu được một phần từ các
dịch vụ thuê kênh (Leased Line, Frame Relay, ATM) và các dịch vụ kết nối cơ bản
khác. Tuy nhiên xu hướng giảm lợi nhuận từ các dịch vụ này bắt buộc các nhà cung
cấp phải nghiên cứu và triển khai những dịch vụ mới dựa trên nền IP để đảm bảo
lợi nhuận lâu dài.
Về phía khách hàng, phướng án truyền thông nhanh, an toàn và tin cậy đang
trở thành mối quan tâm của nhiều công ty, tổ chức đặc biệt là các công ty, tổ chức
Đồ án tốt nghiệp
Chương 1. Mạng riêng ảo VPN
11
có các địa điểm phân tán về mặt vật lý, công ty đa quốc gia. Giải pháp thông
thường được áp dụng bởi đa số các công ty là thuê các đường truyền riêng (leased
lines) để duy trì một mạng WAN (Wide Area Network). Các đường truyền này,
được giới hạn từ ISDN (Intergrated Services Digital Network, 128 Kbps) cho đến
đường cáp quang OC3 (Optical Carrier-3, 155Mbps). Mỗi mạng WAN đều có các
điểm thuận lợi trên một mạng công cộng khi xét đến độ tin cậy, hiệu năng và tính
an toàn, bảo mật. Nhưng để bảo trì một mạng WAN, đặc biệt khi sử dụng các
đường truyền riêng, có thể trở nên quá đắt và chi phí sẽ trở nên tăng vọt khi công ty
muốn mở rộng thêm các văn phòng đại diện.
Mạng riêng ảo VPN (Virtual Private Network) chính là một giải pháp cho vấn
đề này. VPN có thể đáp ứng các nhu cầu của khách hàng bằng các kết nối dạng
any-to-any, các lớp đa dịch vụ, các dịch vụ có giá thành quản lý thấp, riêng tư, tích
hợp xuyên suốt cùng với các mạng Intranet hoặc mạng Extranet. Một nhóm người
dùng (Users) trong mạng Intranet và Extranet có thể hoạt động thông qua mạng IP.
Các mạng VPN có chi phí vận hành thấp hơn hẳn so với việc thuê đường truyền
riêng (Leased Lines) trên phương diện quản lý, băng thông và dung lượng. Hiểu
một cách đơn giản, VPN là một mạng mở rộng có tính tự quản. VPN có thể liên kết
các user thuộc một nhóm kín hay giữa các nhóm khác nhau. Các thuê bao VPN có
thể di chuyển trong một kết nối mềm dẻo trải dài từ mạng cục bộ đến mạng hoàn
chỉnh. Các thuê bao này có thể dùng trong cùng một mạng (Intranet VPN) hoặc
khác mạng (Extranet VPN).
Mạng riêng ảo (VPN) là một trong những ứng dụng rất quan trọng trong mạng
NGN. Các công ty, các doanh nghiệp đặc biệt là các công ty đa quốc gia có nhu cầu
rất lớn về loại hình dịch vụ này. Với VPN họ hoàn toàn có thể sử dụng các dịch vụ
viễn thông, truyền số liệu cục bộ với chi phí thấp, với an ninh đảm bảo, với cơ chế
bảo mật và cung cấp chất lượng dịch vụ (QoS) theo yêu cầu.
1.2 Khái niệm mạng riêng ảo VPN
Chúng ta xét một công ty có trụ sở phân tán ở nhiều nơi. Để kết nối các máy tính
tại các vị trí xa nhau này, công ty cần có một mạng thông tin. Mạng này được gọi là
mạng riêng với ý nghĩa là nó chỉ được công ty đó sử dụng, và với ý nghĩa các kế
hoạch định tuyến và đánh địa chỉ trong mạng đó là độc lập với việc định tuyến và
đánh địa chỉ của các mạng khác. Mạng này được gọi là mạng ảo với ý nghĩa là các
phương tiện được sử dụng để xây dựng mạng này có thể không chỉ dành riêng cho
công ty đó mà chia sẻ dùng chung với các công ty khác. Hoặc các phương tiện cần
thiết dể xây dựng mạng này được cung cấp bởi các nhà cung cấp dịch vụ viễn
thông. Các công ty sử dụng mạng VPN gọi là các khách hàng VPN.
Có thể hiểu mạng VPN là tập hợp gồm nhiều Site, các site được quy định với
nhau bởi các chính sách quản lý, quy định cả về kết nối cũng như chất lượng dịch
vụ giữa các site.
Theo định nghĩa của IETF (Internet Engineering Task Force) mạng VPN là một
kiểu mạng diện rộng riêng (Privite WAN) sử dụng mạng đường trục IP riêng hoặc
mạng Internet công cộng (Hình 1.1).
Đồ án tốt nghiệp
Chương 1. Mạng riêng ảo VPN
12
HÌNH 1.1 Mô hình mạng VPN
Đơn giản hơn, có thể hiểu mạng VPN là mạng sử dụng mạng công cộng (ví dụ
như mạng Internet) mà vẫn đảm bảo độ an toàn và chi phí hợp lý trong quá trình kết
nối giữa hai điểm truyền thông. Mạng VPN được xây dựng dựa trên sự trợ giúp của
đường hầm logic (Tunnel) riêng. Những đường hầm này cho phép hai điểm đầu
cuối trong mạng trao đổi dữ liệu với nhau thông qua mạng theo kiểu tương tự như
kết nối điểm - điểm.
Mặc dù công nghệ đường hầm được áp dụng trong phần lõi của mạng VPN,
nhưng những kỹ thuật và phương pháp bảo mật chi tiết vẫn được áp dụng nhằm
đảm bảo an toàn cho những thông tin quan trọng của các công ty khi truyền qua các
mạng trung gian. Các kỹ thuật bảo mật bao gồm:
Firewall
Một firewall cung cấp biện pháp ngăn chặn hiệu quả giữa mạng riêng của
người sử dụng với Internet. Người dùng có thể sử dụng tường lửa ngăn chặn
các cổng được mở, loại gói tin được phép truyền qua và giao thức sử dụng.
Một vài sản phẩm VPN, chẳng hạn như Cisco's 1700 router, có thể nâng cấp
để bao gồm cả tường lửa bằng cách chạy Cisco IOS tương ứng ở trên router.
Người dùng cũng nên có tường lửa trước khi sử dụng VPN, nhưng tường lửa
cũng đôi khi ngăn chặn các phiên làm việc của VPN.
Encryption
Đây là quá trình mã hoá dữ liệu khi truyền đi khỏi máy tính theo một quy tắc
nhất định và máy tính đầu xa có thể giải mã được. Hầu hết các hệ thống mã
hoá máy tính thuộc về 1 trong 2 loại sau:
o Mã hoá sử dụng khoá riêng (Symmetric-key encryption)
o Mã hoá sử dụng khoá công khai (Public-key encryption)
Trong hệ symmetric-key encryption, mỗi máy tính có một mã bí mật sử
dụng để mã hoá các gói tin trước khi truyền đi. Khoá riêng này cần được cài
Đồ án tốt nghiệp
Chương 1. Mạng riêng ảo VPN
13
trên mỗi máy tính và máy tính phải biết được trình tự giải mã đã được quy
ước trước. Mã bí mật còn được sử dụng để giải mã gói tin. Ví dụ: User 1 tạo
ra một bức thư mã hoá mà trong nội dung thư mỗi ký tự được thay thế bằng
ký tự ở sau nó 2 vị trí trong bảng ký tự . Như vậy A sẽ được thay bằng C, và
B sẽ được thay bằng D. User 1 đã nói với User 2 khoá riêng là Dịch đi 2 vị
trí (Shift by 2). User 2 nhận được thư sẽ giải mã sử dụng chìa khoá riêng đó.
Còn những User khác sẽ không đọc được nội dung thư.
Hệ Public-key encryption sử dụng một tổ hợp khoá riêng và khoá công
cộng để thực hiện mã hoá, giải mã. Khoá riêng chỉ sử dụng tại máy tính đó,
còn khoá công cộng được truyền đi đến các máy tính khác mà nó muốn trao
đổi thông tin bảo mật. Để giải mã dữ liệu mã hoá, máy tính kia phải sử dụng
khoá công cộng nhận được, và khoá riêng của chính nó. Một phần mềm mã
hóa công khai thông dụng là Pretty Good Privacy (PGP) cho phép người sử
dụng mã hoá đựợc hầu hết mọi thứ.
Authentication
Authentication là tiến trình đảm báo những dữ liệu được phân phát đến đúng
địa chỉ của người nhận. Thêm nữa tính xác thực cũng đảm bảo người nhận,
nhận được đầy đủ bản tin và nguồn gốc của bản tin. Dạng đơn giản nhất của
quá trình xác thực là yêu cầu tên người sử dụng và mật khẩu để được phép
truy nhập vào dữ liệu. Với dạng phức tạp, quá trình xác thực có thể dựa trên
quá trình mã hoá sử dụng khoá bí mật hoặc quá trình mã hoá sủ dụng khoá
công cộng.
Authorization
Authorization là một tiến trình cho phép hoặc từ chối người sử dụng, sau khi
đã truy nhập vào mạng thành công, được quyền truy nhập vào tài nguyên lưu
trữ trên mạng hay không.
1.3 Quá trình phát triển của VPN
VPN thực ra không phải là công nghệ mới. Ngược lại, khái niệm mạng VPN đã
được thảo luận từ cách đây khoảng mười lăm năm và đã phát triển qua một vài thế
hệ mạng cho đến ngày nay.
Khái niệm đầu tiên về VPN được AT&T đưa ra vào khoảng cuối thập niên tám
mươi. VPN được biết đến như là: “Mạng được định nghĩa bởi phần mềm”
(Software Defined Network - SDN). SDN là mạng WAN với khoảng cách xa, nó
được thiết lập dành riêng cho người dùng. SDN dựa vào cơ sở dữ liệu truy nhập để
phân loại mỗi cố gắng truy nhập vào mạng ở gần hoặc từ xa. Dựa vào thông tin, gói
dữ liệu sẽ được định tuyến đến đích thông qua cơ sở hạ tầng chuyển mạch công
cộng.
Thế hệ thứ hai của VPN xuất hiện cùng với sự ra đời của công nghệ X25 và
ISDN vào đầu thập kỷ chín mươi. Trong một thời gian, mặc dù giao thức X25 qua
mạng ISDN được thiết lập như là một giao thức của VPN, tuy nhiên, tỉ lệ sai lỗi
Đồ án tốt nghiệp
Chương 1. Mạng riêng ảo VPN
14
trong quá trình truyền dẫn vượt quá sự cho phép. Do đó thế hệ thứ hai của VPN
nhanh chóng bị lãng quên trong một thời gian ngắn.
Sau thế hệ thứ hai, thị trường VPN bị chậm lại cho đến khi công nghệ Frame
Relay và công nghệ ATM (Asynchronous Tranfer Mode) ra đời. Thế hệ thứ ba của
VPN dựa trên công nghệ Frame Relay và công nghệ ATM. Những công nghệ này
dựa trên khái niệm chuyển mạch kênh ảo (Virtual Circuit Switching).
Trong thời gian gần đây, thương mại điện tử (E-Commerce) đã trở thành một
phương thức thương mại hữu hiệu, những yêu cầu của người sử dụng mạng VPN
cũng rõ ràng hơn. Người dùng hay các công ty mong muốn một giải pháp mà có thể
dễ dàng được thực hiện, thay đổi, quản trị, có khả năng truy nhập trên toàn cầu và
có khả năng cung cấp bảo mật ở mức cao, từ đầu cuối đến đầu cuối. Thế hệ gần đây
(thế hệ thứ tư) của VPN là IP-VPN. IP-VPN đã đáp ứng được tất cả những yêu cầu
này bằng cách ứng dụng công nghệ đường hầm (Tunneling Technology).
1.4 Giao thức đường hầm VPN
Hầu hết các VPN đều dựa trên tunneling để hình thành mạng riêng ảo trên nền
internet. Về cơ bản, tunneling là quá trình xử lý và đặt toàn bộ các gói tin (packet)
trong một gói tin khác và gửi đi trên mạng. Giao thức sinh ra các gói tin được đặt tại
cả hai điểm thu phát gọi là giao tiếp kênh - tunnel interface, ở giao tiếp đó các gói
tin truyền đi và đến.
Kênh thông tin yêu cầu ba giao thức khác nhau:
Giao thức sóng mang - Carrier protocol .
Giao thức đóng gói - Encapsulating protocol: bao gồm các giao thức GRE,
IPSEC, L2F, PPTP, L2TP cho phép che giấu nội dung truyền
Giao thức gói - Passenger protocol: giao thức bao gồm IPX, NetBeui, IP
Nếu xét trên phương diện các giao thức đóng gói thì có ba giao thức đường hầm
chính thường được sử dụng trong VPN để đảm bảo độ tin cậy cho VPN trong quá
trình truyền dẫn gồm:
Giao thức IPSEC
Giao thức PPTP
Giao thức L2TP
Đồ án tốt nghiệp
Chương 1. Mạng riêng ảo VPN
15
HÌNH 1.2 : Mô hình L2TP
1.5 Phân loại mạng VPN
Mục tiêu đặt ra đối với công nghệ mạng VPN là thoả mãn được ba yêu cầu cơ
bản sau:
Tại mọi thời điểm, các nhân viên của công ty có thể truy nhập từ xa vào
nguồn tài nguyên chia sẻ chung trong mạng của cônng ty.
Nối liền các chi nhánh văn phòng.
Khả năng điều khiển được quyền truy nhập của khách hàng, các nhà cung
cấp dịch vụ hoặc các đối tượng bên ngoài khác là yêu cầu rất quan trọng
trong hợp tác kinh doanh.
Dựa vào những yêu cầu cơ bản trên, hiện nay, VPN đang phát triển thành hai
hướng chính.
Remote Access VPNs
Site – to – Site VPNs
o Mạng VPN cục bộ (Intranet VPN)
o Mạng VPN mở rộng (Extranet VPN)
Đồ án tốt nghiệp
Chương 1. Mạng riêng ảo VPN
16
HÌNH 1.3 Các loại mạng VPN
1.5.1 Remote Access VPNs
Remote Access VPNs cho phép truy cập bất cứ lúc nào bằng Remote, mobile và
các thiết bị truyền thông của nhân viên các chi nhánh kết nối đến tài nguyên mạng
của tổ chức
Remote Access VPNs mô tả việc các người dùng ở xa sử dụng các phần mềm
VPN để truy cập vào mạng Intranet của công ty thông qua gateway hoặc VPN
concentrator. Vì lý do này, giải pháp thường được gọi là client/server. Trong giải
pháp này, nguời dùng thuờng sử dụng các công nghệ WAN truyền thống để tạo lại
các tunnel về mạng HO (Head Office)của họ.
Một hướng phát triển khá mới trong remote access VPN là dùng wireless VPN,
trong đó một nhân viên có thể truy cập về mạng của họ thông qua kết nối không
dây. Trong thiết kế này, các kết nối không dây cần phải kết nối về một trạm wireless
và sau đó về mạng của công ty. Trong cả hai trường hợp, phần mềm client trên máy
PC đều cho phép khởi tạo các kết nối bảo mật, hay các kết nối đuờng hầm (tunnel)
Một phần quan trọng của thiết kế này là việc thiết kế quá trình xác thực ban đầu
nhằm để đảm bảo là yêu cầu được xuất phát từ một nguồn tin cậy. Thường thì giai
đoạn ban đầu này dựa trên cùng một chính sách về bảo mật của công ty. Chính sách
này bao gồm: quy trình (procedure), kỹ thuật, server (RADIUS server, TACACS+
…)
Một số thành phần chính:
Remote Access Server (RAS): đặt tại trung tâm có nhiệm vụ xác thực và
chứng nhận các yêu cầu gửi tới
Quay số kết nối đến trung tâm, điều này sẽ làm giảm chi phí cho một số yêu
cầu ở khá xa so với trung tâm.
Hỗ trợ cho những người có nhiệm vụ cấu hình, bảo trì, quản lý RAS và hỗ
trợ truy cập từ xa bởi người dùng
Đồ án tốt nghiệp
- Xem thêm -