TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI LUẬN VĂN THẠC SĨ Nghiên cứu kỹ thuật mạng riêng ảo lớp 2, lớp ứng dụng nhà cung cấp dịch vụ NGUYỄN VĂN CHUNG Ngành: Kỹ thuật viễn thông Giảng viên hướng dẫn: TS Đặng Quang Hiếu Viện: Điện tử - Viễn thông HÀ NỘI, 10/2021 TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI LUẬN VĂN THẠC SĨ Nghiên cứu kỹ thuật mạng riêng ảo lớp 2, lớp ứng dụng nhà cung cấp dịch vụ NGUYỄN VĂN CHUNG Ngành: Kỹ thuật viễn thông Giảng viên hướng dẫn: TS Đặng Quang Hiếu Chữ ký GVHD Viện: Điện tử - Viễn thơng HÀ NỘI, 10/2021 CỘNG HỊA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập – Tự – Hạnh phúc BẢN XÁC NHẬN CHỈNH SỬA LUẬN VĂN THẠC SĨ Họ tên tác giả luận văn: Nguyễn Văn Chung Đề tài luận văn: Nghiên cứu kỹ thuật mạng riêng ảo lớp 2, lớp ứng dụng nhà cung cấp dịch vụ Chuyên ngành: Kỹ thuật viễn thông Mã số SV: CA190156 Tác giả, Người hướng dẫn khoa học Hội đồng chấm luận văn xác nhận tác giả sửa chữa, bổ sung luận văn theo biên họp Hội đồng ngày với nội dung sau: - Bổ sung bảng danh mục chữ viết tắt, hình ảnh minh hoạ, trích dẫn tài liệu tham khảo - Bổ sung phần kết luận luận văn - Chỉnh sửa chế luận văn theo mẫu quy định Ngày tháng năm 2021 Giáo viên hướng dẫn Tác giả luận văn TS Đặng Quang Hiếu Nguyễn Văn Chung CHỦ TỊCH HỘI ĐỒNG GS.TS Vũ Văn Yêm LỜI CẢM ƠN Tôi xin gửi lời cảm ơn đến thầy cô giáo Viện Điện tử - Viễn thông giúp đỡ tơi nhiều q trình học tập làm luận văn Đặc biệt, xin gửi lời cảm ơn chân thành sâu sắc tới thầy giáo, TS Đặng Quang Hiếu tận tình giúp đỡ tơi hồn thành luận văn Mặc dù có nhiều cố gắng để thực hiện, song với kiến thức, kinh nghiệm thân, chắn khơng thể tránh khỏi thiếu sót chưa thấy Tơi mong nhận ý kiến đóng góp thầy cô, bạn bè, đồng nghiệp để luận văn hoàn thiện HỌC VIÊN (Ký ghi rõ họ tên) Nguyễn Văn Chung Tóm tắt nội dung luận văn Ngày nay, nhu cầu sử dụng dịch vụ quan, doanh nghiệp không ngừng tăng; nhà cung cấp dịch vụ cố gắng sử dụng công nghệ để cải thiện dịch vụ mạng giảm thiểu chi phí hoạt động, tăng tính bảo mật, quyền riêng tư khách hàng Kỹ thuật mạng riêng ảo VPN (Virtual Private Network - VPN) kỹ thuật đảm bảo chất lượng dịch vụ, tính bảo mật cao cho ứng dụng thời gian thực mạng quan, doanh nghiệp Để đạt chất lượng dịch vụ, tính bảo mật cao cho ứng dụng thời gian thực truyền số liệu, tín hiệu quan sát, cảnh giới vùng trời, vùng biển, đường biên giới, liệu tọa độ, thông tin tàu thuyền, thông tin hàng không, video, thoại… Kỹ thuật mạng riêng ảo VPN kết hợp mơi trường mạng chuyển mạch IP thay sử dụng mạng dựa giao thức IP túy Với mục đích nghiên cứu hiệu việc sử dụng Kỹ thuật mạng riêng ảo VPN, chọn luận văn “Nghiên cứu kỹ thuật mạng riêng ảo lớp 2, lớp ứng dụng nhà cung cấp dịch vụ” Kết hợp với nghiên cứu lý thuyết, sử dụng phần mềm hỗ trợ mô IOS On Linux (IOU) để mơ lại q trình mạng hoạt động trước triển khai thực tế; sử dụng công cụ máy tạo lưu lượng hai trường hợp có khơng Kỹ thuật mạng riêng ảo VPN để theo dõi chất lượng gói tin từ bên phát tới bên thu theo tham số làm sở để đánh giá chất lượng, độ tin cậy dịch vụ thời gian thực: độ trễ gói tin, độ biến thiên trễ theo thời gian, theo số lượng gói tin, tỉ lệ gói tin… Kết phân tích mô cho thấy, sử dụng kỹ thuật VPN kết hợp môi trường mạng chuyển mạch IP số lượng, chất lượng gói tin phía đầu nhận bảo đảm tính riêng tư, bảo mật, an tồn lưu lượng mạng thay đổi, từ cho thấy tham số chất lượng dịch vụ trì ổn định, chất lượng dịch vụ đảm bảo Cấu trúc luận văn gồm chương: Chương 1: Tổng quan Kỹ thuật mạng riêng ảo (VPN) Chương 2: Các Kỹ thuật giao thức mạng riêng ảo lớp lớp Chương 3: So sánh mạng có khơng sử dụng Kỹ thuật mạng riêng ảo VPN MỤC LỤC CHƯƠNG TỔNG QUAN VỀ KỸ THUẬT MẠNG RIÊNG ẢO VPN 1.1 Tổng quan 1.1.1 Định nghĩa VPN 1.1.2 Lợi ích VPN 1.1.3 Chức VPN 1.2 Định nghĩa “đường hầm” “mã hóa” 1.2.1 Định nghĩa “đường hầm” 1.2.2 Cấu trúc gói tin IP đường hầm 1.2.3 Một số thuật ngữ sử dụng VPN 1.3 Các dạng kết nối mạng riêng ảo VPN 1.3.1 Truy cập VPN (Remote Access VPNs) 1.3.2 Site-To-Site VPN 1.4 VPN vấn đề an toàn bảo mật Internet 14 1.4.1 An toàn tin cậy 15 1.4.2 Hình thức an tồn 16 CHƯƠNG CÁC KỸ THUẬT GIAO THỨC TRONG MẠNG RIÊNG ẢO VPN LỚP 2, LỚP 18 2.1 Giới thiệu giao thức đường hầm 18 2.2 Giao thức đường hầm điểm tới điểm (PPTP) 19 2.2.1 Nguyên tắc hoạt động PPTP 19 2.2.2 Nguyên tắc kết nối điều khiển đường hầm theo giao thức PPTP 21 2.2.3 Nguyên lý đóng gói liệu đường hầm PPTP 21 2.2.4 Nguyên tắc thực gói tin liệu đầu cuối đường hầm PPTP 23 2.2.5 Triển khai VPN dựa PPTP 24 2.2.6 Một số ưu, nhược điểm khả ứng dụng PPTP 25 2.3 Giao thức chuyển tiếp lớp (L2F) 26 2.3.1 Nguyên tắc hoạt động L2F 26 2.3.2 Những ưu, nhược điểm L2F 28 2.4 Giao thức đường hầm lớp (L2TP) 28 2.4.1 Các thành phần L2TP 29 2.4.2 Quan hệ L2TP với PPP 30 i 2.4.3 Quy trình xử lý L2TP 32 2.4.4 Dữ liệu đường hầm L2TP 33 2.4.5 Chế độ đường hầm L2TP 35 2.4.6 Những thuận lợi bất lợi L2TP 38 2.5 GRE (Generic Routing Encapsulation) 39 2.5.1 Giới thiệu GRE 39 2.5.2 Cơ chế hoạt động GRE 40 2.5.3 GRE over IPSec 41 2.6 Giao thức bảo mật IP (IP Security Protocol) 42 2.6.1 Khái niệm, tổng quan IPSec 42 2.6.2 Giao thức xác thực tiêu đề AH 47 2.6.3 Giao thức đóng gói tải tin an tồn ESP 51 2.6.4 Giao thức trao đổi khóa IKE 55 2.6.5 Quá trình hoạt động IPSec 58 2.6.6 Các vấn đề tồn đọng IPSec 67 CHƯƠNG SO SÁNH MẠNG CĨ VÀ KHƠNG SỬ DỤNG KỸ THUẬT MẠNG RIÊNG ẢO VPN (CĨ MƠ PHỎNG) 69 3.1 Mơ hình khảo sát 69 3.2 Công cụ sử dụng 71 3.2.1 Máy phát TGN 71 3.2.2 Đánh giá chất lượng mạng NQR 72 3.3 Phân tích độ trễ, độ biến thiên trễ tổn thất gói tin 73 3.3.1 Mạng khơng cấu hình MPLS VPN 73 3.3.2 Mạng cấu hình MPLS VPN 74 3.3.3 Phân tích kết 74 3.4 Kết luận chương 77 TÀI LIỆU THAM KHẢO 80 ii DANH MỤC TỪ VIẾT TẮT VIẾT TẮT TIẾNG ANH TIẾNG VIỆT VPN Virtual Private Network Mạng riêng ảo IPSec Internet Protocol Security Bộ giao thức bảo vệ liệu internet NGN Next-Generation Network Mạng hệ PSTN Public Switched Telephone Network Mạng chuyển mạch thoại công cộng TDM Time Division Multiplexing Ghép kênh theo thời gian ATM Asynchronous Transfer Mode Chế độ truyền không đồng SDH Synchronous Digital Hierarchy Hệ thống phân cấp số đồng WDM Wavelength Division Multiplexing Ghép kênh quang theo bước sóng PDH Plesiochronous Digital Hierarchy Hệ thống phân cấp cận đồng CDMA Code Division Multiple Access Đa truy nhập phân chia theo mã LEO Low Earth Orbit Vệ tinh quỹ đạo thấp MEO Medium Earth Orbit Vệ tinh quỹ đạo trung bình DTH Direct To Home Dịch vụ truyền hình trả tiền ISDN Integrated Services Digital Mạng số tích hợp đa dịch vụ MPLS MultiProtocol Label Switching Chuyển mạch nhãn đa giao thức TGW Trunk Access Cổng trung kế truy nhập AGW Access Gateway Cổng truy nhập RGW Residental Gateway Cổng người dùng DWDM Dense Wavelength Division Multiplex Cơng nghệ ghép nhiều bước sóng sợi quang QoS Quality of Service Chất lượng dịch vụ PBX Private Branch Exchange Tổng đài nhánh riêng MGW Media Gateway Cổng phương tiện VoIP Voice Over Internet Protocol Thoại qua internet iii VIẾT TẮT TIẾNG ANH TIẾNG VIỆT DSP Digital Signal Processors Xử lý tín hiệu số RTP Real Time Protocol Giao thức truyền tải thời gian thực MGC Media Gateway Controller Bộ điều khiển SS7 Signaling System #7 Giao thức báo hiệu số MGCP Media Gateway Control Protocol Giao thức điều khiển cổng phương tiện SG Signaling Gateway Cổng báo hiệu SIP Session Initiation Protocol Giao thức khởi tạo phiên IETF Internet Engineering Task Force Nhóm đặc nhiệm kỹ thuật Internet LSR Label Switch Router Router chuyển mạch nhãn LSP Label Switch Path Đường chuyển mạch nhãn OSPF Open Shortest Path First Giao thức định tuyến động tìm đường ngắn BGP Border Gateway Protocol Giao thức cho giao tiếp định tuyến lớp biên RIP Routing Information Protocol Giao thức định tuyến tĩnh cho gói tin EIGRP Enhanced Interior Gateway Routing Protocol Giao thức định tuyến riêng cho thiết bị giao tiếp mạng Cisco RSVP Resource Resevation Protocol Giao thức dành riêng tài nguyên FIFO First in first out Hàng đợi vào trước trước FQ fair queuing Hàng đợi công bằng UDP User Datagram Protocol Giao thức liệu người dùng TCP Transmission Control Protocol Giao thức điều khiển truyền tin AS Autonomous System Hệ thống tự trị TGN Trafic Generator Máy phát lưu lượng NQR Network Quality Reporter Đánh giá chất lượng mạng iv DANH MỤC BẢNG BIỂU Bảng 1: Kết độ trễ, biến thiên trễ gói tin chưa có VPN 73 Bảng 2: Kết độ trễ, biến thiên trễ gói tin có L2TP VPN 74 Bảng 3: Kết độ trễ, biến thiên trễ gói tin có L3 VPN 75 v Encrypted Mạng riêng đựoc bảo vệ Clear text Digital Certification Mạng riêng bảo vệ Certificate Authority Internal Network Dữ liệu IKE Session Internal Network SA Internet A ` B LAN Authenticated Encryption Tunnel LAN Hình 31: Quá trình trao đổi thơng tin Trong ví dụ này, B muốn truyền thơng an tồn với A Khi gói liệu tới Router B, Router kiểm tra sách an ninh nhận gói cần bảo vệ Chính sách an ninh cấu hình trước cho biết Router A điểm cuối phía bên đường hầm IPSec Router B kiểm tra xem có IPSec SA thiết lập với Router A chưa, chưa yêu cầu trình IKE để thiết lập IPSec SA Nếu hai Router thoả thuận IPSec SA IPSec SA tạo tức thời Trong trường hợp, hai Router chưa thoả thuận IKE SA chúng phải thoả thuận IKE SA trước thoả thuận IPSec SA Trong trình này, hai Router trao đổi chứng thực số, chứng thực phải ký trước CA mà hai phía tin tưởng Khi phiên IKE thiết lập, hai Router thoả thuận IPSec SA Khi IPSec SA thiết lập, hai Router thống thuật toán mật mã (chẳng hạn DES), thuật toán xác thực (chẳng hạn MD5), khoá phiên sử dụng chung Tới đây, Router B mật mã gói tin B, đặt vào gói IPSec mới, sau gửi tới Router A Khi Router A nhận gói IPSec, tìm kiếm IPSec SA, xử lý gói theo yêu cầu, đưa dạng gói tin ban đầu chuyển tới A Quá trình phức tạp thực hoàn toàn suốt A B 2.6.6 Các vấn đề tồn đọng IPSec Mặc dù IPSec sẵn sàng đưa đặc tính cần thiết cho việc bảo mật VPN thơng qua mạng Internet cịn giai đoạn phát triển để hướng 67 tới hoàn thiện Tất gói sử lý theo IPSec làm tăng kích thước gói tin phải thêm vào tiêu đề IPSec làm cho thông lượng mạng giảm xuống Điều giải bằng cách nén liệu trước mã hóa, điều chưa chuẩn hóa - IKE cơng nghệ chưa chứng minh Phương thức chuyển khoá bằng tay lại khơng thích hợp cho mạng có số lượng lớn đối tượng di động - IPSec thiết kế để điều khiển lưu lượng IP mà - Việc tính tốn cho nhiều giải thuật IPSec cồn vấn đề trạm làm việc máy PC cũ - Việc phân phối phần cứng phần mềm mật mã bị hạn chế phủ số nước - Sử dụng IPSec chế độ đường hầm cho phép nút có địa IP khơng hợp lệ liên lạc với nút khác Nhưng chuyển xuống bảo mật mức Host địa phải quản lý cẩn thận cho nhận dạng 68 CHƯƠNG SO SÁNH MẠNG CĨ VÀ KHƠNG SỬ DỤNG KỸ THUẬT MẠNG RIÊNG ẢO VPN (CĨ MƠ PHỎNG) 3.1 Mơ hình khảo sát Để đánh giá hiệu kỹ thuật mạng riêng ảo VPN, phạm vi luận văn, sử dụng sơ đồ cấu trúc mạng sau SƠ ĐỒ ỨNG DỤNG CÁC KỸ THUẬT VPN TRONG MẠNG THỰC TẾ NHÀ CUNG CẤP DỊCH VỤ P1_R1 e0/1 e0/2 e0/0 PE1_R3 e0/2 PE2_R4 e0/0 OSPF AREA e0/1 e0/0 e0/2 e0/1 e0/0 OSPF AREA e0/1 e0/2 P2_R2 KHÁCH HÀNG SITE OSPF AREA GRE+IPsec e0/0 e0/0 L2TP CE1_R5 CE2_R6 Truyền hình IP Phone KHÁCH HÀNG SITE Truyền hình SW-1 SW-2 Máy tính IP Phone Máy tính Hình 1: Mơ hình mạng sử dụng Kỹ thuật mạng riêng ảo VPN Với sơ đồ trên, ta sử dụng 04 router đóng vai trị mạng chuyển mạch nhà cung cấp dịch vụ Trong đó: Các router P1, P2 router chuyển mạch lõi; hai router PE1 PE2 đóng vai trị thiết bị định tuyến lớp biên kết nối với router khách hàng Các thiết bị định tuyến mạng lưới sử dụng định tuyến động OSPF với vai trò giao thức định tuyến nội vùng, router P PE vùng OSPF (area 0), PE CE (CE1 CE2) vùng OSPF 1, (area 1, 2) Mạng chuyển mạch lõi cấu hình MPLS sẵn sàng triển khai VPN, QoS, TE cho phù hợp yêu cầu khách hàng Vùng liệu khách hàng gồm ba loại lưu lượng chính, 69 thường dùng Video, Voice Data Để đảm bảo tính bảo mật tồn vẹn đường truyền, hai site mạng khách hàng kết nối với qua đường VPN Cụ thể, mạng LAN hai site khách hàng khơng quảng bá ngồi (ra mơi trường Internet đơn giản mạng WAN router CE), router khách hàng tìm thấy mạng WAN Khi người quản trị mạng khách hàng thiết lập đường hầm ảo (tunnel) Sau đường hầm thiết lập hai router CE, người quản trị định tuyến truyền tải liệu site qua đường hầm Các gói tin truyền tải qua mạng nhà cung cấp dịch vụ mà đảm bảo tính bảo mật, tồn vẹn Triển khai kênh VPN theo hai phương án: - Triển khai 01 đường hầm GRE kết hợp mã hóa IPsec từ R5 tới R6, sử dụng giao thức: AH, DES, MD5, RSA, DH1 giao thức IPsec Ngoài để lọc liệu qua đường hầm bảo mật, em sử dụng ACL R5 R6 để lọc cho dải mạng LAN R5 R6 qua đường hầm Ipsec - Triển khai 01 đường hầm sử dụng giao thức L2TP, quảng bá dải mạng LAN R5 R6 qua kênh VPN Máy phát lưu lượng router đặc biệt sử dụng để kiểm tra chất lượng dịch vụ hệ thống thiết bị hãng Cisco Các máy phát lưu lượng sử dụng để tạo luồng liệu khác với giao thức khác TCP, UDP lưu lượng IP Máy phát lưu lượng tạo luồng dịch vụ thực tế thoại, video, web, truyền tập tin, lưu lượng quản lý mạng Nó tạo hay nhiều luồng truy cập thời điểm, từ mơ lại thời điểm bùng nổ lưu lượng truy cập gây tắc nghẽn mạng lưới Trong luận văn này, sử dụng máy phát để tạo luồng lưu lượng UDP ngẫu nhiên tăng dần tốc độ gói, luồng liệu đại diện cho lưu lượng mạng biến đổi thực tế Trong mơ hình mạng trên, sử dụng TGN để phát lưu lượng NQR sử dụng để đo lường độ trễ, biến thiên độ trễ tỷ lệ gói Cách thức tiến hành sử dụng TGN, NQR trình bày phần 70 Hình 2: Mơ hình mạng máy phát lưu lượng Các kết nối thiết bị đường Ethernet có tốc độ 10Mbps Chúng ta bổ sung thêm bốn máy phát lưu lượng TGN có nhiệm vụ tạo lưu lượng mạng khảo sát Các máy phát TGN phát luồng liệu có điểm đích router hướng truyền PE1-P1-P2-PE2 Máy đo NQR thay hai router CE1 CE2, có nhiệm vụ phát thu lại luồng liệu tạo ra, từ kiểm tra chất lượng dịch vụ đường hầm MPLS VPN Chúng ta thực đo ba trường hợp: Không sử dụng đường hầm VPN sử dụng VPN để chuyển tiếp lưu lượng NQR mạng chuyển mạch lõi theo hai phương án: L2TP GRE+IPsec 3.2 Công cụ sử dụng 3.2.1 Máy phát TGN TGN (Trafic Generator) hệ điều hành liên mạng (IOS) máy phát lưu lượng truy cập Cisco Nó sử dụng để tạo luồng lưu lượng khác Để tạo lưu lượng truy cập, TGN yêu cầu người dùng phải cung cấp địa lớp lớp mà thiết bị định tuyến mạng dùng để chuyển tiếp gói tin Ngồi ra, ta thay đổi cổng nguồn đích giao thức TCP/UDP cho luồng lưu lượng khác Trong luận văn này, tạo dòng lưu lượng từ máy phát TGN khác làm lưu lượng mạng Đây dòng lưu lượng liên tục có 71 chu kỳ q trình tạo gói tin Kích thước gói tin trì chiều dài 1000 byte cịn tải lưu lượng trì với gói liệu giây (PPs) Tốc độ PPs tăng dần từ 300 PPs đến 3000 PPs Kết thống kê thời điểm tốc độ bội 300 PPs Quá trình tăng PPs không diễn tự động mà khai báo lần Khi luồng lưu lượng IP dừng lại để cấu hình lại tốc độ gói khởi động lại để lấy kết Sau lệnh sử dụng máy phát lưu lượng Cisco TGN để tạo lưu lượng truy cập tảng TGN#tgn TGN(TGN:OFF,Vo0:none) #ethernet 0/0 TGN(TGN:OFF,Vo0:none) #add udp TGN(TGN:OFF,E0/0:1/1)#l2-src-addr xxxx.xxxx.xxxx TGN(TGN:OFF,E0/0:1/1)#l3-src-addr x.x.x.x TGN(TGN:OFF,E0/0:1/1)#l3-dest-addr x.x.x.x TGN(NQR:OFF,E0/0:1/1) #l4-dest-port random to 1023 TGN(TGN:OFF,E0/0:1/1)#rate 300 TGN(TGN:OFF,E0/0:1/1)#length 1000 TGN(TGN:OFF,E0/0:1/1)#START 3.2.2 Đánh giá chất lượng mạng NQR Thiết bị đánh giá chất lượng mạng NQR (Network Quality Reporter) hệ điều hành IOS đơn giản dựa công cụ TGN NQR sử dụng để đo lường chất lượng mạng bằng cách tạo lưu lượng truy cập Các tham số đo lường bao gồm độ trễ, biến thiên độ trễ tỷ lệ gói tin Một giao diện router sử dụng để truyền lưu lượng truy cập giao diện sử dụng để bắt lưu lượng truy cập NQR hỗ trợ giao thức UDP, TCP, ICMP, IP, IGMP Chúng ta tạo dòng lưu lượng UDP để lấy kết giao thức UDP sử dụng cho truyền tải lưu lượng âm video lớp vận chuyển Giá trị độ trễ, biến động trễ, tỷ lệ gói đo bước tăng lưu lượng truy cập (lưu lượng mà TGN phát trên) bội số 300 PPs Trong NQR, gói tin trì kích thước 100 byte tốc độ gói trì 125 PPs lưu lượng trở 72 lưu lượng Sau lệnh cấu hình để đo lường độ trễ, biến động trễ gói TGN#nqr TGN(NQR:OFF,Vo0:none)#add udp TGN(NQR:OFF,Vo0:1/1)#ethernet 0/0 TGN(NQR:OFF,E0/0:1/1) #ethernet 0/1 capture on TGN(NQR:OFF,E0/0:1/1) #l3-src-addr x.x.x.x TGN(NQR:OFF,E0/0:1/1) #l3-dest-addr x.x.x.x TGN(NQR:OFF,E0/0:1/1) #l4-dest-port random to 1023 TGN(NQR:OFF,E0/0:1/1) #rate 125 TGN(NQR:OFF,E0/0:1/1)#length 100 TGN(NQR:OFF,E0/0:1/1)#START 3.3 Phân tích độ trễ, độ biến thiên trễ tổn thất gói tin 3.3.1 Mạng khơng cấu hình MPLS VPN Trong trường hợp thứ nhất, khơng cấu hình VPN nên tồn gói tin định tuyến theo chặng R3→R1→R4, kể gói tin tạo máy đo NQR Kết độ trễ, biến thiên trễ, mát gói tin thể bảng sau: Bảng 1: Kết độ trễ, biến thiên trễ gói tin chưa có VPN PPS Delay Jitter Packet Loss 300 0.000362 0.000558 01/8042 400 0.000423 0.000562 02/8023 500 0.000512 0.000576 01/7945 600 0.000645 0.000570 03/8014 700 0.000690 0.000569 02/8035 800 0.000756 0.000582 04/8140 900 0.000820 0.000578 03/8125 1000 0.000882 0.000591 06/8090 73 3.3.2 Mạng cấu hình L2TP VPN Trong trường hợp thứ hai, sử dụng kỹ thuật L2TP VPN để tạo đường hầm cho phép gói tin tạo NQR qua Khi lưu lượng định tuyến theo chặng R3→R1→R4 Chúng ta có kết đo sau: Bảng 2: Kết độ trễ, biến thiên trễ gói tin có L2TP VPN PPS Delay Jitter Packet Loss 300 0.000362 0.000558 01/8042 400 0.000916 0.000934 45/8039 500 0.001452 0.001444 64/7912 600 0.001609 0.001892 104/8214 700 0.001965 0.002386 195/8135 800 0.002251 0.002590 235/8142 900 0.002519 0.002701 268/8226 1000 0.002748 0.003018 329/8138 3.3.3 Mạng cấu hình L3 VPN (GRE over IPSec) kết hợp QoS Trong trường hợp thứ ba, sử dụng kỹ thuật L3 VPN (GRE over IPSec) để tạo mạng riêng cho phép gói tin tạo NQR qua áp dụng kỹ thuật QoS DiffServ để ưu tiên lưu lượng từ CE Khi lưu lượng định tuyến theo chặng R3→R1→R4, lưu lượng NQR đường hầm GRE lưu lượng mã hóa/giải mã router CE Chúng ta có kết đo sau: 74 Bảng 3: Kết độ trễ, biến thiên trễ gói tin có L3 VPN PPS Delay Jitter Packet Loss 300 0.000362 0.000558 01/8042 400 0.000734 0.000834 50/8023 500 0.000912 0.000945 56/7945 600 0.001205 0.001138 78/8014 700 0.001410 0.001375 156/8035 800 0.001458 0.001598 187/8144 900 0.00152 0.001708 190/8094 1000 0.001595 0.001828 245/8143 3.3.4 Phân tích kết Để phân tích kết quả, tập hợp giá trị độ trễ, biến thiên độ trễ, gói từ trường hợp tiến hành so sánh để rút nhận xét * Độ trễ: So sánh Delay 0.0028 Giây 0.0023 0.0018 0.0013 0.0008 0.0003 300 400 500 600 700 800 900 1000 PPS Khơng VPN GRE+IPsec L2TP Hình 3: Biểu đồ so sánh độ trễ (Delay) 75 Từ biểu đồ trên, ta rút nhận xét sau: - Đối với trường hợp khơng cấu hình VPN: Lưu lượng từ máy phát TGN chưa chiếm hết băng thông kết nối mạng, độ trễ gói tin khơng đáng kể - Đối với trường hợp có cấu hình L2TP VPN: độ trễ gói tin tăng dần Do liệu đóng gói đường hầm lớp giải đóng gói phía bên nhận - Đối với trường hợp có cấu hình L3 VPN: ta dễ dàng nhận thấy độ trễ gói tin cải thiện Dữ liệu đóng gói đường hầm lớp 3, mã hóa giải mã phía bên nhận Triển khai L3VPN làm tăng thời gian xử lý router phải tập trung tài nguyên CPU để xử lý gói tin, kết hợp với DiffServ để ưu tiên lưu lượng chất lượng nâng cao rõ rệt * Biến thiên trễ So sánh Jitter 0.004 0.0035 0.003 Giây 0.0025 0.002 0.0015 0.001 0.0005 300 400 Không VPN 500 600 700 800 PPS GRE+IPsec 900 1000 L2TP Hình 4: Biểu đồ so sánh biến thiên trễ (Jitter) Với giá trị biến thiên độ trễ, có mơ hình kết tương tự với giá trị độ trễ Với trường hợp không sử dụng VPN, giá trị jitter gần khơng đổi Cịn với trường hợp cấu hình VPN, giá trị biến thiên độ trễ bị ảnh hưởng giao thức VPN sử dụng Khi lưu lượng đường truyền tăng, đồng thời router 76 phải xử lý gói tin với tốc độ cao Khi tới ngưỡng vượt qua khả xử lý router giá trị tăng mạnh trì mức cao * Tổn thất gói tin 0.045000 0.040000 0.035000 Tỉ lệ gói 0.030000 0.025000 0.020000 0.015000 0.010000 0.005000 0.000000 300 400 500 Không VPN 600 700 800 GRE+IPsec 900 1000 L2TP Hình 5: Biểu đồ so sánh tổn thất gói Từ bảng kết sơ đồ trên, ta thấy khơng sử dụng VPN, tỷ lệ rớt gói gần bằng 0, cịn với sử dụng VPN, tỷ lệ rớt gói đáng kể, đặc biệt triển khai giao thức L2 VPN: lưu lượng tăng tỉ lệ gói lớn 3.4 Kết luận chương Từ số liệu thu độ trễ, biến thiên độ trễ, tổn thất gói tin, thấy rằng với mơ hình mạng thơng thường, tăng tốc độ phát lưu lượng (tăng giá trị băng thông cổng) giá trị gần khơng tăng Với mạng triển khai VPN, tốc độ phát lưu lượng tăng độ trễ, biến thiên trễ, tổn thất gói tin tăng, đặc biệt trường hợp triển khai L3VPN Các kỹ thuật VPN có ý nghĩa vơ thiết thực người quản trị mạng lưới nhà cung cấp dịch vụ Ta liệt kê nhiều trường hợp cần khai báo kỹ thuật trên, ví dụ như: + Các liệu giám sát an ninh đường biển, đường không, đường biên giới 77 + Kết nối hai site khách hàng doanh nghiệp mà có u cầu cao tính bảo mật riêng tư + Kết nối hai site khách hàng ngân hàng thương mại Truyền tải liệu chi nhánh ngân hàng cần độ bảo mật cao, kịp thời toàn vẹn để giao dịch thực ngân hàng khách hàng họ nhanh chóng xác Đây yêu cầu tiên cho uy tín ngân hàng + Hay đơn giản đáp ứng tiêu kỹ thuật khách hàng thuê dịch vụ mạng riêng nhà cung cấp Tuy nhiên, vai trò người quản trị mạng nhà cung cấp, cần nhận thấy rõ ưu nhược điểm sử dụng VPN Nếu băng thông đường truyền, tốc độ xử lý thiết bị không đáp ứng đủ nhu cầu truyền tải dễ xảy trễ lớn tổn thất gói tin, làm thất liệu khách hàng Chính điều khiến nhà mạng phải cân đối nhu cầu khách hàng với khả truyền tải hạ tầng để đảm bảo chất lượng dịch vụ Và thực tế, ISP thường triển khai kỹ thuật QoS kèm với VPN để nâng cao chất lượng dịch vụ, mang lại trải nghiệm tốt cho khách hang KẾT LUẬN Các kết đề tài luận văn: - Đưa nhìn tổng quan kiến trúc mạng VPN, giao thức VPN lớp 2, VPN lớp sử dụng chuyển tải, bảo mật thông tin mạng VPN môi trường mạng internet mạng công cộng khác - Xây dựng kiến trúc mạng VNP mã hoá, bảo mật sở kết hợp giao thức định tuyến lớp với giao thức bảo mật IPSEC Đồng thời giả lập, mô ảnh hưởng giao thức VPN lớp 2, lớp đến độ trễ, biến thiên trễ, tổn thất gói tin từ đưa khuyến cáo người quản trị mạng ISP - Hệ thống mô tạo tải liệu mô dạng liệu truyền qua mạng VPN Video, audio, text…và thực phát liệu với số lượng tin tăng dần đến ngưỡng để đánh giá xác ảnh hưởng giao thức VPN lớp lớp đến tin liệu điều khiển, từ đánh giá 78 hiệu việc kết hợp giao thức định tuyến, truyền tải bảo mật mạng VPN thông môi trường internet mạng công cộng khác Hướng phát triển đề tài: Thử nghiệm mơ hình với liệu thu thập từ thực tế chứa nhiều loại tin với mục đích sử dụng khác để đánh giá hiệu mạng VPN Đồng thời, cải tiến, nâng cấp module phần mềm tích hợp điều khiển mạng để tăng tốc độ xử lý gói tin nhà cung cấp dịch vụ ISP, giảm thời gian đáp ứng hệ thống, tối ưu hóa hiệu hệ thống, cung cấp hệ thống an toàn tin cậy 79 TÀI LIỆU THAM KHẢO [1] Luc De Ghein, MPLS Fundamentals, Cisco Press, 2006 The Fundamentals Series from Cisco Press launches the basis to readers for understanding the purpose, application, and management of technologies MPLS has emerged as the new networking layer for service providers throughout the world For many service providers and enterprises MPLS is a way of delivering new applications on their IP networks, while consolidating data and voice networks MPLS has grown to be the new default network layer for service providers and is finding its way into enterprise networks as well This book focuses on the building blocks of MPLS (architecture, forwarding packets, LDP, MPLS and QoS, CEF, etc.) This book also reviews the different MPLS applications (MPLS VPN, MPLS Traffic Engineering, Carrying IPv6 over MPLS, AToM, VPLS, MPLS OAM etc) [2] Santiago Alvarez, QoS for IP/MPLS Networks, Cisco Press, 2006 Understand IP QoS architectures and how they apply to MPLS, Take a detailed look at traffic management using policing, shaping, scheduling, and active queue management Study Cisco QoS behavioral model and the modular QoS command-line interface (MQC); Learn the operation of MPLS TE with its DiffServ extensions and applicability as a traffic-protection alternative;Find multiple configuration and verification examples illustrating the implementation of MPLS TE, DS-TE, and FRR [3] Azhar Shannir Khan & Bilal Afzal, MPLS VPNs with DiffServ-A QoS Performance study, Halmstad University, 2011 MPLS (Multiprotocol Label Switching) VPNs (Virtual private network) are new alternatives to private WANs (Wide area network) They are gaining popularity in industry day by day [4] Lancy Lobo & Umesh Lakshman, Cisco-MPLS Configuration on Cisco IOS Software, Cisco Press, 2005 MPLS Configuration on Cisco IOS Software is a complete and detailed resource to the configuration of Multiprotocol Label Switching (MPLS) networks and associated features Through its practical, hands-on approach, you'll become familiar with MPLS technologies and their configurations using Cisco IOS® Software [5] Nichols, Definition of the Differentiated Services (DS Field) in the IPv4 and IPv6 headers, RFC2474, 1998 Definition of the Differentiated Services Field (DS Field) in the IPv4 and IPv6 Headers defines the Internet Protocol (IP) header field, called the DS (for differentiated services) field In IPv4, it defines the layout of the Terms of Service (TOS) octet; in IPv6, the Traffic Class octet [6] Le Faucheur & L.Wu & S Davari & P Vaananen & R Krishnan & P Cheval & J.heinanen Multi-Protocol Label Switching (MPLS) Support of Differentiated Services, RFC 3270, 2002 [7] V Jacobson & K Nichols & Cisco Systems & K Poduri & Bay Networks & An Expedited Forwarding PHB, www.ietf.org, 1999 The definition of PHBs (per- 80 hop forwarding behaviors) is a critical part of the work of the Diffserv Working Group This document describes a PHB called Expedited Forwarding We show the generality of this PHB by noting that it can be produced by more than one mechanism and give an example of its use to produce at least one service, a Virtual Leased Line A recommended codepoint for this PHB is given [8] S T Zargar, U o P P P U Telecommun & Networking Program, J Joshi and D Tipper, "A Survey of Defense Mechanisms Against Distributed Denial of Service (DDoS) Flooding Attacks," in IEEE Communications Surveys & Tutorials, 2013 [9] I Ahmad, S Namal, M Ylianttila, and A Gurtov, “Security in software defined networks: a survey” IEEE Communications Surveys & Tutorials, vol 17, no.4, pp 2317–2346, 2015 81 ... quan Kỹ thuật mạng riêng ảo (VPN) Chương 2: Các Kỹ thuật giao thức mạng riêng ảo lớp lớp Chương 3: So sánh mạng có khơng sử dụng Kỹ thuật mạng riêng ảo VPN MỤC LỤC CHƯƠNG TỔNG QUAN VỀ KỸ THUẬT MẠNG... trò quan trọng tổ chức Mạng lưới công ty Mạng lưới nhà cung cấp Nhà cung cấp Mạng lưới nhà cung cấp Nhà cung cấp Mạng lưới nhà cung cấp Nhà cung cấp Hình 9: Thiết lập mạng Extranet theo truyền... luận văn ? ?Nghiên cứu kỹ thuật mạng riêng ảo lớp 2, lớp ứng dụng nhà cung cấp dịch vụ? ?? Kết hợp với nghiên cứu lý thuyết, sử dụng phần mềm hỗ trợ mô IOS On Linux (IOU) để mô lại trình mạng hoạt động