HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - QUÁCH NHƯ THẾ NGHIÊN CỨU BẢO MẬT MẠNG RIÊNG ẢO TRÊN CÔNG NGHỆ CHUYỂN MẠCH NHÃN ĐA GIAO THỨC Chuyên ngành: Truyền liệu mạng máy tính Mã số: 60.48.15 TĨM TẮT LUẬN VĂN THẠC SĨ KỸ THUẬT NGƯỜI HƯỚNG DẪN KHOA HỌC : PGS.TS NGUYỄN VĂN TAM HÀ NỘI – 2012 M U M ng VPN m t nh ng ng d ng r t quan tr ng m ng MPLS MPLS VPN ã ơn gi n hóa q trình t o “ ng h m” m ng riêng o b ng ch gán nhãn gói tin (Lable) thi t b m ng nhà cung c p Thay ph i t thi t l p, qu n tr , u tư nh ng thi t b t ti n, MPLS VPN s giúp doanh nghi p giao trách nhi m cho nhà cung c p – ơn v có y l c, thi t b công ngh b o m t t t cho m ng c a doanh nghi p Lu n văn “ Nghiên c u b o m t m ng riêng o công ngh chuy n m ch nhãn a giao th c” ã nghiên c u VPN m ng MPLS có k t h p v i IPSEC mô ph ng Lu n văn c chia làm chương: Chương I: T ng quan v m ng riêng o Chương II: Gi i pháp b o m t VPN n n MPLS Chương III: Mô ph ng CHƯƠNG I: T NG QUAN V M NG RIÊNG O T ng quan v m ng riêng o 1.1 Gi i thi u v m ng riêng o Khái ni m m ng riêng o M ng riêng o phương pháp làm cho m t m ng công c ng ho t ng m t m ng c c b k t h p v i gi i pháp b o m t ng truy n VPN cho phép thành l p k t n i riêng v i ngư i dùng ty xa, văn phòng chi nhánh c a công i tác c a công ty ang s d ng chung m t m ng công c ng VPN = nh ng h m + b o m t + tho thu n QoS 1.2 Ưu c i m c a VPN Ưu i m: Gi m chi phí ng truy n Gi m chi phí u tư Gi m chi phí qu n lý h tr Truy c p m i lúc m i nơi C i thi n k t n i An toàn giao d ch Hi u qu v băng thông Enhanced scalability Như c i m: Ph thu c môi trư ng Internet Thi u s h tr cho m t s giao th c k th a 1.3 Phân lo i m ng mơ hình VPN Các lo i m ng VPN Remote access VPN Intranet VPN Extranet VPN 1.4 Các thành ph n m ng VPN 1.4.1 M ng khách hàng (Customer Network) G m router t i site khách hàng khác Các router k t n i site cá nhân v i m ng c a nhà cung c p d ch v c g i router biên phía khách hàng (CE- Customer Edge) 1.4.2 M ng nhà cung c p (Provider Network) c dùng cung c p k t n i point-to-point qua h t ng m ng c a nhà cung c p d ch v Các thi t b c a nhà cung c p d ch v mà n i tr c ti p v i CE router c g i router biên phía nhà cung c p (PE-Provider Edge) M ng c a nhà cung c p cịn có thi t b dùng chuy n ti p d li u m ng tr c (SP backbone) c g i router nhà cung c p (P- Provider) VPN có th chia thành hai lo i mơ hình: Overlay Peer-to-Peer 4 17 1.5 Các giao th c t o ng h m VPN 1.5.1 Giao th c PPTP(Point-To-Point Tunning K T LU N Protocol) Giao th c PPTP (Point-to-Point Tunneling Protocol giao th c t o ng h m i m n i i m) ban tri n c thi t k gi i quy t v n u c phát trì ng h m VPN m ng public d a vào TCP/IP b ng cách s d ng PPP PPTP k t qu c a s n l c chung c a Microsoft m t lo t nhà cung c p s n ph m bao g m ch ng h n Ascend Communications, 3Com/Primary Access, ECI 1.5.2 Giao th c L2TP (Layer Tunneling Protocol) Giao th c L2TP s d ng hai lo i thông i p, thông i p i p d li u (Data Message) Thông i p i u n c s d ng vi c thi t l p trì ng ng Thơng i p d li u c s d ng óng gói PPP frame chuy n qua ng ng 1.5.3 Giao th c IPSec (IP Security Protocol) IPSec m t giao th c b o m t tích h p v i t ng IP, cung c p d ch v b o m t mã hóa linh ho t Nh ng d ch v 1.5.3.1 Ch ng th c ngu n g c d li u/Tính tồn v n d li u phi k t n i quan tr ng m ng MPLS Các công ty, doanh nghi p c bi t công ty a qu c gia có nhu c u r t l n v lo i hình d ch v V i VPN h hồn tồn có th s d ng d ch v vi n thông, truy n s li u n i b v i chi phí th p, an ninh b o m ây m t ng d ng r t quan tr ng áp ng yêu c u c a m ng riêng s d ng h t ng s thông tin qu c gia v i nh ng yêu c u khác v Telematics, U.S Robotics i u n (Control Message) thông M ng riêng o VPN m t nh ng ng d ng r t an toàn, b o m t ch t lư ng d ch v Bên c nh ó vi c nghiên c u công ngh b o m t MPLS VPN, n i b t hi n s d ng IPSec Sau nghiên c u tài ã t ng k t c v n sau: T ng quan VPN: Gi i thi u t ng quan VPN Gi i pháp b o m t VPN n n MPLS, tìm hi u IPsec MPLS Tìm hi u ph n m m mơ ph ng GNS b o m t MPLS VPN mô ph ng v n 16 CHƯƠNG III: MÔ PH NG 1.5.3.2 B o v ch ng replay 1.5.3.3 B o m t 3.1 Th c hi n MPLS VPN, IPSEC 3.1.1 Sơ 1.5.3.4 Encapsulating Security Payload (ESP) m ng – c u hình interface b n 1.5.3.5 Tiêu ch ng th c (AH) 1.5.3.6 Trao i khóa Internet (IKE) 1.5.3.7 Ch v n hành 1.5.3.8 Ch Tunnel CHƯƠNG II: GI I PHÁP B O M T VPN TRÊN N N MPLS 2.1 Công ngh chuy n m ch MPLS 2.1.1 T ng quan v MPLS MPLS m t công ngh k t h p gi a c i m t t nh t nh n l p ba chuy n m ch l p hai cho phép chuy n t i gói r t nhanh m ng lõi (core) 3.1.2 Yêu c u: T o MPLS core Th c hi n MPLS VPN , IPSEC cho hai khách hàng CE1và CE2 nh n t t m ng biên (edge) b ng cách d a vào nhãn (label) c i m m ng MPLS: - Khơng có MPLS API, khơng có thành ph n giao th c phía host - MPLS ch n m router - MPLS giao th c c l p nên có th ho t ng v i giao th c khác IP IPX, ATM, Frame Relay,… - MPLS giúp ơn gi n hố q trình làm tăng tính linh ng c a t ng trung gian nh n Phương th c ho t Thay th ch 15 ng: nh n l p ba b ng ch chuy n m ch l p hai MPLS ho t ng lõi c a m ng IP Các Router lõi ph i enable MPLS t ng giao ti p Nhãn c g n thêm vào gói IP gói i vào m ng MPLS Nhãn c tách gói kh i m ng MPLS Nhãn (Label) c chèn vào gi a header l p ba header l p hai S d ng nhãn q trình g i gói sau ã thi t l p ng i IPsec tĩnh: mơ hình này, m i nút IPsec c c u hình tĩnh v i t t c IPsec ng c p c a nó, thơng tin nh n th c sách b o m t IPsec tĩnh c mô t RFC 2401, 2412 Nó có th c áp d ng CE-CE PE-PE IPsec ng: môi trư ng hub- và-spoke, hub có th c c u hình mà khơng c n thông tin spoke bi t cách c i m c a spoke; ch n c hub, m t ng h m IPsec i nhãn (Label c thi t l p ch spoke có th xác th c c Swapping) M t nh ng th m nh c a ki n trúc MPLS IPsec truy c p t xa s d ng ý tư ng tương t , xác th c t thư ng c th c hi n máy ch AAA IPsec MPLS t p trung vào q trình hốn nh nghĩa ch ng nhãn (Label Stack) c s d ng cho CE-CE PE-PE 2.1.2 C u trúc c a nút MPLS M t nút c a MPLS có hai m t ph ng: m t ph ng chuy n ti p MPLS m t ph ng MPLS có th th c hi n i u n MPLS Nút nh n l p ba ho c chuy n m ch l p hai 2.1.2.1 M t ph ng chuy n ti p (Forwarding plane): M t ph ng chuy n ti p có trách nhi m chuy n ti p gói d a giá tr ch a nhãn M t ph ng chuy n ti p s d ng m t s thông tin chuy n ti p nhãn LFIB ti p gói chuy n ng có th 14 tương t b o m t d th c thi nhi u, c bi t i v i khách hàng 2.1.2.2 M t ph ng i u n (Control Plane): Ngo i tr trư ng h p c bi t, IPsec PE-PE hi n t i không c s d ng nhi u lí b o m t Rõ ràng khơng m t gi i pháp t ng th cho b o m t VPN Trong trư ng h p nên s d ng IPsec CE-CE lưu tr LFIB T t c nút MPLS ph i ch y m t giao th c M t ph ng i u n MPLS ch u trách nhi m t o nh n IP trao i thông tin nh n IP v i nút MPLS khác m ng Các mô un i u n MPLS g m: xa vào m t m ng MPLS VPN ng h m IPsec t ngư i dùng t xa c k t thúc b nh n PE, d a s nh n d ng c a ngư i dùng, c ánh x vào VPN Do ó, b nh n PE th c hi n y nhi m v : i m cu i truy c p t xa IPsec PE MPLS Trong ng d ng này, IPsec ph c v ch y u m t phương pháp truy c p an toàn vào VPN c a ngư i dùng, i m truy c p không dây cơng c ng hay mang internet • nh n Unicast (Unicast Routing) • 2.3.2.3 IPsec truy c p t nh n Multicast (Multicast Routing) • K thu t lưu lư ng (Traffic Engineer) • M ng riêng o (VPN – Virtual private Network) • Ch t lư ng d ch v (QoS – Quality of Service) 2.1.3 Các ph n t c a MPLS 2.1.3.1 LSR (label switch Router) Có lo i LSR m ng MPLS: o Ingress LSR – LSR vào nh n gói chưa có nhãn, chèn nhãn (ngăn x p) vào trư c gói truy n i ng k t n i d li u 2.3.3 IPsec MPLS Các mơ hình ã xem xét ph n trư c mô t o Egress LSR – LSR nh n gói c gán nhãn, ng h m IPsec ã c thi t l p (ví d PE-PE), khơng tách nhãn truy n chúng ng k t n i d li u LSR xem xét cách th c thi t l p ng h m, vi c xem xét thi t k th tri n khai m ng IPsec Các l a ch n ng h m IPsec: thi t l p LSR vào LSR biên o LSR trung gian (intermediate LSR) – LSR trung gian s nh n gói có nhãn t i, th c hi n thao tác nó, chuy n m ch gói truy n gói n ng 13 2.3.2 V trí i m k t thúc c a IPsec k t n i d li u úng 2.1.3.2 LSP (label switch Path) Trong m t môi trư ng MPLS VPN, IPsec có th ng chuy n m ch nhãn m t t p h p LSR s d ng t i i m khác c a m ng: mà chuy n m ch m t gói có nhãn qua m ng MPLS ho c Gi a b nh n CE c a VPN Gi a m t i m VPN PE Gi a b nh n PE lõi MPLS VPN m t ph n c a m ng MPLS V b n, LSP m t ng d n qua m ng MPLS ho c m t ph n m ng mà gói i qua LSR u tiên c a LSP m t LSR vào, ngư c l i LSR cu i c a LSP m t LSR 2.1.3.3 FEC (Forwarding Equivalence Class) L p chuy n ti p tương ương (FEC) m t nhóm ho c c 2.3.2.1 CE-CE IPsec N u IPsec c s d ng gi a CE, toàn b ng d n gi a CE c b o m t ng truy c p (gi a CE PE), toàn b lõi MPLS bao g m PE, P ng d n lu ng gói c chuy n ti p d c theo m t n c x lý theo m t cách chuy n ti p T t c gói thu c m t FEC s có nhãn gi ng Tuy nhiên, khơng ph i t t c gói có nhãn u thu c m t IPsec CE-CE không b o v ch ng l i m i e d a sau ây: T n công t ch i d ch v (DoS) Các m i e d a khu v c tin c y FEC, b i giá tr EXP c a chúng có th khác nhau; phương th c chuy n ti p khác có th ph thu c vào FEC khác 2.1.4 Các giao th c s d ng MPLS 2.1.4.1 Phân ph i nhãn • • • • Phân ph i nhãn v i LDP Các tính ch t b n c a giao th c phân ph i nhãn LDP Th t c phát hi n LSR lân c n Giao th c truy n t i tin c y Nhìn chung, CE-CE IPsec cung c p m t phương ti n lý tư ng m b o m t MPLS VPN vư t tiêu chu n an ninh c a m ng MPLS ây k thu t c a s l a ch n cho vi c cung c p an ninh b sung, ch ng h n mã hóa lưu lư ng truy c p n m t MPLS VPN 2.3.2.2 PE-PE IPsec Thư ng, PE-PE IPsec c xem m t cách tránh khách hàng VPN ph i thi t l p CE d a IPsec M t vài v trí tư v n m t c u trúc 12 2.3.1.1 T ng quan IPsec • • IPsec m t k thu t cung c p d ch v b o m t qua Các b n tin LDP Các ch phân ph i nhãn 2.1.4.2 Giao th c m ng IP: 2.2 Tính b o m t thơng qua s d ng mã hóa t trư c tài nguyên ng d ng VPN m ng MPLS 2.2.1 Gi i thi u v MPLS VNP Tính xác th c thông qua vi c s d ng xác th c 2.2.4 Các b ng c p xác th c thơng i p Tính tồn v n thông qua vi c s d ng ki m tra tồn v n thơng i p nh n o MPLS M tb nh n o m t t p ch c năng, c tĩnh ng thi t b nh n, cung c p d ch v nh n g i chuy n ti p gi ng b nh n v t lý Ch ng l i vi c phát l i, b ng cách s d ng chu i s ã c xác th c Các m b o tính m i m c a thơng c tính mà b nh n o c n có là: C u hình c a b t c s k t h p gi a giao i p M t nh ng l i ích quan tr ng c a IPsec d ch v b o m t t t c c áp d ng l p (l p m ng) gi ng v i IP B ng cách này, d ch v b o m t v n c l p v i ch v n chuy n ưu tiên giao th c ng d ng c dùng l p c a ngăn x p Khi thi t k m t m ng dùng IPsec, c n xem xét v n : V trí ng h m IPsec nên c áp d ng Cách th c thi t l p ng h m IPsec gi i quy t v n có nhi u cách Trư c h t, ta s xét v trí i m cu i IPsec; sau ó cách ng h m c thi t l p gi a v trí th c nh n Giám sát m ng X lý s c 2.2.3 Ki n trúc MPLS VPN 2.2.3.1 G i chuy n ti p MPLS VPN a) G i chuy n ti p cung c p vi c g i chuy n ti p gói tin IP d c theo b nh n ngư i ta s d ng MPLS Lý mà MPLS giúp làm c i u tách riêng thông tin s d ng cho vi c g i chuy n ti p gói tin v i thông tin mang tiêu IP Do v y, có th k t h p LSP v i b nh n VPN-IP sau ó g i chuy n ti p gói tin IP d c theo nh ng b nh n ó s d ng MPLS óng vai trị ch g i chuy n ti p 10 11 b) G i chuy n ti p MPLS VPN 2.2.3.3 DiffSer MPLS VPN LSP riêng Vi c c u hình LSP riêng cho VPN cho phép SP LSP c coi tuỳ ch n s VPN cung c p DiffSer dành cho khách hàng Nh ng LSP riêng c k t h p v i b t c l p QoS L2 có s n ho c LSP thư ng k t h p v i vi c d tr trư c băng thơng có th v i d ch v khác riêng bi t ho c l p QoS N u LSP v i i m mã d ch v Trong m t VPN, nhi u LSP riêng v i s n sàng, c s d ng cho d li u ngư i s d ng l p d ch v khác có th cho vi c g i chuy n ti p d li u i u n cá nhân VPN tin lu ng cho vi c s p x p gói tin LSP này, v i kh thay LSP công c ng Các gói tin VPN c g i chuy n ti p s d ng LSP n u LSP riêng v i băng thông xác nh c tính QoS ho c khơng c c u hình ho c hi n t i khơng s n sàng LSP c s d ng m t LSP c tính trư c cho b VPN0 VPNID tiêu nh n l i chèn thêm c s d ng phân gói d li u t VPN khác t i b nh n l i c c u hình v i thơng i kích thư c b c tính nh n o, cho phép SP cung c p d ch v hoàn toàn khác t i khách hàng VPN 2.3 MPLS VPN k t h p IPSEC 2.3.1 IPSEC MPLS VPN Ngày m ng MPLS VPN IPsec VPN ã c tri n khai r ng, cho th y r ng c hai u có nh ng l i ích riêng Các l i ích c a MPLS VPN ch y u bên phía nhà cung 2.2.3.2 Nh n bi t ng b nh n lân c n c p d ch v k thu t cho phép ki n trúc VPN có kh MPLS VPN m r ng cao có tích h p h tr QoS Và khách hàng Các VR m t VPN cho trư c thu c v m t s SPED m ng Nh ng VR c n ph i nh n bi t v VR khác ph i c k t n i v i VR khác M t cách th c hi n i u yêu c u thi t l p c u hình c a VR lân c n VPN có l i ích gián ti p nh vi c cung c p d ch v VPN có giá c th p Trong ó, IPsec VPN có l i ích b o m t m ng khách hàng: d li u c mã hóa, ch ng th c tính tồn v n  ... cung c p – ơn v có y l c, thi t b công ngh b o m t t t cho m ng c a doanh nghi p Lu n văn “ Nghiên c u b o m t m ng riêng o công ngh chuy n m ch nhãn a giao th c” ã nghiên c u VPN m ng MPLS có k... ng riêng o Chương II: Gi i pháp b o m t VPN n n MPLS Chương III: Mô ph ng CHƯƠNG I: T NG QUAN V M NG RIÊNG O T ng quan v m ng riêng o 1.1 Gi i thi u v m ng riêng o Khái ni m m ng riêng o M ng riêng. .. FEC khác 2.1.4 Các giao th c s d ng MPLS 2.1.4.1 Phân ph i nhãn • • • • Phân ph i nhãn v i LDP Các tính ch t b n c a giao th c phân ph i nhãn LDP Th t c phát hi n LSR lân c n Giao th c truy n t