Công nghệ mạng riêng ảo Giới thiệu Các giao Mạng riêng Mạng riêng chung mạng riêng ảo VPN thức đường hầm L2 ảo IPsec ảo MPLS Người trình bày: Nguyễn Tiến Ban Khoa Viễn thông Học viện Công nghệ BCVT 1 Giới thiệu chung VPN Hai loại VPN: - Kiểu tin cậy (Trusted VPN) - Kiểu an toàn (Secure VPN) Khái niệm chung VPN Mạng riêng (LAN) Mạng riêng (LAN) Đường hầm Internet Tính xác thực Mơ hình VPN an tồn Tính tồn vẹn Tính bảo mật Giới thiệu chung VPN Ưu nhược điểm VPN Tiết kiệm chi phí (giảm chi phí đầu tư chi phí thường xuyên) Tính linh hoạt (mềm dẻo yêu cầu ) Khả mở rộng ( sở hạ tầng mạng công cộng ) Giảm thiểu hỗ trợ kỹ thuật (Việc chuẩn hoá kết nối ) Giảm thiểu yêu cầu thiết bị Đáp ứng nhu cầu thương mại Sự rủi ro an ninh Độ tin cậy thực thi Vấn đề lựa chọn giao thức Các mơ hình VPN Dựa khách hàng (Customer-based) - chồng lấn (overlay); - cấu hình thiết bị khách hàng sử dụng giao thức đường hầm xuyên qua mạng công cộng; - Nhà cung cấp dịch vụ bán mạch ảo site khách hàng đường kết nối thuê riêng Dựa mạng (Network-based) - ngang cấp (peer-to-peer); - cấu hình thiết bị nhà cung cấp dịch vụ quản lý nhà cung cấp dịch vụ; - Nhà cung cấp dịch vụ khách hàng trao đổi thơng tin định tuyến lớp 3, sau nhà cung cấp đặt liệu từ site khách hàng vào đường tối ưu mà khơng cần có tham gia khách hàng Phân loại VPN VPN truy nhập từ xa (Remote Access VPN) VPN cục (Intranet VPN) VPN mở rộng (Extranet VPN) VPN truy nhập từ xa Mô hình DSL cable POP Internet POP Mobile Extranet Khách hàng, đối tác VPN truy nhập từ xa  Ưu điểm – Không cần hỗ trợ nhân viên mạng trình kết nối từ xa ISP thực hiện; – Giảm chi phí cho kết nối từ khoảng cách xa thay kết nối cục thông qua mạng Internet; – Cung cấp dịch vụ kết nối giá rẻ cho người sử dụng xa; – Do kết nối truy nhập nội nên modem hoạt động tốc độ cao so với cách truy nhập khoảng cách xa; – Cung cấp khả truy nhập tốt đến site công ty  Nhược điểm – Không hỗ trợ dịch vụ đảm bảo QoS; – Nguy bị liệu cao; – Do thuật toán mã hoá phức tạp nên tiêu đề giao thức tăng cách đáng kể VPN cục Mơ hình Central site Remote site POP Internet PIX Firewall Văn phòng trung tâm Văn phòng xa VPN cục  Ưu điểm – Các mạng cục hay diện rộng thiết lập thơng qua hay nhiều nhà cung cấp dịch vụ; – Giảm số nhân viên kỹ thuật hỗ trợ mạng nơi xa; – Do kết nối trung gian thực thơng qua Internet, nên dễ dàng thiết lập thêm liên kết ngang hàng mới; – Tiết kiệm chi phí từ việc sử dụng đường hầm VPN thông qua Internet kết hợp với công nghệ chuyển mạch tốc độ cao  Nhược điểm – Mối đe dọa mức độ bảo mật liệu chất lượng dịch vụ (QoS); – Khả gói liệu bị truyền dẫn cao; – Thách thức việc cần truyền khối lượng lớn liệu đa phương tiện với yêu cầu tốc độ cao đảm bảo thời gian thực VPN mở rộng Mơ hình Central site Remote site DSL DSL cable POP Internet or Router PIX Firewall Extranet Văn phòng Intranet xa Business-to-business Văn phòng trung tâm 10 Mạng riêng ảo MPLS Giới thiệu Các giao Mạng riêng Mạng riêng chung mạng riêng ảo VPN thức đường hầm L2 ảo IPsec ảo MPLS 44 Mạng riêng ảo MPLS Các thành phần MPLS-VPN 45 Mạng riêng ảo MPLS Bộ định tuyến PE sơ đồ kết nối site khách hàng 46 Mạng riêng ảo MPLS Mơ hình MPLS L3VPN 47 Mạng riêng ảo MPLS Mơ hình MPLS L2VPN 48 Mạng riêng ảo MPLS Địa VPN-IPv4 Việc mở rộng tiền tố địa IP khách hàng VPN dẫn đến khái niệm địa VPN-IP Địa VPN-IP tạo cách ghép hai thành phần có độ dài khơng đổi trường phân biệt tuyến (Route Distinguisher) địa IP sở 49 Mạng riêng ảo MPLS Khuôn dạng trường phân biệt tuyến 50 Mạng riêng ảo MPLS Sử dụng nhãn để chuyển tiếp gói tin VPN 51 Mạng riêng ảo MPLS Sử dụng ngăn xếp nhãn để chuyển tiếp gói tin VPN 52 Mạng riêng ảo MPLS Hoạt động chuyển tiếp liệu VPN qua mạng MPLS Site khách hàng Site khách hàng AS 73 Host AS 88 10.12.0.0/16 Host 10.24.0.0/16 CE1 VPN A CE6 VPN A CE5 VPN A PE1 21 16 19 16 46 16 21 24 19 24 46 24 Default virtual router Default virtual router VRF A VRF A P1 VRF B Virtual router CE2 VPN B PE2 CE3 VPN B AS 777 P2 Mạng lõi nhà cung cấp VRF B Virtual router CE4 VPN B 53 Chất lượng dịch vụ MPLS-VPN Mơ hình ống chất lượng dịch vụ VPN A/Site VPN B/Site VPN B/Site1 CEA2 CEB1 CEB2 PE2 CEB11 10 Mb/s PE1 CEA3 Mb/s PE3 CEA1 VPN A/Site VPN A/Site CEB3 VPN B/Sitte 54 Chất lượng dịch vụ MPLS-VPN Mơ hình vịi chất lượng dịch vụ VPN A/site CEA2 VPN B/Site1 VPN B/Site CEB1 ICR Mbit/s ECR Mbit/s CEB2 PE2 ICR 15 Mbit/s ECR 15 Mbit/s CEB11 ICR Mbit/s ECR Mbit/s PE1 CEA3 PE3 VPN A/Site CEA1 VPN A/Site ICR Mbit/s ECR Mbit/s VPN B/Sitte CEB3 ICR (Ingress Committed Rate) - tốc độ cam kết đầu vào ECR (Egress Committed Rate) - tốc độ cam kết đầu 55 Mạng riêng ảo MPLS So sánh MPLS-VPN IPsec - VPN Đặc điểm MPLS-VPN IPSec-VPN Cấu hình Điểm tới điểm, Hub-and-Spoke, cấu hình đầy đủ Điểm tới điểm, Hub-and-Spoke, cấu hình đầy đủ Bảo mật/ Xác thực phiên Thiết lập thành viên VPN trình cung cấp dịch vụ, định nghĩa truy nhập tới nhóm dịch vụ cấu hình, từ chối truy nhập không hợp pháp Xác thực qua chứng thực số khóa xác định trước Loại bỏ gói khơng phù hợp với sách bảo mật Tính riêng tư Tách lưu lượng thành luồng riêng biệt Sử dụng mã hố kỹ thuật đường hầm thích hợp lớp địa mạng QoS SLA Cho phép lập SLA với nhiều mức, có kỹ thuật đảm bảo QoS kỹ thuật lưu lượng Không QoS SLA trực tiếp Khả mở rộng Có khả mở rộng cao khơng u cầu cấu hình đầy đủ ngang hàng Chấp nhận mở rộng theo kiểu Hub-and-Spoke Khả mở rộng kéo theo thách thức kế hoạch, phân phối khoá, quản lý khố cấu hình thiết bị ngang hàng 56 Mạng riêng ảo MPLS So sánh MPLS-VPN Ipsec - VPN Đặc điểm MPLS-VPN IPSec-VPN Hỗ trợ điểmđiểm Có Có Hỗ trợ truy nhập từ xa Có kết nối với IPSec Có Cung cấp dịch vụ Cần lần cung cấp thiết bị khách hàng thiết bị biên mạng nhà cung cấp Giảm chi phí điều hành mạng qua phương pháp cung cấp tập trung Triển khai dịch vụ Yêu cầu phần tử mạng MPLS mở dịch vụ thiết bị lõi biên mạng nhà cung cấp Có thể triển khai hạ tầng mạng IP có sẵn Phầm mềm Client VPN Khơng u cầu, người sử dụng không cần phần mềm tương tác với mạng Cần phải có để khởi tạo phần mềm chức 57 Kết luận Tổng quan công nghệ VPN Các giao thức đường hầm Mơ hình ngun lý IPsec-VPN Mơ hình ngun lý MPLS-VPN 58 ... gia 43 Mạng riêng ảo MPLS Giới thiệu Các giao Mạng riêng Mạng riêng chung mạng riêng ảo VPN thức đường hầm L2 ảo IPsec ảo MPLS 44 Mạng riêng ảo MPLS Các thành phần MPLS-VPN 45 Mạng riêng ảo MPLS... mạng L2TP Computer Mạng riêng bảo vệ Kết nối LAN-LAN Máy chủ mạng L2TP Bộ tập trung truy cập mạng L2TP Computer Mạng riêng bảo vệ Client L2TP 22 Mạng riêng ảo IPsec Giới thiệu Các giao Mạng riêng. .. thời gian thực 11 Các giao thức đường hầm Giới thiệu Các giao Mạng riêng Mạng riêng chung mạng riêng ảo VPN thức đường hầm L2 ảo IPsec ảo MPLS 12 Các giao thức đường hầm phổ biến  Giao thức chuyển