HỌC VIỆN CỘNG NGHỆ BƯU CHÍNH VIỄN THÔNG Khoa: Điện Tử - Truyền Thông    BÁO CÁO TIỂU LUẬN QUẢN LÝ MẠNG VIỄN THÔNG MPLS VPN GIẢNG VIÊN: HOÀNG TRỌNG MINH Nhóm sinh viên thực hiệ n: Hoàng Sỹ Long Nguyễn Thị Thương Lê Đình Thủy Đỗ Thanh Hải Mục Lục Danh mục Hình Internet ngày càng được mở rộng và phát triển, kèm theo đó là sự đáp ứng nhu cầu sử dụng và các dịch vụ về chất lượng và độ trễ. Định tuyến IP truyền thống qua bộ xử lý Router không còn đáp ứng được các nhu cầu tin cậy, tốc độ , độ trễ….Việc xử lý một gói tin IP sẽ rất phức tạp và mất nhiều thời gian khi phải tìm kiếm trong bảng định tuyến, cập nhật, và tốn tài nguyên để xử lý. Để khắc phục những nhược điểm trên thì công nghệ chuyển mạch nhãn đa giao thức MPLS (Multiple Protocol Lable Switching) đã ra đời để đáp ứng các nhu cầu về tốc độ và chuyển mạch nhanh của Internet. MPLS là công nghệ kết hợp những ưu điểm của định tuyến lớp 3 và chuyển mạch lớp 2, cho phép chuyển tải các gói rất nhanh trong mạng lõi (Core Network) và định tuyến tốt ở mạng biên (Edge Network) bằng cách dựa vào nhãn (label). MPLS được các thành viên IETF xây dựng và chuẩn hóa. Một trong những ứng dụng tiêu biểu của công nghệ MPLS là MPLS – VPN. Với MPLS, độ trễ trong mạng được giữ ở mức thấp nhất do các gói tin trong mạng không phải thông qua các hoạt động đóng gói và mã hóa. MPLS - VPN đảm bảo tính riêng biệt và bảo mật, có cách đánh địa chỉ linh hoạt, cơ chế xử lý thông tin của MPLS - VPN nằm trong phần lõi độc lập với khách hàng. Điểm nổi bật là mạng khách hàng không cần yêu cầu thiết bị hỗ trợ MPLS, đồng thời dễ mở rộng và phát triển. MPLS - VPN cũng là đối tượng nghiên cứu chính trong đề tài này. I. GIỚI THIỆU Nhóm II-D11VT8 Học Viện Công Nghệ Bưu Chính viễn thông BÁO CÁO TIỂU LUẬN QUẢN LÝ MẠNG VIỄN THÔNG 2 Ngày nay, với sự phát triển của ngành công nghệ thông tin và điện tử viễn thông đã đóng góp không nhỏ trong những hoạt động kinh doanh của doanh nghiệp. Không một tổ chức nào phủ nhận sự đóng góp của công nghệ trong lộ trình phát triển kinh doanh của họ. Mỗi một tổ chức đã bắt đầu ý thức nhiều hơn về việc đầu tư vào công nghệ thông tin không chỉ ở hạ tầng mạng nội bộ LAN mà đã đi sâu hơn về mạng diện rộng WAN để mở rộng hơn cánh cửa kinh doanh của mình ở trong nước mà vươn ra quốc tế. Để đáp ứng sự phát triển và đầu tư, yêu cầu về tốc độ, chi phí, dịch vụ băng thông, và khả năng phục vụ của các công nghệ WAN truyền thống thư TDM, FRAME RELAY, ATM….đã không còn theo kịp với thời đại. Công nghệ MPLS ra đời để đáp ứng những yêu cầu của thi trường. Công nghệ MPLS với dịch vụ mạng riêng ảo VPN là giải pháp để kết nối mạng linh hoạt, mềm dẻo, chi phí thấp và điểm nổi bật hơn là hợp nhất hạ tầng mạng sẵn có. II. TỔNG QUAN VỀ MPLS MPLS là chữ viết tắt của Multi Protocol Label Switching, chuyển mạch nhãn đa giao thức. Mỗi gói tin IP bao gồm cả IPv4 và IPv6 hoặc cả những khung Frame lớp 2 khi đi vào miền MPLS sẽ được gán nhãn và truyền đi trong môi trường mạng. Bằng cách này gói tin có thể chuyển mạch nhanh hơn và có thể kết hợp được đa tầng mạng hợp nhất. I.1 Cấu trúc MPLS Cấu trúc của MPLS sẽ chia làm 02 mặt phẳng riêng biệt - Mặt phẳng điều khiển: chứa các giao thức định tuyến để thiết lập các đường đi được sử dụng cho việc chuyển tiếp gói tin ở lớp 3. Ngoài ra mặt phẳng điều khiển còn chứa giáo thức phân phối nhãn để đáp ứng cho việc tạo và duy trì thông tin chuyển tiếp nhãn (gọi là binding) giữa một nhóm switch chuyển mạch nhãn kết nối với nhau. Các giao thức định tuyến như OSPF, ISIS, EIGRP và các giao thức trao đổi nhãn như LDP, BGP. - Mặt phẳng dữ liệu: sử dụng cơ sở dữ liệu chuyển tiếp nhãn (LFIB-label forwarding information base) được duy trì bởi một thiết bị chuyển mạch nhãn để thực hiện việc chuyển tiếp gói tin dựa trên thông tin nhãn mang trên gói tin. Mặt Nhóm II-D11VT8 Học Viện Công Nghệ Bưu Chính viễn thông BÁO CÁO TIỂU LUẬN QUẢN LÝ MẠNG VIỄN THÔNG 3 phẳng dữ liệu chỉ là một thành phần chuyển tiếp dựa trên nhãn đơn giản độc lập với các giao thức định tuyến và các giao thức trao đổi nhãn. Hình 1:Cấu trúc MPLS I.2 Cấu trúc nhãn Nhóm II-D11VT8 Học Viện Công Nghệ Bưu Chính viễn thông BÁO CÁO TIỂU LUẬN QUẢN LÝ MẠNG VIỄN THÔNG 4 Nhãn của MPLS là 1 trường 32 bit cố định với cấu trúc xác định. Trong đó : - Label : có giá trị từ 0->220 -1. Giá trị từ 0 -> 15 là giá trị dành riêng, sử dụng giá trị từ 16 -> 220 -1. - EXP (Experimental) : dùng cho QoS. - S (Bottom of Stack) : cho biết đây là nhãn cuối cùng của chồng nhãn (label stack). - TTL (Time – To – Live) : tương tự như trường TTL của IP header. Hình 2: Nhãn MPLS Một số nhãn đặt biệt trong công nghệ MPLS: Hình 3: Nhãn đặc biệt trong MPLS - Nhãn untagged: gói MPLS được chuyển thành gói IP và được chuyển tiếp đến đích. Untagged được dùng trong thực thi MPLS VPN. - Nhãn pop hay implicit null: • Nhãn này được gán bằng P Router gần LSR nhất khi gói tin MPLS được chuyển đến LSR. Nhóm II-D11VT8 Học Viện Công Nghệ Bưu Chính viễn thông BÁO CÁO TIỂU LUẬN QUẢN LÝ MẠNG VIỄN THÔNG 5 • Dùng 1 giá trị riêng là 3 khi được quảng bá bởi LSR láng giềng. • Nhãn được dùng trong mạng MPLS cho những trạm kế cuối. - Nhãn Explicit-null: • Được gán để giữ giá trị EXP cho nhãn top của gói đến. • Được sử dụng khi thực hiện QoS với MPLS. - Nhãn aggregate: với nhãn này, khi gói tin MPLS đến nó bị bóc tất cả nhãn trong chồng nhãn ra thành gói IP, sau đó tìm kiếm trong FIB để xác định giao thức ngõ ra cho gói tin này. 2.3 Quá trình gán nhãn cho gói tin. - Xây dựng bảng định tuyến • Các Router sau khi khởi tạo sẽ dựa vào giao thức định tuyến để xây dựng bảng định tuyến RIB (Routing Table Information Base) và được lưu trử trong mặt phẳng điều khiển. • Dựa vào bảng RIB, Router sẽ tạo ra bảng FIB (Forwarding Information Base) và được lưu trữ trong mặt phẳng dữ liệu. Hình 4: Xây dựng bảng FIB - Xây dựng bảng LIB • Giao thức trao đổi nhãn LDP sẽ khởi tạo và trao đổi nhãn giữa những Router trong miền MPLS để tạo ra bảng LIB (Label Information Base) Nhóm II-D11VT8 Học Viện Công Nghệ Bưu Chính viễn thông BÁO CÁO TIỂU LUẬN QUẢN LÝ MẠNG VIỄN THÔNG 6 Hình 5: Xây dựng bảng LIB - Xây dựng bản LFIB • Sự kết hợp giữa bản LIB và bảng FIB sẽ tạo ra bảng LFIB. Nhóm II-D11VT8 Học Viện Công Nghệ Bưu Chính viễn thông BÁO CÁO TIỂU LUẬN QUẢN LÝ MẠNG VIỄN THÔNG 7 Hình 6: Xây dựng bảng LFIB - Chuyển tiếp gói tin • Ở chặn đầu tiên, gói tin IP đi vào miền MPLS, Router biên sẽ dựa vào địa chỉ đích tìm kiếm trong bảng FIB để gán nhãn cho gói tin. • Ở chặn kế tiếp, Router trong miền MPLS sẽ dựa vào nhãn được lưu trong bảng LFIB để xác định nút kế tiếp, thay đổi nhãn và forward gói tin đi. • Ở chặn cuối cùng, Router biên sẽ dựa vào nhãn đặc biệt để gở bỏ gói tin và gởi ra ngoài miền MPLS. Nhóm II-D11VT8 Học Viện Công Nghệ Bưu Chính viễn thông BÁO CÁO TIỂU LUẬN QUẢN LÝ MẠNG VIỄN THÔNG 8 Hình 7: Chuyển tiếp gói tin trong MPLS III. ỨNG DỤNG CÔNG NGHỆ MPLS - VPN. VPN là công nghệ mạng riêng ảo được xây dựng dựa trên hạ tầng của MPLS. Một mạng riêng yêu cầu các khách hang đầu cuối có thể kết nối với nhau và hoàn toàn độc lập với các mạng riêng khác. Ngày nay, mỗi công ty đều có các chi nhánh được phân bố khắp nơi, yêu cầu của công nghệ VPN là xây dựng các kết nối ảo (Tunnel) thay cho các kết nối thật (Lease Line) kết nối các chi nhánh lại với nhau thông qua hạ tầng của nhà cung cấp dịch vụ chung. Nhóm II-D11VT8 Học Viện Công Nghệ Bưu Chính viễn thông BÁO CÁO TIỂU LUẬN QUẢN LÝ MẠNG VIỄN THÔNG 9 VPN cung cấp các cơ chế mã hóa dữ liệu trên đường truyền tạo ra một đường ống bảo mật giữa nơi nhận và nơi gửi gọi là Tunnel , Tunnel giống như một kết nối point-to-point trên mạng riêng. Để có thể tạo ra một đường ống bảo mật đó, dữ liệu phải được mã hóa theo cơ chế giấu đi, chỉ cung cấp phần đầu gói tin (header) là thông tin về đường đi cho phép nó có thể đi tới đích thông qua mạng công cộng một cách nhanh chống. dữ liệu được mã hóa một cách cẩn thận do đó nếu các packet bị bắt trên đường truyền công cộng cũng không thể đọc nội dung vì không có khóa đề giải mã, liên kết với dữ liệu mã hóa và đóng gói được gọi là kết nối VPN. Các đường kết nối VPN thường được gọi là đường ống VPN (Tunnel). Một mạng VPN điển hình bao gồm mạng LAN chính tại trụ sở (Văn phòng chính), các mạng LAN khác tại những văn phòng từ xa, các điểm kết nối (như "Văn phòng" tại gia) hoặc người sử dụng (Nhân viên di động) truy cập đến từ bên ngoài. Mục đích Công nghệ VPN với 3 yêu cầu cơ bản: • Cung cấp truy nhập từ xa tới tài nguyên của tổ chức mọi lúc, mọi nơi. • Kết nối các chi nhánh văn phòng với nhau. Nhóm II-D11VT8 Học Viện Công Nghệ Bưu Chính viễn thông BÁO CÁO TIỂU LUẬN QUẢN LÝ MẠNG VIỄN THÔNG 10 [...]... máy chủ xác thực Máy chủ mạng riêng ảo được thiết lập với các chính sách tuy cập của chúng và có khả năng thực hiện các kết nối từ người dùng từ xa, truy cập tài nguyên của tổ chức và liên lạc trên bộ định tuyến mạng của tổ chức Bước tiếp theo ta làm cho các Client có khả năng truy cập máy chủ mạng riêng ảo VI BẢO MẬT TRONG MPLS VPN I.1 1Bảo mật trong MPLS VPN Công nghệ MPLS là kết quả phát triển của... xác thực, cấp quyền và kiểm toán - Triển khai các máy chủ mạng riêng ảo - Triển khai một cơ sở hạ tầng Intranet - Triển khai các Client VPN Sau đây ta sẽ thảo luận chi tiết hơn về các phần I.10.2 Triển khai một cơ sở hạ tầng chứng chỉ số Với các kết nối mạng riêng ảo dựa trên PPTP, một cơ sở hạ tầng chứng chỉ là cần thiết chỉ khi ta đang sử dụng các chứng chỉ người dùng được cài đặt cục bộ và xác thực. .. yêu cầu của tổ chức để hiểu giải pháp nào nên được thực thi Sự lựa chọn giải pháp bảo mật thích hợp cũng tuỳ thuộc vào mức bảo mật và toàn vẹn được yêu cầu bởi luồng lưu lượng mạng Ví dụ, nếu tổ chức đề cập đến dữ liệu nhạy cảm trong giao dịch thương mại điẹn tử, ta sẽ cần thực thi một hoặc nhiều giải pháp an toàn để đảm bảo tính bí mật, toàn vẹn và xác thực thích hợp của dữ liệu I.4 Lựa chọn các sản... loại hình dịch vụ này vì nó có nhiều tính năng bảo mật có lợi trong quá trình sử dụng môi trường truyền thông công cộng Các tính năng bảo mật nổi bật của MPLS VPN thường được chú ý là: tách biệt các VPN, chống lại các cuộc tấn công từ bên ngoài, bảo vệ chống sự giả mạo I.12Tách biệt các VPN Điều quan trọng trong vấn đề bảo mật thông tin của người sử dụng mạng VPN là lưu lượng thông tin của họ phải được... tục triển khai truy cập từ xa là giống nhau khi ta sử dụng PPTP hoặc L2TP/IPSec, nhưng ta cần xem xét một số điểm khác biệt nổi bật trong khi thiết lập, tuỳ thuộc vào cái nào được sử dụng Không kể tập hợp giao thức mà ta sử dụng, việc triển khai các kết nối mạng riêng ảo truy cập từ xa bao gồm các bước sau: - Triển khai một cơ sở hạ tầng chứng chỉ số - Triển khai một cơ sở hạ tầng Internet - Triển khai. .. thống mạng riêng ảo đã cấu hình và triển khai Bước thứ nhất là triển khai cơ sở hạ tầng Internet cho các kết nối mạng riêng ảo truy cập từ xa sẽ xử lý tất cả các yêu cầu kết nối và truy cập đến tới và từ Internet Triển khai cơ sở hạ tầng Internet bao gồm: - Đặt máy chủ mạng riêng ảo trong một mạng vành đai hoặc trên Internet - Cấu hình giao diện Internet - Bổ sung địa chỉ vào máy chủ hệ thống tên miền... trong hình 1) Tương tự, một địa chỉ VPN- IPv6 bao gồm 8 byte RD, tiếp theo là 16 byte địa chỉ IPv6 Hình 8: Cấu trúc của địa chỉ VPN- IPv4 Bởi vì trong cấu trúc của MPLS VPN chỉ có các bộ định tuyến biên của nhà cung cấp (PE - Provider Edge) mới phải biết các tuyến VPN và nhà cung cấp, và sử dụng địa chỉ VPN- IPv4 cho các VPN, nên không gian địa chỉ là tách biệt giữa các VPN Hơn nữa, việc sử dụng IPv4 bên... chỉ trong mạng MPLS VPN Tách biệt về lưu lượng Lưu lượng VPN bao gồm mặt phẳng dữ liệu VPN và mặt phẳng điều khiển Người sử dụng VPN đòi hỏi lưu lượng của họ không bị lẫn với lưu lượng mạng VPN khác hoặc với lưu lượng lõi, tức là các gói tin không bị gửi tới một VPN khác và ngược lại Trên mạng của nhà cung cấp dịch vụ, yêu cầu này càng rõ ràng vì lưu lượng sẽ phải được chuyển qua mạng lõi MPLS Ở đây,... QUẢN LÝ MẠNG VIỄN THÔNG Để xác thực người dùng, các giao thức xác thực thường được sử dụng là: - Giao thức xác thực mật khẩu (PAP) - Giao thức xác có thăm dò trước (CHAP) - Giao thức xác thực có thăm dò trước của Microsoft (MS-CHAP) - Giao thức MS-CHAP phiên bản 2 (MS-CHAP v2) - Giao thức xác thực – hàm băm thông điệp MD5 mở rộng (EAP-MD5) - Giao thức xác thực - bảo mật tầng vận tải mở rộng (EAP-TLS)... bộ định tuyến mạng riêng ảo I.10.6 Triển khai cơ sở hạ tầng Intranet Bây giờ máy chủ đã thiết lập TCP/IP cơ sở và tất cả các quyết định về giao thức và kết nối AAA đã được thực hiện, ta cần đảm bảo rằng các tài nguyên trong mạng Intranet là có khả năng truy cập được với máy chủ mạng riêng ảo và như vậy nó có thể xử lý các liên lạc tới các Client truy cập từ xa Triển khai cơ sở hạ tầng mạng Intranet cho . bằng cách dựa vào nhãn (label). MPLS được các thành viên IETF xây dựng và chuẩn hóa. Một trong những ứng dụng tiêu biểu của công nghệ MPLS là MPLS – VPN. Với MPLS, độ trễ trong mạng được giữ. miền MPLS. Nhóm II-D11VT8 Học Viện Công Nghệ Bưu Chính viễn thông BÁO CÁO TIỂU LUẬN QUẢN LÝ MẠNG VIỄN THÔNG 8 Hình 7: Chuyển tiếp gói tin trong MPLS III. ỨNG DỤNG CÔNG NGHỆ MPLS - VPN. VPN là. như trường TTL của IP header. Hình 2: Nhãn MPLS Một số nhãn đặt biệt trong công nghệ MPLS: Hình 3: Nhãn đặc biệt trong MPLS - Nhãn untagged: gói MPLS được chuyển thành gói IP và được chuyển