đồ án :NGHIÊN CỨU CÁC GIẢI PHÁP VPN TRÊN NỀN CÔNG NGHỆ MPLS
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC NGHIÊN CỨU CÁC GIẢI PHÁP VPN TRÊN NỀN CÔNG NGHỆ MPLS Giáo viên hướng dẫn : Ths Hoàng Trọng Minh Sinh viên thực hiện : Nguyễn Mạnh Hùng Lớp : D2004VT1 Hà Nội 11 - 2008 HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG KHOA VIỄN THÔNG 1 *** ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Đề tài: NGHIÊN CỨU CÁC GIẢI PHÁP VPN TRÊN NỀN CÔNG NGHỆ MPLS Giáo viên hướng dẫn : Ths Hoàng Trọng Minh Sinh viên thực hiện : Nguyễn Mạnh Hùng Lớp : D2004VT 1 Hà Nội 11 - 2008 HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG CỘNG HOÀ XÃ HỘI CHỦ NGHĨA VIỆT NAM KHOA VIỄN THÔNG 1 Độc lập - Tự do - Hạnh phúc o0o o0o ĐỀ TÀI ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Họ và tên: Nguyễn Mạnh Hùng Lớp : D2004-VT1 Khoá : 2004 – 2009 Ngành : Điện tử – Viễn thông TÊN ĐỀ TÀI: "CÔNG NGHỆ MẠNG RIÊNG ẢO VPN TRÊN NỀN MPLS" NỘI DUNG ĐỒ ÁN : • Phần I: Giới thiệu chung về công nghệ VPN và các giao thức đã đuợc sử dụng đối với công nghệ VPN đó là: L2F, PPTP, L2TP, IPSec. • Phần II: Giới thiệu về công nghệ VPN trên nền MPLS. Ngày giao đề tài: ………………… Ngày nộp đồ án: …………………. Hà Nội, ngày tháng năm 2008 Giáo viên hướng dẫn Hoàng Trọng Minh NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN: ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… Điểm: (Bằng chữ: ) Hà Nội, Ngày tháng năm 2008 Giáo viên hướng dẫn Hoàng Trọng Minh NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN: ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… Điểm: (Bằng chữ: ) Ngày tháng năm 2008 Giáo viên phản biện Đồ án tốt nghiệp Đại Học Lời nói đầu LỜI NÓI ĐẦU Ngày nay, với sự phát triển nhanh chóng của khoa học kỹ thuật đặc biệt là Công nghệ thông tin và Viễn thông đã trở thành một động lực quan trọng trong sự phát triển kinh tế thế giới. Các tổ chức, doanh nghiệp có nhiều chi nhánh, các công ty đa quốc gia trong quá trình hoạt động luôn phải trao đổi thông tin với khách hàng, đối tác, nhân viên của họ. Chính vì vậy đòi hỏi phải luôn nắm bắt được thông tin mới nhất, chính xác nhất, đồng thời phải đảm bảo độ tin cậy cao giữa các chi nhánh của mình trên khắp thế giới, cũng như với các đối tác và khách hàng. Để đáp ứng được những yêu cầu đó, trong quá khứ có hai loại hình dịch vụ Viễn thông mà các tổ chức, doanh nghiệp có thể chọn lựa sử dụng cho kết nối đó là: - Thứ nhất, thuê các đường thông tin riêng (Leased-line) của các nhà cung cấp dịch vụ để kết nối tất cả các mạng con của công ty lại với nhau. Phương pháp này rất tốn kém cho việc xây dựng ban đầu cũng như trong quá trình vận hành, bảo dưỡng hay mở rộng sau này. - Thứ hai, họ có thể sử dụng chung hạ tầng của nhà khai thác, giải pháp này có nhiều bất cập khi không đáp ứng được các yêu cầu đặc thù của dịch vụ. Ví dụ như chất lượng, độ tin cậy an toàn thông tin. Sự ra đời của kỹ thuật mạng riêng ảo VPN đã dung hoà hai loại hình dịch vụ trên, nó có thể xây dựng trên cơ sở hạ tầng sẵn có nhưng lại có được các tính chất của một mạng cục bộ như khi sử dụng các đường Leased-line. Vì vậy, có thể nói VPN chính là sự lựa chọn tối ưu cho các doanh nghiệp kinh tế. Với chi phí hợp lý, VPN có thể giúp doanh nghiệp tiếp xúc toàn cầu nhanh chóng và hiệu quả hơn so với các giải pháp mạng diện rộng WAN. Với VPN, ta có thể giảm chi phí xây dựng do tận dụng được cơ sở hạ tầng công cộng sẵn có, giảm chi phí thường xuyên, mềm dẻo trong xây dựng. Để tiếp cận các hướng công nghệ mới đang triển khai trong môi trường mạng viễn thông hiện nay, tôi lựa chọn đề tài “Nghiên cứu các giải pháp VPN trên nền công Nguyễn Mạnh Hùng, Lớp D04VT1 i Đồ án tốt nghiệp Đại Học Lời nói đầu nghệ MPLS”. Nhằm lĩnh hội các kiến thức và xác định điểm mấu chốt của giải pháp hướng tới, làm chủ công nghệ. Nội dung tìm hiểu của đồ án gồm 3 chương chia thành 2 phần lớn: Phần I: Giới thiệu chung về công nghệ VPN và các giao thức đã đuợc sử dụng đối với công nghệ VPN đó là: L2F, PPTP, L2TP, IPSec. Phần II: Giới thiệu về công nghệ VPN trên nền MPLS. Nội dung của mỗi chương cụ thể như sau: Chương I: GIỚI THIỆU TỔNG QUAN VỀ VPN. Trong chương này chỉ ra các khái niệm cơ bản về công nghệ mạng riêng ảo và các loại VPN đang được triển khai hiện nay. Chương II: CÁC GIAO THỨC HOẠT ĐỘNG TRONG VPN. Chương này giới thiệu hai giao thức cơ bản là IPSec hỗ trợ cho bảo mật của VPN trên nền IP và giao thức đường hầm lớp 2 là xu hướng phát triển mạnh mẽ như hiện nay. Đó cũng là những quá trình tác động trực tiếp tới các mô hình VPN trên các hạ tầng lớp hai như ATM/MPLS. Chương III: MẠNG RIÊNG ẢO TRÊN NỀN MPLS. Với các đặc tính của hai công nghệ đang được triển khai hiện nay, chương này chỉ ra các giải pháp cụ thể và các phân tích nhằm thể hiện các ưu nhược điểm của công nghệ cũng như đánh giá sự phát triển của công nghệ VPN/MPLS. Do nhiều mặt còn hạn chế nên nội dung của đề tài khó tránh khỏi những sai sót. Tác giả rất mong nhận được ý kiến đóng góp của các thầy cô và bạn đọc. Em xin chân thành cảm ơn Ths Hoàng Trọng Minh đã tận tình hướng dẫn em hoàn thành đề tài. Hà nội, ngày tháng năm 2008 Sinh viên: Nguyễn Mạnh Hùng Nguyễn Mạnh Hùng, Lớp D04VT1 ii Đồ án tốt nghiệp Đại Học Mục lục MỤC LỤC PHẦN I 1 CHƯƠNG I: GIỚI THIỆU TỔNG QUAN VỀ VPN 1 1.1 Khái niệm mạng riêng ảo 1 1.2 Những lợi ích do VPN đem lại 3 1.3 Nhược điểm và một số vấn đề cần phải khắc phục 4 1.4 Phân loại VPN và ứng dụng 5 1.4.1 VPN truy nhập từ xa 5 1.4.2 VPN điểm tới điểm 7 1.4.2.1 VPN cục bộ 8 1.4.2.2. VPN mở rộng 9 1.5 Các loại mạng VPN 10 1.5.1 Người dùng truy nhập từ xa thông qua Internet (Access VPN) 10 1.5.2 Nối các mạng trên Internet (Intranet VPN) 11 1.5.3 Nối các máy tính trên một Intranet (Extranet VPN) 12 1.6 Kết luận 13 2.1 Dạng thức hoạt động 14 2.1.1 Kết hợp bảo mật SA 14 2.1.2 Xác thực tiêu đề AH 15 2.1.3 Bọc gói bảo mật tải ESP 17 2.1.4 Chế độ làm việc 19 2.2 Quản lý khóa 21 2.2.1 Các chế độ của Oakley và các pha của ISAKMP 22 2.2.2 Đàm phán SA 26 2.3 Sử dụng IPSec 26 2.3.1 Các cổng nối bảo mật 27 2.3.2 Các SA đại diện 27 2.3.3 Host từ xa 28 2.3.4 Một ví dụ minh họa 29 2.4 Các vấn đề còn tồn đọng trong IPSec 30 2.5 Các giao thức đường hầm 31 2.5.1 Giới thiệu về các giao thức đường hầm 31 2.5.2 Giao thức chuyển tiếp lớp 2 – L2F 32 2.5.2.1. Cấu trúc gói L2F 32 2.5.2.2 Hoạt động của L2F 33 2.5.2.3 Ưu nhược điểm của L2F 35 2.5.3 Giao thức đường hầm điểm tới điểm – PPTP 35 2.5.3.1 Khái quát về hoạt động của PPTP 35 2.5.3.2 Duy trì đường hầm bằng kết nối điều khiển PPTP 37 2.5.3.3 Đóng gói dữ liệu đường hầm PPTP 37 2.5.3.4 Xử lý dữ liệu tại đầu cuối đường hầm PPTP 40 2.5.3.5 Triển khai VPN dựa trên PPTP 40 2.5.3.6 Ưu nhược điểm và khả năng ứng dụng của PPTP 42 2.5.4 Giao thức L2TP 42 2.5.4.1 Dạng thức của L2TP 43 2.5.4.2 Sử dụng L2TP 53 Nguyễn Mạnh Hùng, Lớp D04VT1 iii Đồ án tốt nghiệp Đại Học Mục lục 2.5.4.3 Khả năng áp dụng của L2TP 56 PHẦN II 58 CHƯƠNG III: MẠNG RIÊNG ẢO TRÊN NỀN MPLS 58 3.1 Các thành phần của MPLS – VPN 58 3.1.1 Hệ thống cung cấp dịch vụ MPLS – VPN 58 3.1.2 Bộ định tuyến biên của nhà cung cấp dịch vụ 59 3.1.3 Bảng định tuyến và chuyển tiếp ảo 60 3.2 Các mô hình MPLS – VPN 62 3.2.1 Mô hình V3VPN 62 3.2.2 Mô hình L2VPN 63 3.3 Hoạt động của MPLS – VPN 64 3.3.1 Truyền thông tin định tuyến 64 3.3.2 Địa chỉ VPN – IP 66 3.3.3 Chuyển tiếp gói tin VPN 69 3.4 Bảo mật trong MPLS - VPN 73 3.5 Chất lượng dịch vụ trong MPLS – VPN 75 3.5.1 Mô hình ống 75 3.5.2 Mô hình vòi 77 3.6 So sánh các đặc điểm của VPN trên nền IPSec và MPLS 79 3.6.1 Các tiêu chí đánh giá 79 3.6.2 Các đặc điểm nổi bật của IPSec – VPN và MPLS – VPN 80 3.8 Kết chương 83 BÀI TOÁN MÔ PHỎNG MẠNG MPLS – VPN 84 1. ĐẶT VẤN ĐỀ 84 2. XÂY DỰNG BÀI TOÁN 84 3. SỬ DỤNG CÔNG CỤ MÔ PHỎNG 100 3.1 Phần mềm GNS3 100 3.2 Phầm mềm NS2 101 3.3 Lựa chọn phần mềm mô phỏng 102 4. KẾT QUẢ VÀ ĐÁNH GIÁ 102 KẾT LUẬN 109 TÀI LIỆU THAM KHẢO 111 LỜI CẢM ƠN 112 Nguyễn Mạnh Hùng, Lớp D04VT1 iv Đồ án tốt nghiệp Đại Học Danh mục hình vẽ DANH MỤC HÌNH VẼ Hình 1.1: Mô hình VPN truy cập từ xa 6 Hình 1.2: Mô hình VPN cục bộ 8 Hình 1.3: Mô hình VPN mở rộng 9 Hình 1.4: Dùng VPN để kết nối client từ xa đến mạng LAN riêng 11 Hình 1.5: Tổ chức truy nhập Ipass 11 Hình 1.6: Dùng VPN để kết nối 2 vị trí từ xa 12 Hình 1.7: Dùng VPN để kết nối hai máy tính từ xa trong cùng một LAN 13 Hình 2.1: Khuôn dạng gói tin Ipv4 trước và sau khi xử lý AH 16 Hình 2.2: Khuôn dạng gói tin Ipv6 trước và sau khi xử lý AH 16 Hình 2.3: Bọc gói bảo mật tải 17 Hình 2.4: So sánh xác thực bởi AH và ESP 18 Hình 2.5: Chế độ đường hầm AH 19 Hình 2.6: Chế độ đường hầm ESP 20 Hình 2.7: Các trường hợp của chế độ giao vận và đường hầm 20 Hình 2.8: Chế độ chính ISAKMP 23 Hình 2.9: Chế độ năng động ISAKMP 24 Hình 2.10: Chế độ nhanh ISAKMP 25 Hình 2.11: Các thành phần của một Internet VPN 26 Hình 2.12: IPSec và các chính sách bảo mật 29 Hình 2.13: Ví dụ về IPSec VPN 30 Hình 2.14: Khuôn dạng của gói L2F 32 Hình 2.15: Mô hình hệ thống sử dụng L2F 33 Hình 2.18: Sơ đồ đóng gói PPTP 39 Hình 2.19: Các thành phần của hệ thống cung cấp VPN dựa trên PPTP 41 Hình 2.20: Kiến trúc của L2TP 44 Hình 2.21: Các giao thức sử dụng trong một kết nối L2TP 45 Hình 2.22: Bọc gói L2TP 45 Hình 2.23: Các đường hầm tự nguyện và bắt buộc 46 Hình 2.24: Mã hóa gói cho đường hầm bắt buộc 50 Hình 2.26: Mã hóa gói cho đường hầm tự nguyện 51 Hình 2.27: Đường hầm L2TP kết nối LAN – LAN 52 Hình 2.28: Các thành phần cơ bản của L2TP 54 Hình 2.29: Quay số L2TP trong VPN 56 Hình 3.1: Hệ thống cung cấp dịch vụ MPLS – VPN và các thành phần 59 Hình 3.2: Bộ định tuyến PE và sơ đồ kết nối các site khách hàng 60 Hình 3.3: Mô hình MPLS L3VPN 62 Hình 3.4: Mô hình MPLS L2VPN 64 Hình 3.5: Địa chỉ VPN – Ipv4 67 Hình 3.6: Khuôn dạng trường phân biệt tuyến 67 Hình 3.7: Sử dụng nhãn để chuyển tiếp gói tin VPN 70 Hình 3.8: Sử dụng ngăn xếp nhãn để chuyển tiếp gói tin VPN 71 Hình 3.9: Hoạt động chuyển tiếp dữ liệu VPN qua mạng MPLS 72 Hình 3.10: Mô hình ống chất lượng dịch vụ trong MPLS – VPN 77 Hình 3.11: Mô hình vòi chất lượng dịch vụ trong MPLS – VPN 78 Nguyễn Mạnh Hùng, Lớp D04VT1 v [...]... LAN riêng Hình 1. 5: Tổ chức truy nhập Ipass 1.5.2 Nối các mạng trên Internet (Intranet VPN) Có hai phương pháp sử dụng mạng VPN để kết nối các mạng cục bộ LAN (Local Area Network) tại các điểm cuối ở xa: - Dùng các đường thuê kênh riêng để nối một văn phòng chi nhánh đến mạng LAN công ty: Các văn phòng chi nhánh và các bộ định tuyến có thể sử dụng một Nguyễn Mạnh Hùng, Lớp D04VT1 11 Đồ án tốt nghiệp đại... VPN là phải điều khiển được quyền truy nhập của khách hàng, các nhà cung cấp dịch vụ cũng như các đối tượng bên ngoài khác Dựa vào hình thức ứng dụng và khả năng mà mạng riêng ảo mang lại, có thể phân chúng thành hai loại như sau: • VPN truy nhập từ xa (Remote Access VPN) • VPN điểm tới điểm (Site-to-Site VPN ): VPN cục bộ (Intranet VPN) VPN mở rộng (Extranet VPN) 1.4.1 VPN truy nhập từ xa Các VPN. .. Lớp D04VT1 2 Đồ án tốt nghiệp đại học Chương I: Giới thiệu tổng quan về VPN giá trị của VPN, các thuật ngữ liên quan đến VPN, cũng như trình bày tổng quát các phương thức hoạt động hiện nay của các VPN, để tạo điều kiện cho việc lựa chọn phương thức thích hợp, hiệu quả nhất để xây dựng một VPN 1.2 Những lợi ích do VPN đem lại VPN mang lại lợi ích thực sự và tức thời cho công ty Có thể dùng VPN để đơn... Internet 1.4.2.2 VPN mở rộng VPN mở rộng được cấu hình như một VPN điểm tới điểm, cung cấp đường hầm bảo mật giữa các khách hàng, nhà cung cấp và đối tác thông qua một cơ sở hạ tầng mạng công cộng (hình 1.3) Kiểu VPN này sử dụng các kết nối luôn được bảo mật và nó không bị cô lập với thế giới bên ngoài như các trường hợp VPN cục bộ hay truy nhập từ xa Hình 1. 3: Mô hình VPN mở rộng Giải pháp VPN mở rộng... Internet kết hợp với các công nghệ chuyển mạch tốc độ cao Tuy nhiên giải pháp mạng cục bộ dựa trên VPN cũng có những nhược điểm đi cùng nh : Nguyễn Mạnh Hùng, Lớp D04VT1 8 Đồ án tốt nghiệp đại học - Chương I: Giới thiệu tổng quan về VPN Do dữ liệu được truyền “ngầm” qua mạng công cộng như Internet nên vẫn còn những mối đe dọa về mức độ bảo mật dữ liệu và chất lượng dịch vụ (QoS) Khả năng các gói dữ liệu... nhập của khách hàng, các nhà cung cấp dịch vụ hoặc các đối tượng bên ngoài khác Khả năng ứng dụng của VPN là rất lớn Theo như dự đoán của nhiều hãng trên thế giới thì VPN sẽ là dịch vụ phát triển mạnh trong tương lai Nguyễn Mạnh Hùng, Lớp D04VT1 13 Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN CHƯƠNG II: IPSEC Các giao thức nguyên thủy TCP/IP không bao gồm các đặc tính vốn có... cập đến các tài nguyên trong VPN bất cứ khi nào, ở đâu mà nó cần Đường truyền trong Access VPN có thể là tương tự, quay số, ISDN, các đường thuê bao số (DSL), IP di động và cáp để nối các người dùng di chuyển, máy tính từ xa hay các văn phòng lại với nhau Ví dụ minh họa trên hình 1.5 Nguyễn Mạnh Hùng, Lớp D04VT1 10 Đồ án tốt nghiệp đại học Chương I: Giới thiệu tổng quan về VPN Hình 1. 4: Dùng VPN để... xem như VPN cục bộ Ngược lại, nó có thể được coi là mở rộng Vấn đề truy nhập giữa các điểm phải được kiểm soát chặt chẽ bởi các thiết bị tương ứng Nguyễn Mạnh Hùng, Lớp D04VT1 7 Đồ án tốt nghiệp đại học Chương I: Giới thiệu tổng quan về VPN 1.4.2.1 VPN cục bộ VPN cục bộ là một dạng cấu hình tiêu biểu của VPN điểm tới điểm, được sử dụng để bảo mật các kết nối giữa các địa điểm khác nhau của một công ty... đại học Chương I: Giới thiệu tổng quan về VPN mạng dành riêng cục bộ và ISP địa phương để kết nối đến Internet Phần mềm VPN sử dụng các cuộc nối ISP nội bộ và Internet công cộng để tạo một VPN giữa các văn phòng chi nhánh và bộ định tuyến của các hub hợp nhất - Dùng đường dây quay số để kết nối một văn phòng chi nhánh đến LAN: Bộ định tuyến ở văn phòng chi nhánh quay số đến ISP, phầm mềm VPN sử dụng cuộc... VPN không hoạt động giống như một bộ định tuyến giữa các mạng hợp nhất và các LAN Một bộ định tuyến sẽ kết nối đến hai mạng, cho phép quyền truy cập đến LAN Bằng cách sử dụng một VPN, người quản trị mạng có thể đảm bảo rằng chỉ có những người dùng đó trên các mạng hợp nhất có các tiêu chuẩn phù hợp (dựa trên một chính sách của công ty) có thể thiết lập một VPN với máy chủ VPN và truy cập được đến các . Chỉ số thông số an ninh SHA-1 Secure Hash Algorithm-1 Thuật toán băm SHA-1 SPE (Sonet) Synchronous Payload Envelop Đường bao tải hiệu dụng đồng bộ Nguyễn Mạnh Hùng, Lớp D04VT1 viii Đồ án tốt nghiệp. liệu VPN qua mạng MPLS 72 Hình 3.10: Mô hình ống chất lượng dịch vụ trong MPLS – VPN 77 Hình 3.11: Mô hình vòi chất lượng dịch vụ trong MPLS – VPN 78 Nguyễn Mạnh Hùng, Lớp D04VT1 v Đồ án tốt. file FCS Frame Check Sequence Chuỗi kiểm tra khung FR Frame Relay Chuyển tiếp khung G GRE Generic Routing Encapsulation Đóng gói định tuyến chung H HMAC Hashed-keyed Message Authenticaiton Code Mã