đồ án: giải pháp kết hợp MPLS và VPN và triển khai dịch vụ mạng riêng ảo trên nền công nghệ chuyển mạch nhãn đa giao thức áp dụng cho thực tế.

đồ án:giải pháp kết hợp MPLS và VPN và triển khai dịch vụ mạng riêng ảo trên nền công nghệ chuyển mạch nhãn đa giao thức áp dụng cho thực tế.

MỤC LỤC

MỤC LỤC i

DANH MỤC HÌNH VẼ iii

DANH MỤC BẢNG BIỂU v

THUẬT NGỮ VIẾT TẮT vi

LỜI NÓI ĐẦU ix

CHƯƠNG I 1

CÔNG NGHỆ MPLS-VPN 1

1.1 Giới thiệu chung về VPN 1

1.1.1 Khái niệm VPN 1

1.1.2 Chức năng và ưu điểm của VPN 2

1.1.2.1 Chức năng 2

1.1.2.2 Ưu điểm 2

1.1.3 Phân loại VPN 4

1.1.3.1 Mạng VPN truy nhập từ xa 5

1.1.3.2 Mạng VPN cục bộ 6

1.1.3.3 Mạng VPN mở rộng 8

1.1.3.4 Tại sao sử dụng công nghệ MPLS- VPN? 9

1.2 Giới thiệu chung về MPLS 11

1.2.1 Mô hình định tuyến lớp mạng 12

1.2.2 Công nghệ ATM và mô hình hướng kết nối 12

1.3 Các thành phần và hoạt động của MPLS 13

1.3.1 Nhãn 14

1.3.2 Mặt phẳng dữ liệu và điều khiển IP 15

1.3.3 Mặt phẳng điều khiển và mặt phẳng dữ liệu MPLS 16

1.4 Công nghệ MPLS-VPN 19

1.4.1 Các thành phần trong mạng MPLS-VPN 20

1.4.2 Mô hình định tuyến MPLS-VPN 22

1.4.3 Bảng định tuyến và chuyển tiếp ảo 23

1.5 Kết luận chương 23

CHƯƠNG II 26

GIẢI PHÁP TRIỂN KHAI MPLS-VPN 26

2.1 So sánh MPLS-VPN và các kỹ thuật VPN truyền thống 26

2.2 Bảo mật trong mạng MPLS-VPN 30

2.3 Chất lượng dịch vụ trong mạng MPLS-VPN 32

2.4 Khả năng mở rộng và các mô hình MPLS- VPN nâng cao 37

2.4.1 Mô hình MPLS-VPN Inter-AS 38

2.4.1.1 Kết nối giữa các nhà cung cấp với nhau 39

2.4.1.2 Kết nối giữa các AS với nhau sử dụng BGP 41

2.4.2 Mô hình Carrier hỗ trợ Carrier - CSC 42

2.5 Các giải pháp triển khai MPLS-VPN 45

2.5.1 Kết nối Internet và MPLS-VPN chia sẻ 45

2.5.2 Kết nối Internet và MPLS-VPN chia sẻ một phần 46

2.5.3 Kết nối Internet và MPLS-VPN tách biệt hoàn toàn 47

2.6 Kết luận chương 48

CHƯƠNG III 51

TRIỂN KHAI MPLS-VPN TRÊN HỆ THỐNG ROUTER CỦA CISCO 51

3.1 Các bước thực hiện cấu hình MPLS- VPN 51

3.2 Bài toán đặt ra và cách giải quyết 53

3.3 Triển khai MPLS-VPN trên hệ thống router của Cisco 55

3.3.1 Triển khai VPN trên hệ thống router của Cisco trong mô hình MPLS-VPN Inter AS 57

3.3.2 Triển khai VPN trên hệ thống router của Cisco trong mô hình MPLS-VPN CSC 62

3.4 Kết luận chương 68

KẾT LUẬN 68

TÀI LIỆU THAM KHẢO 69

PHỤ LỤC 70

DANH MỤC HÌNH VẼ

Hình 1.1 Mô hình VPN 1

Hình 1.2 Mô hình mạng VPN truy nhập từ xa 5

Hình 1.3 Mô hình mạng VPN cục bộ 7

Hình 1.4 Mô hình mạng VPN mở rộng 8

Hình 1.5 Mô hình cung cấp dịch vụ VPN trên nền MPLS 10

Hình 1.6 Định dạng nhãn 14

Hình 1.7 Mặt phẳng điều khiển và mặt phẳng dữ liệu IP 16

Hình 1.8 Mặt phẳng điều khiển và dữ liệu MPLS 17

Hình 1.9 Các thành phần trong mạng MPLS-VPN 21

Hình 1.10 Chức năng router PE 22

Hình 2.1 Kết nối trong mạng VPN truyền thống 26

Hình 2.2 Mô hình ống QoS trong MPLS-VPN 34

Hình 2.3 Mô hình vòi QoS trong MPLS-VPN 35

Hình 2.4 Mô hình kết nối back-to-back VRF 39

Hình 2.5 Phân phối route giữa hai ASBR sử dụng giao thức external MP-BGP 40

Hình 2.7 Quá trình truyền route trong giải pháp BGP Confederation 42

Hình 2.8 Kết nối MPLS-VPN chia sẻ 46

Hình 2.9 Kết nối Internet và MPLS-VPN chia sẻ một phần 47

Hình 2.10 Kết nối Internet và MPLS-VPN tách biệt hoàn toàn 48

Hình 3.1 Các bước cấu hình MPLS- VPN 51

Hình 3.2 Cấu hình chuyển tiếp MPLS 51

Hình 3.3 Cấu hình giao thức định tuyến BGP trên các router PE 52

Hình 3.4 Định nghĩa VPN VRF và các thuộc tính của nó 52

Hình 3.5 Tạo MPLS-VPN từ CE1 đến CE2 53

Hình 3.6 Quá trình định tuyến và gán nhãn 54

Hình 3.7 Quá trình chuyển tiếp và đặt nhãn 55

Hình 3.7 Mô hình MPLS- VPN Inter AS 57

Hình 3.8 Giao diện GNS3 với mô hình MPLS-VPN Inter AS 59

Hình 3.9 Mô hình MPLS-VPN CSC 62

Hình 3.10 Giao diện GNS3 với mô hình MPLS-VPN CSC 64

DANH MỤC BẢNG BIỂU

Bảng 2.1 So sánh IP Sec-VPN và MPLS-VPN 29

THUẬT NGỮ VIẾT TẮT

A

ASBR Autonomous System Boundary Router

Bộ định tuyến biên trong

hệ tự trịATM Asynchronous Transfer Mode

Chế độ truyền dẫn khôngđồng bộ

B

BGP Border Gateway Protocol

Giao thức cổng đườngbiên

C

CAC Connection Admission Control

Điều khiển chấp nhận kếtnối

CPE Customer Premise Equipment

Thiết bị khách hàng đầutiên

CPU Central Processing Unit Khối xử lý trung tâm

DLCI Data Link Connection Identifer

Nhận dạng kết nối liênkết dữ liệu

DSL Digital Subscriber Line Đường dây thuê bao số

E

EGP External Gateway Protocol Giao thức cổng ngoài

F

FEC Fowarding Equivalent Class

Lớp chuyển tiếp tươngđương

G

GRE Generic Routing Encapsulation Gói định tuyến chung

I

ICMP Internet Control Message Protocol

Giao thức bản tin điềukhiển Internet

IETF Internet Engineering Task Force

Nhóm tác vụ kỹ thuậtInternet

IGP Interior Gateway Protocol Giao thức cổng trongIntServ Integrated Service

Các dịch vụ được tíchhợp

Intermediate System to IntermediaSystem

Hệ thống trung gian đến

hệ thống trung gianISP Internet Service Provider Nhà cung cấp dịch vụ

L

L2TP Layer 2 Tunneling Protocol

Giao thức đường hầm lớp2

LDP Label Distribution Protocol Giao thức phân bổ nhãn

LFIB Label Forwarding Information Base

Cơ sở thông tin chuyểntiếp nhãn

LSP Label Switched Path

Đường dẫn chuyển mạchnhãn

LSR Label Switch Router

Bộ định tuyến chuyểnmạch nhãn

M

MP-iBGP Multi-protocol- iBGP Đa giao thức iBGP

MPLS Multiprotocol Label Switching

Chuyển mạch nhãn đagiao thức

MTU Maximum Transmission Unit Đơn vị truyền dẫn tối đa

O

OSPF Open Shortest Path First

Giao thức đường đi ngắnnhất đầu tiên

P

PBX Private Branch Exchange Tổng đài nhánh riêng

PPTP Point-to-Point Tunneling Protocol

Giao thức đường hầmđiểm tới điểm

Q

QoS Quality of Service Chất lượng dịch vụ

R

RD Route Distinguisher Tham số phân biệt tuyến

RSVP Resource Resevation Protocol

Giao thức dành trước tàinguyên

T

TCP Transission Control Protocol

Giao thức điều khiểntruyền dẫn

TDP Tag Distribution Protocol Giao thức phân phối thẻ

TE Traffic Engineering Kỹ thuật lưu lượng

V

VCI Virtual Circuit Identifier Nhận dạng kênh ảoVNPT Vietnam Post & Telecommunications

Tổng công ty BCVT ViệtNam

VPI Virtual Path Identifier Nhận dạng đường ảoVPN Virtual Private Network Mạng riêng ảo

VRF Virtual Routing Forwarding

Định tuyến chuyển tiếpảo

W

LỜI NÓI ĐẦU

Sự phát triển nhanh chóng các dịch vụ IP và sự bùng nổ của Internet hiện nay

đã dẫn đến một loạt sự thay đổi trong nhận thức cũng như kinh doanh của các nhà khaithác Giao thức IP thống trị toàn bộ các giao thức lớp 3 Hệ quả là tất cả các xu hướngphát triển đều hướng vào IP, lưu lượng lớn nhất hiện nay trên mạng trục hầu hết đều làlưu lượng IP, dẫn đến các công nghệ lớp dưới đều có xu hướng hỗ trợ các dịch vụ IP.Nhu cầu thị trường cấp bách cho mạng tốc độ cao và bảo mật là cơ sở cho một loạt cáccông nghệ, trong đó có MPLS-VPN

Thông thường, mỗi công nghệ đều có ưu điểm và nhược điểm riêng Vì thế,việc kết hợp các công nghệ để tập hợp các ưu điểm của các công nghệ này cũng nhưkhắc phục các nhược điểm của từng công nghệ là hướng nghiên cứu phát triển của cácnhà cung cấp dịch vụ, việc kết hợp này nhằm đưa ra một công nghệ tương đối hoànthiện để cung cấp tới khách hàng Điều này phù hợp với xu hướng tích hợp công nghệtrong thời đại ngày nay

Việc kết hợp giữa MPLS và VPN cũng nằm trong xu thế này Việc kết hợp nàycho phép tận dụng các ưu điểm về chuyển mạch tiên tiến của MPLS với việc tạo ra cácmạng riêng bảo mật dưới dạng các đường hầm của VPN Đồng thời khắc phục đượccác nhược điểm của MPLS và VPN

Đồ án đặt vấn đề nghiên cứu giải pháp kết hợp MPLS và VPN, trên cơ sở đó đềxuất giải pháp triển khai dịch vụ mạng riêng ảo trên nền công nghệ chuyển mạch nhãn

đa giao thức áp dụng cho thực tế

Đồ án chia làm 3 chương được tóm tắt như sau:

Chương I: Công nghệ MPLS- VPN: Giới thiệu về công nghệ VPN, MPLS Các

thành phần và hoạt động của MPLS-VPN

Chương II: So sánh MPLS-VPN với các kỹ thuật VPN truyền thống Các vấn

đề về bảo mật và chất lượng dịch vụ trong mạng MPLS- VPN Đưa ra khả năng mởrộng và các mô hình MPLS-VPN nâng cao Giải pháp triển khai MPLS-VPN

Chương III: Triển khai MPLS-VPN trên hệ thống router của Cisco

Do nhiều mặt còn hạn chế nên nội dung của đề tài không tránh khỏi những saisót Và trong quá trình tìm hiểu cũng mang nhiều tính chủ quan trong nhìn nhận nênkhông tránh khỏi những hạn chế Em rất mong nhận được ý kiến đóng góp của cácthầy cô và bạn đọc.

Em xin chân thành cảm ơn các thầy cô giáo đã tạo điều kiện tốt trong quá trình

em thực hiện đồ án Đặc biệt, em xin cảm ơn sự quan tâm của thạc sỹ Nguyễn ĐìnhLong đã tận tình hướng dẫn và giúp đỡ em để em có thể hoàn thành đồ án này

Em xin chân thành cảm ơn!

Sinh viên thực hiện

Nguyễn Thị Tới

CHƯƠNG I CÔNG NGHỆ MPLS-VPN 1.1 Giới thiệu chung về VPN

1.1.1 Khái niệm VPN

Mạng riêng ảo VPN được định nghĩa là một kết nối mạng triển khai trên cơ sở

hạ tầng mạng công cộng (như mạng Internet) với các chính sách quản lý và bảo mậtgiống như mạng cục bộ

Mạng riêng

(LAN)

Mạng riêng(LAN)

Router Router

Hình 1.1 Mô hình VPN

Các thuật ngữ dùng trong VPN như sau:

 Virtual- nghĩa là kết nối là động, không được gắn cứng và tồn tại như một kết

nối khi lưu lượng mạng chuyển qua Kết nối này có thể thay đổi và thích ứng vớinhiều môi trường khác nhau và có khả năng chịu đựng những khuyết điểm củamạng Internet Khi có yêu cầu kết nối thì nó được thiết lập và duy trì bất chấp cơ

sở hạ tầng mạng giữa những điểm đầu cuối

 Private- nghĩa là dữ liệu truyền luôn luôn được giữ bí mật và chỉ có thể bị truy

cập bởi những nguời sử dụng được trao quyền Điều này rất quan trọng bởi vì giaothức Internet ban đầu TCP/IP- không được thiết kế để cung cấp các mức độ bảo

mật Do đó, bảo mật sẽ được cung cấp bằng cách thêm phần mềm hay phần cứngVPN.

 Network- là thực thể hạ tầng mạng giữa những người sử dụng đầu cuối, những

trạm hay những node để mang dữ liệu Sử dụng tính riêng tư, công cộng, dây dẫn,

vô tuyến, Internet hay bất kỳ tài nguyên mạng dành riêng khác sẵn có để tạo nềnmạng

Khái niệm mạng riêng ảo VPN không phải là khái niệm mới, chúng đã từngđược sử dụng trong các mạng điện thoại trước đây nhưng do một số hạn chế mà côngnghệ VPN chưa có được sức mạnh và khả năng cạnh tranh lớn Trong thời gian gầnđây, do sự phát triển của mạng thông minh, cơ sở hạ tầng mạng IP đã làm cho VPNthực sự có tính mới mẻ VPN cho phép thiết lập các kết nối riêng với những ngườidùng ở xa, các văn phòng chi nhánh của công ty và đối tác của công ty đang sử dụngchung một mạng công cộng

1.1.2 Chức năng và ưu điểm của VPN

1.1.2.1 Chức năng

VPN cung cấp ba chức năng chính đó là: tính xác thực (Authentication), tínhtoàn vẹn (Integrity) và tính bảo mật (Confidentiality)

 Tính xác thực : Để thiết lập một kết nối VPN thì trước hết cả hai phía phải xác

thực lẫn nhau để khẳng định rằng mình đang trao đổi thông tin với người mìnhmong muốn chứ không phải là một người khác

 Tính toàn vẹn : Đảm bảo dữ liệu không bị thay đổi hay đảm bảo không có bất

kỳ sự xáo trộn nào trong quá trình truyền dẫn

 Tính bảo mật : Người gửi có thể mã hoá các gói dữ liệu trước khi truyền qua

mạng công cộng và dữ liệu sẽ được giải mã ở phía thu Bằng cách làm như vậy,không một ai có thể truy nhập thông tin mà không được phép Thậm chí nếu cólấy được thì cũng không đọc được

1.1.2.2 Ưu điểm

VPN mang lại lợi ích thực sự và tức thời cho các công ty Có thể dùng VPNkhông chỉ để đơn giản hoá việc thông tin giữa các nhân viên làm việc ở xa, người dùng

lưu động, mở rộng Intranet đến từng văn phòng, chi nhánh, thậm chí triển khaiExtranet đến tận khách hàng và các đối tác chủ chốt mà còn làm giảm chi phí chocông việc trên thấp hơn nhiều so với việc mua thiết bị và đường dây cho mạng WANriêng Những lợi ích này dù trực tiếp hay gián tiếp đều bao gồm: Tiết kiệm chi phí(cost saving), tính mềm dẻo (flexibility), khả năng mở rộng (scalability) và một số ưuđiểm khác

 Tiết kiệm chi phí

Việc sử dụng một VPN sẽ giúp các công ty giảm được chi phí đầu tư và chi phíthường xuyên Tổng giá thành của việc sở hữu một mạng VPN sẽ được thu nhỏ, do chỉphải trả ít hơn cho việc thuê băng thông đường truyền, các thiết bị mạng đường trục vàduy trì hoạt động của hệ thống Giá thành cho việc kết nối LAN-to-LAN giảm từ 20%tới 30% so với việc sử dụng đường thuê riêng truyền thống Còn đối với việc truy cập

từ xa giảm từ 60% tới 80%

 Tính linh hoạt

Tính linh hoạt ở đây không chỉ là linh hoạt trong quá trình vận hành và khaithác mà nó còn thực sự mềm dẻo đối với yêu cầu sử dụng Khách hàng có thể sử dụngkết nối T1, T3 giữa các văn phòng và nhiều kiểu kết nối khác cũng có thể được sửdụng để kết nối các văn phòng nhỏ, các đối tượng di động Nhà cung cấp dịch vụ VPN

có thể cung cấp nhiều lựa chọn cho khách hàng, có thể là kết nối modem 56 kbit/s,ISDN 128 kbit/s, xDSL, T1, T3 …

 Khả năng mở rộng

Do VPN được xây dựng dựa trên cơ sở hạ tầng mạng công cộng (Internet), bất

cứ ở nơi nào có mạng công cộng là đều có thể triển khai VPN Mà mạng công cộng cómặt ở khắp mọi nơi nên khả năng mở rộng của VPN là rất linh động Một cơ quan ở xa

có thể kết nối một cách dễ dàng đến mạng của công ty bằng cách sử dụng đường dây

điện thoại hay DSL…Và mạng VPN dễ dàng gỡ bỏ khi có nhu cầu

Khả năng mở rộng băng thông là khi một văn phòng, chi nhánh yêu cầu băngthông lớn hơn thì nó có thể được nâng cấp dễ dàng

 Giảm thiểu các hỗ trợ kỹ thuật

Việc chuẩn hoá trên một kiểu kết nối từ đối tượng di động đến một POP củaISP và việc chuẩn hoá các yêu cầu về bảo mật đã làm giảm thiểu nhu cầu về nguồn hỗtrợ kỹ thuật cho mạng VPN Và ngày nay, khi mà các nhà cung cấp dịch vụ đảmnhiệm các nhiệm vụ hỗ trợ mạng nhiều hơn thì những yêu cầu hỗ trợ kỹ thuật đối vớingười sử dụng ngày càng giảm.

 Giảm thiểu các yêu cầu về thiết bị

Bằng việc cung cấp một giải pháp đơn cho các xí nghiệp truy cập bằng quay sốtruy cập Internet, VPN yêu cầu về thiết bị ít hơn, đơn giản hơn nhiều so với việc bảotrì các modem riêng biệt, các card tương thích (adapter) cho các thiết bị đầu cuối vàcác máy chủ truy cập từ xa Một doanh nghiệp có thể thiết lập các thiết bị khách hàngcho một môi trường đơn, như môi trường T1, với phần còn lại của kết nối được thựchiện bởi ISP Bộ phận T1 có thể làm việc thiết lập kết nối WAN và duy trì bằng cáchthay đổi dải modem và các mạch nhân của Frame Relay bằng một kết nối diện rộngđơn có thể đáp ứng nhu cầu lưu lượng của các người dùng từ xa, kết nối LAN-LAN vàlưu lượng Internet cùng một lúc

 Đáp ứng các nhu cầu thương mại

Các sản phẩm dịch vụ VPN tuân theo chuẩn chung hiện nay, một phần để đảmbảo khả năng làm việc của sản phẩm nhưng có lẽ quan trọng hơn là để sản phẩm củanhiều nhà cung cấp khác nhau có thể làm việc với nhau

Đối với các thiết bị và Công nghệ Viễn thông mới thì vấn đề cần quan tâm làchuẩn hoá, khả năng quản trị, khả năng mở rộng, khả năng tích hợp mạng, tính kếthừa, độ tin cậy và hiệu suất hoạt động, đặc biệt là khả năng thương mại của sản phẩm

 Khả năng điều khiển được quyền truy nhập của khách hàng, các nhà cung cấpdịch vụ hoặc các đối tượng bên ngoài khác.

Dựa vào những yêu cầu cơ bản trên, mạng riêng ảo VPN được phân làm baloại:

 Mạng VPN truy nhập từ xa (Remote Access VPN)

VPN truy nhập từ xa mở rộng mạng công ty tới những người sử dụng thông qua

cơ sở hạ tầng chia sẻ chung, trong khi những chính sách mạng công ty vẫn duy trì.Chúng có thể dùng để cung cấp truy nhập an toàn từ những thiết bị di động, nhữngngười sử dụng di động, những chi nhánh và những bạn hàng của công ty Những kiểuVPN này được thực hiện thông qua cơ sở hạ tầng công cộng bằng cách sử dụng côngnghệ ISDN, quay số, IP di động, DSL và công nghệ cáp, và thường yêu cầu một vàikiểu phần mềm client chạy trên máy tính của người sử dụng

POP

DSL cable

Hình 1.2 Mô hình mạng VPN truy nhập từ xa

Các ưu điểm của mạng VPN truy nhập từ xa so với các phương pháp truy nhập

từ xa truyền thống như:

 Mạng VPN truy nhập từ xa không cần sự hỗ trợ của nhân viên mạng bởi

vì quá trình kết nối từ xa được các ISP thực hiện

 Giảm được các chi phí cho kết nối từ khoảng cách xa bởi vì các kết nốikhoảng cách xa được thay thế bởi các kết nối cục bộ thông qua mạng Internet

 Cung cấp dịch vụ kết nối giá rẻ cho những người sử dụng ở xa

 Bởi vì các kết nối truy nhập là nội bộ nên các Modem kết nối hoạt động

ở tốc độ cao hơn so với các truy nhập khoảng cách xa

 VPN cung cấp khả năng truy nhập tốt hơn đến các site của công ty bởi vìchúng hỗ trợ mức thấp nhất của dịch vụ kết nối

Mặc dù có nhiều ưu điểm nhưng mạng VPN truy nhập từ xa vẫn còn nhữngnhược điểm cố hữu đi cùng như:

 Mạng VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo QoS

 Nguy cơ bị mất dữ liệu cao Hơn nữa, nguy cơ các gói có thể bị phânphát không đến nơi hoặc mất gói

 Bởi vì thuật toán mã hoá phức tạp, nên tiêu đề giao thức tăng một cáchđáng kể

1.1.3.2 Mạng VPN cục bộ

Các VPN cục bộ được sử dụng để bảo mật các kết nối giữa các địa điểm khácnhau của một công ty Mạng VPN liên kết trụ sở chính, các văn phòng, chi nhánh trênmột cơ sở hạ tầng chung sử dụng các kết nối luôn được mã hoá bảo mật Điều này chophép tất cả các địa điểm có thể truy nhập an toàn các nguồn dữ liệu được phép trongtoàn bộ mạng của công ty

Những VPN này vẫn cung cấp những đặc tính của mạng WAN như khả năng

mở rộng, tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phí thấpnhưng vẫn đảm bảo tính mềm dẻo Kiểu VPN này thường được cấu hình như là mộtVPN Site- to- Site

Hình 1.3 Mô hình mạng VPN cục bộ

Những ưu điểm chính của mạng cục bộ dựa trên giải pháp VPN bao gồm:

 Các mạng lưới cục bộ hay toàn bộ có thể được thiết lập (với điều kiện mạngthông qua một hay nhiều nhà cung cấp dịch vụ)

 Giảm được số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi xa

 Bởi vì những kết nối trung gian được thực hiện thông qua mạng Internet, nên

nó có thể dễ dàng thiết lập thêm một liên kết ngang cấp mới

 Tiết kiệm chi phí thu được từ những lợi ích đạt được bằng cách sử dụngđường ngầm VPN thông qua Internet kết hợp với công nghệ chuyển mạch tốc độcao Ví dụ như công nghệ Frame Relay, ATM

Tuy nhiên mạng cục bộ dựa trên giải pháp VPN cũng có những nhược điểm đicùng như:

 Bởi vì dữ liệu được truyền “ngầm” qua mạng công cộng – mạng Internet –cho nên vẫn còn những mối “đe dọa” về mức độ bảo mật dữ liệu và mức độ chấtlượng dịch vụ (QoS)

 Khả năng các gói dữ liệu bị mất trong khi truyền dẫn vẫn còn khá cao

 Trường hợp truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêucầu truyền dẫn tốc độ cao và đảm bảo thời gian thực là thách thức lớn trong môitrường Internet

1.1.3.3 Mạng VPN mở rộng

Không giống như mạng VPN cục bộ và mạng VPN truy nhập từ xa, mạng VPN

mở rộng không bị cô lập với “thế giới bên ngoài” Thực tế mạng VPN mở rộng cungcấp khả năng điều khiển truy nhập tới những nguồn tài nguyên mạng cần thiết để mởrộng những đối tượng kinh doanh như là các đối tác, khách hàng, và các nhà cungcấp…

Intranet

DSL cable

DSL

Hình 1.4 Mô hình mạng VPN mở rộng

Các VPN mở rộng cung cấp một đường hầm bảo mật giữa các khách hàng, cácnhà cung cấp và các đối tác qua một cơ sở hạ tầng công cộng Kiểu VPN này sử dụngcác kết nối luôn luôn được bảo mật và được cấu hình như một VPN Site–to–Site Sựkhác nhau giữa một VPN cục bộ và một VPN mở rộng đó là sự truy cập mạng đượccông nhận ở một trong hai đầu cuối của VPN

Những ưu điểm chính của mạng VPN mở rộng:

 Chi phí cho mạng VPN mở rộng thấp hơn rất nhiều so với mạng truyền thống

 Dễ dàng thiết lập, bảo trì và dễ dàng thay đổi đối với mạng đang hoạt động

 Vì mạng VPN mở rộng được xây dựng dựa trên mạng Internet nên có nhiều

cơ hội trong việc cung cấp dịch vụ và chọn lựa giải pháp phù hợp với các nhu cầucủa mỗi công ty hơn

 Bởi vì các kết nối Internet được nhà cung cấp dịch vụ Internet bảo trì, nêngiảm được số lượng nhân viên kỹ thuật hỗ trợ mạng, do vậy giảm được chi phívận hành của toàn mạng.

Bên cạnh những ưu điểm ở trên giải pháp mạng VPN mở rộng cũng còn nhữngnhược điểm đi cùng như:

 Khả năng bảo mật thông tin, mất dữ liệu trong khi truyền qua mạng công cộngvẫn tồn tại

 Truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêu cầu truyềndẫn tốc độ cao và đảm bảo thời gian thực, là thách thức lớn trong môi trườngInternet

 Làm tăng khả năng rủi ro đối với các mạng cục bộ của công ty

1.1.3.4 Tại sao sử dụng công nghệ MPLS- VPN?

Xu hướng toàn cầu hóa đã buộc các doanh nghiệp, các tổ chức ngày càng phảihiệu quả hóa hệ thống thông tin của chính mình Các Công ty lớn, các tập đoàn xuyênquốc gia hiện nay thường có hệ thống trụ sở, chi nhánh rải rộng trên khắp thế giới.Một số ngành đặc thù như viễn thông, ngân hàng, tài chính…nhu cầu kết nối, giaodịch thông tin giữa các chi nhánh, giữa Công ty và các đối tác là rất lớn Do đó việcphải sử dụng một mạng kết nối - trao đổi thông tin riêng (WAN) trong nội bộ Công ty

có nhiều chi nhánh là vô cùng quan trọng Việc kết nối các Công ty, tổ chức với nhaubằng phương thức bảo mật, tin cậy cũng có ý nghĩa quan trọng vì các thông tin trao đổi

có nhiều thông tin nhạy cảm như chiến lược kinh doanh, kế hoạch tài chính,…

Để đảm bảo các thông tin truyền đi giữa các khu vực địa lý khác nhau được bảomật, điều kiện tiên quyết cần phải có mạng đường trục đáp ứng được các yêu cầu vềbảo mật, vì dữ liệu khi được lưu chuyển trên mạng diện rộng dễ bị lộ nhất Do đó việcxây dựng mạng đường trục có độ ổn định và an toàn cao luôn là yếu tố quan trọng vớicác nhà cung cấp dịch vụ Internet

Với các công nghệ mạng trước đây như Leased Line hoặc Frame Relay hoặcVPN, để kết nối giữa các chi nhánh với Văn phòng, doanh nghiệp sẽ phải đầu tư chiphí rất lớn về cả thiết bị mạng cũng như chi phí sử dụng Tuy nhiên, do hạn chế về

công nghệ, công nghệ mạng truyền thống này rất phức tạp, khó quản trị, và khả năng

mở rộng mạng khó khăn

Giải pháp MPLS-VPN được ứng dụng triển khai với mục tiêu tạo ra một giải

pháp mạng an toàn bảo mật tối ưu, độ trễ thấp, và tích hợp với mọi ứng dụng dữ liệunhư Data, Voice, Video…

Hình 1.5 Mô hình cung cấp dịch vụ VPN trên nền MPLS

Khác với các công nghệ VPN trên Internet (PPTP, L2TP, VPN IPsec), cơ chế

“đường hầm” được thiết lập hoàn toàn trong MPLS core của nhà cung cấp dịch vụ.Mỗi kết nối VPN sẽ thiết lập một “đường hầm” riêng biệt bằng cơ chế gán nhãn vàchuyển tiếp gói IP Mỗi kết nối VPN chỉ nhận một giá trị nhãn duy nhất do thiết bịđịnh tuyến MPLS trong mạng cung cấp, do vậy, mỗi “đường hầm” trong MPLS core

là riêng biệt hoàn toàn Với khả năng che giấu địa chỉ mạng lõi (MPLS core), mọitấn công mạng (Hacker) như DDoS, IP snoofing, Label snoofing sẽ được giảmthiểu tối đa

Các ưu điểm nổi bật của công nghệ MPLS-VPN trong mạng đường trục:

 Đáp ứng mô hình điểm – đa điểm: Cho phép kết nối mạng riêng với

chỉ 1 đường kênh vật lý duy nhất

 Bảo mật an toàn: Bảo mật tuyệt đối trên mạng MPLS core

 Khả năng mở rộng đơn giản: Mọi cấu hình kết nối đều thực hiện tại

mạng MPLS core, thành viên mạng không cần bất kì một cấu hình nào

 Tốc độ cao, đa ứng dụng và cam kết QoS: MPLS-VPN cho phép

chuyển tải dữ liệu lên tới tốc độ Gbps qua hệ thống truyền dẫn cáp quang Không chỉ

là Data, MPLS-VPN có thể triển khai đầy đủ các ứng dụng về thời gian thực nhưVoIP, Video Conferencing với độ trễ thấp nhất Cung cấp các khả năng cam kết tốc

độ và băng thông tối thiểu ( QoS)

Công nghệ MPLS có thể sử dụng kết hợp với nhiều công nghệ khác như IP,ATM, tuy nhiên ứng dụng đáng chú ý nhất hiện nay là sử dụng MPLS trong mạng IP

để xây dựng mạng riêng ảo phục vụ cho nhu cầu kết nối của các tổ chức và doanhnghiệp Với khả năng quản lý và mở rộng dễ dàng và dựa trên cơ sở hạng tầng Internethiện có, ứng dụng này đang được phát triển rất mạnh mẽ tại nhiều khối ngành: cácdoanh nghiệp, các tổ chức tài chính, ngân hàng…đặc biệt là các tổ chức yêu cầu độ tincậy và bảo mật dữ liệu ở mức cao

Đây chính là các cơ sở thực tế để đồ án chọn nghiên cứu giải pháp triển khaiMPLS-VPN

1.2 Giới thiệu chung về MPLS

Chuyển tiếp gói IP truyền thống phân tích địa chỉ IP đích chứa trong tiêu đề củalớp mạng ở mỗi gói Mỗi bộ định tuyến phân tích địa chỉ đích độc lập ở mỗi chặngtrong mạng Giao thức định tuyến động hay tĩnh khi xây dựng cơ sở dữ liệu cần phảiphân tích địa chỉ IP đích tạo ra bảng định tuyến Quá trình này gọi là định tuyếnunicast từng chặng dựa trên đích đến của các gói tin Việc định tuyến bằng các giaothức phi kết nối đáp ứng được nhu cầu đơn giản của khách hàng Khi mạng Internetphát triển và mở rộng, lưu lượng Internet trên mạng bùng nổ, phương thức chuyển tiếpgói hiện tại tỏ ra không hiệu quả, mất tính linh hoạt Do đó cần một kỹ thuật mới đểgán địa chỉ và mở rộng các chức năng của cấu trúc mạng dựa trên IP

MPLS là kết quả của quá trình phát triển nhiều giải pháp chuyển mạch IP vớinhững cố gắng kết hợp các ưu điểm của cả hai công nghệ IP và ATM

1.2.1 Mô hình định tuyến lớp mạng

Trong môi trường phi kết nối truyền thống không phải sử dụng các bản tin báohiệu để thiết lập kết nối, phương thức chuyển tin là chuyển từng chặng một Tất cả cácgói tin được chuyển đi dựa trên các giao thức định tuyến lớp mạng (như giao thức tìmđường ngắn nhất [OSPF] hay giao thức cổng biên [BGP]), hay định tuyến tĩnh Cácrouter xử lí tất cả các gói tin như nhau và có quyền huỷ bỏ các gói tin mà không cầnbất kì thông báo nào cho cả bên gửi và bên nhận Chính vì vậy, IP chỉ cung cấp cácdịch vụ đặc biệt với “nỗ lực tối đa” chứ không thích hợp cho các dịch vụ có yêu cầunghiêm ngặt về QoS Cơ chế phi kết nối gây khó khăn trong việc điều khiển luồng vàphân bổ lưu lượng mạng làm tắc nghẽn tại các nút mạng Các nhà cung cấp dịch vụInternet (ISP) xử lý bằng cách tăng dung lượng các kết nối và nâng cấp router nhưnghiện tượng nghẽn mạch vẫn xảy ra Lý do là các giao thức định tuyến Internet thườnghướng lưu lượng vào cùng một số các kết nối nhất định dẫn tới các kết nối này bị quátải trong khi một số khu vực khác tài nguyên không được sử dụng Đây là tình trạngphân bố tải không đồng đều và sử dụng lãng phí tài nguyên mạng Tuy nhiên, bên cạnhhạn chế như vậy, mô hình phi kết nối cũng có những ưu điểm, đó là: khả năng địnhtuyến gói tin một cách độc lập và cơ cấu định tuyến, chuyển tin đơn giản, hiệu quả,nên mô hình phi kết nối rất phù hợp với các luồng có thời gian kết nối chậm

1.2.2 Công nghệ ATM và mô hình hướng kết nối

ATM là công nghệ chuyển mạch hướng kết nối, tức là kết nối từ điểm đầu đếnđiểm cuối phải được thiết lập trước khi thông tin được gửi đi Việc tạo kết nối mạch ảo

có thể đạt hiệu quả trong mạng nhỏ, nhưng đối với mạng lớn thì những vấn đề có thểxảy ra: Mỗi khi một router mới đưa vào mạng lõi WAN thì mạch ảo phải được thiếtlập giữa router này với các router còn lại để đảm bảo việc định tuyến tối ưu Điều nàylàm lưu lượng định tuyến trong mạng tăng Thông thường việc thiết lập kết nối nàyđược thực hiện bởi giao thức báo hiệu Giao thức này cung cấp các thông tin trạng tháiliên quan đến kết nối cho các chuyển mạch nằm trên đường đã định tuyến Chức năngđiều khiển chấp nhận kết nối CAC đảm bảo rằng các tài nguyên liên quan đến kết nốihiện tại sẽ không được đưa vào để sử dụng cho các kết nối mới Điều này buộc mạngphải duy trì trạng thái của từng kết nối (bao gồm thông tin về sự tồn tại của kết nối vàtài nguyên mà kết nối đó sử dụng) tại các node có dữ liệu đi qua Việc lựa chọn tuyến

được thực hiện dựa trên các yêu cầu về QoS đối với kết nối và dựa trên khả năng củathuật toán định tuyến trong việc tính toán các tuyến có khả năng đáp ứng các yêu cầuQoS đó Do khả năng nhận dạng mạng, khả năng cô lập từng kết nối với các tàinguyên liên quan đến kết nối trong suốt thời gian tồn tại của kết nối mà môi trườnghướng kết nối có thể đảm bảo chất lượng cho từng luồng thông tin Mạng sẽ giám sáttừng kết nối, thực hiện định tuyến lại trong trường hợp có sự cố và việc thực hiện địnhtuyến lại này cũng phải thông qua báo hiệu.

Từ cơ chế truyền tin ta thấy mạng hướng kết nối thích hợp với các ứng dụngyêu cầu phải đảm bảo QoS một cách nghiêm ngặt và các ứng dụng có thời gian kết nốilớn Đối với các ứng dụng có thời gian kết nối ngắn thì môi trường hướng kết nốidường như không thích hợp do thời gian để thiết lập kết nối cũng như tỉ lệ phần thôngtin header lớn Với các loại lưu lượng như vậy thì môi trường phi kết nối với phươngthức định tuyến đơn giản, tránh phải sử dụng các giao thức báo hiệu phức tạp sẽ phùhợp hơn

Như vậy cần có một phương thức chuyển mạch có thể phối hợp ưu điểm của IP(như cơ cấu định tuyến) và của ATM (như phương thức chuyển mạch) Để thực sự phùhợp với mạng đa dịch vụ thì cả hai công nghệ ATM và IP đều phải có những thay đổi,

cụ thể là đưa thêm khả năng phi kết nối vào công nghệ ATM, và khả năng hướng kếtnối vào công nghệ IP

1.3 Các thành phần và hoạt động của MPLS

Phương pháp chuyển mạch nhãn giúp các bộ định tuyến ra quyết định theo nộidung nhãn tốt hơn việc định tuyến phức tạp theo địa chỉ IP đích MPLS là một côngnghệ kết hợp đặc điểm tốt nhất giữa định tuyến lớp ba và chuyển mạch lớp hai chophép chuyển tải gói tin rất nhanh trong mạng lõi (core) và định tuyến tốt ở mạng biên(edge) bằng cách dựa vào nhãn MPLS là một phương pháp cải tiến việc chuyển tiếpgói tin trên mạng bằng các nhãn được gắn với mỗi gói IP, tế bào ATM, hoặc frame lớphai MPLS cho phép các ISP cung cấp nhiều dịch vụ khác nhau mà không cần phải bỏ

đi nền tảng cơ sở hạ tầng sẵn có Cấu trúc MPLS có tính mềm dẻo trong sự phối hợpvới các công nghệ hiện đang sử dụng MPLS hỗ trợ mọi giao thức lớp 2 và triển khaihiệu quả các dịch vụ IP trên một mạng chuyển mạch IP MPLS hỗ trợ việc tạo ra các

tuyến khác nhau giữa nguồn và đích trên một đường trục Internet, bằng việc tích hợpMPLS vào kiến trúc mạng Các ISP có thể giảm chi phí và tăng lợi nhuận, cung cấpnhiều dịch vụ khác nhau và đạt được hiệu quả cạnh tranh cao Đặc điểm của mạng sửdụng công nghệ MPLS đó là:

 MPLS chỉ nằm trên các bộ định tuyến

 Không có thành phần giao thức phía khách hàng

 MPLS là một giao thức độc lập có thể hoạt động cùng với các giao thức khác

IP, IPX, ATM, Frame Relay…

 MPLS làm đơn giản hóa quá trình định tuyến và làm tăng tính linh động củatầng trung gian

Điểm khác biệt quan trọng giữa MPLS và kỹ thuật WAN truyền thống là cáchgán nhãn và khả năng gán một chồng nhãn (stack of label) vào gói tin Khái niệmchồng nhãn mở ra những ứng dụng mới, như quản lý lưu lượng, mạng riêng ảo

1.3.1 Nhãn

Nhãn là một thực thể có độ dài ngắn và không có cấu trúc bên trong Nhãnkhông trực tiếp mã hoá thông tin của mào đầu lớp mạng như địa chỉ lớp mạng Nhãnđược gán vào một gói tin cụ thể sẽ đại diện cho FEC (Forwarding Equivalence Class-lớp chuyển tiếp tương đương) mà gói tin đó được ấn định

Dạng của nhãn phụ thuộc vào phương thức truyền gói tin của lớp 2 Ví dụ các

tế bào ATM sử dụng giá trị VPI/VCI như nhãn, Frame Relay sử dụng DLCI làm nhãn.Đối với các phương tiện gốc không có cấu trúc nhãn, một trường đệm được chèm thêmvào để sử dụng làm nhãn Khuôn dạng trường đệm 4 byte có cấu trúc như sau:

EXP S TTL Label

 Label: có độ dài 20 bit, chứa giá trị nhãn MPLS.

 EXP: có độ dài 3 bit, biểu thị nhóm dịch vụ, tác động đến thuật toán xếphàng đợi và loại bỏ với gói tin

 S : có độ dài 1 bit MPLS cung cấp khả năng sử dụng ngăn xếp nhãn, cónghĩa là nhiều nhãn được gắn vào một gói tin Khi một nhãn chứa bit S có giátrị 1 thì nó là nhãn cuối cùng, nằm ở đáy của ngăn xếp nhãn (tính theo chiều từmào đầu lớp 2 đến mào đầu lớp 3) Thao tác định tuyến được thực hiện dựa trênthông tin của nhãn nằm trên đỉnh ngăn xếp

 TTL: có độ dài 8 bit, có chức năng giống trường TTL trong mào đầu gói IP,

nó quyết định số nút trên mạng mà gói tin có thể đi qua trước khi bị loại bỏnhằm tránh sự quay vòng của gói tin trên mạng Đối với các khung PPP hayEthernet giá trị nhận dạng giao thức được chèn thêm vào đầu mào khung tươngứng để thông báo khung là MPLS unicast hay multicast

Nhãn được gắn thêm vào gói tin IP khi gói đi vào mạng MPLS Nhãn được tách

ra khi gói ra khỏi mạng MPLS Nhãn được chèn vào giữa tiếp đầu lớp ba và tiếp đầulớp 2 Sử dụng nhãn trong quá trình gửi gói sau khi đã thiết lập đường đi MPLS tậptrung vào quá trình hoán đổi nhãn Một trong những thế mạnh của MPLS là tự địnhnghĩa chồng nhãn

Chuyển tiếp gói tin trong MPLS hoàn toàn tương phản với môi trường mạng vôhướng ngày nay, nơi mà các gói tin được phân tích theo từng chặng (hop-by-hop), tiếpđầu lớp 3 được kiểm tra, và một quyết định chuyển tiếp độc lập được tạo ra dựa trênthông tin được trích ra từ giải thuật định tuyến lớp mạng

1.3.2 Mặt phẳng dữ liệu và điều khiển IP

Trong môi trường mạng IP, mặt phẳng điều khiển là tập hợp phần mềm và hoặcphần cứng trong các bộ định tuyến, và thường được dùng để điều khiển các hoạt độngcủa mạng như định tuyến, khôi phục khi có lỗi Công việc của mặt phẳng điều khiển

là cung cấp các dịch vụ cho mặt phẳng dữ liệu Đây là mặt phẳng chịu trách nhiệmtruyền dữ liệu qua bộ định tuyến

Mặt phẳng điều khiển (Lớp định tuyến)

Bảng định tuyến

Mặt phẳng dữ liệu (Lớp chuyển tiếp)

OSPF, IS-IS, BGP OSPF, IS-IS, BGP

ROUTER

Hình 1.7 Mặt phẳng điều khiển và mặt phẳng dữ liệu IP

Trên các giao thức Internet, các mặt phẳng điều khiển chính là các giao thứcđịnh tuyến (OSPF, IS-IS, BGP, ) cho phép IP (trong mặt phẳng dữ liệu) có thể đượcchuyển tiếp đúng Các bản tin điều khiển được thay đổi giữa các router để thực hiệnmột loạt các công việc khác nhau, bao gồm:

 Trao đổi các bản tin giữa các nút để thiết lập một sự nhất trí về các tham

số định tuyến (bao gồm cả sự đồng ý về bảo mật)

 Trao đổi các bản tin một cách tuần hoàn để biết chắc là nút láng giềngđang hoạt động hay không

 Trao đổi các bản tin quảng bá địa chỉ và định tuyến để xây dựng cácbảng định tuyến sử dụng cho mục đích chuyển tiếp IP

Trong hình 1.7 mũi tên chỉ từ mặt phẳng điều khiển đến bảng định tuyến cónghĩa rằng con đường định tuyến được tìm ra bởi các giao thức định tuyến được lưutrữ trong bảng định tuyến Mũi tên hai chiều giữa bảng định tuyến và mặt phẳng dữliệu có nghĩa IP quản lý bảng định tuyến để thực hiện hoạt động chuyển tiếp của nó

1.3.3 Mặt phẳng điều khiển và mặt phẳng dữ liệu MPLS

Cấu trúc được chia ra thành hai thành phần riêng biệt: thành phần chuyển tiếp forwarding (hay còn gọi là mặt phẳng dữ liệu - data plane), và thành phần điều khiển -control (hay còn gọi là mặt phẳng điều khiển - control plane) Thành phần chuyển tiếp

-sử dụng cơ sở dữ liệu chuyển tiếp nhãn (được duy trì bởi một switch nhãn) để thựchiện chuyển tiếp các gói dữ liệu dựa vào việc gán nhãn các gói tin Thành phần điềukhiển chịu trách nhiệm về việc tạo và duy trì thông tin chuyển tiếp nhãn giữa mộtnhóm các switch nhãn liên kết với nhau

Hình 1.8 Mặt phẳng điều khiển và dữ liệu MPLS

Hình 1.8 biểu diễn cấu trúc và chức năng cơ bản của một node MPLS thực hiệnđịnh tuyến IP

 Mặt phẳng điều khiển: tại đây các giao thức định tuyến lớp 3 thiết lậpcác đường đi được sử dụng cho việc chuyển tiếp gói tin Mặt phẳng điều khiển đápứng cho việc tạo ra và duy trì thông tin chuyển tiếp nhãn giữa các router chạy MPLS(còn gọi là binding )

 Mặt phẳng dữ liệu: sử dụng cơ sở dữ liệu chuyển tiếp nhãn được duy trìbởi các router chạy MPLS để thực hiện việc chuyển tiếp các gói tin dựa trên thông tinnhãn

Mỗi MPLS node chạy một hoặc nhiều giao thức định tuyến IP (hoặc có thể sửdụng định tuyến tĩnh) để trao đổi thông tin định tuyến với MPLS node khác trongmạng Trong MPLS, bảng định tuyến IP được sử dụng để quyết định việc trao đổinhãn, tại đó các node MPLS cận kề trao đổi nhãn với nhau theo từng subnet riêng biệt

có trong bảng định tuyến Việc trao đổi nhãn này đươc thực hiện bằng hai giao thức làTDP và LDP TDP là sản phẩm của Cisco, LDP là phiên bản của TDP nhưng do IETFtạo nên Tiến trình điều khiển định tuyến IP MPLS sử dụng việc trao đổi nhãn với cácnode MPLS để xây dựng thành bảng chuyển tiếp nhãn, bảng này là cơ sở dữ liệu củamặt phẳng dữ liệu được sử dụng để chuyển tiếp các gói tin có gắn nhãn qua mạngMPLS

Như vậy công việc chính của mặt phẳng điều khiển là quảng bá nhãn, địa chỉ vàgắn chúng lại với nhau -có nghĩa là kết một nhãn đến một địa chỉ Bộ định tuyếnchuyển mạch nhãn (LSR) là một router được cấu hình để hỗ trợ MPLS LSR sử dụngthông tin trong bảng chuyển tiếp nhãn cơ bản (LFIB) để xử lý một gói MPLS đến, nhưxác định nút kế tiếp mà sẽ nhận gói này LFIB đối với MPLS như một bảng định tuyếnđối với IP Nhiều giao thức có thể hoạt động ở trên mặt phẳng điều khiển của MPLS,RSVP được mở rộng để cho phép sử dụng giao thức này để quảng bá, phân phối, vàkết nhãn cho địa chỉ IP Sự mở rộng giao thức này gọi là RSVP-TE Một giao thức cótên là giao thức phân phối nhãn (LDP) là một tuỳ chọn khác cho việc thực thi trên mặtphẳng MPLS Chúng ta có thể mở rộng các giao thức khác như OSPF và BGP, chúngcũng hoạt động trên mặt phẳng điều khiển đó là các giao thức OSPF-E, BGP-E Cácbản tin điều khiển được trao đổi giữa các LSR để thực hiện một loạt các hoạt động,bao gồm:

 Trao đổi các bản tin giữa các nút để thiết lập mối quan hệ (bao gồm cả bảomật) Sau khi hoạt động này hoàn thành, nút được gọi là các LSR ngang cấp(LSR peer)

 Trao đổi các bản tin một cách tuần hoàn (gọi là bắt tay) để chắc chắn nútláng giềng có hoạt động hay không

 Trao đổi các bản tin về nhãn và địa chỉ để kết địa chỉ với nhãn và xây dựngbảng chuyển tiếp (LFIB), mà được sử dụng bởi mặt phẳng dữ liệu MPLS đểchuyển tiếp các luồng lưu lượng.

Sau khi các nút MPLS đã trao đổi các nhãn và địa chỉ IP cho nhau, chúng sẽ kếtcác nhãn và địa chỉ với nhau Sau đó, mặt phẳng dữ liệu của MPLS sẽ chuyển tất cả dữliệu nhận được bằng việc xem xét nhãn được gắn trong tiêu đề của gói Địa chỉ IPkhông được xem xét cho đến khi gói đã đi ra khỏi mạng, nhãn sau đó bị loại bỏ, và địachỉ IP lại được sử dụng lại trong mặt phẳng dữ liệu IP tại các nút không được cài đặt

để hoạt động MPLS để đến người dùng cuối cùng

Mọi nút MPLS phải chạy một hay nhiều giao thức định tuyến IP (hoặc dựa vàođịnh tuyến tĩnh) để trao đổi thông tin định tuyến IP với các node MPLS khác trongmạng Trong trường hợp này, mọi nút MPLS là một router IP trên mặt phẳng điềukhiển

Trong một nút MPLS, bảng định tuyến IP được sử dụng để xác định nhãn bắtbuộc trao đổi, nơi mà nút MPLS gần kề trao đổi nhãn cho từng subnet nằm trong bảngđịnh tuyến IP Nhãn bắt buộc trao đổi cho việc định tuyến IP dựa trên đích đến xácđịnh được thực hiện sử dụng giao thức độc quyền của Cisco phân phối nhãn (TagDistribution Protocol - TDP) hoặc chuẩn IETF là giao thức phân phối nhãn (LabelDistribution Protocol - LDP)

Quá trình điều khiển định tuyến IP MPLS sử dụng các nhãn trao đổi với cácnode gần kề để xây dựng bảng chuyển tiếp nhãn (Label Forwarding Table - LFT), là

cơ sở dữ liệu mặt phẳng chuyển tiếp được sử dụng để chuyển tiếp các gói tin được gánnhãn thông qua mạng MPLS

thông qua mạng xương sống Trong trường hợp của một mạng IP, điều này có nghĩa lànếu công nghệ cơ sở là kết nối vô hướng (connectionless), nó cũng gần như yêu cầumột dịch vụ kết nối có hướng (connection-oriented) Nhìn từ phía nhà cung cấp dịch

vụ, tính linh hoạt của mô hình VPN overlay sẽ bị giảm đi đáng kể khi phải quản lý vàcung cấp một số lượng lớn các kênh/đường hầm giữa các thiết bị của khách hàng.Nhìn từ phía khách hàng, việc thiết kế giao thức cổng vào ở phía trong (InteriorGateway Protocol) là phức tạp và cũng rất khó quản lý

Mô hình VPN peer-to-peer thiếu sự cô lập giữa các khách hàng và sự cần thiết

về không gian địa chỉ IP liên kết giữa các thiết bị của họ

Với việc đưa ra giao thức chuyển mạch nhãn đa giao thức MPLS, có sự kết hợpcủa chuyển mạch lớp 2 với định tuyến và chuyển mạch lớp 3, nó tạo ra khả năng xâydựng một kỹ thuật kết hợp những ưu điểm của VPN overlay (như là tính bảo mật và sựbiệt lập giữa các khách hàng) và những ưu điểm định tuyến đơn giản khi thực hiện môhình VPN peer-to-peer đem đến Kỹ thuật mới được gọi là MPLS-VPN, làm cho việcđịnh tuyến của khách hàng đơn giản hơn và khả năng cung cấp của nhà cung cấp dịch

vụ cũng đơn giản hơn MPLS cũng bổ sung một số những ưu điểm mới của một kếtnối gần như có hướng vào mẫu định tuyến IP, thông qua việc thiết lập các đườngchuyển mạch nhãn (LSP-Label Switched Path)

Cấu trúc MPLS-VPN cung cấp khả năng tạo ra một mạng riêng thông qua một

cơ sở hạ tầng chung Tuy nhiên các phương pháp được dùng để cung cấp dịch vụ lạikhác nhau

1.4.1 Các thành phần trong mạng MPLS-VPN

Về cơ bản cấu trúc tổ chức của một mạng dữ liệu ứng dụng công nghệ chuyểnmạch nhãn IP/MPLS được mô tả như trong hình 1.9

 Provider network (P-network): Mạng nhà cung cấp, mạng lõi MPLS/IP được

quản trị bởi nhà cung cấp dịch vụ

 Provider router (P-router): Là router chạy trong mạng lõi của nhà cung cấp,

cung cấp việc vận chuyển dọc mạng backbone và không mang các route củakhách hàng

 Provider edge router (PE-router): Router biên của mạng backbone, nó cung

cấp phân phối các route của khách hàng và thực hiện đáp ứng các dịch vụ chokhách hàng từ phía nhà cung cấp

 Autonomous system boundary router (ASBR-router) : Router biên trong một

AS nào đó, nó thực hiện vai trò kết nối với một AS khác AS này có thể có cùnghoặc khác nhà điều hành

 Customer network (C-network): Đây là phần được khách hàng điều khiển

 Customer edge router (CE-router): Router khách hàng đóng vai trò như là

gateway giữa mạng C và mạng P Router CE được quản trị bởi khách hàng hoặc

có thể được nhà cung cấp dịch vụ quản lý Các phần liên tục của mạng C đượcgọi là site và được nối với mạng P thông qua router CE

1.4.2 Mô hình định tuyến MPLS-VPN

MPLS-VPN giống như mô hình mạng ngang cấp với router dành riêng Từ mộtrouter CE, chỉ cập nhật IPv4, dữ liệu được chuyển tiếp đến router PE CE không cầnbất kỳ một cấu hình riêng biệt nào cho phép nó tham gia vào miền MPLS-VPN Yêucầu duy nhất trên CE là một giao thức định tuyến (hay tuyến tĩnh(static)/tuyến ngầmđịnh (default)) cho phép nó trao đổi thông tin định tuyến IPv4 với các router PE Trong

mô hình MPLS-VPN, router PE thực hiện rất nhiều chức năng Trước tiên nó phảiphân tách lưu lượng khách hàng nếu có nhiều hơn một khách hàng kết nối tới nó

Global Routing Table

Vitual Routing Table Customer A Vitual Routing Table Customer B

IPv4 routes

Customer A IPv4 routes

Vitual Routing Table Customer A Vitual Routing Table Customer B

Customer A Site2

Customer B Site2 Router CE

Router CE

Router PE

Customer B IPv4 routes

Customer A IPv4 routes

Hình 1.10 Chức năng router PE

Mỗi khách hàng được gắn với một bảng định tuyến độc lập Định tuyến quabackbone thực hiện bằng một tiến trình định tuyến trong bảng định tuyến toàn cục.Router P cung cấp chuyển mạch nhãn giữa các router biên của nhà cung cấp và khôngbiết đến các tuyến VPN Các router CE trong mạng khách hàng không nhận biết đượccác router P và do đó cấu trúc mạng nội bộ của mạng nhà cung cấp trong suốt đối vớikhách hàng

1.4.3 Bảng định tuyến và chuyển tiếp ảo

Mỗi VPN được kết hợp với một bảng định tuyến - chuyển tiếp ảo (VRF- VirtualRouting and Forwarding tables) riêng biệt VRF cung cấp các thông tin về mối quan hệtrong VPN của một site khách hàng khi được nối với PE router Bảng VRF bao gồmthông tin bảng định tuyến IP (IP routing table), bảng CEF (Cisco Express Forwarding),các giao diện của forwarding table; các quy tắc, các tham số của giao thức địnhtuyến Mỗi site chỉ có thể kết hợp với một và chỉ một VRF Các VRF của site kháchhàng mang toàn bộ thông tin về các “tuyến” có sẵn từ site tới VPN mà nó là thànhviên

Đối với mỗi VRF, thông tin sử dụng để chuyển tiếp các gói tin được lưu trongcác IP routing table và CEF table Các bảng này được duy trì riêng rẽ cho từng VRFnên nó ngăn chặn được hiện tượng thông tin bị chuyển tiếp ra ngoài mạng VPN cũngnhư ngăn chặn các gói tin bên ngoài mạng VPN chuyển tiếp vào các router bên trongmạng VPN

VRF chứa một bảng định tuyến IP tương ứng với bảng định tuyến IP toàn cục,một bảng CEF, liệt kê các giao tiếp tham gia vào VRF, và một tập hợp các nguyên tắcxác định giao thức định tuyến trao đổi với các router CE VRF còn chứa các định danhVPN (VPN identifier) như thông tin thành viên VPN

vụ hoặc các đối tượng bên ngoài khác Do vậy, khả năng ứng dụng của VPN là rất lớn

MPLS- “chuyển mạch nhãn đa giao thức” như tên gọi của nó đã nói lên đầy đủđặc điểm của công nghệ này Cụm từ “chuyển mạch nhãn” nghĩa là việc hoán đổi nhãnđược sử dụng như một kỹ thuật chuyển tiếp nằm ở lớp dưới, còn cụm từ “đa giaothức” nghĩa là nó có thể hỗ trợ nhiều loại giao thức lớp mạng khác nhau chứ không chỉriêng IP Đồng thời, các nhà cung cấp mạng cũng có thể cấu hình để chạy MPLS trênnhiều công nghệ lớp 2 khác nhau như PPP, Ethernet, Frame Relay, hay ATM,…

Trong chương này đã nêu lên các ưu điểm của công nghệ MPLS- VPN và đó là

lí do vì sao nên lựa chọn sử dụng MPLS- VPN Bên cạnh đó, giới thiệu chung về VPN

và MPLS, các thành phần và hoạt động của MPLS; các thành phần và mô hình địnhtuyến trong mạng MPLS- VPN, bảng định tuyến và chuyển tiếp ảo Đó là những đặcđiểm cơ bản làm nền tảng để đưa ra các giải pháp triển khai MPLS- VPN ở chươngsau

CHƯƠNG II GIẢI PHÁP TRIỂN KHAI MPLS-VPN 2.1 So sánh MPLS-VPN và các kỹ thuật VPN truyền thống

Các mạng VPN truyền thống sử dụng các chức năng bảo mật như: tạo đườnghầm (Tunneling), mã hoá dữ liệu (Encryption), chứng thực (Authentication) với mụcđích đạt được khả năng bảo mật khi truyền dữ liệu giữa hai đầu cuối Có rất nhiều cácgiao thức khác nhau được sử dụng cho các mạng VPN này như: GRE, PPTP, L2TP, vàIPSec Chúng đều dựa trên hoạt động tạo đường truyền riêng và sử dụng các thuật toán

mã hóa dữ liệu Xét một ví dụ Site A nối với site B thông qua mạng Internet công cộng

sử dụng giao thức IPSec với mã hóa 3DES

Hình 2.1 Kết nối trong mạng VPN truyền thốngHạn chế đầu tiên và cũng là dễ nhận thấy nhất ở IPSec đó là làm giảm hiệunăng của mạng Khi xét đường đi của một gói tin được gửi từ máy tính A trong mạng

A đến máy tính B trong mạng B Gói tin từ máy tính A sẽ được gửi đến A

CPE-A sẽ kiểm tra gói tin xem liệu nó có cần thiết phải chuyển đến CPE-B hay không.Trong một môi trường mạng không có VPN thì gói tin sẽ được truyền ngay đến CPE-

B Tuy nhiên, với giao thức IPSec, CPE-A phải thực hiện một số thao tác trước khi gửi

gói tin đi Đầu tiên, gói tin được mã hóa, sau đó đóng gói vào các gói IP, hoạt độngnày tiêu tốn thời gian và gây trễ cho gói tin Tiếp theo gói tin sẽ được đưa vào trongmạng của nhà cung cấp dịch vụ Lúc này, nếu gói tin mới được tạo thành có kích thướclớn hơn kích thước tối đa cho phép truyền (MTU-Maximum Transmission Unit) trênbất cứ một liên kết nào giữa CPE-A và CPE-B thì gói tin sẽ cần phải được phân mảnhthành hai hay nhiều gói tin nhỏ hơn Điều này chỉ xảy ra trong trường hợp bit DF(Don't Fragment) không được thiết lập, còn trong trường hợp bit DF được thiết lập thìgói tin sẽ bị mất và một bản tin ICMP (Internet Control Message Protocol) sẽ được gửilại phía phát Khi gói tin đến được CPE-B, nó sẽ được mở gói và giải mã, hai hoạtđộng này tiếp tục làm trễ gói tin trong mạng Cuối cùng, CPE-B sẽ chuyển tiếp gói tinđến máy tính B.

Thời gian trễ trong mạng sẽ phụ thuộc vào độ phức tạp và tốc độ xử lý của cácCPE Các thiết bị CPE chất lượng thấp thường phải thực hiện hầu hết các chức năngIPSec bằng phần mềm khiến trễ trong mạng lớn Các thiết bị CPE với khả năng thựchiện các chức năng IPSec bằng phần cứng có thể tăng tốc độ xử lý gói tin lên rất nhiềunhưng chi phí cho các thiết bị này là rất đắt Điều này dẫn đến chi phí triển khai mộtmạng IPSec VPN là rất tốn kém

Từ ví dụ trên, ta dễ dàng nhận thấy các mạng IPSec VPN là mạng lớp trên củamạng IP và sự trao đổi thông tin trong mạng được thực hiện bằng cách thiết lập cácđường hầm giữa các site Điều này sẽ tạo nên những cấu hình mạng không tối ưu Để

rõ hơn về vấn đề này, ta sẽ xét hai cấu hình mạng, cấu hình hình sao và cấu hình mạnglưới

Cấu hình mạng hình sao bao gồm một site trung tâm (hub) được nối với rất cácsite ở xa (spoke) khác Trong cấu hình này, CPE của site trung tâm thường là một thiết

bị rất đắt tiền và phụ thuộc vào số lượng spoke cần kết nối đến Và mỗi một spoke này

sẽ thiết lập một đường hầm IPSec đến site trung tâm Cấu hình mạng này không phùhợp cho truyền thông giữa các site nhánh (spoke) với nhau vì gói tin từ spoke này đếnspoke kia phải đi qua site trung tâm và tại site trung tâm này sẽ lặp lại các tác vụ nhưđóng mở gói tin, xác định đường chuyển tiếp, mã hóa và giải mã đối với mỗi gói tin điqua nó Có nghĩa là mỗi gói tin sẽ phải đi qua hai đường hầm IPSec dẫn đến trễ xử lý

cho mỗi gói tin sẽ tăng gấp đôi so với trường hợp hai spoke có thể trao đổi thông tintrực tiếp với nhau.

Giải pháp duy nhất để khắc phục hiện tượng trên là thiết lập một mạng mắtlưới Tuy nhiên, cấu hình này có rất nhiều hạn chế, và điểm hạn chế lớn nhất là khảnăng mở rộng mạng Số lượng các tunnel cần thiết để hỗ trợ một mạng mắt lưới IPSec

về phương diện hình học sẽ tăng cùng với số lượng site

Một điểm chúng ta cần phải cân nhắc khi triển khai các mạng VPN đó là cácthiết bị CPE Mỗi nhà cung cấp cần phải chắc chắn rằng tất cả các CPE sẽ hoạt độngtương thích với nhau Giải pháp đơn giản và và hiệu quả nhất là sử dụng cùng một loạiCPE trong mỗi vùng, tuy nhiên, điều này không phải bao giờ cũng thực hiện được donhiều yếu tố khác nhau Tuy ngày nay sự tương thích không phải là một vấn đề lớnnhưng nó vẫn cần phải được quan tâm khi hoạch định một giải pháp mạng IPSec VPN

Mỗi một CPE phải đóng vai trò như là một router và có khả năng hỗ trợtunneling Những CPE với chức năng bổ sung này đòi có giá thành rất cao nên cáchduy nhất để triển khai IPSec trong một mạch cầu là tải các phần mềm IPSec client vàotất cả các PC phía sau cầu Giải pháp này đòi hỏi sự hỗ trợ khách hàng cao dẫn đếnnhững khó khăn trong quản lý mạng

Khai thác và bảo dưỡng cũng là một vấn đề nữa của các mạng IPSec VPN vìmỗi một đường hầm IPSec đều phải được thiết lập bằng tay Cấu hình cho một đườnghầm IPSec đơn lẻ không phải là vấn đề thế nhưng thời gian để thiết lập và duy trì mộtmạng VPN với nhiều site sẽ tăng lên đáng kể khi kích thước mạng được mở rộng đặcbiệt là với mạng VPN có cấu hình “full mesh” thì các nhà cung cấp dịch vụ sẽ gặpnhiều khó khăn trong hỗ trợ và xử lý sự cố kỹ thuật

Vấn đề bảo mật cũng cần được quan tâm trong các mạng VPN Mỗi CPE có thểtruy nhập vào mạng Internet công cộng nhưng tin tức vẫn cần được bảo mật trong quátrình truyền giữa các site Vì vậy, mỗi thiết bị CPE phải có biện pháp bảo mật nhấtđịnh (như Firewall) Và sự quản lý các firewall này sẽ trở nên rất khó khăn nhất là khikích thước của mạng rất lớn Với một mạng VPN khoảng 100 nút mạng, sẽ cần 100firewall và mỗi khi cần một sự thay đổi nhỏ trong chính sách (policy) của firewall,

chúng ta phải tiếp cận cả 100 firewall này trong mạng Rõ ràng đây là một điểm hạnchế lớn của các mạng IPSec VPN về khía cạnh bảo mật.

Dưới đây, ta có bảng so sánh IP Sec-VPN và MPLS-VPN :

vụ, định nghĩa truy nhập tớinhóm dịch vụ trong khi cấuhình, từ chối các truy nhậpkhông hợp pháp

Xác thực qua chứng thực số hoặckhóa xác định trước

Loại bỏ gói không phù hợp vớichính sách bảo mật

Tính riêng

tư

Tách lưu lượng thành nhữngluồng riêng biệt

Sử dụng mã hóa và kỹ thuật đườnghầm thích hợp tại lớp địa chỉ mạng.QoS và

SLA

Cho phép lập các SLA vớinhiều mức, có các kỹ thuật đảmbảo QoS và kỹ thuật lưu lượng

Không chỉ ra các QoS và SLA trựctiếp

Khả năng

mở rộng

Có khả năng mở rộng cao vìkhông yêu cầu cấu hình đầy đủhoặc ngang hàng

Chấp nhận các mở rộng theo kiểuHub-and-Spoke Khả năng mở rộngkéo theo hàng loạt các thách thức về

kế hoạch, phân phối các khóa, quản

lý khóa và cấu hình các thiết bịngang hàng