Đề tài : CÔNG NGHỆ VPN – MPLS. THỰC TIỄN TRIỂN KHAI CUNG CẤP DỊCH VỤ Luận văn chia làm 4 chương và 1 phụ lục, được tóm tắt như sau: Chương 1: Nêu lên nhu cầu kết nối với các công ty lớn có nhiều chi nhánh, một số ngành đặc thù cần độ tin cậy và bảo mật dữ liệu ở mức cao như tài chính, ngân hàng. Chương 2: Trình bày các công nghệ mạng riêng ảo. Các thành phần và hoạt động của MPLS Chương 3: So sánh MPLSVPN với các kỹ thuật VPN truyền thống. Đưa ra khả năng mở rộng và các mô hình MPLSVPN nâng cao. Thiết kế các mô hình triển khai MPLSVPN. Chương 4: Trình bày phương án triển khai dịch vụ mạng riêng ảo trên nền công nghệ chuyển mạch nhãn đa giao thức phía nhà cung cấp dịch vụ và triển khai phía đầu cuối.
Trang 1LỜI CẢM ƠN
Trong suốt quá trình nghiên cứu và thực hiện Luận văn, tôi đã nhận được sựđộng viên, giúp đỡ tận tình của TSKH Hoàng Đăng Hải, người trực tiếp hướng dẫn tôihoàn thành luận văn này Đầu tiên, tôi xin được bày tỏ lòng biết ơn sâu sắc về sự giúp
đỡ quý báu của thầy
Tôi xin chân thành cảm ơn các thầy cô giáo trong Khoa Quốc tế và Sau Đại Học– Học viện Công nghệ Bưu chính Viễn thông đã dạy bảo, giúp đỡ tôi trong suốt khóahọc cao học, để tôi có được những kiến thức như ngày hôm nay và cụ thể là qua nhữngkết quả Luận văn này đã phần nào thể hiện
Tôi xin cảm ơn sự trợ giúp, động viên to lớn về mặt vật chất cũng như tinh thầncủa gia đình, người thân, bạn bè và đồng nghiệp, tạo điều kiện cho tôi hoàn thành luậnvăn này
Trang 2MỤC LỤC
LỜI GIỚI THIỆU iii
CHƯƠNG 1: TỔNG QUAN VỀ VPN MPLS v
CHƯƠNG 2: CÔNG NGHỆ MPLS, VPN, VPN-MPLS x
2.1 GIỚI THIỆU MPLS x
2.1.1 Mô hình định tuyến lớp mạng x
2.1.2 Công nghệ ATM và mô hình hướng kết nối xi
2.2 CÁC THÀNH PHẦN VÀ HOẠT ĐỘNG MPLS xii
2.2.1 Nhãn –Label xiii
2.2.2 Mặt phẳng dữ liệu và điều khiển IP xiv
2.2.3 Mặt phẳng điều khiển và mặt phẳng dữ liệu MPLS xvi
2.3 TỔNG QUAN VỀ VPN xix
2.4 CÔNG NGHỆ MPLS/VPN xxi
2.4.1 Các thành phần trong mạng MPLS/VPN xxii
2.4.2 Mô hình định tuyến MPLS VPN xxiii
2.4.3 Bảng định tuyến và chuyển tiếp VPN xxiv
CHƯƠNG 3: CÁC MÔ HÌNH TRIỂN KHAI xxvi
VPN-MPLS TRONG THỰC TẾ xxvi
3.1 SO SÁNH MPLS/VPN VÀ CÁC KỸ THUẬT VPN TRUYỀN THỐNG VẤN ĐỀ BẢO MẬT TRONG MPLS/VPN xxvi
3.1.1 Các mạng VPN truyền thống xxvi
3.1.2 Công nghệ MPLS/VPN – Bảo mật trong mạng MPLS/VPN xxviii
3.2 KHẢ NĂNG MỞ RỘNG VÀ CÁC MÔ HÌNH MPLS/VPN NÂNG CAO xxxiii
3.2.1 Inter-AS MPLS/VPN xxxv
3.2.2 Carrier’s Carrier xxxix 3.3 CÁC MÔ HÌNH TRIỂN KHAI MPLS/VPN xli 3.3.1 Kết nối Internet và MPLS VPN chia sẻ xlii 3.3.2 Kết nối Internet và MPLS VPN chia sẻ một phần xliii 3.3.3 Kết nối Internet và MPLS VPN tách biệt hoàn toàn xliv CHƯƠNG 4: TRIỂN KHAI MPLS/VPN xlv 4.1 TRIỂN KHAI MẠNG MPLS/VPN PHÍA NHÀ CUNG CẤP DỊCH VỤ xlv 4.1.1 Cấu hình mạng VDC trước khi nâng cấp xlv 4.1.2 Phương án nâng cấp mạng sử dụng công nghệ MPLS xlvii 4.1.3 Triển khai dịch vụ MPLS-VPN l 4.2 TRIỂN KHAI MẠNG MPLS/VPN PHÍA ĐẦU CUỐI lvi 4.2.1 Mạng giao dịch chứng khoán lvii 4.2.2 Mạng chuyển mạch thanh toán của Công ty Cổ phần Thanh toán Điện tử VNPT (VNPT EPAY) lxvi KẾT LUẬN lxxiii
ii
Trang 3LỜI GIỚI THIỆU
Sự phát triển nhanh chóng các dịch vụ IP và sự bùng nổ của Internet hiện nay đãdẫn đến một loạt sự thay đổi trong nhận thức cũng như kinh doanh của các nhà khaithác Giao thức IP thống trị toàn bộ các giao thức lớp 3 Hệ quả là tất cả các xu hướngphát triển đều hướng vào IP, lưu lượng lớn nhất hiện nay trên mạng trục hầu hết đều làlưu lượng IP, dẫn đến các công nghệ lớp dưới đều có xu hướng hỗ trợ các dịch vụ IP.Nhu cầu thị trường cấp bách cho mạng tốc độ cao và bảo mật là cơ sở cho một loạt cáccông nghệ, trong đó có MPLS/VPN
Thông thường, mỗi công nghệ đều có ưu điểm và nhược điểm riêng của từngcông nghệ Vì thế, việc kết hợp các công nghệ để tập hợp các ưu điểm của các côngnghệ này cũng như khắc phục các nhược điểm của từng công nghệ là hướng nghiêncứu phát triển của các nhà cung cấp dịch vụ, việc kết hợp này nhằm đưa ra một côngnghệ tương đối hoàn thiện để cung cấp tới khách hàng Điều này phù hợp với xu hướngtích hợp công nghệ trong thời đại ngày nay
Việc kết hợp giữa MPLS và VPN cũng nằm trong xu thế này Việc kết hợp nàycho phép tận dụng các ưu điểm về chuyển mạch tiên tiến của MPLS với việc tạo ra cácmạng riêng bảo mật dưới dạng các đường hầm của VPN Đồng thời khắc phục đượccác nhược điểm của MPLS và VPN
Xuất phát từ nhu cầu thực tế về mạng dùng riêng của các cơ quan, tổ chức,doanh nghiệp, từ nhu cầu triển khai mạng chứng khoán và mạng giao dịch thanh toántại Công ty Cổ phần Thanh toán Điện tử VNPT (VNPT EPAY), bài luận văn đặt vấn
đề nghiên cứu giải pháp kết hợp MPLS và VPN, trên cơ sở đó đề xuất phương án triểnkhai dịch vụ mạng riêng ảo trên nền công nghệ chuyển mạch nhãn đa giao thức ápdụng cho thực tế
Luận văn chia làm 4 chương và 1 phụ lục, được tóm tắt như sau:
iii
Trang 4Chương 1: Nêu lên nhu cầu kết nối với các công ty lớn có nhiều chi nhánh, một
số ngành đặc thù cần độ tin cậy và bảo mật dữ liệu ở mức cao như tài chính, ngânhàng Trình bày tổng quan về VPN và công nghệ chuyển mạch nhãn đa giao thức Đưa
ra mô hình VPN tổng quát dựa trên nền công nghệ MPLS trong mạng kết nối
Chương 2: Trình bày các công nghệ mạng riêng ảo Các thành phần và hoạt
động của MPLS Sự kết hợp tạo thành công nghệ VPN-MPLS: Các thành phần trongmạng VPN-MPLS, mô hình định tuyến, bảng định tuyến và chuyển tiếp VNP-MPLS
Chương 3: So sánh MPLS/VPN với các kỹ thuật VPN truyền thống Đưa ra khả
năng mở rộng và các mô hình MPLS/VPN nâng cao Thiết kế các mô hình triển khaiMPLS/VPN
Chương 4: Trình bày phương án triển khai dịch vụ mạng riêng ảo trên nền công
nghệ chuyển mạch nhãn đa giao thức phía nhà cung cấp dịch vụ và triển khai phía đầucuối Cụ thể là triển khai cho mạng chứng khoán và mạng giao dịch thanh toán tạiCông ty Cổ phần Thanh toán Điện tử VNPT (VNPT EPAY)
Phụ lục: Lập trình cấu hình thiết bị và tài liệu tham khảo.
iv
Trang 5CHƯƠNG 1: TỔNG QUAN VỀ VPN MPLS
Xu hướng toàn cầu hóa đã buộc các doanh nghiệp, các tổ chức ngày càng phảihiệu quả hóa hệ thống thông tin của chính mình Các Công ty lớn, các tập đoàn xuyênquốc gia hiện nay thường có hệ thống trụ sở, chi nhánh rải rộng trên khắp thế giới Một
số ngành đặc thù như viễn thông, ngân hàng, tài chính…nhu cầu kết nối, giao dịchthông tin giữa các chi nhánh, giữa Công ty và các đối tác là rất lớn Do đó việc phải sửdụng một mạng kết nối - trao đổi thông tin riêng (WAN) trong nội bộ Công ty có nhiềuchi nhánh là vô cùng quan trọng Việc kết nối các Công ty, tổ chức với nhau bằngphương thức bảo mật, tin cậy cũng có ý nghĩa quan trọng vì các thông tin trao đổi cónhiều thông tin nhạy cảm như chiến lược kinh doanh, kế hoạch tài chính…
Để đảm bảo các thông tin truyền đi giữa các khu vực địa lý khác nhau được bảomật, điều kiện tiên quyết cần phải có mạng đường trục đáp ứng được các yêu cầu vềbảo mật, vì dữ liệu khi được lưu chuyển trên mạng diện rộng dễ bị lộ nhất Do đó việcxây dựng mạng đường trục có độ ổn định và an toàn cao luôn là yếu tố quan trọng vớicác nhà cung cấp dịch vụ Internet
Với các công nghệ mạng trước đây như Leased Line hoặc Frame Relay hoặcVPN, để kết nối giữa các chi nhánh với Văn phòng, doanh nghiệp sẽ phải đầu tư chiphí rất lớn về cả thiết bị mạng cũng như chi phí sử dụng Tuy nhiên, do hạn chế vềcông nghệ, công nghệ mạng truyền thống này rất phức tạp, khó quản trị, và khả năng
mở rộng mạng khó khăn
Mạng riêng ảo VPN (Virtual Private Network) là giải pháp công nghệ chophép thiết lập mạng dùng riêng trên nền mạng công cộng sẵn có bằng cơ chế mã hóa,tạo ra các “đường hầm ảo” thông suốt và bảo mật
v
Trang 6Mạng riêng ảo VPN (Virtual Private Network) là giải pháp công nghệ chophép thiết lập mạng dùng riêng trên nền mạng công cộng sẵn có bằng cơ chế mã hóa,tạo ra các “đường hầm ảo” thông suốt và bảo mật
Thông thường để sử dụng giải pháp mạng riêng ảo, doanh nghiệp sẽ tự đầu tưthiết bị, từ mã hóa và chịu trách nhiệm về mạng của mình Đây là điều rất khó khăncho các doanh nghiệp không chuyên về viễn thông và công nghệ thông tin khi quảntrị hệ thống
MPLS được các hãng cung cấp dịch vụ quan tâm đặc biệt bởi khả năng vượt trộitrong việc cung cấp dịch vụ chất lượng cao qua mạng IP, bởi tính đơn giản, hiệu quả vàquan trọng nhất là khả năng triển khai VPN
MPLS là một công nghệ trong mạng IP, là sự thay đổi của công nghệ IPoA (IPover ATM) truyền thống MPLS sử dụng chế độ tích hợp bởi vậy nó có được các ưuđiểm của cả ATM như tốc độ cao, QoS, điều khiển luồng cũng như độ mềm dẻo, khảnăng mở rộng của IP MPLS không những giải quyết được rất nhiều vấn đề của mạnghiện tại mà còn hỗ trợ được nhiều chức năng mới, do đó có thể nói rằng MPLS là côngnghệ mạng trục IP lý tưởng
Những tiêu chuẩn cơ bản của MPLS đã được IETF (Internet Engineering TaskForce) ban bố dưới dạng RFC ITU-T hiện cũng đang xúc tiến các nghiên cứu liên
vi
Trang 7quan Công nghệ này được coi là giải pháp cơ sở cho IP thế hệ tiếp theo Điều đó đồngnghĩa với việc cung cấp khả năng đáp ứng băng thông, QoS ngày càng cao củaInternet
Giải pháp VPN/MPLS được ứng dụng triển khai với mục tiêu tạo ra một giải
pháp mạng an toàn bảo mật tối ưu, độ trễ thấp, và tích hợp với mọi ứng dụng dữ liệunhư Data, Voice, Video
Mô hình cung cấp dịch vụ VPN trên nền MPLS cơ bản như sau:
Khác với các công nghệ VPN trên Internet (PPTP, L2TP, VPN IP sec), cơ chế
“đường hầm” được thiết lập hoàn toàn trong MPLS core của của nhà cung cấp dịch
vụ Mỗi kết nối VPN sẽ thiết lập một “đường hầm” riêng biệt bằng cơ chế gán nhãn
và chuyển tiếp gói IP (Label Swiching) Mỗi kết nối VPN chỉ nhận 01 giá trị nhãn(Label) duy nhất do thiết bị định tuyến MPLS trong mạng cung cấp, do vậy, mỗi
“đường hầm” trong MPLS core là riêng biệt hoàn toàn Với khả năng che giấu địachỉ mạng lõi (MPLS core), mọi tấn công mạng (Hacker) như DDoS, IP snoofing,Label snoofing sẽ được giảm thiểu tối đa
vii
Trang 8Các ưu điểm nổi bật của công nghệ VPN-MPLS trong mạng đường trục:
- Đáp ứng mô hình điểm – đa điểm: Cho phép kết nối mạng riêng với chỉ
1 đường kênh vật lý duy nhất
- Bảo mật an toàn: Bảo mật tuyệt đối trên mạng core MPLS
- Khả năng mở rộng đơn giản: Mọi cấu hình kết nối đều thực hiện tại mạng
core MPLS, thành viên mạng không cần bất kì một cấu hình nào
- Tốc độ cao, đa ứng dụng và cam kết QoS: VPN MPLS cho phép chuyển tải
dữ liệu lên tới tốc độ Gbps qua hệ thống truyền dẫn cáp quang Không chỉ
là Data, VPN MPLS có thể triển khai đầy đủ các ứng dụng về thời gianthực như VoIP, Video Conferencing với độ trễ thấp nhất Cung cấp cáckhả năng cam kết tốc độ và băng thông tối thiểu ( QoS)
Theo đánh giá của Diễn đàn công nghệ Ovum, VPN/MPLS là công nghệnhiều tiềm năng, đang bước vào giai đoạn phát triển mạnh mẽ nhờ những tính năng
ưu việt hơn hẳn những công nghệ truyền thống Dự kiến cuối năm 2010, VPN MPLS
sẽ dần thay thế hoàn toàn các công nghệ mạng truyền thống đã lạc hậu và là tiền đềtiến tới một hệ thống mạng băng rộng – Mạng thế hệ mới NGN ( Next GenerationNetwork)
Công nghệ MPLS có thể sử dụng kết hợp với nhiều công nghệ khác như IP,ATM, tuy nhiên ứng dụng đáng chú ý nhất hiện nay là sử dụng MPLS trong mạng IP
để xây dựng mạng riêng ảo (VPN) phục vụ cho nhu cầu kết nối của các tổ chức vàdoanh nghiệp Với khả năng quản lý và mở rộng dễ dàng và dựa trên cơ sở hạng tầngInternet hiện có, ứng dụng này đang được phát triển rất mạnh mẽ tại nhiều khối ngành:các doanh nghiệp, các tổ chức tài chính, ngân hàng…đặc biệt là các tổ chức yêu cầu độtin cậy và bảo mật dữ liệu ở mức cao
Đây chính là các cơ sở thực tế để luận văn chọn nghiên cứu giải pháp MPLS Nội dung chính của luận văn là nghiên cứu các mô hình triển khai VPN-MPLS,
VPN-viii
Trang 9đề xuất một giải pháp thiết kế mạng VPN-MPLS khả thi, có thể ứng dụng vào thực tế.Giải pháp thiết kế này có thể áp dụng cho các Công ty, tổ chức có nhiều chi nhánh tạiViệt nam và nước ngoài Kết quả nghiên cứu của bài, các cấu hình chi tiết trên cácRouter Cisco đã đề xuất trong bài đã được thử nghiệm thực tế và đang được triển khai
áp dụng tại nhà cung cấp dịch vụ VDC
Giải pháp triển khai VPN-MPLS trong luận văn bao gồm hai phần: Triển khaicho phía nhà cung cấp dịch vụ VDC và triển khai phía đầu cuối:
- Triển khai VPN-MPLS phía nhà cung cấp dịch vụ: Dựa trên thiết kế mạng
của VDC hiện tại, bài đề xuất nâng cấp mạng theo hướng sử dụng MPLS
VPN Triển khai VPNVPN MPLS phía đầu cuối: Bài đề xuất thiết kế mạng và kết nối
cho các công ty sử dụng VPN-MPLS Bài đã trình bày một ứng dụng cụ thể
là thiết kế đường truyền kết nối cho các Công ty Chứng khoán phục vụ việcnhập lệnh trực tuyến và thiết kế mạng giao dịch thanh toán cho Công ty Cổphần thanh toán Điện tử VNPT EPAY sử dụng VPN-MPLS
ix
Trang 10CHƯƠNG 2: CÔNG NGHỆ MPLS, VPN, VPN-MPLS
2.1 GIỚI THIỆU MPLS
Chuyển tiếp gói IP truyền thống phân tích địa chỉ IP đích chứa trong tiêu đề củalớp mạng ở mỗi gói Mỗi bộ định tuyến phân tích địa chỉ đích độc lập ở mỗi chặngtrong mạng Giao thức định tuyến động hay tĩnh khi xây dựng cơ sở dữ liệu cần phảiphân tích địa chỉ IP đích tạo ra bảng định tuyến Quá trình này gọi là định tuyến unicasttừng chặng dựa trên đích đến của các gói tin Việc định tuyến bằng các giao thức phikết nối đáp ứng được nhu cầu đơn giản của khách hàng Khi mạng Internet phát triển
và mở rộng, lưu lượng Internet trên mạng bùng nổ, phương thức chuyển tiếp gói hiệntại tỏ ra không hiệu quả, mất tính linh hoạt Do đó cần một kỹ thuật mới để gán địa chỉ
và mở rộng các chức năng của cấu trúc mạng dựa trên IP
2.1.1 Mô hình định tuyến lớp mạng
Trong môi trường phi kết nối truyền thống không phải sử dụng các bản tin báohiệu để thiết lập kết nối, phương thức chuyển tin là chuyển từng chặng một Tất cả cácgói tin được chuyển đi dựa trên các giao thức định tuyến lớp mạng (như giao thức tìmđường ngắn nhất [OSPF] hay giao thức cổng biên [BGP]), hay định tuyến tĩnh Cácrouter xử lí tất cả các gói tin như nhau và có quyền huỷ bỏ các gói tin mà không cầnbất kì thông báo nào cho cả bên gửi và bên nhận Chính vì vậy, IP chỉ cung cấp cácdịch vụ đặc biệt với “hiệu quả tốt nhất” chứ không thích hợp cho các dịch vụ có yêucầu nghiêm ngặt về QoS Cơ chế phi kết nối gây khó khăn trong việc điều khiển luồng
và phân bổ lưu lượng mạng làm tắc nghẽn tại các nút mạng Các nhà cung cấp dịch vụInternet (ISP) xử lý bằng cách tăng dung lượng các kết nối và nâng cấp router nhưnghiện tượng nghẽn mạch vẫn xảy ra Lý do là các giao thức định tuyến Internet thườnghướng lưu lượng vào cùng một số các kết nối nhất định dẫn tới các kết nối này bị quátải trong khi một số khu vực khác tài nguyên không được sử dụng Đây là tình trạngphân bố tải không đồng đều và sử dụng lãng phí tài nguyên mạng Tuy nhiên, bên cạnh
x
Trang 11hạn chế như vậy, mô hình phi kết nối cũng có những ưu điểm, đó là: khả năng địnhtuyến gói tin một cách độc lập và cơ cấu định tuyến, chuyển tin đơn giản, hiệu quả, nên
mô hình phi kết nối rất phù hợp với các luồng có thời gian kết nối chậm
2.1.2 Công nghệ ATM và mô hình hướng kết nối
ATM là công nghệ chuyển mạch hướng kết nối, tức là kết nối từ điểm đầu đếnđiểm cuối phải được thiết lập trước khi thông tin được gửi đi Việc tạo kết nối mạch ảo
có thể đạt hiệu quả trong mạng nhỏ, nhưng đối với mạng lớn thì những vấn đề có thểxảy ra: Mỗi khi một router mới đưa vào mạng lõi WAN thì mạch ảo phải được thiết lậpgiữa router này với các router còn lại để đảm bảo việc định tuyến tối ưu Điều này làmlưu lượng định tuyến trong mạng tăng Thông thường việc thiết lập kết nối này đượcthực hiện bởi giao thức báo hiệu Giao thức này cung cấp các thông tin trạng thái liênquan đến kết nối cho các chuyển mạch nằm trên đường đã định tuyến Chức năng điềukhiển chấp nhận kết nối CAC (Connection Admission Control) đảm bảo rằng các tàinguyên liên quan đến kết nối hiện tại sẽ không được đưa vào để sử dụng cho các kếtnối mới Điều này buộc mạng phải duy trì trạng thái của từng kết nối (bao gồm thôngtin về sự tồn tại của kết nối và tài nguyên mà kết nối đó sử dụng) tại các node có dữliệu đi qua Việc lựa chọn tuyến được thực hiện dựa trên các yêu cầu về QoS đối vớikết nối và dựa trên khả năng của thuật toán định tuyến trong việc tính toán các tuyến cókhả năng đáp ứng các yêu cầu QoS đó Do khả năng nhận dạng mạng, khả năng cô lậptừng kết nối với các tài nguyên liên quan đến kết nối trong suốt thời gian tồn tại của kếtnối mà môi trường hướng kết nối có thể đảm bảo chất lượng cho từng luồng thông tin.Mạng sẽ giám sát từng kết nối, thực hiện định tuyến lại trong trường hợp có sự cố vàviệc thực hiện định tuyến lại này cũng phải thông qua báo hiệu
Từ cơ chế truyền tin ta thấy mạng hướng kết nối thích hợp với các ứng dụng yêucầu phải đảm bảo QoS một cách nghiêm ngặt và các ứng dụng có thời gian kết nối lớn.Đối với các ứng dụng có thời gian kết nối ngắn thì môi trường hướng kết nối dườngnhư không thích hợp do thời gian để thiết lập kết nối cũng như tỉ lệ phần thông tin
xi
Trang 12header lớn Với các loại lưu lượng như vậy thì môi trường phi kết nối với phương thứcđịnh tuyến đơn giản, tránh phải sử dụng các giao thức báo hiệu phức tạp sẽ phù hợphơn.
Như vậy cần có một phương thức chuyển mạch có thể phối hợp ưu điểm của IP(như cơ cấu định tuyến) và của ATM (như phương thức chuyển mạch) và để thực sựphù hợp với mạng đa dịch vụ cả hai công nghệ ATM và IP đều phải có những thay đổi,
cụ thể là đưa thêm khả năng phi kết nối vào công nghệ ATM, và khả năng hướng kếtnối vào công nghệ IP
2.2 CÁC THÀNH PHẦN VÀ HOẠT ĐỘNG MPLS
Phương pháp chuyển mạch nhãn giúp các bộ định tuyến ra quyết định theo nộidung nhãn tốt hơn việc định tuyến phức tạp theo địa chỉ IP đích MPLS là một côngnghệ kết hợp đặc điểm tốt nhất giữa định tuyến lớp ba và chuyển mạch lớp hai chophép chuyển tải gói tin rất nhanh trong mạng lõi (core) và định tuyến tốt ở mạng biên(edge) bằng cách dựa vào nhãn MPLS là một phương pháp cải tiến việc chuyển tiếpgói tin trên mạng bằng các nhãn được gắn với mỗi gói IP, tế bào ATM, hoặc frame lớphai MPLS cho phép các ISP cung cấp nhiều dịch vụ khác nhau mà không cần phải bỏ
đi nền tảng cơ sở hạ tầng sẵn có Cấu trúc MPLS có tính mềm dẻo trong sự phối hợpvới các công nghệ hiện đang sử dụng MPLS hỗ trợ mọi giao thức lớp 2 và triển khaihiệu quả các dịch vụ IP trên một mạng chuyển mạch IP MPLS hỗ trợ việc tạo ra cáctuyến khác nhau giữa nguồn và đích trên một đường trục Internet, bằng việc tích hợpMPLS vào kiến trúc mạng, các ISP có thể giảm chi phí tăng lợi nhuận, cung cấp nhiềuhiệu quả khác nhau và đạt được hiệu quả cạnh tranh cao Đặc điểm của mạng sử dụngcông nghệ MPLS:
- MPLS chỉ nằm trên các bộ định tuyến
- Không có thành phần giao thức phía khách hàng
xii
Trang 13- MPLS là một giao thức độc lập có thể hoạt động cùng với các giao thức khác IP,IPX, ATM, Frame relay…
- MPLS làm đơn giản hóa quá trình định tuyến và làm tăng tính linh động củatầng trung gian
Điểm khác biệt quan trọng giữa MPLS và kỹ thuật WAN truyền thống là cáchgán nhãn và khả năng gán một chồng nhãn (stack of label) vào gói tin Khái niệmchồng nhãn mở ra những ứng dụng mới, như quản lý lưu lượng (Traffic Engineering),mạng riêng ảo (Virtual Private Network)
2.2.1 Nhãn –Label.
Nhãn là một thực thể có độ dài ngắn và không có cấu trúc bên trong Nhãnkhông trực tiếp mã hoá thông tin của mào đầu lớp mạng như địa chỉ lớp mạng Nhãnđược gán vào một gói tin cụ thể sẽ đại diện cho FEC (Forwarding Equivalence Class-lớp chuyển tiếp tương đương) mà gói tin đó được ấn định
Dạng của nhãn phụ thuộc vào phương thức truyền gói tin của lớp 2 Ví dụ các tếbào ATM sử dụng giá trị VPI/VCI như nhãn, Frame Relay sử dụng DLCI làm nhãn.Đối với các phương tiện gốc không có cấu trúc nhãn, một trường đệm được chèm thêmvào để sử dụng làm nhãn Khuôn dạng trường đệm 4 byte có cấu trúc như trong hình1.1:
Hình 2.1: Định dạng nhãn
Ý nghĩa của các trường như sau:
- Label: có độ dài 20 bit, chứa giá trị nhãn MPLS
xiii
Trang 14- EXP: có độ dài 3 bit, biểu thị nhóm dịch vụ, tác động đến thuật toán xếp hàngđợi và loại bỏ với gói tin.
- S : có độ dài 1 bit MPLS cung cấp khả năng sử dụng ngăn xếp nhãn, có nghĩa
là nhiều nhãn được gắn vào một gói tin Khi một nhãn chứa bit S có giá trị 1 thì
nó là nhãn cuối cùng, nằm ở đáy của ngăn xếp nhãn (tính theo chiều từ mào đầulớp 2 đến mào đầu lớp 3) Thao tác định tuyến được thực hiện dựa trên thông tincủa nhãn nằm trên đỉnh ngăn xếp
- TTL: có độ dài 8 bit, có chức năng giống trường TTL trong mào đầu gói IP, nóquyết định số nút trên mạng mà gói tin có thể đi qua trước khi bị loại bỏ nhằmtránh sự quay vòng của gói tin trên mạng Đối với các khung PPP hay Ethernetgiá trị nhận dạng giao thức được chèn thêm vào đầu mào khung tương ứng đểthông báo khung là MPLS unicast hay multicast
Nhãn được gắn thêm vào gói tin IP khi gói đi vào mạng MPLS Nhãn được tách
ra khi gói ra khỏi mạng MPLS Nhãn được chèn vào giữa tiếp đầu lớp ba và tiếp đầulớp 2 Sử dụng nhãn trong quá trình gửi gói sau khi đã thiết lập đường đi MPLS tậptrung vào quá trình hoán đổi nhãn Một trong những thế mạnh của MPLS là tự địnhnghĩa chồng nhãn
Chuyển tiếp gói tin trong MPLS hoàn toàn tương phản với môi trường mạng vôhướng ngày nay, nơi mà các gói tin được phân tích theo từng chặng (hop-by-hop), tiếpđầu lớp 3 được kiểm tra, và một quyết định chuyển tiếp độc lập được tạo ra dựa trênthông tin được trích ra từ giải thuật định tuyến lớp mạng
2.2.2 Mặt phẳng dữ liệu và điều khiển IP
Trong môi trường mạng IP, mặt phẳng điều khiển là tập hợp phần mềm và hoặcphần cứng trong các bộ định tuyến, và thường được dùng để điều khiển các hoạt độngcủa mạng như định tuyến, khôi phục khi có lỗi Công việc của mặt phẳng điều khiển
xiv
Trang 15là cung cấp các dịch vụ cho mặt phẳng dữ liệu, mà đây là mặt phẳng chịu trách nhiệmtruyền dữ liệu qua bộ định tuyến
Hình 2.2: Mặt phẳng điều khiển và mặt phẳng dữ liệu IP
Trên các giao thức Internet, các mặt phẳng điều khiển chính là các giao thứcđịnh tuyến (OSPF, IS-IS, BGP, ) cho phép IP (trong mặt phẳng dữ liệu) có thể đượcchuyển tiếp đúng Các bản tin điều khiển được thay đổi giữa các router để thực hiệnmột loạt các công việc khác nhau, bao gồm:
- Trao đổi các bản tin giữa các nút để thiết lập một sự nhất trí về các tham số địnhtuyến (bao gồm cả sự đồng ý về bảo mật)
- Trao đổi các bản tin một cách tuần hoàn để biết chắc là nút láng giềng đang hoạtđộng hay không
- Trao đổi các bản tin quảng bá địa chỉ và định tuyến để xây dựng các bảng địnhtuyến sử dụng cho mục đích chuyển tiếp IP
Trong hình 2.2 mũi tên chỉ từ mặt phẳng điều khiển đến bảng định tuyến cónghĩa rằng con đường định tuyến được tìm ra bởi các giao thức định tuyến được lưu trữ
xv
Trang 16trong bảng định tuyến Mũi tên hai chiều giữa bảng định tuyến và mặt phẳng dữ liệu cónghĩa IP quản lý bảng định tuyến để thực hiện hoạt động chuyển tiếp của nó
2.2.3 Mặt phẳng điều khiển và mặt phẳng dữ liệu MPLS
Cấu trúc được chia ra thành hai thành phần riêng biệt: thành phần chuyển tiếp forwarding (hay còn gọi là mặt phẳng dữ liệu - data plane), và thành phần điều khiển -control (hay còn gọi là mặt phẳng điều khiển - control plane) Thành phần chuyển tiếp
-sử dụng cơ sở dữ liệu chuyển tiếp nhãn (được duy trì bởi một switch nhãn) để thựchiện chuyển tiếp các gói dữ liệu dựa vào việc gán nhãn các gói tin Thành phần điềukhiển chịu trách nhiệm về việc tạo và duy trì thông tin chuyển tiếp nhãn giữa mộtnhóm các switch nhãn liên kết với nhau
Hình 2.3: Mặt phẳng điều khiển và dữ liệu MPLS
Hình 2.3 biểu diễn cấu trúc và chức năng cơ bản của một node MPLS thực hiệnđịnh tuyến IP
xvi
Trang 17- Mặt phẳng điều khiển: tại đây các giao thức định tuyến lớp 3 thiết lập các đường
đi được sử dụng cho việc chuyển tiếp gói tin Mặt phẳng điều khiển đáp ứng choviệc tạo ra và duy trì thông tin chuyển tiếp nhãn giữa các router chạy MPLS(còn gọi là binding )
- Mặt phẳng dữ liệu: sử dụng cơ sở dữ liệu chuyển tiếp nhãn được duy trì bởi cácrouter chạy MPLS để thực hiện việc chuyển tiếp các gói tin dựa trên thông tinnhãn
Mỗi MPLS node chạy một hoặc nhiều giao thức định tuyến IP (hoặc có thể sửdụng định tuyến tĩnh) để trao đổi thông tin định tuyến với MPLS node khác trongmạng Trong MPLS, bảng định tuyến IP được sử dụng để quyết định việc trao đổinhãn, tại đó các node MPLS cận kề trao đổi nhãn với nhau theo từng subnet riêng biệt
có trong bảng định tuyến Việc trao đổi nhãn này đươc thực hiện bằng hai giao thức làTDP và LDP TDP (Tag Distribution Protocol) là sản phẩm của Cisco, LDP (LabelDistribution Protocol) là phiên bản của TDP nhưng do IETF tạo nên Tiến trình điềukhiển định tuyến IP MPLS sử dụng việc trao đổi nhãn với các node MPLS để xây dựngthành bảng chuyển tiếp nhãn (Label Forwarding Table), bảng này là cơ sở dữ liệu củamặt phẳng dữ liệu được sử dụng để chuyển tiếp các gói tin có gắn nhãn qua mạngMPLS
Như vậy công việc chính của mặt phẳng điều khiển là quảng bá nhãn, địa chỉ vàgắn chúng lại với nhau-có nghĩa là kết một nhãn đến một địa chỉ Bộ định tuyếnchuyển mạch nhãn (LSR) là một router được cấu hình để hỗ trợ MPLS LSR sử dụngthông tin trong bảng chuyển tiếp nhãn cơ bản (LFIB) để xử lý một gói MPLS đến, nhưxác định nút kế tiếp mà sẽ nhận gói này LFIB đối với MPLS như một bảng định tuyếnđối với IP Nhiều giao thức có thể hoạt động ở trên mặt phẳng điều khiển của MPLS,RSVP được mở rộng để cho phép sử dụng giao thức này để quảng bá, phân phối, và kếtnhãn cho địa chỉ IP Sự mở rộng giao thức này gọi là RSVP-TE Một giao thức có tên
là giao thức phân phối nhãn (LDP) là một tuỳ chọn khác cho việc thực thi trên mặt
xvii
Trang 18phẳng MPLS Chúng ta có thể mở rộng các giao thức khác như OSPF và BGP, chúngcũng hoạt động trên mặt phẳng điều khiển đó là các giao thức OSPF-E, BGP-E Cácbản tin điều khiển được trao đổi giữa các LSR để thực hiện một loạt các hoạt động, baogồm:
- Trao đổi các bản tin giữa các nút để thiết lập mối quan hệ (bao gồm cả bảo mật).Sau khi hoạt động này hoàn thành, nút được gọi là các LSR ngang cấp (LSRpeer)
- Trao đổi các bản tin một cách tuần hoàn (gọi là bắt tay) để chắc chắn nút lánggiềng có hoạt động hay không
- Trao đổi các bản tin về nhãn và địa chỉ để kết địa chỉ với nhãn và xây dựng bảngchuyển tiếp (LFIB), mà được sử dụng bởi mặt phẳng dữ liệu MPLS để chuyểntiếp các luồng lưu lượng
Sau khi các nút MPLS đã trao đổi các nhãn và địa chỉ IP cho nhau, chúng sẽ kếtcác nhãn và địa chỉ với nhau Sau đó, mặt phẳng dữ liệu của MPLS sẽ chuyển tất cả dữliệu nhận được bằng việc xem xét nhãn được gắn trong tiêu đề của gói Địa chỉ IPkhông được xem xét cho đến khi gói đã đi ra khỏi mạng, nhãn sau đó bị loại bỏ, và địachỉ IP lại được sử dụng lại trong mặt phẳng dữ liệu IP tại các nút không được cài đặt đểhoạt động MPLS để đến người dùng cuối cùng
Mọi nút MPLS phải chạy một hay nhiều giao thức định tuyến IP (hoặc dựa vàođịnh tuyến tĩnh) để trao đổi thông tin định tuyến IP với các node MPLS khác trongmạng Trong trường hợp này, mọi nút MPLS là một router IP trên mặt phẳng điềukhiển
Trong một nút MPLS, bảng định tuyến IP được sử dụng để xác định nhãn bắtbuộc trao đổi, nơi mà nút MPLS gần kề trao đổi nhãn cho từng subnet nằm trong bảngđịnh tuyến IP Nhãn bắt buộc trao đổi cho việc định tuyến IP dựa trên đích đến xácđịnh được thực hiện sử dụng giao thức độc quyền của Cisco phân phối nhãn (Tag
xviii
Trang 19Distribution Protocol - TDP) hoặc chuẩn IETF là giao thức phân phối nhãn (LabelDistribution Protocol - LDP).
Quá trình điều khiển định tuyến IP MPLS sử dụng các nhãn trao đổi với cácnode gần kề để xây dựng bảng chuyển tiếp nhãn (Label Forwarding Table - LFT), là cơ
sở dữ liệu mặt phẳng chuyển tiếp được sử dụng để chuyển tiếp các gói tin được gánnhãn thông qua mạng MPLS
2.3 TỔNG QUAN VỀ VPN.
Theo định nghĩa chuẩn được đưa ra bởi tổ chức Internet Engineering Task Force
(IETF), một mạng VPN là "một sự mở rộng của một mạng diện rộng - Wide Area Network (WAN) - sử dụng mạng IP sẵn có được chia sẻ hoặc công cộng, như Internet hoặc backbones IP " Nói một cách đơn giản, mạng VPN là sự mở rộng của mạng
intranet riêng thông qua mạng công cộng (mạng Internet) bảo đảm kết nối tin cậy vàmang lại lợi nhuận giữa hai điểm truyền thông cuối Mạng intranet riêng được mở rộngvới sự trợ giúp của các đường hầm (tunnel) logic riêng Các đường hầm cho phép haiđiểm cuối trao đổi dữ liệu theo kiểu như kết nối point-to-point Hình 2.4 mô tả một kếtnối VPN đặc trưng
Hình 2.4: Kết nối VPN
xix
Trang 20Mặc dù công nghệ tạo đường hầm là cốt lõi của các mạng VPN, các kỹ thuật vàtiêu chuẩn bảo mật tinh vi cũng được sử dụng để truyền dữ liệu quan trọng được antoàn qua một môi trường không bảo đảm Các kỹ thuật an toàn bao gồm:
- Mã hoá (Encryption): mã hoá là quá trình chuyển dữ liệu sang dạng chỉ có thểđược đọc bởi người nhận được chỉ định Để đọc được thông điệp, người nhậnphải có khoá giải mã chính xác Trong các phương pháp mã hoá truyền thống,người gửi và người nhận sử dụng cùng một khoá để mã hoá và giải mã dữ liệu.Ngược lại, phương pháp mã hoá khoá công cộng (public key) sử dụng hai khoá.Đầu tiên là khoá công cộng, mà bất kỳ ai cũng có thể sử dụng trong suốt quátrình mã hoá và giải mã Mặc dù tên của khoá là khoá công cộng nhưng được sởhữu bởi một thực thể Nếu một thực thể thứ hai muốn trao đổi với thực thể chứakhoá thì nó sử dụng khoá công cộng này Khoá công cộng có một khoá riêng(private key) tương ứng Khoá riêng là riêng cho một thực thể (hoặc một người)tạo ra nó Như vậy, với mã hoá bằng khoá công cộng, ai cũng có thể sử dụngkhoá công cộng của họ để mã hoá và gửi thông điệp Tuy nhiên chỉ có người sởhữu khoá riêng cần thiết mới giải mã được thông điệp này Trong truyền thông,người gửi sẽ dùng khoá công cộng để mã hoá thông điệp Người nhận phục hồithông điệp và giải mã thông điệp được mã hoá sử dụng khoá riêng DataEncryption Standard (DES) là phương pháp mã hoá khoá công cộng phổ biếnnhất
- Chứng thực (Authentication): chứng thực là quá trình bảo đảm dữ liệu được gửiđến người nhận được chỉ định Hơn nữa, chứng thực cũng đảm bảo người nhậnđược thông điệp toàn vẹn Trong dạng đơn giản nhất, chứng thực yêu cầu ít nhất
là username và password để có quyền truy cập vào tài nguyên theo danh nghĩa
Ở dạng phức tạp, chứng thực có thể dựa trên cơ sở mã hoá khoá bí mật key) hoặc mã hoá khoá công cộng
(secret-xx
Trang 21- Cho phép (Authorization): cho phép là quá trình cho phép hoặc từ chối truy cậptới tài nguyên đặt trong một mạng sau khi người dùng được nhận biết và đượcchứng thực.
vụ, tính linh hoạt của mô hình VPN overlay sẽ bị giảm đi đáng kể khi phải quản lý vàcung cấp một số lượng lớn các kênh/đường hầm giữa các thiết bị của khách hàng Nhìn
từ phía khách hàng, việc thiết kế giao thức cổng vào ở phía trong (Interior GatewayProtocol) là phức tạp và cũng rất khó quản lý
Mô hình VPN peer-to-peer thiếu sự cô lập giữa các khách hàng và sự cần thiết
về không gian địa chỉ IP liên kết giữa các thiết bị của họ
Với việc đưa ra giao thức chuyển mạch nhãn đa giao thức MPLS, có sự kết hợpcủa chuyển mạch lớp 2 với định tuyến và chuyển mạch lớp 3, nó tạo ra khả năng xâydựng một kỹ thuật kết hợp những ưu điểm của VPN overlay (như là tính bảo mật và sựbiệt lập giữa các khách hàng) và những ưu điểm định tuyến đơn giản khi thực hiện môhình VPN peer-to-peer đem đến Kỹ thuật mới được gọi là MPLS-VPN, làm cho việcđịnh tuyến của khách hàng đơn giản hơn và khả năng cung cấp của nhà cung cấp dịch
vụ cũng đơn giản hơn MPLS cũng bổ sung một số những ưu điểm mới của một kết nốigần như có hướng vào mẫu định tuyến IP, thông qua việc thiết lập các đường chuyểnmạch nhãn (LSP-Label Switched Path)
xxi
Trang 22Cấu trúc MPLS/VPN cung cấp khả năng tạo ra một mạng riêng thông qua một cơ sở hạtầng chung Tuy nhiên các phương pháp được dùng để cung cấp dịch vụ lại khác nhau.
- Provider network (P-network): Mạng nhà cung cấp, mạng lõi MPLS/IP đượcquản trị bởi nhà cung cấp dịch vụ
xxii
Trang 23- Provider router (P-router): Là router chạy trong mạng lõi của nhà cung cấp,cung cấp việc vận chuyển dọc mạng backbone và không mang các route củakhách hàng.
- Provider edge router (PE-router): Router biên của mạng backbone, nó cungcấp phân phối các route của khách hàng và thực hiện đáp ứng các dịch vụ chokhách hàng từ phía nhà cung cấp
- Autonomous system boundary router (ASBR-router) : Router biên trong một
AS nào đó, nó thực hiện vai trò kết nối với một AS khác AS này có thể cócùng hoặc khác nhà điều hành
- Customer network (C-network): Đây là phần được khách hàng điều khiển
- Customer edge router (CE-router): Router khách hàng đóng vai trò như làgateway giữa mạng C và mạng P Router CE được quản trị bởi khách hànghoặc có thể được nhà cung cấp dịch vụ quản lý Các phần liên tục của mạng Cđược gọi là site và được nối với mạng P thông qua router CE
2.4.2 Mô hình định tuyến MPLS VPN
MPLS VPN giống như mô hình mạng ngang cấp với router dành riêng Từ mộtrouter CE, chỉ cập nhật IPv4, dữ liệu được chuyển tiếp đến router PE CE không cầnbất kỳ một cấu hình riêng biệt nào cho phép nó tham gia vào miền MPLS VPN Yêucầu duy nhất trên CE là một giao thức định tuyến (hay tuyến tĩnh(static)/tuyến ngầmđịnh (default)) cho phép nó trao đổi thông tin định tuyến IPv4 với các router PE Trong
mô hình MPLS VPN, router PE thực hiện rất nhiều chức năng Trước tiên nó phải phântách lưu lượng khách hàng nếu có nhiều hơn một khách hàng kết nối tới nó
xxiii
Trang 24Hình 2.6: Chức năng router PE
Mỗi khách hàng được gắn với một bảng định tuyến độc lập Định tuyến quabackbone thực hiện bằng một tiến trình định tuyến trong bảng định tuyến toàn cục.Router P cung cấp chuyển mạch nhãn giữa các router biên của nhà cung cấp và khôngbiết đến các tuyến VPN Các router CE trong mạng khách hàng không nhận biết đượccác router P và do đó cấu trúc mạng nội bộ của mạng nhà cung cấp trong suốt đối vớikhách hàng
2.4.3 Bảng định tuyến và chuyển tiếp VPN
Mỗi VPN được kết hợp với một bảng định tuyến - chuyển tiếp VPN Virtual Routing and Forwarding tables) riêng biệt VRF cung cấp các thông tin về mốiquan hệ trong VPN của một site khách hàng khi được nối với PE router Bảng VRFbao gồm thông tin bảng định tuyến IP (IP routing table), bảng CEF (Cisco ExpressForwarding), các giao diện của forwarding table; các quy tắc, các tham số của giaothức định tuyến Mỗi site chỉ có thể kết hợp với một và chỉ một VRF Các VRF củasite khách hàng mang toàn bộ thông tin về các “tuyến” có sẵn từ site tới VPN mà nó làthành viên
(VRF-xxiv
Trang 25Đối với mỗi VRF, thông tin sử dụng để chuyển tiếp các gói tin được lưu trongcác IP routing table và CEF table Các bảng này được duy trì riêng rẽ cho từng VRFnên nó ngăn chặn được hiện tượng thông tin bị chuyển tiếp ra ngoài mạng VPN cũngnhư ngăn chặn các gói tin bên ngoài mạng VPN chuyển tiếp vào các router bên trongmạng VPN
VRF chứa một bảng định tuyến IP tương ứng với bảng định tuyến IP toàn cục,một bảng CEF, liệt kê các giao tiếp tham gia vào VRF, và một tập hợp các nguyên tắcxác định giao thức định tuyến trao đổi với các router CE VRF còn chứa các định danhVPN (VPN identifier) như thông tin thành viên VPN
xxv
Trang 26CHƯƠNG 3: CÁC MÔ HÌNH TRIỂN KHAI
VPN-MPLS TRONG THỰC TẾ 3.1 SO SÁNH MPLS/VPN VÀ CÁC KỸ THUẬT VPN TRUYỀN THỐNG VẤN
ĐỀ BẢO MẬT TRONG MPLS/VPN.
3.1.1 Các mạng VPN truyền thống
Các mạng VPN truyền thống sử dụng các chức năng bảo mật như: tạo đườnghầm (Tunneling), mã hoá dữ liệu (Encryption), chứng thực (Authentication) với mụcđích đạt được khả năng bảo mật khi truyền dữ liệu giữa hai đầu cuối Có rất nhiều cácgiao thức khác nhau được sử dụng cho các mạng VPN này như: GRE, PPTP, L2TP, vàIPSec Chúng đều dựa trên hoạt động tạo đường truyền riêng và sử dụng các thuật toán
mã hóa dữ liệu Xét một ví dụ Site A nối với site B thông qua mạng Internet công cộng
sử dụng giao thức IPSec với mã hóa 3DES
Hình 3.1: Kết nối trong mạng VPN truyền thống
Hạn chế đầu tiên và cũng là dễ nhận thấy nhất ở IPSec đó là làm giảm hiệu năngcủa mạng Khi xét đường đi của một gói tin được gửi từ máy tính A trong mạng A đếnmáy tính B trong mạng B Gói tin từ máy tính A sẽ được gửi đến CPE (CustomerPremise Equipment) A CPE-A sẽ kiểm tra gói tin xem liệu nó có cần thiết phải chuyểnđến CPE-B hay không Trong một môi trường mạng không có VPN thì gói tin sẽ được
xxvi
Trang 27truyền ngay đến CPE-B Tuy nhiên, với giao thức IPSec, CPE-A phải thực hiện một sốthao tác trước khi gửi gói tin đi Đầu tiên, gói tin được mã hóa, sau đó đóng gói vào cácgói IP, hoạt động này tiêu tốn thời gian và gây trễ cho gói tin Tiếp theo gói tin sẽ đượcđưa vào trong mạng của nhà cung cấp dịch vụ Lúc này, nếu gói tin mới được tạo thành
có kích thước lớn hơn kích thước tối đa cho phép truyền (MTU-MaximumTransmission Unit) trên bất cứ một liên kết nào giữa CPE-A và CPE-B thì gói tin sẽcần phải được phân mảnh thành hai hay nhiều gói tin nhỏ hơn Điều này chỉ xảy ratrong trường hợp bit DF (Don't Fragment) không được thiết lập, còn trong trường hợpbit DF được thiết lập thì gói tin sẽ bị mất và một bản tin ICMP (Internet ControlMessage Protocol) sẽ được gửi lại phía phát Khi gói tin đến được CPE-B, nó sẽ được
mở gói và giải mã, hai hoạt động này tiếp tục làm trễ gói tin trong mạng Cuối cùng,CPE-B sẽ chuyển tiếp gói tin đến máy tính B
Thời gian trễ trong mạng sẽ phụ thuộc vào độ phức tạp và tốc độ xử lý của cácCPE Các thiết bị CPE chất lượng thấp thường phải thực hiện hầu hết các chức năngIPSec bằng phần mềm khiến trễ trong mạng lớn Các thiết bị CPE với khả năng thựchiện các chức năng IPSec bằng phần cứng có thể tăng tốc độ xử lý gói tin lên rất nhiềunhưng chi phí cho các thiết bị này là rất đắt Điều này dẫn đến chi phí triển khai mộtmạng IPSec VPN là rất tốn kém
Từ ví dụ trên, ta dễ dàng nhận thấy các mạng IPSec VPN là mạng lớp trên củamạng IP và sự trao đổi thông tin trong mạng được thực hiện bằng cách thiết lập cácđường hầm giữa các site Điều này sẽ tạo nên những cấu hình mạng không tối ưu Để
rõ hơn về vấn đề này, ta sẽ xét hai cấu hình mạng, cấu hình hình sao và cấu hình mạnglưới (full mesh)
Cấu hình mạng hình sao bao gồm một site trung tâm (hub) được nối với rất cácsite ở xa (spoke) khác Trong cấu hình này, CPE của site trung tâm thường là một thiết
bị rất đắt tiền và phụ thuộc vào số lượng spoke cần kết nối đến Và mỗi một spoke này
sẽ thiết lập một đường hầm IPSec (IPSec tunnel) đến site trung tâm Cấu hình mạng
xxvii
Trang 28này không phù hợp cho truyền thông giữa các site nhánh (spoke) với nhau vì gói tin từspoke này đến spoke kia phải đi qua site trung tâm và tại site trung tâm này sẽ lặp lạicác tác vụ như đóng mở gói tin, xác định đường chuyển tiếp, mã hóa và giải mã đối vớimỗi gói tin đi qua nó Có nghĩa là mỗi gói tin sẽ phải đi qua hai đường hầm IPSec dẫnđến trễ xử lý cho mỗi gói tin sẽ tăng gấp đôi so với trường hợp hai spoke có thể traođổi thông tin trực tiếp với nhau.
Vấn đề bảo mật cũng cần được quan tâm trong các mạng VPN Mỗi CPE có thểtruy nhập vào mạng Internet công cộng nhưng tin tức vẫn cần được bảo mật trong quátrình truyền giữa các site Vì vậy, mỗi thiết bị CPE phải có biện pháp bảo mật nhấtđịnh (như Firewall) Và sự quản lý các firewall này sẽ trở nên rất khó khăn nhất là khikích thước của mạng rất lớn Với một mạng VPN khoảng 100 nút mạng, sẽ cần 100firewall và mỗi khi cần một sự thay đổi nhỏ trong chính sách (policy) của firewall,chúng ta phải tiếp cận cả 100 firewall này trong mạng Rõ ràng đây là một điểm hạnchế lớn của các mạng IPSec VPN về khía cạnh bảo mật
3.1.2 Công nghệ MPLS/VPN – Bảo mật trong mạng MPLS/VPN
Không giống như các mạng VPN truyền thống, các mạng MPLS VPN không sửdụng hoạt động đóng gói và mã hóa gói tin để đạt được mức độ bảo mật cao MPLSVPN sử dụng bảng chuyển tiếp và các nhãn “tags” để tạo nên tính bảo mật cho mạngVPN Kiến trúc mạng loại này sử dụng các tuyến mạng xác định để phân phối các dịch
vụ VPN, và các cơ chế xử lý thông minh của MPLS VPN lúc này nằm hoàn toàn trongphần lõi của mạng Trong lĩnh vực bảo mật, mục tiêu của mô hình mạng MPLS/VPNlớp 3 là đạt được sự bảo mật có thể so sánh với sự bảo mật trong mô hình mạngoverlay VPN như ATM hay Frame Relay mang lại
Bảo mật cho VPN phải đảm bảo được sự cách ly về thông tin định tuyến, vềkhông gian địa chỉ của mỗi VPN Nghĩa là việc cấp địa chỉ của mỗi VPN là hoàn toànđộc lập nhau Thông tin định tuyến từ VPN này không được chảy vào VPN khác vàngược lại Thứ hai bảo mật phải đảm bảo được cấu trúc mạng lõi hoàn toàn trong suốt
xxviii
Trang 29với khách hàng sử dụng dịch vụ Thứ ba, bảo mật phải đảm bảo được việc tránh làmgiả nhãn như việc làm giả địa chỉ IP và chống các cuộc tấn công từ chối dịch vụ(Denial-of-service) cũng như tấn công truy cập dịch vụ (instrusion)
Để đảm bảo được điều này, mạng MPLS/VPN sử dụng cơ chế sau:
Trong mạng MPLS/VPN cho phép sử dụng cùng không gian giữa các VPNnhưng vẫn tạo được tính duy nhất là nhờ vào giá trị 64 bit Route Distinguisher Do đó,khách hàng sử dụng dịch vụ MPLS/VPN không cần phải thay đổi địa chỉ hiện tại củamình
Mỗi router PE duy trì một bảng VRF riêng cho mỗi VPN, và VRF này chỉ phổbiến các route thuộc về VPN đó Do đó đảm bảo được sự cách ly thông tin định tuyếngiữa các VPN với nhau
MPLS là kỹ thuật chuyển mạch nhãn, vì thế sự chuyển gói dữ liệu đi trongmạng không dựa vào địa chỉ IP trên mào đầu gói tin Hơn nữa, tất cả các LSP đều kếtthúc tại các router biên PE chứ không phải kết thúc tại các router P trong mạng Do đómạng lõi bên trong hoàn toàn trong suốt đối với khách hàng
Trong mạng MPLS/VPN, khó có thể tấn công trực tiếp vào VPN Chỉ có thể tấncông vào mạng lõi MPLS, rồi từ đó tấn công vào VPN Mạng lõi có thể tấn công theohai cách:
- Bằng cách tấn công trực tiếp vào router PE
- Bằng cách tấn công vào các cơ chế báo hiệu MPLS
Để tấn công vào mạng, trước hết cần phải biết địa chỉ IP Nhưng mạng lõiMPLS hoàn toàn trong suốt so với bên ngoài, do đó kẻ tấn công không biết địa chỉ IPcủa bất kì router nào trong mạng lõi Họ có thể đoán địa chỉ và gửi gói tin đến nhữngđịa chỉ này Tuy nhiên, trong mạng MPLS, mỗi gói tin đi vào đều được xem như thuộc
về không gian địa chỉ nào đó của khách hàng Do đó, khó có thể tìm được các routerbên trong, kể cả trong trường hợp khi đoán được địa chỉ Có thể việc trao đổi thông tinđịnh tuyến giữa router PE và CE sẽ là điểm yếu trong mạng MPLS/VPN nhưng trên
xxix
Trang 30router PE có thể dùng ACL, các phương pháp xác thực của giao thức định tuyến dùngtrên kết nối đó sẽ đảm bảo được vấn đề bảo mật
Việc làm giả nhãn cũng khó có thể xảy ra tại vì router PE chỉ chấp nhận nhữnggói tin từ router CE gửi đến là gói tin không có nhãn, nếu gói tin là có nhãn thì nhãn đó
là do PE kiểm soát và quản lý
Vấn đề bảo mật trong các mạng MPLS VPN được đảm bảo vì một VPN khépkín bản thân nó đã đạt được sự an toàn thông tin do không có kết nối với mạng Internetccông cộng Nếu có nhu cầu truy nhập Internet, một tuyến sẽ được thiết lập để cungcấp khả năng truy nhập Lúc này, một firewall sẽ được sử dụng trên tuyến này để đảmbảo một kết nối bảo mật cho toàn bộ mạng VPN Cơ chế hoạt động này dễ dàng hơnnhiều cho hoạt động quản lý mạng vì chỉ cần duy trì các chính sách bảo mật cho mộtfirewall duy nhất mà vẫn đảm bảo an toàn cho toàn bộ VPN
Từ những vấn đề nêu trên, ta thấy việc bảo mật trong mạng MPLS/VPN hoàntoàn có thể so sánh ngang bằng với việc bảo mật trong mạng ATM hay Frame Relay
QoS (Quality of Service) là một khái niệm dùng để đề cập đến tất cả các khíacạnh liên quan đến hiệu quả hoạt động của mạng QoS bao gồm hai thành phần chính:
+ Tìm đường qua mạng nhằm cung cấp cho dịch vụ được yêu cầu
+ Duy trì hiệu lực hoạt động của dịch vụ
Hai mô hình cung cấp chất lượng dịch vụ được sử dụng phổ biến ngày nay là: + Mô hình dịch vụ tích hợp IntServ (Intergrated Services)
+ Mô hình dịch vụ phân biệt DiffServ (Differentiated Services)
Có nhiều nguyên nhân giải thích tại sao mô hình IntServ không được sử dụng đểtheo kịp mức độ phát triển của Internet Thay vào đó, IntServ chỉ được sử dụng phổbiến trong các mô hình mạng với quy mô nhỏ và trung bình Trong khi đó, DiffServ lại
là mô hình cung cấp chất lượng dịch vụ có khả năng mở rộng Cơ chế hoạt động của
mô hình này bao gồm quá trình phân loại lưu lượng và tại thành phần biên mạng, quátrình xếp hàng tại mỗi nút mạng và xử lý huỷ gói trong lõi mạng Trong đó, phần lớn
xxx
Trang 31các quản lý xử lý được thực hiện tại thành phần biên mạng mà không cần phải lưu giữtrạng thái của các luồng lưu lượng trong lõi mạng
Khi cung cấp dịch vụ MPLS/VPN cho khách hàng, yêu cầu đặt ra là khả năngcung cấp chất lượng dịch vụ đáp ứng được một số lượng lớn các khách hàng VPN vớinhững yêu cầu đa dạng của họ Ví dụ, một nhà cung cấp dịch vụ có thể cung cấp nhiềulớp chất lượng dịch vụ cho một VPN và những ứng dụng khác nhau trong VPN sẽthuộc về những phân lớp dịch vụ khác nhau Với cách thức này, dịch vụ mail sẽ thuộc
về một lớp dịch vụ COS (Class of Service) nào đó trong khi những ứng dụng thời gianthực có thể thuộc về một lớp dịch vụ khác Hơn nữa lớp dịch vụ COS của một ứngdụng thuộc về một VPN nào đó có thể khác với lớp dịch vụ của cùng ứng dụng đónhưng lại thuộc về VPN khác Có nghĩa là mỗi VPN độc lập trong việc ấn định lớpdịch vụ Và tuỳ mạng, tuỳ nhà cung cấp dịch vụ mà ta lại xét chất lượng dịch vụ chotừng VPN khác nhau Có nhà cung cấp dịch vụ chỉ cung cấp một giá trị EXP duy nhấtcho tất cả VPN, có nhà cung cấp lại cung cấp độc lập cho từng VPN Nhưng dù thế nào
đó cũng chỉ là cách sử dụng giá trị EXP trong mạng lõi, hoàn toàn độc lập với việc quyđịnh về chất lượng dịch vụ của khách hàng
Mỗi VPN được kết hợp với một bảng định tuyến - chuyển tiếp VPN (VRF)riêng biệt VRF cung cấp các thông tin về mối quan hệ trong VPN của một site kháchhàng khi được nối với PE router Bảng VRF bao gồm thông tin bảng định tuyến IP (IProuting table), bảng CEF (Cisco Express Forwarding), các giao diện của bảng địnhtuyến; các quy tắc, các tham số của giao thức định tuyến Mỗi site chỉ có thể kết hợpvới một và chỉ một VRF Các VRF của site khách hàng mang toàn bộ thông tin về các
“tuyến” có sẵn từ site tới VPN mà nó là thành viên
Đối với mỗi VRF, thông tin sử dụng để chuyển tiếp các gói tin được lưu trongcác bảng định tuyến IP và bảng CEF Các bảng này được duy trì riêng rẽ cho từng VRFnên nó ngăn chặn được hiện tượng thông tin bị chuyển tiếp ra ngoài mạng VPN cũngnhư ngăn chặn các gói tin bên ngoài mạng VPN chuyển tiếp vào các router bên trong
xxxi
Trang 32mạng VPN Đây chính là cơ chế bảo mật của MPLS VPN Bên trong mỗi một MPLSVPN, có thể kết nối bất kỳ hai điểm nào với nhau và các site có thể gửi thông tin trựctiếp cho nhau mà không cần thông qua site trung tâm.
Tham số phân biệt tuyến RD (Route Distinguisher) giúp nhận biết các địa chỉ IPthuộc VPN riêng biệt nào Một mạng MPLS có thể hỗ trợ hàng trăm đến hàng nghìnVPN Phần bên trong của kiến trúc mạng MPLS VPN được kết cấu bởi các thiết bị củanhà cung cấp Những thiết bị này hình thành mạng lõi (core) MPLS và không được nốitrực tiếp đến các CE router Các chức năng VPN của một mạng MPLS-VPN sẽ đượcthực hiện bởi các PE router bao quanh mạng lõi này Cả P router và PE router đều làcác bộ định tuyến chuyển mạch nhãn LSR (Label Switch Router) trong mạng MPLS.Các site khách hàng có thể được kết nối với các PE router bằng nhiều cách khác nhaunhư T1, Frame Relay, DSL, ATM, v.v
Trong một mạng MPLS VPN, site phía khách hàng sẽ sử dụng IP thông thường
mà không cần biết đến MPLS, IPSec hay bất cứ một chức năng VPN đặc biệt nào Tạicác PE router, một cặp VRF và RD sẽ tương ứng với mỗi liên kết đến site của kháchhàng (customer site) Liên kết này có thể là một liên kết vật lý T1, Frame Relay hayATM VC, DSL Giá trị RD sẽ hoàn toàn “ẩn” và sẽ không được cấu hình tại các thiết
bị của khách hàng
Một trong những ưu điểm lớn nhất của các MPLS VPN là không đòi hỏi cácthiết bị CPE thông minh bởi vì toàn bộ các chức năng VPN được thực hiện ở phíatrong mạng lõi của nhà cung cấp dịch vụ và hoàn toàn “trong suốt” đối với các CPE.Các CPE không đòi hỏi chức năng VPN và hỗ trợ IPSec điều này có nghĩa là kháchhàng không phải chi phí quá cao cho các thiết bị CPE
Trễ trong mạng được giữ ở mức thấp nhất vì các gói tin lưu chuyển trong mạngkhông phải thông qua các hoạt động như đóng gói và mã hóa Sở dĩ không cần chứcnăng mã hóa là vì MPLS VPN tạo nên một mạng riêng Phương pháp bảo mật này gần
xxxii
Trang 33giống như bảo mật trong mạng Frame Relay Thậm chí trễ trong MPLS VPN còn thấphơn trong mạng MPLS IP sử dụng chuyển mạch nhãn.
Việc tạo một mạng đầy đủ (full mesh) VPN là hoàn toàn đơn giản vì các MPLSVPN không sử dụng cơ chế tạo đường hầm Vì vậy, cấu hình mặc định cho các mạngMPLS VPN là full mesh, trong đó các site được nối trực tiếp với PE vì vậy các site bất
kỳ có thể trao đổi thông tin với nhau trong VPN Và thậm chí, nếu site trung tâm gặptrục trặc, các spoke site vẫn có thể liên lạc với nhau
Hoạt động khai thác và bảo dưỡng cũng đơn giản hơn trong mạng MPLS-VPN.Hoạt động này chỉ cần thực hiện tại các thiết bị bên trong mạng core mà không cầnphải tiếp xúc đến các CPE Khi một site đã được cấu hình xong, ta không cần cấu hìnhthêm cho dù muốn thêm một site mới vào mạng, vì những thay đổi về cấu hình lúc nàychỉ cần thực hiện tại PE mà nó nối tới
Một ưu điểm nữa của các mạng MPLS VPN là chỉ cần một kết nối duy nhất chomỗi remote site So sánh với mạng Frame Relay truyền thống có 1 nút trung tâm và 10remote site (mỗi một remote site sẽ cần một Frame Relay PVC) thì tại nút trung tâm(hub) sẽ cần 10 PVCs Trong khi bên trong một mạng MPLS VPN chỉ cần duy nhấtmột PVC tại vị trí hub trung tâm nên chi phí mạng sẽ giảm đáng kể
3.2 KHẢ NĂNG MỞ RỘNG VÀ CÁC MÔ HÌNH MPLS/VPN NÂNG CAO
Trong phần này sẽ phân tích khả năng mở rộng của mô hình MPLS /VPN khi sosánh với mô hình VPN truyền thống khi cung cấp dịch vụ
Để cung cấp dịch vụ mạng riêng ảo dựa trên khối kiến trúc MPLS, MPLS phảiđáp ứng đựơc yêu cầu cung cấp dịch vụ cho khách hàng ở nhiều nơi khác nhau Nóphải có khả năng truyền thông tin định tuyến từ khách hàng này dọc mạng backbone đểquảng bá cho site khách hàng khác cũng thuộc về cùng một VPN Để đạt được điềunày thì phiên MP-iBGP phải được thiết lập giữa các router PE Rõ ràng đây là mô hìnhfull-mesh giữa các phiên MP-iBGP Trong overlay VPN cũng tương tự như vậy
xxxiii
Trang 34Nhưng mô hình full-mesh hoàn toàn không có khả năng mở rộng vì số lượng phiênMP-iBGP là rất lớn, và càng tăng lên khi số lượng khách hàng VPN tăng lên Và khi cómột router mới được thêm vào mạng backbone của nhà cung cấp thì láng giềng BGPmới này phải thêm vào cấu hình BGP lõi trên tất cả các router chạy BGP đã tồn tạitrước đó để duy trì mô hình full-mesh Đối với mạng có n router thì kết nối trong mạng
là n(n-1)/2 kết nối Số lượng phiên BGP phụ thuộc vào nhiều nhân tố, mà nhân tốchính là bộ nhớ trong router và tốc độ của CPU Mô hình full-mesh có thể vẫn đượctriển khai (thậm chí là rất thích hợp) trong những mạng có kích thước khá nhỏ vì bộnhớ và CPU của router có thể đáp ứng được số lượng phiên MP-iBGP Nhưng khi quantâm đến vấn đề mở rộng mạng thì ta không nên sử dụng mô hình full-mesh
Trong VPN/MPLS sử dụng các kĩ thuật đã có sẵn trong BGP-4 để triển khai môhình mạng riêng ảo đảm bảo được khả năng mở rộng là sử dụng route reflector vàconfederation Nhờ vào hai khả năng trên mà nhà cung cấp có thể triển khai nhiều môhình MPLS/VPN phức tạp
Mô hình mạng MPLS/VPN thông thường chỉ dành cho các site VPN kháchhàng kết nối đến cùng một nhà cung cấp dịch vụ dọc kết nối giữa PE và CE, việc traođổi thông tin định tuyến dọc những liên kết này không cần có sự tham gia của MPLS,cũng như không có sự trao đổi trực tiếp nào giữa các site khách hàng Trong trườnghợp này, router PE duy trì toàn bộ quá trình điều khiển giữa các site với nhau thôngqua sự cách ly giữa các VPN Các mô hình MPLS/VPN cho phép trao đổi thông tinnhãn và các gói tin có gắn nhãn đến từ các thiết bị nằm ngoài sự điều khiển của nhàcung cấp dịch vụ bao gồm:
- Inter-AS MPLS/VPN
- Carrier’s Carrier
xxxiv
Trang 353.2.1 Inter-AS MPLS/VPN
• Hệ thống tự trị (Autonomous system) là một mạng hoặc một nhóm nhiều mạngchia sẽ cùng một chính sách (ví dụ như cùng một giao thức định tuyến) và hoạt độngtrong một miền nhất định (domain) AS được điều khiển bởi nhà quản trị hệ thống (haymột nhóm quản trị chung)
Ưu điểm của MPLS/VPN inter-AS:
- Cho phép một VPN đi qua nhiều mạng backbone của nhiều nhà cung cấpdịch vụ
- Mỗi nhà cung cấp dịch vụ, quản trị mỗi AS khác nhau, có thể đáp ứng dịch
vụ MPLS/VPN cho cùng một khách hàng đầu cuối Một VPN có thể bắt đầu
ở một site khách hàng và di duyển qua nhiều mạng backbone của nhà cungcấp dịch vụ khác nhau trước khi đến site khác của cùng khách hàng đó Đặcđiểm này cho phép nhiều AS thành lập một mạng liên tục giữa các site kháchhàng với của một nhà cung cấp
- Cho phép một VPN tồn tại trong nhiều vùng khác nhau
- Một nhà cung cấp dịch vụ có thể tạo ra VPN trong nhiều vùng địa lý khácnhau Và việc có tất cả lưu lượng VPN chảy qua một điểm (giữa các vùng)cho phép điều khiển tốc độ lưu lượng mạng tốt hơn giữa các vùng đó
Mô hình inter-AS được chia ra thành 2 kết nối như sau:
- Kết nối giữa các nhà cung cấp với nhau (inter-provider connectivity)
- Kết nối giữa các AS với nhau (BGP confederation)
Inter-provider VPN
Đây là mô hình bao gồm nhiều hơn hai AS kết nối với nhau bằng các routerbiên Các AS trao đổi route sử dụng EBGP Không có IGP hoặc thông tin định tuyếnnào được trao đổi giữa các AS này
xxxv
Trang 36Hình 3.2: Mô hình kết nối back-to-back VRF
Trong giải pháp này, mỗi AS được cách ly với AS khác, cung cấp điều khiển tốthơn qua việc trao đổi thông tin định tuyến và bảo mật giữa hai mạng Tuy nhiên, nhượcđiểm của nó là không có khả năng mở rộng vì ASBR cần duy trì một VRF trên mộtVPN, và VRF phải duy trì tất cả các route cho VPN đó Nếu một VRF có quá nhiềuroute thì sẽ ảnh hưởng đến bộ nhớ Do đó giải pháp này nên triển khai khi mà nhà cungcấp dịch vụ đảm bảo được ASBR sẽ đáp ứng được yêu cầu mở rộng mạng
Phân phối route dọc link giữa hai ASBR sử dụng external MP-BGP Giải phápnày cho phép các router ASBR sử dụng external MP-BGP (phiên MP-BGP được thựchiện giữa hai router không thuộc về cùng một AS, nó giống như EBGP) để quảng bároute VPNv4 giữa các AS, sau đó router ASBR nhận sẽ phân phối route VPNv4 vào
AS của mình Như hình vẽ 3.3:
xxxvi