LỜI NÓI ĐẦU Với sự phát triển nhanh chóng của hệ thống thông tin từ khi có mặt của mạng internet: dịch vụ thuê kênh (Leased Line, Frame Relay, ATM) và các dịch vụ kết nối cơ bản khác, đã đem lại nhiều lợi ích cho người tiêu dùng cũng như các nhà khai thác, triển khai mạng và các dịch vụ mạng. Cùng với sự nghiên cứu phát triển của các nhà khoa học nhằm mục đích cải tiến và khắc phục các điểm chưa tốt còn tồn tại của các hệ thống chuyển mạch đã và đang được sử dụng rộng rãi trên toàn cầu đem lại cho người nhiều dịch vụ mới. Đồ án “Chuyển mạch nhãn đa giao thức (MPLS) và ứng dụng MPLS để xây dựng mạng riêng ảo (VPN)” đã nghiên cứu những khái niệm và ứng dụng từ cơ bản đến nâng cao của dịch vụ mạng riêng ảo và công nghệ chuyển mạch nhãn đa giao thức. Đồ án cũng đã nghiên cứu sự kết hợp của hai công nghệ trên để tạo ra một công nghệ mới hiện đang được triển khai rộng rãi ở trong và ngoài nước. Công nghệ VPN trên nền MPLS hay còn có tên gọi ngắn gọi là MPLS/VPN. Nhằm mục đích tìm hiểu về chuyển mạch nhãn và ứng dụng của nó cho mạng riêng ảo, đồ án này bao gồm 3 chương như sau: • Chương 1: MẠNG RIÊNG ẢO (VPN) • Chương 2: CHUYỂN MẠCH NHÃN ĐA GIAO THỨC (MPLS) • Chương 3: ỨNG DỤNG CÔNG NGHỆ MPLS TRONG VIỆC THIẾT LẬP MẠNG RIÊNG ẢO (MPLS/VPN) Trong quá trình làm đồ án, do còn nhiều hạn chế về thời gian, tài liệu cũng như kiến thức hiểu biết của bản thân còn chưa đầy đủ nên đồ án không thể nào tránh khỏi những thiếu sót. Em rất mong nhận được sự đóng góp ý kiến của các thầy cô và các bạn để đồ án của em ngày càng được hoàn thiện hơn. Em xin chân thành cảm ơn thầy giáo, Trung tá - TS Lê Hải Nam cùng các thầy cô trong khoa Vô tuyến Điện tử-trường Học viện Kỹ thuật Quân sự đã tận tình chỉ bảo, giúp đỡ và tạo điều kiện cho em hoàn thành đồ án tốt nghiệp này. Xin chân thành cảm ơn. Hà Nội, ngày 22 tháng 04 năm 2010 Sinh viên thực hiện TẠ DUY LINH CHƯƠNG I MẠNG RIÊNG ẢO 1.1. Giới thiệu chung Hiện nay lợi nhuận của các nhà cung cấp dịch vụ thu được một phần từ các dịch vụ thuê kênh (Leased Line, Frame Relay, ATM) và các dịch vụ kết nối cơ bản khác. Tuy nhiên xu hướng giảm lợi nhuận từ các dịch vụ này bắt buộc các nhà cung cấp phải nghiên cứu và triển khai những dịch vụ mới dựa trên nền IP để đảm bảo lợi nhuận lâu dài. Về phía khách hàng, phướng án truyền thông nhanh, an toàn và tin cậy đang trở thành mối quan tâm của nhiều tổ chức, tổ chức đặc biệt là các tổ chức, tổ chức có các địa điểm phân tán về mặt vật lý, tổ chức đa quốc gia. Giải pháp thông thường được áp dụng bởi đa số các tổ chức là thuê các đường truyền riêng (leased lines) để duy trì một mạng WAN (Wide Area Network). Các đường truyền này, được giới hạn từ ISDN (Intergrated Services Digital Network, 128 Kbps) cho đến đường cáp quang OC3 (Optical Carrier-3, 155Mbps). Mỗi mạng WAN đều có các điểm thuận lợi trên một mạng công cộng khi xét đến độ tin cậy, hiệu năng và tính an toàn, bảo mật. Nhưng để bảo trì một mạng WAN, đặc biệt khi sử dụng các đường truyền riêng, có thể trở nên quá đắt và chi phí sẽ trở nên tăng vọt khi tổ chức muốn mở rộng thêm các văn phòng đại diện. Mạng riêng ảo VPN chính là một giải pháp cho vấn đề này. VPN có thể đáp ứng các nhu cầu của khách hàng bằng các kết nối dạng any-to-any, các lớp đa dịch vụ, các dịch vụ có giá thành quản lý thấp, riêng tư, tích hợp xuyên suốt cùng với các mạng Intranet hoặc mạng Extranet. Một nhóm người dùng (Users) trong mạng Intranet và Extranet có thể hoạt động thông qua mạng IP. Các mạng VPN có chi phí vận hành thấp hơn hẳn so với việc thuê đường truyền riêng (Leased Lines) trên phương diện quản lý, băng thông và dung lượng. Hiểu một cách đơn giản, VPN là một mạng mở rộng có tính tự quản. VPN có thể liên kết các user thuộc một nhóm kín hay giữa các nhóm khác nhau. Các thuê bao VPN có thể di chuyển trong một kết nối mềm dẻo trải dài từ mạng cục bộ đến mạng hoàn chỉnh. Các thuê bao này có thể dùng trong cùng một mạng (Intranet VPN) hoặc khác mạng (Extranet VPN). Mạng riêng ảo (VPN) là một trong những ứng dụng rất quan trọng trong mạng NGN. Các tổ chức, các doanh nghiệp đặc biệt là các tổ chức đa quốc gia có nhu cầu rất lớn về loại hình dịch vụ này. Với VPN họ hoàn toàn có thể sử dụng các dịch vụ viễn thông, truyền số liệu cục bộ với chi phí thấp, với an ninh đảm bảo, với cơ chế bảo mật và cung cấp chất lượng dịch vụ (QoS) theo yêu cầu. 1.2. Khái niệm mạng riêng ảo VPN Ta xét một tổ chức có trụ sở phân tán ở nhiều nơi. Để kết nối các máy tính tại các vị trí xa nhau này, tổ chức cần có một mạng thông tin. Mạng này được gọi là mạng riêng với ý nghĩa là nó chỉ được tổ chức đó sử dụng, và với ý nghĩa các kế hoạch định tuyến và đánh địa chỉ trong mạng đó là độc lập với việc định tuyến và đánh địa chỉ của các mạng khác. Mạng này được gọi là mạng riêng ảo với ý nghĩa là các phương tiện được sử dụng để xây dựng mạng này có thể không chỉ dành riêng cho tổ chức đó mà chia sẻ dùng chung với các tổ chức khác. Hoặc các phương tiện cần thiết dể xây dựng mạng này được cung cấp bởi các nhà cung cấp dịch vụ viễn thông. Các tổ chức sử dụng mạng VPN gọi là các khách hàng VPN. Có thể hiểu mạng VPN là tập hợp gồm nhiều Site, các site được quy định với nhau bởi chính sách quản lý, quy định cả về kết nối cũng như chất lượng dịch vụ giữa các site. Theo định nghĩa IETF (Internet Engineering Task Force), mạng VPN là một kiểu mạng diện rộng riêng (Privite WAN) sử dụng mạng đường trục IP riêng hoặc mạng Internet công cộng Hình 1.1 Mô hình mạng VPN Đơn giản hơn, có thể hiểu mạng VPN là mạng sử dụng mạng công cộng (ví dụ như mạng Internet) mà vẫn đảm bảo độ an toàn và chi phí hợp lý trong quá trình kết nối giữa hai điểm truyền thông. Mạng VPN được xây dựng dựa trên sự trợ giúp của kết nối ngầm logic (Trong suốt) riêng. Những kết nối ngầm logic này cho phép hai điểm đầu cuối trong mạng trao đổi dữ liệu với nhau thông qua mạng theo kiểu tương tự như kết nối điểm - điểm. Mặc dù công nghệ kết nối ngầm logic được áp dụng trong phần lõi của mạng VPN, nhưng những kỹ thuật và phương pháp bảo mật chi tiết vẫn được áp dụng nhằm đảm bảo an toàn cho những thông tin quan trọng của các tổ chức khi truyền qua các mạng trung gian. Các kỹ thuật bảo mật gồm: • Firewall: Một firewall cung cấp biện pháp ngăn chặn hiệu quả giữa mạng riêng của người sử dụng với Internet. Người dùng có thể sử dụng tường lửa ngăn chặn các cổng được mở, loại gói tin được phép truyền qua và giao thức sử dụng. Một vài sản phẩm VPN, chẳng hạn như Cisco's 1700 router, có thể nâng cấp để bao gồm cả tường lửa bằng cách chạy Cisco IOS tương ứng ở trên router. Người dùng cũng nên có tường lửa trước khi sử dụng VPN, nhưng tường lửa cũng đôi khi ngăn chặn các phiên làm việc của VPN. • Encryption: Đây là quá trình mã hoá dữ liệu khi truyền đi khỏi máy tính theo một quy tắc nhất định và máy tính đầu xa có thể giải mã được. Hầu hết các hệ thống mã hoá máy tính thuộc về 1 trong 2 loại sau: - Mã hoá sử dụng khoá riêng (Symmetric-key encryption). - Mã hoá sử dụng khoá công khai (Public-key encryption). Trong hệ symmetric-key encryption, mỗi máy tính có một mã bí mật sử dụng để mã hoá các gói tin trước khi truyền đi. Khoá riêng này cần được cài trên mỗi máy tính và máy tính phải biết được trình tự giải mã đã được quy ước trước. Mã bí mật còn được sử dụng để giải mã gói tin. Ví dụ: User 1 tạo ra một bức thư mã hoá mà trong nội dung thư mỗi ký tự được thay thế bằng ký tự ở sau nó 2 vị trí trong bảng ký tự. Như vậy A sẽ được thay bằng C, và B sẽ được thay bằng D. User 1 đã nói với User 2 khoá riêng là Dịch đi 2 vị trí (Shift by 2). User 2 nhận được thư sẽ giải mã sử dụng chìa khoá riêng đó. Còn những User khác sẽ không đọc được nội dung thư. Hệ Public-key encryption sử dụng một tổ hợp khoá riêng và khoá công cộng để thực hiện mã hoá, giải mã. Khoá riêng chỉ sử dụng tại máy tính đó, còn khoá công cộng được truyền đi đến các máy tính khác mà nó muốn trao đổi thông tin bảo mật. Để giải mã dữ liệu mã hoá, máy tính kia phải sử dụng khoá công cộng nhận được, và khoá riêng của chính nó. Một phần mềm mã hóa công khai thông dụng là Pretty Good Privacy (PGP) cho phép thực hiện các chức năng này. • Authentication: Authentication là tiến trình kiểm tra tính đúng đắn của định danh (username, password, fingerprinter ). Thêm nữa tính xác thực cũng đảm bảo người nhận, nhận được đầy đủ bản tin và nguồn gốc của bản tin. Dạng đơn giản nhất của quá trình xác thực là yêu cầu tên người sử dụng và mật khẩu để được phép truy nhập vào dữ liệu. Với dạng phức tạp, quá trình xác thực có thể dựa trên quá trình mã hoá sử dụng khoá bí mật hoặc quá trình mã hoá sủ dụng khoá công cộng. • Authorization: Authorization là một tiến trình cho phép hoặc từ chối người sử dụng hay một định danh sau khi đã truy nhập vào mạng thành công tức là đã xác nhận tính chính xác của định danh người dùng, được quyền truy nhập hợp pháp vào đúng những tài nguyên xác định từ trước mà không thể truy cập đến những tài nguyên khác không được phép. 1.3. Quá trình phát triển của VPN VPN thực ra không phải là công nghệ mới. Ngược lại, khái niệm mạng VPN đã được thảo luận từ cách đây khoảng mười lăm năm và đã phát triển qua một vài thế hệ mạng cho đến ngày nay. Khái niệm đầu tiên về VPN được AT&T đưa ra vào khoảng cuối thập niên tám mươi. VPN được biết đến như là: “Mạng được định nghĩa bởi phần mềm” (Software Defined Network - SDN). SDN là mạng WAN với khoảng cách xa, nó được thiết lập dành riêng cho người dùng. SDN dựa vào cơ sở dữ liệu truy nhập để phân loại mỗi cố gắng truy nhập vào mạng ở gần hoặc từ xa. Dựa vào thông tin, gói dữ liệu sẽ được định tuyến đến đích thông qua cơ sở hạ tầng chuyển mạch công cộng. Thế hệ thứ hai của VPN xuất hiện cùng với sự ra đời của công nghệ X25 và ISDN vào đầu thập kỷ chín mươi. Trong một thời gian, mặc dù giao thức X25 qua mạng ISDN được thiết lập như là một giao thức của VPN, tuy nhiên, tỉ lệ sai lỗi trong quá trình truyền dẫn vượt quá sự cho phép. Do đó thế hệ thứ hai của VPN nhanh chóng bị lãng quên trong một thời gian ngắn. Sau thế hệ thứ hai, thị trường VPN bị chậm lại cho đến khi công nghệ Frame Relay và công nghệ ATM (Asynchronous Tranfer Mode) ra đời. Thế hệ thứ ba của VPN dựa trên công nghệ Frame Relay và công nghệ ATM. Những công nghệ này dựa trên khái niệm chuyển mạch kênh ảo (Virtual Circuit Switching). Trong thời gian gần đây, thương mại điện tử (E-Commerce) đã trở thành một phương thức thương mại hữu hiệu, những yêu cầu của người sử dụng mạng VPN cũng rõ ràng hơn. Người dùng hay các tổ chức mong muốn một giải pháp mà có thể dễ dàng được thực hiện, thay đổi, quản trị, có khả năng truy nhập trên toàn cầu và có khả năng cung cấp bảo mật ở mức cao, từ đầu cuối đến đầu cuối. Thế hệ gần đây (thế hệ thứ tư) của VPN là IP-VPN. IP-VPN đã đáp ứng được tất cả những yêu cầu này bằng cách ứng dụng công nghệ kết nối ngầm logic. 1.4. Giao thức kết nối ngầm logic VPN Hầu hết các mạng VPN hiện đều dựa trên tunneling để hình thành mạng riêng ảo trên nền internet. Về cơ bản, tunneling là quá trình xử lý và đặt toàn bộ các gói tin trong một gói tin khác và gửi đi trên mạng. Giao thức sinh ra các gói tin được đặt tại cả hai điểm thu phát gọi là giao tiếp kênh - tunnel interface, ở giao tiếp đó các gói tin truyền đi và đến. Kênh thông tin yêu cầu ba giao thức khác nhau: • Giao thức sóng mang - Carrier protocol: (còn gọi là giao thức truyền tải) giao thức này sử dụng trên mạng để đưa thông tin về trạng thái đường truyền. • Giao thức đóng gói - Encapsulating protocol: bao gồm các giao thức GRE, IPSEC, L2F, PPTP, L2TP cho phép che giấu nội dung truyền. • Giao thức gói - Passenger protocol: giao thức bao gồm IPX, NetBeui, IP. Nếu xét trên phương diện các giao thức đóng gói thì có ba giao thức kết nối ngầm logic chính thường được sử dụng trong VPN để đảm bảo độ tin cậy cho VPN trong quá trình truyền dẫn gồm: • Giao thức IPSEC: IPSEC được phát triển bởi IETF, IPSEC là một tiêu chuẩn mở mà vẫn đảm bảo được tính bảo mật và quyền lợi của người sử dụng trong quá trình truyền thông qua mạng công cộng. Không giống như các kỹ thật mã hoá khác, IPSEC hoạt động ở lớp mạng (Network layer) trong mô hình bảy lớp OSI. Do vậy, nó có thể được hoạt động độc lập với các ứng dụng khác cùng hoạt động trên mạng. Như vậy, mạng vẫn có thể được bảo mật mà không cần phải thiết lập hay xác định an ninh cho từng ứng dụng riêng. • Giao thức PPTP: Giao thức PPTP được phát triển bởi Microsoft, 3 COM và Ascend communication. Giao thức PPTP được đề xuất như là một giao thức mới có thể thay thế giao thức IPSEC. Tuy nhiên, IPSEC vẫn tiếp tục là giao thức kết nối ngầm logic được sử dụng nhiều hơn. PPTP hoạt động ở lớp hai, lớp liên kết dữ liệu (Data Link Layer) trong mô hình phân lớp OSI và sử dụng bảo mật cho quá trình truyền dẫn của traffic dựa trên nền Windows. Hình 1.2 Mô hình L2TP • Giao thức L2TP: Giao thức L2TP được phát triển bởi Cisco, giao thức L2TP cũng có ý định dùng để thay thế IPSEC. Tuy nhiên, IPSEC vẫn là giao thức có ưu thế trội hơn trong số các giao thức bảo mật cho truyền thông qua Internet. Giao thức L2TP là kết quả của quá trình trộn giữa lớp hai chuyển tiếp và giao thức PPTP, nó sử dụng giao thức điểm tới điểm cho quá trình đóng gói các khung dữ liệu để truyền qua mạng X.25, FR hoặc ATM. 1.5. Phân loại mạng VPN Mục tiêu đặt ra đối với công nghệ mạng VPN là thoả mãn được ba yêu cầu cơ bản sau: • Tại mọi thời điểm, các nhân viên của tổ chức có thể truy nhập từ xa vào nguồn tài nguyên chia sẻ chung trong mạng của cônng ty. • Nối liền các chi nhánh văn phòng. • Khả năng điều khiển được quyền truy nhập của khách hàng, các nhà cung cấp dịch vụ hoặc các đối tượng bên ngoài khác là yêu cầu rất quan trọng trong hợp tác kinh doanh. Dựa vào những yêu cầu cơ bản trên, hiện nay, VPN đang phát triển thành hai hướng chính. • Remote Access VPNs. • Site – to – Site VPNs. +) Mạng VPN cục bộ (Intranet VPN). +) Mạng VPN mở rộng (Extranet VPN). Hình 1.3 Các loại mạng VPN 1.5.1. Remote Access VPNs [...]... Overlay VPN và Peer-to-Peer VPN đều tồn tại những nhược điểm chưa khắc phục được Việc định tuyến, chuyển mạch, thời gian trễ còn chưa đạt mức tối ưu Để giải quyết vấn đề này, cần phải sử dụng một công nghệ và mô hình mạng mới với nhiều ưu điểm hơn so với mô hình IP truyền thống, đó là công nghệ chuyển mạch nhãn đa giao thức (MPLS) CHƯƠNG II CHUYỂN MẠCH NHÃN ĐA GIAO THỨC Chuyển mạch nhãn đa giao thức (Multi-Protocol... tác động vào thông qua việc định tuyến dựa trên chính sách Để khắc phục những nhược điểm của phương pháp định tuyến và chuyển mạch truyền thống như trên, phương pháp chuyển mạch nhãn đa giao thức đã ra đời và đáp ứng được những nhu cầu đó 2.2 Tổng quan về MPLS 2.2.1 Khái niệm và sự phát triển của MPLS 2.2.1.1 Khái niệm MPLS – chuyển mạch nhãn đa giao thức MPLS là công nghệ được IETF xây dựng và phát... thì với các router chuyển mạch IP thông thường, việc chuyển mạch gói tin đã dựa trên phần cứng như ASIC - chứa các thông tin chuyển mạch CPU lúc này sẽ chỉ được sử dụng để tính toán các thông tin định tuyến Với chuyển mạch từ phần cứng thì tốc độ chuyển mạch các gói tin IP rất cao (lên tới hàng chục Gbps) tương đương với chuyển mạch nhãn Do đó ứng dụng MPLS để nâng cao tốc độ chuyển mạch hiện không phải... Các router trong mạng lõi chỉ sử dụng nhãn ở trên cùng để chuyển mạch, còn các nhãn phía sau sẽ dùng trong các mục đích khác Thông thường, 1 gói tin được gán 1 nhãn Tuy nhiên trong 1 số ứng dụng, 1 gói tin có thể được gán nhiều nhãn: • MPLS VPN: các gói tin được gán 2 nhãn, trong đó nhãn đầu chỉ ra router biên cần tới, còn nhãn sau xác định VPN • MPLS TE: có từ 2 nhãn trở lên, trong đó nhãn đầu tiên... MPLS được sử dụng trong mạng chuyển mạch ATM 2.3.1.2 Nhãn (Label) Label – nhãn là yếu tố nền tảng trong MPLS Nhãn là một đoạn thông tin được đưa vào giữa thông tin của lớp 2 và lớp 3 trong cấu trúc gói tin của frame-mode MPLS Hình 2.11 Nhãn trong Frame-Mode MPLS hoặc chính là ATM header trong cell-mode MPLS Hình 2.12 Nhãn trong Cell-Mode MPLS Cấu trúc của nhãn: Hình 2.13 Cấu trúc của nhãn Trường Label... nhãn trong gói tin đó Các router trong mạng lõi chỉ cần lưu giữ thông tin định tuyến trong nội bộ mạng của nhà cung cấp mà không cần lưu giữ thông tin về các mạng bên ngoài Vì vậy các router trong mạng lõi sẽ không cần sử dụng giao thức BGP Hình 2.8 Thiết bị mạng lõi không cần sử dụng BGP Lúc này trong mạng của nhà cung cấp chỉ có các router biên sử dụng giao thức BGP và trao đổi thông tin định tuyến... ưu điểm chính và chủ yếu đưa MPLS vào ứng dụng trong mạng hiện nay • Thiết lập một cơ sở hạ tầng mạng thống nhất Với MPLS, ý tưởng đưa ra đó là gán nhãn cho tất cả các gói tin ở đầu vào dựa theo địa chỉ đích hoặc một thông số tiêu chuẩn nào đó, và toàn bộ lưu lượng của mạng sẽ được truyền trên một nền thống nhất IP ngày nay đã trở thành một giao thức phổ biến trong tất cả các mạng, một trong những lý... mạch sử dụng CPU tra bảng định tuyến sẽ rất phức tạp và chậm khi bảng định tuyến của router lớn Vì vậy sẽ làm cho quá trình truyền gói tin IP bị trễ nhiều So với cách chuyển mạch trước đây thì chuyển mạch gói tin nhờ thông tin nhãn chứa trong gói tin đó sẽ nhanh hơn rất nhiều do việc chuyển mạch nhãn được thực hiện nhanh và dễ dàng nhờ chuyển mạch bằng phần cứng Hình 2.5 Cơ chế truyền các gói tin trong. .. traffic từ giao thức không phải là giao thức IP sang giao thức IP và ngược lại Ví dụ như phần mềm Novell’s Border Manager 1.7 Mô hình mạng VPN Có thể chia mô hình mạng VPN ra thành hai loại chính, đó là: • Customer-based VPN (còn gọi là overlay VPN): là VPN được cấu hình trên các thiết bị của khách hàng sử dụng các giao thức đường hầm xuyên qua mạng công cộng Nhà cung cấp dịch vụ sẽ bán các mạch ảo giữa... nguyên tính chất độc lập lớp 2 và lớp 3 • Giao tiếp với các giao thức định tuyến hiện có như OSPF, ISIS, RSVP, BGP 2.3 Công nghệ chuyển mạch MPLS 2.3.1 Các khái niệm và thành phần cơ bản trong MPLS 2.3.1.1 Các chế độ hoạt động của MPLS MPLS có 2 chế độ hoạt động chính đó là: • Chế độ hoạt động khung: Là chế độ hoạt động khi MPLS được sử dụng trong mạng không phải là mạng chuyển mạch ATM • Chế độ hoạt động . về chuyển mạch nhãn và ứng dụng của nó cho mạng riêng ảo, đồ án này bao gồm 3 chương như sau: • Chương 1: MẠNG RIÊNG ẢO (VPN) • Chương 2: CHUYỂN MẠCH NHÃN ĐA GIAO THỨC (MPLS) • Chương 3: ỨNG DỤNG. Đồ án Chuyển mạch nhãn đa giao thức (MPLS) và ứng dụng MPLS để xây dựng mạng riêng ảo (VPN)” đã nghiên cứu những khái niệm và ứng dụng từ cơ bản đến nâng cao của dịch vụ mạng riêng ảo và công nghệ. gói tin truyền đi và đến. Kênh thông tin yêu cầu ba giao thức khác nhau: • Giao thức sóng mang - Carrier protocol: (còn gọi là giao thức truyền tải) giao thức này sử dụng trên mạng để đưa thông