KIẾN TRÚC BẢO MẬT MPLS 2.1 Tách biệt không gian địa chỉ Để phân biệt được không gian địa chỉ giữa các VPN khác nhau, MPLS không sử dụng địa chỉ Ipv4 (hoặc Ipv6) trên mặt phẳng điều khiển. Thay vào đó, đưa ra khái niệm địa chỉ VPN-Ipv4 hoặc VPN-Ipv6. Một địa chỉ VPN-Ipv4 bao gồm 8 byte RD (Route Distinguisher) tiếp theo là 4 byte địa chỉ Ipv4. Được minh họa trong hình[]. Tương tự, một địa chỉ VPN-Ipv6 gồm 8 byte cho trường RD theo sau là 16 byte cho địa chỉ Ipv6. [Hình 5] Mục đích của RD là cho phép toàn bộ không gian địa chỉ Ipv4 được sử dụng trong những mục đích khác nhau. Trên router, một RD có thể định nghĩa một tuyến VPN. Do kiến trúc của MPLS IP VPN, chỉ có các router PE mới biết những tuyến VPN. Do đó các router PE sử dụng địa chỉ VPN-Ipv4 để phân biệt giữa các VPN, và cũng để phân biệt giữa không gian địa chỉ của mạng lõi (mạng lõi sử dụng địa chỉ IP thuần túy trên mặt phẳng điều khiển). [Hình 6] minh họa không gian địa chỉ khác nhau được sử dụng cho một mạng lõi MPLS IP VPN. 2.2 Tách biệt lưu lượng Lưu lượng VPN bao gồm lưu lượng trên mặt phẳng dữ liệu và mặt phẳng điều khiển VPN. Đối với người sử dụng thì lưu lượng VPN của họ không được trộn lẫn (mix) với lưu lượng của người sử dụng khác hoặc với lưu lượng của mạng lõi. Lưu lượng VPN được đóng gói trong một LSP và gởi từ PE đến PE, do đó mạng lõi không bao giờ nhìn thấy lưu lượng VPN. [Hình 7] minh họa những loại lưu lượng khác nhau trên mạng lõi MPLS. Mỗi giao tiếp chỉ có thể thuộc về một VRF (Virtual Routing Forwarding) tùy thuộc vào cấu hình trên nó. Ví dụ: VPN khách hàng có tên là “red” được kết nối tới PE trên giao diện Fast Ethernet. Lệnh ip vrf forwarding xác định VRF. [Hình 8] minh họa cấu hình này. Tách biệt lưu lượng trên router PE được thực thi dựa vào loại giao tiếp đối với những gói đến rotouter. - Non – VRF interface: Nếu những gói vào interface được kết hợp với bảng định tuyến toàn cục (không dùng lệnh ip vrf forwarding) thì việc chuyển tiếp được quyết định dựa trên bảng định tuyến toàn cục, và gói này được xử lý như gói IP bình thường. Chỉ có lưu lượng lõi mới sử dụng non-vrf interface. - VRF interface: Nếu gói vào một interface được liên kết với một VRF dùng lệnh ip vrf forwarding thì việc chuyển tiếp được quyết định bảng chuyển tiếp (hay cơ sở thông tin chuyển tiếp FIB - Forwarding Information Base) của VRF đó. Chặng kế của router luôn trỏ đến router khác, và những mục trong bảng FIB chứa cách thức đóng gói cho những gói trên mạng lõi. Sự tách biệt lưu lượng giữa các VNP khác nhau được thực hiện bằng cách đóng gói những gói nhận được với trường header cụ thể. Có những lựa chọn khác nhau cho cách đóng gói và chuyển tiếp những gói VPN trên lõi – qua 1 LSP (Label Switch Path), một đường ống IPsec, một đường ống GRE (Generic Routing Encapsulation),… Tất cả các phương thức này nhầm mục đích là tạo ra sự tách biệt lưu lượng giữa các VPN. [Hình 9] sau đây chỉ cách đóng gói trên mạng lõi. Router P không có vai trò chủ động trong việc giữ lưu lượng từ các VPN tách biệt mà chúng chỉ kết nối các router PE lại với nhau qua các LSP hoặc bằng những phương thức khác được mô tả ở trên. Một trong những chìa khóa thuận lợi của kiến trúc MPLS VPN là các router P không giữ thông tin VPN. Điều này hỗ trợ tính mềm dẻo của mạng lõi và giúp cho mạng lõi bảo mật hơn vì mạng lõi được che dấu. Tóm lại người dùng VPN có thể yên tâm rằng lưu lượng của họ được tách biệt đối với lưu lượng của người dùng khác và mạng lõi vì: - Một interface trên một PE chỉ có thể thuộc vào một VRF đơn hoặc lõi. - Liên kết giữa PE – CE trên interface này tùy thuộc vào VPN luận lý của người dùng. Nghĩa là các VPN khác không thể truy cập tới nó. - Trên PE, thông tin địa chỉ của VPN thì được giữ như là địa chỉ VPN-IPv4, mỗi VPN điều được phân biệt duy nhất qua trường RD (Route Distinguisher). Địa chỉ VPN-IPv4 chỉ được lưu giữ trên các router PE để ánh xạ các tuyến. Nhà cung cấp dịch vụ SP (Service Provider) có thể mông đợi mạng lõi của họ tách biệt với VPN người dùng vì: địa chỉ sử dụng giữa PE và P là địa chỉ IPv4 còn các VPN thì sử dụng địa chỉ VPN-IPv4, do đó không thể truy cập đến các router PE và P. Sau đây là một số mô hình phổ biến minh họa sự tách biệt lưu lượng: + Tách biệt hoàn toàn giữa VPN và truy cập internet cho một site đơn Truy cập VPN và internet là hoàn toàn tách biệt. [Hình 10] minh họa về sự tách biệt. Ưu điểm của việc tách biệt này là chống lại tấn DoS. Ngay cả nếu doanh nghiệp là đích đến của các cuộc tấn công DoS dựa trên dịch vụ internet thì dịch vụ VPN vẫn không bị ảnh hưởng. Bất lợi của tùy chọn này là làm tăng chi phí cho doanh nghiệp, cần cung cấp và duy trì nhiều đường tách biệt và router phục vụ cho việc truy cập VPN và internet. + Truy cập internet và VPN đều hội tụ ở nhà cung cấp dịch vụ Một vài nhà cung cấp dịch vụ cung cấp truy cập internet và VPN có điểm hội tụ tài biên nhà cung cấp (ranh giới giữa nhà cung cấp và khách hàng). Với một router đơn ở phía nhà cung có thể ánh xạ 2 dịch vụ tách biệt là truy cập VPN và internet. Trong kiến trúc này, lưu lượng VPN và internet được xử lý tại router biên của nhà cung cấp. Nếu nhìn theo mức luận lý thì 2 dịch vụ sẽ được kết nối tới 2 router biên, mỗi router phục vụ cung cấp một dịch vụ. Nhưng ở mức vật lý thì chỉ có một router chịu trách nhiệm ánh xạ các interface để phân biệt các dịch vụ khác nhau. Điều này sẽ giảm bớt những đợt tấn công DoS từ bên ngoài, vì nếu ta giảm bớt được kết nối vật lý thì nguy cơ tấn công cũng giảm, và với sự tách biệt biệt hoàn toàn đó thì thiết lập luật chống lại các cuộc tấn giữa 2 loại lưu lượng cũng dễ dàng hơn.[Hình 11] + Một đường đơn (single line) phục vụ cho 2 dịch vụ VPN và internet Với mô hình này thì chi phí sẽ giảm đi rất nhiều. Vì chúng ta biết rằng số giao diện trên thiết bị kết nối trong mạng WAN tỉ lệ thuật với chi phí cho thiết bị đó nên giảm số cổng vật lý cũng giảm chi phí đáng kể. Nhưng có điều bất lợi là hiệu suất thực thi của thiết bị đó sẽ giảm đi, vì nó phải xử lý nhiều việc nên phần nào tốc độ về xử lý cũng giảm xuống. Để có thể phân biệt được các dịch vụ ở mức luận lý (logic) thì các giao tiếp này phải được cấu hình các giao tiếp phụ/con (subinterface) trên cả router CE và PE. Mỗi subinterface tương ứng phục vụ cho một dịch vụ. [Hình 12] 2.3 Cách thức che dấu cấu trúc lõi MPLS Vì lý do bảo mật mà nhà cung cấp dịch vụ SP (Service Provider) cũng như người dùng đầu cuối không muốn topo mạng của họ bị nhòm ngó bởi bên ngoài. Điều này làm cho những cuộc tấn công trở nên khó khăn hơn. Nếu một kẻ tấn công không biết những thông tin về đích đến của anh ta/cô ta là gì thì khó lòng mà tấn công được. Hầu hết những cuộc tấn công DoS diễn ra khi đích đến đã xác định qua địa chỉ IP chẳng hạn. Một khi địa chỉ IP được biết thì nguy bị tấn sẽ tăng lên nhất là tấn công DoS. Vì vậy một ý tưởng đưa ra là tiết lộ bất kỳ thông tin về mạng nội (internal network) ra bên ngoài cho dù đó là VPN khách hàng. Trong thực tế, để đảm bảo mức độ an toàn thì phải kết hợp với việc lọc gói (packet filtering). [Hình 13] dưới đây cho ta thấy không gian địa chỉ VPN. Không có router P hoặc VPN khác nhình thấy được VPN1 MPLS không hiện những thông tin cần thiết ra bên ngoài, ngay cả những VPN của khách hàng. Địa chỉ mạng lõi có thể được thiết lập thành địa chỉ riêng hoặc công khai. Vì giao tiếp trên các VPN và internet là BGP (Border Gateway Protocol) nên không hiện bất kỳ thông tin nào. Chỉ có những thông tin được yêu cầu trong trường hợp sử dụng giao thức định tuyến giữa PE (Provider Edge) và CE (Customer Edge) là địa chỉ của router PE. Nếu không muốn những thông tin đó được nhìn thấy thì có thể sử dụng định tuyến tĩnh giữa PE và CE. Với khả năng này thì mạng lõi MPLS sẽ được ẩn hoàn toàn. Trong dịch vụ VPN thông qua hạ tầng internet, thì nhà SP sẽ thông báo mạng của những khách hàng của họ đến SP ngang hàng hoặc ngược dòng (upstream) ra ngoài internet. Do đó để che dấu được mạng phía khách hàng thì phải sử dụng chức năng NAT (Network Address Translation). Thông tin mạng lõi vẫn không được hiện ra bên ngoài ngoại trừ địa chỉ của các router PE ngang hàng. 2.4 Các cách thức tấn công vào mạng MPLS Theo nguyên lý thì một PE có thể bị tấn công với lưu lượng chuyển tiếp (PE đó không phải là đích đến) hoặc lưu lượng đích (PE đó là đích đến). Lưu lượng đến một router gọi là lưu lượng nhận (receive traffic), một cuộc tấn công xảy ra khi lưu nhận vào vượt mức xử lý của router hoặc chiếm giữa một kênh truyền thông để kiểm soát router. Đối với lưu lượng chuyển tiếp không phải là một vấn đề lớn vì phần lớn các router hiện nay điều sử dụng kỹ thuật chuyển tiếp lưu lượng nhanh (Forward Traffic Fast). Còn đối với những gói là đích đến thì ta sử dụng cơ chế lọc gói (filter packet) để chống lại các cuộc tấn công DoS và Intrusion. - DoS: một kẻ tấn công cố gắng làm tiêu tốn tất cả các nguồn tài nguyên của router PE. Ví dụ, kẻ tấn công gởi quá nhiều gói đến cập nhật định tuyến đến router, làm tiêu tốn tài nguyên bộ nhớ và CPU. - Intrusion: kẻ tấn nổ lực chiếm giữ một kênh hợp pháp để cấu hình router PE. Ví dụ, tấn công yêu cầu mật khẩu để kiểm soát việc telnet, cổng SSH, SNMP (dùng để quản trị mạng). Tất cả các nguy cơ tấn công có thể được kiểm soát tốt bằng cách cấu hình phù hợp. Khuyến nghị khóa tất cả các truy cập trên các giao diện có đích đến là PE bằng ACL (Access Control List), nếu tuyến nào được yêu cầu thì mở port đó ra. Một kẻ tấn công chỉ có thể tấn công bằng giao thức định tuyến. Như vậy câu hỏi đặt ra là có thể tấn công vào những điểm nào trên mạng ? câu trả lời sẽ được giải đáp ngay sau đây. Như ở phần trước, các VPN được tách biệt với nhau (tách biệt về không gian địa chỉ và lưu lượng) và tách biệt với lõi MPLS. Phần này chỉ ra những điểm có thể bị tấn công trên mạng MPLS. [Hình 14] minh họa chỉ có điểm duy nhất có thể bị tấn công là điểm giao tiếp giữa phía khách hàng và mạng lõi MPLS hay nói đúng hơn là nơi mà VPN có thể nhìn thấy mạng lõi và gởi gói đến một thiết bị mạng lõi: ở đây là router PE bởi vì giao tiếp giữa CE và PE phụ thuộc vào VPN. Do đó chỉ có một điểm có thể tấn công đó là các giao tiếp PE kết nối đến CE của VPN. Trong [Hình 14], VPN1 chỉ có thể nhìn thấy giao diện (interface) của PE – điểm kết nối trực tiếp với router CE. Lưu ý rằng một router CE có thể là không tin cậy, ngay cả khi nó được quản lý bởi nhà cung cấp SP (Sevice Provider) vì nó là thiết bị không được bên ngoài nhìn thấy. Như vậy qua cái nhìn tổng quát về những lỗ hỏng của mạng MPLS, thì điều kiện tiên quyết để bảo vệ mạng đó bảo vệ từ môi trường vật lý (bảo vệ không cho thâm nhập vào các thiết bị vật lý bất hợp pháp). 2.5 Chống lại các cuộc tấn công Mạng lõi có thể bị tấn bằng 2 cách sau: - Tấn công trực tiếp vào các router PE - Tấn công vào cơ chế báo hiệu của MPLS Để tấn công vào những thành phần mạng MPLS, điều quan trọng đầu tiên là phải biết địa chỉ IP của nó. Theo như phần che dấu cấu trúc mạng lõi MPLS thì địa chỉ IP của bất kỳ router nào trong mạng lõi sẽ không được tiết lộ ra ngoài. Nếu kẻ tấn công muốn biết được địa chỉ thì gởi yêu cầu đến mạng lõi. Tuy nhiên, MPLS sử dụng cơ chế tách biệt địa chỉ nến mỗi gói đến sẽ được xử lý phụ thuộc vào không gian địa chỉ của khách hàng. Cơ chế này chỉ có một ngoại lệ trên những giao diện ngang hàng của router PE. Định tuyến giữa VPN và lõi MPLS có thể được cấu hình theo 2 cách như sau: • Tĩnh (static): trong trường hợp này thì router PE được cấu hình với những tuyến tĩnh đến mỗi mạng phía bên của khách hàng (mạng trong nối với router CE), còn CE được cấu hình tĩnh đối với bất kỳ mạng nào ngoài VPN (hầu hết là tuyến mặc định). • Động (dynamic): sử dụng giao thức định tuyến (ví dụ RIP, OSPF) để trao đổi những thông tin định tuyến giữa CE và PE. Trong trường hợp định tuyến tĩnh từ router CE đến router PE, thì router CE không cần biết bất kỳ địa chỉ nào trong mạng lõi, ngay cả địa chỉ của router PE. Điều này sẽ bất lợi thay đổi cấu hình khi mạng thay đổi, nhưng theo quan điểm bảo mật thì đây là phương pháp thích hợp. Trong trường hợp còn lại thì router CE cần biết ít nhất là địa chỉ của router PE ngang hàng (địa chỉ trên interface của PE kết nối trực tiếp với CE) trong mạng lõi. Dẫn đến tiềm ẩn nhiều nguy cơ bị tấn công. Trong thực tế, việc truy cập đến router PE qua giao diện CE/PE có thể bị giới hạn bằng cách sử dụng ACLs (Access Control Lists). Đây sẽ giới hạn điểm tấn đến một giao thức định tuyến, ví dụ BGP. Để giới hạn những rủi ro thì điều cần thiết là cấu hình các giao thức định tuyến trên router PE một cách an toàn. Việc này có thể được làm theo những cách khác nhau: • Dùng ACL, chỉ cho phép giao thực định tuyến từ router CE, mới có thể trao đổi những thông tin định tuyến với PE thông qua việc thiết lập chính sách inbound ACL trên mỗi giao diện CE. • Sử dụng những giao thức xác thực như MD5 song song với các giao thức định tuyến như BGP, OSPF, RIP2,… Yêu cầu này đỏi hỏi nhà cung cấp và khách hàng thỏa thuận chia sẽ khóa bí mật giữa tất cả các CE và PE router. Đây sẽ là tiền đề để thiết lập VPN để đảm bảo mức độ bảo mật cao nhất. • Cấu hình những tham số định tuyến trong giao thức định phải đảm bảo hiệu suất và bảo mật cao. Ví dụ trong giao thức BGP, có thể cấu hình damping – giới hạn số tương tác định tuyến, số tuyến cực đại được chấp nhận trên VRF,… 2.6 Vấn đề giả nhãn Trong mạng MPLS, các gói không được chuyển tiếp dựa trên địa chỉ IP đích đến, mà nó dựa trên nhãn được thực hiện từ router PE. Tương tự như những tấn công giả địa chỉ IP - những kẻ tấn công sẽ thay đổi địa chỉ IP của nguồn hoặc đích, thì trong MPLS những kẻ tấn công sẽ giả nhãn của gói MPLS. Phần này sẽ nhấn mạnh việc có thể chèn nhãn vào gói trên mạng MPLS từ bên ngoài hay không, từ một VPN khách hàng hoặc từ internet. Theo nguyên lý thì giao tiếp giữa bất kỳ router CE nào và router PE ngang hàng là giao tiếp IP truyền thống. Router CE không quan tâm đến mạng lõi MPLS, nó cứ việc gởi những gói IP từ phía khách hàng đến router PE. Tại router PE sẽ xem xét những thông tin cần thiết và gán nhãn vào gói tin này. Với lý do này mà router PE sẽ không bao giờ chấp nhận những gói từ router CE mà nó đã được gán nhãn. Chính vì vậy mà không thể chèn nhãn giả vào gói trước khi nó đi vào mạng lõi MPLS. Mặc dù nhãn không thể giả được nhưng địa chỉ IP vẫn có thể giả được trước khi gởi gói tin đến mạng lõi. Tuy nhiên do có sự tách biệt về không gian địa chỉ trên router PE, và mỗi VPN có VRF riêng, nên việc tấn công giả mạo gói gốc xảy ra khi mà khách hàng có chủ định muốn tấn công vào chính VPN của anh/cô ta. 2.7 Lựa chọn lõi bảo mật MPLS Phần này sẽ khuyến nghị phương thức chọn/cấu hình mạng lõi MPLS sao cho bảo mật nhất. • Thiết bị tin cậy (trusted device) – các thiết bị như router PE, P, hay những server truy cập từ xa nên thực thi theo phương thức AAA (Authentication, Authorization, Accounting) để đáp ứng được như là một hệ thống tin cậy. Để có một cơ chế bảo mật mạnh thì phải bắt đầu từ việc xây dựng chính sách bảo mật ở cấp độ vật lý cho tốt. • Giao tiếp giữa route CE và PE: giao tiếp này nên được cấu hình đóng (không hiện những thông tin cần thiết ra bên ngoài như địa chỉ IP) cách tốt nhất là ta nên cấu hình tĩnh. Cách tốt nhất để ẩn hoàn toàn thông tin của các router PE đến người dùng VPN là dùng không gian địa chỉ không đánh số (địa chỉ liên tiếp) và định tuyến tĩnh giữa PE và CE. Ở đây ACL có thể được sử dụng để áp dụng cho các interface ngang hàng trên PE. [Hình 15] minh họa địa chỉ đánh số. Sử dụng phương pháp lọc gói như ACL để hỗ trợ khắc phục những điểm yếu khi sử dụng các giao thức định tuyến. Tất cả các lưu lượng đến router và mạng bên trong của nhà cung cấp dịch vụ nên được từ chối, rồi sau đó cấp quyền cho phép những lưu lượng được chỉ định. Kịch bản này nhằm ngăn cản tấn công trên các router PE và P, vì router PE sẽ hủy tất cả cc gĩi trong dải địa chỉ không phù hợp. Chỉ có một ngoại lệ là lưu lượng trên router PE ngang hàng với mục đích định tuyến. • Xác thực định tuyến: định tuyến dùng cơ chế báo hiệu giữa các CE và PE. Những giao thức định tuyến là đích nhắm của những kẻ tấn công. Do đó những thông tin định tuyến cần được bảo vệ. Để đạt được mục đích này thì tất cả cc giao thức phải được cấu hình với ty chọn xc thực ph hợp hướng về phí CE và về bất kỳ kết nối internet nào. Tất cả các giao tiếp ngang hàng trong mạng cần được bảo vệ: CE – PE (xc thực BGP – MD5), PE – P (xc thực LDP – MD5). Thiết lập này sẽ ngăn cản những kẻ tấn cơng giả nhn để xâm nhập vào mạng bất hợp pháp. • Tch biệt cc lin kết CE – PE: nếu nhiều CE chia sẽ hạ tầng lớp 2 để truy cập đến router PE (ví dụ VLAN), thì một router CE cĩ thể giả gĩi đến các VPN khác mà VPN đó cũng có cùng kết nối tới router PE. Bảo vệ những giao thức định tuyến ở trên là không đủ, vì việc ny khơng ảnh hưởng đến các gói bình thường. Để tránh vấn đề này, được khuyến nghị nên sử dụng những kết nối tách biệt giữa CE và PE. • Xác thực LDP: LDP cũng có thể được bảo vệ với xác thực MD5 qua mạng li MPLS. 2.8 So sánh MPLS VPN với các công nghệ lớp 2 truyền thống Để có cái nhìn tổng quan về các công nghệ VPN lớp 2 truyền thống với MPLS VPN, trước tiên ta xem xét một số đặc điểm chính của MPLS VPN. Không giống như các mạng VPN truyền thống, các mạng MPLS-VPN không sử dụng hoạt động đóng gói và mã hóa gói tin để đạt được mức độ bảo mật cao. MPLS VPN sử dụng bảng chuyển tiếp và các nhãn “labels/tags” để tạo nên tính bảo mật cho mạng VPN. Mỗi VPN được kết hợp với một bảng định tuyến - chuyển tiếp VPN (VRF) riêng biệt. VRF cung cấp các thông tin về mối quan hệ trong VPN của một site khách hàng khi được nối với PE router. Bảng VRF bao gồm thông tin bảng định tuyến IP (IP routing table), bảng CEF (Cisco Express Forwarding), các giao diện của forwarding table; các quy tắc, các tham số của giao thức định tuyến Mỗi site chỉ có thể kết hợp với một và chỉ một VRF. Các VRF của site khách hàng mang toàn bộ thông tin về các “tuyến” có sẵn từ site tới VPN mà nó là thành viên. Đối với mỗi VRF, thông tin sử dụng để chuyển tiếp các gói tin được lưu trong các IP routing table và CEF table. Các bảng này được duy trì riêng rẽ cho từng VRF nên nó ngăn chặn được hiện tượng thông tin bị chuyển tiếp ra ngoài mạng VPN cũng như ngăn chặn các gói tin bên ngoài mạng VPN chuyển tiếp vào các router bên trong mạng VPN. Đây chính là cơ chế bảo mật của MPLS VPN. Bên trong mỗi một MPLS VPN, có thể kết nối bất kỳ hai điểm nào với nhau và các site có thể gửi thông tin trực tiếp cho nhau mà không cần thông qua site trung tâm. Ưu điểm đầu tiên của MPLS-VPN là không yêu cầu các thiết bị CPE thông minh. Vì các yêu cầu định tuyến và bảo mật đã được tích hợp trong mạng lõi. Chính vì thế việc bảo dưỡng cũng khá đơn giản, vì chỉ phải làm việc với mạng lõi. Trễ trong mạng MPLS-VPN là rất thấp, sở dĩ như vậy là do MPLS-VPN không yêu cầu mã hoá dữ liệu vì đường đi của VPN là đường riêng, được định tuyến bởi mạng lõi, nên bên ngoài không có khả năng thâm nhập và ăn cắp dữ liệu (điều này giống với FR). Ngoài ra việc định tuyến trong MPLS chỉ làm việc ở lớp 2,5 chứ không phải lớp 3 vì thế giảm được một thời gian trễ đáng kể. Các thiết bị định tuyến trong MPLS là các Switch router định tuyến bằng phần cứng, vì vậy tốc độ cao hơn phần mềm như ở các router khác. Việc tạo Full mesh là hoàn toàn đơn giản vì việc tới các site chỉ cần dựa theo địa chỉ được cấu hình sẵn trong bảng định tuyến chuyển tiếp VPN (VEF). [Bảng 2] so sánh cụ thể giữa các công nghệ VPN . KIẾN TRÚC BẢO MẬT MPLS 2.1 Tách biệt không gian địa chỉ Để phân biệt được không gian địa chỉ giữa các VPN khác nhau, MPLS không sử dụng địa chỉ Ipv4 (hoặc. công vào chính VPN của anh/cô ta. 2.7 Lựa chọn lõi bảo mật MPLS Phần này sẽ khuyến nghị phương thức chọn/cấu hình mạng lõi MPLS sao cho bảo mật nhất. • Thiết bị tin cậy (trusted device) – các. khóa bí mật giữa tất cả các CE và PE router. Đây sẽ là tiền đề để thiết lập VPN để đảm bảo mức độ bảo mật cao nhất. • Cấu hình những tham số định tuyến trong giao thức định phải đảm bảo hiệu