Đang tải... (xem toàn văn)
Tổng quan về vpn triển khai mpls-vpn
HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA CÔNG NGHỆ THÔNG TIN ĐỀ TÀI THỰC TẬP CƠ SỞ TỔNG QUAN VỀ VPN TRIỂN KHAI MPLS-VPN Giảng viên hướng dẫn: Thầy Nguyễn Hồng Việt Sinh viên thực hiện: - Hoàng Hải Anh - Nguyễn Vinh Quang - Trần Khánh Toàn Lớp: AT7A HÀ NỘI, tháng 12/2013 HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA CÔNG NGHỆ THÔNG TIN ĐỀ TÀI THỰC TẬP CƠ SỞ TỔNG QUAN VỀ VPN TRIỂN KHAI MPLS-VPN Nhận xét của giáo viên hướng dẫn: Điểm chuyên cần của nhóm: Điểm chấm kết quả bản in hoàn chỉnh của báo cáo thực tập: Học viện kỹ thuật mật mã Lớp AT7A Thực tập cơ sở chuyên ngành MỤC LỤC LỜI NÓI ĐẦU 1 CHƯƠNG 1. TỔNG QUAN VỀ VPN 2 1.1 Giới thiệu về VPN 2 1.1.1 VPN là gì 2 1.1.2 Lợi ích VPN mang lại 3 1.1.3 Các thành phần cần thiết cấu tạo nên kết nối VPN 4 1.2 Các loại VPN 4 1.2.1 VPN Remote Access 4 1.2.2 VPN Site - to – Site 5 CHƯƠNG 2. GIỚI THIỆU VỀ CÔNG NGHỆ MPLS 7 2.1. Giới thiệu , lịch sử phát triển và các lợi ích của MPLS 7 2.1.1. Giới thiệu 7 2.1.2. Lịch sử phát triển 8 2.1.3. Lợi ích của MPLS 9 2.2. Công nghệ chuyển mạch MPLS 9 2.2.1. Cấu trúc MPLS 9 2.2.2. Cấu trúc nhãn 10 2.2.3. Quá trình gán nhãn gói tin 11 2.3. Ứng dụng công nghệ MPLS-VPN 14 2.3.1. Giới thiệu 14 2.3.2. Mô hình mạng MPLS-VPN 15 2.3.3. Thành phần trong cấu trúc MPLS-VPN 16 2.3.4. Thông tin định tuyến qua môi trường MPLS-VPN 18 2.3.5. So sánh giữa MPLS-VPN và VPN truyền thống 18 CHƯƠNG 3. TRIỂN KHAI MPLS-VPN 23 3.1. Mô hình triển khai 23 3.2. Các bước triển khai 23 TÀI LIỆU THAM KHẢO 25 i Học viện kỹ thuật mật mã Lớp AT7A Thực tập cơ sở chuyên ngành DANH MỤC HÌNH ẢNH Hình 1.1. VPN= đường hầm + mã hóa 2 Hình 1.2. Mô hình VPN 3 Hình 1.3. Mô hình VPN Remote Access 5 Hình 1.4. Mô hình VPN Site-to-Site 6 Hình 2.5. Mô hình MPLS cơ bản 7 Hình 2.6. Cấu trúc MPLS 10 Hình 2.7. Nhãn chứa MPLS 10 Hình 2.8. Nhãn đặc biệt trong MPLS 11 Hình 2.9. Xây dựng bảng FIB 12 Hình 2.10. Xây dựng bảng LIB 12 Hình 2.11. Xây dựng bảng LFIB 13 Hình 2.12. Chuyển tiếp gói tin trong MPLS 13 Hình 2.13. Overlay VPNs 14 Hình 2.14. Peer-to-peer VPNs 15 Hình 2.15. Cấu trúc mạng MPLS-VPN 16 Hình 2.16. Chức năng của VRF 16 Hình 2.17. Hoạt động của RD 17 Hình 2.18. Thông tin định tuyến qua môi trường MPLS 18 Hình 3.19. Mô hình triển khai 23 ii Học viện kỹ thuật mật mã Lớp AT7A Thực tập cơ sở chuyên ngành LỜI NÓI ĐẦU Ngày nay, Internet đã trở nên rất phổ biến trên toàn thế giới. Internet đã và đang chiếm vị trí quan trọng, phục vụ cho con người trong mọi lĩnh vực: Quản lý, sản xuất kinh doanh, học tập, nghiên cứu, thông tin liên lạc và những sinh hoạt thường nhật. Tuy nhiên, mạng Internet truyền thống không thể đáp ứng các nhu cầu ngày càng tăng nhanh của khách hàng vì không có bất kỳ cơ chế điều khiển chất lượng nào, không hỗ trợ tốt chất lượng dịch vụ và không đảm bảo được tính bảo mật cơ sở dữ liệu – một vấn đề cấp thiết đối với bất kỳ cơ quan, doanh nghiệp, tổ chức nào, đặc biệt các công ty đa quốc gia . Gần đây, công nghệ chuyển mạch nhãn đa giao thức (MPLS) được đề xuất sử dụng để tải các gói tin IP trên các kênh ảo. MPLS đã kết hợp được các ưu điểm của chuyển mạch gói datagram và chuyển mạch kênh ảo đồng thời khắc phục được các nhược điểm trên của mạng truyền thống, đáp ứng được các yêu cầu của các mạng riêng sử dụng hạ tầng cơ sở thông tin quốc gia với những yêu cầu khác nhau về độ an toàn, bảo mật và chất lượng dịch vụ. Do vậy, kỹ thuật chuyển mạch nhãn đa giao thức MPLS (MultiProtocol Label Switching) đã nhanh chóng trở thành một kỹ thuật nền tảng quan trọng trong Internet và được các công ty, doanh nghiệp áp dụng . Đặc biệt là dịch vụ mạng riêng ảo (Virtual Private Network - VPN) chạy trên nền công nghệ mới MPLS. Trong báo cáo này , chúng em muốn giới thiệu về công nghệ MPLS và một ứng dụng rất quan trọng của nó đó là dịch vụ MPLS VPN, để từ đó xây dựng mô hình MPLS VPN dựa trên Router hàng Cisco. Báo cáo được trình bày qua 3 chương: - Chương I: Tổng quan về VPN. - Chương II: Giới thiệu về công nghệ MPLS. - Chương III: Mô hình triển khai MPLS-VPN Công nghệ MPLS là công nghệ tương đối mới mẻ, việc tìm hiểu về các vấn đề của công nghệ MPLS đòi hỏi phải có kiến thức sâu rộng, và lâu dài. Do vậy báo cáo của chúng em không tránh khỏi những thiếu sót. Rất mong nhận được sự phê bình, góp ý của các thầy cô giáo và các bạn. Chúng em cũng xin gửi lời cảm ơn chân thành tới thầy Nguyễn Hồng Việt, người đã tận tình hướng dẫn chúng em trong suốt quá trình nghiên cứu, tìm hiểu đề tài này. 1 Học viện kỹ thuật mật mã Lớp AT7A Thực tập cơ sở chuyên ngành CHƯƠNG 1. TỔNG QUAN VỀ VPN 1.1 Giới thiệu về VPN 1.1.1 VPN là gì Mạng riêng ảo hay còn được biết đến với từ viết tắt VPN,đây không phải là một khái niệm mới trong công nghệ mạng. VPN có thể được định nghĩa như một dịch vụ mạng ảo được triển khai trên cơ sở hạ tầng của hệ thống mạng công cộng với mục đích tiết kiệm chi phí cho các kết nối điểm-điểm. Hai đặc điểm quan trọng của công nghệ VPN là “riêng” và “ ảo ” tương ứng với hai thuật ngữ tiếng anh (Virtual and Private). VPN có thể xuất hiện tại bất cứ lớp nào của mô hình OSI, VPN là sự cải tiến cơ sở hạ tầng mạng WAN, làm thay đổi và tăng thêm tính chất của mạng cục bộ cho WAN. Hình 1.1. VPN= đường hầm + mã hóa 2 Học viện kỹ thuật mật mã Lớp AT7A Thực tập cơ sở chuyên ngành Hình 1.2. Mô hình VPN 1.1.2 Lợi ích VPN mang lại - VPN làm giảm chi phí thường xuyên: VPN cho phép tiết kiệm chi phí đường truyền và giảm chi phí phát sinh cho nhân viên ở xa nhờ vào việc họ truy cập vào hệ thống nội bộ thông qua các điểm cung cấp dịch vụ ở địa phương POP(Point of Presence), hạn chế thuê đường truy cập của nhà cung cấp dẫ đến giá thành cho việc kết nối Lan-to-Lan giảm đi đáng kể so với việc thuê đường Leased-Line - Giảm chi phí quản lý và hỗ trợ: với việc sử dụng dịch vụ của nhà cung cấp, chúng ta chỉ phải quản lý các kết nối đầu cuối tại các chi nhánh mạng không phải quản lý các thiết bị chuyển mạch trên mạng. Đồng thời tận dụng cơ sở hạ tầng của mạng Internet và đội ngũ kỹ thuật của nhà cung cấp dịch vụ. - VPN đảm bảo an toàn thông tin, tính toàn vẹn và xác thực: dữ liệu truyền trên mạng được mã hóa bằng các thuật toán, đồng thới được truyền trong các đường hầm (Tunnle) nên thông tin có độ an toàn cao. - VPN dễ dàng kết nối các chi nhánh thành một mạng cục bộ : việc tập trung quản lý thông tin tại tất cả các chi nhánh là cần thiết. VPN có thể dễ dàng kết nối hệ thống mạng giữa các chi nhánh và văn phòng trung tâm thành một mạng LAN với chi phí thấp. - VPN hỗ trợ các giáo thức mạng thông dụng nhất hiện nay như TCP/IP: bảo mật địa chỉ IP: thông tin được gửi đi trên VPN đã được mã hóa do đó 3 Học viện kỹ thuật mật mã Lớp AT7A Thực tập cơ sở chuyên ngành các địa chỉ trên mạng riêng được che giấu và chỉ sử dụng các địa chỉ bên ngoài Internet. 1.1.3 Các thành phần cần thiết cấu tạo nên kết nối VPN - User authentication : cung cấp cơ chế chứng thực người dùng chỉ cho phép người dùng hợp lệ kết nối vào hệ thống VPN - Address management : cung cấp địa chỉ IP hợp lệ cho người dùng sau khi gia nhập hệ thống VPN có thể truy cập tài nguyên trên mạng nội bộ gia nhập hệ thống VPN để truy cập tài nguyên trên mạng nội bộ. - Data Encryption : cung cấp giải pháp mã hóa dữ liệu trong quá trình truyền nhằm đảm bảo tính riêng tư và toàn vẹn dữ liệu. - Key Management : cung cấp giải pháp quản lý các khóa dùng cho quá trình mã hóa và giải mã dữ liệu. 1.2 Các loại VPN 1.2.1 VPN Remote Access Cung cấp các kết nối truy cập từ xa đến một mạng Intranet hoặc Extranet dựa trên hạ tầng được chia sẻ. VPN Remote Access sử dụng đường truyền qua Analog, Dial, INDS, DSL, Mobile IP và cable để thiết lập kết nối đến các mobile user. Một đặc điểm quan trọng của VPN Remote Access : cho phép người dùng di động truy cập từ xa vào hệ thống nội bộ trong cong ty để làm việc. Để thực hiện được VPN Remote Access cần có: + 1 VPN Getway(1 IP Public). Đây là địa điểm tập trung xử lý VPN Client quay số truy cập hệ thống VPN nội bộ + các VPN client kết nối vào mạng Internet 4 Học viện kỹ thuật mật mã Lớp AT7A Thực tập cơ sở chuyên ngành Hình 1.3. Mô hình VPN Remote Access 1.2.2 VPN Site - to – Site VPN Site - to – Site được chia thành 2 loại Intranet VPN và Extranet VPN. - Intranet VPN : kết nối văn phòng trung tâm, các chi nhánh văn phòng ở xa vào mạng nội bộ của công ty dưa trên hạ tầng được chia sẻ. Intranet VPN khác với Extranet VPN ở chỗ chỉ cho phép các nhân viên nội bộ trong công ty truy cập vào hệ thống mạng nội bộ của công ty. - Extranet VPN : kết nối bộ phận khách hàng của công ty, bộ phận tư vấn hoặc các đối tác của công ty thành 1 hệ thống mạng dựa trên hạ tầng được chia sẻ. Extranet VPN khác với Intranet VPN ở chỗ cho phép các user ngoài công ty truy cập vào hệ thống. - Để thực hiện được VPN Site-to-Site cần có: + 2 VPN getway(mỗi VPN getway có 1 IP public). Đây là điểm tập trung xư lý khi VPN getway phía bên kia quay số truy cập vào. + Các client để nối vào hệ thống mạng nội bộ. 5 Học viện kỹ thuật mật mã Lớp AT7A Thực tập cơ sở chuyên ngành Hình 1.4. Mô hình VPN Site-to-Site 6 [...]... nghệ MPLS -VPN 2.3.1 Giới thiệu MPLS -VPN không giống như các mạng VPN truyền thống, các mạng MPLS -VPN không sử dụng hoạt động đóng gói và mã hóa gói tin để đạt được mức độ bảo mật cao MPLS VPN sử dụng bảng chuyển tiếp và các nhãn “tags” để tạo nên tính bảo mật cho mạng VPN Kiến trúc mạng loại này sử dụng các tuyến mạng xác định để phân phối các dịch vụ iVPN, và các cơ chế xử lý thông minh của MPLS VPN. .. dịch vụ này (tổng công ty Bảo Hiểm Bảo Việt; ngân hàng Đông Á ) Bên cạnh đó các tổ chức nhà nước như Bộ Tài Chính, Hải Quan, Kho Bạc, Thuế đã liên kết với nhau bằng VPN/ MPLS Mạng của tổ chức Đảng, các văn phòng tỉnh ủy cũng đang thử nghiệm công nghệ này 22 Học viện kỹ thuật mật mã Lớp AT7A Thực tập cơ sở chuyên ngành CHƯƠNG 3 TRIỂN KHAI MPLS -VPN 3.1 Mô hình triển khai Hình 3.19 Mô hình triển khai Trong... này một lần nữa lại làm tăng thêm độ trễ của mạng - Chi phí triển khai Để cải thiện điều này, nhiều thiết bị phần cứng có tốc độ xử lý gói tin rất lớn được ra đời nhưng lại tỉ lệ thuận với giá thành, điều này làm cho chi phí triển khai IPSec VPN rất lớn Lại nói về chi phí, một điểm chúng ta cần cân nhắc khi triển khai các mạng VPN đó là các VPN Server – Customer Premise Equipment (CPE) Mỗi một CPE phải... vậy, có thể thấy rằng MPLS -VPN đáp ứng được những yêu cầu đặt ra của một mạng VPN, đồng thời giải quyết được một cách triệt để những hạn chế của các mạng VPN truyền thống dựa trên công nghệ ATM, Frame Relay và đường hầm IP Công nghệ MPLS -VPN tại Việt Nam: MPLS hiện đang được xúc tiến xây dựng trong mạng truyền tải của Tổng Công Ty Bưu Chính Viễn Thông (VNPT) Với dự án VoIP đang triển khai, VNPT đã thiết... extranet VPN, Internet access VPNs, network management VPN ) sử dụng công nghệ MPLS VPN thì RT giữ vai trò nồng cốt Một địa chỉ mạng 17 Học viện kỹ thuật mật mã Lớp AT7A Thực tập cơ sở chuyên ngành có thể được kết hợp với một hoặc nhiều export RT khi quảng bá qua mạng MPLS VPN Như vậy , RT có thể kết hợp với nhiều site thành viên của nhiều VPN 2.3.4 Thông tin định tuyến qua môi trường MPLS -VPN Hình... những địa chỉ IP trùng lấp trở thành địa chỉ VPNv4 và được gởi từ PE router này đến PE router khác bằng giao thức MP BGP PE Router đầu xa nhận được địa chỉ VPNv4 gở bỏ giá trị RD , cho vào bảng VRF dựa vào giá trị RT để xác định cổng ra và gởi đến cho CE Router đích 2.3.5 So sánh giữa MPLS -VPN và VPN truyền thống VPN truyền thống: - Độ trễ của mạng Các mạng VPN tuyền thống sử dụng 3 chức năng bảo mật... cùng (tổng hợp của 32-bit địa chỉ khách hàng và 64-bit RD) được gọi là một địa chỉ VPNv4 (Hình 17) Địa chỉ VPNv4 được truyền tải giữa các Router PE bằng giáo thức MPBGP (Multiprotocol BGP) Hình 2.17 Hoạt động của RD • Route-Target (RT) RD chỉ sử dụng riêng cho 1 VPN để phân biệt địa chỉ IP đẫn đến việc các khách hang có nhiều kết nối VPN trở nên khó giải quyết Khi thực thi các cấu trúc mạng VPN phức... Dịch vụ VPN được xây dựng dưa trên 2 mô hình chính: • Overlay VPNs: dùng khi ISP cung cấp kết nối ảo (virtual point-to-point links) giữa các site khách hàng (Frame Relay là 1 ví dụ của Overlay VPNs) Hình 2.13 Overlay VPNs • Peer-to-peer VPNs: dùng khi ISP cùng tham gia trong quá trình định tuyến cho khách hàng 14 Học viện kỹ thuật mật mã Lớp AT7A Thực tập cơ sở chuyên ngành Hình 2.14 Peer-to-peer VPNs... router PE1, PE2, P1, P2, P3, P4 Trong đó, PE1 và PE2 là router biên của nhà cung cấp trong miền MPLS -VPN cho khách hàng A và B Router P1, P2, P3, P4 là router nhà cung cấp 15 Học viện kỹ thuật mật mã Lớp AT7A Thực tập cơ sở chuyên ngành Hình 2.15 Cấu trúc mạng MPLS -VPN 2.3.3 Thành phần trong cấu trúc MPLS -VPN • Bảng định tuyến và chuyển mạnh ảo VRF VRF -Virtual Routing Forwarding: là một tổ hợp định... MPLS VPN hoàn toàn đơn giản vì các MPLS VPN không sử dụng cơ chế tạo đường hầm Vì vậy, cấu hình mặc định cho các mạng MPLS VPN là full mesh, chỉ cần một kết nối duy nhất cho mỗi remote site trong đó các site được nối trực tiếp với PE vì vậy các site bất kỳ có thể trao đổi thông tin với nhau trong VPN Và thậm chí, nếu site trung tâm gặp trục trặc, các site khác vẫn có thể liên lạc với nhau Hoạt động khai . 1 CHƯƠNG 1. TỔNG QUAN VỀ VPN 2 1.1 Giới thiệu về VPN 2 1.1.1 VPN là gì 2 1.1.2 Lợi ích VPN mang lại 3 1.1.3 Các thành phần cần thiết cấu tạo nên kết nối VPN 4 1.2 Các loại VPN 4 1.2.1 VPN Remote. MPLS -VPN 14 2.3.1. Giới thiệu 14 2.3.2. Mô hình mạng MPLS -VPN 15 2.3.3. Thành phần trong cấu trúc MPLS -VPN 16 2.3.4. Thông tin định tuyến qua môi trường MPLS -VPN 18 2.3.5. So sánh giữa MPLS -VPN. MPLS VPN dựa trên Router hàng Cisco. Báo cáo được trình bày qua 3 chương: - Chương I: Tổng quan về VPN. - Chương II: Giới thiệu về công nghệ MPLS. - Chương III: Mô hình triển khai MPLS -VPN Công