tiểu luận chuyên đề mpls -vpn

MPLS là một công nghệ kết hợp đặc biệt tốt nhất giữa định tuyến lớp 3 vàchuyển mạch ở lớp 2 cho phép chuyển tải các gói rất nhanh trong mạng lõi core vàđịnh tuyến tốt ở mạng biên edge bằ

Tiểu luận chuyên đề MPLS-VPN

UẬN VỀ CHUY

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG HV CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

TP.HỒ CHÍ MINH KHOA ĐIỆN TỬ VIỄN THÔNG

TIỂU L ÊN ĐỀ

Multiprotocol Label Switching – Virtual Private Network

(MPLS-VPN)

Tiểu luận chuyên đề MPLS-VPN

Lời c ả m ơn:

Chân thành cảm ơn thầy Nguyễn Xuân Khánh đã tạo điều kiện và giúp đỡ cho chúng

em hoàn thành bài tiểu luận này và cũng rất mong sự góp ý và chỉ bảo những điều saisót trong đề tài này để nó hoàn thiện hơn

Vì đây là một bài tiểu luận nên chắc hẳn sẽ không chứa đựng tất cả những cấu trúc màmột mạng MPLS-VPN có và có khả năng làm được chúng tôi đã cố gắng tìm hiểu và

cơ bản nêu lên những cái chính về một mạng VPN chạy giao thức MPLS Do đó rấtmong nhận được sự góp ý từ các bạn Chân thành cảm ơn

Cấu trúc bài tiểu luận

Lời cảm ơn: 2

Phần đánh giá về đề tài: 3

Phần 1: Giới thiệu về chuyển mạch nhãn đa giao thức MPLS 6

A.Giới thiệu về MPLS 6

1.Khả năng mở rộng đơn giản 7

2.Một số ứng dụng của MPLS 7

B.Cấu trúc của một MPLS 8

1.Cấu trúc nhãn MPLS 8

a)Mặt phẳng chuyển tiếp (Forwarding Plane) 10

b)Mặt phẳng điều khiển (Control Plane)

11 2.Lớp chuyển tiếp tương đương FEC(Forwarding Equivalence Classes) 11

3.Đường chuyển mạch nhãn LSP (Label Switched Path) 12

4.Giao thức phân phối nhãn LDP (Label Distribution Protocol) 12

5.Bộ định tuyến chuyển mạch nhãn LSR(Label Switched Router) 12

6.Topo mạng MPLS 13

Phần 2: Mạng riêng ảo VPN (Vitrual Private Networking) 16

A.Giới thiệu cơ bản về mạng riêng ảo VPN 16

1.Các cơ chế an toàn của VPN 16

2.Sự Phát Triển Của VPNs 17

3.Sự Thuận Lợi Và Bất Lợi Của VPNs : 19

B.Giới thiệu các loại hình VPN: 20

1.VPN cho các nhà doanh nghiệp 20

a)Remote access VPN 20

b)VPN Site to Site 22

2.VPN cho các nhà cung cấp dịch vụ: 25

a)Overlay VPN 25

b)Peer-to-peer VPN 28

Phần 3: Giới thiệu về MPLS VPN: 33

A.Các thành phần trong MPLS-VPN: 34

1.Chuyển tiếp định tuyến ảo VRF (Virtual Routing Forwarding) 34

2.RD (Route Distinguishers) 36

3.RT (Route Targets.) 38

B.Kiến trúc và hoạt động của một MPLS VPN 41

Phần 4 Mô phỏng bằng GNS3 43

1.Các lệnh cấu hình 44

a)Cấu hình router A1 44

b)Cấu hình router PE01 45

c)Cấu hình router P 46

d)Cấu hình router PE02 46

e)Cấu hình router A2 48

B.Kết quả: 48

Ph ần 1: Gi ới thiệu về ch uyển mạ ch nh ãn đa giao th ức MPLS

A.Giới thiệu về MPLS.

MPLS là một công nghệ kết hợp đặc biệt tốt nhất giữa định tuyến lớp 3 vàchuyển mạch ở lớp 2 cho phép chuyển tải các gói rất nhanh trong mạng lõi core vàđịnh tuyến tốt ở mạng biên edge bằng cách dựa vào nhãn label MPLS là một phươngpháp cải tiến việc chuyển tiếp gói trên mạng bằng các nhãn được gắn với mỗi gói IP, tếbào ATM hoặc khung lớp 2 Phương pháp chuyển mạch nhãn giúp các router vàMPLS-Enable ATM switch ra quyết định theo nội dung nhãn tốt hơn việc định tuyếnphức tạp theo địa chỉ Ip đích MPLS kết nối tính thực thi và khả năng chuyển mạch vàkhả năng chuyển mạch lớp 2 với định tuyến lớp 3 Cho phép các ISP có tính mềm dẻotrong bất kì sự phối hợp với công nghệ lớp 2 nào nhờ vậy mà các ISP có thể giảm chiphí, tăng lợi nhuận, cung cấp nhiều hiệu quả khác nhau và đạt được hiệu quả cạnhtranh cao Ý tưởng khi đưa ra MPLS là: “ Định tuyến ở biên, chuyển mạch ở lõi”

Hình 1.1: Mô hình cơ bản mạng MPLS

1.Khả năng mở rộng đơn giản.

• Tăng chất lượng mạng, có thể triển khai các chức năng định tuyến mà các côngnghệ trước không thể thực hiện được như định tuyến hiện ( explicit routing),điều khiển lặp

• Tích hợp giữa IP và ATM cho phép tận dụng toàn bộ các thiết bị hiện tại trênmạng Tách biệt đơn vị điều khiển với đơn vị chuyển mạch cho phép MPLS hỗtrợ đồng thời MPLS và B-ISDN Việc bổ sung các chức năng mới sau khi triểnkhai mạng MPLS chỉ cần thay đổi phần mềm điều khiển

2.Một số ứng dụng của MPLS.

Internet có ba nhóm ứng dụng chính: voice, data, video với các yêu cầu khác nhau:

• Voice yêu cầu độ trễ thấp, cho phép thất thoát dữ liệu để tăng hiệu quả

• Video cho phép thất thoát dữ liệu ở mức độ chấp nhận được, mang tính thờigian thực (realtime)

• Data yêu cầu độ bảo mật và chính xác cao MPLS giúp khai thác tài nguyênmạng đạt hiệu quả cao

Một số ứng dụng được triển khai là:

• MPLS VPN: nhà cung cấp dịch vụ sử dụng cơ sở hạ tầng mạng công cộng có

sẵn để thực thi các kết nối giữa các site khách hàng

• MPLS Traggic Engineer: cung cấp khả năng thiết lập một hoặc nhiều đường đi

để điều khiển lưu lượng mạng và các đặc trưng thực thi cho một loại lưulượng

• MPLS Quality of Service: dùng Qos các nhà cung cấp dịch vụ có thể cung cấp

nhiều loại dịch vụ với sự đảm bảo tối đa về Qos cho khách hàng

B.Cấu trúc của một MPLS.

1.Cấu trúc nhãn MPLS.

Nhãn là một thực thể có độ dài ngắn, cố định và không có cấu trúc bên trong.Nhãn không trực tiếp mã hóa thông tin của mào đầu lớp mạng như địa chỉ lớp mạng.nhãn được gán vào một gói tin cụ thể sẽ đại diện cho một FEC mà gói tin đó được ấnđịnh Dạng của nhãn phụ thuộc vào phương tiện truyền tin được đóng gói Ví dụ cácgói ATM (tế bào) sử dụng giá trị VPI/VCI như nhãn, Frame relay sử dụng DLCI làmnhãn Đối với các phương tiện gốc không có cấu trúc nhãn, một đoạn đệm được chènthêm để sử dụng cho nhãn Khuôn dạng đoạn đệm 4 byte có cấu trúc như sau:

Hình 1.2: Cấu trúc mào đầu MPLS.

MPLS định nghĩa một tiêu đề có độ dài 32 bit và được tạo nên tại LSR vào Nó phảiđược đặt ngay sau tiêu đề lớp 2 bất kì và trước một tiêu đề lớp 3, ở đây là IP và được

sử dụng bởi LSR lối vào để xác định một FEC, lớp này sẽ được xét lại trong vấn đề tạonhãn Sau đó các nhãn được xử lí bởi LSR chuyển tiếp

Hình 1.3: Nhãn MPLS

Khuôn dạng và tiêu đề MPLS được chia ra trong hình trên Nó bao gồm các trườngsau:

• Nhãn : giá trị 20 bit, giá trị này chứa nhãn MPLS

• EXP ( 3 bit): dành cho thực nghiệm, có thể dung các bit EXP tương tựnhư các bit ưu tiên

• S: bit ngăn xếp, sử dụng để sắp xếp đa nhãn

• TLL: thời gian sống 8 bit, đạt ra một giới hạn mà các gói MPLS có thể điqua

Đối với các khung PPP hay Ethernet giá trị nhận dạng giao thức P-ID ( hoặc Ethertype)được chén thêm vào mào đầu khung tương ứng để thông báo khung là MPLS Unicasthay Multicast

Một nút của MPLS có hai mặt phẳng: mặt phẳng chuyển tiếp MPLS và mặt phẳng điềukhiển MPLS Nút MPLS có thể thực hiện định tuyến lớp 3 hoặc chuyển lớp 2.

Hình 1.4: Cấu trúc một nút MPLS.

a)Mặt phẳng chuyển tiếp (Forwarding Plane).

Mặt phẳng chuyển tiếp sử dụng một cơ sở thông tin chuyển tiếp nhãn

(LFIB-Label Forwarding Information Base) để chuyển tiếp các gói Mỗi nút MPLS có 2 bảng

liên quan đến việc chuyển tiếp là: cơ sở thông tin nhãn (LIB-Label Information Base)

và LFIB LIB chứa tất cả các nhãn được nút MPLS cục bộ đánh dấu và ánh xạ của cácnhãn này đến các nhãn được nhận từ MPLS láng giềng của nó LFIB sử dụng một tậpcon các nhã chứa trong LIB để thực hiện chuyển tiếp gói

b)Mặt phẳng điều khiển (Control Plane).

Mặt phẳng điều khiển MPLS chịu trách nhiệm tạo ra và lưu trữ LFIB Tất cả cácnút MPLS phải chạy một giao thức định tuyến IP để trao đổi thông tin định tuyến đếncác nút MPLS khác trong mạng Các nút MPLS enble ATM sẽ dùng một bộ điều khiển

nhãn (LSC- Label Switch Controller) như router 7200, 7500 hoặc dùng một mô đun xử

lý tuyến (RMP- Route Processor Module) để tham gia xử lý định tuyến IP

Các nhãn được trao đổi giữa các nút MPLS kế cận để xây dựng nên LFIB MPLS dùngmột mẫu chuyển tiếp dựa trên sự hoán đổi nhãn để kết nối với các mô đun điều khiểnkhác nhau Mỗi mô đun điều khiển chịu trách nhiệm đánh dấu và phân phối một tậpcác nhãn cũng như lưu trữ các thông tin điều khiển có liên quan khác Các giao tiếp

cổng nội (IGP-Inter Gateway Protocols) được dùng để xác nhận các khả năng đến được, sự liên kết ánh xạ giữa các FEC và địa chỉ trạm kế (Next Hop Address)

2.Lớp chuyển tiếp tương đương FEC(Forwarding Equivalence Classes).

Là một nhóm các gói IP có cùng một đường đi trên mạng MPLS và xử lý giốngnhau tại bất kỳ LSR nào Trong định tuyến truyền thống một gói được gán tới một FECtại mỗi hop Còn trong MPLS chỉ gán một lần tại LSR ngõ vào Trong MPLS các góitin đến với các prefix khác nhau có thể gộp chung một FEC, bởi vì quá trình chuyểntiếp gói trong miền MPLS chỉ căn cứ vào LSR ngõ vào để gán tới FEC cho việc xácđịnh LSP, còn các LSR còn lại dựa vào nhãn để chuyển gói Với định tuyến IP, góiđược chuyển dựa vào IP nên tại mỗi hop gói đều được gán tới một FEC để xác địnhđường dẫn

3.Đường chuyển mạch nhãn LSP (Label Switched Path).

Là một kết nối được cấu hình giữa hai LSR, tuyến tạo ra từ đầu vào đến đầu racủa mạng MPLS dùng để chuyển tiếp gói của một FEC nào đó sử dụng cơ chế chuyển

đổi nhãn (Label-Swapping Forwarding) Cơ sở dữ liệu nhãn LIB Là bảng kết nối trong

LSR có chứa các giá trị nhãn/FEC được gán vào cổng ra cũng nhờ thông tin về đónggói phương tiện truyền

4.Giao thức phân phối nhãn LDP (Label Distribution Protocol).

Giao thức phân phối nhãn LDP là giao thức để trao đổi thông tin nhãn giữa cácLSR Cung cấp kỹ thuật giúp cho các LSR có kết nối trực tiếp nhận ra nhau và thiết lậpliên kết cơ chế khám phá (discovery mechanism)

Có 4 loại bản tin:

• Bản tin Discovery: thông báo và duy trì sự có mặt của một LSR trong mạng

• Bản tin Adjency: có nhiệm vụ khởi tạo, duy trì và kết thúc những phiên kếtnối giữa các LSR

• Bản tin Label advertisement: thực hiện việc thông báo, đưa ra yêu cầu, hủy

b và giải phóng thông tin nhãn

• Bản tin Notification: được sử dụng để thông báo lỗi

• Thiết lập kết nối TCP để trao đổi các bản tin (ngoại trừ bản tin Discovery).Các bản tin là tập hợp những thành phần có cấu trúc < type, length, value>

5.Bộ định tuyến chuyển mạch nhãn LSR(Label Switched Router).

Giao thức này hoạt động trên kết nối UDP và có thể được xem là giai đoạn nhậnbiết nhau của hai LSR trước khi chúng thiết lập kết nối TCP Một LSR sẽ quảng bá bảntin hello tới tất cả LSR kết nối trực tiếp với nó trên một cổng UDP mặc định theo mộtchu kỳ nhất định Tất cả các LSR đều lắng nghe bản tin hello này trên cổng UDP Nhờ

đó LSR biết được địa chỉ của tất cả các LSR kết nối trực tiếp với nó Sau khi biết đượcđịa chỉ của một LSR nào đó, một kết nối TCP sẽ được thiết lập giữa hai LSR này.Ngay cả khi không kết nối trực tiếp với nhau thì LSR vẫn có thể gửi định kỳ bản tinhello đến cổng UDP mặc định của một địa chỉ IP xác định Và LSR nhận cũng có thểgửi lại bản tin hello cho LSR gửi để thiết lập kết nối TCP.

Hình 1.5: Quá trình khám phá láng giềng bằng LDP.

6.Topo mạng MPLS.

Miền MPLS là một “tập kế tiếp các nút hoạt động định tuyến và chuyển tiếp

MPLS” Miền MPLS có thể chia thành Lõi MPLS (MPLS Core) và Biên MPLS

(MPLS Edge)

Hình 1.6: Topo mạng MPLS.

Khi một gói tin IP đi qua miền MPLS, nó đi theo một tuyến được xác định phụ thuộcvào FEC mà nó được ấn định khi đi vào miền Tuyến này gọi là Đường chuyển mạchnhãn LSP LSP chỉ một chiều, tức là cần hai LSP cho một truyền thông song công Cácnút có khả năng chạy giao thức MPLS và chuyển tiếp các gói tin gốc IP được gọi là bộđịnh tuyến chuyển mạch nhãn LSR

• LSR lối vào (Ingress LSR) xử lý lưu lượng đi vào miền MPLS

• LSR chuyển tiếp (Transit LSR) xử lý lưu lượng bên trong miền MPLS

• LSR lối ra (Egress LSR) xử lý lưu lượng rời kh i miền MPLS

• LSR biên (Edge LSR) thường được sử dụng nhờ là tên chung cho cả LSR lốivào và LSR lối ra

Các thiết bị tham gia trong một mạng MPLS có thể được phân loại thành các bộ địnhtuyến biên nhãn LER và các bộ định tuyến chuyển mạch nhãn LSR

Thiết bị LSR: Thành phần quan trọng nhất của mạng MPLS là thiết bị định tuyến

chuyển mạch nhãn LSR Thiết bị này thực hiện chức năng chuyển tiếp gói tin trongphạm vi mạng MPLS bằng thủ tục phân phối nhãn

Thiết bị LER: Là một thiết bị hoạt động tại biên của mạng truy nhập và mạng MPLS.

Các LER hỗ trợ các cổng được kết nối tới các mạng không giống nhau (nhờ FrameRelay, ATM, và Ethernet ) và chuyển tiếp lưu lượng này vào mạng MPLS sau khi thiếtlập LSP, bằng việc sử dụng các giao thức báo hiệu nhãn tại lối vào và phân bổ lưulượng trở lại mạng truy nhập tại lối ra LER đóng vai trò quan trọng trong việc chỉ định

và huỷ nhãn, khi lưu lượng vào trong hay ra kh i mạng MPLS LER là nơi xảy ra việcgán nhãn cho các gói tin trước khi vào mạng MPLS Các thiết bị biên khác với cácthiết bị lõi ở chỗ là: ngoài việc phải chuyển tiếp lưu lượng nó còn phải thực hiện việcgiao tiếp với các mạng khác

Các kiểu phân phối nhãn

Trong một miền MPLS, một nhãn gán tới một địa chỉ đích được phân phối tới các lánggiềng ngược dòng sau khi thiết lập session Việc kết nối giữa mạng cụ thể với nhãn cục

bộ và một nhãn trạm kế (nhận từ router xuôi dòng) được lưu trữ trong LFIB và LIB.MPLS dùng các phương thức phân phối nhãn như sau:

Hình 1.7: Quá trình trao đổi thông tin nhãn trong LDP

Phần 2: Mạng riêng ảo VPN (Vitrual Private Networking)

A.Giới thiệu cơ bản về mạng riêng ảo VPN.

VPN cho phép bạn mở rộng phạm vi mạng nội bộ bằng cách sử dụng lợi thế củainternet Kỉ thuật VPN cho phép bạn kết nối với một host nằm xa hàng ngàn dặm vớimạng LAN của bạn và làm cho nó trở thành một node hay một PC nữa trong mạngLAN Một đặc điểm nữa của VPN là sự kết nối giữa clients và mạng ảo của bạn khá antoàn như chính bạn đang ngồi trong cùng một mạng LAN

Mục đích mong muốn của công nghệ VPN là việc sử dụng Internet và tính phổcập của nó Tuy nhiên, do Internet là nguồn thông tin công cộng nên có thể được truycập từ bất kỳ ai, bất kỳ lúc nào, bất kỳ nơi đâu, việc trao đổi thông tin có thể bị nghetrộm dễ dàng, sự truy cập bất hợp pháp và phá hoại dữ liệu khi trao đổi dữ liệu.Mục đích chính của VPN là cung cấp bảo mật, tính hiệu quả và độ tin cậy trong mạngtrong khi vẫn đảm bảo cân bằng giá thành cho toàn bộ quá trình xây dựng mạng.VPN được hiểu là phần mở rộng của một mạng Intranet được kết nối thông qua mạngcông cộng nhằm bảo đảm an toàn và tăng hiệu quả giá thành kết nối giữa hai đầu nối

Cơ chế và độ giới hạng bảo mật tinh vi cũng được sử dụng để bảo đảm tính an toàn choviệc trao đổi những dữ liệu dễ bị đánh cập thông qua một môi trường không an toàn

1.Các cơ chế an toàn của VPN.

Encryption : Mã hoá dữ liệu là một quá trình xữ lý thay đổi dữ liệu theo mộtchuẩn nhất định và dữ liệu chỉ có thể được đọc bởi người dùng mong muốn Ðể đọcđược dữ liệu người nhận buộc phải có chính xác một khóa giải mã dữ liệu Theophương pháp truyền thống, người nhận và gửi dữ liệu sẽ có cùng một khoá để có thểgiải mã và mã hoá dữ liệu Lược đồ public-key sử dụng 2 khóa, một khóa được xem

như một public-key (khóa công cộng) mà bất cứ ai cũng có thể dùng để mã hoá và giải

mã dữ liệu

Authentication : Là một quá trình xữ lý bảo đảm chắc chắn dữ liệu sẽ đượcchuyễn đến người nhận đồng thời cũng bảo đảm thông tin nhận được nguyên vẹn Ởhình thức cơ bản, Authentication đòi h i ít nhất phải nhập vào Username và Password

để có thể truy cập vào tài nguyên Trong một số tình huống phức tạp, sẽ có thêmsecret-key hoặc public-key để mã hoá dữ liệu

Authorization : Ðây là quá trình xữ lý cấp quyền truy cập hoặc ngăn cấm vào tàinguyên trên mạng sau khi đã thực hiện Authentication

2.Sự Phát Triển Của VPNs.

VPNs không phải là một công nghệ hoàn toàn mới, khái niệm về VPNs đã có từ

15 năm trước và trải qua nhiều quá trình phát triển, thay đổi cho đến nay đã tạo ra mộtdạng mới nhất VPNs đầu tiên đã được phát sinh bởi AT&T từ cuối những năm 80 vàđược biết như Software Defined Networks (SDNs) Thế hệ thứ hai của VPNs ra đời từ

sự xuất hiện của công nghệ X.25 và mạng dịch vụ tích hợp kỹ thuật số (IntegratedServices Digital Network : ISDN) từ đầu những năm 90 Hai công nghệ này cho phéptruyền những dòng gói (package streams) dữ liệu qua các mạng chia sẽ chung.Sau khi thế hệ thứ hai của VPNs ra đời, thị trường VPNs tạm thời lắng động và chậmtiến triển, cho tới khi có sự nổi lên của hai công nghệ cell-based Frame Relay (FR)Asynchronous Tranfer Mode (ATM) Thế hệ thứ ba của VPNs đã phát triển dựa theo 2công nghệ này Hai công nghệ này phát triển dựa trên khái niệm về Virtual CircuitSwitching, theo đó, các gói dữ liệu sẽ không chứa địa chỉ nguồn và đích Thay vào đó,chúng sẽ mang những con tr , tr đến các virtual curcuit nơi mà dữ liệu nguồn và đích

sẽ được giải quyết

Chú ý : Công nghệ Virtual Circuit switching có tốc độ truyền dữ liệu cao (160Mbs hoặc cao hơn) hơn so với thế hệ trước-SDN, X.25, ISDN Tuy nhiên việc đónggói IP lưu thông bên trong gói Frame Relay và ATM cells thì chậm Ngoài ra, mạngFR-based và ATM-based cũng không cung cấp phương pháp xác nhận packet-levelend-to-end và mã hóa cho những ứng dụng high-end chẳng hạn như multimedia.Tunneling là một kỹ thuật đóng gói các gói dữ liệu trong tunneling protocol, như IPSecurity (IPSec), Point-to-Point Tunneling Protocol (PPTP), hoặc Layer 2 TunnelingProtocol (L2TP) và cuối cùng là đóng gói những gói đã được tunnel bên trong một gói

IP Tổng hợp các gói dữ liệu sau đó route đến mạng đích bằng cách sử dụng lớp phủthông tin IP Bởi vì gói dữ liệu nguyên bản có thể là bất cứ dạng nào nên tunneling cóthể hổ trợ đa giao thức gồm IP, ISDN, FR và ATM

VPNs Tunneling Protocol :

Có 3 dạng giao thức tunneling nổi bật được sử dụng trong VPNs :

IP Security (IPSec) : Ðược phát triển bởi IETF, IPSec là một chuẩn mở đảm bảo chắcchắn quá trình trao đổi dữ liệu được an toàn và phương thức xác nhận người dùng quamạng công cộng Không giống với những kỹ thuật mã hoá khác, IPSec thực hiện ởtầng thứ 7 trong mô hình OSI (Open System Interconnect), Vì thế, chúng có thể chạyđộc lập so với các ứng dụng chạy trên mạng Và vì thế mạng của bạn sẽ được bảo mậthơn mà không cần dùng bất kỳ chương trình bảo mật nào

Point-to-Point Tunneling Protocol (PPTP) : Phát triển bởi Microsoft, 3COM, vàAscend Communications, PPTP là một sự chọn lựa để thay thế cho IPSec Tuy nhiênIPSec vẫn còn được sử dụng nhiều trong một số Tunneling Protocol PPTP thực hiện ởtầng thứ 2 (Data Link Layer)

Layer 2 Tunneling Protocol (L2TP) : Ðược phát triển bởi Cisco System, L2TP được dựđịnh sẽ thay thế cho IPSec Tuy nhiên IPSec vẫn chiếm ưu thế hơn so về bảo mật trênInternet L2TP là sự kết hợp giữa Layer 2 Forwarding (L2F) và PPTP và được dùng để

đóng gói các frame sữ dụng giao thức Point-to-point để gởi qua các loại mạng nhưX.25, FR, ATM.

Ghi chú : L2F là một protocol được đăng ký độc quyền bởi Cisco System để đảm bảoviệc vận chuyễn dữ liệu trên mạng Internet được an toàn

3.Sự Thuận Lợi Và Bất Lợi Của VPNs :

Thuận lợi :

Giãm thiểu chi phí triển khai : Chi phí cho VPNs ít hơn đáng kể so với cách giải quyếttruyền thống

Giãm chi phí quản lý

Cải thiện kết nối

An toàn trong giao dịch

Hiệu quả về băng thông

Enhanced scalability

Bất lợi :

§ Phụ thuộc trong môi trường Internet

§ Thiếu sự hổ trợ cho một số giao thức kế thừa

Những Ðiều Cần Quan Tâm Trong VPNs :

§ Quản lý băng thông

§ Lựa chọn một nhà cung cấp dịch vụ (ISP)

§ Bảo vệ mạng từ những dữ liệu gởi đi tự nhiên bên ngoài.

B.Giới thiệu các loại hình VPN:

1.VPN cho các nhà doanh nghiệp.

a)Remote access VPN.

VPN truy nhập từ xa cung cấp khả năng truy nhập từ xa cho người sự dụng.VPN cung cấp cho các cá nhân, nhân viên di động hay chi nhánh văn phòng ở xa cóthể sự dụng truy nhập vào mạng nội bộ của công ty bằng hệ thống vô tuyến hay hữutuyến có kết nối mạng internet VPN truy nhập từ xa mở rộng mạng công ty thông qua

cơ sở hạ tầng chia sẻ chung, mà không làm thay đổi chính sách mạng cùa công ty Cóthể dùng để cung cấp truy nhập an toàn cho những nhân viên thường xuyên phải đi lại,những chi nhánh hay các bạn hàng của công ty Loại VPN này được sự dụng thông qua

cơ sở hạ tầng công cộng bằng cộng nghệ ISDN, quay số, IP di động, DSL hay côngnghệ cáp và thường yêu cầu một số phần mềm client chạy trên máy tính của người sựdụng

Do nhu cầu mạng không dây phát triển nên VPN không dây (wireless) càngđược phát huy tính năng, các cá thể nhân viên có thể truy nhập vào mạng nội bộ của họthông qua kết nối không dây vào một trạm không dây (wireless terminal) có kết nối vềmạng nội bộ này Trong kết nối có dây hay không dây trong VPN truy nhập từ xa, phầnmềm client chạy trên máy PC cho phép khởi tạo các kết nối bảo mật gọi là đườnghầm Việc thiết kế quá trình xác lập ban đầu để đạm bảo yêu cầu phải được xuất phát

từ một nguồn tin cậy Thường thì giai đoạn ban đầu này dựa trên cùng một chính sách

về bảo mật của công ty

Hình 2.1: Mô hình Remote Access VPN.

Những ưu điểm của VPN truy nhập từ xa so với các phương pháp truyền thống là:

• VPN truy nhập từ xa không cần sự hỗ trợ của nhân viên mạng bởi vì quá trìnhkết nối từ xa được các ISP thực hiện

• Giảm được các chi phí cho kết nối từ khoảng cách xa bởi vì các kết nối khoảngcác xa được thay thế bởi các kết nối cục bộ thông qua internet

• Cung cấp dịch vụ kết nối giá rẻ cho những người sự dụng ở xa

• Do kết nối truy nhập là kết nối nội bộ nên các modem kết nối hoạt động ở tốc độcao hơn so với cách truy nhập khoảng cách xa

• VPN cung cấp khả năng truy nhập tốt hơn đến các site của công ty bởi vì chúng

• Nguy cơ bị mất dữ liệu cao do các gói có thể phân phát không đến nơi hoặc bịmất.

• Do thuật toán mã hòa phức tạp nên tiêu đề giao thức tang một cách đáng kể

b)VPN Site to Site.

Là giải pháp kết nối các hệ thống mạng ở những nơi khác nhau với mạng trungtâm thông qua VPN Trong trường hợp này, quá trình xác thực ban đầu cho người sựdụng sẽ là quá trình xác thực giữa các thiết bị Các thiết bị này hoạt động như cổng anninh (Security Gateway), truyền lưu lượng an toàn từ Site này tới Site kia Các thiết bịđịnh tuyến hay tường lửa hỗ trợ VPN đều có khả năng thực hiện kết nối này Hiện naynhiều thiết bị VPN có khả năng hoạt động theo hai cách remote access VPN và Site toSite VPN Site to site VPN được phân loại theo quản lý chính sách là VPN cục bộ hay

mở rộng Nếu hạ tầng mạng có chung một nguồn quản lý thì được xem như là VPNcục bộ Ngược lại được coi là VPN mở rộng

VP N cụ c b ộ : Là một dạng cấu hình tiêu biểu cùa Site to Site VPN, được sử dụng

để bảo mật các kết nối giữa các địa điểm khác nhau của một công ty Nó liên kết trụ

sở chính, các văn phòng, chi nhánh trên một cơ sở hạ tầng chung, các kết nối sửdụng luôn được mã hóa bảo mật Do đó cho phép tất cả các địa điểm có thể truynhập an

toàn các nguồn dữ liệu được phép trong toàn nội bộ mạng của công ty

Page 22

• Yêu cầu ít số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi xa.

• Có thể dễ dàng thiết lập them một liên kết ngang hàng mới, do kết nối trunggian được thực hiện thông qua mạng internet

• Tiết kiểm chi phí từ việc sử dụng đường hầm VPN thông qua internet kết hợpvới công nghệ chuyển mạch tốt độ cao

Nh

ược đ i ểm c ủ a g i ả i p há p m ạ n g c ụ c b ộ d ự a t r ê n V P N:

• Do dữ liệu được truyền “ngầm” qua mạng internet nên vẫn còn những môi đedọa về mức độ bảo mật dữ liệu và chất lượng dịch vụ (QoS)

• Khả năng mất các gói dữ liệu khi truyền dẫn vẫn còn cao

• Chưa đảm bảo trong việc truyền khối lượng lớn dữ liệu như đa phương tiện vớiyêu cầu tốc độ cao và đảm bảo thời gian thực trong môi trường Internet

VP N m ở r ộ n g : VPN mở rộng cung cấp đường hầm bảo mật giữa các khách

hàng, nhà cung cấp và đối tác thông qua một cơ sở hạ tầng công cộng Giải phápVPN này sử dụng các kết nối luôn được bảo mật và không bị co lập với mạng bênngoài như các trường hợp VPN cục bộ hay Remote access VPN VPN mở rộng cungcấp khả năng điều khiển truy nhập tới những nguồn tài nguyên mạng cần thiết để mởrộng tới những đối tượng kinh doanh

• Dễ dàng thiết lập, bảo trì và thay đổi đối với mạng đang hoạt động

• Có nhiều cơ hội trong việc cung cấp dịch vụ và chọn lựa giải pháp phù hợp vớinhu cầu của từng công ty do VPN mở rộng được xây dựng dựa trên mạngInternet

• Giảm chi phí vận hành, bảo trì và số lượng nhân viên kỹ thuật hỗ trợ mạng docác kết nối Internet được nhà cung cấp dịch vụ internet đạm nhiệm

Nh

ược đ i ểm c ủ a g i ả i p há p V P N m ở rộ n g :

• Vấn đề bảo mật gặp khó khăn hơn trong môi trường mở rộng, từ đó làm tangnguy cơ rủi ro đối với mạng nội bộ của công ty

• Khả năng mất dữ liệu khi truyền qua mạng công cộng vẫn còn

• Chưa giải quyết được vấn khó khan khi truyền lượng lớn dữ liệu với yêu cầutốc độ cao va thời gian thực

2.VPN cho các nhà cung cấp dịch vụ:

a)Overlay VPN.

Là VPN được cấu hình trên các thiết bị của khách hàng sử dụng các giao thứcđường hầm xuyên qua mạng công cộng Nhà cung cấp dịch vụ sẽ bán các mạch ảo giữacác site của khách hàng như là đường kết nối leased line Mô hình overlay VPN ra đời

từ rất sớm và được triển khai dưới nhiều công nghệ khác nhau Ban đầu Overlay VPNđược thực thi bởi SP để cung cấp các kết nối lớp1 (physicallayer) như Ghép kênh phânchia theo thời gian (TDM), E1, E3,SONET, và đường kết nối SDH, hay mạch chuyểnvận lớp 2 (dữ liệu dạngframe hoặc cell) giữa các site khách hàng bằng cách sử dụngcác thiết bị Frame Relay hay ATM switch làm PE (ví dụ lớp 2 là kênh ảo được tạo bởiX.25, ATM hoặc Frame Relay) Do đó nhà cung cấp dịch vụ không thể nhận biết đượcviệc định tuyến ở phía khách hàng

Cho đến những năm 1990, Frame Relay được giới thiệu Frame Relay được xemnhư là một công nghệ VPN vì nó đáp ứng kết nối cho khách hàng như dịch vụ leasedline, chỉ khác ở chỗ là khách hàng không được cung cấp các đường dành riêng cho mỗikhách hàng, mà khách hàng sử dụng một đường chung nhưng được chỉ định các mạch

ảo Các mạch ảo này sẽ đảm bảo lưu lượng cho mỗi khách hàng là riêng biệt Mạch ảođược gọi là PVC (Permanent Virtual Circuit) hay SVC (Switched Virtual Circuit).Cung cấp mạch ảo cho khách hàng nghĩa là nhà cung cấp dịch vụ đã xây dựng một

đường hầm riêng cho lưu lượng khách hàng chảy qua mạng dùng chung của nhà cungcấp dịch vụ.

Mạch ảo #2 Customer Site

Thiết bị PE (Frame Relay Switch)

Frame Relay Edge Switch Customer Site

Router A Router C

Mạch

ảo #1

Mạng nhà cung cấp Customer Site Customer Site

Router B Frame Relay

Edge Switch

Frame Relay Edge Switch

Router D Mạch ảo #3

Hình 2.4: Mô hình Overlay (Frame Relay)

Sau này công nghệ ATM ra đời, về cơ bản ATM cũng hoạt động giống nhưFrame Relay nhưng đáp ứng tốc độ truyền dẫn cao hơn Khách hàng thiết lập việc liênlạc giữa các thiết bị đầu phía khách hàng CPE với nhau qua kênh ảo Giao thức địnhtuyến chạy trực tiếp giữa các router khách hàng thiết lập mối quan hệ cận kề và traođổi thông tin định tuyến với nhau Nhà cung cấp dịch vụ không hề biết đến thông tinđịnh tuyến của khách hàng Nhiệm vụ của nhà cung cấp dịch vụ trong mô hình này chỉ

là đảm bảo vận chuyển dữ liệu điểm-điểm giữa các site của khách hàng mà thôi

Overlay VPN còn được triển khai dưới dạng đường hầm (tunneling) Việc triểnkhai thành công các công nghệ gắn với IP nên một vài nhà cung cấp dịch vụ bắt đầutriển khai VPN qua IP Nếu khách hàng nào muốn xây dựng mạng riêng của họ quaInternet thì có thể dùng giải pháp này vì chi phí thấp Bên cạnh lý do kinh tế, mô hìnhtunneling còn đáp ứng cho khách hàng việc bảo mật dữ liệu Hai công nghệ VPNđường hầm phổ biến là IPSec (IP security) và GRE (Generic Route Encapsulation)

Hình 2.5: Đường hầm GRE trên mạng overlay

Các cam kết về QoS trong mô hình overlay VPN thường là cam kết về băng

thông trên một VC, giá trị này được gọi là CIR (Committed Information Rate) Băng

thông có thể sử dụng được tối đa trên một kênh ảo đó, giá trị này được gọi là PIR(Peak Information Rate) Việc cam kết này được thực hiện thông qua các thống kê tựnhiên của dịch vụ lớp 2 nhưng lại phụ thuộc vào chiến lược của nhà cung cấp Điềunày có nghĩa là tốc độ cam kết không thật sự được bảo đảm mặc dù nhà cung cấp có

thể đảm bảo tốc độ nh nhất (MIR - Minimum Information Rate) Cam kết về băng

thông cũng chỉ là cam kết về hai điểm trong mạng khách hàng Nếu không có ma trậnlưu lượng đầy đủ cho tất cả các lớp lưu lượng thì thật khó có thể thực hiện cam kết nàycho khách hàng trong mô hình overlay Và thật khó để cung cấp nhiều lớp dịch vụ vìnhà cung cấp dịch vụ không thể phân biệt được lưu lượng ở giữa mạng Để làm đượcviệc này bằng cách tạo ra nhiều kết nối (kết nối full-mesh), như trong mạng FrameRelay hay ATM là có các PVC giữa các site khách hàng Tuy nhiên, kết nối full-meshthì chỉ làm tăng thêm chi phí của mạng