Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 21 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
21
Dung lượng
1,36 MB
Nội dung
Giảng viên : Dr.Lê Anh Ngọc Nhóm thực : Nhóm Lớp : Đ4LT - ĐTVT TÓM TẮT - VPN di động băng rộng NGN thích hợp cho mạng truy nhập office-LAN home-LAN Phương pháp tạo kênh cho truyền thông VPN sử dụng báo hiệu SIP, cho phép mạng thực việc điều khiển biên quản lý QoS dựa phiên, thực chuyển giao phiên VPN sử dụng khả di động SIP Ưu điểm phương pháp: Mạng bảo vệ cổng home người dùng khỏi tình trạng lưu lượng độc hại Các doanh nghiệp tách cổng VPN khỏi tường lửa phân phối nhiều cổng VPN cho đoạn nhỏ Mạng thực việc quản lý QoS dựa phiên Cho phép thiết bị đầu cuối di động tiếp tục phiên VPN chuyển mạch mạng truy nhập I GIỚI THIỆU Các phương pháp Internet VPN gặp khó khăn việc thực thi ứng dụng mạng LAN qua mạng diện rộng công cộng hạn chế sau: Duy trì cổng VPN tình trạng lưu lượng độc hại Internet đòi hỏi lượng lớn kỹ IT không khuyến cáo cho khách hàng thông thường Khó khăn để đạt thông lượng điểm – điểm đủ cho ứng dụng tốn băng thông dòng media Các chức cổng VPN không tách khỏi định tuyến tường lửa rìa mạng doanh nghiệp I GIỚI THIỆU - Bài viết đề xuất phương pháp truyền thông VPN di động, lợi dụng đặc tính mạng NGN Lợi phương pháp: Dùng cho khách hàng thông thường, người dùng tiềm VPN Cho phép thiết bị đầu cuối di động truy nhập vào phân đoạn cụ thể mạng doanh nghiệp Cơ chế đặt trước QoS theo yêu cầu cải thiện khả ứng dụng mạng NGN với ứng dụng đòi hỏi phải có QoS ổn định Sử dụng loạt công nghệ mạng truy nhập làm tăng số lượng hội VPN từ xa thực thi II NỘI DUNG BÀI VIẾT Mô tả mô hình sử dụng VPN di động mạng NGN rút yêu cầu Tóm tắt giao thức liên quan Mô tả phương pháp đề xuất Đánh giá phương pháp đề xuất từ quan điểm yêu cầu, so sánh phương pháp đề xuất với lựa chọn thay CÁC MÔ HÌNH SỬ DỤNG CÁC YÊU CẦU Bảo vệ cổng VPN khỏi tình trạng lưu lượng độc hại Tách cổng VPN khỏi định tuyến tường lửa rìa Đặt trước QoS Chuyển giao phiên VPN CÁC GIAO THỨC HIỆN TẠI Các giao thức ứng dụng - Các tiêu chuẩn tổ chức DLNA - RDP Các giao thức IP – VPN - IKE - IPsec Các giao thức cho tính di động - IP di động - SIP PP ĐỀ XUẤT: SIP DIAL – UP Khái niệm Các ngăn giao thức KIẾN TRÚC MẠNG KIẾN TRÚC MẠNG Thiết bị đầu cuối di động (Mobile TE) có SIP UA, khởi tạo IKE, khả IPsec Cổng VPN (VPN GW) có SIP UA, đáp ứng IKE, khả IPsec Một SIP proxy doanh nghiệp (ESIP) dàn xếp tin SIP máy chủ CSCF cổng VPN, cập nhật tính lọc gói tin tường lửa doanh nghiệp KIẾN TRÚC MẠNG Bộ định tuyến biên (RE) có chức lọc gói tin; không cấu hình để chuyển tiếp gói tin người sử dụng Máy chủ CSCF dàn xếp tin SIP thiết bị người dùng SIP proxy yêu cầu RACF tạo đường truyền dẫn cho phiên thiết lập Máy chủ RACF cập nhật nguyên tắc chuyển tiếp gói tin định tuyến biên để tạo đường truyền dẫn với QoS mong muốn SYSTEM DYNAMICS Thiết lập phiên VPN SYSTEM DYNAMICS - - Trình tự thiết lập phiên VPN TE di động cổng VPN thiết lập phiên SIP với đường truyền dẫn UDP cách trao đổi tin SIP CSCF ESIP CSCF RACF thực việc điều khiển biên dựa phiên việc đặt trước QoS Mạng doanh nghiệp thực điều khiển biên dựa phiên cho việc duyệt qua tường lửa Cổng VPN thực việc kiểm soát đăng nhập hai giai đoạn Sau phiên thiết lập, thiết bị đầu cuối di động cổng VPN bắt đầu trao đổi IKE liệu IPsec ESP SYSTEM DYNAMICS Chuyển giao phiên VPN Thủ tục SAD: Security association database SYSTEM DYNAMICS Chuyển giao phiên VPN Micromobility sd NAPT điểm nút ngoại vi di động Khi phiên VPN có độ trễ truyền vòng dài, chèn thêm NAPT điểm đầu cuối đường truyền dẫn điểm nút ngoại vi di động (MAP) ĐÁNH GIÁ - - Đánh giá ưu điểm phương pháp đề xuất từ quan điểm yêu cầu Yêu cầu 1: Bảo vệ cổng VPN khỏi tình trạng lưu lượng độc hại Sử dụng IKE – giao thức điểm-điểm SIP-giao thức người dùng-mạng cho phép mạng điều khiển biên dựa phiên nên gói tin cho phiên phép tới bên cạnh gói tin báo hiệu SIP Cơ chế kiểm soát đăng nhập giai đoạn làm giảm công hiệu nhờ chức IKE /IPsec ĐÁNH GIÁ Yêu cầu 2: Tách cổng VPN khỏi định tuyến tường lửa biên - Việc đưa SIP vào cho phép tường lửa doanh nghiệp mở đóng lỗ nhỏ cách tự động, nhận thay đổi trạng thái phiên VPN - Sự dẫn đích, cổng VPN, thực cách sử dụng SIP-URI yêu cầu SIP, cổng VPN không cần địa IP toàn cầu - Cơ chế điều khiển đăng nhập hai giai đoạn cho phép cổng VPN hạn chế phiên đến nhờ báo hiệu SIP trước nhận tin IKE - Các thiết bị VPN ngang hàng phát công cách sử dụng chứng thực điểm – điểm ĐÁNH GIÁ - - Yêu cầu 3: Đặt trước QoS Phương pháp đề xuất cho phép mạng thực quản lý QoS dựa phiên nhờ nhận QoS yêu cầu từ tin SIP Yêu cầu 4: Chuyển giao phiên VPN Đạt chuyển giao liên kết bảo mật IPsec (SA) cách cho phép đầu cuối di động thông báo cho thực thể ngang hàng thay đổi địa sử dụng tin SIP Thủ tục chuyển giao đạt lộ trình tối ưu hóa cách tránh định tuyến tam giác Lược đồ sử dụng NAPT MAP đạt chuyển giao nhanh cho phiên VPN tải xa KẾT LUẬN Bài báo trình bày phương pháp VPN di động sử dụng khả CSCF RACF NGN với nhiều ưu điểm có giá trị Những ưu điểm phương pháp cho phép đổi nhiều ứng dụng sử dụng truyền thông VPN cách tăng số lượng người dùng thông thường cho tự vị trí cổng VPN Cần tiến hành công tác chuẩn hóa để phương pháp làm việc với khả tương tác toàn cầu hãng VPN [...]... cuối di động và cổng VPN bắt đầu trao đổi IKE và dữ liệu IPsec ESP SYSTEM DYNAMICS Chuyển giao của phiên VPN Thủ tục cơ bản SAD: Security association database SYSTEM DYNAMICS Chuyển giao của phiên VPN Micromobility sd NAPT như điểm nút ngoại vi di động Khi một phiên VPN có độ trễ truyền một vòng dài, chèn thêm một NAPT giữa các điểm đầu cuối của đường truyền dẫn như một điểm nút ngoại vi di động. .. được chuyển giao nhanh cho một phiên VPN tải xa KẾT LUẬN Bài báo trình bày một phương pháp VPN di động sử dụng các khả năng của CSCF và RACF trên nền NGN với nhiều ưu điểm có giá trị Những ưu điểm trên của phương pháp cho phép đổi mới trong nhiều ứng dụng sử dụng truyền thông VPN bằng cách tăng số lượng người dùng thông thường và cho tự do hơn vị trí của các cổng VPN Cần tiến hành công tác chuẩn...KIẾN TRÚC MẠNG Thiết bị đầu cuối di động (Mobile TE) có SIP UA, bộ khởi tạo IKE, và các khả năng IPsec Cổng VPN (VPN GW) có SIP UA, bộ đáp ứng IKE, và các khả năng IPsec Một SIP proxy doanh nghiệp (ESIP) dàn xếp các bản tin SIP giữa máy chủ CSCF và các cổng VPN, và cập nhật tính năng lọc gói tin của tường lửa doanh nghiệp KIẾN TRÚC MẠNG Bộ định tuyến biên (RE)... DYNAMICS Thiết lập phiên VPN SYSTEM DYNAMICS - - Trình tự thiết lập phiên VPN TE di động và cổng VPN thiết lập một phiên SIP với một đường truyền dẫn UDP bằng cách trao đổi các bản tin SIP giữa CSCF và ESIP CSCF và RACF thực hiện việc điều khiển biên dựa trên phiên và việc đặt trước QoS Mạng doanh nghiệp thực hiện điều khiển biên dựa trên phiên cho việc duyệt qua tường lửa Cổng VPN thực hiện việc kiểm... lỗ nhỏ một cách tự động, nhận ra sự thay đổi trạng thái của các phiên VPN - Sự chỉ dẫn đích, như cổng VPN, được thực hiện bằng cách sử dụng một SIP-URI trong một yêu cầu SIP, vì vậy một cổng VPN không cần một địa chỉ IP toàn cầu - Cơ chế điều khiển đăng nhập hai giai đoạn cho phép các cổng VPN hạn chế các phiên đến nhờ báo hiệu SIP trước khi nhận được các bản tin IKE - Các thiết bị VPN ngang hàng có... điểm ĐÁNH GIÁ - - Yêu cầu 3: Đặt trước QoS Phương pháp đề xuất cho phép mạng thực hiện quản lý QoS dựa trên phiên nhờ nhận ra QoS được yêu cầu từ các bản tin SIP Yêu cầu 4: Chuyển giao của phiên VPN Đạt được chuyển giao của liên kết bảo mật IPsec (SA) bằng cách cho phép một đầu cuối di động thông báo cho các thực thể ngang hàng của nó về sự thay đổi địa chỉ của nó sử dụng các bản tin SIP Thủ tục... Bảo vệ các cổng VPN khỏi tình trạng lưu lượng độc hại Sử dụng IKE – giao thức điểm-điểm và SIP-giao thức người dùng-mạng cho phép mạng điều khiển biên dựa trên phiên nên chỉ các gói tin cho các phiên được phép tới bên cạnh các gói tin báo hiệu SIP Cơ chế kiểm soát đăng nhập giai đoạn 1 làm giảm các cuộc tấn công hiệu quả nhờ các chức năng IKE /IPsec ĐÁNH GIÁ Yêu cầu 2: Tách các cổng VPN khỏi một bộ... thông VPN bằng cách tăng số lượng người dùng thông thường và cho tự do hơn vị trí của các cổng VPN Cần tiến hành công tác chuẩn hóa để phương pháp làm việc với khả năng tương tác toàn cầu của các hãng VPN ... IP – VPN - IKE - IPsec Các giao thức cho tính di động - IP di động - SIP PP ĐỀ XUẤT: SIP DIAL – UP Khái niệm Các ngăn giao thức KIẾN TRÚC MẠNG KIẾN TRÚC MẠNG Thiết bị đầu cuối di động. ..TÓM TẮT - VPN di động băng rộng NGN thích hợp cho mạng truy nhập office-LAN home-LAN Phương pháp tạo kênh cho truyền thông VPN sử dụng báo hiệu SIP, cho phép mạng... thiết bị đầu cuối di động tiếp tục phiên VPN chuyển mạch mạng truy nhập I GIỚI THIỆU Các phương pháp Internet VPN gặp khó khăn việc thực thi ứng dụng mạng LAN qua mạng di n rộng công cộng