DANH SÁCH HÌNH VẼHÌNH 1.1 Mô hình mạng VPN3HÌNH 1.2 Các loại mạng VPN6HÌNH 1.3 Mô hình mạng VPN thiết lập kết nối từ xa6HÌNH 1.4 Mô hình Intranet VPNs sử dụng bộ định tuyến7HÌNH 1.5 Mô hình Intranet VPN8HÌNH 1.6 Mạng mở rộng truyền thống9HÌNH 1.7 Mô hình Extranet VPNs9HÌNH 1.8 Khung dữ liệu AH12HÌNH 1.9 Khung dữ liệu ESP13HÌNH 1.10 Cơ chế truyền tải (Transport Mode)14HÌNH 1.11 Phương thức đóng gói transport mode15HÌNH 1.12 Phương thức đóng gói tunnel mode16HÌNH 1.13 Kết hợp an ninh SA17HÌNH 1.14 Năm bước hoạt động của IPSEC18HÌNH 1.16 Các kết hợp an ninh21HÌNH 1.17 Đường ngầm IPSEC được thiết lập22HÌNH 1.19 Mô hình Peertopeer VPN sử dụng router dành riêng25HÌNH 2.1 Update thông tin và tìm đường dựa theo IP27HÌNH 2.2 Chuyển mạch IP over ATM28HÌNH 2.3 Ví dụ về chọn đường giữa các địa điểm28HÌNH 2.4 Sự phát triển của MPLS29HÌNH 2.5 Traffic Engineering với MPLS30HÌNH 2.6 Cấu trúc của LSR31HÌNH 2.7 Cấu trúc của LSR ( Edge LSR)31HÌNH 2.8 Ví dụ các thành phần kiến trúc MPLS33HÌNH 2.9 Nhãn trong FrameMode MPLS34HÌNH 2.10 Nhãn trong CellMode MPLS34HÌNH 2.11 Khuôn dạng của nhãn34HÌNH 2. 12 Label Stack34HÌNH 2.13 Các LSR và Edge LSR36HÌNH 2.14 LSR và Edge LSR trong Framemode MPLS36HÌNH 2.15 LSR và Edge LSR trong Cellmode MPLS36HÌNH 2.16 LSP từ router A tới router I trong mạng MPLS38HÌNH 2.16 Các router xây dựng bảng định tuyến39HÌNH 2.17 Các bảng của router B ban đầu39HÌNH 2.18 Router B quảng bá nhãn40HÌNH 2.19 Router B quảng bá nhãn (2)40HÌNH 2.19 FIB của router A41HÌNH 2.20 Quảng bá nhãn của router C (1)41HÌNH 2.20 Quảng bá nhãn của router C (2)42HÌNH 2.22 Các bảng của router B42HÌNH 2.23 Quá trình chuyển gói tin42HÌNH 2.24 Thông tin TTL trong miền MPLS43HÌNH 2.25 Loại bỏ gói tin vì TTL44HÌNH 2.26 Hoạt động của các LSR trong MPLS thông thường44HÌNH 2.27 Mạng MPLS sử dụng cơ chế PHP45HÌNH 2.28 Mạng MPLS ở trạng thái hoạt động thường46HÌNH 2.29 Các thiết bị xóa thông tin về tuyến đường bị lỗi46HÌNH 2.30 Tính toán lại hệ thống mạng46HÌNH 2.31 Liên kết được hồi phục47HÌNH 2.32 Bảng IP routing của các router trong ATM47HÌNH 2.33 Quá trình request nhãn48HÌNH 2.34 Quá trình reply nhãn49HÌNH 2.35 Sự sử dụng lại nhãn đã cấp cho các yêu cầu tới cùng đích49HÌNH 2.36 Các gói tin bị ghép vào nhau50HÌNH 2.37 Xin cấp nhãn ứng với mỗi yêu cầu gửi tới51HÌNH 2.38 Các gói tin được lưu giữ tạm thời cho đến khi truyền51HÌNH 2.39 TLV của MPLS Cell Mode52HÌNH 2.40 Tạo nhãn theo cơ chế perplatform53HÌNH 2.41 Tạo nhãn theo cơ chế perinterface54HÌNH 2.42 An toàn trong cơ chế per platform54HÌNH 2.43 Phân phối nhãn theo cơ chế tự dộng55HÌNH 2.44 Phân phối nhãn theo yêu cầu55HÌNH 2.45 Lưu tất cả các nhãn nhận được55HÌNH 2.46 Lưu giữ nhãn có lựa chọn56HÌNH 2.47 LSP độc lập57HÌNH 2.48 LSP có thứ tự57HÌNH 2.50 Thiết lập phiên LDP59HÌNH 2.51 Trao đổi giữa các LSR59HÌNH 2.52 Thiết lập kề cận qua kênh ảo điều khển (032)59HÌNH 2.53 Xác lập không gian nhãn60HÌNH 2.54 Các ứng dụng của MPLS60
TRƯỜNG ĐẠI HỌC TÀI NGUYÊN VÀ MÔI TRƯỜNG HÀ NỘI KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO THỰC TẬP TỐT NGHIỆP NGHIÊN CỨU CÔNG NGHỆ CHUYỂN MẠCH ĐA GIAO THỨC VÀ ỨNG DỤNG MẠNG RIÊNG ẢO Địa điểm thực tập: Phòng Kỹ Thuật Công Nghệ - Công ty Trắc Địa Bản Đồ - Bộ Quốc Phòng Người hướng dẫn: ThS Hoàng Minh Tân Sinh viên thực hiện: Hoàng Thế Tùng Lớp: ĐH2C6 Hà Nội , tháng năm 2016TRƯỜNG ĐẠI HỌC TÀI NGUYÊN VÀ MÔI TRƯỜNG HÀ NỘI KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO THỰC TẬP TỐT NGHIỆP NGHIÊN CỨU CÔNG NGHỆ CHUYỂN MẠCH ĐA GIAO THỨC VÀ ỨNG DỤNG MẠNG RIÊNG ẢO Địa điểm thực tập: Phòng Kỹ Thuật Công Nghệ - Công ty Trắc Địa Bản Đồ - Bộ Quốc Phòng Người hướng dẫn: ThS Hoàng Minh Tân Người hướng dẫn Sinh viên thực (Ký, ghi rõ họ tên) (Ký, ghi rõ họ tên) ThS Hoàng Minh Tân Hoàng Thế Tùng Hà Nội, tháng năm 2016LỜI CẢM ƠN Trên thực tế thành công mà không gắn liền với giúp đỡ người dù hay nhiều, dù trực tiếp hay gián tiếp Trong suốt thời gian học tập trình thực tập, em nhận nhiều quan tâm giúp đỡ nhiệt tình thầy cô, bạn bè gia đình Đầu tiên em xin gửi lời cảm ơn sâu sắc đến ThS Hoàng Minh Tân, người trực tiếp hướng dẫn giúp đỡ em nhiều thời gian em làm niên luận Em xin cảm ơn Ban giám đốc công ty TNHHMTV Trắc Địa – Bản Đồ cho phép tạo điều kiện thuận lợi cho em thực tập ở công ty Em xin gửi lời cảm ơn đến thầy Ts.Hà Mạnh Đào, Trưởng khoa Công nghệ thông tin đồng thời giáo viên chủ nhiệm lớp em, thầy cô giáo Khoa nhiệt tình giúp đỡ em trình học tập trường Cuối cùng, em xin gửi lời cảm ơn chân thành tới gia đình bạn bè giúp đỡ, động viên tạo điều kiện tốt cho em suốt trình học tập sống Vì lực có hạn nên báo cáo em nhiều hạn chế tránh khỏi thiếu sót, mong thầy cô bạn có ý kiến đóng góp để em hoàn thiện phát triển đề tài Em xin chân thành cảm ơn! Hà Nội, ngày 18 tháng 04 năm 2016 DANH MỤC TỪ VIẾT TẮT AH Authentication Header ATM Asynchronous Transfer Mode CEF Cisco Express Forwarding CE router Customer Edge Router EGP Exterior Gateway Protocol ESP Encapsulating Security Payload FIB Forwarding Information Base HDLC High-Level Data Link Control IGP Interior Gateway Protocol IKE Internet Key Exchange IP Internet Protocol IPSEC LFIB Internet Protocol Security Label Forwarding Information Base LIB Label Information Base LSR Label Switching Router MPLS Multi Protocol Label Switching OSI Open System Interconnection P router Provider Router PE router Provider Edge Router SA Security Association VPN Virtual Private Network VRF VPN Routing Forwarding WAN Wide Area Network RD Route Distinguisher RT Route Target PHP Penultimate Hop Popping DANH SÁCH HÌNH VẼ MỞ ĐẦU Với mục đích nghiên cứu tìm hiểu ứng dụng dịch vụ mạng riêng ảo (VPN) triển khai rộng rãi ở nước, đồ án tập trung phân tích đặc điểm khái niệm ưu nhược điểm công nghệ mạng riêng ảo truyền thống từ sâu tìm hiểu công nghệ _ công nghệ chuyển mạch nhãn đa giao thức (MPLS), qua kết hợp MPLS với VPN để tạo nên MPLS VPN MPLS VPN phần khắc phục nhược điểm mô hình VPN truyền thống đồng thời phát huy ưu điểm nhằm mang đến cho người dùng tiện lợi ở mức cao Đồ án gồm chương : Chương 1: Giới thiệu chung Công ty Chương tập trung giới thiệu sở thực tập, chức nhiệm vụ phòng ban Chương : Mạng riêng ảo VPN Chương tập trung nghiên cứu khái niệm, mô hình, công nghệ kỹ thuật phương pháp triển khai dịch vụ mạng riêng ảo VPN truyền thống qua phân tích nhược điểm tồn mô hình VPN truyền thống Chương : Chuyển mạch nhãn đa giao thức MPLS Chương tập trung nghiên cứu khái niệm, mô hình, kỹ thuật phương pháp triển khai hệ thống mạng MPLS Quá trình định tuyến, chuyển mạch, phân phối nhãn, ưu nhược điểm MPLS so với mạng IP truyền thống tìm hiểu khuôn khổ nội dung đề tài Chương I: TỔNG QUAN CHUNG VỀ CƠ SỞ THỰC TẬP Giới thiệu sở thực tập Tên Công ty : CÔNG TY TRẮC ĐỊA BẢN ĐỒ - BỘ QUỐC PHÒNG Tên giao dịch tiếng Anh: SAMCOM Ngày thành lập: 09/01/1990 Điện thoại: (069) 573254; (04) 37558003, 37558004, 37558094, Fax: (04) 37558093 Chi nhánh Miền nam – Số - Đường Cửu Long - Tân Bình – Thành phố Hồ Chí Minh Điện thoại: (069) 662124; (08) 38110058; Fax: (08) 38110564 Trụ sở chính: Đường Trần Cung – Cổ Nhuế – Từ Liêm – Hà Nội 1.1 Quá trình hình thành phát triển Công ty Trắc địa Bản đồ – Bộ Quốc Phòng doanh nghiệp công ích Bộ Quốc Phòng – Tiền thân Xí nghiệp liên hợp Trắc địa Bản đồ, thành lập theo định số 09/QĐ- QP ngày 09/01/1990 Bộ trưởng Bộ Quốc Phòng Sau 03 lần chấn chỉnh tổ chức biên chế (năm 1992, năm 1996 năm 2008), ngày 13/1/2009 Tổng Tham mưu trưởng có định số 65/QĐ-TM việc tổ chức lại Công ty Trắc địa Bản đồ thuộc Cục Bản đồ – Bộ tổng tham mưu Công ty Trắc địa Bản đồ doanh nghiệp nhà nước có tư cách pháp nhân, thực hạch toán kinh tế độc lập có tài khoản ngân hàng (cả tài khoản ngoại tệ) có dấu riêng; Trụ sở chính: Đường Trần Cung - Cổ Nhuế - Từ Liêm - Hà Nội, Chi nhánh: Số – Đường Cửu Long - Tân Bình - Thành phố Hồ Chí Minh Có Đơn vị thành viên hạch toán kinh tế phụ thuộc Công ty Trắc địa Bản đồ doanh nghiệp hoạt động công ích xếp doanh nghiệp hạng I 1.2 Cơ quan Công ty Trắc địa Bản đồ: + Ban Giám đốc + Phòng Kế hoạch tổng hợp + Phòng kiểm tra chất lượng sản phẩm ( KCS) + Phòng kỹ thuật công nghệ + Phòng Tài + Văn phòng Công ty + Phòng Chính trị + Phòng Tổ chức Lao động tiền lương + Trung tâm Kỹ thuật Cứu hộ Cứu nạn 1.3 Đơn vị trực thuộc: + Xí nghiệp Chụp ảnh hàng không + Xí nghiệp Phát triển Công nghệ Trắc địa Bản đồ + Xí nghiệp Trắc địa + Xí nghiệp Bản đồ I + Xí nghiệp Bản đồ Đà Lạt + Xí nghiệp Dịch vụ TĐBĐ + Chi nhánh Miền nam + Công ty liên doanh Sài Gòn Superbowl 1.4 Lĩnh vực hoạt động: Công ty Trắc địa Bản đồ có nhiệm vụ sản xuất cung cấp loại tư liệu địa hình phục vụ nhiệm vụ quốc Phòng an ninh, kết hợp kinh tế với quốc Phòng phạm vi nước quốc tế 1.5 Ngành nghề kinh doanh: - Chụp ảnh hàng không, cung cấp dịch vụ ảnh hàng không, vũ trụ - Đo đạc, cung cấp các tư liệu địa hình Khảo sát Trắc địa, địa chất công trình - Đo vẽ thành lập đồ loại Xây dựng sở liệu hệ thống thông tin địa lý (GIS) - Nghiên cứu phát triển, chuyển giao công nghệ Trắc địa Bản đồ kỹ thuật khác có liên quan - Công nghiệp in: in đồ loại sản phẩm khác chất liệu với độ xác, thẩm mĩ cao - Kinh doanh, nhập vật tư, thiết bị Trắc địa Bản đồ - Dịch vụ sửa chữa bảo dưỡng lắp ráp máy Trắc địa, tin học thiết bị đo vẽ đồ - Khảo sát thiết kế, lập luận chứng kinh tế kỹ thuật lĩnh vực cải tạo xử lý môi trường ô nhiễm - Nghiên cứu quy hoạch quản lý tổng hợp môi trường tài nguyên thiên nhiên - Nhập, nghiên cứu ứng dụng chuyển giao công nghệ lĩnh vực môi trường - Thiết kế công trình đường 1.6 Các sản phẩm: + ảnh hàng không + Lưới khống chế + Bản đồ giấy loại tỷ lệ + Bản đồ trực ảnh + Bản đồ số loại tỷ lệ + Sản phẩm in 1.7 Các công trình tiêu biểu thực số thành tích: Bay chụp ảnh thành lập Bản đồ biên giới Việt-Trung Tổng đồ Vịnh Bắc Bản đồ biên giới Việt-Lào Khảo sát đường Hồ Chí Minh Thành lập đồ trực ảnh địa hình 1/50 000 phu trùm lãnh thổ đất liền toàn quốc Thành lập đồ công trình thủy điện ở Việt Nam, Lào, Mianma Những phần thưởng cao quý Đảng, Nhà nước tặng nghiệp xây dựng bảo vệ tố quốc: Xí nghiệp Bản đồ Đà Lạt: 02 Huân chương chiến công hạng III (1984, 1989) Xí nghiệp Bản đồ 1: Huân chương chiến công hạng I (1980) Xí nghiệp Trắc địa: Huân chương chiến công hạng I (1983) Xí nghiệp chụp ảnh hàng không: Huân chương chiến công hạng III (01984), Huân chương chiến công hạng II (2000) Công ty Trắc địa Bản đồ: Cờ thưởng luân lưu Bộ Tổng Tham mưu – quan BQP (1999) Chức năng, nhiệm vụ phòng ban 2.1 Văn phòng Công ty * Chức nhiệm vụ: Văn phòng có chức tham mưu cho Giám đốc thực quản lý lĩnh vực: Đối ngoại, hành chính, hậu cần, doanh trại Duy trì trật tự nội vụ vệ sinh, đảm bảo an toàn, an ninh Đơn vị - Tổ chức công tác đối ngoại với đối tác Công ty - Tổ chức lưu trữ khai thác hồ sơ lưu trữ, tiếp nhận, phân loại luân chuyển loại công văn, tổ chức lưu chuyển văn thư Công ty với Cục Bản đồ, Đơn vị thành viên Công ty quan đối tác bên theo chức - Quản lý sử dụng dấu theo quy định Nhà nước - Quản lý toàn quân số Báo cáo quân số Cục theo qui định Giới thiệu đồng chí ốm đau đến điều trị tuyến Quân y theo qui định - Quản lý xếp lịch công tác xe hàng ngày có nhu cầu sử dụng - Thường xuyên đôn đốc, kiểm tra vệ sinh môi trường, phòng bệnh, trật tự nội vụ khu vực làm việc, đóng quân trụ sở Công ty - Thực chủ trương Công ty Nhà nước công tác Phòng cháy chữa cháy, an toàn quan, Phòng chống thiên tai, Phòng chống cháy nổ thực tốt việc kiểm tra định kỳ để phát sai sót chấn chỉnh kịp thời - Quản lý bảo vệ sở vật chất, trang thiết bị, phương tiện làm việc quan, có trách nhiệm bảo quản, phát hiện, báo sửa chữa, mua sắm, thay trang thiết bị văn Phòng bị hư hỏng Đảm bảo văn phòng phẩm cho quan - Tổ chức tham gia làm nhiệm vụ đưa đón CBCNV công tác, đưa đón khách, bố trí ăn ở lại cho khách Công ty, phối hợp Phòng ban tổ chức hội nghị, hội thảo 2.2 Phòng Tổ chức Lao động - Tiền lương *Chức nhiệm vụ: 10 • Phương pháp 2: Sử dụng đệm liệu để chuyển liệu nguồn đi, gói tin chưa gửi lưu nhớ đệm (buffer) Như gói tin không bị xen lẫn vào Phương pháp tạo ghép mạch ảo (virtual circuit merge) cho gói tin từ nguồn khác HÌNH 2.38 Các gói tin lưu giữ tạm thời truyền Router C lưu gói tin từ router B lại, sau truyền hết gói tin từ router A truyền gói tin router B Phương pháp có ưu điểm router sử dụng lại nhãn cấp mà không cần phải gửi yêu cầu Nhưng nhược điềm tốn nhớ gây trễ cho gói tin lưu 2.3.3 Vấn đề chống Loop mạng MPLS cell mode Khác với MPLS Frame mode, MPLS cell mode, trường VPI/VCI ATM header trường TTL Vậy làm để giải toán chống Loop MPLS cell mode ? Cũng MPLS frame mode, bảng thông tin MPLS cell mode hình thành dựa thông tin định tuyến giải thuật định tuyến động lớp OSPF, IS IS, EIGRP hình thành Do gần MPLS loop (chỉ trừ cấu hình route tĩnh sai) LDP sử dụng thêm thuộc tính TLV (hop count type, length, value) để đếm số router miền MPLS ATM Giá trị TTL gói tin IP nhãn gói tin bị trừ giá trị số router ATM Edge LSR Nếu trường TTL nhỏ gói tin bị loại bỏ Cũng TTL nhãn gói tin, TLV hoạt động tốt với lệnh traceroute HÌNH 2.39 TLV MPLS Cell Mode 71 Hội tụ mạng mạng có thay đổi 2.3.4 Trong mạng ATM truyền thống trình hội tụ mạng bao gồm yếu tố sau: • Một Edge ATM-LSR phát router kề bị lỗi thông qua báo hiệu ATM, nhờ thời gian quy định giao thức định tuyến (hold timer, dead timer) • Router biên sau phát router kề cận bị lỗi báo cho router khác thay đổi • Nếu sử dụng giao thức link-state, router phải tính toán lại topo mạng sau khoảng thời gian trễ nhỏ Khi mạng ATM sử dụng chế chuyển mạch nhãn MPLS, liên kết router với router (next-hop) tới mạng bị hỏng, sau router hội tụ định tuyến, sử dụng chế lưu giữ nhãn có lựa chọn (conservative retention) phân phối nhãn theo yêu cầu, nên router biên có thông tin nhãn khác để đến mạng chế độ hoạt động khung Do router biên phải gửi lại yêu cầu nhãn cho router (next-hop) Các router phải gửi yêu cầu tiếp tới router biên đầu (egress ATM-LSR) Quá trình gây khoảng trễ đáng kể so với mạng ATM truyền thống So với mạng ATM-IP truyền thống mạng ATM-IP hoạt động theo MPLS gây trễ mạng có thay đổi Tuy nhiên ưu điểm khác MPLS, nên điều bỏ qua Tuy tính toán liên quan đến việc xây dựng ATM-IP hoạt động theo MPLS từ ATM-IP truyền thống trễ thông số cần phải ý 2.4 Các chế gán, phân phối lưu giữ nhãn MPLS Trong kiến trúc MPLS, trình gán phân phối nhãn có chế độ sau: • Gán nhãn (không gian nhãn – label space): theo cổng riêng biệt chung (perplatform or per-interface label space) • Phân phối nhãn: tự động phân phối phân phối theo yêu cầu (unsolicited downstream or downstream-on-demand) • Lưu giữ nhãn: lưu giữ tất nhãn nhận lưu giữ có lựa chọn (liberal or conservative label retention) • Điều khiển LSP (LSP Control): chế độ điều khiển gán nhãn cho FEC router mạng MPLS, điều khiển độc lập điều khiển theo thứ tự (Independent LSP control or Orederd LSP Control) 72 Các chế gán nhãn (Không gian nhãn – Label Space) 2.4.1 • Gán nhãn chung cho mạng đích (per-platform): Theo chế này, ứng với mạng đích, router gán nhãn cho mạng Các router khác nhận quảng bá nhãn router giá trị nhãn giống với mạng đích giống HÌNH 2.40 Tạo nhãn theo chế per-platform Router B gán nhãn 25 cho mạng X quảng bá cho router khác • Gán nhãn theo cổng riêng biệt (per-interface): Theo chế này, router kết nối tới mạng X qua interfaces, mạng X gán nhãn ứng với interface Trong router chứa ánh xạ mối quan hệ nhãn/cổng vào với nhãn/cổng HÌNH 2.41 Tạo nhãn theo chế per-interface Với mạng X, router C gán nhãn gửi quảng bá nhãn khác qua cổng nó.Đồng thời bảng LFIB router C chứa ánh xạ nhãn/cổng nhận với nhãn/cổng • Trong chế chế tạo nhãn chung theo mạng đích có ưu điểm tốn nhớ dành cho bảng LFIB độ bảo mật không cao HÌNH 2.42 An toàn chế per - platform 73 Router C router từ bên ngoài, không nhận quảng bá nhãn cho mạng X từ router B, router C gửi gói tin mang nhãn 25 tới router B, router B nhận gói tin chuyển bình thường Cơ chế tạo nhãn cho cổng riêng biệt tốn nhớ độ an toàn bảo mật cao Với ví dụ trên, router C gửi nhãn giống router A, router B không truyền gói tin từ C đi, nhãn X = 25 gán cho cổng vào cổng nối sang A Với chế này, router bên gửi gói tin vào mạng Các chế phân phối nhãn 2.4.2 • Phân phối nhãn tự động (unsolicited downstream): Các router sau gán nhãn tự động quảng bá cho router khác biết HÌNH 2.43 Phân phối nhãn theo chế tự dộng • Phân phối nhãn theo yêu cầu (downstream-on-demand): Các router quảng bá nhãn nhận yêu cầu từ router nhận làm next-hop HÌNH 2.44 Phân phối nhãn theo yêu cầu 2.4.3 • Các chế lưu giữ nhãn Lưu giữ tất nhãn (liberal retention): Khi router nhận nhãn router khác quảng bá đến, lưu thông tin vào bảng LIB router quảng bá router (next-hop) mạng 74 HÌNH 2.45 Lưu tất nhãn nhận Mặc dù router B router (next-hop) để tới mạng X router C router E Nhưng nhận quảng bá nhãn 25 cho mạng X, router C router E lưu thông tin bảng LIB • Lưu giữ nhãn có lựa chọn (conservative retention): Khi router nhận nhãn quảng bá từ router khác, kiểm tra xem quảng bá có phải từ router (next-hop) gửi hay không Nếu router không đưa giá trị nhãn vào bảng LIB HÌNH 2.46 Lưu giữ nhãn có lựa chọn Khi router B gán nhãn cho mạng X quảng bá nhãn này, có router A lưu thông tin nhãn vào bảng LIB Còn router C router E không sử dụng thông tin router B router (next-hop) để tới mạng X router C router E Trong chế lưu giữ nhãn chế lưu giữ tất nhãn có ưu điểm trường hợp mạng có thay đổi hội tụ nhanh hơn, lại tốn nhớ Cơ chế lưu giữ có lựa chọn tiết kiệm nhớ lưu trữ bảng LIB, lại phải sử dụng chế phân phối nhãn theo yêu cầu (downstream-on-demand) mạng có thay đổi Ví dụ trường hợp liên kết router E C bị lỗi, router B trở thành router (next-hop) router E tới mạng X Khi router E cần gửi gói tin tới mạng X, router E lưu trữ nhãn ứng với mạng X router B quảng bá (sử dụng chế lưu giữ tất nhãn) không thời gian để chờ học nhãn đó, gửi gói tin Nếu router E sử dụng chế lưu giữ nhãn có lựa chọn router E phải chờ học nhãn gán cho mạng X router B, thời gian để học 75 Các chế điều khiển LSP 2.4.4 • Điều khiển LSP độc lập (Independent LSP Control): router tự động tạo gán nhãn cho FEC cho dù chưa nhận thông tin đầy đủ FEC router lân cận cung cấp HÌNH 2.47 LSP độc lập Cơ chế thực router có khả trao đổi thông tin định tuyến lớp Router E nhận yêu cầu nhãn cho mạng X D gửi tới, E tạo nhãn trả lời thông tin cho D, bảng LFIB LIB router E chưa nhận thông tin nhãn mạng X router phía sau gửi tới • Điểu khiển LSP có thứ tự (Ordered LSP Control): router tạo nhãn cho FEC Egress LSR nhận thông tin nhãn FEC router next – hop mạng gửi tới HÌNH 2.48 LSP có thứ tự Cơ chế điều khiển LSP độc lập có nhược điểm router tạo gán nhãn độc lập cho FEC trước LSP thiết lập, số trường hợp có cố LSP thiết lập tới đích Với chế điều khiển LSP có thứ tự LSP cho FEC thiết lập trước quảng bá nhãn FEC cho router phía sau mình.Vì gói tin truyền chắn tới đích Tuy nhiên việc điều khiển thiết lập LSP có thứ tự có độ trễ lớn so với điều khiển LSP độc lập chế độ có thứ tự LSP cho FEC phải thực router 76 Các chế hoạt động hai chế độ MPLS 2.4.5 2.5 Cơ chế Chế độ hoạt động khung Chế độ hoạt động tế bào (frame-mode MPLS) (cell-mode MPLS) Tạo nhãn Tạo nhãn chung theo mạng Tạo nhãn theo cổng đích (per-platform) riêng biệt (per-interface) Phân phối nhãn Phân phối nhãn tự động Phân phối nhãn theo yêu cầu (unsolicited downstream) (downstream-on-demand) Lưu giữ nhãn Lưu giữ tất nhãn Lưu giữ nhãn có lựa chọn (liberal retention) (conservative retention) Điều khiển LSP Điểu khiển LSP độc lập Điều khiển LSP có thứ tự (independent LSP control) (ordered LSP control) Cơ chế phát LSR lân cận (neighbor) MPLS Thủ tục phát thiết lập 2.5.1 Trong miền MPLS thủ tục phát LSR lân cận thực theo chế sau: • LSR gửi định kỳ tin hello cổng sử dụng MPLS Bản tin hello gửi sử dụng địa IP đích địa multicast 224.0.0.2, sử dụng giao thức UDP • Nếu có LSR khác ở phía cổng nhận tin, LSR đáp lại cách thiết lập phiên truyền thông TCP với LSR nguồn • Cả UDP cho gói hello-msg TCP cho việc thiết lập phiên sử dụng cổng 646 cho LDP 711 cho TDP Khuôn dạng tin hello sau: HÌNH 2.49 Khuông dạng gói LDP Hello Trong cần ý giá trị trường LDP ID, giá trị trường dùng để xác định router xác định không gian nhãn hay phương thức gán nhãn sử dụng miền MPLS 77 Sau xác định LSR lân cận, việc thiết lập phiên LDP thực thông qua phiên TCP từ router có địa cao HÌNH 2.50 Thiết lập phiên LDP Sau phiên LDP thiết lập, LSR trao đổi với thông tin ban đầu, giữ liên kết cách gửi tin thông báo tồn (keepalive message) HÌNH 2.51 Trao đổi LSR Sau nhận tin keepalive đầu tiên, LSR trao đổi với thông tin nhãn Trong mạng ATM MPLS, mối quan hệ lân cận (adjacency) ATM LSR thiết lập thông qua kênh ảo điều khiển (0/32) HÌNH 2.52 Thiết lập kề cận qua kênh ảo điều khển (0/32) 2.5.2 Xác lập không gian nhãn thiết lập LDP 78 Như thấy ở trên, phiên xác lập quan hệ lân cận LSR cần phải thỏa thuận không gian nhãn (hay phương thức gán nhãn) sử dụng miền MPLS này.Trường LDP ID gói tin hello sử dụng để định danh để xác định không gian nhãn mà LSR sử dụng.Nếu hai LSR lân cận sử dụng nhiều không gian nhãn cần phải thiết lập nhiều phiên LDP, phiên LDP cho không gian nhãn khác Với chế nhãn chung cho mạng đích (per-platform label space) cần phiên LDP cho nhiều liên kết khác LSR Phiên cách đặt số không gian nhãn (VD: LDP ID=1.0.0.1:0) Với chế nhãn riêng theo cổng (per-interface label space), cổng thiết lập phiên LDP riêng Do với LSR nối với nhiều liên kết tạo nhiều phiên LDP HÌNH 2.53 Xác lập không gian nhãn 2.6 Các ứng dụng MPLS MPLS có nhiều ứng dụng như: định tuyến unicast IP, định tuyến multicast IP, MPLS TE, MPLS QoS, MPLS VPNs AToM HÌNH 2.54 Các ứng dụng MPLS • Định tuyến IP Unicast • Định tuyến IP Multicast • Điều khiển lưu lượng (MPLS TE) • Chất lượng dịch vụ (MPLS QoS) • Mạng riêng ảo (MPLS VPN) 79 • 2.7 Truyền công nghệ lớp (AToM) Tổng kết Chương nghiên cứu tìm hiểu khái niệm với chế hoạt động quan trọng MPLS : chế định tuyến, chế chuyển mạch, chế phân phối nhãn, chế quảng bá gói tin Những ứng dụng MPLS phong phú, đặc biệt phải nói tới việc sử dụng MPLS việc xây dựng dịch vụ mạng riêng ảo MPLS VPN khắc phục nhược điểm dịch vụ VPN truyền thống làm cho dịch vụ VPN ngày hoàn thiện KẾT LUẬN VÀ KIẾN NGHỊ 80 Trong khuôn khổ báo cáo, em nghiên cứu chi tiết dịch vụ mạng riêng ảo công nghệ chuyển mạch nhãn đa giao thức với kết hợp chúng để tạo nên công nghệ MPLS VPN Báo cáo tìm hiểu ưu điểm nhược điểm dịch vụ mạng riêng ảo truyền thống, qua đề xuất giải pháp để khắc phục nhược điểm Tuy nhiên, báo cáo dừng ở mức nghiên cứu, chưa thực triển khai thiết bị thực tế nhiều ứng dụng khác công nghệ MPLS nhiều vấn đề với MPLS VPN chưa đề cập Em hy vọng, với bảo thầy cô hội đồng phản biện, em hoàn thiện thiếu sót tồn báo cáo Xin chân thành cảm ơn ! 81 TÀI LIỆU THAM KHẢO [1] [2] [3] [4] [5] [6] [7] [8] [9] Jim Guichard, Ivan Pepelnjak, “MPLS and VPN Architecture”, Cisco Press, 200 Michael H Behringer, Monique J Morrow, “MPLS VPN Security”, Cisco Press, 2005 Cisco System, “Implementing Cisco MPLS VPN” ver 2.1, Cisco Press, 2004 Richard Deal, “The Complete Cisco VPN Configuration Guide”, Cisco Press, 2005 Các slide MPLS VPN Cisco http://www.cisco.com Ina Minei and Julian Lucek, “MPLS-Enabled Applications: Emerging Developments and New Technologies” John Wiley & Sons, 2005 http://vntelecom.org ThS Võ Hồng Sơn, “Đánh giá hiệu loại mạng riêng ảo” 2008 TRƯỜNG ĐẠI HỌC TÀI NGUYÊN VÀ MÔI TRƯỜNG HÀ NỘI KHOA CÔNG NGHỆ THÔNG TIN SỔ NHẬT KÝ THỰC TẬP Họ tên: Nguyễn Mạnh Tiến Lớp: Ngành: ĐH2C7 Công Nghệ Thông Tin Cơ quan thực tập: Công ty TNHHMTV Trắc Địa Bản Đồ Thời gian thực tập: Từ 22/2 đến 20/4 82 Nhận xét, đánh giá quan, đơn vị hướng dẫn thực tập 83 NGƯỜI XÁC NHẬN Hoàng Minh Tân BỘ TÀI NGUYÊN VÀ MÔI TRƯỜNG CỘNG HOÀ XÃ HỘI CHỦ NGHĨA VIỆT TRƯỜNG ĐẠI HỌC NAM TÀI NGUYÊN VÀ MÔI TRƯỜNG HÀ Độc lập - Tự - Hạnh phúc NỘI NHẬN XÉT CỦA CÁN BỘ HƯỚNG DẪN I Thông tin chung: - Họ tên cán hướng dẫn : ThS Hoàng Minh Tân Đơn vị công tác : Phòng Kỹ Thuật Công Nghệ - Công ty TNHHMTV Trắc Địa Bản Đồ Trình độ : Thạc sĩ Chuyên ngành:Công nghệ thông tin - Họ tên Sinh viên :Hoàng Thế Tùng Mã Sinh viên : DC00202516 Lớp : ĐH2C6 Tên đề tài :NGHIÊN CỨU CÔNG NGHỆ CHUYỂN MẠCH ĐA GIAO THỨC VÀ ỨNG DỤNG MẠNG RIÊNG ẢO II Nhận xét Cán hướng dẫn: 84 ……………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… III Điểm đánh giá trình thực tập: Hà Nội, ngày… tháng… năm 2016 Xác nhận Cơ sở thực tập Cán hướng dẫn (Ký đóng dấu đơn vị) (Ký ghi rõ họ tên) 85 [...]... của traffic dựa trên nền Windows • Giao thức L2TP Giao thức L2TP được phát triển bởi Cisco, giao thức L2TP cũng có ý định dùng để thay thế IPSEC Tuy nhiên, IPSEC vẫn là giao thức có ưu thế trội hơn trong số các giao thức bảo mật cho truyền thông qua Internet Giao thức L2TP là kết quả của quá trình trộn giữa lớp hai chuyển tiếp và giao thức PPTP, nó sử dụng giao thức điểm tới điểm cho quá trình đóng... Kênh thông tin yêu cầu ba giao thức khác nhau: • Giao thức sóng mang - Carrier protocol: (còn gọi là giao thức truyền tải) giao thức này sử dụng trên mạng để đưa thông tin về trạng thái đường truyền • Giao thức đóng gói - Encapsulating protocol: bao gồm các giao thức GRE, IPSEC, L2F, PPTP, L2TP cho phép che giấu nội dung truyền • Giao thức gói - Passenger protocol: giao thức bao gồm IPX, NetBeui,... có thể được bảo mật mà không cần phải thiết lập hay xác định an ninh cho từng ứng dụng riêng • Giao thức PPTP Giao thức PPTP được phát triển bởi Microsoft, 3 COM và Ascend communication Giao thức PPTP được đề xuất như là một giao thức mới có thể thay thế giao thức IPSEC.Tuy nhiên, IPSEC vẫn tiếp tục là giao thức đường ngầm được sử dụng nhiều hơn PPTP hoạt động ở lớp hai, lớp liên kết dữ liệu (Data... công ty 1.2 Bảo mật trong VPN 1.2.1 Vấn đề bảo mật trong VPN Như đã giới thiệu ở mục trên, có ba giao thức đường ngầm thường được sử dụng trong VPN là: - Giao thức IPSEC (Internet Protocol Security) - Giao thức PPTP (Point to Point Tunneling Protocol) - Giao thức L2TP (Layer 2 Forwarding) Trong các giao thức đường ngầm nói trên, IPSEC là giải pháp tối ưu về mặt an toàn dữ liệu IPSEC hỗ trợ các phương... giấu nội dung truyền • Giao thức gói - Passenger protocol: giao thức bao gồm IPX, NetBeui, IP 21 Nếu xét trên phương diện các giao thức đóng gói thì có ba giao thức đường ngầm chính thường được sử dụng trong VPN để đảm bảo độ tin cậy cho VPN trong quá trình truyền dẫn gồm: • Giao thức IPSEC IPSEC được phát triển bởi IETF (Internet Engineering Task Force), IPSEC là một tiêu chuẩn mở mà vẫn đảm bảo được... giao thức điểm tới điểm cho quá trình đóng gói các khung dữ liệu để truyền qua mạng X.25, FR hoặc ATM Ngoài các giao thức đường ngầm trên còn một số giao thức nữa như: GRE (Generic Route Encapsulation, Cisco và IETF), MPLS VPN, SSL VPN (Secure Socket Layer VPN) 1.1.4 Phân loại VPN Hiện nay VPNs đang phát triển theo 2 hướng chính, đó là: • Remote Access VPNs • Site – to – Site VPNs o Mạng VPN cục bộ (Intranet... trữ trên mạng hay không 1.1.3 Các giao thức đường hầm VPN Hầu hết các VPN đều dựa trên tunneling để hình thành mạng riêng ảo trên nền Internet Về cơ bản, tunneling là quá trình xử lý và đặt toàn bộ các gói tin (packet) trong một gói tin khác và gửi đi trên mạng Giao thức sinh ra các gói tin được đặt tại cả hai điểm thu phát gọi là giao tiếp kênh - tunnel interface, ở giao tiếp đó các gói tin truyền... phải sử dụng một cơ sở hạ tầng khoá công cộng (Public Key) phức tạp để giải quyết vấn đề chứng thực số hay chữ ký số Từ những nhận xét về giao thức đường ngầm ở trên, mục này ta sẽ đi sâu nghiên cứu quá trình bảo mật trong VPN sử dụng giao thức IPSEC 1.2.2 Giao thức IPSEC 1.2.2.1 IPSec và khả năng an toàn dữ liệu trong mô hình OSI Mã hóa và xác thực là các công nghệ chính sử dụng để bảo mật cho dữ... ra IPSEC còn có tính linh hoạt cao: Không bị ràng buộc bởi bất cứ thuật toán xác thực, mã hoá nào, đồng thời có thể sử dụng IPSEC cùng với các giao thức đường ngầm khác để làm tăng tính an toàn cho hệ thống Mặc dù, có nhiều ưu điểm vượt trội so với các giao thức đường ngầm khác về khả năng đảm bảo an toàn dữ liệu, IPSEC cũng có một số nhược điểm như: - IPSEC là một khung chuẩn mới (Các khuyến nghị... phép giảm đáng kể các chi phí cho việc triển khai và quản trị 1.2.2.2 Khung giao thức IPSEC IPSEC là khung của các chuẩn mở, nó đảm bảo việc truyền thông an toàn qua các mạng IP Dựa trên các chuẩn phát triển bởi IETF, IPSEC đảm bảo tính bí mật, toàn vẹn và xác thực của dữ liệu khi truyền qua một mạng IP công cộng Hai giao thức chính của IPSEC là AH (Authentication Header) và ESP (Encaspulating Security