Giải pháp mạng riêng ảo MPLS – VPN và ứng dụng trong hệ thống hạ tầng truyền thông ngành tài chính (Luận văn thạc sĩ)Giải pháp mạng riêng ảo MPLS – VPN và ứng dụng trong hệ thống hạ tầng truyền thông ngành tài chính (Luận văn thạc sĩ)Giải pháp mạng riêng ảo MPLS – VPN và ứng dụng trong hệ thống hạ tầng truyền thông ngành tài chính (Luận văn thạc sĩ)Giải pháp mạng riêng ảo MPLS – VPN và ứng dụng trong hệ thống hạ tầng truyền thông ngành tài chính (Luận văn thạc sĩ)Giải pháp mạng riêng ảo MPLS – VPN và ứng dụng trong hệ thống hạ tầng truyền thông ngành tài chính (Luận văn thạc sĩ)Giải pháp mạng riêng ảo MPLS – VPN và ứng dụng trong hệ thống hạ tầng truyền thông ngành tài chính (Luận văn thạc sĩ)Giải pháp mạng riêng ảo MPLS – VPN và ứng dụng trong hệ thống hạ tầng truyền thông ngành tài chính (Luận văn thạc sĩ)Giải pháp mạng riêng ảo MPLS – VPN và ứng dụng trong hệ thống hạ tầng truyền thông ngành tài chính (Luận văn thạc sĩ)Giải pháp mạng riêng ảo MPLS – VPN và ứng dụng trong hệ thống hạ tầng truyền thông ngành tài chính (Luận văn thạc sĩ)
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - Nguyễn Đình Thắng GIẢI PHÁP MẠNG RIÊNG ẢO MPLS-VPN VÀ ỨNG DỤNG TRONG HỆ THỐNG HẠ TẦNG TRUYỀN THƠNG NGÀNH TÀI CHÍNH LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) HÀ NỘI - 2018 HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THƠNG - Nguyễn Đình Thắng GIẢI PHÁP MẠNG RIÊNG ẢO MPLS-VPN VÀ ỨNG DỤNG TRONG HỆ THỐNG HẠ TẦNG TRUYỀN THƠNG NGÀNH TÀI CHÍNH CHUN NGÀNH : KỸ THUẬT VIỄN THÔNG MÃ SỐ: 852.02.08 LUẬN VĂN THẠC SĨ KỸ THUẬT NGƯỜI HƯỚNG DẪN KHOA HỌC PGS TS ĐẶNG HOÀI BẮC HÀ NỘI - 2018 i LỜI CAM ĐOAN Tơi xin cam đoan cơng trình nghiên cứu riêng với hƣớng dẫn khoa học thầy giáo PGS.TS Đặng Hoài Bắc Các số liệu, kết nêu luận văn hoàn toàn trung thực, chƣa đƣợc công bố tài liệu khác Tác giả luận văn NGUYỄN ĐÌNH THẮNG ii LỜI CẢM ƠN Em xin chân thành cảm ơn thầy Đặng Hoài Bắc hƣớng dẫn, nhiệt tình giúp đỡ, tạo điều kiện tốt cho em thực đề tài Thầy hƣớng dẫn, cung cấp tài liệu giải đáp thắc mắc, sai sót em suốt thời gian thực Em xin chân thành gửi lời cảm ơn đến tất thầy cô khoa Sau Đại học, Khoa Viễn thông – Học viên Công nghệ Bƣu Viễn thơng bảo, giảng dạy đóng góp ý kiến cho em suốt q trình học tập thực đề tài Do phạm vi đề tài, phạm vi kiến thức lớn, thời gian thực có hạn, ngồi bận cơng việc quan, gia đình nên khơng tránh khỏi thiếu sót Kính mong thầy Hội đồng góp ý, bảo thông cảm cho em Em xin chân thành cảm ơn ! Hà nội, ngày 09 tháng 11 năm 2017 Học viên Nguyễn Đình Thắng iii MỤC LỤC LỜI CAM ĐOAN i LỜI CẢM ƠN ii MỤC LỤC iii DANH MỤC TỪ VIẾT TẮT iv DANH MỤC HÌNH VẼ vii MỞ ĐẦU .1 CHƢƠNG – TỔNG QUAN VỀ CÔNG NGHỆ MẠNG RIÊNG ẢO VPN 1.1 Giới thiệu công nghệ mạng riêng ảo 1.2 Khái niệm VPN 1.3 Mơ hình VPN 1.4 Khái niệm đƣờng hầm 1.5 Lợi ích VPN mang lại 1.6 Các loại VPN 1.6.1 Truy cập VPN (VPN Remote Access) 1.6.2 Site – To – Site VPN 1.7 VPN vấn đề an toàn bảo mật Internet 12 1.8 Kết luận - Đánh giá 13 CHƢƠNG – MẠNG RIÊNG ẢO TRÊN NỀN CÔNG NGHỆ MPLS 14 2.1 2.1.1 2.1.2 2.1.3 2.2 2.2.1 2.2.2 2.2.3 2.2.4 2.3 2.3.1 2.3.2 2.3.3 2.4 2.5 Nguyên nhân đời công nghệ MPLS VPN 14 Tính khả chuyển 14 Điều khiển lƣu lƣợng 15 Chất lƣợng dịch vụ (QoS) 15 Chuyển mạch nhãn đa giao thức 16 Khái niệm 16 Đặc điểm mạng MPLS 17 Cấu trúc mạng MPLS 17 Phƣơng thức hoạt động công nghệ MPLS 23 Công nghệ MPLS VPN 26 VPN truyền thống 27 MPLS VPN 29 Các thành phần kiến trúc MPLS – VPN 29 Mơ hình mạng MPLS VPN 33 Kết luận 33 iv CHƢƠNG – ỨNG DỤNG MPLS VPN VÀO HẠ TẦNG TRUYỀN THÔNG NGÀNH TÀI CHÍNH .35 3.1 Bối cảnh chung 35 3.2 Đánh giá ƣu nhƣợc điểm hệ thống sở hạ tầng .35 3.2.1 Mơ hình kết nối WAN vấn đề nảy sinh 35 3.2.2 Mơ hình kết nối Internet đề nảy sinh 37 3.3 Giải pháp MPLS VPN việc cung cấp dịch vụ VPN ngành tài 38 3.3.1 Đề xuất cải tiến để đảm bảo tính dự phòng an ninh cho hệ thống 38 3.3.2 Giải pháp thiết kế hạ tầng truyền thông ngành Tài 40 3.3.3 Đánh giá hệ thống đảm bảo an ninh 45 3.3.4 Triển khai MPLS VPN số đơn vị quận/huyện 47 3.3.5 Kịch kiểm tra đánh giá kết 51 3.4 Kết luận 54 Chƣơng – KẾT LUẬN 56 DANH MỤC TỪ VIẾT TẮT Viết tắt ASIC ATM AToM BTC BGP CE CEF CoS CQ CR DiffServ FEC FTP GRE HDLC IGP IP LAN LDP LFIB Tiếng Anh Application Specific Intergrated Circuits Asynchnorous Tranfer Mode Any Transport over MPLS Tiếng Việt Mạch tích hợp chuyên dụng Truyền dẫn không đồng Truyền tải qua MPLS Bộ Tài Border Gateway Protocol Giao thức cổng biên Custome Edge Biên phía Khách hàng Cisco Express Forwarding Chuyển tiếp nhanh Cisco Class of Service Cấp độ dịch vụ Custom Queue Hàng đợi tùy ý Constraint-based routing Định tuyến ràng buộc Differentiated Services Dịch vụ khác biệt Forwarding Equivalency Class Lớp chuyển tiếp tƣơng đƣơng File Tranfer Protocol Giao thức truyền file Generic Routing Encapsulation Đóng gói định tuyến chung High Data Link Control Điều khiển kết nối liệu tốc độ cao Interior Gateway Protocol Giao thức định tuyến phạm vi miền Internet Protocol Giao thức Internet Local Area Network Mạng địa phƣơng Label Distribution Protocol Giao thức phân phối nhãn Cơ sở thông tin chuyển tiếp Label Forwarding Information Base nhãn v LIB LSP Label Information Base Label Switch Path LSR Label Switch Router MAC Media Access Control MPLS OSPF PE PPP PQ PVC QoS SLA SP Multiprotool Label Switching Open Shortest Path First Provider Edge Point-to-Point Protocol Priority Queue Permanent Virtual Circuit Quanlity of Service Service Level Agreements Service Provider Bảng sở liệu nhãn Tuyến chuyển mạch nhãn Bộ định tuyến chuyển mạch nhãn Điều khiển truy nhập môi trƣờng Chuyển mạch nhãn đa giao thức Giao thức OSPF Biên nhà cung cấp Giao thức điểm - điểm Hàng đợi ƣu tiên Mạch ảo cố định Chất lƣợng dịch vụ Thỏa thuận cấp độ dịch vụ Nhà cung cấp vi SVC TCP TDP TE TTL UDP UNI VC VCI VoATM VoIP VP VPI VPN Switch Virtual Connection Tranmission Control Protocol Tag Distribution Protocol Traffic Engineering Time To Live User Datagram Protocol User-to-Network Interface Virtual Channel Virtual Channel Identifier Voice over ATM Voice over IP Virtual Path Virtual Packet Indentifier Virtual Pravite network Chuyển mạch kết nối ảo Giao thức điều khiển truyền dẫn Giao thức phân phối tag Kỹ thuật điều khiển lƣu lƣợng Thời gian sống Giao thức UDP Giao diện ngƣời dùng tới mạng Kênh ảo Định danh kênh ảo Thoại qua ATM Thoại qua IP Tuyến ảo Định danh gói ảo Mạng riêng ảo vii DANH MỤC HÌNH VẼ Hình 1.1: Mạng riêng ảo VPN [4] Hình 1.2: Đƣờng hầm VPN [4] .4 Hình 1.3: Site – to – site VPN [4] Hình 1.4: Thiết lập Intranet sử dụng WAN backbone [4] .9 Hình 1.5: Thiếp lập Intranet dựa VPN [4] .10 Hình 1.6: Hình Extranet VPN [4] 10 Hình 1.7: Thiết lập mạng Extranet theo truyền thống [4] .11 Hình 1.8: Thiết lập Extranet [4] 12 Hình 2.1: Full mesh với kết nối ảo [1] .14 Hình 2.2: Một ví dụ mạng IP dựa mạng lõi ATM [3] .15 Hình 2.3: Cấu trúc nhãn [4] 18 Hình 2.4: Nhãn kiểu khung [2] 18 Hình 2.5: Nhãn kiểu tế bào [2] 19 Hình 2.6: Ngăn xếp nhãn [2] 20 Hình 2.7: Mơ hình tham chiếu OSI [4] 21 Hình 2.8: Giao thức MPLS [4] 21 Hình 2.9: Cấu trúc nút MPLS [1] 22 Hình 2.10: Cấu trúc nút MPLS [1] .24 Hình 2.11: Tổng hợp FEC [3] 26 Hình 2.12: Mơ hình mã hóa thơng thƣờng [3] 29 Hình 2.13: Mơ hình phân tách dựa vào VRF MPLS VPN [3] .29 Hình 2.14: Chức VRF [1] .30 Hình 2.15: Ví dụ RD [6] 31 Hình 2.16: Chức router PE [6] .33 Hình 1: Mơ hình Overlay layer -2 – VPN mạng trục [2] .36 Hình 2: Mơ hình Peer – to – Peer VPN TTM, TTT [2] .36 Hình 3: Mơ hình kết nối Internet Ngành tài [4] .38 Hình 4: Kiến trúc hệ thống truyền thơng Ngành tài [4] 38 Hình 5: Sơ đồ kết nối mạng trục Ngành tài [4] .39 Hình 6: Các kết nối WAN hai Trung tâm miền [4] 40 Hình 7: Sơ đồ hệ thống mạng phân bố từ TTM xuống TTT [4] 40 Hình 8: Cấu trúc mạng trục với WAN truyền thống MPLS VPN [4] 41 Hình 9: Mơ hình kết nối sử dụng dịch vụ MPLS VPN [6] .41 Hình 10: Khả định tuyến gói tin MPLS VPN [4] 41 Hình 11: Mơ hình vùng MPLS VPN thuê nhà cung cấp dịch vụ [4] .42 Hình 12: Mơ hình kết nối sử dụng IPSec VPN thơng qua Internet [6] .42 Hình 13: Lớp mạng trục Ngành tài [4] 43 Hình 14: Kết nối từ TTT lên TTM [4] 44 Hình 15: Lớp mạng phân phối Ngành tài [4] 44 Hình 16: Các phân lớp mạng [4] .45 Hình 17: Kiến trúc bảo mật đề xuất [5] .46 Hình 18: Mã hóa đƣờng truyền Lease – line TTM – TTT [4] 47 Hình 19: Cấu hình interface đƣờng VNPT KBNN Ba Đồn [4] 48 Hình 20: Cấu hình đƣa interface vào mạng riêng ảo kbnn [4] 48 Hình 21: Kiểm tra kênh truyền mạng riêng ảo kbnn [4] 48 Hình 22: Cấu hình interface đƣờng Viettel KBNN Ba Đồn [4] .49 viii Hình 23: Cấu hình đƣa interface vào mạng riêng ảo kbnn [4] 49 Hình 24: Kiểm tra kênh truyền mạng riêng ảo kbnn [4] 49 Hình 25: Cấu hình interface đƣờng VNPT CCHQ Tèn Tắn [4] 50 Hình 26: Cấu hình đƣa interface vào mạng riêng ảo haiquan [4] 50 Hình 27: Kiểm tra kênh truyền mạng riêng ảo haiquan [4] 50 Hình 28: Kênh truyền KBNN Khánh Hòa - Chi cục thuế TX Cam Ranh [4] 52 Hình 29: Băng thơng kênh truyền KBNN Khánh Hòa -Chi cục thuế TX Cam Ranh [4] 52 Hình 30: Kênh truyền KBNN Lâm Đồng - Chi cục thuế TP Đà Lạt [4] 52 Hình 31 Băng thông kênh truyền KBNN Lâm Đồng – Chi Cục thuế TP Đà Lạt [4]53 Hình 32: Kênh truyền KBNN Bình Thuận – Cục thuế Bình Thuận [4] 53 Hình 33: Băng thơng kênh truyền KBNN Bình Thuận – Cục thuế Bình Thuận [4] 53 Hình 34: Kênh truyền KBNN Khánh Sơn – KBNN Khánh Hòa [4] 53 Hình 35: Băng thơng kênh truyền KBNN Khánh Sơn – KBNN Khánh Hòa [4] 54 43 3.3.2.2.1 Lớp mạng trục Lớp mạng trục cung cấp hạ tầng MPLS cho phân hệ thuộc NGÀNH TÀI CHÍNH Giải pháp dựa yêu cầu tiên nhƣ độ sẵn sàng cao, tính dự phòng cao, khả mở rộng lớn, lực chuyển mạch thiết bị phải lớn để phục vụ ứng dụng đa dạng NGÀNH TÀI CHÍNH tƣơng lai Hình 13: Lớp mạng trục Ngành tài [4] Theo sơ đồ trên, cặp Backbone Router đặt Miền làm nhiệm vụ kết nối Miền với nhau, cắp Backbone Router bao gồm BB-1 BB-2 có nhiệm vụ kết nối WAN lực xử lý khác nhau, cụ thể: Các cặp Router miền (TTM-1, TTM-2) có trách nhiệm kết nối tới TTT, đồng thời kết nối trực tiếp tới quan đầu não phân hệ (TCT, Kho bạc, TCHQ…), cặp TTM-1, TTM-2 có nhiệm vụ kết nối WAN lực xử lý khác Hình vẽ dƣới mơ tả kết nối WAN từ TTT lên TTM Kết nối truyền thống (lease – lines) TTT lên TTM ngồi nhiệm vụ dự phòng làm nhiệm vụ phân tải Đối với Tỉnh chƣa có sẵn dịch vụ MPLS VPN, để đáp ứng nhu cầu sử dụng đơn vị, tạm thời sử dụng kết nối Lease – Lines (1 TTT-1 & TTT-2, TTT-2 & TTM-2) Đến dịch vụ MPLS VPN sẵn sàng, giảm bớt kết nối Lease – Lines TTT-1 & TTM-2 thay kết nối từ TTT-1 lên mạng MPLS VPN 44 Hình 14: Kết nối từ TTT lên TTM [4] 3.3.2.2.2 Lớp mạng phân phối Các Router thuộc lớp mạng phân phối bao gồm cặp router TTT (TTT-1, TTT-2) Theo sơ đồ dƣới, cặp Router đặt TTT làm nhiệm vụ kết nối lên TTM tƣơng ứng (TTM-1, TTM-2) phân phối tới đơn vị phạm vi tỉnh Mỗi cặp Router TTT có nhiệm vụ kết nối WAN lực xử lý khác Hình 15: Lớp mạng phân phối Ngành tài [4] Các router TTT (TTT-1, TTT-2) đóng vai trò PE – Router hệ thống mạng MPLS NGÀNH TÀI CHÍNH kết nối trực tiếp với đơn vị trực thuộc tỉnh 45 3.3.2.2.3 MPLS hệ thống MPLS VPN Công nghệ MPLS đƣợc áp dụng hạ tầng truyền thông BTC nhằm cung cấp kết nối MPLS VPN cho phân hệ ngành nhƣ đơn vị ngồi có nhu cầu kết nối vào Hạ tầng truyền thơng NGÀNH TÀI CHÍNH Hình 16: Các phân lớp mạng [4] Cấu trúc toàn hệ thống bao gồm Router thuộc lớp mạng Trục, PeRouter thuộc lớp mạng phân phối Trên hệ thống mạng MPLS NGÀNH TÀI CHÍNH, sử dụng giao thức định tuyến IGP OSPF đảm bảo kết nối IP MPLS Router hệ thống Sử dụng giao thức LP (Label Distribution Protocol) cho việc phân phối Label hệ thống Giao thức MP-BGP (Multri – Protocol BGP) đƣợc sử dụng bắt buộc tất PE-Router để phân phối định tuyến cho dịch vụ MPLS VPN Ngoài ra, giao thức định tuyến IGP OSPF đƣợc sử dụng việc cung cấp dịch vụ TE (Traffic Engineering) hệ thống mạng MPLS 3.3.3 Đánh giá hệ thống đảm bảo an ninh Ngày nay, hầu nhƣ doanh nghiệp có kết nối Internet sử dụng biện pháp an ninh để bảo vệ trƣớc tác động bên bên Với tiến vƣợt bậc công nghệ, công cụ, kỹ thuật công ngày đa dạng, tinh vi hơn, có vơ số hƣớng dẫn công cụ đƣợc cung cấp miễn phí mạng Internet Do đó, phòng thủ vòng ngồi phòng thủ lớp khơng thơi chƣa đủ để đảm bảo vấn đề an ninh mạng 46 Hình 17: Kiến trúc bảo mật đề xuất [5] Kiến trúc bảo mật đề xuất bao gồm nhiều lớp bảo mật: Phân lớp bảo vệ: sử dụng công nghệ bảo mật nhƣ Firewall, IDS, IPS để chống lại công xuất phát từ bên lẫn bên Bảo mật kết nối mạng: đảm bảo thông tin quan trọng đƣợc bảo mật đƣờng truyền Xác thực, nhận dạng cấp quyền truy cập tới tài nguyên hệ thống Kiểm soát truy cập, đảm bảo an ninh phân lớp ứng dụng Áp dụng vào hệ thống mạng NGÀNH TÀI CHÍNH, việc đảm bảo an ninh cho tồn hệ thống đƣợc chia thành phần chính: An ninh cho kết nối WAN An ninh cho phần mạng trục MPLS NGÀNH TÀI CHÍNH An ninh phân hệ sử dụng dịch vụ MPLS VPN An ninh hệ thống cho cổng kết nối Internet (Internet Gateway) 3.3.3.1 An ninh cho kết nối WAN Trên hạ tầng mạng NGÀNH TÀI CHÍNH (TTT & TTM), kết nối sử dụng MPLS VPN nhà cung cấp dịch vụ sử dụng phƣơng thức mã hóa IPSec cho GRE tunnel theo nhƣ mơ tả trên, hồn tồn đảm bảo tính an tồn Đối với kết nối WAN truyền thống (hiện sử dụng Lease – lines), sử dụng thiết bị mã hóa đƣờng truyền Layer – cho đƣờng Lease – lines, Layer – cho Frame – relay Ƣu điểm việc sử dụng thiết bị mã hóa khơng làm phức tạp hóa cấu trúc logic tồn hệ thống 47 Hình 18: Mã hóa đường truyền Lease – line TTM – TTT [4] 3.3.3.2 An ninh cho phần mạng trục MPLS VPN Ngành tài MPLS cung cấp khả tách biệt, định tuyến, địa mạng đầy đủ nhƣ dịch vụ Layer – VPN truyền thống khác MPLS dấu cấu trúc địa lớp mạng core VPN khác Cần thực biện pháp chống giả mạo địa (IP Spoofing): Yêu cầu triển khai tất PE Router để chống IP Spoofing Cho phép kiểm tra gói tin nhận đƣợc giao diện Căn vào IP nguồn gói tin, bảng định tuyến khơng có đƣờng định tuyến trỏ tới cổng giao tiếp nơi mà gói tin đến, Router loại bỏ gói tin Có biện pháp chống công từ chối dịch vụ kiểu phân bố (DdoS) Lọc, giới hạn router Áp dụng bƣớc ingress & egress filter (xem RFC 2267) access list (ACLs) Các PE router cần đƣợc cấu hình chấp nhận gói tin từ phía CE gói tin thuộc CE Kết PE router loại bỏ gói tin vào PE từ CE với địa nguồn trùng với địa mạng Core thuộc CE khác 3.3.4 Triển khai MPLS VPN số đơn vị quận/huyện 3.3.4.1 Triển khai thêm kênh truyền KBNN Quảng Bình - KBNN huyện Ba Đồn 48 - Cấu hình kênh truyền MPLS VPN L3 nhà cung cấp VNPT Thêm cấu hình interface gr-0/0/0.308 router Trung tâm tỉnh với thông tin ip đƣợc quy hoạch cho KBNN huyện Ba Đồn Hình 19: Cấu hình interface đường VNPT KBNN Ba Đồn [4] Cấu hình đƣa interface gr-0/0/0.308 KBNN Ba Đồn vào mạng riêng ảo phân hệ Kho bạc nhà nƣớc (kbnn) với thông số metric, hello- interval, dead-interval, authentication, cấu hình phải đảm bảo giống với thơng số cấu hình router KBNN huyện Hình 20: Cấu hình đưa interface vào mạng riêng ảo kbnn [4] Kiểm tra ping thông đến ip đầu KBNN huyện Ba Đồn mạng riêng ảo kbnn Hình 21: Kiểm tra kênh truyền mạng riêng ảo kbnn [4] 49 - Cấu hình kênh truyền MPLS VPN L3 nhà cung cấp Viettel Thêm cấu hình interface gr-0/0/0.358 router Trung tâm tỉnh với thông tin ip đƣợc quy hoạch cho KBNN huyện Ba Đồn Hình 22: Cấu hình interface đường Viettel KBNN Ba Đồn [4] Cấu hình đƣa interface gr-0/0/0.358 KBNN Ba Đồn vào mạng riêng ảo phân hệ Kho bạc nhà nƣớc (kbnn) với thông số metric, hello- interval, dead-interval, authentication, cấu hình phải đảm bảo giống với thơng số cấu hình router KBNN huyện Hình 23: Cấu hình đưa interface vào mạng riêng ảo kbnn [4] Kiểm tra ping thông đến ip đầu KBNN huyện Ba Đồn mạng riêng ảo kbnn Hình 24: Kiểm tra kênh truyền mạng riêng ảo kbnn [4] 3.3.4.2 Triển khai thêm kênh truyền KBNN Thanh Hóa – Chi cục Hải quan Tén Tằn 50 - Cấu hình kênh truyền MPLS VPN L3 nhà cung cấp VNPT Thêm cấu hình interface gr-0/0/0.257 router Trung tâm tỉnh với thơng tin ip đƣợc quy hoạch cho Chi cục Hải quan Tén Tằn Hình 25: Cấu hình interface đường VNPT CCHQ Tèn Tắn [4] Cấu hình đƣa interface gr-0/0/0.257 Chi cục Hải quan Tén Tằn vào mạng riêng ảo phân hệ Hải quan (haiquan) với thông số metric, hello- interval, dead-interval, authentication, cấu hình phải đảm bảo giống với thơng số cấu hình router Chi cục Hải quan Hình 26: Cấu hình đưa interface vào mạng riêng ảo haiquan [4] Kiểm tra ping thông đến ip đầu Chi cục Hải quan Tén Tằn mạng riêng ảo haiquan Hình 27: Kiểm tra kênh truyền mạng riêng ảo haiquan [4] 51 - Do đặc thù hệ thống, kênh truyền Viettel Chi cục Hải quan Tén Tằn đƣợc kết nối vào Cục Hải quan, khơng cần thực cấu hình router Trung tâm tỉnh 3.3.5 Kịch kiểm tra đánh giá kết Hiện triển khai MPLS VPN cho quan tài địa phƣơng, phân hệ Thuế, Hải quan, kho bạc… Vừa qua, Học viên đoàn kiểm tra, giám sát, đo kiểm chất lƣợng dịch vụ, kênh truyền nhà thầu VNPT Viettel triển khai 5/63 tỉnh Việc kiểm tra chất lƣợng kênh truyền phải tuân thủ theo quy trình nghiêm ngặt, cơng việc triển khai bao gồm: Cấu hình router sử dụng tunnel kênh truyền, đo kiểm kênh truyền Kiểm tra với lƣu lƣợng thật Kiểm nghiệm độ ổn định hệ thống dịch vụ công cộng MPLS VPN Chất lƣợng dịch vụ, tốc độ truyền số liệu thực tế so với tốc độ cam kết dịch vụ MPLS VPN Kiểm nghiệm khả đảm bảo Security thực tế cho kết nối MPLS VPN nhà cung cấp dịch vụ Với công nghệ MPLS VPN, đƣợc kiểm chứng gửi gói tin từ VPN tới VPN khác, khơng cần kiểm tra đặc tính Dƣới kết kiểm tra chất lƣợng kênh truyền với lệnh PING, với số gói tin suốt trình kiểm tra 1000 gói, độ lớn gói tin 2000 bytes, tổng thời gian đo kiểm kênh truyền 40-45 phút Đo băng thông kênh truyền công cụ Iperf (chạy Dos), tham số câu lệnh kiểm tra tốc độ truyền tải file có dung lƣợng 94 MB – 95MB từ điểm xuất phát (máy tính chạy lệnh) đến ip đích (tham số -c IP đích), thời gian kiểm tra 600ms (-t 600), phân đoạn log 200ms báo log (-i 200) 3.3.5.1 Kênh truyền KBNN Khánh Hòa - Chi cục thuế Thị xã Cam ranh - Lệnh PING từ KBNN Khánh Hòa > Chi cục Thuế Cam Ranh 52 Hình 28: Kênh truyền KBNN Khánh Hòa - Chi cục thuế TX Cam Ranh [4] - Kiểm tra băng thông kênh truyền lệnh iperf - Băng thơng 10Mbps Hình 29: Băng thơng kênh truyền KBNN Khánh Hòa -Chi cục thuế TX Cam Ranh [4] 3.3.5.2 Kênh truyền KBNN Lâm Đồng - Chi cục thuế TP Đà Lạt - Lệnh PING từ KBNN Lâm Đồng > Chi Cục thuế TP Đà Lạt Hình 30: Kênh truyền KBNN Lâm Đồng - Chi cục thuế TP Đà Lạt [4] - Kiểm tra băng thông kênh truyền lệnh iperf – 10Mbps 53 Hình 31 Băng thơng kênh truyền KBNN Lâm Đồng – Chi Cục thuế TP Đà Lạt [4] 3.3.5.3 Kênh truyền KBNN Bình Thuận - Cục thuế Bình thuận - Lệnh PING từ KBNN Bình Thuận > Cục thuế Bình thuận Hình 32: Kênh truyền KBNN Bình Thuận – Cục thuế Bình Thuận [4] - Kiểm tra băng thông kênh truyền lệnh iperf - Băng thông 20 Mbps Hình 33: Băng thơng kênh truyền KBNN Bình Thuận – Cục thuế Bình Thuận [4] 3.3.5.4 Kênh truyền KBNN Khánh Sơn – KBNN Khánh Hòa - Lệnh PING từ KBNN Khánh Sơn > KBNN Khánh Hòa Hình 34: Kênh truyền KBNN Khánh Sơn – KBNN Khánh Hòa [4] 54 - Kiểm tra băng thơng kênh truyền lệnh iperf - Băng thơng 10Mbps Hình 35: Băng thông kênh truyền KBNN Khánh Sơn – KBNN Khánh Hòa [4] Nhận xét: Các hình chụp cho thấy chất lƣợng đƣờng truyền kết nối sử dụng công nghệ MPLS-VPN: - Kết lệnh PING cho thấy đƣờng truyền thông suốt, không bị gián đoạn - Kết lệnh iperf cho thấy băng thông đƣờng truyền đạt yêu cầu 3.4 Kết luận Tóm lại, với giải pháp thiết kế hệ thống đƣa mạng truyền thông NGÀNH TÀI CHÍNH khắc phục đƣợc nhƣợc điểm mơ hình kết nối thu đƣợc hệ thống tổng thể đáp ứng đƣợc nhu cầu tốc độ, an toàn liệu, chất lƣợng dịch vụ Hệ thống với thiết kế cập nhật ứng dụng thành tựu kết hợp với kế thừa hệ thống tại, cho phép tạo nên hệ thống linh hoạt, có khả phát triển, mở rộng cao, tính dự phòng cao, đáp ứng đƣợc nhu cầu tồn NGÀNH TÀI CHÍNH tƣơng lai Tuy nhiên, hiệu của hệ thống khơng thể tính đƣợc cụ thể Với thiết kế mới, thơng tin tồn NGÀNH TÀI CHÍNH đƣợc xử lý an tồn, xác, kịp thời đảm bảo hoạt động ổn định toàn Ngành trƣớc yêu cầu Việc áp dụng công nghệ MPLS VPN hệ thống mạng NGÀNH TÀI CHÍNH thu đƣợc nhiều lợi ích Trƣớc tiên, thấy rõ hệ thống không yêu cầu thêm thiết bị mạng nhƣ Router, Switch so với hệ thống mạng IP truyền thống Tất thiết bị Router, Switch TTT, TTM sẵn sàng hỗ trợ tính năng, giao thức MPLS, việc xây dựng hệ thống MPLS VPN riêng đơn triển khai sử dụng tính sẵn có thiết bị Với việc xây dựng MPLS VPN riêng cho NGÀNH TÀI CHÍNH, Bộ Tài 55 tiết kiệm đƣợc nhiều chi phí để đảm bảo an ninh cho hệ thống, phân tách phân hệ khác hệ thống Firewall, IPS, Anti-Virus cần thiết 63 TTT, TTM so với chƣa xây dựng hệ thống MPLS VPN riêng Hệ thống phù hợp với định hƣớng CNTT NGÀNH TÀI CHÍNH, đồng thời phù hợp với xu phát triển công nghệ giới, khơng lãng phí, lạc hậu tƣơng lai Phù hợp với môi trƣờng tin học viễn thơng Việt Nam tại, đón bắt đƣợc xu hƣớng công nghệ Việt Nam tƣơng lai 56 Chƣơng – KẾT LUẬN Ngày nay, ứng dụng Internet đƣợc sử dụng rộng rãi lĩnh vực, khắp nơi giới Sự mở rộng Internet kéo theo cải tiến khơng ngừng mơ hình mạng, kéo theo dịch vụ mạng để đáp ứng nhu cầu truyền thơng tin cách an tồn, hiệu Một ứng dụng quan trọng mạng riêng ảo Ngoài việc giới thiệu khái niệm mạng riêng ảo, luận văn sâu vào phân tích loại mạng riêng ảo nay, hạn chế tồn mơ hình, mạnh mơ hình giúp ngƣời đọc có nhìn tổng quan mơ hình để từ lựa chọn áp dụng cho hiệu Hiện có nhiều cơng nghệ đời nhằm nghiên cứu phƣơng thức truyền tin mạng cách an toàn, công nghệ đƣợc ứng dụng rộng rãi MPLS VPN Luận văn trình bày khái niệm phƣơng thức hoạt động công nghệ MPLS, sâu vào phân tích cấu trúc MPLS nhƣ cách thức truyền gói tin gắn nhãn mạng từ địa nguồn tới địa đích cách an tồn Trên sở phân tích hệ thống mạng NGÀNH TÀI CHÍNH, luận văn đƣa đề xuất, giải pháp thiết kế cải tiến hệ thống cụ thể để thu đƣợc hệ thống có mức độ đảm bảo an ninh hơn, nâng cao tốc độ, chất lƣợng dịch vụ Để có đƣợc giải pháp đáp ứng đƣợc cho nhu cầu thực tế NGÀNH TÀI CHÍNH, Luận văn xin đề xuất số hƣớng nghiên cứu tƣơng lai nhƣ sau: - Xây dựng giải pháp thiết kế trung tâm dự phòng thơng tin - Xây dựng hệ thống vận hành bảo dƣỡng, hệ thống phân tích, chuẩn đốn kết nối mạng chi tiết theo thời gian thực, hệ thống quản lý vấn đề an ninh, bảo mật, hệ thống cho phép thực khảo sát, tập hợp liệu lập báo cáo chi tiết, đo đạc hiệu suất mạng - Quy hoạch lại địa IP NGÀNH TÀI CHÍNH để khai thác tối ƣu tài nguyên 57 TÀI LIỆU THAM KHẢO Tài liệu Tiếng Việt [1] TS Trần Công Hùng (2012), “Chuyển mạch nhãn đa giao thức (P1, P2)”, NXB Thông tin Truyền Thông [2] Trần Thị Tố Uyên (2008), “Chuyển mạch nhãn đa giao thức”, VnPro – Cisco Authorized Training Center [3] Trần Quốc Thƣ (2013), “Bảo mật mạng riêng ảo” - Luận văn thạc sĩ [4] (2015) “Tài liệu thiết kế hệ thống mạng Hạ tầng truyền thơng Ngành Tài chính” Tài liệu Tiếng Anh [5] James Henry Carmouche (19 Jul 2006), “IPSec Virtual Private Network Fundamentals Paperback – Import” [6] Cisco System, “Overview of Virtual Private Networks and IPSec Technologies” Xem nội dung đầy đủ http://www.cisco.com/c/en/us/products/ios-nx-ossoftware/virtual-private-networks-vpns/index.html ... HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - Nguyễn Đình Thắng GIẢI PHÁP MẠNG RIÊNG ẢO MPLS- VPN VÀ ỨNG DỤNG TRONG HỆ THỐNG HẠ TẦNG TRUYỀN THÔNG NGÀNH TÀI CHÍNH CHUN NGÀNH : KỸ THUẬT... tốt cho nội NGÀNH TÀI CHÍNH, nhằm cung cấp cách đa dạng loại dịch vụ cho ngƣời sử dụng Luận văn Giải pháp mạng riêng ảo mpls- vpn ứng dụng hệ thống hạ tầng truyền thông ngành tài chính nghiên... yếu tố phải hệ thống mạng riêng, đảm bảo an tồn an ninh thơng tin, bảo mật thông tin… Lúc này, khái niệm hệ thống mạng riêng ảo (Virtual private network – VPN) hình thành VPN hệ thống mạng đƣợc