1. Trang chủ
  2. » Kỹ Thuật - Công Nghệ

Giải pháp mạng riêng ảo MPLS – VPN và ứng dụng trong hệ thống hạ tầng truyền thông ngành tài chính (tt)

26 283 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 26
Dung lượng 736,86 KB

Nội dung

Giải pháp mạng riêng ảo MPLS – VPN và ứng dụng trong hệ thống hạ tầng truyền thông ngành tài chính (Luận văn thạc sĩ)Giải pháp mạng riêng ảo MPLS – VPN và ứng dụng trong hệ thống hạ tầng truyền thông ngành tài chính (Luận văn thạc sĩ)Giải pháp mạng riêng ảo MPLS – VPN và ứng dụng trong hệ thống hạ tầng truyền thông ngành tài chính (Luận văn thạc sĩ)Giải pháp mạng riêng ảo MPLS – VPN và ứng dụng trong hệ thống hạ tầng truyền thông ngành tài chính (Luận văn thạc sĩ)Giải pháp mạng riêng ảo MPLS – VPN và ứng dụng trong hệ thống hạ tầng truyền thông ngành tài chính (Luận văn thạc sĩ)Giải pháp mạng riêng ảo MPLS – VPN và ứng dụng trong hệ thống hạ tầng truyền thông ngành tài chính (Luận văn thạc sĩ)Giải pháp mạng riêng ảo MPLS – VPN và ứng dụng trong hệ thống hạ tầng truyền thông ngành tài chính (Luận văn thạc sĩ)Giải pháp mạng riêng ảo MPLS – VPN và ứng dụng trong hệ thống hạ tầng truyền thông ngành tài chính (Luận văn thạc sĩ)Giải pháp mạng riêng ảo MPLS – VPN và ứng dụng trong hệ thống hạ tầng truyền thông ngành tài chính (Luận văn thạc sĩ)

HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG Nguyễn Đình Thắng GIẢI PHÁP MẠNG RIÊNG ẢO MPLS-VPN ỨNG DỤNG TRONG HỆ THỐNG HẠ TẦNG TRUYỀN THƠNG NGÀNH TÀI CHÍNH Chun ngành: Kỹ thuật Viễn thơng Mã số: 85.20.2088 TĨM TẮT LUẬN VĂN THẠC SĨ KỸ THUẬT NỘI 2018 Luận văn hồn thành tại: HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THÔNG Người hướng dẫn khoa học: PGS TS ĐẶNG HOÀI BẮC Phản biện 1: Phản biện 2: Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Cơng nghệ Bưu Viễn thông Vào lục: ngày tháng năm 2018 Có thể tìm hiểu luận văn tại: Thư viện Học viện Cơng nghệ Bưu Viễn Thơng MỞ ĐẦU Thế kỷ 20 coi kỷ nguyên nhiều phát minh quan trọng, thúc đẩy phát triển xã hội Một số khơng thể không kể đến phát triển vượt bậc NGÀNH TÀI CHÍNH - Một thành phần vơ quan trọng cho phát triển quốc gia, đáp ứng nhu cầu tài huyết mạch kinh tế Ngày nay, nhà nhà, người người, sở, công ty, tổ chức, doanh nghiệp ngồi nước có kết nối mạng Internet, hay cơng ty, tổ chức, doanh nghiệp có nhiều trụ sở vị trí địa lý khác cần liên lạc thông tin nội với nhau, nảy sinh yêu cầu để kết nối lại tất với nhau, đảm bảo yếu tố phải hệ thống mạng riêng, đảm bảo an toàn an ninh thông tin, bảo mật thông tin… Lúc này, khái niệm hệ thống mạng riêng ảo (Virtual private network VPN) hình thành VPN hệ thống mạng triển khai dựa quy tắc: áp dụng tiêu chuẩn bảo mật, quản lý chất lượng dịch vụ hệ thống mạng công cộng vào hệ thống mạng riêngVPN cung cấp cho lựa chọn mới: Xây dựng hệ thống mạng riêng tư cho thông tin liên lạc kiểu site to site hệ thống mạng công cộng hay Internet, hoạt động hệ thống mạng chung thay mạng riêng tư cá nhân nên công ty, tổ chức, doanh nghiệp mở rộng hệ thống mạng riêng tư cách dễ dàng hiệu quả, Khách hàng di động hay văn phòng xa xơi, khách hàng, đối tác, hay nhân viên làm việc kết nối đến hệ thống mạng nội công ty, tổ chức, doanh nghiệp cách dễ dàng, nơi đâu, thời điểm Công nghệ MPLS ( Multi Protocol Label Switching) tổ chức quốc tế IETF thức đưa vào cuối năm 1997, phát triển nhanh chóng tồn cầu Cơng nghệ mạng riêng ảo MPLS VPN đưa ý tưởng khác biệt hoàn toàn so với cơng nghệ truyền thống, đơn giản hóa q trình tạo “đường hầm” mạng riêng ảo chế gán nhãn gói tin (Label) thiết bị mạng nhà cung cấp Thay phải tự thiết lập, quản trị, đầu tư thiết bị đắt tiền, MPLS VPN giúp doanh nghiệp giao trách nhiệm cho nhà cung cấp đơn vị có đầy đủ lực, thiết bị công nghệ bảo mật tốt nhiều cho mạng doanh nghiệp Theo đánh giá Diễn đàn công nghệ Ovum năm 2005, MPLS VPN công nghệ nhiều tiềm năng, bước vào giai đoạn phát triển mạnh mẽ nhờ tính ưu việt hẳn công nghệ truyền thống Từ cuối năm 2010, MPLS VPN dần thay hoàn tồn cơng nghệ mạng truyền thống lạc hậu tiền đề tiến tới hệ thống mạng băng rộng Mạng hệ NGN (Next Generation Network) Mạng hạ tầng truyền thơng NGÀNH TÀI CHÍNH triển khai dựa công nghệ chuyển mạch nhãn MPLS, với tính trội MPLS/VPN đảm bảo an tồn thơng tin, phục vụ ngày tốt cho nội NGÀNH TÀI CHÍNH, nhằm cung cấp cách đa dạng loại dịch vụ cho người sử dụng Luận văn “Giải pháp mạng riêng ảo mpls-vpn ứng dụng hệ thống hạ tầng truyền thơng ngành tài chính” nghiên cứu kiến thức công nghệ mạng riêng ảo MPLS/VPN ứng dụng MPLS/VPN hệ thống mạng NGÀNH TÀI CHÍNH, phục vụ cho việc kết nối thông suốt trao đổi liệu cho quan Tài địa phương phủ khắp đất nước Việt Nam thực tế triển khai kênh truyền sử dụng công nghệ MPLS hạ tầng truyền thơng NGÀNH TÀI CHÍNH, từ đưa kịch đánh giá kết kiểm tra chất lượng kênh truyền Luận văn gồm 04 chương: Chương 1: Tổng quan công nghệ mạng riêng ảo VPN Chương 2: Mạng riêng ảo công nghệ MPLS Chương 3: Ứng dụng MPLS VPN vào hạ tầng truyền thơng Ngành Tài Chương 4: Kết luận Ngồi ra, luận văn có thêm danh mục, thuật ngữ, từ viết tắt, danh mục bảng biểu, hình vẽ danh mục tài liệu tham khảo để thuận tiện cho việc tìm hiểu tra cứu nội dung luận văn CHƢƠNG TỔNG QUAN VỀ CÔNG NGHỆ MẠNG RIÊNG ẢO VPN Trong chương này, báo cáo luận văn giới thiệu tổng quan mạng riêng ảo, khái niệm VPN, khái niệm đường hầm, phân loại VPN 1.1 Giới thiệu công nghệ mạng riêng ảo Mạng riêng ảo hay VPN (Virtual Private Network) mạng dành riêng để kết nối máy tính cơng ty, tập đồn hay tổ chức với thông qua mạng Internet công cộng VPN thuật ngữ quen thuộc nay, lựa chọn gần tối ưu cơng ty, tổ chức, doanh nghiệp có nhiều chi nhánh có nhu cầu kết nối mạng với nhau, có nhu cầu thiết lập mối quan hệ thân thiết với công ty, tổ chức, doanh nghiệp khác, đặc thù nên có nhiều cán bộ, nhân viên làm việc từ xa VPN khơng thuật ngữ mới, chưa hẳn biết VPN đề cập xây dựng từ cuối thập kỷ 80 kỷ trước, trải qua nhiều giai đoạn phát triển Thế hệ VPN thứ AT&T phát triển có tên SDNs (Software Defined Network) Thế hệ thứ ISDN X25 Thế hệ thứ FR ATM Thế hệ thứ VPN mạng IP hệ VPN mạng MPLS 1.2 Khái niệm VPN VPN công nghệ cung cấp phương thức giao tiếp an toàn mạng riêng dựa vào kỹ thuật đường hầm để tạo mạng riêng sở hạ tầng mạng dùng chung (mạng internet) Về chất trình đặt tồn gói tin vào lớp tiêu đề chứa thơng tin định tuyến truyền an tồn qua mạng cơng cộng VPN mạng riêng sử dụng để kết nối mạng dây riêng lẻ hay nhiều người sử dụng xa thông qua kết nối ảo dẫn qua đường truyền Internet thay cho kết nối thực, chuyên dụng đường leased line 1.3 Mơ hình VPN VPN bao gồm hai phần: mạng Nhà cung cấp dịch vụ mạng Khách hàng, mạng Nhà cung cấp dịch vụ chạy dọc sở hạ tầng mạng công cộng, bao gồm định tuyến cung cấp dịch vụ mạng cho Khách hàng Hình 1.1: Mạng riêng ảo VPN [4] 1.4 Khái niệm đường hầm Đường hầm cách thức mà liệu truyền hai mạng cách an toàn Toàn liệu truyền phân mảnh thành gói nhỏ thành khung sau đẩy vào đường hầm Các thức khác với cách vận chuyển liệu thông thường điểm Ở gói liệu di chuyển đường hầm đóng gói mã hóa với thơng tin định tuyến với địa xác định Sau tới địa mong muốn liệu khơi phục nhờ việc giải mã Hình 1.2: Đường hầm VPN [4] Một đường hầm đường logic thiết lập điểm nguồn điểm đích hai mạng Các gói liệu đóng gói nguồn mở gói điểm đích Đường hầm logic hai mạng trì suốt tiến trình gửi liệu Đường hầm dùng để vận chuyển liệu cho mục đích riêng tư, thơng thường hệ thống mạng công ty, tổ chức, doanh nghiệp, tập đồn… thơng qua hệ thống mạng cơng cộng Với cách hiểu đó, nút định tuyến hệ thống mạng công cộng luồng vận chuyển hệ thống mạng riêng hay chung Có nhiều loại đường hầm thực thi tầng khác mơ hình OSI Ví dụ hai loại đường hầm PPTP L2TP thực thi tầng Hai loại đường hầm khơng kích hoạt phiên làm việc nội mạng, trường hợp có kết nối hai mạng loại đường hầm xác định PPTP L2TP Sau lựa chọn loại đường hầm tham số mã hóa, cách đăng ký địa chỉ, nén… cấu hình để đặt an tồn mức cao mạng Internet dựa kết nối đường hầm logic địa phương Kết nối tạo ra, trì kết thúc sử dụng nhu cầu chấm dứt 1.5 Lợi ích VPN mang lại VPN làm giảm chi phí thường xuyên: VPN cho phép tiết kiệm chi phí đườngtruyền giảm chi phí phát sinh cho nhân viên xa nhờ vào việc họ truy cập vào hệthống nội thông qua điểm cung cấp dịch vụ địa phương POP(Point ofPresence), hạn chế thuê đường truy cập nhà cung cấp dẫ đến giá thành cho việckết nối Lan-to-Lan giảm đáng kể so với việc thuê đường Leased-LineGiảm chi phí quản lý hỗ trợ: với việc sử dụng dịch vụ nhà cung cấp,chúng ta phải quản lý kết nối đầu cuối chi nhánh mạng không phảiquản lý thiết bị chuyển mạch mạng Đồng thời tận dụng sở hạ tầng củamạng Internet đội ngũ kỹ thuật nhà cung cấp dịch vụ VPN đảm bảo an tồn thơng tin, tính tồn vẹn xác thực: liệu truyền trênmạng mã hóa thuật tốn, đồng thới truyền đường hầm(Tunnle) nên thơng tin có độ an tồn cao VPN dễ dàng kết nối chi nhánh thành mạng cục bộ: việc tập trung quảnlý thông tin tất chi nhánh cần thiết VPN dễ dàng kết nối hệ thống mạng chi nhánh văn phòng trung tâm thành mạng LAN với chi phíthấp VPN hỗ trợ giáo thức mạng thông dụng TCP/IP: bảo mậtđịa IP: thông tin gửi VPN mã hóa địa trênmạng riêng che giấu sử dụng địa bên Internet 1.6 Các loại VPN 1.6.1 Truy cập VPN (VPN Remote Access) Remote Access VPNs cho phép truy cập lúc Remote, mobile, thiết bị truyền thông nhân viên chi nhánh kết nối đến tài nguyên mạng tổ chức Remote Access VPN mô tả công việc người dùng xa sử dụng phần mềm VPN để truy cập vào mạng Intranet công ty thông qua gateway VPN concentrator (bản chất server) Vì lý này, giải pháp thường gọi client/server Trong giải pháp này, người dùng thường sử dụng công nghệ WAN truyền thống để tạo lại tunnel mạng họ Một hướng phát triển remote access VPN dùng wireless VPN, nhân viên truy cập mạng họ thông qua kết nối không dây Trong thiết kế này, kết nối không dây cần phải kết nối trạm wireless (Wireless terminal) sau mạng cơng ty Trong hai trường hợp, phần mềm client máy PC cho phép khởi tạo kết nối bảo mật, gọi tunnel Một phần quan trọng thiết kế việc thiết kế trình xác thực ban đầu nhằm để đảm bảo yêu cầu xuất phát từ nguồn tin cậy Thường giai đoạn ban đầu dựa sách bảo mật cơng ty Chính sách bao gồm: quy trình (Procedure), kỹ thuật, server (such as Remote Authentication Dial-In User Service [RADIUS], Terminal Access Controller Access Control System Plus [TACACS+] …) 1.6.1.1 Thuận lợi Remote Access VPNs: 1.6.1.2 Một số tồn VPNs: 1.6.2 Site To Site VPN 1.6.2.1 Intranet 1.6.2.2 Extranet VPNs (VPN mở rộng) 1.7 VPN vấn đề an toàn bảo mật Internet Như biết, phát triển bùng nổ mở rộng mạng toàn cầu Internet ngày tăng, hàng tháng có khoảng 10.000 mạng kết nối vào Internet kèm theo vấn đề để trao đổi thơng tin liệu cách an tồn qua mạng cơng cộng Internet Hàng năm rò rỉ cắp thông tin liêu gây thiệt hại lớn kinh tế toàn giới Các tội phạm tin tặc “ hacker” ln tìm cách để nghe trộm, đánh cắp thông tin liệu nhạy cảm như: thẻ tín dụng, tài khoản người dùng, thơng tin kinh tế nhạy cảm tổ chức hay cá nhân Vậy giải pháp sử dụng mạng riêng ảo VPN giải vấn đề an toàn bảo mật thông tin Internet ? Câu trả lời để tổ chức, doanh nghiệp, cá nhân cảm thấy yên tâmkhi trao đổi thông tin liệu qua mạng Internet sử dụng công nghệ mạng riêng ảo VPN Thực chất cơng nghệ sử dụng mạng riêng ảo VPN tạo đường hầm (tunnel) mã hoá chứng thực liệu hai đầu kết nối Các thông tin liệu mã hoá chứng thực trước lưu chuyển đường hầm riêng biệt, qua tránh cặp mắt tò mò muốn đánh cắp thông tin 1.8 Kết luận - Đánh giá Ngày với phát triển bùng nổ, mạng Internet ngày mở rộng, khó kiểm sốt kèm theo an tồn việc trao đổi thông tin mạng, thông tin liệu trao đổi mạng bị rò rỉ bị đánh cắp khiến cho tổ chức như: Các doanh nghiệp, Ngân hàng, Công ty …và doanh nhân lo ngại vấn đề an toàn bảo mật thông tin liệu mạng cục (LAN) trao đổi thơng tin qua mạng cơng cộng Internet VPN ( Virtual Private Network) giải pháp đưa để cung cấp giải pháp an toàn cho các: Tổ chức, doanh nghiệp … doanh nhân trao đổi thông tin từ mạng cục xun qua mạng Internet cách an tồn bảo mật Hơn giúp cho doanh nghiệp giảm thiểu chi phí cho liên kết từ xa địa bàn rộng (trên tồn quốc hay toàn cầu) CHƢƠNG MẠNG RIÊNG ẢO TRÊN NỀN CÔNG NGHỆ MPLS Trong chương này, báo cáo luận văn trình bày cơng nghệ MPLS công nghệ ứng dụng rộng rãi nay, khái niệm MPLS, đặc điểm công nghệ MPLS, phương thức hoạt động MPLS sâu vào ứng dụng MPLS VPN 2.1 Nguyên nhân đời công nghệ MPLS VPN Mạng Internet đời mở cho kỷ nguyên tiến vượt bậc nhân loại, khơng ngừng phát triển phạm vi chất lượng Khi mạng Internet phát triển mở rộng, lưu lượng Internet bùng nổ Các nhà cung cấp dịch vụ xử lý cách tăng dung lượng kết nối nâng cấp Router không tránh khỏi nghẽn mạch Lý giao thức định tuyến thường hướng lưu lượng vào số kết nối định dẫn đến kết nối bị tải số tài nguyên khác khơng sử dụng Đây tình trạng phân bổ khơng hợp lý sử dụng lãng phí tài nguyên mạng Internet 2.1.1 Tính khả chuyển Một vấn đề mà nhà cung cấp dịch vụ gặp phải tính khả chuyển Tức để đảm bảo việc dự phòng tối ưu q trình định tuyến mơ hình full mesh mạch ảo (VCs) phải tạo mà kết có nhiều kết nối Hình 2.1: Full mesh với kết nối ảo [1] nhiều địa điểm thêm vào mạng lõi, cần phải có nhiều kết nối ảo (VCs) tạo Điều có nghĩa Router phải trao đổi cập nhật bảng thông tin định tuyến với nhiều Router liền kề, gây lưu thông lớn mạng Sự tải làm ảnh hưởng đến hiệu suất Router làm giảm tốc độ xử lý chúng 2.1.2 Điều khiển lưu lượng Điều khiển lưu lượng trình xử lý mà lưu lượng vận chuyển cách tối ưu theo yêu cầu Mặc dù hai cơng nghệ IP ATM có rõ ràng 10 Sử dụng mạch ảo Router phức tạp thật khó để dự đốn xác lưu lượng hai Router mạng Mặt khác, bùng nổ mạng Internet dẫn tới xu hướng hội tụ mạng viễn thông khác mạng thoại, truyền hình Internet… đó, giao thức IP trở thành giao thức chủ đạo lĩnh vực mạng Xu hướng Nhà cung cấp dịch vụ thiết kế sử dụng Router chuyên dụng với dung lượng truyền tải lớn, hỗ trợ giải pháp tích hợp, chuyển mạch đa lớp cho mạng trục Internet Nhu cầu cấp thiết bối cảnh phải đời cơng nghệ lai có khả kết hợp ưu điểm chuyển mạch kênh ATM chuyển mạch gói IP Cơng nghệ MPLS đời bối cảnh cần phải tìm giải pháp để đáp ứng nhu cầu thị trường theo tiêu chí phát triển Internet, mang lại lợi ích thiết thực, đánh dấu bước phát triển cực lớn Internet trước xu tích hợp cơng nghệ thông tin viễn thông 2.2 Chuyển mạch nhãn đa giao thức 2.2.1 Khái niệm Chuyển mạch nhãn đa giao thức (Multiprotocol Label Switching MPLS) công nghệ đưa với mục đích giải nhiều vấn đề tồn đọng liên quan tới chuyển mạch gói mơi trường kết nối Internet MPLS công nghệ kết hợp đặc điểm tốt định tuyến lớp ba chuyển mạch lớp hai, cho phép chuyển tải gói nhanh mạng lõi (core) định tuyến tốt mạng biên (edge) cách dựa vào nhãn (label) MPLS phương pháp cải tiến việc chuyển tiếp gói mạng nhãn gắn với gói IP, tế bào ATM, frame lớp hai Phương pháp chuyển mạch nhãn giúp Router MPLS-enable ATM switch định theo nội dung nhãn tốt việc định tuyến phức tạp theo địa IP đích MPLS kết nối tính thực thi khả chuyển mạch lớp hai với định tuyến lớp ba Cho phép Nhà cung cấp dịch vụ cung cấp nhiều dịch vụ khác mà không cần phải bỏ sở hạ tầng sẵn có Cấu trúc MPLS có tính mềm dẻo phối hợp với công nghệ lớp hai MPLS hỗ trợ giao thức lớp hai, triển khai hiệu dịch vụ IP mạng chuyển mạch IP MPLS hỗ trợ việc tạo tuyến khác nguồn đích đường trục Internet Bằng việc tích hơp MPLS vào kiến trúc mạng, 11 Nhà cung cấp dịch vụ giảm chi phí, tăng lợi nhuận, cung cấp nhiều dịch vụ hiệu khả cạnh tranh cao 2.2.2 Đặc điểm mạng MPLS Khơng cần có giao diện lập trình ứng dụng, khơng có thành phần giao thức phía host - MPLS nằm Router - MPLS giao thức độc lập nên hoạt động với giao thức khác IP IPX, ATM, Frame Relay,… - MPLS giúp đơn giản hóa trình định tuyến làm tăng tính linh động tầng trung gian 2.2.3 Cấu trúc mạng MPLS 2.2.3.1 Nhãn 2.2.3.2 Ngăn xếp nhãn (Label Stack) 2.2.3.3 Chồng nhãn 2.2.3.4 MPLS mơ hình tham chiếu OSI 2.2.3.5 Cấu trúc nút MPLS 2.2.3.6 Lớp chuyển tiếp tương đương FEC (Forward Equivalence Class) 2.2.3.7 Đường chuyển mạch nhãn LSP (Label Switching Parth) 2.2.3.8 Cơ sở thông tin nhãn LIB (Label Information Base) 2.2.4 Phương thức hoạt động công nghệ MPLS - MPLS hoạt động lõi mạng IP Các Router lõi phải kích hoạt MPLS giao tiếp Nhãn gắn thêm vào gói IP gói vào mạng MPLS Nhãn tách gói khỏi mạng MPLS Nhãn (Label) chèn vào header lớp ba header lớp hai MPLS tập trung vào q trình hốn đổi nhãn Một mạnh kiến trúc MPLS tự định nghĩa chồng nhãn - Cơng thức để gán nhãn gói tin là: Network Layer Packet + MPLS Label Stack - Khơng gian nhãn (Label Space): có hai loại  Một là: giao tiếp dùng chung giá trị nhãn (per-platform label space) 12  Hai là: giao tiếp mang giá trị nhãn riêng (per-interface Label Space) - Bộ định tuyến chuyển nhãn (LSR- Label Switch Router): định chặng dựa nội dung nhãn - Con đường chuyển nhãn (LSP Label Switch Path): xác định đường gói tin MPLS Gồm hai loại:  Hop by hop signal LSP: xác định đường khả thi  Explicit route signal LSP: xác định đường từ nút gốc Sự khác MPLS cơng nghệ WAN truyền thống cách mà nhãn gán khả mang ngăn xếp nhãn cho gói tin Khái niệm ngăn xếp nhãn cho phép có nhiều ứng dụng mới, ví dụ Điều khiển lưu lượng (Traffic Engineering), Mạng riêng ảo (VPN)… Cấu trúc nút MPLS bao gồm mặt thành phần: Thành phần chuyển tiếp (hay gọi mặt phẳng liệu) Thành phần điều khiển (còn gọi mặt phẳng điều khiển) Thành phần chuyển tiếp sử dụng sở liệu chuyển tiếp nhãn để chuyển tiếp liệu trì thơng tin chuyển tiếp nhãn (còn gọi bingdings) nhóm chuyển mạch nhãn với Tất nút MPLS phải chạy nhiều giao thức định tuyến IP (hoặc dựa định tuyến tĩnh) để trao đổi thông tin định tuyến với nút MPLS khác mạng Theo đó, nút MPLS (bao gồm chuyển mạch ATM) router mặt phẳng điều khiển Hình 2.3: Cấu trúc nút MPLS [1] Tương tự router truyền thống, giao thức định tuyến IP dùng để xây dựng nên bảng định tuyến Bảng định tuyến IP sử dụng để đẩy gói tin Tại nút MPLS, bảng định tuyến sử dụng để xác định việc trao đổi 13 thông tin nhãn chuyển tiếp, nơi mà nút MPLS kề cận với trao đổi nhãn cho mạng (subnets) cụ thể chứa bảng định tuyến Các trình điều khiển định tuyến MPLS IP (MPLS IP Routing Control) sử dụng nhãn để trao đổi với nút MPLS cạnh để tạo bảng chuyển tiếp nhãn (Label Forwarding Table), bảng vùng sở liệu sử dụng để chuyển tiếp gói gán nhãn qua mạng MPLS Tạo nhãn mạng biên: Các gói tin phải đánh nhãn trước chuyển tiếp tới miền mạng MPLS Để thực nhiệm vụ này, LSR biên phải biết nơi gói tin đánh tiêu đề, ngăn xếp nhãn, phải khai báo cho gói tin Để chuyển tiếp gói tin IP lớp tới chặng tiếp theo, kiểm tra bảng định tuyến địa IP đích chứa tiêu đề lớp gói tin Sau lựa chọn bước để chuyển tiếp gói tin gói tin đến đích Có cách để gói IP tới chặng tiếp theo: - Cách 1: Tồn gói coi chuyển qua mạng - Cách 2: Ánh xạ địa IP đích tới IP chặng Trong mạng MPLS, cách thứ gọi nhóm chuyển tiếp tương đương FECs (Forwarding Equivalence Classes) FEC nhóm gói, nhóm gói chia sẻ yêu cầu chuyển tiếp chúng qua mạng Tất gói nhóm cung cấp cách chọn đường tới đích Khác với chuyển tiếp IP truyền thống, MPLS việc gán gói cụ thể vào FEC cụ thể thực lần gói vào mạng MPLS không đưa định chuyển tiếp với datagram (một gói thơng tin thơng tin bàn giao kết hợp thường địa chỉ) lớp mà sử dụng khái niệm FEC FEC phụ thuộc vào số yếu tố, phụ thuộc vào địa IP phụ thuộc vào kiểu lưu lượng datagram (thoại, liệu, fax…) Sau đó, dựa FEC, nhãn thỏa thuận LSR lân cận từ lối vào tới lối vùng định tuyến Mỗi LSR xây dựng bảng để xác định xem gói phải chuyển tiếp Bảng gọi sở thơng tin nhãn (LIB: Label Information Base), tổ hợp ràng buộc FEC với nhãn (FEC to Label) nhãn lại sử dụng để chuyển tiếp lưu lượng qua mạng Một cách để phân chia lưu lượng vào FEC tạo FEC riêng biệt cho tiền tố địa xuất bảng định tuyến Cách tạo 14 tập hợp FEC cho phép đường tới đích Theo cách bên miền MPLS, có nhiều FEC riêng biệt không hiệu Trên thực tế MPLS hợp FEC trở thành FEC Hình 2.4: Tổng hợp FEC [3] Với chế chuyển tiếp IP truyền thống, gói tin xử lý chặng mạng Tuy nhiên với MPLS, gói tin cụ thể gán tới FEC cụ thể, thực thiết bị mạng biên mà gói tin tham gia vào mạng Nhóm chuyển tiếp tương đương cho gói khai báo sau mã hóa thành số định dạng ngắn có chiều dài cố định, gọi nhãn 2.3 Công nghệ MPLS VPN VPN công nghệ mạng riêng ảo xây dựng dựa hạ tầng MPLS Một mạng riêng yêu cầu khách hàng đầu cuối kết nối với hoàn toàn độc lập với mạng riêng khác Ngày nay, cơng ty có chi nhánh phân bố khắp nơi, yêu cầu công nghệ VPN xây dựng kết nối ảo (Tunnel) thay cho kết nối thật (Lease Line) kết nối chi nhánh lại với thông qua hạ tầng nhà cung cấp dịch vụ chung Đặc tính chủ yếu mạng riêng lưu lượng khách hàng tách riêng với sở hạ tầng bên từ khách hàng mà chia sẻ sở hạ tầng Sự tách biệt thể hai khía cạnh: • Tách biệt topology (Topological Isolation): nghĩa khách hàng đưa vào không gian địa định tuyến họ lựa chọn Một vấn đề phổ biến sử dụng cho mạng riêng địa IP sử dụng khơng thực (mang tính tổng thể) xảy va chạm với người khác sử dụng địa hữu mạng Internet • Tách biệt thời gian (Temporal Isolation): Nghĩa dịch vụ mạng riêng phụ thuộc vào đặc tính lưu lượng khách hàng 15 Tạo mạng riêng ảo yêu cầu chế cho phép sở hạ tầng chung (ví dụ, tập hợp liên kết router) chia sẻ làm cho khách hàng tin họ đảm bảo riêng tư Các kỹ thuật chẳng hạn IP tunneling qua backbone IP hỗ trợ tách biệt topology, IP backbone cần thiết đảm bảo băng thông khả dụng xác định độ trễ đầu cuối đến đầu cuối cho IP tunnel khác Có nhiều mơ hình kết nối Site với Nó kết nối dạng mắt lưới kết nối hình qua Hub Một ví dụ khác cấu hình kết nối Site thuộc hai nhiều nhóm Site nhóm kết nối với dạng mắt lưới Site nhóm khác kết nối gián tiếp thông qua Site cụ thể VPN cách mô mạng riêng mạng công cộng Internet Nó gọi ảo phụ thuộc vào việc sử dụng kết nối ảo, kết nối tạm thời gồm gói định tuyến nhiều máy tính Internet theo cấu trúc đặc biệt Các kết nối ảo đảm bảo an ninh thiết lập máy tính, mạng, mạng máy tính Việc lựa chọn ISP rẻ việc truy cập từ xa với người sử dụng roaming VPN thiết lập router hai chi nhánh công ty thông qua Internet Hơn nữa, VPN cho phép hợp kết nối Internet WAN vào router đường truyền, điều giúp tiết kiệm chi phí thiết bị hạ tầng sở viễn thông 2.3.1 VPN truyền thống 2.3.2 MPLS VPN 2.3.3 Các thành phần kiến trúc MPLS VPN 2.3.3.1 Bảng định tuyến ảo chuyển tiếp ảo VRF Virtual Routing and Forwarding Table 2.3.3.2 Bộ phận biệt tuyến RD Route Distinguisher 2.3.3.3 Tuyến đích RT Route targets 2.4 Mơ hình mạng MPLS VPN 16 Mạng riêng ảo hệ thống mạng ảo hai đầu cuối hệ thống hay hai hay nhiều hệ thống mạng riêng Do ta chia mạng riêng ảo thành hai loại chính, là: Customer based VPN (hay gọi Overlay VPN): mạng riêng ảo cấu hình thiết bị Khách hàng sử dụng giao thức đường hầm xuyên qua mạng công cộng Nhà cung cấp dịch vụ cung cấp kênh ảo, kết nối ảo mạng Khách hàng Network based VPN (hay gọi site to site VPN): mạng riêng ảo cấu hình thiết bị Nhà cung cấp dịch vụ quản lý Nhà cung cấp dịch vụ Ở cung cấp trao đổi thông tin định tuyến với Khách hàng đặt liệu Khách hàng vào đường tối ưu 2.5 Kết luận Như nói VPN ứng dụng quan trọng MPLS Kỹ thuật MPLS VPN đưa thay đổi cơng nghệ VPN, sử dụng khái niệm Virtual Router thay cho Delicated Router Shared Router Từ việc phân tích phương thức hoạt động MPLS VPN ta thấy có nhiều ưu điểm so với dịch vụ VPN truyền thống: Riêng biệt bảo mật: MPLS VPN giữ thông tin định tuyến riêng biệt cho VPN, đảm bảo người dùng liên lạc với địa lập sẵn cho VPN Độc lập với khách hàng: MPLS VPN có cách đánh địa (gán nhãn mạng MPLS) linh hoạt, người dùng sử dụng dải địa (kể địa kiểm tra địa khơng đăng ký) sử dụng NAT Mặc khác, người dùng sử dụng dải địa trùng giống Một điểm bật khác mạng người dùng không yêu cầu thiết bị hỗ trợ MPLS, thiết bị đắt tiền VPN Router với IP Sec yêu cầu đặc biệt khác IP Linh hoạt khả phát triển: Với dịch vụ VPN dựa IP, số lượng Router mạng tăng nhanh chóng theo số lượng VPN VPN phải chứa bảng định tuyến ngày lớn, MPLS VPN sử dụng tập BGP (Border Gateway Protocol) ngang hàng LSR cạnh (Edge LSR), cho phép số lượng VPN không hạn chế hỗ trợ nhiều dạng VPN, dễ dàng tạo thêm VPN site 17 (chỉ cần thực router site mới) Như vậy, MPLS giải pháp mạng đường trục cho mạng hệ mới, xu hướng phát triển MPLS ATOM (Any Traffic Over MPLS), nghĩa có khả đáp ứng loại dịch vụ nào: Thoại, video, fax, data… MPLS VPN thị trường đầy tiềm hứa hẹn mang lại nhiều lợi ích cho người dùng nhà cung cấp dịch vụ viễn thông Ngày nay, VPN cơng nghệ mẻ Việt Nam, việc đầu tư nghiên cứu để chọn giải pháp tối ưu điều nên làm hệ thống hạ tầng truyền thông NGÀNH TÀI CHÍNH 18 CHƢƠNG ỨNG DỤNG MPLS VPN VÀO HẠ TẦNG TRUYỀN THƠNG NGÀNH TÀI CHÍNH 3.1 Bối cảnh chung NGÀNH TÀI CHÍNH bắt đầu xây dựng hệ thống hạ tầng truyền thông thống từ năm 1999 Cho đến nay, hệ thống hạ tầng truyền thông NGÀNH TÀI CHÍNH triển khai sau: Về mặt kết nối: Xây dựng Trung tâm miền Miền Bắc Nam, kết nối tới đơn vị cấp TW TCT, KBNN, TCHQ, Cục DTQG, UBCK, Học viện tài chính, đồng thời xây dựng kết nối tới 63 Trung tâm tỉnh, từ Trung tâm tỉnh kết nối tới PTC Quận/Huyện, đơn vị Thuế, Kho bạc, tài Tỉnh/Thành phố Với phát triển công nghệ, vậy, vấn đề đặt cần phải có phân tích xem xét mức độ phù hợp với yêu cầu thiết kế trước hạ tầng truyền thơng tại, qua nâng cấp hệ thống hạ tầng phục vụ cho nhu cầu ngày gia tăng cho tương lai 3.2 Đánh giá ưu nhược điểm hệ thống sở hạ tầng 3.2.1 Mơ hình kết nối WAN vấn đề nảy sinh Quan điểm thiết kế ban đầu cho việc sử dụng frame-relay riêng cho mạng WAN NGÀNH TÀI CHÍNH xây dựng sở hạ tầng cung cấp dịch vụ kết nối Framerelay theo mơ hình nhà cung cấp dịch vụ cho phân hệ TCT, KBNN… Dùng chung kênh th cơng cộng để giảm chi phí, dễ dàng quản lý tập trung Tuy nhiên, thiết kế triển khai thực tế lại khơng có quán việc cung cấp loại hình kết nối phân hệ Các mạng kết nối tới mạng WAN NGÀNH TÀI CHÍNH, thơng qua: - Kết nối phân lớp Frame relay & IP mức TT miền, mạng trục - Kết nối phân lớp IP mức TT tỉnh Theo đó, mạng trục, với mơ hình Overlay Layer-2 VPN áp dụng phần mạng trục cấp trung ương & mạng Backbone Được thực thiết bị Cisco IGX, cung cấp kết nối L2 Frame Relay cho đơn vị cấp trung ương Các nhược điểm mơ hình này: Số lượng PVC (kênh ảo cố định) cần phải tạo nhiều: n(n-1)/2, số lượng site 19 kết nối tăng lên, số lượng PVC cần tạo lớn, khó khăn việc triển khai, quản lý, giám sát Để hệ thống có khả định tuyến linh hoạt, cần sử dụng phương thức định tuyến động Tuy nhiên mơ hình kết nối này, updates giao thức định tuyến IGP chiếm nhiều băng thơng có nhiều PVC Ngồi ra, việc có nhiều PVC dẫn tới việc quản lý, cấu hình, giám sát giao thức định tuyến IGP phức tạp Trong đó, từ TTM trở xuống, đơn vị cấp tỉnh, huyện, mơ hình mạng sử dụng lại peer to peer shared router Được thực việc dùng chung router cấp TTM, cấp TTT kết nối tới phân hệ trực thuộc Các nhược điểm mơ hình này: Lưu lượng ngành khác truyền dạng IP sở hạ tầng mạng WAN BTC, điều gây nên khe hở bảo mật, đặc biệt trường hợp có lưu lượng từ bên ngồi Internet, phân hệ mạng truy cập công cộng… Việc phân chia địa IP phân hệ trực thuộc khơng thể độc lập với nhau, tồn BTC phân hệ trực thuộc chia sẻ dải địa 10.x.x.x Việc tách biệt hệ thống mạng phân hệ trực thuộc kết nối vào mạng WAN BTC, nhằm mục đích đảm bảo cho phân hệ có độc lập định dựa theo Access Control List phức tạp 3.2.2 Mô hình kết nối Internet đề nảy sinh Các thiết kế bổ sung sau không đưa giải pháp chi tiết hồn chỉnh với sách an tồn, bảo mật Một lý kết nối WAN có tốc độ thấp, khơng thể cung cấp cổng kết nối internet tập trung Kết nối internet thiết lập theo nhu cầu phát sinh tùy thuộc vào phân hệ, đơn vị, khơng có sách chung, điều dẫn tới nguy an ninh, bảo mật 3.3 Giải pháp MPLS VPN việc cung cấp dịch vụ VPN ngành tài 3.3.1 Đề xuất cải tiến để đảm bảo tính dự phòng an ninh cho hệ thống 20 Thiết kế hệ thống mạng hạ tầng truyền thông NGÀNH TÀI CHÍNH bao gồm khối cấu trúc hình vẽ Mơ hình mạng trục NGÀNH TÀI CHÍNH đề xuất hình vẽ đây, xây dựng thêm trung tâm miền Miền Trung, tạo nên tam giác mạng trục dự phòng Ví dụ, kết nối miền Nam - Bắc bị gián đoạn, lưu lượng định tuyến chạy vòng qua TTM - Miền Trung, việc định tuyến thực hồn tồn tự động Ngồi việc dự phòng việc xây dựng thêm TTM - Miền Trung, kết nối WAN miền đảm bảo kết nối khác nhau, hoạt động dự phòng, phân tải cho Kết nối chính, có băng thơng lớn kết nối MPLS VPN Kết nối thứ kết nối truyền thống TM, frame relay, ATM Do giá thành cao, kết nối truyền thống trì mức thấp nhất, tạo thành kết nối dự phòng, phân tải cho kết nối MPLS VPN Kết nối thứ IPSec VPN, tận dụng cổng Internet sẵn có TTM - Miền Bắc, Trung, Nam Kết nối mang tính dự phòng, phân tải cho kết nối Do chất lượng dịch vụ truyền qua Internet khơng đảm bảo, kết nối không nên sử dụng cho ứng dụng thoại, video conference 3.3.2 Giải pháp thiết kế hạ tầng truyền thơng ngành Tài 3.3.2.1 Kết nối WAN 3.3.2.2 Xây dựng hệ thống MPLS cung cấp dịch vụ MPLS VPN riêng NGÀNH TÀI CHÍNH 3.3.2.2.1 Lớp mạng trục 3.3.2.2.2 Lớp mạng phân phối 3.3.2.2.3 MPLS hệ thống MPLS VPN 3.3.3 Đánh giá hệ thống đảm bảo an ninh Ngày nay, doanh nghiệp có kết nối Internet sử dụng biện pháp an ninh để bảo vệ trước tác động bên bên ngồi Với tiến vượt bậc cơng nghệ, công cụ, kỹ thuật công ngày đa dạng, tinh vi 21 hơn, có vơ số hướng dẫn công cụ cung cấp miễn phí mạng Internet Do đó, phòng thủ vòng ngồi phòng thủ lớp khơng thơi chưa đủ để đảm bảo vấn đề an ninh mạng Kiến trúc bảo mật đề xuất bao gồm nhiều lớp bảo mật: Phân lớp bảo vệ: sử dụng công nghệ bảo mật Firewall, IDS, IPS để chống lại công xuất phát từ bên lẫn bên Bảo mật kết nối mạng: đảm bảo thông tin quan trọng bảo mật đường truyền Xác thực, nhận dạng cấp quyền truy cập tới tài nguyên hệ thống Kiểm soát truy cập, đảm bảo an ninh phân lớp ứng dụng 3.3.3.1 An ninh cho kết nối WAN 3.3.3.2 An ninh cho phần mạng trục MPLS VPN Ngành tài 3.3.4 Triển khai MPLS VPN số đơn vị quận/huyện 3.3.4.1 Triển khai thêm kênh truyền KBNN Quảng Bình - KBNN huyện Ba Đồn 3.3.4.2 Triển khai thêm kênh truyền KBNN Thanh Hóa Chi cục Hải quan Tén Tằn 3.3.5 Kịch kiểm tra đánh giá kết Hiện triển khai MPLS VPN cho quan tài địa phương, phân hệ Thuế, Hải quan, kho bạc… Vừa qua, Học viên đoàn kiểm tra, giám sát, đo kiểm chất lượng dịch vụ, kênh truyền nhà thầu VNPT Viettel triển khai 5/63 tỉnh Việc kiểm tra chất lượng kênh truyền phải tuân thủ theo quy trình nghiêm ngặt, cơng việc triển khai bao gồm: Cấu hình router sử dụng tunnel kênh truyền, đo kiểm kênh truyền Kiểm tra với lưu lượng thật Kiểm nghiệm độ ổn định hệ thống dịch vụ công cộng MPLS VPN Chất lượng dịch vụ, tốc độ truyền số liệu thực tế so với tốc độ cam kết dịch vụ MPLS VPN Kiểm nghiệm khả đảm bảo Security thực tế cho kết nối MPLS VPN 22 nhà cung cấp dịch vụ Với công nghệ MPLS VPN, kiểm chứng gửi gói tin từ VPN tới VPN khác, khơng cần kiểm tra đặc tính 3.3.5.1 Kênh truyền KBNN Khánh Hòa - Chi cục thuế Thị xã Cam ranh 3.3.5.2 Kênh truyền KBNN Lâm Đồng - Chi cục thuế TP Đà Lạt 3.3.5.3 Kênh truyền KBNN Bình Thuận - Cục thuế Bình thuận 3.3.5.4 Kênh truyền KBNN Khánh Sơn KBNN Khánh Hòa 3.4 Kết luận Tóm lại, với giải pháp thiết kế hệ thống đưa mạng truyền thông NGÀNH TÀI CHÍNH khắc phục nhược điểm mơ hình kết nối thu hệ thống tổng thể đáp ứng nhu cầu tốc độ, an toàn liệu, chất lượng dịch vụ Hệ thống với thiết kế cập nhật ứng dụng thành tựu kết hợp với kế thừa hệ thống tại, cho phép tạo nên hệ thống linh hoạt, có khả phát triển, mở rộng cao, tính dự phòng cao, đáp ứng nhu cầu tồn NGÀNH TÀI CHÍNH tương lai Tuy nhiên, hiệu của hệ thống tính cụ thể Với thiết kế mới, thơng tin tồn NGÀNH TÀI CHÍNH xử lý an tồn, xác, kịp thời đảm bảo hoạt động ổn định toàn Ngành trước yêu cầu Việc áp dụng công nghệ MPLS VPN hệ thống mạng NGÀNH TÀI CHÍNH thu nhiều lợi ích Trước tiên, thấy rõ hệ thống không yêu cầu thêm thiết bị mạng Router, Switch so với hệ thống mạng IP truyền thống Tất thiết bị Router, Switch TTT, TTM sẵn sàng hỗ trợ tính năng, giao thức MPLS, việc xây dựng hệ thống MPLS VPN riêng đơn triển khai sử dụng tính sẵn có thiết bị Với việc xây dựng MPLS VPN riêng cho NGÀNH TÀI CHÍNH, Bộ Tài tiết kiệm nhiều chi phí để đảm bảo an ninh cho hệ thống, phân tách phân hệ khác hệ thống Firewall, IPS, Anti-Virus cần thiết 63 TTT, TTM so với chưa xây dựng hệ thống MPLS VPN riêng Hệ thống phù hợp với định hướng CNTT NGÀNH TÀI CHÍNH, đồng 23 thời phù hợp với xu phát triển công nghệ giới, khơng lãng phí, lạc hậu tương lai Phù hợp với môi trường tin học viễn thông Việt Nam tại, đón bắt xu hướng công nghệ Việt Nam tương lai 24 Chƣơng KẾT LUẬN Ngày nay, ứng dụng Internet sử dụng rộng rãi lĩnh vực, khắp nơi giới Sự mở rộng Internet kéo theo cải tiến không ngừng mơ hình mạng, kéo theo dịch vụ mạng để đáp ứng nhu cầu truyền thơng tin cách an tồn, hiệu Một ứng dụng quan trọng mạng riêng ảo Ngoài việc giới thiệu khái niệm mạng riêng ảo, luận văn sâu vào phân tích loại mạng riêng ảo nay, hạn chế tồn mơ hình, mạnh mơ hình giúp người đọc có nhìn tổng quan mơ hình để từ lựa chọn áp dụng cho hiệu Hiện có nhiều công nghệ đời nhằm nghiên cứu phương thức truyền tin mạng cách an toàn, công nghệ ứng dụng rộng rãi MPLS VPN Luận văn trình bày khái niệm phương thức hoạt động công nghệ MPLS, sâu vào phân tích cấu trúc MPLS cách thức truyền gói tin gắn nhãn mạng từ địa nguồn tới địa đích cách an tồn Trên sở phân tích hệ thống mạng NGÀNH TÀI CHÍNH, luận văn đưa đề xuất, giải pháp thiết kế cải tiến hệ thống cụ thể để thu hệ thống có mức độ đảm bảo an ninh hơn, nâng cao tốc độ, chất lượng dịch vụ Để có giải pháp đáp ứng cho nhu cầu thực tế NGÀNH TÀI CHÍNH, Luận văn xin đề xuất số hướng nghiên cứu tương lai sau: - Xây dựng giải pháp thiết kế trung tâm dự phòng thơng tin - Xây dựng hệ thống vận hành bảo dưỡng, hệ thống phân tích, chuẩn đốn kết nối mạng chi tiết theo thời gian thực, hệ thống quản lý vấn đề an ninh, bảo mật, hệ thống cho phép thực khảo sát, tập hợp liệu lập báo cáo chi tiết, đo đạc hiệu suất mạng - Quy hoạch lại địa IP NGÀNH TÀI CHÍNH để khai thác tối ưu tài nguyên ... làm hệ thống hạ tầng truyền thơng NGÀNH TÀI CHÍNH 18 CHƢƠNG – ỨNG DỤNG MPLS VPN VÀO HẠ TẦNG TRUYỀN THÔNG NGÀNH TÀI CHÍNH 3.1 Bối cảnh chung NGÀNH TÀI CHÍNH bắt đầu xây dựng hệ thống hạ tầng truyền. .. Mơ hình mạng MPLS VPN 16 Mạng riêng ảo hệ thống mạng ảo hai đầu cuối hệ thống hay hai hay nhiều hệ thống mạng riêng Do ta chia mạng riêng ảo thành hai loại chính, là: Customer – based VPN (hay... tốt cho nội NGÀNH TÀI CHÍNH, nhằm cung cấp cách đa dạng loại dịch vụ cho người sử dụng Luận văn Giải pháp mạng riêng ảo mpls- vpn ứng dụng hệ thống hạ tầng truyền thơng ngành tài chính nghiên

Ngày đăng: 19/03/2018, 21:30

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w