CHƯƠNG I : TỔNG QUAN VỀ MẠNG RIÊNG ẢO VPN 1.1 Định nghĩa Mạng riêng ảo VPN định nghĩa kết nối mạng triển khai sở hạ tầng mạng công cộng (như mạng Internet) với sách quản lý bảo mật giống mạng cục Hình 1.1 Mơ hình VPN Các thuật ngữ dùng VPN sau: Virtual- nghĩa kết nối động, không gắn cứng tồn kết nối lưu lượng mạng chuyển qua Kết nối thay đổi thích ứng với nhiều mơi trường khác có khả chịu đựng khuyết điểm mạng Internet Khi có yêu cầu kết nối thiết lập trì bất chấp sở hạ tầng mạng điểm đầu cuối Private- nghĩa liệu truyền ln giữ bí mật bị truy cập nguời sử dụng trao quyền Điều quan trọng giao thức Internet ban đầu TCP/IP- không thiết kế để cung cấp mức độ bảo mật Do đó, bảo mật cung cấp cách thêm phần mềm hay phần cứng VPN Network- thực thể hạ tầng mạng người sử dụng đầu cuối, trạm hay node để mang liệu Sử dụng tính riêng tư, công cộng, dây dẫn, vô tuyến, Internet hay tài nguyên mạng dành riêng khác sẵn có để tạo mạng Mạng riêng ảo VPN khái niệm mới, chúng sử dụng mạng điện thoại trước số hạn chế Trong thời gian gần đây, phát triển mạng thông minh, sở hạ tầng mạng IP làm cho VPN thực có tính mẻ VPN cho phép thiết lập kết nối riêng với người dùng xa… 1.2 Chức ưu nhược điểm VPN 1.2.1 Chức VPN cung cấp ba chức là: tính xác thực (Authentication), tính tồn vẹn (Integrity) tính bảo mật (Confidentiality)  Tính xác thực : Để thiết lập kết nối VPN trước hết hai phía phải xác thực lẫn để khẳng định trao đổi thơng tin với người mong muốn khơng phải người khác  Tính tồn vẹn : Đảm bảo liệu không bị thay đổi hay đảm bảo khơng có xáo trộn q trình truyền dẫn  Tính bảo mật : Người gửi mã hố gói liệu trước truyền qua mạng công cộng liệu giải mã phía thu Bằng cách làm vậy, khơng truy nhập thơng tin mà khơng phép Thậm chí có lấy không đọc 1.2.2 Ưu điểm VPN mang lại lợi ích thực tức thời cho cơng ty Có thể dùng VPN khơng để đơn giản hố việc thơng tin nhân viên làm việc xa, người dùng lưu động, mở rộng Intranet đến văn phòng, chi nhánh, chí triển khai Extranet đến tận khách hàng đối tác chủ chốt mà làm giảm chi phí cho cơng việc thấp nhiều so với việc mua thiết bị đường dây cho mạng WAN riêng Những lợi ích dù trực tiếp hay gián tiếp bao gồm: Tiết kiệm chi phí (cost saving), tính mềm dẻo (flexibility), khả mở rộng (scalability) số ưu điểm khác  Tiết kiệm chi phí Việc sử dụng VPN giúp cơng ty giảm chi phí đầu tư chi phí thường xuyên Tổng giá thành việc sở hữu mạng VPN thu nhỏ, phải trả cho việc thuê băng thông đường truyền, thiết bị mạng đường trục trì hoạt động hệ thống Giá thành cho việc kết nối LAN-toLAN giảm từ 20 tới 30% so với việc sử dụng đường thuê riêng truyền thống Còn việc truy cập từ xa giảm từ 60 tới 80% Bảng 1.1: Chi phí hàng tháng cho mạng dùng đường thuê kép so với Internet VPN Thành phố Khoảng cách (dặm) Chi phí cho T1 Chi phí cho Internet VPN San FranCiscoDenver 1.267 $13.535 $1.900 Denver-chicago 1.023 $12.315 $1.900 Chicago-New York 807 $11.235 $1.900 Denver-Salt Lake 537 $6.285 $1.900 Denver-Dallas 794 $7.570 $1.900 New YorkWashington 235 $4.775 $1.900 New York- Boston 194 $4.570 $1.900 Tổng 4857 $60.285 $13.300 Bảng 1.2: Chi phí hàng tháng cho mạng dùng đường thuê riêng so với internet VPN Thành phố Khoảng cách Chi phí cho T1 (dặm) Cho phí cho Internet VPN Boston-New York 194 $4.570 $1.900 New YorkWashington 235 $4.775 $1.900 $9.345 $3.800 Tổng 429  Tính linh hoạt Tính linh hoạt khơng linh hoạt trình vận hành khai thác mà thực mềm dẻo u cầu sử dụng Khách hàng sử dụng kết nối T1, T3 văn phòng nhiều kiểu kết nối khác sử dụng để kết nối văn phòng nhỏ, đối tượng di động Nhà cung cấp dịch vụ VPN cung cấp nhiều lựa chọn cho khách hàng, kết nối modem 56 kbit/s, ISDN 128 kbit/s, xDSL, T1, T3 …  Khả mở rộng Do VPN xây dựng dựa sở hạ tầng mạng công cộng (Internet), nơi có mạng cơng cộng triển khai VPN Mà mạng cơng cộng có mặt khắp nơi nên khả mở rộng VPN linh động Một quan xa kết nối cách dễ dàng đến mạng công ty cách sử dụng đường dây điện thoại hay DSL…Và mạng VPN dễ dàng gỡ bỏ có nhu cầu Khả mở rộng băng thơng văn phòng, chi nhánh u cầu băng thơng lớn nâng cấp dễ dàng  Giảm thiểu hỗ trợ kỹ thuật Việc chuẩn hoá kiểu kết nối từ đối tượng di động đến POP ISP việc chuẩn hoá yêu cầu bảo mật làm giảm thiểu nhu cầu nguồn hỗ trợ kỹ thuật cho mạng VPN Và ngày nay, mà nhà cung cấp dịch vụ đảm nhiệm nhiệm vụ hỗ trợ mạng nhiều yêu cầu hỗ trợ kỹ thuật người sử dụng ngày giảm  Giảm thiểu yêu cầu thiết bị Bằng việc cung cấp giải pháp đơn cho xí nghiệp truy cập quay số truy cập Internet, VPN yêu cầu thiết bị hơn, đơn giản nhiều so với việc bảo trì modem riêng biệt, card tương thích (adapter) cho thiết bị đầu cuối máy chủ truy cập từ xa Một doanh nghiệp thiết lập thiết bị khách hàng cho môi trường đơn, môi trường T1 Đáp ứng nhu cầu thương mại Các sản phẩm dịch vụ VPN tuân theo chuẩn chung nay, phần để đảm bảo khả làm việc sản phẩm có lẽ quan trọng để sản phẩm nhiều nhà cung cấp khác làm việc với Đối với thiết bị Cơng nghệ Viễn thơng vấn đề cần quan tâm chuẩn hoá, khả quản trị, khả mở rộng, khả tích hợp mạng, tính kế thừa, độ tin cậy hiệu suất hoạt động, đặc biệt khả thương mại sản phẩm 1.2.3 Nhược điểm vấn đề cần khắc phục  Sự rủi ro an ninh Một mạng riêng ảo thường rẻ hiệu so với giải pháp sử dụng kênh thuê riêng Tuy nhiên, tiềm ẩn nhiều rủi ro an ninh khó lường trước Mặc dù hầu hết nhà cung cấp dịch vụ quảng cáo giải pháp họ đảm bảo an tồn, an tồn khơng tuyệt đối Cũng làm cho mạng riêng ảo khó phá hoại cách bảo vệ tham số mạng cách thích hợp, song điều lại ảnh hưởng đến giá thành dịch vụ  Độ tin cậy thực thi VPN sử dụng phương pháp mã hoá để bảo mật liệu, hàm mật mã phức tạp dẫn đến lưu lượng tải máy chủ nặng Nhiệm vụ người quản trị mạng quản lí tải máy chủ cách giới hạn số kết nối đồng thời để biết máy chủ điều khiển Tuy nhiên, số người cố gắng kết nối tới VPN tăng vọt phá vỡ hết trình truyền tin, nhân viên quản trị khơng thể kết nối tất cổng VPN bận Điều động thúc đẩy người quản trị tạo khoá ứng dụng làm việc mà khơng đòi hỏi VPN Chẳng hạn thiết lập dịch vụ Proxy dịch vụ Internet Message Access Protocol phép nhân viên truy nhập e-mail từ nhà hay đường 1.3 Phân loại mạng mơ hình VPN 1.3.1 Phân loại mạng VPN Mục tiêu đặt công nghệ mạng VPN thoả mãn ba yêu cầu sau: - Tại thời điểm, nhân viên công ty truy nhập từ xa di động vào mạng nội công ty - Nối liền chi nhánh, văn phòng di động - Khả điều khiển quyền truy nhập khách hàng, nhà cung cấp dịch vụ đối tượng bên khác Dựa vào yêu cầu trên, mạng riêng ảo VPN phân làm ba loại: - Mạng VPN truy nhập từ xa (Remote Access VPN) - Mạng VPN cục (Intranet VPN) - Mạng VPN mở rộng (Extranet VPN) a) Mạng VPN truy nhập từ xa Các VPN truy nhập từ xa cung cấp khả truy nhập từ xa Tại thời điểm, nhân viên, chi nhánh văn phòng di động có khả trao đổi, truy nhập vào mạng công ty Kiểu VPN truy nhập từ xa kiểu VPN điển hình Bởi vì, VPN thiết lập thời điểm nào, từ nơi có mạng Internet VPN truy nhập từ xa mở rộng mạng công ty tới người sử dụng thông qua sở hạ tầng chia sẻ chung, sách mạng cơng ty trì Chúng dùng để cung cấp truy nhập an toàn từ thiết bị di động, người sử dụng di động, chi nhánh bạn hàng công ty Những kiểu VPN thực thông qua sở hạ tầng công cộng cách sử dụng công nghệ ISDN, quay số, IP di động, DSL công nghệ cáp thường yêu cầu vài kiểu phần mềm client chạy máy tính người sử dụng Hình 1.2 Mơ hình mạng VPN truy nhập từ xa Các ưu điểm mạng VPN truy nhập từ xa so với phương pháp truy nhập từ xa truyền thống như: Mạng VPN truy nhập từ xa không cần hỗ trợ nhân viên mạng trình kết nối từ xa ISP thực Giảm chi phí cho kết nối từ khoảng cách xa kết nối khoảng cách xa thay kết nối cục thông qua mạng Internet Cung cấp dịch vụ kết nối giá rẻ cho người sử dụng xa - Bởi kết nối truy nhập nội nên Modem kết nối hoạt động tốc độ cao so với truy nhập khoảng cách xa - VPN cung cấp khả truy nhập tốt đến site cơng ty chúng hỗ trợ mức thấp dịch vụ kết nối Mặc dù có nhiều ưu điểm mạng VPN truy nhập từ xa nhược điểm cố hữu như: - Mạng VPN truy nhập từ xa không hỗ trợ dịch vụ đảm bảo QoS Nguy bị liệu cao Hơn nữa, nguy gói bị phân phát khơng đến nơi gói Bởi thuật tốn mã hố phức tạp, nên tiêu đề giao thức tăng cách đáng kể b) Mạng VPN cục Các VPN cục sử dụng để bảo mật kết nối địa điểm khác công ty Mạng VPN liên kết trụ sở chính, văn phòng, chi nhánh sở hạ tầng chung sử dụng kết nối ln mã hố bảo mật Điều cho phép tất địa điểm truy nhập an toàn nguồn liệu phép tồn mạng cơng ty Những VPN cung cấp đặc tính mạng WAN khả mở rộng, tính tin cậy hỗ trợ cho nhiều kiểu giao thức khác với chi phí thấp đảm bảo tính mềm dẻo Kiểu VPN thường cấu VPN Site- to- Site Hình 1.3 Mơ hình mạng VPN cục Những ưu điểm mạng cục dựa giải pháp VPN bao gồm: - Các mạng lưới cục hay tồn thiết lập (với điều kiện mạng thông qua hay nhiều nhà cung cấp dịch vụ) - Giảm số nhân viên kỹ thuật hỗ trợ mạng nơi xa - Bởi kết nối trung gian thực thơng qua mạng Internet, nên dễ dàng thiết lập thêm liên kết ngang cấp - Tiết kiệm chi phí thu từ lợi ích đạt cách sử dụng đường ngầm VPN thông qua Internet kết hợp với công nghệ chuyển mạch tốc độ cao Ví dụ cơng nghệ Frame Relay, ATM Tuy nhiên mạng cục dựa giải pháp VPN có nhược điểm như: - Bởi liệu truyền “ngầm” qua mạng cơng cộng – mạng Internet – mối “đe dọa” mức độ bảo mật liệu mức độ chất lượng dịch vụ (QoS) - Khả gói liệu bị truyền dẫn cao - Trường hợp truyền dẫn khối lượng lớn liệu, đa phương tiện, với yêu cầu truyền dẫn tốc độ cao đảm bảo thời gian thực thách thức lớn môi trường Internet c) Mạng VPN mở rộng Không giống VPN cục VPN truy nhập từ xa, VPN mở rộng khơng bị lập với “thế giới bên ngồi” Hình 1.4 Mơ hình mạng VPN mở rộng Các VPN mở rộng cung cấp đường hầm bảo mật khách hàng, nhà cung cấp đối tác qua sở hạ tầng công cộng Kiểu VPN sử dụng kết nối luôn bảo mật cấu VPN Site–to– Site Sự khác VPN cục VPN mở rộng truy cập mạng công nhận hai đầu cuối VPN Những ưu điểm mạng VPN mở rộng: - Chi phí cho mạng VPN mở rộng thấp nhiều so với mạng truyền thống - Dễ dàng thiết lập, bảo trì dễ dàng thay đổi mạng hoạt động - Vì mạng VPN mở rộng xây dựng dựa mạng Internet nên có nhiều hội việc cung cấp dịch vụ chọn lựa giải pháp phù hợp với nhu cầu cơng ty - Bởi kết nối Internet nhà cung cấp dịch vụ Internet bảo trì, nên giảm số lượng nhân viên kỹ thuật hỗ trợ mạng, giảm chi phí vận hành toàn mạng Bên cạnh ưu điểm giải pháp mạng VPN mở rộng nhược điểm như: - Khả bảo mật thông tin, liệu truyền qua mạng công cộng tồn - Truyền dẫn khối lượng lớn liệu, đa phương tiện, với yêu cầu truyền dẫn tốc độ cao đảm bảo thời gian thực, thách thức lớn môi trường Internet - Làm tăng khả rủi ro mạng cục công ty 1.3.2 Các mơ hình VPN Khái niệm VPN đời từ sớm, mà công nghệ truyền thông X.25, Frame Relay giới thiệu VPN mạng riêng ảo hai đầu cuối hệ thống, hai hai nhiều mạng riêng Nó xây dựng cách sử dụng đường hầm Do đó, chia VPN thành hai loại chính, là:  Customer-based VPN (còn gọi overlay VPN): VPN cấu hình thiết bị khách hàng sử dụng giao thức đường hầm xuyên qua mạng công cộng Nhà cung cấp dịch vụ bán mạch ảo site khách hàng đường kết nối leased line  Network-based VPN (còn gọi VPN ngang cấp): VPN cấu hình thiết bị nhà cung cấp dịch vụ quản lý nhà cung cấp dịch vụ Nhà cung cấp dịch vụ khách hàng trao đổi thông tin định tuyến lớp 3, nhà cung cấp đặt liệu site khách hàng vào đường tối ưu mà khơng cần có tham gia khách hàng  Mơ hình VPN chồng lấn (overlay) có số ưu điểm sau:  Đó mơ hình dễ thực hiện, nhìn theo quan điểm khách hàng nhà cung cấp dịch vụ  Nhà cung cấp dịch vụ không tham gia vào định tuyến khách hàng mạng VPN overlay Nhiệm vụ họ vận chuyển liệu điểm-điểm site khách hàng, việc đánh dấu điểm tham chiếu nhà cung cấp dịch vụ khách hàng quản lý dễ dàng  Hạn chế mơ hình overlay VPN:  Nó thích hợp mạng khơng cần độ dự phòng với site trung tâm nhiều site đầu xa, lại khó quản lý cần nhiều cầu hình mắt lưới  Việc cung cấp nhiều VC đòi hỏi phải có hiểu biết cặn kẽ loại lưu lượng hai site với mà điều thường khơng thật thích hợp  Khi thực mơ hình với cơng nghệ lớp tạo lớp không cần thiết nhà cung cấp hầu hết dựa IP, làm tăng thêm chi phí hoạt động  Ưu điểm mơ hình VPN ngang cấp :  VPN ngang cấp cho ta định tuyến tối ưu site khách hàng mà khơng cần phải cấu hình hay thiết kế đặc biệt  Dễ mở rộng  Hạn chế mơ hình VPN ngang cấp :  Nhà cung cấp dịch vụ phải đáp ứng định tuyến khách hàng cho đảm bảo việc hội tụ mạng khách hàng có lỗi liên kết  Router P nhà cung cấp dịch vụ phải mang tất router khách hàng  Nhà cung cấp dịch vụ cần phải biết rõ chi tiết định tuyến IP, mà điều thực không cần thiết nhà cung cấp từ xưa đến CHƯƠNG II: TỔNG QUAN CÔNG NGHỆ MPLS 2.1 Khái niệm MPLS MPLS giải pháp chuyển mạch IP chuẩn hoá IETF MPLS viết tắt cụm từ: chuyển mạch nhãn đa giao thức (Multiprotocol Label Switching)  Gọi chuyển mạch nhãn vì: Sử dụng chế hoán đổi nhãn làm kỹ thuật chuyển tiếp lớp bên (lớp 2)  Gọi đa giao thức vì: MPLS hỗ trợ nhiều giao thức lớp mạng (lớp 3), không riêng IP 2.2 Đặc điểm MPLS  Tốc độ trễ: Chuyển mạch nhãn nhanh nhiều giá trị nhãn đặt header gói sử dụng để truy nhập bảng chuyển tiếp router, nghĩa nhãn sử dụng để tìm kiếm bảng Việc tìm kiếm yêu cầu lần truy nhập tới bảng, khác với truy nhập bảng định tuyến truyền thống việc tìm kiếm cần hàng ngàn lần truy nhập Kết lưu lượng người sử dụng gói gửi qua mạng nhanh nhiều so với chuyển tiếp IP truyền thống  Jitter: Là thay đổi độ trễ lưu lượng người sử dụng việc chuyển gói tin qua nhiều node mạng để chuyển tới đích Tại node, địa đích gói phải kiểm tra so sánh với danh sách địa đích Hình 3.2 Mơ hình MPLS L3VPN Mơ hình L3VPN có ưu điểm khơng gian địa khách hàng quản lý nhà khai thác, đơn giản hoá việc triển khai kết nối với nhà cung cấp Ngồi ra, L3VPN cung cấp khả định tuyến động để phân phối thông tin định tuyến tới đinh tuyến VPN Tuy nhiên, L3VPN hỗ trợ lưu lượng IP lưu lượng đóng gói vào gói tin IP Đồng thời, việc tồn hai bảng định tuyến thiết bị mạng vấn đề cần giải điều hành ảnh hưởng tới khả mở rộng hệ thống thiết bị 3.1.3 Mô hình L2VPN Có hai dạng L2VPN là: - Điểm tới điểm: tương tự công nghệ ATM FR, nhằm thiểt lập đường dẫn chuyển mạch ảo qua mạng; - Điểm tới đa điểm: hỗ trợ cấu hình mắt lưới phân cấp Trong mơ hình L2VPN đinh tuyến PE CE không thiết phải coi ngang hàng Thay vào đó, tồn kết nối hai định tuyến Bộ định tuyến PE chuyển mạch luồng lưu lượng vào đường hầm cấu hình trước tới định tuyến PE khác Hình 3.3 Mơ hình MPLS-L2VPN L2VPN có ưu điểm quan trọng cho phép giao thức lớp cao truyền suốt MPLS Nó hoạt động hầu hết công nghệ lớp gồm ATM, FR, Ethernet mở khả tích hợp mạng phi kết nối IP với mạng hướng kểt nối Ngoài ra, giải pháp người sử dụng đầu cuối khơng cần phải cấu hình định tuyến cho định tuyến khách hàng CE Tuy nhiên, L2VPN không dễ dàng mở rộng L3VPN Một cấu hình đầy đủ cho LSP phải sử dụng để kết nối VPN mạng Hơn nữa, L2VPN không tự động định tuyến site Vì vậy, tuỳ thuộc vào cấu hình mạng MPLS nhu cầu cụ thể mà sử dụng hai mơ hình nói 3.2 Hoạt động MPLS-VPN 3.2.1 Truyền thông tin định tuyến dọc mạng nhà cung cấp Khi bảng định tuyến ảo đảm bảo cách ly khách hàng, liệu từ bảng định tuyến cần trao đổi Router PE để liệu truyền site gắn vào Router PE khác Do cần phải có giao thức định tuyến vận chuyển tất router khách hàng dọc mạng nhà cung cấp trì khơng gian địa độc lập khách hàng với Một giải pháp đưa chạy giao thức định tuyến riêng cho khách hàng Các router PE kết nối thơng qua đường hầm điểm – điểm (và giao thức định tuyến cho khách hàng chạy router PE) router P tham gia vào q trình định tuyến khách hàng Giải pháp này, thực đơn giản lại khơng thích hợp mơi trường khách hàng, khơng có khả mở rộng phải đối mặt với nhiều vấn đề có yêu cầu hỗ trợ VPN chồng lấn (overlapping VPN): + Router PE phải chạy số lượng lớn giao thức định tuyến + Router P phải mang tất router khách hàng Sau đó, giải pháp tốt đưa triển khai giao thức định tuyến trao đổi tất router khách hàng dọc mạng nhà cung cấp Rõ ràng giải pháp tốt giải pháp trước router P phải tham gia vào định tuyến khách hàng, khơng giải vấn đề mở rộng Giải pháp tối ưu truyền thông tin định tuyến khách hàng giao thức định tuyến router PE điều hành, router P không tham gia vào việc định tuyến Giải pháp hiệu có khả mở rộng: + Số lượng giao thức định tuyến router PE không tăng tăng số lượng khách hàng + Router P không mang router khách hàng Do yêu cầu việc lựa chọn giao thức định tuyến chạy router PE Khi tổng số router khách hàng lớn, nên có giao thức định tuyến có khả đảm bảo vấn đề BGP BGP sử dụng mạng MPLS/VPN router PE để chuyển router khách hàng Giao thức BGP dùng mạng MPLS/VPN gọi Multiprotocol BGP (MP-BGP) Ta tóm tắt ưu điểm BGP để chọn giao thức dùng cho việc vận chuyển VPN router là: + VPN router mạng tăng lên đáng kể với số lượng lớn BGP giao thức định tuyến hỗ trợ số lượng lớn router + BGP, EIGRP, ISIS giao thức định tuyến mang thông tin định tuyến cho nhiều lớp địa khác Nhưng ISIS EIGRP khả mở rộng, khơng mang số lượng lớn router BGP BGP thiết kế để trao đổi thông tin định tuyến router không kết nối trực tiếp Đặc điểm hỗ trợ việc giữ thông tin định tuyến không cho router P biết 3.2.2 Bảng định tuyến chuyển tiếp VPN Sự kết hợp bảng định tuyến VPN bảng chuyển tiếp VPN tạo thành bảng định tuyến chuyển tiếp VPN (VRF) Mỗi VPN có bảng định tuyến chuyển tiếp riêng router PE, router PE trì nhiều bảng VRF Mỗi site mà có router PE gắn vào liên kết với bảng Địa IP đích gói tin kiểm tra bảng VRF mà thuộc gói tin đến trực tiếp từ site tương ứng với bảng VRF Một VRF đơn giản tập hợp router thích hợp cho site (hoặc tập hợp gồm nhiều site) kết nối đến router PE Các router thuộc VPN 3.2.3 Phân phối router VPN thông qua BGP Với việc triển khai giao thức định tuyến BGP để trao đổi tất route khách hàng router PE, vấn đề đặt là: làm mà BGP truyền nhiều prefix xác định thuộc khách hàng khác Router PE? Như ta biết BGP, dạng chuẩn nó, thực route IPv4 Trong MPLS/VPN, VPN phải có khả sử dụng (mặc dù điều không cần thiết) IP prefix giống VPN khác (ngay chúng không liên lạc với nhau) BPG sử dụng địa IPv4 chọn đường tất đường đến đích (gồm có network mask) Do đó, MPBGP khơng thể làm việc khách hàng sử dụng khơng gian địa Chỉ có giải pháp để giải vấn đề mở rộng ip prefix khách hàng với prefix làm cho địa khách hàng trở nên có trùng lắp địa Hơn ta phải đảm bảo sách sử dụng để định route số router BGP sử dụng có bảng VRF mà phải thuộc Việc truyền router khách hàng dọc mạng MPLS/VPN thực sau: + Router CE gửi cập nhật định tuyến IPv4 đến Router PE + Router PE sau thêm vào Router Distinguisher 64 bit vào cập nhật định tuyến IPv4 mà nhận đó, kết tạo địa VPNv4 96 bit + Địa VPNv4 truyền thông qua phiên MP-IBGP đến Router PE khác + Router PE nhận loại bỏ Router Distinguisher từ địa VPNv4 tạo thành địa IPv4 ban đầu mà CE đầu xa gửi + Địa IPv4 chuyển tiếp đến router CE khác cập nhật định tuyến IPv4 3.2.4 Địa VPN-IP Địa VPN-IP tạo cách ghép thành phần có độ dài khơng đổi là: nhận dạng tuyến địa IP sở Yếu tố làm cho địa tạo nhận dạng tuyến Bộ nhận dạng tuyến có cấu trúc cho phép nhà cung cấp dịch vụ VPN tự tạo giá trị cho nhận dạng tuyến mà không sợ giá trị tương tự sử dụng nhà cung cấp dịch vụ khác Theo định nghĩa, nhận dạng tuyến bao gồm trường hợp là:  Loại (2 octet)  Số hệ thống (2 octet)  Số ấn định (4 octet) Trong trường Số hệ thống chứa số hệ thống nhà cung cấp dịch vụ VPN Trường Số ấn định nhà cung cấp dịch vụ mạng VPN tự quản lý Trong hầu hết trường hợp, nhà cung cấp dịch vụ mạng ấn định giá trị trường Số ấn định cho mạng VPN, nhiên ấn định nhiều giá trị cho mạng VPN Vì khơng có hai mạng VPN nhà cung cấp dịch vụ quản lý lại sử dụng chung Số ấn định Số hệ thống mạng tồn cầu nên khơng có hai mạng VPN lại có nhận dạng tuyến trùng Khi mà địa IP mạng VPN khơng có hai mạng VPN lại dùng chung định dạng tuyến địa VPN-IP mạng toàn cầu Sử dụng địa VPN-IP hoàn toàn giới hạn nhà cung cấp dịch vụ, khách hàng VPN (cụ thể thiết bị khách hàng) khơng có khái niệm địa VPN-IP mà địa VPN sở thực định tuyến PE Đối với kết nối với VPN, nhận tuyến PE cấu hình ứng với giá trị nhận dạng tuyến Khi PE nhận tuyến từ CE kết nối trực tiếp tới cần xác định CE thuộc VPN trước chuyển thông tin tuyến cho BGP nhà cung cấp dịch vụ, PE chuyển địa IP sở tuyến thành địa VPN-IP cách sử dụng nhận dạng tuyến đặt cho VPN Một cách tương tự PE nhập tuyến từ BGP nhà cung cấp dịch vụ, chuyển thông tin địa VPN-IP tuyến thành thông tin địa IP sở 3.2.5 Chuyển tiếp gói tin VPN dọc mạng backbone MPLS Với router khách hàng truyền dọc mạng backbone MPLS/VPN, tất router tham gia vào chuyển tiếp liệu khách hàng Lưu lượng khách hàng router CE router PE ln ln gửi gói tin IP, đáp ứng yêu cầu router CE chạy giao thức định tuyến IP chuẩn không tham gia vào MPLS/VPN Trong phương pháp này, để chuyển tiếp gói tin dọc mạng backbone MPLS/VPN, router PE phải chuyển gói tin IP nhận từ router khách hàng đến router PE khác Rõ ràng, giải pháp khơng thể thực router P khơng có biết router khách hàng, khơng thể chuyển tiếp gói tin IP khách hàng Phương pháp tối ưu lựa chọn sử dụng ngăn xếp nhãn Ngăn xếp nhãn MPLS sử dụng để thị cho egress router PE biết phải làm với gói tin VPN Ngăn xếp nhãn bao gồm hai nhãn xếp chồng lên gọi nhãn bên (inner label) nhãn bên (outer label) Khi sử dụng ngăn xếp nhãn, ingress router PE gán nhãn vào gói tin IP với hai nhãn Nhãn ngăn xếp nhãn outer label, nhãn cho egress rRouter PE (gọi nhãn LDP), nhãn đảm bảo gói tin truyền qua mạng MPLS/VPN backbone đến egress router PE MPLS sử dụng outer label để chuyển tiếp gói tin từ ingress PE thơng qua mạng lõi MPLS Ở router P, MPLS loại bỏ outer label từ gói tin Nhãn index bảng chuyển tiếp router P Từ định next-hop dọc LSP nhãn khác Ở Router PE egress, MPLS lấy nhãn bên ngồi ra, sau đến nhãn bên Nhãn bên (inner label) định CE gói tin gửi đến Router P khơng kiểm tra nhãn bên địa đích IP gói tin Nhãn thứ hai ngăn xếp nhãn, nhãn bên (inner label), nhãn router PE đăng kí cho VRF Khi gói tin MPLS đến egress PE, egress router sử dụng nhãn phía để định VRF mà gói tin thuộc Mặc định, egress PE thực tìm kiếm IP bảng chuyển tiếp VRF sử dụng địa IP đích gói tin IP đóng gói gói MPLS Egress PE sau chuyển tiếp gói ip (khơng có nhãn) đến site khách hàng thích hợp Bản thân nhãn bên liên lạc PE tin cập nhật mở rộng MPiBGP Nhãn thứ hai ngăn xếp nhãn trực tiếp đến interface lối ra, trường hợp egress router PE thực kiểm tra nhãn gói tin VPN Tình thường dùng router CE next-hop VPN route Và nhãn đến VRF, egress router PE thực kiểm tra nhãn trước để tìm VRF đích, sau thực kiểm tra IP VRF Việc kiểm tra IP dùng có nhiều VPN route tóm gọn, VPN route đến Null interface route cho giao diện VPN kết nối trực tiếp Sử dụng ngăn xếp nhãn đáp ứng yêu cầu chuyển tiếp: Router P thực chuyển mạch nhãn dựa nhãn LDP đăng kí chuyển đến egress Router PE Egress router PE thực chuyển mạch nhãn nhãn bên trong ngăn xếp nhãn (nhãn đăng kí trước) sau đó, chuyển tiếp gói tin IP đến router CE thực kiểm tra IP VRF nhãn bên (inner label) Router P cuối thực penultimate hop popping, nghĩa thực lấy nhãn đỉnh khỏi ngăn xếp nhãn router (hop) đứng trước egress router PE Router router P cuối đường dẫn chuyển mạch nhãn, router lấy nhãn phía ngăn xếp nhãn ra, router PE nhận gói tin nhãn nhãn inner (nhãn VPN) Trong hầu hết trường hợp, lần kiểm tra nhãn thực gói tin egress router PE đủ thơng tin để chuyển gói tin đến router CE, kết làm cho trình kiểm tra trở nên nhanh đơn giản Còn việc kiểm tra IP đầy đủ thơng qua FIB thực lần ingress router PE, khơng có penultimate hop popping Gói tin IP nhận giao diện router PE Giao diện cấu hình với VPN_ID BGP ánh xạ nhãn đến route VPN Sau giao thức phân phối nhãn LDP ánh xạ nhãn đến route IGP 3.2.6 Truyền nhãn VPN Như ta biết ngăn xếp nhãn, nhãn inner đăng kí egress router PE Nhãn truyền router PE để chuyển tiếp gói tin thơng qua phiên làm việc MP – iBGP Do lần cập nhật MP – iBGP mang nhãn đăng kí egress router PE với prefix VPNv4 96 bit Egress router PE đăng kí nhãn đến VPN route nhận từ router CE kết nối vào đăng kí nhãn đến summary router thu gọn lại router PE Nhãn sau ingress router PE sử dụng nhãn bên trong chồng nhãn MPLS gán nhãn cho gói tin VPN Các nhãn VPN đăng kí egress router PE quảng bá đến tất router PE khác với prefix VPNv4 cập nhật MP – iBGP Các route có nhãn lối vào (input) mà khơng có nhãn lối (output) route nhận từ router CE (nhãn input local router PE đăng kí) Các route mà có nhãn lối (output) khơng có nhãn lối vào (input) route nhận từ router PE khác (và nhãn lối đăng kí router PE đầu xa) 3.3 Bảo mật MPLS-VPN Bảo mật yếu tố quan trọng tất giải pháp VPN.Về khía cạnh bảo mật giải pháp VPN dựa BGP/MPLS đạt mức độ tương đương với giải pháp VPN dựa ATM Bảo mật cho VPN phải đảm bảo cách ly thông tin định tuyến không gian địa VPN Nghĩa việc cấp địa VPN hoàn toàn độc lập Thông tin định tuyến từ VPN không phép sang VPN khác ngược lại Yêu cầu thứ hai bảo mật phải đảm bảo cấu trúc mạng lõi hoàn toàn suốt với khách hàng sử dụng dịch vụ Thứ ba, bảo mật phải đảm bảo việc tránh làm giả nhãn làm giả địa IP chông công từ chối dịch vụ (Denial of Service) công truy nhập dịch vụ (Intsuon) Để thấy rõ việc bảo mật MPLS-VPN thực nào, trước hết ta cần hiểu MPLS-VPN cho phép sử dụng không gian địa VPN đảm bảo tính địa site khách hàng nhờ vào giá trị 64 bit trường phân biệt tuyến Do đó, khách hàng cách sử dụng MPLS-VPN không cần phải thay đổi địa Việc định tuyến mạng nhà cung cấp dịch vụ VPN thực chuyển mạch nhãn dựa địa IP truyền thống Hơn nữa, LSP tương ứng với tuyến VPN-IP bắt đầu kết thúc định tuyến PE trì bảng VRF riêng cho VPN, VRF phổ biến tuyến thuộc VPN Nhờ đảm bảo cách ly thông tin định tuyến VPN với Đối với giải pháp MPLS-VPN, thật khó cơng trực tiếp vào VPN Chỉ cơng vào mạng lõi MPLS, từ cơng vào VPN Mạng lõi công theo hai cách trực tiếp vào định tuyến PE vào chế báo hiệu MPLS Tuy nhiên, để công vào mạng, trước hết cần phải biết địa IP Nhưng mạng lõi MPLS hồn tồn suốt với bên ngồi, kẻ công biết địa IP định tuyến mạng lõi Chúng đốn địa gửi gói tin đến địa Song mạng MPLS gói tin vào coi thuộc khơng gian địa khách hàng, khó tìm định tuyến bên đoán địa Có thể việc trao đổi thơng tin định tuyến định tuyến PE CE điểm yếu mạng MPLS-VPN, định tuyến PE dùng ACL phương thức xác thực giao thức định tuyến dùng kết nối đảm bảo vấn đề bảo mật Việc làm giả nhãn khó xảy định tuyến PE chấp nhận gói tin từ định tuyến CE gửi đến khơng có nhãn Nếu gói tin có nhãn nhãn PE kiểm soát quản lý Từ vấn đề nêu trên, thấy việc bảo mật MPLS-VPN đảm bảo mức độ cao hồn tồn so sánh ngang với giải pháp dựa ATM hay Frame Relay CHƯƠNG ỨNG DỤNG VÀ TRIỂN KHAI CỦA MPLS-VPN 4.1 Giới thiệu chung Một ứng dụng quan trọng MPLS-VPN thiết kế mạng WAN (Wide Area Network) Không doanh nghiệp, tổ chức thành đạt lại phủ nhận gắn bó hệ thống thơng tin hiệu hoạt động sản xuất kinh doanh lộ trình phát triển họ Mỗi ngày, họ đầu tư nhiều cho giá trị nội dung thông tin hạ tầng mạng lưới thiết bị, dịch vụ Hàng loạt giải pháp đời mang lại biến đổi lớn cấu trúc hạ tầng mạng riêng người dùng doanh nghiệp, tổ chức Cấu trúc phổ biến khơng xuất dạng nội LAN mà chuyển sang mơ hình diện rộng WAN Với WAN, doanh nghiệp, tổ chức dần mở cánh cửa văn phòng vươn rộng khắp nước biên giới, kết nối thường trực với tất chi nhánh, khách hàng, nhà cung cấp, nhà phân phối đại lý Các yêu cầu đặt thiết kế mạng WAN Chủ yếu có yêu cầu sau:  Mạng WAN phải mềm dẻo, có khả đáp ứng thay đổi hoạt động kinh doanh doanh nghiệp: Mạng WAN cần thiết kế mềm dẻo, có khả thay đổi theo thay đổi hoạt động kinh doanh doanh nghiệp mở thêm văn phòng, thay đổi nhà cung cấp nguyên liệu, thay đổi nhà phân phối, kênh bán hàng, v.v , cấu trúc mạng số nút mạng cần thay đổi theo  Khả khơi phục nhanh có cố, Khả đặt yêu cầu gia tăng khả định tuyến lại lưu lượng thật nhanh chóng điểm trung gian mạng đường truyền dẫn bị đứt Thông thường yêu cầu thừoi gian khôi lục liên lạc khoảng 50 ms hay nhỏ phục cho lưu lượng thoại Ngồi mạng WAN phải có khả mở rộng (các hệ số tốc độ tối đa kết nối WAN hay số lượng tối đa kênh ảo mà mạng hỗ trợ)  Hội tụ hạ tầng mạng lưới (Convergence of Network Infrastructure): hợp nhiều loại công nghệ (như ATM, Frame Relay), giao thức (như IP, IPX, SNA) kiểu lưu lượng (như data, voice, video) vào hạ tầng mạng chi phí hỗ trợ hạ tầng mạng giảm đáng kể so với hỗ trợ nhiều mạng lưới trước  Cách ly lưu lượng (Traffic Isolation) nhằm hai mục đích: tăng tính bảo mật (chỉ truy cập vào luồng lưu lượng mình) tính ổn định (các hoạt động thực thể ảnh hưởng đến thực thể đó) 4.2 Ứng dụng MPLS-VPN Đối với doanh nghiệp, tổ chức, loại hình mạng riêng ảo mạng diện rộng nhu cầu thiết thể lợi ích rõ ràng với hoạt động đối tượng Để công ty đạt mục tiêu kinh doanh, hạ tầng mạng riêng phải tỏa rộng theo hướng Mạng MPLS có khả hỗ trợ hàng nghìn mạng riêng ảo hạ tầng vật lý nhờ đặc điểm phân chia nhiệm vụ giảm bớt yêu cầu kết nối ngang hàng hoàn toàn đầu- cuối qua mạng Xét khả hỗ trợ VPN, hạ tầng mạng riêng ảo truyền thống dựa công nghệ cũ leased line, X25, ATM đáp ứng thực trạng đa dạng yêu cầu, đa dạng chất lượng dịch vụ hàng loạt đối tượng khách hàng Đây lý khiến nhà cung cấp dịch vụ phải chuyển hướng sang mơ hình cung cấp khác hiệu Sự đa dạng yêu cầu chất lượng minh họa theo nhóm đối tượng có yêu cầu khác sau: •VPN truy cập từ xa ( Remote Access VPN): cung cấp truy cập tin cậy cho người dùng từ xa nhân viên di động, nhân viên xa văn phòng chi nhánh thuộc mạng lưới DN • VPN nội (Intranet VPN): cho phép văn phòng chi nhánh liên kết cách bảo mật đến trụ sở DN • VPN mở rộng (Extranet VPN): cho phép khách hàng đối tác truy cập cách bảo mật đến Intranet DN.Do đó, giải pháp đưa phải xây dựng mạng mềm dẻo đa dịch vụ Mạng phải tích hợp dịch vụ intranet, extranet, Internet hỗ trợ cho mơ hình vpn đa dịch vụ Sự xuất MPLS đưa giải pháp lựa chọn ưu tiên nhà cung cấp Mơ hình thực tế ứng dụng MPLS-VPN Dưới hai ví dụ triển khai mạng riêng ảo dựa MPLS Ví dụ thứ nhất, tổ chức tài vận hành mạng riêng kết nối số đơn vị trực thuộc, tất đơn vị yêu cầu kết nối riêng trung tâm thực kết nối Các đơn vị trực thuộc lại có nhu cầu kết nối khác nhau, có đơn vị yêu cầu dịch vụ email hiệu đơn vị khác lại cần truy cập lớn có ứng dụng tương tác cần thời gian thực gọi VOIP Giải pháp cho loại mạng MPLS sử dụng công nghệ VPN/MPLS lớp Ở ví dụ thứ hai, doanh nghiệp sở hữu vận hành mạng riêng để phục vụ cho khối phòng ban hay văn phòng xa kết nối tới số ứng dụng quan trọng Doanh nghiệp muốn nâng cấp hỗ trợ dần lên theo cách sau: • Phân tách logic lưu lượng phòng ban- Thơng qua mơ hình mạng nội ảo VLANs chia tách lưu lượng hạ tầng mạng LAN họ muốn trì chia tách mạng WAN với tính bảo mật cao • Triển khai VOIP tới tất phòng ban chức chi nhánh • Truy nhập vào ứng dụng tương tác thời gian thực – trường hợp này, thường dạng mơ hình trung tâm phân phối gọi cần có tham số thời gian đáp ứng hiệu cao Giải pháp đưa triển khai mơ hình MPLS theo cơng nghệ VPN/MPLS lớp Các lưu lượng thoại liệu mạng LAN ảo dẫn tới VRF định tuyến văn phòng chi nhánh chuyển tải thơng qua mạng WAN đến vị trí xa khác Để đáp ứng cho nhu cầu bảo mật, giải pháp sử dụng IPSec Ngồi ra, định tuyến nội cấu hình có số liên kết bị đứt, tất lưu lượng định tuyến lại 50 ms đến tuyến thay khác để đảm bảo liên tục phiên cho tất người dùng Hình 4.1 Các kết nối văn phòng xa phòng ban phận 4.3 Triển khai MPLS-VPN VNPT Việt Nam Tại Việt nam, MPLS xúc tiến xây dựng mạng truyền tải Tập đoàn BCVT Việt nam (VNPT) Với dự án VoIP triển khai, VNPT thiết lập mạng trục MPLS với LSR lõi Các LSR biên tiếp tục đầu tư mở rộng địa điểm có nhu cầu lớn Hải Phòng, Quảng Ninh,… phía Bắc, Đà Nẵng, Khánh Hồ miền Trung, Bình Dương, Đồng Nai, Bà Rịa Vũng Tàu miền Nam  Lợi ích dịch vụ  Cho phép kết nối mạng máy tính cơng ty, doanh nghiệp với thành mạng riêng ảo khoảng cách địa lý khác  Chi phí thấp Đây giải pháp kết nối thơng tin với chi phí thấp nhiều so với công nghệ trước Leaseline, FrameRelay Như Ngân hàng Kỹ thương Việt Nam (Techcombank) chuyển từ dịch vụ thuê kênh trực tiếp (leased-line) sang dùng đường truyền MegaWAN toàn hệ thống Techcombank, ước tính năm Techcombank tiết kiệm khoảng 400 triệu đồng riêng chi phí thuê đường truyền  Tính linh hoạt ổn định cao theo yêu cầu riêng biệt khách hàng MegaWAN mang lại cho khách hàng:  Khai thác hiệu mềm dẻo  Có khả triển khai cung cấp dịch vụ nhanh chóng thuận tiện  Tầm với mở rộng, Nội tỉnh, Liên tỉnh, Quốc tế  Khả tương thích cao  Dịch vụ đa dạng: ADSL, ADSL2+, SHDSL  Tốc độ đa dạng, nx64K  Cho phép vừa sử dụng MRA vừa truy cập Internet đường dây thuê bao (nếu có nhu cầu)  Hoạt động ổn định Hiện VNPT cung cấp dịch vụ MEGA-WAN với loại hình dịch vụ VPN MPLS sau  VNPT MPLS VPN lớp 2: Với đặc trưng kết nối point – point với lớp truyền ATM, Ethernet, FR Triển khai dịch vụ ADSL, G.SHDSL kéo từ mạng VNPT tới CE khách hàng tự quản lý việc định tuyến.Ưu điểm VPN lớp là: không yêu cầu thay đổi từ phía mạng có khách hàng; Mức độ riêng tư phụ thuộc vào policy khách hàng; Khách hàng tự quản lý việc định tuyến từ PCE – PCE; Các giao thức hỗ trợ cho Unicast Multicast  VNPT MPLS VPN lớp 3: Công nghệ truyền dẫn ADSL G.SHDSL qua DSLAM Topo mạng Full-Mesh Trong dịch vụ VNPT quản lý việc định tuyến, người dùng việc phó mặc việc cho VNPT VPN lớp VNPT sử dụng giao thức định tuyến tĩnh, RIPv2, OSPF, BGP Dịch vụ có chi phí thấp cần thiết bị định tuyến khơng cần trình độ quản lý cao, nhà cung cấp dịch vụ quản lý hộ người dùng Tuy nhiên dịch vụ có số giới hạn người dùng khơng có khả tự quản lý định tuyến dịch vụ Wan lớp Cấu hình điểmđiểm đường trục Hà Nội, Đà Nẵng Hồ chí Minh sử dụng đóng gói ATM Mạng DSLAM cung cấp kết nối truy nhập xDSL CE–1 Chi nhánh1 PE Site1 VNPT MPLS L2 VPN PE PE CE–2 CE–3 Chi nhánh3 Site Chi nhánh2 Site2 Hình 4.2 VNPT MPLS-VPN lớp Chi nhánh-2 Trung tâm CE–0 Mơ hình Full-Mesh cho node truy nhập xDSL Chi Site2 CE–2 Site-0 PE PE VNPT MPLS L3 VPN PE PE nhánh-1 Site1 CE–1 G.SHDS Chi nhánh-3 CE–3Site L Hình 4.3 VNPT MPLS lớp ADSL  MegaWAN VNPT triên khai:  Mơ hình thực tế VNPT cung cấp: Hình 4.4 Mơ hình mạng MegaWAN thực tế VNPT cung cấp Các loại hình dịch vụ MegaWAN VNPT cung cấp:  Dịch vụ MegaWAN nội tỉnh Hiện dịch vụ MegaWAN nội tỉnh 64 bưu điện tỉnh, thành phố toàn quốc cung cấp Hình 4.5 Mơ hình MegaWAN nội tỉnh Hà Nội  Dịch vụ MegaWAN liên tỉnh Hình 4.6 Mơ hình MeaWAN liên tỉnh Hà Nội ... Internet VPN San FranCiscoDenver 1.267 $13.535 $1.900 Denver-chicago 1.023 $12.315 $1.900 Chicago-New York 807 $11.235 $1.900 Denver-Salt Lake 537 $6.285 $1.900 Denver-Dallas 794 $7.570 $1.900... lấn (overlay) có số ưu điểm sau:  Đó mơ hình dễ thực hiện, nhìn theo quan điểm khách hàng nhà cung cấp dịch vụ  Nhà cung cấp dịch vụ không tham gia vào định tuyến khách hàng mạng VPN overlay... ngăn xếp nhãn Nhãn đáy ngăn xếp nhãn có giá trị BS Các nhãn khác có giá trị bit BS  TTL (Time To Live): Thông thường bit TTL trực tiếp bit TTL tiêu đề gói IP Chúng giảm giá trị đơn vị gói qua