ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Nguyễn Thị Phương MẠNG RIÊNG ẢO VÀ GIẢI PHÁP HỆ THỐNG TRONG TỔNG CỤC THUẾ Ngành: Công nghệ Thông tin Chuyên ngành: Truyền liệu Mạng máy tính Mã số: 60 48 15 LUẬN VĂN THẠC SĨ NGƯỜI HƯỚNG DẪN KHOA HỌC PGS TS NGUYỄN VĂN TAM Hà Nội - 2009 Trường Cao Đẳng Giao Thông VậnTải MỤC LỤC Trang phụ bìa Lời cam đoan Lời cảm ơn Mục lục Danh mục thuật ng Danh mục hình vẽ MỞ ĐẦU CHƢƠNG TỔNG QUAN VỀ MẠNG RIÊNG ẢO 1.1 Tổng quan 1.2 Khái niệm VPN 1.3 Khái niệm đường hầm 1.4 Phân loại VPN 1.4.1 1.4.2 1.5 Kết luận CHƢƠNG MẠNG RIÊNG ẢO TRÊN NỀN CÔNG NGHỆ MPLS 2.1 Vấn đề đặt ra? - Tính khả chuyển - Điều khiển lưu lượng - Chất lượng dịch vụ (QoS) 2.2 Chuyển mạch nhãn đa 2.2.1 2.2.2 2.2.3 2.2.4 2.2.5 2.3 Kết luận CHƢƠNG ỨNG DỤNG MPLS IP VPN VÀO HỆ THỐNG MẠNG NGÀNH VÀ GIẢI PHÁP HỆ THỐNG 3.1 Bối cảnh chung 3.2 Đánh giá ưu nhược điể 3.3 Giải pháp MPLS IP VPN để nâng cao an ninh cho hệ thống mạng TCT 51 3.4 Kết luận CHƢƠNG KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN DANH MỤC CÁC THUẬT NGỮ VÀ CÁC TỪ VIẾT TẮT Tên viết tắt BTC C (Custommer network) – C network CE(Customer network device) CEF CPE Customer site FEC FEC Frame Relay IP L2PT ( Layer Tunnening Protocol) MPLS (Multiprotocol Label Switching ) P: Provider – P network Tên viết tắt PE (Provider edge device) PPTP (Point to Point Tunnening Protocol) PVC PVC ( permanent virtual circuit) QoS (Quality of Service) Router SVC (switch virtual circuit) TCT TDM ( time divisor multiplexing) TTM TTT VC(Vitual chanel) VPN (Vitual private network) VRF(vitual routing/forwarding table) X.25 DANH MỤC HÌNH VẼ Hình 1.2 Over lay VPN triển khai l Hình 1.3 Mơ hình Overlay VPN triển Hình 1.4 Mơ hình triển khai dạn Hình 1.5 Mơ hình Overlay VPN Hình 1.6 Mơ hình site to site VPN Hình 1.7 Mơ hình VPN ngang cấp sử dụng router dùng chung Hình 1.8 Mơ hình VPN ngang cấp với router dùng chung Hình 1.9 Mơ hình VPN ngang cấp sử dụng router dành riêng Hình 1.10 Mơ hình router dành riêng Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình 2.1 Full mesh với kết nối ảo 2.2 Một ví dụ mạng IP dựa t 2.3 Nhãn kiểu khung 2.4 Nhãn kiểu tế bào 2.5 Cấu trúc nú 2.6 Các FEC riêng biệt cho mỗ 2.7 Tổng hợp FEC 2.8 Sự tạo nhãn MPLS chuy 2.9 Các ứng dụng khác củ 2.10 Mơ hình mạng MPLS 3.1 Hạ tầng mạng BTC 3.2 Mơ hình Overlay layer – 3.3 Mơ hình Peer – to – Peer V 3.4 Mơ hình kết nối Internet BT 3.5 Kết nối mạng diện rộng hệ 3.6 Dòng liệu ngành Thuế 3.7 Kiến trúc hệ thống truyền th 3.8 Sơ đồ kết nối mạng trục BT 3.9 Các kết nối WAN hai t 3.10 Sơ đồ hệ thống mạng phân bố từ TTM xuống TTT 3.11 Cấu trúc mạng trục với WAN truyền thống MPLS VPN 3.12 Mơ hình kết nối sử dụng dịch vụ MPLS IP VPN 3.13 Khả định tuyến gói tin MPLS IP VPN 3.14 Mơ hình vùng MPLS IP VPN thuê nhà cung cấp dịch vụ 3.15 Mơ hình kết nối sử dụng IP Sec VPN thông qua Internet Hình 3.16 Lớp mạng trục B Hình 3.17 Kết nối từ TTT lên TTM Hình 3.18Lớp mạng phân Hình 3.19 Các phân lớp mạ Hình 3.20 Virtual Interface với GRE Encapsulation thông qua mạng công cộng Hình 3.21 Các kết nối GRE Hình 3.22 Mạng trung ươn Hình 3.23Lớp truy cập Hình 3.24 Sử dụng 02 Router kết nối cho đơn vị có u cầu tính Hình 3.25Truy cập IPSec V Hình 3.26 Mơ hình khai bá Hình 3.27Kiến trúc bảo m Hình 3.28 Mã hố đường tr Hình 3.29Mơ hình phân tá Hình 3.30 An ninh vịng ng Hình 3.31 Bảo vệ hệ th Hình 3.32 Mơ hình thử ngh MỞ ĐẦU Thế kỷ 20 coi kỷ phát minh quan trọng thúc đẩy xã hội phát triển Đi đầu cách mạng không kể tới tiến vượt bậc áp dụng Thuế, Ngân hàng - thành phần kinh tế then chốt đáp ứng nhu cầu tài huyết mạch kinh tế Ngày nay, mà có nhiều cơng ty kết nối mạng doanh nghiệp với Intemet, hay cơng ty có nhiều trụ sở vị trí địa lý khác cần liên lạc thông tin nội ngành với việc bảo mật thơng tin ngành điều bắt buộc phải đối mặt với vấn đề khơng tránh khỏi bảo mật thơng tin Viêc chia sẻ thông tin mạng công cộng có nghĩa người muốn tìm kiếm, khơi phục thơng tin lên mạng Điều xảy người tiếp cận thơng tin lại có ý định phá mạng Nhưng hacker có ý đồ xấu nghe thông tin, tiếp cận thơng tin khơng đáng, trái phép, lừa bịp, chép thông tin mối đe doạ lớn cho việc bảo mât mạng Vậy làm để bảo mật thơng tin q trình truyền tin mạng chung? Có nhiều phương án để đảm bảo truyền tin mạng cách an toàn phương án hữu hiệu triển khai mạng riêng ảo (Virtual private network - VPN) VPN hệ thống mạng triển khai dựa quy tắc: áp dụng tiêu chuẩn bảo mật, quản lý chất lượng dịch vụ hệ thống mạng công cộng vào hệ thống mạng cá nhân VPN cung cấp cho lựa chọn mới: Xây dựng mạng cá nhân cho thông tin liên lạc klểu site- to- site mạng cơng cộng hay Intemet Bởi hoat động mạng chung thay mạng cá nhân nên cơng ty mở rộng WAN mơt cách hiệu quả, khách hàng di động hay văn phòng nơi xa xôi, khách hàng hay nhà cung cấp hay đối tác kinh doanh VPN mở rộng WAN truyền thống cách thay kết nối điểm tới điểm vật lý kết điểm tới điểm logic chia sẻ hạ tầng chung, cho phép tất lưu lượng tổng hợp, hội tụ vào kết nối vât lý Kết tạo nên băng thông tiềm tiết kiệm chí phí đầu Bởi khách hàng khơng cịn phải trì mạng cá nhân thân VPN rẻ tiết kiệm chi phí đáng kể so với WAN, tồn chi phí hoạt động vận hành giảm VPN thay cho hạ tầng WAN, thay chí cịn tăng cường hệ thống mạng thương mại cá nhân sử dụng kênh thuê riêng, frame- relay hay ATM Luận văn “Mạng riêng ảo giải pháp hệ thống Tổng Cục Thuế” vào nghiên cứu mạng riêng ảo, phân tích loại mạng riêng ảo cho thấy mặt tích cực hạn chế loại, bên cạnh nghiên cứu công nghệ MPLS – công nghệ chuyển mạch nhãn đa giao thức – , Các ứng dụng công nghệ MPLS sâu vào nghiên cứu ứng dụng quan trọng cơng nghệ MPLS mạng riêng ảo Trên sở phân tích mang tính lý thuyết luận văn đưa giải pháp để ứng dụng công nghệ vào hệ thống mạng thực tế Tổng cục thuế Về bố cục, nội dung luận văn chia làm chương: Chương 1: Nghiên cứu tổng quan mạng riêng ảo, loại mạng riêng ảo Chương 2: Nghiên cứu mạng riêng ảo công nghệ MPLS Chương 3: Nghiên cứu hệ thống mạng truyền thông Tổng cục thuế sở phân tích, khảo sát trạng hệ thống mạng Bộ tài đưa giải pháp mơ hình thiết kế mang tính ứng dụng khả thi kỹ thuật công nghệ kinh tế Chương 4: Kết luận hướng phát triển Ngồi ra, luận văn cịn có thêm danh mục thuật ngữ, từ viết tắt, danh mục bảng biểu, hình vẽ danh mục tài liệu tham khảo để thuận tiện cho việc tìm hiểu tra cứu nội dung luận văn CHƢƠNG TỔNG QUAN VỀ MẠNG RIÊNG ẢO Trong chương này, báo cáo luận văn giới thiệu tổng quan mạng riêng ảo, khái niệm VPN, khái niệm đường hầm, phân loại VPN Đi sâu vào hai loại VPN là: mơ hình Overlay VPN site to site VPN Trên sở phân tích nội dung loại cho ta thấy rõ ưu, nhược tồn mơ hình 1.1 Tổng quan VPN thuật ngữ quen thuộc nay, lựa chọn gần tối ưu cơng ty có từ chi nhánh trở lên có nhu cầu kết nối mạng với nhau, có nhu cầu thiết lập mối quan hệ thân thiết với khách hàng, đối tác, đặc thù công việc có nhiều nhân viên làm việc từ xa Ai biết VPN khơng cịn thuật ngữ mới, nhiên biết VPN đề cập xây dựng từ cuối thập kỷ 80 kỷ trước, trải qua nhiều giai đoạn phát triển Thế hệ VPN thứ AT&T phát triển có tên SDNs (Software Defined Networks) Thế hệ thứ ISDN X25 Thế hệ thứ FR ATM Và hệ nay, hệ thứ VPN mạng IP Thế hệ VPN mạng MPLS 1.2 Khái niệm VPN VPN công nghệ cung cấp phương thức giao tiếp an toàn mạng riêng dựa vào kỹ thuật đường hầm để tạo mạng riêng sở hạ tầng mạng dùng chung (mạng Internet) Về chất trình đặt tồn gói tin vào lớp tiêu đề chứa thơng tin định tuyến truyền an tồn qua mạng cơng cộng VPN mạng riêng sử dụng để kết nối mạng riêng lẻ hay nhiều người sử dụng xa thông qua kết nối ảo dẫn qua đường Internet thay cho kết nối thực, chuyên dụng đường leased line VPN bao gồm hai phần: mạng nhà cung cấp dịch vụ mạng khách hàng mạng nhà cung cấp dịch vụ chạy dọc sở hạ tầng mạng công cộng, bao gồm định tuyến cung cấp dịch vụ cho mạng khách hàng 67 có địa Public IP, địa kết cuối VPN Server cho kết nối VPN ( VPN client, site-to-site) từ người sử dụng bên Internet 3.3.2.5 Kết nối tới mạng bên ngồi Hệ thống hạ tầng truyền thơng ngành Tài theo thiết kế đề xuất hệ thống mở, cho phép đơn vị khác bên ngành Tài truy cập vào đơn vị thuộc Ngành Tài đảm bảo an ninh, chất lượng dịch vụ toàn hệ thống Một số kết nối từ bên vào hạ tầng Truyền thơng ngành Tài như: Kết nối Ngân hàng bên Kết nối Tới mạng MAN Hồ Chí Minh Kết nối VAN cho hải quan Các kết nối phục vụ khai báo Thuế online Về nguyên tắc, tất lưu lượng đơn vị bên khác hạ tầng dùng chung ngành Tài phân tách MPLS VPN khác mạng MPLS VPN riêng BTC Dưới ví dụ kết nối cụ thể Mơ hình khai báo Thuế online Hình vẽ mơ hình khai báo Thuế online triển khai hạ tầng BTC Theo đó, cá nhân, tổ chức truy cập qua Internet, qua cổng kết nối Internet ngành tài chính, tới IPSec VPN Server Tại đây, người khai báo thuế sử dụng username/password công cộng ( giả sử: user= thue_online, pass=public), sau xác thực thành cơng, kết nối IPSec VPN từ máy tính người khai báo thuế tới VPN Server ánh xạ tới VPN dùng chung cho khai báo thuế online Qua đó, người sử dụng truy cập Server khai báo Thuê online đặt Thuế Các lưu lượng khai báo thuế online hoàn toàn phân tách VPN riêng hệ thống MPLS VPN riêng ngành Tài chính, an ninh tổng thể tồn hệ thống đảm bảo 68 Hình 3.26 Mơ hình khai báo Thuế On-line Ngồi ra, với hỗ trợ dịch vụ truy cập từ Internet dial-up vào MPLS VPN Bộ tài chính, cho phép Các ngành trực thuộc Bộ Tài triển khai loại hình truy cập cho cơng cộng cách an tồn dễ dàng mở rộng Khách hàng công cộng truy cập VPN „username‟ công cộng ánh xạ tương ứng tới MPLS VPN công cộng hệ thống Bộ Tài chính, qua khách hàng truy cập tài nguyên công cộng phép Các truy cập cơng cộng hồn tồn tách riêng với MPLS VPN khác hệ thống, an ninh tổng thể toàn hệ thống Bộ tài đảm bảo 3.3.3 Đánh giá hệ thống đảm bảo an ninh Ngày , doanh nghiệp có kết nối Internet s dụng Firewall để tự bảo vệ trước giới nhiều biến động bên ngồi Và lớp phịng vệ bên ngồi doanh nghiệp Với tiến vượt bậc công nghệ, công cụ , kỹ thuật công ngày dễ dàng , có vơ số website hướng dẫn cung cấp miễn phí cơng cụ cơng Internet Do đó, phịng thủ vịng ngồi phịng thủ lớp khơng thơi thìkhơng đủ để đảm bảo vấn đề an ninh mạng 69 Cho đến nay, doanh nghiệp buộc phải triể n khai nhiều thứ cơng nghệ bảo mật để đối phó với mối đe d ọa xuất Phòng ngừa virus, lọc chống thư rác (spam mail), tường lửa để kiểm soát truy cập, phát xâm nhập để chống hacker , Toàn trình tốn , cồng kềnh dư thừa Mục tiêu thực bảo mật đưa giải pháp bảo mật tốt với chi phí đầu tư thấp Hình 3.27 Kiến trúc bảo mật đề xuất Kiến trúc bảo mật bao gồm nhiều phân lớp bảo mật: Phân lớp bảo vệ: sử dụng công nghệ bảo mật Firewall, IDS, IPS để chống lại công xuất phát từ bên lẫn bên Bảo mật kết nối mạng: đảm bảo thông tin quan trọng bảo mật đường truyền Xác thực nhận dạng, cấp quyền truy cập tới tài nguyên hệ thống Kiểm soát truy cập, đảm bao an ninh phân lớp ứng dụng Áp dụng vào hệ thống mạng Bộ tài chính, việc đảm bảo an ninh cho toàn hệ thống chia thành phần chính: An ninh cho kết nối WAN An ninh cho phần mạng trục MPLS Bộ tài An ninh đơn vị sử dụng dịch vụ MPLS VPN nội ngành Tài An ninh hệ thống cho cổng kết nối Internet ( Internet gateway) 3.3.3.1 An ninh cho kết nối WAN Trên hạ tầng mạng Bộ tài Chính ( Bao gồm TTT & TTM), kết nối sử dụng MPLS VPN nhà cung cấp dịch vụ công cộng, sử dụng phương 70 thức mã hóa IPSec cho GRE tunnel theo mơ tả hồn tồn đảm bảo tính an toàn Đối với kết nối WAN truyền thống ( sử dụng leased-lines), sử dụng thiết bị mã hóa đường truyền Layer-1 cho đường leased-lines, Layer-2 cho FrameRelay Hình vẽ mơ tả việc sử dụng thiết bị mã hóa Layer-1 điểm-điểm cho kết nối Leased-lines từ TTT, trụ sở Ngành lên thiết bị TTM-2 Ưu điểm việc sử dụng thiết bị mã hóa Layer-1 điểm-điểm khơng làm phức tạp hóa cấu trúc lơgíc tồn hệ thống Hình 3.28 Mã hố đƣờng truyền Leased – lines TTT - TTM 3.3.3.2 An ninh cho phần mạng trục MPLS VPN tài MPLS cung cấp kh ả tách biệt định tuyến, địa mạng đầy đủ dịch vụ layer-2 VPN truyền thống khác MPLS dấu cấu trúc địa ch ỉ lớp mạng core VPN khác Cần thực biện pháp chống giả mạo địa (IP Spoofing): Yêu cầu triển khai tất PE router để chống IP spoofing Cho phép kiểm tra gói tin 71 nhận giao diện Căn vào địa IP nguồn gói tin , bảng định tuyến khơng có đường định tuyến trỏ tới cổng giao tiếp nơi mà gói tin đến, router loại bỏ gói tin Có biện pháp chống công từ chối dịch vụ kiểu phân bố (DDoS): Lọc, giới hạn route Áp dụng bư ớc ingress & egress filter (xem RFC 2267) access lists (ACLs) Các PE router cần cấu hình chỉch ấp nhận gói tin vào t phía CE gói tin thuộc CE Kết PE router loại bỏ gói tin vào PE từ CE với địa nguồn trùng với địa mạng Core thuộc CE khác 3.3.3.3 An ninh cho đơn vị sử dụng dịch vụ MPLS VPN riêng ngành tài Hình vẽ thể mơ hình phân tách lớp mạng, đảm bảo an ninh cho ngành trực thuộc sử dụng dịch vụ MPLS VPN hạ tầng mạng Bộ tài Hình 3.29 Mơ hình phân tách lớp mạng, đảm bảo an ninh cho đơn vị 72 Trong đó, mạng nội ngành trực thuộc Thuế, KB, HQ, tách biệt VPN khác nhau, sử dụng dải địa IP trùng ( ví dụ 10.1.x.x hình vẽ) Giữa mạng nội khơng thể có trao đổi số liệu trực tiếp với Để tách riêng Server dùng chung đơn vị thành VRF riêng, áp dụng tính Multi-VRF CE router ( Multi-VRF tính cho phép cấu hình nhiều bảng VRF CE router vật lý, ứng dụng mơ tả hình vẽ đây: Trong sách đánh số RD, RT đưa đây, mạng nội ngành không truy cập trực tiếp tới phân hệ Server dùng chung ngành khác, mà phải thông qua phân hệ Server dùng chung ngành Ví dụ, User mạng Thuế không trực tiếp truy cập tới Servers dùng chung KB, mà phải gián tiếp thông qua Servers dùng chung Thuế Địa IP sử dụng sơ đồ mang tính chất mơ tả, theo đó, mạng nội thuộc ngành hồn tồn tách biệt với nhau, việc trao đổi số liệu ngành thực thông qua phân hệ Server dùng chung Do đó, việc bảo vệ an ninh ngành với nhau, chống loại hình công xuất phát từ bên sang ngành khác, chống việc lan tràn virus, worm hệ thống thực thiết bị đảm bảo an ninh hệ thống kết nối CE-Router đơn vị ( kết nối tới mạng MPLS BTC) phân hệ Server dùng chung đơn vị Các thiết bị đảm bảo an ninh hệ thống bao gồm Firewall, IDS/IPS, Anti-virus, Anti-worm, ra, Server ứng dụng quan trọng bổ sung thêm phần mềm bảo vệ H-IPS 3.3.3.4 An ninh hệ thống cho kết nối Internet Việc bảo vệ an ninh hệ thống chống lại mối đe dọa từ bên Internet thực thông qua nhiều mức bảo vệ khác Bảo vệ vịng ngồi: 73 IPS Internet BTC Firewall Anti Virus, worm Hình 3.30 An ninh vịng ngồi Bắt đầu từ kết nối Internet, Internet router thực công việc bảo vệ chống công từ bên dựa vào danh sách điều khiển truy cập ( AccessControl-List), sau trước lưu lượng đến firewall , hệ thống chống xâm nhập (IPS) đặt vịng ngồi Hệ thống IPS đặt trước tường lửa làm lớp bảo vệ đ ầu tiên phản ứng l ại với xâm nhập , không cần can thiêp người quản trị hệ thống Kiểm soát truy cập t Internet bảo vệ tư ờng lửa Đây lớp phịng vệ trước mạng khơng có độ tin cậy cao mạng an ninh hệ thống BTC Hệ thống Firewall vịng ngồi nối thẳng tới PE-router mạng MPLS BTC, hệ thống firewall cần hỗ trợ khả phân chia VLAN giao diện Ethernet, khả tạo nhiều „virtual-firewall‟, để qua gán „virtualfirewall‟ cho ngành trực thuộc, gán VLAN VRF tương ứng với VPN ngành Như vậy, ngành sử dụng kết nối Internet hạ tầng chung BTC, ngành trao quyền quản lý „virtual-firewall‟ cho ngành trực thuộc tự thiết lập sách bảo mật riêng phù hợp với đặc thù ngành Tầng Firewall thứ hai bảo vệ hệ thống ứng dụng 74 CA Server App Server Mail Server N-IDS H-IPS Firewall Hình 3.31 Bảo vệ hệ thống ứng dụng Tường lửa thứ hai b ộ tài chánh lớp phòng vệ thứ hai phòng vệ chiều sâu để bảo vệ hệ thống ứng dụng Một đặc điểm ứng dụng ngành Tài việc sử dụng giao thức https cho ứng dụng quan trọng, thiết bị chống xâm nhập IDS cần hỗ trợ khả phân tích giám sát lưu lượng dạng mã hóa SSL Phân hệ Server sở liệu ( backend server) Được bảo vệ tầng firewall thứ ba Firewall thuộc tầng khác sử dụng hãng khác nhằm mục đích giảm thiểu khả bị công lỗ hổng bảo mật thời điểm chủng loại firewall Ngồi ra, cần có hệ thống chống Virus, Worm, lọc URL làm việc với Firewall, cho phép hoạt động suốt người sử dụng Xác thực Nhận dạng Các truy cập từ bên vào số Server ứng dụng đặc biệt vùng DMZ cần xác thực username/password cấp quyền truy cập Việc thực nhờ RADIUS Server Các firewall có khả xác thực & cấp quyền truy cập làm việc với RADIUS Server RADIUS Server đặt phân hệ quản trị mạng 75 3.3.4 Hoạt động thử nghiệm Qua phân tích đánh giá Hiện Tổng cục thuế tiến hành thử nghiệm hệ thống sử dụng Cục thuế Hải Dương, chi cục Thuế Hải Dương, chi cục thuế Huyện Chí Linh, chi cục Thuế Huyện Gia Lộc thu kết mong muốn tiêu chí đặt cụ thể: Hình 3.32 Mơ hình thử nghiệm Truyền số liệu thực tế qua hệ thống MPLS VPN VNPT Trên Cisco router tham gia thử nghiệm, sử dụng lệnh “Ping” kiểm tra xem kết nối IP tới Virtual-Template Router khác tham gia vào hệ thống thử nghiệm có thành cơng Kiểm tra với lưu lượng thật Kiểm nghiệm độ ổn định hệ thống dịch vụ công cộng MPLS VPN Giám sát độ ổn định kết nối qua hệ thống MPLS VPN Chất lượng dịch vụ, tốc độ truyền số liệu thực tế so với tốc độ cam kết dịch vụ công cộng MPLS VPN Thực download với nhiều session khác nhau, từ máy tính khác nhau, xác định tốc độ truyền thực tế lớn Kiểm nghiệm khả đảm bảo security thực tế cho kết nối MPLS VPN nhà cung cấp dịch vụ Giả mạo địa chỉ: Từ máy tính mạng LAN đơn vị (giả sử Cục thuế Hải dương) ping tới địa ( ping được) với địa nguồn IP máy tính khác mạng LAN đơn vị khác ( giả sử chi cục thuế Chí Linh) Kiểm tra xem máy tính mạng LAN đơn vị bị giả mạo ( Chí linh) có nhận gói tin 76 phản hồi hay không Nếu nhận được, chức chống giả mạo địa hệ thống mạng MPLS VPN người sử dụng khơng có Với cơng nghệ MPLS VPN, kiểm chứng gửi gói tin từ VPN tới VPN khác, khơng cần kiểm tra đặc tính ( mạng thử nghiệm có VPN) Cần trì hệ thống thử nghiệm hoạt động với lưu lượng thực tế sau khoảng thời gian đủ dài ( tháng) để kết luận tính khả thi việc triển khai sử dụng rộng rãi dịch vụ MPLS VPN toàn ngành Tài 3.4 Kết luận Tóm lại với giải pháp thiết kế hệ thống đưa hệ thống mạng truyền thơng Bộ Tài nói chung Tổng cục Thuế nói riêng khắc phục nhược điểm mơ hình kết nối thu hệ thống tổng thể đáp ứng nhu cầu tốc độ truyền an toàn liệu Hệ thống với thiết kế cập nhật ứng dụng thành tựu CNTT kết hợp với kế thừa hệ thống tại, cho phép tạo nên hệ thống linh hoạt, có khả phát triển, mở rộng cao, tính dự phịng cao đáp ứng nhu cầu tồn Bộ Tài Chính nói chung Tổng cục Thuế nói riêng tương lai Tuy nhiên, hiệu hệ thống tính giá trị vật chất, số liệu cụ thể Với thiết kế mới, thông tin tồn Bộ Tài Chính xử lý an tồn, xác, kịp thời đảm bảo hoạt động ổn định tồn Bộ Tài Chính trước yêu cầu Việc áp dụng công nghệ MPLS IP VPN hệ thống mạng ngành Tài thu lợi ích đáng kể trước tiên ta thấy rõ hệ thống không yêu cầu thêm thiết bị mạng Router, switch so với xây dựng hệ thống mạng IP truyền thống Tất thiết bị Router, Switch TTT, TTM hỗ trợ sẵn sàng tính năng, giao thức MPLS, việc xây dựng hệ thống MPLS VPN riêng đơn triển khai sử dụng tính MPLS sẵn thiết bị Với việc xây dựng MPLS VPN riêng ngành tài chính, Bộ tài tiết kiệm khoản đầu tư đáng kể để đảm bảo an ninh hệ thống, phân tách đơn vị khác hệ thống Firewall, IPS, Anti-Virus cần thiết tất 64 TTT, TTM so với không xây dựng hệ thống MPLS VPN riêng Hệ thống phù hợp với định hướng CNTT Bộ Tài Chính, đồng thời phù hợp với xu phát triển cơng nghệ giới, khơng bị lãng phí, lạc hậu 77 tương lai Phù hợp với môi trường tin học viễn thông Việt nam thời điểm tại, đón bắt xu hướng cơng nghệ Việt nam tương lai 78 CHƢƠNG KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN Ngày nay, ứng dụng Internet sử dụng rộng rãi lĩnh vực, khắp nơi giới Sự mở rộng Internet kéo theo cải tiến khơng ngừng mơ hình mạng, kéo theo dịch vụ mạng để đáp ứng nhu cầu truyền thơng tin cách an tồn, hiệu Một ứng dụng quan trọng mạng riêng ảo Ngoài việc giới thiệu khái niệm mạng riêng ảo, luận văn cịn sâu vào phân tích loại mạng riêng ảo nay, hạn chế tồn mơ hình, mạnh mơ hình giúp người đọc có nhìn tổng quan mơ hình để từ lựa chọn áp dụng vào mơ hình cho có hiệu qủa Hiện có nhiều cơng nghệ đời nhằm nghiên cứu phương thức truyền tin mạng cách an tồn cơng nghệ ứng dụng rộng rãi MPLS VPN Luận văn trình bày khái niệm phương thức hoạt động công nghệ MPLS sâu vào phân tích cấu trúc MPLS cách thức truyền gói tin gắn nhãn mạng từ địa nguồn tới địa đích cách an tồn Trên sở phân tích hệ thống mạng trạng Bộ tài nói chung, Tổng cục Thuế nói riêng luận văn đưa giải pháp thiết kế hệ thống cụ thể để thu hệ thống có mức độ đảm bảo an ninh Để có hệ thống mạng đáp ứng nhu cầu thực tế Bộ tài Luận văn xin đề xuất số hướng nghiên cứu tương lai sau: - Xây dựng giải pháp thiết kế trung tâm dự phịng thơng tin Xây dựng hệ thống vận hành bảo dưỡng hệ thống phân tích, chuẩn đốn kết nối mạng chi tiết theo thời gian thực, hệ thống quản lý vấn đề an ninh, bảo mật, hệ thống cho phép thực khảo sát tập hợp liệu lập báo cáo chi tiết đo đạc hiệu xuất mạng - điều mà BTC quan tâm Qui hoạch lại địa IP cho Bộ tài chính, cho khai thác ưu điểm tận dụng hết tài nguyên mạng 79 TÀI LIỆU THAM KHẢO Tiếng Việt Mơ hình hạ tầng truyền thơng Bộ tài Mơ hình hạ tầng truyền thông Tổng cục Thuế Tiếng Anh http://www.tech-faq.com/tunneling.shtml 2.http://www.congnghemoi.net/Hatangmang/ChitietHatangmang/tab id/7 60/ArticleID/525/tid/585/Default.aspx Ina Minei, Junian Lucek “ MPLS – Enable Application” Emering Development and New Technologies “MPLS – Enable Application” http://www.slb.com/media/services/consulting/infrastructure/mpls_whi te paper.pdf http://en.wikipedia.org/wiki/MPLS_VPN Rosen E., Viswanathan, A and R Callon, "Multiprotocol 10 Callon R., et al., "A Framework for Multiprotocol Label Switching", Work in Progress 11 http://www.activator-uk.com/page29.aspx 81 ... cá nhân sử dụng kênh thuê riêng, frame- relay hay ATM Luận văn ? ?Mạng riêng ảo giải pháp hệ thống Tổng Cục Thuế? ?? vào nghiên cứu mạng riêng ảo, phân tích loại mạng riêng ảo cho thấy mặt tích cực... văn đưa giải pháp để ứng dụng công nghệ vào hệ thống mạng thực tế Tổng cục thuế Về bố cục, nội dung luận văn chia làm chương: Chương 1: Nghiên cứu tổng quan mạng riêng ảo, loại mạng riêng ảo Chương... VPN Mạng riêng ảo hệ thống mạng ảo hai đầu cuối hệ thống hay hai hay nhiều mạng riêng Do ta chia mạng mạng riêng ảo thành hai loại là: Customer – based VPN ( hay gọi Overlay VPN): mạng riêng ảo