ĐẠI HỌC QUỐC GIA HÀ NỘI ĐẠI HỌC CÔNG NGHỆ Trương Hồi Nam NGHIÊN CỨU CƠNG NGHỆ MẠNG RIÊNG ẢO VPN/MPLS VÀ TRIỂN KHAI ỨNG DỤNG TẠI NGÂN HÀNG NHÀ NƯỚC VIỆT NAM LUẬN VĂN THẠC SỸ Hà Nội - 2006 ĐẠI HỌC QUỐC GIA HÀ NỘI ĐẠI HỌC CÔNG NGHỆ Trương Hồi Nam NGHIÊN CỨU CƠNG NGHỆ MẠNG RIÊNG ẢO VPN/MPLS VÀ TRIỂN KHAI ỨNG DỤNG TẠI NGÂN HÀNG NHÀ NƯỚC VIỆT NAM Ngành Chuyên Ngành Mã Số : Công nghệ Điện tử – Viễn thông : Kỹ thuật vô tuyến điện tử thông tin liên lạc : 07 00 LUẬN VĂN THẠC SỸ NGƯỜI HƯỚNG DẪN KHOA HỌC: PSG TS NGUYỄN VIẾT KÍNH Hà Nội - 2006 MỤC LỤC MỤC LỤC Danh mục ký hiệu, chữ viết tắt Danh mục hình vẽ MỞ ĐẦU CHƯƠNG TỔNG QUAN VỀ CÔNG NGHỆ MẠNG RIÊNG ẢO VPN 1.1 1.2 1.2.1 1.2.2 1.2.3 1.3 1.4 1.4.1 1.4.2 1.4.3 1.4.4 Giới thiệu VPN Các loại mạng VPN V In E Các thành phần mạng VP Các giao thức tạo đường hầm t G G G S CHƯƠNG BẢO MẬT TRONG VPN 2.1 2.1.1 2.1.2 2.1.3 2.1.4 2.1.5 2.2 2.3 2.4 2.4.1 Các dịch vụ bảo mật X C K T T Bảo mật giao thức PPTP Bảo mật giao thức L2TP Bảo mật giao thức IPSec B 2.4.2 2.4.3 B Q CHƯƠNG CÔNG NGHỆ CHUYỂN MẠCH NHÃN ĐA GIAO THỨC MPLS 3.1 3.2 3.3 3.4 Giới thiệu cơng nghệ MPLS Chuẩn hố MPLS Các thành phần, khái niệm tron Các chế độ hoạt động MPL 3.4.1C 3.4.2C 3.5Các giao thức sử dụng mạng M 3.5.1G 3 3.5.2G 3 3.5.3G CHƯƠNG ỨNG DỤNG MẠNG RIÊNG ẢO VPN TRÊN MẠNG MPLS 4.1Mơ hình chồng lấn 4.2Mơ hình ngang hàng 4.3Các định tuyến ảo MPLS V 4.4Kiến trúc MPLS VPN 4.4.1G 4.4.2N 4.4.3D 4.5Vấn đề bảo mật MPLS VPN 4.5.1B 4.5.2B 4.5.3B 4.6Chất lượng dịch vụ MPLS VP 4.6.1M 4.6.2M 4.6.3C CHƯƠNG TRIỂN KHAI VPN/MPLS THỰC TẾ 5.1So sánh IPSec MPLS 5.1.1V 5.1.2V 5.1.3T 5.2Triển khai ứng dụng VPN Ngân 5.2.1G 5.2.2G 5.2.3G KẾT LUẬN TÀI LIỆU THAM KHẢO Danh mục ký hiệu, chữ viết tắt Viết tắt AH Authentic ATM Asynchro AS Autonom BGP Border G CE Custome CHAP Challeng Authentic CoS Class of S CR-LDP Constrain CSPF Constrain DES Data Enc DLCI Data Lin ESP Encapsul FEC Forwardi FIB Forward FR Frame Re IETF Internet E IGP Interior G IKE Internet K IPSec Internet P ISO Internatio Standard ISP Internet S L2TP Layer T LAN Local Ar LDP Label Di LER Label Ed LFIB Label Fo LIB Label Inf LSP Label Sw LSR Label Sw MD5 Message- MPLS Multipro MPPE Microsof NAS Network NAT Network OSPF Open Sho PAP Password PE Provider PPP Point to P PNA Private N PPTP Point-to- PSTN Public Sw QoS Quality o RADIUS RAS Remote A User Serv Remote A RIP Routing I RSVP Resource SHA Secure H SPED Service P TACACS Terminal Control S TOS Tunnel O VC Vitual Ci VPN Virtual P VPNID VPN Ide VR Vitual Ro Danh mục hình vẽ Hình 1.1 - Mạng riêng ảo VPN Hình 1.2 – VPN truy cập từ xa Hình 1.3 - Mơ hình Remote Access VPN, Intranet Extranet VPN Hình 1.4 - Mơ hình đường hầm Tunnel Hình 1.5 - Kết nối PPP máy khách máy phục vụ truy cập mạng Hình 1.6 - Kiến trúc PPTP Hình 1.7 - Kết nối điều khiển PPTP tới máy phục vụ PPTP qua PPP Hình 1.8 - Đường hầm chủ động Hình 1.9 - Đường hầm thụ động Hình 1.10 - Quá trình chuyển gói tin mã hố qua đường hầm PPTP Hình 1.11 - Kiến trúc L2TP Hình 1.12 - Q trình chuyển gói tin qua đường hầm L2TP Hình 1.13 - Kiến trúc IPSec Hình 2.1 - Máy chủ xác thực cấp quyền truy cập từ xa Hình 2.2 - Chữ ký điện tử Hình 2.3 - Chữ ký RSA Hình 2.4 - Thuật tốn băm Hình 2.5 - Mã hoá theo chuỗi khối liên tục (CBC) Hình 2.6 - Trao đổi khố Diffie Hellman Hình 3.1- Các định dạng nhãn Hình 3.2 - Mạng MPLS chế độ hoạt động khung Hình 3.3 - Cấu trúc LSR biên Hình 3.4 - Nhãn MPLS khung lớp Hình 3.5 - Phân bổ nhãn mạng ATM-MPLS Hình 3.6 - Trao đổi thơng tin LSR cận kề Hình 3.7 - Cơ chế thiết lập kênh ảo điều khiển MPLS Hình 3.8 - Ví dụ CSPF Hình 3.9 - Các tin PATH, RESV Hình 3.10 - Nhãn phân phối bảng tin RESV Hình 4.1 - Mơ hình chồng lấn Hinh 4.2 - Mơ hình ngang hàng Hình 4.3 - Kiến trúc mạng MPLS VPN Hình 4.4 - Dán nhãn định tuyến PE Hình 4.5 - Sử dụng tập nhãn hai mức Hình 4.6 - Miền định tuyến vật lý Hình 4.7 - Miền định tuyến ảo Hình 4.8 - Mơ hình ống QoS Hình 4.9 - Mơ hình vịi QoS Hình 5.1 - Vị trí IPSec MPLS Hình 5.2 - Tích hợp IPSec MPLS Hình 5.3 - Thiết lập IPSec VPN Site với giải pháp Nokia Checkpoint Hình 5.4 - Mơ hình triển khai VPN giải pháp Cisco Hình 5.5 - Thiết lập VPN giải pháp Microsoft Hình 5.6 - Một số đặc tính VPN PPTP tạo CHƢƠNG – TỔNG QUAN WIMAX 1.1 GIỚI THIỆU 1.1.1 Sự đời WiMAX [17] Chúng ta biết đến công nghệ truy nhập internet phổ biến quay số qua modem thoại (Dial Up), ADSL, đường thuê kênh riêng (leased-line), hay sử dụng hệ thống vô tuyến điện thoại di động, hay mạng không dây WiFi Mỗi phương pháp truy cập mạng có đặc điểm riêng Đối với Modem thoại tốc độ thấp, ADSL tốc độ lên tới 8Mbps phải có đường dây kết nối, đường th kênh riêng giá thành đắt lại khó khăn triển khai khu vực có địa hình phức tạp Hệ thống thơng tin di động cung cấp tốc độ truyền 9,6Kbps thấp so với nhu cầu người sử dụng Ngay mạng hệ sau GSM GPRS (2,5G) cho phép truy cập với tốc độ đến 171,2Kbps EDGE tới 300-400Kbps Như rõ ràng chưa thể đáp ứng nhu cầu sử dụng dịch vụ mạng internet ngày tăng Hệ thống di động hệ 3G tốc độ truy cập internet khơng vượt q 2Mbps Cịn với mạng WiFi áp dụng cho máy tính trao đổi thơng tin với khoảng cách ngắn Với thực tế vậy, WiMAX (Khả tương tác toàn cầu với truy nhập vi ba) đời nhằm cung cấp phương tiện truy cập Internet khơng dây tổng hơp thay cho ADSL WiFi Hệ thống WiMAX có khả cung cấp đường truyền với tốc độ lên đến 70Mbit/s với bán kính phủ sóng trạm anten phát lên đến 50km Mơ hình phủ sóng mạng WiMAX tương tự mạng điện thoại tế bào Bên cạch đó, WiMAX hoạt động mềm dẻo WiFi truy cập mạng Mỗi máy tính muốn truy nhập mạng tự động kết nối với trạm anten WiMAX gần Diễn đàn WiMAX tổ chức nhà khai thác công ty thiết bị cấu kiện truyền thông hàng đầu Mục tiêu Diễn đàn WiMAX thúc đẩy chứng nhận khả tương thích thiết bị truy cập vô tuyến băng rộng tuân thủ chuẩn 802.16 IEEE chuẩn HiperMAN ETSI Diễn đàn Chất dịch vụ Thỏa lượng Đạ lượ thuận khả mức dịch vụ Hỗ trợ máy khách Kh dịc bas Tương với người sử dụng tác Kh ngư 5.1.3 Tích hợp VPN IPSec VPN MPLS Nhà cung cấp dịch vụ đạt lợi ích cao áp dụng hai công nghệ IPSec MPLS Ví dụ, nhà cung cấp dịch vụ sử dụng IPSec cho giao thơng off-net giao thơng cần có xác thực tốt tính tin cẩn cao sử dụng MPLS mạng lõi cho kết nối rộng mở hơn, đồng thời hỗ trợ kỹ thuật định tuyến lưu lượng thông tin chất lượng dịch vụ Hình 5.2 - Tích hợp IPSec MPLS Các nhà sản xuất thiết bị Cisco, Noika Checkpoint, Juniper Network cung cấp giải pháp nhằm cho phép nhà cung cấp dịch vụ ghép phiên IPSec trực tiếp vào VPN MPLS Cách tiếp cận giúp nhà cung cấp dịch vụ mở rộng dịch vụ VPN biên giới mạng MPLS thông qua việc sử dụng sở hạ tầng mạng IP công cộng Nhà cung cấp dịch vụ chào dịch vụ VPN để kết nối an tồn khách hàng, văn phịng chi nhánh, cộng tác viên từ xa nhân viên di động từ vị trí vào mạng doanh nghiệp Thời gian gần đây, số nhà cung cấp dịch vụ VNPT, VDC, Vietel, FPT … đưa dịch vụ “mạng riêng ảo VPN” cho khách hàng doanh nghiệp, quan nhà nước … 102 Tổng cơng ty Bưu viễn thơng Việt Nam triển khai MPLS mạng lõi tổng đài chuyển tiếp vùng bao gồm tổng đài core Thành phố Hà nội, Đà nẵng Hồ Chí Minh Tất trung kế tổng đài sử dụng MPLS Như tổng đài đóng vai trị LSR core Việc triển khai MPLS mạng core VNPT phù hợp với phát triển theo định hướng tổ chức mạng viễn thông NGN Vấn đề trình bày số báo cáo VNPT, không đề cập đến, sau sâu vào việc triển khai mạng riêng ảo Ngân hàng Nhà nước Việt Nam 5.2 Triển khai ứng dụng VPN Ngân hàng Nhà nước Việt Nam Ngân hàng nhà nước Việt Nam (NHNN) quan ngang Bộ có chức quản lý nhà nước tiền tệ, hoạt động ngân hàng NHNN đơn vị đầu tiên phong lĩnh vực ứng dụng công nghệ thơng tin đại nhằm mục đích phục vụ cho hoạt động chun mơn nghiệp vụ Trong xu hướng hội nhập kinh tế, quốc tế, trước bối cảnh Việt Nam nhập tổ chức thương mại gới (WTO), việc ứng dụng thương mại điện tử (TMĐT) tất yếu khách quan Trong Chương trình tổng thể phát triển thương mại điện tử nước ta nhiệm vụ nâng cao nhận thức TMĐT; Xây dựng chỉnh sửa văn pháp lý cho TNĐT; Bảo đảm vấn đề an ninh, an tồn TMĐT; … cịn cần phải tập trung xây dựng hệ thống toán điện tử ngân hàng tự động mở rộng dịch vụ ngân hàng điện tử Ý thức tầm quan trọng việc ứng dụng công nghệ thông tin vào lĩnh vực Ngân hàng, từ đầu NHNN xây dựng hạ tầng sở thông tin đại, với mạng LAN, WAN xây dựng hầu hết chi nhánh Tỉnh, Thành phố toàn quốc Hiện này, NHNN hoàn thành gia đoạn I Dự án “Hiện đại hoá Ngân hàng trung ương” NH Thế giới (World Bank) tài trợ, tiếp tục triển khai giai đoạn II Dự án Hiện NHNN có hệ thống mạng WAN rộng lớn bảo phủ khắp 64 Tỉnh, Thành phố, hệ thống mạng SBVNet phục vụ điều hành quản lý hành nhà nước (thông tin, báo cáo, số liệu thống kê …), hệ thống chuyển tiền điện tử, hệ thống toán liên ngân hàng, hệ thống toàn bù trừ Hàng ngày qua hệ thống toán nghiệp vụ Ngân hàng, chi nhánh NHNN Tỉnh, Thành phố, Ngân hàng thương mại (như NH Ngoại thương, NH Công thương, NH Nông nghiệp phát triển Nông thông Việt Nam, NH Đầu tư Phát triển Việt Nam…) chuyển hàng nghìn tiền với giá trị lên đến hàng chục triệu USD, hàng nghìn tỷ đồng Việt Nam để phục vụ cho dịch vụ Ngân hàng Với đặc thù Ngành Ngân hàng mang tính bảo mật cao, NHNN triển khai giải pháp an ninh nhiều lớp, trang bị cơng cụ kiểm sốt giám sát truy nhập, mã hoá liệu đường truyền, sử dụng tường lửa, hệ thống chứng thực (CA) chữ ký điện tử đảm bảo an toàn, bảo mật tuyệt đối cho giao dịch tốn Trong phải kể đến giải pháp thiết lập mạng riêng ảo Cisco , 103 CheckPoint Microsoft Giải pháp bảo mật an ninh CheckPoint sử dụng Đề án tin học hố quản lý hành Nhà nước Ngân hàng Nhà nước Việt Nam (Đề án 112) Do tính nhạy cảm thơng tin khơng cho phép tơi trình bày chi tiết thơng số cấu hình hệ thống số liệu cụ thể hệ thống , tơi xin trình bày t tính kỹ thuật ba giải pháp mạng riêng ảo mà NHNN sử dụng, giải pháp VPN-1/FireWall-1 Nokia CheckPoint, giải pháp VPN Cisco Microsoft 5.2.1 Giải phápVPN Nokia CheckPoint VPN-1/FireWall-1 triển khai, cài đặt máy gateway nối Internet điểm truy nhập mạng khác, kiểm tra tất gói tin qua điểm, nút quan trọng mạng tùy theo sách an ninh Nhằm tăng khả điều khiển truy nhập, VPN-1/FireWall-1 có tính quản trị, bảo mật, tính dễ dàng tương thích với sách an ninh chung toàn hệ thống mạng WAN quản lý giao diện đồ hoạ thân thiện VPN-1/FireWall-1 hoàn toàn suốt người dùng ứng dụng SecuRemote SecureClient: Tạo kết nối VPN từ xa, cho phép máy trạm kết nối đến mạng quan qua internet modem, vừa truy nhập trực tiếp đến máy chủ vừa đảm bảo an toàn liệu truyền Kiến trúc VPN-1/FireWall-1 có dạng modul, phân lớp cho phép tổ chức định nghĩa thực sách an ninh, bảo mật quản lý tập trung, đơn lẻ Chính sách an ninh (Security Policy) doanh nghiệp định nghĩa “console” quản lý trung tâm tải xuống nhiều điểm đóng vai trị Firewall thơng qua mạng VPN-1/FireWall-1 cung cấp cho người dùng xa truy cập có xác thực, an toàn đến tài nguyên mạng Các phương thức xác thực mềm dẻo cung cấp cho người dùng dịch vụ ứng dụng Người quản trị yêu cầu người có cách xác thực riêng, người dùng truy cập vào ứng dụng định khoảng thời gian định VPN-1/FireWall-1 hỗ trợ nhiều phương án thực xác thực như: Radius; Tacacs/tacacs+; chứng nhận số (Digital Certificates); DES; 3DES; IPSec; IKE … Thiết lập IPSec VPN site: Site thứ có lớp địa thật 10.0.0.0, NAT thành lớp địa 12.0.0.0 Cụ thể máy chủ ftp có địa thật 10.0.0.2 NAT thành 12.0.0.2 Site thứ hai có lớp địa thật 10.0.0.0 nat thành lớp địa 13.0.0.0 Cụ thể là, máy trạm dùng làm ftp client có địa 10.0.0.18 nat thành 13.0.0.18 104 Hình 5.3 - Thiết lập IPSec VPN Site với giải pháp Nokia Checkpoint Thiết lập sách bảo mật: Tất dịch vụ (http, ftp, tcp…) từ site local đến site remote ngược lại mã hoá, lưu vết vào thời gian Ngoài bị từ chối (drop) Thiết lập NAT tĩnh sau: 105 Sau thiết lập NAT ta có sách NAT sau: Sử dụng IP pools: Khoảng địa trượt rộng tuỳ ý, trường hợp dùng 20 địa trượt Các địa gán cho máy trạm tham gia vào mạng riêng ảo Thiết lập miền mật mã hoá (encryption Domains) : Ta đưa tất địa máy trạm ứng dụng VPN vào nhóm, bao gồm địa trước sau NAT, trường hợp có hai địa 13.0.0.18 10.0.0.18 106 Tạo miền Remote cho firewall B sở liệu firewall A: Thêm tất địa máy trạm vào Nhóm ứng dụng VPN Khơng cần thêm địa thực miền Remote Miền Remote không yêu cầu địa thật thiết lập VPN máy site với máy site kia, ví dụ ta tạo đường hầm máy có địa 10.0.0.18 với máy 10.0.0.18 site Tại Firewall B cấu hình tương tự Kiểm tra cấu hình: Ping thử từ máy phía sau FW-A (địa thực 10.0.0.2; địa sau NAT 12.0.0.2) đến máy phía sau FW-B (địa thực 10.0.0.18; địa sau NAT 13.0.0.18) 107 Dưới file log lệnh ping trên, lưu ý địa 10.0.0.2 chuyển thành 12.0.0.2 trước truyền gói tin mã hoá đến FW-B Thực FTP từ máy phía sau FW-B (địa thực 10.0.0.18, địa sau NAT 13.0.0.18) đến máy phía sau FW-A (địa thực 10.0.0.2, địa sau NAT 12.0.0.2) Lưu ý máy có địa 10.0.0.18 NAT thành 13.0.0.18 trước truyền gói tin mã hố đến FW-A 108 5.2.2 Giảp pháp VPN Cisco Mơ hình triển khai thực tế: IDS Mail Server Switch PPTP Server Cluster Server Hình 5.4 - Mơ hình triển khai VPN giải pháp Cisco Thiết lập đường hầm IPSec site mạng LAN Cục Công nghệ tin học Ngân hàng Nhà nước Trung tâm tích hợp liệu NHNN Cục Công nghệ tin học phân dải địa lớp C 192.168.12.0, Trung tâm tích hợp liệu phân dải địa lớp A 10.0.0.0 Địa IP giao diện card mạng firewal router thể hình vẽ Tại Firewall Pix 535 Cục Công nghệ tin học thực cấu sau: Cấu hình sách IKE: Dùng phương pháp mã khoá đối xứng 3DES Interface FastEthernet1/0 Ip address 192.168.12.1 255.255.255.0 Authentication pre-share Encrypt 3des Cấu hình khố đối xứng với địa IP phía đầu bên Crypto isakmp key cisco1 address 209.165.200.6 Cấu hình hỗ trợ IPSec Crypto ipsec transform-set vpn-test esp-3des esp-sha-hmac 109 Tạo sách truy nhập (access list) Access-list 90 permit ip 192.168.12.0 255.255.255.0 10.0.0.0 255.0.0.0 Thực NAT NAT accesslist 90 Ấn định khoảng địa trượt cho NAT Global (outsite) 209.165.202.6-209.165.202.36 Định nghĩa crypto map Crypto map TTHDL 20 ipsec-isakmp Crypto map TTHDL 20 match address 90 Crypto map TTHDL 20 set transform-set vpn-test Crypto map TTHDL 20 set peer 209.165.200.6 Áp dụng crypto map cho giao diện bên Crypto map TTHDL interface outside Đối với Firewall Trung tâm tích hợp liệu cấu hình tương tự Như vậy, ta thiết lập mạng riêng ảo VPN IPSec site để truyền thông tin cách an tồn, bảo mật với đặc tính là: sử dụng mã hoá đối xứng 3DES, dùng thuật toán xác thực HMAC-SHA Ngồi ra, kết nối khơng cần độ bảo mật cao, sử dụng giải pháp VPN Microsoft để giảm chi phí, dịch vụ tạo mạng riêng ảo tích hợp hệ điều hành Windown 2000 server 5.2.3 Giải pháp VPN Microsoft Web Server Router 2621 PC Hình 5.5 - Thiết lập VPN giải pháp Microsoft Trong mơ hình có thành phần sau: - PPTP Server máy tính chạy dịch vụ RRAS (Routing and Remote Access Service) hệ điều hành WINDOWS 2000 Server 110 - PPTP client máy tính chạy hệ điều hành WINDOWS 2000 Professional (có hỗ trợ giao thức PPTP) - Router A Router Cisco 2621 đóng vai trị máy NAS, dùng để tiếp nhận truy cập từ xa qua đường điện thoại cơng cộng Đồng thời đóng vai trò định tuyến qua mạng TCP/IP - Router B Router Cisco 2800 đóng vai trị Gateway hệ thống mạng cục bên định tuyến mạng TCP/IP Để tạo VPN PPTP Server PPTP Client ta thiết lập cấu sau: Tại máy PPTP Server: - Đặt địa IP cạc mạng 10.53.16.160 - Cài đặt dịch vụ RRAS Thiết lập cấu hình cho RRAS sau:  Khoảng địa IP gán từ 10.53.16.161 - 10.53.16.190 (Khoảng địa PPTP Server gán cho PPTP Client)  Cấu hình cổng PPTP: Khi dịch vụ RRAS cài đặt có cổng PPTP (Giá trị mặc định) Ta thay đổi số lượng cổng PPTP (Giá trị tối đa 16384)  Chọn phương pháp xác thực MS-CHAP Version  Tạo tài khoản người sử dụng cho VPN có tên vpn Tại máy PPTP Client: Tạo kết nối quay số từ xa, tạo kết nối VPN sau:  Mở Network and Dial-up Connection, chọn Make New Connection  Chọn mục Connect to a private network through the Internet  Trong mục Host name or IP address ta đưa vào địa IP PPTP Server 10.53.16.160 Để tạo VPN PPTP Client PPTP Server ta thực hai bước sau: - Bước 1: Từ máy Client tạo kết nối cách kích hoạt kết nối quay số từ xa - Bước 2: Sau kết nối thiết lập ta kích hoạt kết nối VPN Kết nối VPN tạo có đặc tính sau: Xác thực: MS CHAP V2 Mã hố: MPPE 128 111 Hình 5.6 - Một số đặc tính VPN PPTP tạo Mỗi giải pháp có ưu, nhược điểm riêng Khi triển khai VPN, tùy vào tính hiệu quả, chi phí, sở hạ tầng mạng tính chất thông tin mà lựa chọn giải pháp cho phù hợp Giải pháp Nokia Checkpoint có mức an ninh, bảo mật cao, chi phí mua quyền phần mềm phần cứng lớn Ngân hàng nhà nước lựa chọn giải pháp cho giao dịch nghiệp vụ toán, chuyển tiền, triển khai Sở Giao dịch, Vụ Quản lý ngoại hối với Cục Công nghệ tin học Ngân hàng Tuy nhiên sở hạ tầng mạng NHNN chủ yếu thiết bị mạng cisco Pix firewall, router, switch… nên giải pháp VPN cisco sử dụng phố biến cho hệ thống thông tin báo cáo, số liệu nhạy cảm mạng vụ Tổng kiểm sốt, Thanh tra với cục Cơng nghệ tin học để giảm sát, theo dõi hoạt động tín dụng… Đối với thông tin không cần bảo mật cao cơng văn, báo cáo phục vụ quản lý hành chính, điều hành mạng Văn phòng với đơn vị chức sử dụng giải pháp Microsoft dễ triển khai, dễ quản trị chi phí thấp 112 KẾT LUẬN Sau thời gian nghiên cứu, tìm hiểu triển khai luận văn hồn thành mục tiêu đặt Đề cương đăng ký Gồm nội dung sau: Luận văn tìm hiểu, nghiên cứu sâu cơng nghệ mạng riêng ảo VPN, mơ hình, giao thức đặc biệt biện pháp an ninh, bảo mật sử dụng mạng VPN Nghiên cứu công nghệ chuyển mạch nhãn đa giao thức MPLS: mơ hình, kiến trúc, giao thức định tuyến, báo hiệu, chất lượng dịch vụ …trên sở ứng dụng mạng riêng ảo VPN MPLS Triển khai MPLS/VPN thực tế, so sánh hai công nghệ mạng riêng ảo IPSec MPLS, sở triển khai ứng dụng mạng riêng ảo VPN Ngân hàng Nhà nước Việt Nam với ba giải pháp Nokia Checkpoint, Cisco Microsoft Sự phát triển hội tụ thoại -số liệu xu tất yếu viễn thông, công nghệ thông tin ngày Tổng công ty Bưu viễn thơng Việt nam triển khai MPLS mạng lõi VNPT, thêm vào đó, nhà cung cấp dịch vụ ngày đưa nhiều dịch vụ ứng dụng mạng riêng ảo VPN, bao gồm thương mại điện tử, thoại IP, an ninh bảo mật ứng dụng đa phương tiện… Trong xu hướng đó, nghiên cứu công nghệ mạng riêng ảo VPN/MPLS cần thiết Luận văn trình bày kỹ thuật mạng riêng ảo, đưa sở lý luận khoa học để triển khai thực tiễn đạt kết định ứng dụng VPN Ngân hàng Nhà nước Việt Nam 113 TÀI LIỆU THAM KHẢO [1] - Brian Williams, Quality of Service Differentiated Services and Multiprotocol Label Switching, White paper, Ericsson, Australia 2000 [2] - Cisco Systems, Overview of Virtual Private Networks and IPSec Technologies [3] – Cisco VPN solution, www.cisco.com/go/vpn [4] - Christopher Y.Metz, IP Switching Protocol and Architectures, McGraw-Hill, NewYork 1998 [5] - Dave Kosiur - Building and Managing Virtual Private Network, USA, 1998 [6] - Harkins, D and Carrel, D (1998), “The Internet Key Exchange”, RFC 2409, November 1998 [7] - IETF Working Group, RFCxxxx http://www.ietf.org/rfc [7a] - IETF RFC 2637 “Point – to – Point Tunneling Protocol (PPTP)” [7b] - IETF RFC 1701 “Generic Routing Encapsulation (GRE)” [7c] - IETF RFC 2661 “Layer Two Tunneling Protocol (L2TP)" [7d] - IETF RFC 2409 “ The Internet Key Exchange (IKE)” [8] – International Business Machines Corporation - Using IPSec to Construct Secure Virtual Private Networks, 1998 [9] - Ivan Pepelnjak and Jim Guichard, MPLS and VPN Architectures - A pratical guide to understanding, designing and deploying MPLS and MPLS-VPN enabled VPNs, Cisco Systems, IN-USA, 2001 [10] - Paul Brittain, Adrian Farrel, MPLS Traffic Engineering: a choice of signalling protocols, Data connection Ltd., UK 2000 [11] - Peter Gutmann - Encryption and Security Tutorial, University of Auckland [12] - R.C.Streijl - Analysis of Managed Virtual Private Network, 2000 [13] - RSA Security Inc - A Guide to Security Technologies, www.rsasecurity.com [14] - Tổng hợp tài liệu từ Internet [15] - Xipeng Xiao, Aln Hannan, Brook Bailey and Lionel M.Ni, Traffic Engineering with MPLS in the Internet 114 ... GIA HÀ NỘI ĐẠI HỌC CÔNG NGHỆ Trương Hồi Nam NGHIÊN CỨU CƠNG NGHỆ MẠNG RIÊNG ẢO VPN/MPLS VÀ TRIỂN KHAI ỨNG DỤNG TẠI NGÂN HÀNG NHÀ NƯỚC VIỆT NAM Ngành Chuyên Ngành Mã Số : Công nghệ Điện tử – Viễn... 3.5Các giao thức sử dụng mạng M 3.5.1G 3 3.5.2G 3 3.5.3G CHƯƠNG ỨNG DỤNG MẠNG RIÊNG ẢO VPN TRÊN MẠNG MPLS 4.1Mơ hình chồng lấn 4.2Mơ hình ngang hàng 4.3Các định tuyến ảo MPLS V 4.4Kiến... hoàn hảo cho mạng trục triển khai cho mạng doanh nghiệp thiết lập điểm truy cập hotspot ứng dụng mạng trục điểm-điểm - Mạng băng thông rộng theo yêu cầu Với đặc tính kỹ thuật băng thơng rộng triển