Chất lượng dịch vụ VPN Chất lượng dịch vụ VPN Chất lượng dịch vụ VPN luận văn tốt nghiệp,luận văn thạc sĩ, luận văn cao học, luận văn đại học, luận án tiến sĩ, đồ án tốt nghiệp luận văn tốt nghiệp,luận văn thạc sĩ, luận văn cao học, luận văn đại học, luận án tiến sĩ, đồ án tốt nghiệp
BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI VÕ VĂN GIÁP CHẤT LƯỢNG DỊCH VỤ VPN LUẬN VĂN THẠC SĨ NGÀNH ĐIỆN TỬ VIỄN THÔNG Hà Nội, 2006 -1- MỤC LỤC DANH MỤC CÁC TỪ VIẾT TẮT CÁC BẢNG DÙNG TRONG ĐỒ ÁN CÁC HÌNH TRONG ĐỒ ÁN MỞ ĐẦU .12 CHƯƠNG I 14 GIỚI THIỆU VỀ VPN IPSEC 14 1.1 Các kỹ thuật mạng riêng ảo 15 1.1.1 VPN lớp 15 1.1.2 VPN lớp 16 1.1.3 Các đường hầm GRE 16 1.1.4 MPLS VPN 17 1.1.5 IPSec VPN .17 1.1.6 Remote Access VPN 18 1.2 IPSec tổng quan 19 1.2.1 Giới thiệu AH .20 1.2.2 Giới thiệu ESP 20 1.2.3 Giới thiệu chế độ 21 1.2.4 Giới thiệu SA (Security Association) 21 1.2.5 Giới thiệu bước hoạt động IPSec .22 1.2.6 Giới thiệu cách dùng IKE IPSec 23 1.3 Kiến trúc IPSec .24 1.3.1 Giới thiệu 24 1.3.2 Giới thiệu mã hoá 25 1.3.2.1 Các thuật toán đối xứng .25 1.3.2.2 Mã hoá bất đối xứng 25 1.3.3 Chứng thực điện tử 27 1.3.4 Các chế độ IPSec 28 1.3.5 Các thoả thuận bảo mật (Security Associations-SA) 31 1.3.6 Thoả thuận an ninh kết hợp 33 1.3.7 Các sách 35 1.3.8 Quá trình hoạt động IPSec 37 1.3.8.1 Q trình xử lý gói tin .38 1.3.8.2 Quá trình xử lý gói tin vào 39 1.3.8.3 Q trình xử lý gói ICMP 39 1.4 Các giao thức IPSec 40 1.4.1 Tiêu đề nhận thực (Authentication Header- AH) 40 1.4.2 ESP 49 2.1 Xem xét vấn đề QoS V3PN cho mơ hình Site-to-Site 58 21T 21T 21T 21 T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21 T 21T 21T 21T 21 T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21 T 21 T 21T 21T 21 T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21 T 21T 21 T 21T 21T 1T 21T 21 T 21T 21T 21T 21T 21T 21T 21T 21T 21 T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21 T 21T 21 T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21 T 21 T 21T Luận văn thạc sỹ khoa học 21 T Chất lượng dịch vụ VPN IPSec -2- 2.1.1 Chế độ hoạt động IPSec VPN 59 2.1.2 Sự tăng tiêu đề gói tin 61 2.1.3 Sự không phù hợp RTP IPSec 66 2.1.4 Phân mảnh 67 2.1.5 Phân phối băng thông .67 2.1.6 Mô hình logic 69 2.1.7 Việc tăng ngân quỹ trễ 69 2.1.8 Sự trì byte ToS 71 2.1.9 Phân loại trước QoS 72 2.1.10 Hàng đợi trước mã hoá .74 2.1.11 Ảnh hưởng chống truy cập (Anti-Replay) 77 2.1.12 Phân phối lưu lượng điều khiển 81 2.1.13 Các tuỳ chọn QoS cổng VPN Headend cho mơ hình site-to-site V3PN 81 2.2 Xem xét QoS cho Teleworker 82 2.2.1 Sự phát triển mơ hình Teleworker 83 2.2.2 Các kỹ thuật truy cập băng rộng .86 2.2.3 Sự phân phối băng thông .86 2.2.4 Tiêu đề tính suốt NAT 87 2.2.5 Tiêu đề DSL (AAL5+PPPoE) 87 2.2.6 Tiêu đề cho cáp 88 2.2.7 Liên kết không đối xứng QoS đơn hướng 89 2.2.8 Split tunneling 90 CHƯƠNG 92 NGHIÊN CỨU THIẾT KẾ MƠ HÌNH QoS CHO VPN IPSEC .92 3.1 Giới thiệu mơ hình phân phối băng thơng 93 3.1.1 Yêu cầu QoS cho VoIP 95 3.1.1.1 Lưu lượng thoại 95 3.1.1.2 Lưu lượng báo hiệu .95 3.1.2 Các yêu cầu QoS video 95 3.1.2.1 Video tương tác .95 3.1.2.2 Video streaming 96 3.1.3 Các yêu cầu QoS cho ứng dụng liệu 96 3.1.3.1 Dữ liệu cố gắng tối đa (Best Effort Data) 97 3.1.3.2 Dữ liệu lớn (Bulk Data) .97 3.1.3.3 Dữ liệu truyền tải tương tác (Transactional/Interactive Data) 98 3.1.3.4 Dữ liệu có nhiệm vụ đặc biệt đinh nghĩa doanh nghiệp (Locally-Defined Mission-Critical Data) 98 3.1.4 Yêu cầu QoS cho lớp điều khiển 100 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21 T 21 T 21T 21 T 21 T 21 T 21 T 21 T 21T 21T 21T 21T 21 T 21T 21 T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21 T 21 T 21 T 21T 21T 21 T 1T 21 T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21 T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21 T 21T 21T 21T 21 T 21T 21T 21T 21T 21 T 21T 21T 21T 21T 21T 21T 21T 21T 21T 1T 21 T 21 T 21T 21T 21T 21T 21T 21T 21T Luận văn thạc sỹ khoa học 21T Chất lượng dịch vụ VPN IPSec -3- 3.1.4.1 Định tuyến IP 100 3.1.4.2 Quản lý mạng 101 3.1.5 Lưu lượng cho lớp Scavenger 101 3.1.6 Nguyên tắc thiết kế QoS 102 3.1.6.1 Nguyên tắc phân loại đánh dấu 102 3.1.6.2 Nguyên tắc thực sách 102 3.1.6.3 Nguyên tắc thực xếp hàng loại gói .102 3.2 Thiết kế QoS cho mơ hình V3PN Site-to-Site .104 3.2.1 Mơ hình V3PN site-to-site lớp 104 3.2.2 Mơ hình V3PN site-to-site lớp 105 3.2.3 Mơ hình V3PN Site –to Site 11 lớp QoS .106 3.3 Thực tế mạng Việt Nam 107 3.4 Kế hoạch triển khai thử nghiệm 109 3.4.1 Mơ hình IPSec triển khai 109 3.4.1.1 Mơ hình mạng điều kiện lưu lượng khơng có va chạm (lab 1) 111 3.4.1.2 Mạng điều kiện lưu lượng cao, có xảy va chạm (lab 2) .111 3.4.2 Kết đo .112 3.4.2.1 Trễ VPN 112 3.4.2.2 Trượt VPN 113 3.4.2.3 Mất gói VPN 114 3.4.2.4 Áp dụng QoS cho VPN 114 3.5 Kết luận kết thu 115 3.6 Đề xuất 115 TÀI LIỆU THAM KHẢO 117 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21 T 21T 21T 21T 21T 21T 21T 21 T 21T 21T 21T 21 T 21T 21 T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 21T 1T 21T 21T 21T 21T 21T 21 T 21T 1T 21T 21 T 21T 21T 21T 21T 21T 1T 21T 21 T 21T 21T 21T 21T 21T 21T 21T 21 T 21T 21T 21T 21T 21T 21T Luận văn thạc sỹ khoa học Chất lượng dịch vụ VPN IPSec -4- DANH MỤC CÁC TỪ VIẾT TẮT Từ viết tắt Nghĩa tiếng anh 3DES Triple Data Encryption Standard AAL5 ATM (Asynchronous Transfer Mode) Adaptation Layer AES Advanced Encryption Standard Authentication Header AH ATM BER CA CAC CBWFQ CIR cRTP Crypto DES DHCP DNS DSCP DSL DSLAM Asynchronous Transfer Mode Bit Error Rate Certificate Authority (encryption) Call Admission Control Class Based Weighted Fair Queuing Nghĩa tiếng việt Chuẩn mã hoá ba lần dùng 168 bit Là lớp thích ứng mạng ATM Chuẩn mã hoá mở rộng Một chế độ đóng gói IPSec có tiêu đề nhận thực Chế độ truyền tải không đồng Tỉ lệ lỗi bit Quyền xác thực- Là hệ thống xác thực dùng IPSec Điều khiển truy cập gọi Hàng đợi có độ ưu tiên cân dựa theo lớp lưu lượng đánh dấu Committed Information Rate Tốc độ thông tin cam kết (dùng (data communications) môi trường mạng FrameRelay) Compressed RTP Giao thức nén phần tiêu đề gói tin RTP Cryptography/Cryptographic Các chế dùng để mã hoá thiêt bị Cisco Data Encryption Chuẩn mã hoá liệu Standard(US) dùng Mỹ Dynamic Host Giao thức cho phép máy Configuration Protocol trạm tự động nhận cấu hình địa thiết lập máy chủ Domain Name System Hệ thống tên miền Differentiated Services Code Mã phân biệt dịch vụ Point Digital Subcriber Line Đường thuê bao số Digital Subscriber Line Bộ ghép kênh truy cập cho Access Multiplexer đường thuê bao số Luận văn thạc sỹ khoa học Chất lượng dịch vụ VPN IPSec -5- DSP DTE ESP Digital Signal Processor Data Terminal Equipment Encapsulating Security Payload FCS FIFO Frame Check Sequence First In First Out FTP GRE File Tranfer Protocol Generic Routing Encapsulation Gateway Hashed Message Authentication Code Internet Control Message Protocol Internet Key Exchange GW HMAC ICMP IKE IOS Internetwork Operating System IP ISAKMP Internet Protocol Internet Security Association and Key Management Protocol International Telecommunication Union Layer Tunnel Protocol Low Latency Queuing ITU L2TP LLQ MPLS MSS MTU Multi Protocol Label Switching Maximum Segment Size (TCP/IP) Maximum Transmission Unit (TCP/IP) Luận văn thạc sỹ khoa học Bộ xử lý số Thiết bị đầu cuối liệu Một q trình đóng gói IPSec, tải tin đóng gói cách bảo mật Kiểm tra khung Quy tắc mặc định hàng đợivào trước trước Giao thức truyền file qua mạng Sự đóng gói tin routing Cổng truy cập mạng Mã nhận dạng tin hash Giao thức tin điều khiển Internet Quá trình chuyển khoá hai điểm kết nối VPN để thiêt lập đường hầm Hệ điều hành liên mạng- Là mộ hệ điều hành cho phép thiết bị mạng làm việc router Cisco Giao thức triên mạng Internet Giao thức quản lý khoá thoả thuận an ninh internet Liên minh viễn thông quốc tế Giao thức đường hầm lớp Hàng đợi dành riêng cho gói tin nhạy cảm với trễ Chuyển mạch nhãn đa giao thức Kích thước mảnh tối đa mơi trường TCP/IP Đơn vị liệu truyền tối đa (trong môi trường TCP/IP)Là kích thước gói tin lớn truyền kết nối Chất lượng dịch vụ VPN IPSec -6- NAT NBMA NFS NTP OSI PIX POP PPP PPPoE PVC QoS RTP SA SAD SHA-1 SLA SNMP Cơ chế chuyển đổi từ địa riêng sang địa chung internet Non-Broadcast MultiMạng đa truy nhập khơng truyền Access gói tin broadcast-Là mạng có cấu trúc mạng LAN mở rộng mạng LAN không cho phép truyền gói tin quảng bá Network File System Hệ thống tập tin mạng Network Time Protocol Giao thức thời gian mạng Open Systems Sự liên kết hệ thống mở Interconnection (mơ hình chuẩn phổ biến để dùng cho việc kết nối hệ thống mạng toàn cầu) Private Internet Exchange Là hệ thống tường lửa phổ biến Cisco Point Of Presence Điểm đại diện-Là điểm đặt thiết bị nhà cung cấp dịch vụ nhằm mở rộng phạm vi mạng Point-to-Point Protocol Giao thức điểm nối điểm Point-to-Point Protocol Over Giao thức cung cấp khả Ethernet chuyển tải gói tin PPP qua môi trường Ethernet Permanent Virtual Circuit Mạch ảo vĩnh viễn- Là mạch ảo thiết lập từ điểm đầu đến điểm cuối mơ hình mạng Frame-relay ATM Quality of Service Chất lượng dịch vụ Real-Time Transport Giao thức vận chuyển thời gian Protocol thực Security Association Thoả thuận an ninh, dùng để tạo nên thoả thuận an ninh hai đầu kết nối VPN Security Association Cơ sở liệu SA Database Secure Hashing Algorithm Thuật toán bảo mật hash service-level aggrement Thoả thuận mức độ dịch vụ cung cấp Simple Network Giao thức quản lý mạng Network Address Translation Luận văn thạc sỹ khoa học Chất lượng dịch vụ VPN IPSec -7- SPD Management Protocol Security Policy Database SPI TCP Security Parameter Index Transport Control Protocol TCP/IP ToS TTL Transmission Control Protocol/Internet Protocol Trivial File Transfer Protocol Type of Service Time To Live VPN Virtual Private Network WAN Wide Area Network TFTP Luận văn thạc sỹ khoa học Cơ sở liệu sách an ninh router Chỉ số thông số an ninh Giao thức điều khiển vận chuyển-Là giao thức phổ biến Internet Chồng giao thức chuẩn để cấu thành nên mạng Internet Giao thức chuyển tập tin quan trọng Kiểu dịch vụ Thời gian sống gói tin Mạng riêng ảo, kêt nối mạng riêng tạo thông qua môi trường mạng dùng chung Mạng diện rộng, kết nối thực để kết nối mạng riêng vào mạng chung Chất lượng dịch vụ VPN IPSec -8- CÁC BẢNG DÙNG TRONG ĐỒ ÁN Bảng 2.1 Các tăng kích thước gói tiêu đề cho giao thức khác 62 Bảng 2.2 Số cuốc gọi G.729 cung cấp theo tốc độ đường truyền 66 Bảng 3.1 Các quy định đánh dấu phân loại lớp lưu lượng Cisco 89 Bảng 3.2 : Một số ứng dụng phân chia theo lớp 95 Bảng 3.4 Kết đo trượt hai mơ hình thử nghiệm có khơng có VPN 109 Bảng 3.3 Kết đo trễ hai mơ hình thử nghiệm có khơng có VPN 109 Bảng 3.5 Kết đo gói hai mơ hình thử nghiệm có khơng có VPN 110 Bảng 3.6 Kết đo đạc trễ trượt mơ hình VPN Lab2 trước sau có QoS 110 Luận văn thạc sỹ khoa học Chất lượng dịch vụ VPN IPSec -9- CÁC HÌNH TRONG ĐỒ ÁN Hình 1.1 Mơ hình mạng IPSec .19 Hình 1.2 Mơ tả chế độ hoạt động IPSec 21 Hình 1.3 Thoả thuận an ninh- SA 22 Hình 1.4 Hoạt động IKE IPSec 23 Hình 1.5 Q trình thực mã hố khố cơng khai 26 Hình 1.6 Mơ hình hoạt động chế độ transport 28 Hình 1.7 Việc đóng gói chế độ transport 28 Hình 1.8 VPN chế độ tunnel 29 Hình 1.9 Việc đóng gói chế độ tunnel 30 Hình 1.10: Transport Adjency 33 Hình 1.11: Hầm lặp lại với điểm cuối chia sẻ 33 Hình 1.12: Các hầm lặp lại với điểm cuối khơng chia sẻ 34 Hình 1.13 Các trường tiêu đề IP nhận thực AH 40 Hình 1.14: Tiêu đề AH 41 Hình 1.15: Cửa số antireplay 43 Hình 1.16 Cửa sổ antireplay trượt sang bên phải 43 Hình 1.17 Một hầm chạy chế độ AH 45 Hình 1.18: Sự đóng gói TCP segment AH chế độ transport 46 Hình 1.19 Một hầm AH chạy chế độ tunnel 46 Hình 1.20: Sự đóng gói AH chế độ tunnel 47 Hình 1.21 Tiêu đề ESP 48 Hình.1.22 ESP chế độ transport 50 Hình 1.23 Sự đóng gói ESP 50 Hình 1.24 Một ESP chế độ tunnel 51 Luận văn thạc sỹ khoa học Chất lượng dịch vụ VPN IPSec - 106 - vệ phiên làm việc dài dịng lưu lượng TCP có ảnh hưởng thống trị liên kết) Chú ý giới hạn hàng đợi lớp Bulk Data giảm xuống mức giới hạn hàng đợi best-effort Đó liên quan đến ưu tiên ứng dụng: thời gian va chạm, lớp Bulk Data bị ngăn cản chiếm băng thông lớp khác Chính sách thích hợp cho liên kết tốc độ 3Mbps cao Tuy nhiên , môi trường IPSec , cần nhớ hầm GRE có chế phân tải nhiều giao diện vật lý làm tăng nguy loại gói tin Anti-Replay Bất có thể, giao diện vật lý đơn nên dùng để phục vụ cho liên kết tốc độ cao Một cân nhắc khác cần nhớ tảng phía đầu cuối, router dịng 2691 3700 7200, cần thiết để thực cypto tốc độ cao Mơ hình V3PN lớp trình bày hình 3.5 Hình 3.5 : Mơ hình thiết kế cho VPN Site-to-Site có lớp 3.2.3 Mơ hình V3PN Site –to Site 11 lớp QoS So với mơ hình trước, ba lớp thêm : NetworkManagement, Mission-Critical Data Streaming-Video Mơ hình phù hợp cho liên kết tốc độ cao (3Mbps hơn), với cảnh báo trước việc sử dụng nhiều liên kết vật lý làm trầm trọng tình trạng rớt gói Anti-Replay cần phải dùng tảng đầu cuối để thực chế crypto tốc độ cao Giới hạn hàng đợi điều chỉnh để đáp ứng sách ứng dụng Hình 3.6 trình bày mơ hình trường hợp Luận văn thạc sỹ khoa học Chất lượng dịch vụ VPN IPSec - 107 - Hình 3.6 : Mơ hình thiết kế VPN Site-to-Site cho mơ hình 11 lớp Ở điểm truy cập từ xa, sách áp dụng cho giao diện vật lý kết nối chúng tới nhà cung cấp dịch vụ Chẳng hạn, nhà cung cấp đảm bảo tốc độ T1 đầy đủ tới địa điểm truy cập phương tiện truy cập Frame-Relay, sách dịch vụ áp dụng cho giao diện Frame-Replay Nếu nhà cung cấp đảm bảo tốc độ 768 kbps thơng qua giao diện tương tự, chế traffic shaping cần dùng kết hợp với FRF.12 điểm truy cập 3.3 Thực tế mạng Việt Nam Luận văn thạc sỹ khoa học Chất lượng dịch vụ VPN IPSec - 108 - Internet backbone network Trunk link ISP Router Internet Leased-line Internet Leased-line Internet Leased-line Customer router Customer router Customer router Hình 3.7 Mơ hình đấu nối cho th bao internet leased-line Việt Nam Hiện Việt Nam, viêc truy cập internet triển khai qua ba hình thức, thuê bao truy cập dial up, thuê bao truy cập adsl thuê bao truy cập đường trực tiếp lease-line Về chất, thuê bao lease-line internet việc khách hàng cấp tuyến truyền dẫn với tốc độ thoả thuận vào thẳng cổng nhà cung cấp Như với hình thức này, đường truyền khách hàng đường truyền riêng từ vị trí khách hàng nhà cung cấp, hồn tồn khơng bị chia sẻ với khách hàng khác Thuê bao lease-line mang lại độ ổn định tốc độ chất lượng cao chia sẻ băng thơng nội hạt Hiện Việt Nam có khoảng 800 khách hàng dạng phát triển thêm Với việc triển khai đường truyền này, Luận văn thạc sỹ khoa học Chất lượng dịch vụ VPN IPSec - 109 - khách hàng mong muốn có độ bảo mật tương đối cao, đồng thời có chi phí rẻ phù hợp với kết nối văn phòng trung tâm Do đó, thường khách hàng triển khai VPN qua giao thức IPSec để kết nối mạng LAN văn phòng Việt Nam với văn phòng quốc tế, văn phòng Việt Nam lại với Việc triển khai khách hàng thường thực theo mơ hình Trong VPN Gateway thường router gateway đường internet, số trường hợp thiết bị độc lập phía sau router Với mong muốn mang nhiều thông tin tốt, khách hàng thường dùng đường truyền để mang nhiều loại thông tin có voice, video liệu Do đó, bên cạnh yếu tố bảo mật yếu tố chất lượng dịch vụ cho loại lưu lượng khác điều cần thiết Giải pháp Cisco mang lại khả cấu hình nhiều lớp lưu lượng khác từ có ưu tiên mức lưu lượng khác để phù hợp với đặc tính lớp yêu cầu doanh nghiệp Dưới số kết đo đạc kiểm tra tính phù hợp chất lượng dịch vụ lớp lưu lượng khác điều kiện bình thường, nghẽn, chưa có cấu hình QoS router có cấu hình QoS 3.4 Kế hoạch triển khai thử nghiệm Đặt giả thiết khách hàng có hai văn phòng hai địa điểm khác nhau, muốn sử dụng kết nối internet leased-line để thiết lập kết nối VPN IPSec Kết nối VPN thực qua router, router làm gateway khách hàng có cấu hình VPN IPSec QoS, router dùng làm router trung gian giả lập nhà cung cấp Hai mạng LAN phía sau thiết lập dịch vụ videoconference, ftp, ping flood Việc triển khai thử nghiêm nhằm mục đích đánh giá hiệu phương pháp mang lại cho mạng Kế hoạch triển khai thực đo đạc thông số băng thông, trễ, trượt gói kết nối leaseline dạng end-to-end điều kiện : mạng khơng có lưu lượng, mạng có lưu lượng nghẽn chưa có QoS, mạng có lưu lượng điều chỉnh sách QoS Sau tham số đưa đối chiếu với yêu cầu dịch vụ phần trước đánh giá hiệu Việc thực đo thực 100 lần lấy trung bình giá trị mẫu lưu lượng khác 3.4.1 Mơ hình IPSec triển khai Luận văn thạc sỹ khoa học Chất lượng dịch vụ VPN IPSec - 110 - IPSec Tunnel Fa 0/0 S 0/0 S0/1 Router A ICMP Voice S 0/0 Router B FTP S0/1 Fa 0/0 Router C Video Hình 3.8: Mơ hình triển khai IPSec để thủ nghiệm Trong mơ hình router phía khách hàng đề nghị router cisco dạng 2600 có IOS hỗ trợ cấu hình IPSec, sau tiến hành cấu hình IPSec, tiến hành kiểm tra kết nối từ mạng LAN bên đến mạng LAN bên tốt bắt đầu cho triển khai lưu lượng Luận văn thạc sỹ khoa học Chất lượng dịch vụ VPN IPSec - 111 - 3.4.1.1 va chạm (lab 1) Mơ hình mạng điều kiện lưu lượng khơng có C C ` ` VideoConferenc e Node A IP: 203.162.91.138 ` Node C FTP Client IP: 203.162.91 139 VideoConferenc e Node B IP: 203.162.18.218 IPSec Tunnel H u b Fa 0/0 S 0/0 Router A S0/ S 0/0 S0/ Fa 0/0 Router C Router B H u b ` Node D FTP Server IP: 203.162.91.1 39 ` Sniffer Router A IP Fa0/0: 203.162.91.137/29 Router A IP S0/0: 203.162.134.58/30 Router B IP S0/0: 203.162.134.59/30 Router B IP S0/: 203.162.180.165/30 Router C IP S0/1: 203.162.180.166/30 Router C IP Fa0/0: 203.162.18.217 Hình 3.9 : Mơ hình mạng IPSec điều kiện lưu lượng thấp không nghẽn Sau kết nối VPN thiết lập, tiến hành thực chuyển lưu lượng gồm lưu lượng video conference, lưu lượng truyền file dạng ftp hai site mức độ bình thường (thực giám sát băng thơng chạy qua router chương trình giám sát để đảm bảo lưu lượng bình thường khơng bị nghẽn Lúc này, hai site dùng công cụ phần mềm (visualware) cài lên hai PC mạng để đo tham số chất lượng dịch vụ gồm trễ, trượt, gói 3.4.1.2 Mạng điều kiện lưu lượng cao, có xảy va chạm (lab 2) Luận văn thạc sỹ khoa học Chất lượng dịch vụ VPN IPSec - 112 - C C ` ` VideoConferenc e Node A IP: 203.162.91.138/ 29 ` Node C FTP/HTTP client Ping flood IP: 203.162.91.13 9/29 VideoConferenc e Node A IP: 203.162.18.218/ 29 IPSec Tunnel H u b Fa 0/0 S 0/0 Router A S0/ S0/ S 0/0 Fa 0/0 Router C Router B H u b ` Node E FTP/Web Server FTP/Web client IP: 203.162.18.219 /29 ` ` ` Sniffer Node D Web Client/ Server FTP Server IP: 203.162.91.1 40/29 Router A IP Fa0/0: 203.162.91.137/29 Router A IP S0/0: 203.162.134.58/30 Router B IP S0/0: 203.162.134.59/30 Router B IP S0/: 203.162.180.165/30 Router C IP S0/1: 203.162.180.166/30 Router C IP Fa0/0: 203.162.18.217 Node F Web Client IP: 203.162.18 220/29 Hình 3.10: Mơ hình mạng IPSec điều kiện lưu lượng cao, mạng bị nghẽn Làm tương tự bước điều kiện mạng bị nghẽn file truyền lớn ping flood hai đầu Kết đo hai trường hợp trước sau áp dụng VPN để so sánh 3.4.2 Kết đo 3.4.2.1 Trễ VPN Bảng 3.3 Kết đo trễ hai mơ hình thử nghiệm có khơng có VPN Luận văn thạc sỹ khoa học Chất lượng dịch vụ VPN IPSec - 113 - 250 214.71 201.37 200 (ms) 150 100 82.01 94.97 68.8 71.58 66.95 64.34 Có VPN Khơng cóVPN Có VPN Khơng có VPN Lab1 Lab1 Lab2 Lab2 50 Voice video Trượt VPN 3.4.2.2 Bảng 3.4 Kết đo trượt hai mơ hình thử nghiệm có khơng có VPN 70 60 62.13 56.32 63.12 56.22 (ms) 50 40 30 32.94 26.72 31.28 31.97 20 10 Có VPN Khơng có VPN Có VPN Khơng có VPN Lab1 Lab1 Lab2 Lab2 voice jitter Luận văn thạc sỹ khoa học video jitter Chất lượng dịch vụ VPN IPSec - 114 - Mất gói VPN 3.4.2.3 Bảng 3.5 Kết đo gói hai mơ hình thử nghiệm có khơng có VPN (%) 0.012 0.01 0.008 0.006 0.004 0.002 0.01 0 0 0 Có VPN Khơng có VPN Có VPN Khơng có VPN Lab1 Lab1 Lab2 Lab2 Voice packet loss 3.4.2.4 Video packet loss Áp dụng QoS cho VPN Lúc áp dụng sách QoS 11 lớp cho hai đầu router thực đo tham số trễ trung bình trượt hai đầu mạng VPN, sau tiến hành so sánh với kết dùng mạng VPN mà QoS (trong điều kiện mạng bị nghẽn) kết thu sau Bảng 3.6 Kết đo đạc trễ trượt mơ hình VPN Lab2 trước sau có QoS Độ trễ trung bình (ms) Trượt (ms) Voice (khơng có QoS) 201.370 60.870 Voice (có QoS) 133.181 60.401 Lợi ích (%) 151.20 0.776 Video (khơng có QoS) 214.710 18.601 Video (có QoS) 143.782 17.940 Lợi ích 149.33 3.60 Luận văn thạc sỹ khoa học Chất lượng dịch vụ VPN IPSec - 115 - 3.5 Kết luận kết thu Trong tình trạng bình thường tham số đường truyền giúp thoả mãn hầu hết dịch vụ Tuy nhiên chưa có mức độ ưu tiên khác cho loại lưu lượng khác nhau, nên có tăng băng thơng bất thường số loại dịch vụ làm cho dịch vụ khác bị ảnh hưởng không thoả mãn yêu cầu tham số bảng số Tuy nhiên có cấu hình phân bổ băng thông trên, hàng đợi cho phép lớp lưu lượng khác hưởng mức băng thơng xác lập trước, điều làm cho ứng dụng không ảnh hưởng lẫn có hội tụ lớp lưu lượng nhiều trường hợp khác - QoS cho dịch vụ video conference sử dụng môi trường mạng IP bị ảnh hưởng chủ yếu yếu tố trễ truyền qua VPN - Hai nguyên nhân vấn đề việc mạng bị nghẽn lưu lượng tăng, q trình mã hố xẩy - Trễ tăng phụ thuộc vào lưu lượng kết nối thời điểm Để giảm trễ phải có phân biệt đối xử với loại lưu lượng khác dựa sách thiết kế - Trượt không bị ảnh hưởng nhiều kết nối VPN - Tỉ lệ gói thay đổi khơng nhiều q trình test trường hợp có khơng có VPN - Việc cấu hình QoS kết nối VPN mang lại lợi ích việc giảm độ trễ, trượt kết nối qua tăng chất lượng dịch vụ 3.6 Đề xuất Trong thực tế, đường truỵền dạng văn phịng đại diện tập đồn có nhiều chi nhánh thường có nhiều với mục đích bảo mật, độ sẵn sàng cao phù hợp với mạng lưới sẵn có nhiều nơi, khách hàng triển khai nhiều hệ thống VPN qua mạng sẵn có Tuy nhiên việc thiết lập QoS cho mạng hội tụ với nhiều lớp lưu lượng khác thường chưa thực hiện, chạy ứng dụng khác vấp phải tình trạng chất lượng khơng thoả mãn khơng thể thực dịch vụ Với việc triển khai cấu hình vừa hiệu vừa phù hợp với mạng lưới Việt Nam, cấu hình cho nhiều trường hợp khác Việc cấu hình tỏ phù hợp với điều kiện mang internet mà khách hàng tự cấu hình hồn tồn khơng phụ thuộc nhà cung cấp Luận văn thạc sỹ khoa học Chất lượng dịch vụ VPN IPSec - 116 - KẾT LUẬN Kết nghiên cứu luận văn cho thấy điều kiện hiên mạng lưới Việt Nam đủ sức triển giải pháp chất lượng dịch vụ VPN IPSec số lý sau: - Các thiết bị mạng lõi nhà cung cấp Internet tương thích với giải pháp (Cisco) - Các thiết bị phía đầu cuối cho doanh nghiệp lớn dùng thiết bị Cisco dễ dàng triển khai giải pháp - Kết đo kiểm cho thấy mạng lưới Việt Nam đủ đế đáp ứng tham số chất lượng triển khai VPN - Hiện nhiều khách hàng Việt Nam chạy giải pháp với kết tốt Luận văn thạc sỹ khoa học Chất lượng dịch vụ VPN IPSec - 117 - Tuy nhiên nhìn chung, giải pháp VPN IPSec cịn có số vấn đề cần phải khắc phục tương lai để giải pháp hồn thiện mơi trường mạng tồn cầu: - Khả giám sát hỗ trợ nhà cung cấp, khả bỏ ngỏ khách hàng phải chủ động hoàn toàn việc triển khai giám sát kết nối VPN - Ảnh hưởng từ tham số routing nhà cung cấp lên chất lượng VPN, điều thường xảy khách hàng tạo VPN hướng mà nhà cung cấp khơng có kết nối trực tiếp buộc phải qua nhà cung cấp khác có hướng trực tiếp lưu lượng hướng bị tải làm cho chất lượng kết nối VPN không đảm bảo Vì thời gian phạm vi luận văn, nên chưa đề cập đến vai trò nhà cung cấp dịch vụ (ISP) vấn đề chất lượng dịch vụ VPN IPSec Đây vấn đề phức tạp, giải pháp VPN IPSec hoàn tồn thực phía văn phòng khách hàng dựa đường truyền Internet thuê từ ISP Tuy vậy, giải pháp cần phải có tham số đảm bảo nhà cung cấp để triển khai tốt dịch vụ Có thể giải pháp cung cấp cam kết dịch vụ bao gồm tập tham số để đảm bảo chất lượng dịch vụ VPN IPSec từ nhà cung cấp Điều góp phần làm tăng khả hỗ trợ trách nhiệm nhà cung cấp khách hàng sử dụng dịch vụ TÀI LIỆU THAM KHẢO Tiếng Anh [1] Davis, C R IPSec: Securing VPNs McGraw-Hill, Berkeley, Calif,2001 [2] Kaeo, Merike Designing Network Security Indianapolis Cisco Press, 2003 [3] Malik, Saadat Network, Security Principles and practices Indianapolis: Cisco Press, 2002 [4] Mason Andrew Cisco Secure Virtual Private Networks Indianapolis: Cisco Press, 2001 11T Luận văn thạc sỹ khoa học 11 T Chất lượng dịch vụ VPN IPSec - 118 - [5] Szigeti, Tim and Christina Hattingh End-to-end QoS Network Design: Quality of Service in LANs, WANs and VPNs Indianapolis: Cisco Press, 2004 Các chuẩn [6] 12T RFC 2105: Internet X.509 Public Key Infrastructure , C Adams, S Farrell, http://www.ietf.org/rfc/rfc2510.txt , March 1999 RFC 2246: The TLS Protocol Version 1.0, T Dierks, C Allen, IETF, http://www.ietf.org/rfc/rfc2246.txt, January 1999 RFC 2395: IP Payload Compression Using LZS , R Friend, R Monsour, IETF, http://www.ietf.org/rfc/rfc2395.txt, December 1998 RFC 2401: Security Architecture for the Internet , S Kent, R Atkinson, IETF, http://www.ietf.org/rfc/rfc2401.txt, November 1998 RFC 2402: IP Authentication Header (AH ), S Kent, R Atkinson, IETF, http://www.ietf.org/rfc/rfc2402.txt, November 1998 RFC 2406: IP Encapsulating Security Payload (ESP) , S Kent, R Atkinson, IETF, http://www.ietf.org/rfc/rfc2406.txt, November 1998 RFC 2408: Internet Security Association and Key Management Protocol , D Maughan, M Schertler, M Schneider, J Turner, IETF, http://www.ietf.org/rfc/rfc2408.txt, November 1998 RFC 2409: The Internet Key Exchange , D Harkins, C Carrel, IETF, http://www.ietf.org/rfc/rfc2409.txt, November 1998 RFC 2412: The Oakley Key Determination Protocol , H Orman, IETF, http://www.ietf.org/rfc/rfc2412.txt, November 1998 RFC 2560: Online Certificate Status Protocol , M Myers, R Ankney, A Malpani, S Galperin, C Adams, http://www.ietf.org/rfc/rfc2560.txt, June 1999 RFC 2631: Diffie-Hellman Key Agreement Method , E Rescorla, IETF, http://www.ietf.org/rfc/rfc2631.txt, June 1999 RFC 2748: Generic Routing Encapsulation (GRE) , D Farinacci, T Li, S Hanks, D Meyer, P Traina, IETF, http://www.ietf.org/rfc/rfc2784.txt, March 2000 RFC 3526: More Modular Exponential (MODP) Diffie-Hellman Groups for Internet Key Exchange (IKE) , T Kivenen, M Kojo, http://www.ietf.org/rfc/rfc3526.txt, May 2003 2T 11T 11 T 21T [7] 12T [8] 12T [9] 12T [10] 12T [11] 12T [12] 12T 1T 2T 11T 2T 11T 2T 11T 2T 11T 2T 11T 2T 11T 2T 11T 2T 11T 2T 11T 2T 11T 2T 11T 2T 11T 11T 11T 11T 11T 11T 11T [13] 12T [14] 12T [15] 12T [16] 12T [17] 12T [18] 12T 11 T 11 T 11T 1T 11 T 11 T Luận văn thạc sỹ khoa học Chất lượng dịch vụ VPN IPSec - 119 - Các Website tham khảo [19] Cisco IOS QoS Configuration Guide- Cisco IOS version 12.3 http://www.cisco.com/univercd/cc/td/doc/product/software/ios12 3/123cgcr/qos/vgc.htm [20] Cisco Secure Consulting Services (Security Wheel) , http://www.cisco.com/warp/public/cc/serv/mkt/sup/advsv/pavsup /sposass/cscsb_br.pdf [21] Configuring IKE Extended Authentication , http://www.cisco.com/en/US/partner/products/sw/iosswrel/ps183 4/products_feature_guide09186a008007feb8.html [22] Designing and Implementing a Secure Network Infrastructure , M Kaeo, NANOG, http://www.nanog.org/mtg-0310/pdf/kaeo.ppt, October 2003 [23] Configuring IPSec network Security (Cisco IOS Release 12.2): http://www.cisco.com/univercd/cc/td/doc/product/software/ios1 22/122cgcr/fsecur_c/fipsenc/scfipsec.htm [24] Configuring Internet Key Exchange Security Protocol (Cisco IOS Release 12.2): http://www.cisco.com/univercd/cc/td/doc/product/software/ios1 22/122cgcr/fsecur_c/fipsenc/scfike.htm [25] Internet Key Exchange Mode Config , http://www.cisco.com/en/US/partner/products/sw/iosswrel/ps50 14/products_feature_guide09186a0080088172.html [26] IP Security an Encryption overview (Cisco IOS Release 12.2): http://www.cisco.com/univercd/cc/td/doc/product/software/ios1 22/122cgcr/fsecur_c/fsecur/fipsend/scfencov.htm [27] IPSec NAT transparency (Cisco IOS Release 12.2[13]T): http://www.cisco.com/univercd/cc/td/doc/product/software/ios1 22/122newft/122t/122t13/ftipsnat.htm [28] IPSec and quality of service feature (Cisco IOS Release 12.3[8]T): http://www.cisco.com/univercd/cc/td/doc/product/software/ios1 23/123newft/123t/123t_8/gtqosips.htm [29] Low-latency queuing (LLQ) for IPSec encryption engines (Cisco IOS Release 12.2[13]T): http://www.cisco.com/univercd/cc/td/doc/product/software/ios1 22/122newft/122t/122t13/llqfm.htm [30] Prefragmentation for IPSec VPNs (Cisco IOS Release 12.2[13]T): 11T 11 T 11T 11T 11T 11T Luận văn thạc sỹ khoa học 11T 11T Chất lượng dịch vụ VPN IPSec - 120 - http://www.cisco.com/univercd/cc/td/doc/product/software/ios1 22/122newft/122t/122t13/ftprefrg.htm [31] Quality of service for Virtual Private Networks (Cisco IOS Release 12.2[2]T): http://www.cisco.com/univercd/cc/td/doc/product/software/ios1 22/122newft/122t/122t2/ftqosvpn.htm [32] Understanding How Routing Update and Layer Control Packets Are Queued on an Interface with a QoS Service Policy (PAK_PRIORITY) http://www.cisco.com/warp/public/105/rtgupdates.html Luận văn thạc sỹ khoa học Chất lượng dịch vụ VPN IPSec ... chất lượng dịch vụ kết nối VPN Bởi Luận văn thạc sỹ khoa học Chất lượng dịch vụ VPN IPSec - 13 - VPN đơn giản kết nối, điều khơng phải mang ứng dụng cách bảo mật mà phải mang chúng với chất lượng. .. cấp dịch vụ sau: - Tin cậy thông tin - Nhận thực - Tính tồn vẹn phi kết nối - Dịch vụ antireplay Một tập dịch vụ cung cấp dựa thoả thuận đạt SA Dịch vụ tin cậy lựa chọn cách độc lập với dịch vụ. .. có dịch vụ toàn vẹn, nhận thực, dù ESP hay AH làm cho gói tin trở nên mục tiêu công mạng Các dịch vụ toàn vẹn nhận thực cung cấp tuỳ chọn với dịch vụ toàn vẹn Dịch vụ antireplay lựa chọn dịch vụ