Bảo mật mạng MPLS VPN GVHD: PGS.TS Phạm Hồng Liên MỤC LỤC PHẦN I LÝ THUYẾT TỔNG QUAN Chương GIỚI THIỆU ĐỀ TÀI 1.1 1.2 1.3 1.4 1.5 Tổng quan đề tài Tổng quan tình hình nghiên cứu Mục tiêu đề tài Bố cục đề tài Ý nghĩa đề tài Chương CHUYỂN MẠCH NHÃN ĐA GIAO THỨC MPLS 2.1 Tổng quan 2.1.1 Khái niệm MPLS 2.1.2 Sự cải tiến MPLS 2.1.3 Vị trí MPLS mơ hình tham chiếu OSI 2.1.4 Lợi ích MPLS 2.2 Kiến trúc mạng MPLS 2.2.1 Miền MPLS 2.2.2 Nhãn MPLS 2.2.2.1 Chế độ frame 2.2.2.2 Chế độ cell 2.2.3 Ngăn xếp nhãn 10 2.2.4 Mã hóa MPLS 12 2.2.5 Đường chuyển mạch nhãn LSP 12 2.2.6 Lớp chuyển tiếp tương đương FEC 13 2.2.7 Phân phối nhãn MPLS 15 2.2.7.1 Chế độ phân phối nhãn 15 2.2.7.2 Giao thức LDP (Label Distribution Protocol) 15 2.2.8 Cấu trúc chức MPLS 17 2.2.8.1 Mặt phẳng chuyển tiếp mặt phằng điều khiển 17 2.2.8.2 Bảng LIB LFIB 18 2.2.8.3 Quá trình chuyển tiếp nhãn 20 2.2.8.4 Gỡ bỏ nhãn áp cuối PHP (Penultimate Hop Popping) 22 2.2.8.5 Ví dụ hoạt động chuyển tiếp 22 Chương CẤU TRÚC MẠNG MPLS VPN 23 3.1 Cấu trúc mạng riêng ảo VPN (Virtual Private Network) 23 3.1.1 Giới thiệu 23 3.1.2 Phân loại 24 3.1.3 Ưu điểm mạng VPN 25 3.1.4 Tồn mạng VPN 25 -i- HVTH: KS Nguyễn Đức Duy Bảo mật mạng MPLS VPN GVHD: PGS.TS Phạm Hồng Liên 3.2 Mạng MPLS VPN 26 3.2.1 Giới thiệu 26 3.2.2 Cấu trúc thành phần mạng MPLS VPN 27 3.2.3 Mơ hình định tuyến MPLS VPN 28 3.2.4 Bảng chuyển tiếp định tuyến ảo VRF 29 3.2.5 Route Distinguisher, Route Targets, MP-BGP 30 3.2.5.1 Route Distinguisher (RD) 30 3.2.5.2 Giao thức định tuyến MP-BGP cho mạng MPLS VPN 31 3.2.5.3 Route Target (RT) 33 3.2.5.4 Họ địa (address families) 36 3.2.6 Hoạt động mặt phẳng điều khiển MPLS VPN 37 3.2.7 Hoạt động mặt phẳng liệu MPLS VPN 39 PHẦN II: CƠ CHẾ BẢO MẬT TRONG MẠNG MPLS VPN 42 Chương CÁC KIỂU TẤN CÔNG ĐỐI VỚI MẠNG MPLS VPN 42 4.1 Tấn công vào mạng riêng ảo VPN 42 4.1.1 Tấn công xâm nhập vào VPN 42 4.1.2 Tấn công từ chối dịch vụ 43 4.1.3 Tấn công thầm lặng 44 4.2 Các dạng công vào MPLS VPN 45 4.2.1 Tấn công vào miền extranet 45 4.2.2 Tấn công vào mạng trục 46 4.2.3 Tấn công từ Internet 48 Chương BẢO MẬT DÙNG IPSEC 50 5.1 Khái quát IP Security 50 5.1.1 Giới thiệu IPSec 50 5.1.2 Cấu trúc IPSec 51 5.1.2.1 Sơ đồ hoạt động 51 5.1.2.2 Security Association 53 5.1.2.3 Chỉ số bảo mật SPI 54 5.1.3 Giao thức trao đổi khóa IKE 55 5.1.3.1 Các thành phần IKE 55 5.1.3.2 Pha sử dụng IKE 56 5.1.3.3 Các chế độ IKE 56 5.1.4 Các thuật toán sử dụng trao đổi SA 57 5.1.4.1 Thuật toán Hash 57 5.1.4.2 Thuật toán mã hóa đối xứng bất đối xứng 58 5.1.4.3 Thuật tốn trao đổi khóa Diffie-Hellman 61 5.1.5 Giao thức ESP 64 5.1.5.1 ESP header 64 -ii- HVTH: KS Nguyễn Đức Duy Bảo mật mạng MPLS VPN GVHD: PGS.TS Phạm Hồng Liên 5.1.5.2 Chế độ ESP 66 5.1.6 Giao thức AH 67 5.1.6.1 AH header 67 5.1.6.2 Các chế độ AH 69 5.2 Xây dựng IPSec VPN 70 Chương XÂY DỰNG CHƯƠNG TRÌNH MƠ PHỎNG 77 6.1 Dùng IPsec tăng cường bảo mật cho MPLS VPN 77 6.1.1 IPsec áp dụng cho PE-to-PE 77 6.1.2 IPSec áp dụng cho CE-to-CE 79 6.2 Xây dựng chương trình mơ 79 6.2.1 Giới thiệu chương trình 79 6.2.2 Triển khai IPSec cho PE-to-PE 80 6.2.3 Triển khai IPSec cho CE-to-CE 104 Chương KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 121 7.1 7.2 7.3 Kết luận 121 Hướng phát triển 121 Tồn đề tài 122 TÀI LIỆU THAM KHẢO 123 TÓM TẮT LÝ LỊCH CÁ NHÂN 125 -iii- HVTH: KS Nguyễn Đức Duy Bảo mật mạng MPLS VPN GVHD: PGS.TS Phạm Hồng Liên MỤC LỤC HÌNH Hình 2.1: Mơ hình mạng MPLS Hình 2.2: MPLS mơ hình tham chiếu OSI Hình 2.3: so sánh chuyển tiếp IP chuyển tiếp MPLS Hình 2.4: Miền MPLS Hình 2.5: upstream downstream LSR Hình 2.6: Cấu trúc nhãn MPLS Hình 2.7: Nhãn chế độ cell ATM 10 Hình 2.8: Gói có nhãn ATM 10 Hình 2.9: Ngăn xếp nhãn 11 Hình 2.10: Ngăn xếp nhãn trường hợp khác 11 Hình 2.11: Gói gắn nhãn 12 Hình 2.12: Đường chuyển mạch nhãn LSP 12 Hình 2.13: Phân cấp LSP MPLS 13 Hình 2.14: Một ví dụ LSP lồng vào 13 Hình 2.15: Lớp chuyển tiếp tương đương FEC MPLS 14 Hình 2.16: Ví dụ FEC MPLS chạy iBGP 14 Hình 2.17: Phân phối nhãn không cần yêu cầu 15 Hình 2.18: Phân phối nhãn theo yêu cầu 15 Hình 2.19: vùng hoạt động LDP 16 Hình 2.20: Trao đổi thơng điệp LDP 17 Hình 2.21: Cấu trúc chức LER LSR 18 Hình 2.22: Một ví dụ NHLFE 19 Hình 2.23: Mối quan hệ FTN, ILM NHLFE 20 Hình 2.24: Quá trình chuyển tiếp gói đến hop kế 21 Hình 2.25: Một ví dụ bên mặt phẳng chuyển tiếp 21 Hình 2.26: Ví dụ hoạt động chuyển tiếp 22 Hình 3.1: Ví dụ Layer-2 VPN 24 Hình 3.2: Các thành phần mạng Layer MPLS VPN 27 Hình 3.3: Cấu trúc chức router PE MPLS VPN 28 Hình 3.4: Tạo bảng VRF PE router 29 Hình 3.5: Hoạt động RD mạng MPLS VPN 31 Hình 3.6: MPLS VPN với định tuyến BGP PE-CE 32 Hình 3.7: Cơ chế chống loop BGP 33 Hình 3.8: Định dạng route target 34 Hình 3.9: Hoạt động RD RT miền MPLS VPN 35 Hình 3.10: Tương tác mặt phẳng điều khiển MPLS VPN 38 Hình 3.11: Hoạt động mặt phẳng điều khiển 38 Hình 3.12: Hoạt động mặt phẳng liệu MPLS VPN 40 Hình 4.1: Tấn công vào VPN 42 -iv- HVTH: KS Nguyễn Đức Duy Bảo mật mạng MPLS VPN GVHD: PGS.TS Phạm Hồng Liên Hình 4.2: Các hướng xâm phạm vào VPN 43 Hình 4.3: Các điểm cơng DoS VPN 44 Hình 4.4: Che khơng gian địa từ VPN 45 Hình 4.5: Mơ hình bảo mật với extranet 46 Hình 4.6: Mơ hình bảo mật cho nhiều nhà cung cấp MPLS VPN 46 Hình 4.7: Mơ hình bảo mật truy xuất Internet 48 Hình 5.1: Sơ đồ IPSec 51 Hình 5.2: Gói IP bảo vệ IPSec chế độ transport tunnel 53 Hình 5.3: Chế độ IKE 57 Hình 5.4: Thuật tốn hash để bảo tồn liệu 58 Hình 5.5: Sơ đồ hash MD5 58 Hình 5.6: Mã hóa đối xứng bất đối xứng 59 Hình 5.7: Sơ đồ thuật toán DES 60 Hình 5.8: Mã hóa 3DES 60 Hình 5.9: Thuật tốn RSA 61 Hình 5.10: Trao đổi khóa Diffie-Hellman 62 Hình 5.11: Q trình trao đổi khóa Diffie-Hellman 63 Hình 5.12: ESP Header (và trailer) 64 Hình 5.13: Gói IP ESP bảo vệ chế độ 66 Hình 5.14: Một ví dụ mã hóa ESP 67 Hình 5.15: AH Header 68 Hình 5.16: AH chế độ Transport 69 Hình 5.17: AH chế độ tunnel 69 Hình 5.18: Các bước xây dựng IPsec VPN 70 Hình 5.19: Xử lý interesting traffic bước 70 Hình 5.20: Trao đổi IKE pha 71 Hình 5.21: Thiết lập sách IKE 72 Hình 5.22: Thương lượng IPsec SA IKE pha 73 Hình 5.23: Thiết lập IPsec transform 74 Hình 5.24: Tạo phiên trao đổi IPsec 75 Hình 5.25: Kết thúc IPsec tunnel bước thứ 76 Hình 6.1: Các điểm áp dụng IPsec MPLS VPN 77 Hình 6.2: IPsec từ PE-to-PE 78 Hình 6.3: Đóng gói IPsec để bảo mật PE-PE 78 Hình 6.4: IPsec áp dụng CE 79 Hình 6.5: Sơ đồ mơ cho PE-PE 80 Hình 6.6: Sơ đồ mô chạy Dynamips 81 Hình 6.7: Giải thuật mô cho PE-PE 81 Hình 6.8: Quá trình thiết lập kết nối A1 95 Hình 6.9: Quá trình thiết lập kết nối PE1 95 Hình 6.10: Sơ đồ mơ cho CE-CE 104 -v- HVTH: KS Nguyễn Đức Duy Bảo mật mạng MPLS VPN GVHD: PGS.TS Phạm Hồng Liên Hình 6.11: Giải thuật áp dụng IPSec cho CE-CE 105 Hình 6.12: Quá trình trao đổi gói PE1 B1 gởi gói ICMP 115 Hình 6.13:Quá trình thiết lập IPsec A1 120 Hình 6.14: Q trình trao đổi gói có bảo mật IPsec PE1 120 -vi- HVTH: KS Nguyễn Đức Duy Bảo mật mạng MPLS VPN GVHD: PGS.TS Phạm Hồng Liên CÁC THUẬT NGỮ VIẾT TẮT LSP NHLFE NS MNS MPLS OSPF PFB POR PIL PML PHP PSL QoS RIB RSVP SPF TCP TLV TTL VC ATM BGP CBQFQ CR-LDP CR-LSP CSPF DiffServ DiffServ-TE E-LSP ER ERB ERO ER-LSP Label Switching Router Next Hop Label Forwarding Entry Network Simulator MPLS Network Simulator MultiProtocol Label Switch Open Shortest Path First Partial Forward Table Point Of Repair Protection Ingress LSR Protection/Path Merge LSR Penultimate Hop Poping Path Switch LSR Quality of Service Routing Information Block Resource Reservation Protocol Shortest Path First Transport Control Protocol Type Length Value Time-To-Live Virtual Circuit Asynchronous Transfer Mode Border Gate Protocol Class-Based Weight Fair Queuing Constraint-based Routed Label Distribution Protocol Constraint-based Routed Label Switch Path Constraint Shortest Path First Differentiated Services Model DiffServ-Aware TE EXP-Infered-PSC LSP Explicit Route Explicit Routing Table Explicit Route Object Explicit Routed Label Switched Path -vii- HVTH: KS Nguyễn Đức Duy Bảo mật mạng MPLS VPN EXP FEC FIB FIFO FIS FTN FR FRS FRR IGP ILM LER LDB LFIB L-LSP LIB IPv4 IPv6 MP-BGP MP-eBGP IBGP IPSec RIB OSI RT RD PE TCP NRLI VCI VPI SLA GVHD: PGS.TS Phạm Hồng Liên Experimential Forwarding Equivalence Class Forward Information Block First in First out Fault Indication Signal Forward Equivalence Class – to – Next Hop Label Frame Relay Fault Recovery Signal Fast Reroute Interior Gateway Protocol Incoming Label Map Label Egress Router Label Distribution Protocol Label Forwarding Information Block Label-Only-Inferred-PSC LSP Label Information Block Internet Protocol version Internet Protocol version Multi Protocol BGP Multi Protocol EBGP Internal BGP IP Security Routing Information Block Open System Interconnection Route Target Route Distinguisher Provider Edge Transport Control Protocol Network Layer Reachability Information Virtual Circuit Virtual Path Identifier Service Level Agreement -viii- HVTH: KS Nguyễn Đức Duy Chương Giới thiệu đề tài PHẦN I Chương GVHD: PGS.TS Phạm Hồng Liên LÝ THUYẾT TỔNG QUAN GIỚI THIỆU ĐỀ TÀI 1.1 Tổng quan đề tài Trong năm qua, việc kinh doanh qua Internet, hay e-business, cải thiện hiệu kinh tế doanh thu công ty Các ứng dụng e-business thương mại điện tử, quản lý hệ thống phân phối, truy xuất từ xa cho phép cơng ty hợp lý hóa khâu xử lý, giảm chi phí vận hành, làm hài lịng nhu cầu khách hàng Các ứng dụng yêu cầu mạng thích hợp để cung cấp lưu lượng voice, video, data nâng cấp dễ dàng nhu cầu tăng lên Tuy nhiên mạng có nhiều ứng dụng thuê bao sử dụng dễ bị xâm phạm nhiều “sâu” bảo mật Để chống lại sâu ngăn e-business bị xâm phạm kỹ thuật bảo mật đóng vai trị quan trọng mạng ngày Trong phát triển bùng nổ Internet dịch vụ thoại, truyền hình Internet giao thức IP trở thành giao thức chủ đạo lĩnh vực mạng Hướng ISP thiết kế sử dụng router chuyên dụng, dung lượng chuyển tải lớn hỗ trợ giải pháp tích hợp, chuyển mạch đa lớp cho mạng trục Internet Với nhu cầu cấp thiết vậy, công nghệ MPLS đời sở kết hợp đặc điểm tốt chuyển mạch kênh ATM chuyển mạch gói IP Một ứng dụng thực tế triển khai MPLS mạng hệ NGN có khả tích hợp đa dịch vụ với dung lượng lớn Các ứng dụng mạng MPLS kỹ thuật lưu lượng (TE) lớp dịch vụ (CoS), mạng riêng ảo (VPN), kênh thuê riêng ảo (VLLs), dịch vụ LAN ảo (VPLS) Vấn đề bảo mật mạng trục IP/MPLS quan trọng MPLS VPN xây dựng dựa nhu cầu MPLS VPN khơng cho phép khách hàng định tuyến trao đổi thông tin với thông qua nhà cung cấp mà cho phép nhà cung cấp dịch vụ xây dựng dịch vụ bảo mật, xác thực cho khách hàng Tuy nhiên khả bảo mật mạng MPLS VPN nhiều hạn chế cần hỗ trợ từ nhiều phương pháp khác Nội dung đề tài sâu khai thác vấn đề 1.2 Tổng quan tình hình nghiên cứu MPLS đời nhóm kỹ sư cơng ty Ipsilon Network Sau Cisco cải thiện thành giao thức chuyển mạch nhãn nghĩa không bị giới hạn theo cách truyền ATM Cuối cùng, tổ chức IETF (Internet Engineering Task Force) đề nghị giao thức thống kết hợp tính nhà cung cấp khác Vấn đề bảo mật mạng MPLS nghiên cứu cải thiện không ngừng Nhóm Miercom nhóm tiên phong lĩnh vực kiểm nghiệm thực tế khả bảo mật MPLS MPLS dần trở thành công nghệ phổ biến để cung cấp dịch vụ VPN, tăng tính bảo mật cho nhà cung cấp dịch vụ khách hàng sử dụng MPLS VPN hoàn tồn tương đương thay Bảo mật mạng MPLS VPN -1- HVTH: KS Nguyễn Đức Duy Chương Giới thiệu đề tài GVHD: PGS.TS Phạm Hồng Liên cho VPN lớp truyền thống ATM, Frame Relay Cấu trúc quan tâm chủ yếu MPLS VPN MPLS/BGP VPN Với tiện lợi chi phí đầu tư, khả phổ biến tính bảo mật, VPN dần thay kênh thuê riêng, chuyển mạch truyền thống nhà cung cấp đầu tư, cải thiện không ngừng Khả bảo mật VPN chia thành nhóm: VPN thiết bị khách hàng (CPE-based VPN) VPN thiết bị nhà cung cấp dịch vụ (Network-based VPN ) Với CPE-base VPN, khách hàng thiết lập đường hầm bảo mật VPN miền họ, sử dụng giải pháp đường hầm IPsec VPN qua internet qua mạng trục riêng Giải pháp hỗ trợ dịch vụ IP VPN Tuy nhiên dịch vụ khó triển khai, tốn mạng lớn giải pháp MPLS VPN với sách bảo mật hợp lý đáp ứng điều Giải pháp khơng tận dụng tối đa khả dễ mở rộng MPLS VPN với dịch vụ tăng doanh thu ưu tiên CoS (Class of service) hay SLAs (service-level agreements) mà đảm bảo an toàn bảo mật cho thông tin trao đổi khách hàng 1.3 Mục tiêu đề tài Mục tiêu đề tài nghiên cứu hỗ trợ phương pháp bảo mật IPSec để tăng cường bảo mật cho mạng MPLS VPN Bản chất MPLS VPN tạo đường dẫn ảo riêng biệt cho khách hàng nên có khả bảo mật định Tuy nhiên môi trường mạng phức tạp ngày với nhu cầu sử dụng internet cao MPLS VPN bị cơng từ nhiều hướng khác Do nghiên cứu thiết lập sách bảo mật cho mạng MPLS VPN điều không tránh khỏi So với phương pháp khác mà nhà cung cấp triển khai: xây dựng tường lửa, sách lọc gói, quản lý địa chỉ.vv IPsec phương pháp đơn giản hiệu IPsec áp dụng cho router PE nhà cung cấp dịch vụ cần bảo mật số lượng lớn VPN kết nối vào mạng trục triển khai bảo mật router CE khách hàng 1.4 Bố cục đề tài Đề tài trình bày chế hoạt động mạng MPLS VPN khả bị công mạng Sau phân tích chi tiết chế bảo mật IPsec cách kết hợp IPsec để tăng cường bảo mật cho mạng MPLS VPN Đề tài gồm phần chính: lý thuyết tổng quan chế bảo mật mạng MPLS Bố cục chi tiết sau Phần I: Lý thuyết tổng quan Trình bày sở lý thuyết MPLS Chương 1: Giới thiệu đề tài Trình bày tổng quan, mục đích yêu cầu phần nghiên cứu luận văn Bảo mật mạng MPLS VPN -2- HVTH: KS Nguyễn Đức Duy Chương Xây dựng chương trình mô GVHD: PGS.TS Phạm Hồng Liên duplex half ! interface FastEthernet1/0 ip address 192.168.1.1 255.255.255.0 duplex half crypto map gre-tunnel ! router ospf 10 log-adjacency-changes network 10.1.1.0 0.0.0.255 area network 192.168.100.0 0.0.0.255 area ! ip route 0.0.0.0 0.0.0.0 FastEthernet1/0 ! no ip http server no ip http secure-server ! access-list 101 permit gre host 192.168.1.1 host 192.168.4.2 ! control-plane ! gatekeeper shutdown ! line stopbits line aux stopbits line vty login ! End  Cấu hình A2 A2#show run Building configuration Current configuration : 1229 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname A2 ! boot-start-marker boot-end-marker Bảo mật mạng MPLS VPN -111- HVTH: KS Nguyễn Đức Duy Chương Xây dựng chương trình mơ GVHD: PGS.TS Phạm Hồng Liên ! no aaa new-model ! ip cef ! crypto isakmp policy authentication pre-share crypto isakmp key cisco address 192.168.1.1 ! crypto ipsec transform-set encr-only esp-3des ! crypto map gre-tunnel 10 ipsec-isakmp set peer 192.168.1.1 set transform-set encr-only match address 101 ! interface Tunnel0 ip address 10.1.1.2 255.255.255.0 tunnel source 192.168.4.2 tunnel destination 192.168.1.1 crypto map gre-tunnel ! interface FastEthernet0/0 ip address 192.168.4.2 255.255.255.0 duplex half crypto map gre-tunnel ! interface FastEthernet1/0 ip address 192.168.200.1 255.255.255.0 duplex half ! router ospf 10 log-adjacency-changes network 10.1.1.0 0.0.0.255 area network 192.168.200.0 0.0.0.255 area ! ip route 0.0.0.0 0.0.0.0 FastEthernet0/0 ! no ip http server no ip http secure-server ! access-list 101 permit gre host 192.168.4.2 host 192.168.1.1 ! control-plane gatekeeper shutdown line stopbits End Bảo mật mạng MPLS VPN -112- HVTH: KS Nguyễn Đức Duy Chương Xây dựng chương trình mô GVHD: PGS.TS Phạm Hồng Liên Tại PE1, PE2 thấy bảng LFIB sử dụng trao đổi nhãn MPLS VPN PE1#show mpls forwarding-table Local Outgoing Prefix Bytes tag tag tag or VC or Tunnel Id switched 16 Pop tag 192.168.3.0/24 17 Pop tag 3.3.3.3/32 18 17 2.2.2.2/32 19 Aggregate 192.168.1.0/24[V] 54600 20 Aggregate 192.168.11.0/24[V] \ 21 Untagged 192.168.101.0/24[V] \ PE1#show mpls forwarding-table vrf A Local Outgoing Prefix Bytes tag tag tag or VC or Tunnel Id switched 19 Aggregate 192.168.1.0/24[V] 55512 Outgoing Next Hop interface Fa1/0 192.168.2.2 Fa1/0 192.168.2.2 Fa1/0 192.168.2.2 Se2/0 point2point Outgoing Next Hop interface PE2#show mpls forwarding-table Local Outgoing Prefix Bytes tag Outgoing Next Hop tag tag or VC or Tunnel Id switched interface 16 Pop tag 192.168.2.0/24 Fa0/0 192.168.3.1 17 16 1.1.1.1/32 Fa0/0 192.168.3.1 18 Pop tag 3.3.3.3/32 Fa0/0 192.168.3.1 19 Aggregate 192.168.4.0/24[V] 55536 20 Aggregate 192.168.44.0/24[V] \ 21 Untagged 192.168.202.0/24[V] \ Se2/0 point2point PE2#show mpls forwarding-table vrf A Local Outgoing Prefix Bytes tag Outgoing Next Hop tag tag or VC or Tunnel Id switched interface 19 Aggregate 192.168.4.0/24[V] 56904 Bảo mật mạng MPLS VPN -113- HVTH: KS Nguyễn Đức Duy Chương Xây dựng chương trình mơ GVHD: PGS.TS Phạm Hồng Liên Từ B1 gởi gói ICMP lệnh PING tới B2, q trình trao đổi gói interface fa1/0 PE thấy phần mềm wireshark hình 6.12 B1#show ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type E1 - OSPF external type 1, E2 - OSPF external type i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set O IA 192.168.44.0/24 [110/65] via 192.168.11.2, 01:48:56, Serial1/0 C 192.168.11.0/24 is directly connected, Serial1/0 O IA 192.168.202.0/24 [110/129] via 192.168.11.2, 01:48:56, Serial1/0 C 192.168.101.0/24 is directly connected, FastEthernet0/0 B2#show ip route C 192.168.44.0/24 is directly connected, Serial1/0 O IA 192.168.11.0/24 [110/65] via 192.168.44.1, 01:49:36, Serial1/0 C 192.168.202.0/24 is directly connected, FastEthernet0/0 O IA 192.168.101.0/24 [110/129] via 192.168.44.1, 01:49:36, Serial1/0 B1#ping 192.168.202.1 Type escape sequence to abort Sending 5, 100-byte ICMP Echos to 192.168.202.1, timeout is seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 312/383/544 ms B2#ping 192.168.101.1 Type escape sequence to abort Sending 5, 100-byte ICMP Echos to 192.168.101.1, timeout is seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 240/348/516 ms Bảo mật mạng MPLS VPN -114- HVTH: KS Nguyễn Đức Duy Chương Xây dựng chương trình mơ GVHD: PGS.TS Phạm Hồng Liên Hình 6.12: Q trình trao đổi gói PE1 B1 gởi gói ICMP Từ PC1 gởi gói ICMP telnet đến PC2 để kích hoạt IPSec router CE-A PC1#ping 192.168.200.2 Type escape sequence to abort Sending 5, 100-byte ICMP Echos to 192.168.200.2, timeout is seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 676/756/836 ms PC1#telnet 192.168.200.2 Trying 192.168.200.2 Open PC2# Bảo mật mạng MPLS VPN -115- HVTH: KS Nguyễn Đức Duy Chương Xây dựng chương trình mơ GVHD: PGS.TS Phạm Hồng Liên Q trình thương lượng sách SA xảy chế độ Main mode đến kết thúc pha IKE Jun 30 23:36:53.275: ISAKMP:(0:1:SW:1):: peer matches *none* of the profiles *Jun 30 23:36:53.275: ISAKMP:(0:1:SW:1): processing HASH payload message ID = *Jun 30 23:36:53.279: ISAKMP:(0:1:SW:1):SA authentication status: authenticated *Jun 30 23:36:53.279: ISAKMP:(0:1:SW:1):SA has been authenticated with 192.168.4.2 *Jun 30 23:36:53.279: ISAKMP: Trying to insert a peer 192.168.1.1/192.168.4.2/500/, and inserted successfully 658B2A94 *Jun 30 23:36:53.283: ISAKMP:(0:1:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE *Jun 30 23:36:53.283: ISAKMP:(0:1:SW:1):Old State = IKE_R_MM5 New State = IKE_R_MM5 *Jun 30 23:36:53.287: ISAKMP (0:134217730): received packet from 192.168.4.2 dport 500 sport 500 Global (I) MM_SA_SETUP *Jun 30 23:36:53.287: ISAKMP:(0:2:SW:1):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH *Jun 30 23:36:53.291: ISAKMP:(0:2:SW:1):Old State = IKE_I_MM3 New State = IKE_I_MM4 *Jun 30 23:36:53.291: ISAKMP:(0:1:SW:1):SA is doing pre-shared key authentication using id type ID_IPV4_ADDR *Jun 30 23:36:53.295: ISAKMP (0:134217729): ID payload next-payload : type :1 address : 192.168.1.1 protocol : 17 port : 500 length : 12 *Jun 30 23:36:53.295: ISAKMP:(0:1:SW:1):Total payload length: 12 *Jun 30 23:36:53.299: ISAKMP:(0:1:SW:1): sending packet to 192.168.4.2 my_port 500 peer_port 500 (R) MM_KEY_EXCH *Jun 30 23:36:53.303: ISAKMP:(0:1:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE *Jun 30 23:36:53.303: ISAKMP:(0:1:SW:1):Old State = IKE_R_MM5 New State = IKE_P1_COMPLETE *Jun 30 23:36:53.307: ISAKMP:(0:2:SW:1): processing KE payload message ID = *Jun 30 23:36:53.927: ISAKMP:(0:2:SW:1): processing NONCE payload message ID = *Jun 30 23:36:53.927: ISAKMP:(0:2:SW:1):found peer pre-shared key matching 192.168.4.2 *Jun 30 23:36:53.927: ISAKMP:(0:2:SW:1):SKEYID state generated *Jun 30 23:36:53.927: ISAKMP:(0:2:SW:1): processing vendor id payload *Jun 30 23:36:53.927: ISAKMP:(0:2:SW:1): vendor ID is Unity *Jun 30 23:36:53.927: ISAKMP:(0:2:SW:1): processing vendor id payload *Jun 30 23:36:53.931: ISAKMP:(0:2:SW:1): vendor ID is DPD *Jun 30 23:36:53.931: ISAKMP:(0:2:SW:1): processing vendor id payload *Jun 30 23:36:53.931: ISAKMP:(0:2:SW:1): speaking to another IOS box! *Jun 30 23:36:53.935: ISAKMP:(0:2:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE *Jun 30 23:36:53.935: ISAKMP:(0:2:SW:1):Old State = IKE_I_MM4 New State = IKE_I_MM4 *Jun 30 23:36:53.939: ISAKMP:(0:1:SW:1):Input = IKE_MESG_INTERNAL, IKE_PHASE1_COMPLETE *Jun 30 23:36:53.939: ISAKMP:(0:1:SW:1):Old State = IKE_P1_COMPLETE New State = IKE_P1_COMPLETE *Jun 30 23:36:53.951: ISAKMP:(0:2:SW:1):SA is doing pre-shared key authentication using id type ID_IPV4_ADDR Bảo mật mạng MPLS VPN -116- HVTH: KS Nguyễn Đức Duy Chương Xây dựng chương trình mơ GVHD: PGS.TS Phạm Hồng Liên Quá trình thiết lập Pha IKE chế độ Quick mode *Jun 30 23:36:54.175: ISAKMP:(0:2:SW:1):beginning Quick Mode exchange, M-ID of -1325021523 *Jun 30 23:36:54.183: ISAKMP:(0:2:SW:1): sending packet to 192.168.4.2 my_port 500 peer_port 500 (I) QM_IDLE *Jun 30 23:36:54.183: ISAKMP:(0:2:SW:1):Node -1325021523, Input = IKE_MESG_INTERNAL, IKE_INIT_QM *Jun 30 23:36:54.187: ISAKMP:(0:2:SW:1):Old State = IKE_QM_READY New State = IKE_QM_I_QM1 *Jun 30 23:36:54.187: ISAKMP:(0:2:SW:1):beginning Quick Mode exchange, M-ID of -1613234223 *Jun 30 23:36:54.195: ISAKMP:(0:2:SW:1): sending packet to 192.168.4.2 my_port 500 peer_port 500 (I) QM_IDLE *Jun 30 23:36:54.199: ISAKMP:(0:2:SW:1):Node -1613234223, Input = IKE_MESG_INTERNAL, IKE_INIT_QM *Jun 30 23:36:54.199: ISAKMP:(0:2:SW:1):Old State = IKE_QM_READY New State = IKE_QM_I_QM1 *Jun 30 23:36:54.619: ISAKMP (0:134217729): received packet from 192.168.4.2 dport 500 sport 500 Global (R) QM_IDLE *Jun 30 23:36:54.627: ISAKMP:(0:1:SW:1):Node -480478091, Input = IKE_MESG_FROM_PEER, IKE_QM_EXCH *Jun 30 23:36:54.627: ISAKMP:(0:1:SW:1):Old State = IKE_QM_R_QM2 New State = IKE_QM_PHASE2_COMPLETE *Jun 30 23:36:54.631: IPSEC(key_engine): got a queue event with kei messages *Jun 30 23:36:54.631: IPSEC(key_engine_enable_outbound): rec'd enable notify from ISAKMP *Jun 30 23:36:54.631: IPSEC(key_engine_enable_outbound): enable SA with spi 2578689926/50 *Jun 30 23:36:55.051: ISAKMP (0:134217730): received packet from 192.168.4.2 dport 500 sport 500 Global (I) QM_IDLE *Jun 30 23:36:55.059: ISAKMP:(0:2:SW:1): processing HASH payload message ID = -1325021523 *Jun 30 23:36:55.059: ISAKMP:(0:2:SW:1): processing SA payload message ID = -1325021523 *Jun 30 23:36:55.059: ISAKMP:(0:2:SW:1):Checking IPSec proposal *Jun 30 23:36:55.059: ISAKMP: transform 1, ESP_3DES *Jun 30 23:36:55.059: ISAKMP: attributes in transform: *Jun 30 23:36:55.063: ISAKMP: encaps is (Tunnel) *Jun 30 23:36:55.063: ISAKMP: SA life type in seconds *Jun 30 23:36:55.063: ISAKMP: SA life duration (basic) of 3600 *Jun 30 23:36:55.063: ISAKMP: SA life type in kilobytes *Jun 30 23:36:55.063: ISAKMP: SA life duration (VPI) of 0x0 0x46 0x50 0x0 *Jun 30 23:36:55.067: ISAKMP:(0:2:SW:1):atts are acceptable *Jun 30 23:36:55.067: IPSEC(validate_proposal_request): proposal part #1, (key eng msg.) INBOUND local= 192.168.1.1, remote= 192.168.4.2, local_proxy= 192.168.1.1/255.255.255.255/47/0 (type=1), remote_proxy= 192.168.4.2/255.255.255.255/47/0 (type=1), protocol= ESP, transform= esp-3des (Tunnel), lifedur= 0s and 0kb, spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x2 *Jun 30 23:36:55.071: Crypto mapdb : proxy_match src addr : 192.168.1.1 dst addr : 192.168.4.2 protocol : 47 src port : dst port : *Jun 30 23:36:55.075: ISAKMP:(0:2:SW:1): processing NONCE payload message ID = -1325021523 *Jun 30 23:36:55.083: ISAKMP:(0:2:SW:1): Creating IPSec SAs *Jun 30 23:36:55.087: inbound SA from 192.168.4.2 to 192.168.1.1 (f/i) 0/ (proxy 192.168.4.2 to 192.168.1.1) *Jun 30 23:36:55.087: has spi 0xEF65A26F and conn_id and flags Bảo mật mạng MPLS VPN -117- HVTH: KS Nguyễn Đức Duy Chương Xây dựng chương trình mơ GVHD: PGS.TS Phạm Hồng Liên Sau IPsec thiết lập thấy thơng số SA, sách bảo mật trao đổi luồng lưu lượng cần bảo vệ Trạng thái QM_IDLE IPsec SA thiết lập A1#show crypto isakmp sa dst src 192.168.4.2 192.168.1.1 192.168.1.1 192.168.4.2 state QM_IDLE QM_IDLE conn-id slot status ACTIVE ACTIVE A2#show crypto isakmp sa dst src 192.168.4.2 192.168.1.1 192.168.1.1 192.168.4.2 state QM_IDLE QM_IDLE conn-id slot status ACTIVE ACTIVE A1#show crypto isakmp policy Global IKE policy Protection suite of priority encryption algorithm: DES - Data Encryption Standard (56 bit keys) hash algorithm: Secure Hash Standard authentication method: Pre-Shared Key Diffie-Hellman group: #1 (768 bit) lifetime: 86400 seconds, no volume limit Default protection suite encryption algorithm: DES - Data Encryption Standard (56 bit keys) hash algorithm: Secure Hash Standard authentication method: Rivest-Shamir-Adleman Signature Diffie-Hellman group: #1 (768 bit) lifetime: 86400 seconds, no volume limit A1#show crypto ipsec transform-set Transform set encr-only: { esp-3des } will negotiate = { Tunnel, }, A1#show crypto map Crypto Map "gre-tunnel" 10 ipsec-isakmp Peer = 192.168.4.2 Extended IP access list 101 access-list 101 permit gre host 192.168.1.1 host 192.168.4.2 Current peer: 192.168.4.2 Security association lifetime: 4608000 kilobytes/3600 seconds PFS (Y/N): N Transform sets={ encr-only, } Interfaces using crypto map gre-tunnel: Tunnel0 FastEthernet1/0 Bảo mật mạng MPLS VPN -118- HVTH: KS Nguyễn Đức Duy Chương Xây dựng chương trình mơ GVHD: PGS.TS Phạm Hồng Liên Mỗi router CE-A có hai SA: SA ứng với lưu lượng vào SA ứng với lưu lượng A1#show crypto session Crypto session current status Interface: Tunnel0 Session status: UP-ACTIVE Peer: 192.168.4.2 port 500 IKE SA: local 192.168.1.1/500 remote 192.168.4.2/500 Active IKE SA: local 192.168.1.1/500 remote 192.168.4.2/500 Active IPSEC FLOW: permit 47 host 192.168.1.1 host 192.168.4.2 Active SAs: 2, origin: crypto map IPSEC FLOW: permit 47 host 192.168.1.1 host 192.168.4.2 Active SAs: 2, origin: crypto map A1#show crypto engine connections active ID Interface IP-Address State Algorithm Encrypt Decrypt FastEthernet1/0 192.168.1.1 set HMAC_SHA+DES_56_CB 0 Tunnel0 10.1.1.1 set HMAC_SHA+DES_56_CB 0 2009 FastEthernet1/0 192.168.1.1 set 3DES 169 2010 FastEthernet1/0 192.168.1.1 set 3DES 168 A2#show crypto session Crypto session current status Interface: Tunnel0 Session status: UP-ACTIVE Peer: 192.168.1.1 port 500 IKE SA: local 192.168.4.2/500 remote 192.168.1.1/500 Active IKE SA: local 192.168.4.2/500 remote 192.168.1.1/500 Active IPSEC FLOW: permit 47 host 192.168.4.2 host 192.168.1.1 Active SAs: 2, origin: crypto map IPSEC FLOW: permit 47 host 192.168.4.2 host 192.168.1.1 Active SAs: 2, origin: crypto map A2#show crypto engine connections active ID Interface IP-Address State Tunnel0 10.1.1.2 set FastEthernet0/0 192.168.4.2 set 2009 Tunnel0 192.168.4.2 set 2010 Tunnel0 192.168.4.2 set Algorithm Encrypt Decrypt HMAC_SHA+DES_56_CB 0 HMAC_SHA+DES_56_CB 0 3DES 171 3DES 172 Quá trình thiết lập sách bảo mật pha IPSec CE-A1 q trình trao đổi gói diễn PE1 thấy rõ phần mềm wireshark Bảo mật mạng MPLS VPN -119- HVTH: KS Nguyễn Đức Duy Chương Xây dựng chương trình mơ GVHD: PGS.TS Phạm Hồng Liên Hình 6.13:Q trình thiết lập IPsec A1 Hình 6.14: Quá trình trao đổi gói có bảo mật IPsec PE1 Bảo mật mạng MPLS VPN -120- HVTH: KS Nguyễn Đức Duy Chương Kết luận hướng phát triển Chương GVHD: PGS.TS Phạm Hồng Liên KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 7.1 Kết luận Với phát triển vượt bậc mạng Internet xu hướng hội tụ mạng viễn thông khác thoại, video dựa internet, giao thức IP trở thành giao thức chủ đạo lĩnh vực mạng ngày Các ISP khơng ngừng thay đổi phạm vi, mơ hình chất lượng kỹ thuật để đáp ứng nhu cầu truyền liệu, thơng tin liên lạc tồn cầu cách nhanh chóng, hiệu an tồn Cơng nghệ chế tạo chip vi xử lý phát triển cách nhanh chóng, chế tạo router chuyên dụng, dung lượng chuyển tải lớn, hỗ trợ giải pháp tích hợp, bảo mật, chuyển mạch đa lớp cho mạng trục Internet Trong xu hướng thay đổi công nghệ nhanh chóng vậy, MPLS VPN mang lại lợi ích vượt bậc so với mạng trước So với mạng Frame Relay cung cấp kết nối mạng riêng ảo khách hàng, khơng có chế sửa lỗi, không hỗ trợ QoS, mạng MPLS VPN kết hợp ATM Frame Relay lớp 2, với chế định tuyến dựa nhãn cách linh động nhanh chóng Đồng thời MPLS cịn hỗ trợ linh hoạt nhiều giải pháp, dịch vụ QoS, điều khiển lưu lượng, có sách ưu tiên cho loại lưu lượng khác đáp ứng theo nhu cầu khách hàng Với xu hướng sử dụng nhiều dịch vụ MPLS VPN thực tế, vấn đề bảo mật cho mạng có tầm quan trọng khơng nhỏ sử dụng chung mạng trục MPLS Bảo mật cho MPLS VPN triển khai nhiều vị trí với nhiều thiết bị nhiều biện pháp khác Với phương pháp bảo mật đưa đề tài không đảm bảo MPLS VPN triển khai nhanh chóng, hiệu chất vốn có mà đảm bảo an toàn cao cho doanh nghiệp liên lạc thông tin với qua mạng trục chung Cách triển khai bảo mật không ngăn hết nguy cơng từ bên ngồi đảm bảo an tồn thơng tin định mạng hội tụ phức tạp ngày Đồng thời phương pháp dễ thực triển khai router CE khách hàng mà không cần hỗ trợ nhà cung cấp 7.2 Hướng phát triển Hiện với đầu tư mạnh mẽ, mở rộng đường truyền nước quốc tế nhu cầu sử dụng đường truyền đạt 30% mạng Việc QoS cho gói tin theo thứ tự ưu tiên chưa thật cần thiết Nhưng tương lai, để tối ưu hóa lưu lượng, ta phải có sách quản lý điều khiển lưu lượng cách hiệu Việc phân chia lưu lượng thành lớp CoS (Class of Service) hỗ trợ đầy đủ công nghệ MPLS mang lại thoải mái cho khách hàng Đồng thời, ta ứng Bảo mật mạng MPLS VPN -121- HVTH: KS Nguyễn Đức Duy Chương Kết luận hướng phát triển GVHD: PGS.TS Phạm Hồng Liên dụng cho nhiều khách hàng VPN sở hạ tầng mạng chung Qua triển khai thỏa thuận dịch vụ SLA theo yêu cầu khách hàng Với kết hợp IPv6, hỗ trợ địa IP 128 bit, MPLS VPN mang lại ứng dụng rộng rãi tương lai địa IPv4 ngày khan Sử dụng IPv6 quản lý không gian địa chặt chẽ tăng tính bảo mật MPLS VPN mà khơng cần can thiệp nhiều phương tiện phức tạp khác Hiện MPLS thuộc loại chuyển mạch điện Tuy nhiên hướng phát triển MPLS GMPLS (Generalized MPLS), áp dụng cơng nghệ chuyển mạch nhãn chuyển mạch quang, xem bước sóng quang nhãn Với phát triển nhanh chóng ứng dụng rộng rãi, MPLS VPN hồn tồn vượt qua mạng IP truyền thống tương lai không xa 7.3 Tồn đề tài Đề tài tập trung nghiên cứu kết hợp IPsec vào mạng MPLS VPN nên khả chống lại cơng đa dạng, phức tạp từ bên ngồi nhiều hạn chế Phương pháp chưa ngăn cơng DoS từ ngồi vào vùng tin cậy VPN, DoS có xu hướng hacker sử dụng nhiều thời gian gần Tuy nhiên với phát triển không ngừng IPsec công nghệ MPLS hồn tồn ngăn chặn kiểu cơng chưa khắc phục Vì lý khách quan chủ quan nên đề tài chưa đưa ứng dụng từ thiết bị thực tế vào Dù phần mềm Dynamip có đầy đủ chức cấu router thực chắn khơng thấy hết hoạt động tiềm to lớn router thực Em tiếp tục khắc phục hạn chế tiếp tục khai thác triệt để công nghệ IPsec MPLS VPN để hoàn thiện phương pháp bảo mật thời gian tới Bảo mật mạng MPLS VPN -122- HVTH: KS Nguyễn Đức Duy Tài liệu tham khảo GVHD: PGS.TS Phạm Hồng Liên TÀI LIỆU THAM KHẢO [1] IPSec by Naganand Doraswamy, Dan Harkins, Prentical Hall PTR, 2003, ISBN: 013-046189-X [2] MPLS Based Recovery Mechanisms, Master Thesis of Perersson, 2005 University of Oslo Johan Martin Olof [3] Cisco Secure Virtual Private Networks, Student guide V4.7, 2005, Cisco Systems [4] Advanced MPLS VPN Solutions, Revision 1.0, Studen Guide, 2002, Cisco System Volume 1&2 [5] Definitive MPLS Network Designs, by Jim Guichard, Francois Le Faucheur, JeanPhilippe Vasseur, Cisco Press, 2005 [6] MPLS and VPN Architectures, CCIP Edition, by Ivan Pepelnjak, Jim Guichard 2004, Cisco Press [7] Network Security Fundamentals, by Gert De Laet, Gert Schauwers, Cisco Press [8] Buiding a Virtual Private Network, by Meeta Gupta, Premier Press, 2003 [9] MPLS traning Guide: Building Multiprotocol Label Switching Networks, by Rick Gallaher, Syngress Publishing, 2003 [10] ATM & MPLS Theory & Application: Foundations of Multi-service Networking, By David Mcdysan, Dave Paw, MacGraw-Hill/Osborne, 2002 [11] Eric Osborne & Ajay Simha Traffic Engineering with MPLS – Cisco Press – ISBN 1-58705-031-5 [12] RFC 3031: Multiprotocol Label Switching Architecture [13] RFC 3032: MPLS Label Stack Encoding (updated by RFC 3443,RFC 4182) [14] RFC 3036: LDP Specification [15] Dynamips / Dynagen Tutorial Documentation Revision 1.11.2, by Greg Anuzelli [16] Chiris Brenton, Cameron Hunt, Mastering Network Security, Second edition Sybex 2003 [17] MPLS VPN Security by Michael H.Behringer, Monique J.Morrow, Cisco Press [18] MPLS Fundamentals by Luc De Ghein, Cisco Press, 2007 [19] MPLS configuration on Cisco IOS software by Lancy Lobo, Cisco Press [20] Buiding MPLS-Based Broadband Access VPNs by Kuma Reddy, Cisco Press [21] Selecting MPLS VPN services, by Chris Lewis, Steve Pickavance, Monique Morrow John Monaghan, Craig Huegen; Cisco Press, 2006 Bảo mật mạng MPLS VPN -123- HVTH: KS Nguyễn Đức Duy Tài liệu tham khảo GVHD: PGS.TS Phạm Hồng Liên [22] MPLS-Enabled Application – Emerging Developments and New Technologies, by Ina Minei & Julian Lucek, Juniper Networks [23] Implementing Secure Converged Wide Area Networks, Volume 1&2, Student Guide, Cisco Press, 2006 [24] Instrusion Prevention Fundamentals, by Earl Carter & Jonathan Hogue, Cisco Press, 2006 Một số trang WEB tham khảo: http://www.cisco.com http://www.ietf.org/rfc/rfc1825.txt http://www.cisco.com/global/HU/rendezvenyek/presentations/SecurityinCoreNetworks.pdf www.irmplc.com/Tools/irm-mpls-tools-1.0.tar.bz2 (MPLS attack tools) http://dyna-gen.sourceforge.net/ http://dyna-gen.sourceforge.net/tutorial.htm http://dynagui.sourceforge.net Bảo mật mạng MPLS VPN -124- HVTH: KS Nguyễn Đức Duy TÓM TẮT LÝ LỊCH CÁ NHÂN Họ tên: Nguyễn Đức Duy Năm sinh: 1980 Nơi sinh: Phú Yên Trường đào tạo: Đại học Bách khoa TPHCM Niên khóa: 1998 – 2003 Đề tài tốt nghiệp đại học: Nén âm số để tăng dung lượng đường truyền Quá trình cơng tác: • Từ năm 2003 – 2006 : Cơng tác công ty Điện lực TPHCM Công việc: quản lý giám sát hệ thống mạng WAN, trạm BTS • Đầu năm 2007 – cuối năm 2007: Công tác cơng ty Sài Gịn Postel Cơng việc: thẩm định, xây dựng dự án kênh thuê riêng • Cuối năm 2007 đến nay: Công tác VMS Mobifone TPHCM Công việc: Lắp đặt, vận hành MSC/HLR -125- ... tiếp gói qua mạng MPLS VPN Phần II: Cơ chế bảo mật mạng MPLS VPN Phần phần đề tài trình bày lỗ hổng bảo mật MPLS VPN chế xây dựng IPsec để bảo mật Chương 4: Các kiểu cơng mạng MPLS VPN Trình bày... PGS.TS Phạm Hồng Liên CƠ CHẾ BẢO MẬT TRONG MẠNG MPLS VPN CÁC KIỂU TẤN CÔNG ĐỐI VỚI MẠNG MPLS VPN 4.1 Tấn công vào mạng riêng ảo VPN Mặc dù VPN có nhiều ưu việc bảo mật liệu thực tế không tránh... tương tự LSP-1 Bảo mật mạng MPLS VPN -22- HVTH: KS Nguyễn Đức Duy Chương Cấu trúc mạng MPLS VPN Chương GVHD: PGS.TS Phạm Hồng Liên CẤU TRÚC MẠNG MPLS VPN 3.1 Cấu trúc mạng riêng ảo VPN (Virtual