TRƯỜNG ĐẠI HỌC VINH VIỆN KỸ THUẬT VÀ CÔNG NGHỆ ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Đề tài: CÔNG NGHỆ CHUYỂN MẠCH NHÃN ĐA GIAO THỨC MPLS VÀ ỨNG DỤNG MPLS VPN Sinh viên thực Lớp : TRẦN ĐÌNH QUỐC : 54 K1 – KT ĐTTT Giảng viên hướng dẫn : THS LƯƠNG NGỌC MINH NGHỆ AN - 2018 LỜI NĨI ĐẦU Sự phát triển nhanh chóng dịch vụ IP bùng nổ thông tin mạng Internet dẫn đến nhận thức vấn đề kinh doanh nhà cung cấp dịch vụ Nhu cầu cấp bách thị trường cho kết nối tốc độ cao với chi phí thấp sở cho loạt công nghệ đời, có MPLS Cơng nghệ MPLS (Multi Protocol Label Switching) tổ chức quốc tế IETF thức đưa vào cuối năm 1997 phát triển nhanh chóng tồn cầu Có thể nói VPN là mô ̣t những ứng du ̣ng quan tro ̣ng nhấ t của MPLS Công nghệ mạng riêng ảo MPLS VPN đưa mô ̣t thay đổ i bản cơng nghê ̣ VPN Chính vậy, đồ án tốt nghiệp nghiên cứu “Công nghệ chuyển mạch nhãn đa giao thức MPLS ứng dụng MPLS VPN” Qua nghiên cứu kĩ kiến thức công nghệ chuyển mạch nhãn đa giao thức MPLS ứng dụng MPLS mạng riêng ảo VPN Nội dung đồ án gồm có ba chương: Chương 1: Tổng quan công nghệ MPLS Chương 2: Cấu trúc hoạt động MPLS Chương 3: Ứng dụng MPLS mạng riêng ảo VPN Do thời gian kiến thức hạn hẹp nên trình làm đồ án khơng thể tránh khỏi sai sót, mong nhận ý kiến đóng góp thầy, giáo để đồ án hồn thiện Qua đây, xin gửi lời cảm ơn chân thành tới ThS Lương Ngọc Minh tận tình hướng dẫn, giúp đỡ tơi thời gian qua Tôi xin chân thành cảm ơn! Nghệ An, tháng 06 năm 2018 Sinh viên thực Trần Đình Quốc TÓM TẮT Multi-Protocol Label Switching (MPLS) which was introduced by Internet Engineering Task Force (IETF) MPLS is a packet-forwarding technology which uses labels to make data forwarding decisions is usually used in communication networks which started attracting all the internet service provider(ISP) networks with its brilliant and excellent features that provide quality of services (QOS)and guarantees to traffic which carries data from one network to another network directly through labels Virtual Private Network (VPN) is one of the highly useful MPLS applications which allow a service provider or a large enterprise network to offer network Layer VPN services that guarantee and carries traffic securely and privately from customer’s one to another through the service provider’s network VPN service offers a cost effective way to expand geographically or to replace expensive dedicated ABSTRACT Chuyển đổi nhãn đa giao thức (MPLS) giới thiệu Internet Engineering Task Force (IETF) MPLS cơng nghệ chuyển tiếp gói sử dụng nhãn để đưa định chuyển tiếp liệu MPLS thường sử dụng mạng truyền thông thu hút nhiều nhà cung cấp dịch vụ internet (ISP) với tính tuyệt vời đáp ứng chất lượng dịch vụ (QOS) đảm bảo cho lưu lượng truy cập mang liệu từ mạng đến mạng khác trực tiếp thông qua nhãn Mạng riêng ảo (VPN) ứng dụng MPLS hữu ích cho phép nhà cung cấp dịch vụ doanh nghiệp mạng lớn cung cấp dịch vụ VPN đảm bảo mang lưu lượng truy cập cách an toàn riêng tư từ khách hàng đến mạng khác thông qua mạng nhà cung cấp dịch vụ Dịch vụ VPN cung cấp cách hiệu chi phí để mở rộng mặt địa lý thay cho dịch vụ đắt tiền chuyên dụng MỤC LỤC LỜI NÓI ĐẦU TÓM TẮT MỤC LỤC DANH MỤC CÁC HÌNH VẼ .6 DANH MỤC CÁC TỪ VIẾT TẮT CHƯƠNG I TỔNG QUAN VỀ CÔNG NGHỆ MPLS 10 1.1 Giới thiệu chuyển mạch nhãn đa giao thức MPLS 10 1.1.1 Khái niệm 10 1.1.2 Đặc điểm mạng MPLS 10 1.1.3 Các lợi ích MPLS .10 1.1.4 Lịch sử phát triển MPLS 10 1.2 Công nghệ chuyển mạch tảng .12 1.2.1 Công nghệ IP 12 1.2.2 Công nghệ chuyển mạch ATM 13 1.2.3 Công nghệ chuyển mạch MPLS .15 1.2.4 Mơ hình MPLS so với mơ hình IP over ATM 17 1.3 Mơ hình MPLS Mơ hình tham chiếu OSI 19 1.4 Một số khái niệm thường gặp MPLS 20 1.4.1 Miền MPLS (MPLS domain) 20 1.4.2 Nhãn ngăn xếp nhãn 20 1.4.3 Upstream Downstream .21 CHƯƠNG II CẤU TRÚC VÀ HOẠT ĐỘNG CỦA MPLS 22 2.1 Các phần tử MPLS 22 2.1.1 LSR (Label Switch Router) 22 2.1.2 Đường dẫn chuyển mạch nhãn LSP (Label Switch Path) 23 2.1.3 FEC (Forwarding Equivalence Class) 24 2.2 Cấu trúc nút MPLS 26 2.2.1 Mặt phẳng chuyển tiếp (Forwarding Plane) 27 2.2.2 Mặt phẳng điều khiển (Control Plane) .30 2.3 Các giao thức sử dụng MPLS .31 2.3.1 Phân phối nhãn 31 2.3.2 Giao thức đặt trước tài nguyên .38 2.4 Hoạt động MPLS .43 2.5 Ưu điểm nhược điểm MPLS .46 2.6 Ứng dụng mạng MPLS 47 2.6.1 Mạng riêng ảo VPN 47 2.6.2 Điều khiển lưu lượng MPLS 48 2.6.3 Chất lượng dịch vụ MPLS (QoS) 50 CHƯƠNG III ỨNG DỤNG CỦA MPLS TRONG MẠNG RIÊNG ẢO VPN .53 3.1 Công nghệ MPLS VPN .53 3.1.1 Khái niệm VPN 53 3.1.2 So sánh VPN truyền thống MPLS VPN 55 3.1.2.1 VPN truyền thống 55 3.1.2.2 MPLS VPN 56 3.2 Lợi ích MPLS VPN 57 3.3 Mơ hình MPLS VPN 58 3.4 Định tuyến MPLS 63 3.4.1 Định tuyến ràng buộc (Constrain-based routing) 63 3.4.2 Định tuyến tường minh (Explicit Routing) 65 3.5 Kiến trúc trình vận hành VPN MPLS 65 3.5.1 Quá trình chuyển tiếp định tuyến ảo VRF 65 3.5.2 Route Distinguisher (RD) .67 3.5.3 Route Target (RT) 68 3.5.4 Phân tán tuyến mạng MPLS VPN 69 3.5.5 Chuyển tiếp gói tin mạng MPLS VPN 70 3.6 Vấn đề bảo mật MPLS VPN 72 3.6.1 Khoảng địa định tuyến riêng biệt 72 3.6.2 Che giấu cấu trúc lõi MPLS .72 3.6.3 Chống lại công 73 3.6.4 Giả nhãn 74 KẾT LUẬN .76 TÀI LIỆU THAM KHẢO 77 DANH MỤC CÁC HÌNH VẼ Hình 1 Mạng chuyển mạch ATM 13 Hình Định tuyến IP qua ATM 14 Hình Mơ hình tham chiếu OSI, TCP/IP MPLS .19 Hình Miền MPLS (MLPS Domain) 20 Hình Upstream Downstream LS 21 Hình Đường chuyển mạch nhãn 23 Hình 2 Mơ hình LSP Nested [2] 24 Hình Lớp chuyển tiếp tương đương mạng MPLS 25 Hình Mạng MPLS chạy iBGP 26 Hình Cấu trúc nút MPLS 27 Hình FTN, ILM NHLFE .28 Hình Thuật tốn chuyển tiếp nhãn .29 Hình NHLFE 30 Hình Quan hệ LDP với giao thức khác 33 Hình 10 Thủ tục phát LSR lân cận 35 Hình 11 Thủ tục báo hiệu RSVP 40 Hình 12 Nhãn phân phối tin RESV .41 Hình 13 Phương thức phân phối nhãn 43 Hình 14 Hoạt động mạng MPLS 44 Hình 15 Điều khiển lưu lượng MPLS 49 Hình 16 Điều khiển lưu lượng MPLS 49 Hình 17 Các kỹ thuật QoS mạng IP .52 Hình Mơ hình VPN 53 Hình Mơ hình phân tách dựa vào VRF MPLS VPN 57 Hình 3 Mơ hình MPLS VPN 58 Hình Các kết nối văn phịng xa phòng ban phận 61 Hình Định tuyến ràng buộc 64 Hình Mô tả bảng định tuyến ảo PE 66 Hình Mô tả định dạng RD 67 Hình RT MPLS VPN Extranet 69 Hình Các bước phân tán tuyến từ router CE site A đến site B .70 Hình 10 Quá trình chuyển tiếp gói tin mạng MPLS VPN 71 DANH MỤC CÁC TỪ VIẾT TẮT ASIC Application Specific Intergrated Circuits Mạch tích hợp chuyên dụng ATM Asynchnorous Tranfer Mode Truyền dẫn không đồng AToM Any Transport over MPLS Truyền tải qua MPLS BGP Border Gateway Protocol Giao thức cổng biên CE Custome Edge Biên phía khách hàng DiffServ Differentiated Services Dịch vụ khác biệt E-LSR Egress LSR LSR biên FEC Forwarding Equivalency Class Lớp chuyển tiếp tương đương HDLC High Data Link Control Điều khiển kết nối liệu tốc độ cao I-LSR Ingress LSR LSR biên vào IntServ Integrated Services Dịch vụ tích hợp IP Internet Protocol Giao thức Internet IPX Internetwork Packet Exchange Trao đổi gói liệu mạng ISP Internet Service Provider Nhà cung cấp dịch vụ Internet LAN Local Area Network Mạng địa phương LDP Label Distribution Protocol Giao thức phân phối nhãn LER Label Edge Router Bộ định tuyến nhãn biên LFIB Label Forwarding Information Base LIB Label Information Base Cơ sở liệu nhãn LSP Label Switch Path Tuyến chuyển mạch nhãn LSR Label Switch Router Bộ định tuyến chuyển mạch Cơ sở thông tin chuyển tiếp nhãn nhãn MPLS Chuyển mạch nhãn đa giao Multiprotool Label Switching thức MPLS Multiprotool Label Switching Mạng riêng ảo dùng chuyển VPN Virtual Pravite network mạch nhãn đa giao thức MP-BGP MPLS – Border Gateway Protocol Đa giao thức cổng biên OSPF Open Shortest Path First Giao thức OSPF PE Provider Edge Biên nhà cung cấp PPP Point-to-Point Protocol Giao thức điểm - điểm PQ Priority Queue Hàng đợi ưu tiên PVC Permanent Virtual Circuit Mạch ảo cố định QoS Quanlity of Service Chất lượng dịch vụ RSVP Resource Reservation Protocol Giao thức dành sẵn tài nguyên TCP Tranmission Control Protocol Giao thức điều khiển truyền dẫn TDP Tag Distribution Protocol Giao thức phân phối tag TTL Time To Live Thời gian sống UDP User Datagram Protocol Giao thức UDP VC Virtual Channel Kênh ảo VCI Virtual Channel Identifier Định danh kênh ảo VoATM Voice over ATM Thoại qua ATM VoIP Voice over IP Thoại qua IP VP Virtual Path Tuyến ảo VPI Virtual Packet Indentifier Định danh gói ảo VPN Virtual Pravite network Mạng riêng ảo CHƯƠNG I TỔNG QUAN VỀ CÔNG NGHỆ MPLS 1.1 Giới thiệu chuyển mạch nhãn đa giao thức MPLS 1.1.1 Khái niệm MPLS viết tắt Multi Protocol Label Switching hay gọi chuyển mạch nhãn đa giao thức MPLS công nghệ lai kết hợp đặc điểm tốt định tuyến lớp (layer routing), chuyển mạch lớp (layer switching) cho phép chuyển tải gói nhanh mạng lõi (core) định tuyến tốt mạng biên (edge) cách dựa vào nhãn (label) [1] Giống mạng chuyển mạch, biện pháp linh hoạt để giải vấn để khó khăn mạng tốc độ, quy mô, chất lượng dịch vụ, quản trị kỹ thuật lưu lượng 1.1.2 Đặc điểm mạng MPLS - Khơng cần có giao diện lập trình ứng dụng, khơng có thành phần giao thức phía host - MPLS nằm router - MPLS giao thức độc lập nên hoạt động với giao thức khác IP IPX, ATM, Frame Relay, … - MPLS giúp đơn giản hố q trình định tuyến làm tăng tính linh động tầng trung gian 1.1.3 Các lợi ích MPLS - Việc sử dụng hạ tầng mạng thống - Ưu điểm vượt trội so với mơ hình IP over ATM - Giao thức cổng biên (BGP) – lõi tự - Mơ hình peer to peer cho MPLS VPN - Chuyển lưu lượng quang - Điều khiển lưu lượng 1.1.4 Lịch sử phát triển MPLS 10 khắc phục nhiều vấn đề mà công nghệ đời trước chưa giải • Phần mềm sử dụng cho mô - GNS3: phần mềm giả lập thiết bị mạng router, switch sử dụng IOS thật GNS3 chương trình giả lập mạng có giao diện đồ họa cho phép bạn giả lập loại router Cisco sử dụng IOS (hệ điều hành router) thật, ngồi cịn giả lập thiết bị mạng khác ATM, Frame Relay, Ethernet Switch, Pix Firewall… đặt biệt kết nối vào hệ thống mạng thật sử dụng thiết bị thật - Cisco Packet Tracer: phần mềm giả lập hệ thống mạng Cisco, khác với phần mềm GNS3, phần mềm không giao tiếp với phần mềm giả lập máy ảo khác VMware hay Virtualbox… ưu điểm nhẹ hao tổn tài ngun máy tính cài đặt mơ với yêu cầu thiết lập hệ thống, cách nối dây… đáp ứng theo lý thuyết mạng Cisco Người dùng tải phần mềm trang Cisco kèm theo gói training Cisco, bạn tải link Việc cài đặt sử dụng phần mềm dể dàng, người dùng import IOS cho router GNS3 3.4 Định tuyến MPLS MPLS hỗ trợ hai kỹ thuật định tuyến: định tuyến tường minh (Explicit Routing) định tuyến ràng buộc (Constrain-based routing) 3.4.1 Định tuyến ràng buộc (Constrain-based routing) Định tuyến ràng buộc phương tiện để thực xử lý tự động hóa kỹ thuật lưu lượng, khắc phục hạn chế định tuyến theo đích (destination based) Nó xác định Router khơng dựa topology mạng (thuật tốn chọn đường ngắn SPF) mà sử dụng metric đặc thù băng thông, trễ, cost biến động trễ Giải thuật chọn đường có khả tối ưu hóa theo nhiều metric này, thông thường người ta dùng metric dựa số lượng Hop băng thông 63 Để đường chọn có số lượng hop nhỏ phải đảm bảo băng thông khả dụng tất chặng liên kết, định sau: chọn đường ngắn số tất đường có băng thông khả dụng thõa mãn yêu cầu Để minh họa hoạt động định tuyến ràng buộc, xét cấu trúc mạng hình Giả sử định tuyến ràng buộc sử dụng số Hop (Hop-count) băng thông khả dụng Metric Lưu lượng 600 Kbps định tuyến trước tiên, sau lưu lượng 500Kbps 200 Kbps Cả loại lưu lượng hướng đến Egress_router 600 Kbps 500 Kbps MBps 200Kbps R8 R5 R3 R4 R2 R1 R6 R7 Hình Định tuyến ràng buộc [4] - Vì lưu lượng 600Kbps định tuyến trước nên theo đường ngắn R8-R2-R3-R4-R5 Vì băng thơng khả dụng nên tất chặng kênh (1Mbps), nên lưu lượng 600Kbps chiếm 60% băng thông - Sau đó, băng thơng khả dụng đường ngắn không đủ cho lưu lượng 600 Kbps 500Kbps, nên lưu lượng 500 Kbps định tuyến theo đường qua R6 R7 nhiều Hop so với đường cũ - Vơi lưu lượng 200Kbps tiếp theo, cịn băng thông khả dụng đường ngắn nên đường chọn để chuyển lưu lượng 200Kbps Định tuyến ràng buộc có kiểu online offline Kiểu online cho phép router tính đường cho LSP lúc Trong kiểu offline, server tính đường cho LSP theo định kỳ (chu kỳ chọn nhà quản trị, thường 64 vài vài ngày) Các LSP báo hiệu thiết lập theo đường chọn 3.4.2 Định tuyến tường minh (Explicit Routing) Định tuyến tường minh (Explicit Routing) tập định tuyến ràng buộc, ràng buộc đối tượng tuyến tường minh ER (explicit router) Tuyến tường minh ER danh sách “nút trừu tượng “(abstract node) mà đường chuyển mạch nhãn ràng buộc CR-LSP phải qua Nút trừu tượng nút (địa IP) nhóm nút (như IP prefix AS) Nếu ER quy định nhóm số nút mà CR-LSP qua gọi tuyến tường minh thả lỏng (loose ER) Ngược lại, ER quy định tồn nút CR-LSP gọi tuyến tường minh nghiêm ngặt (strict ER) CR-LSP mã hóa chuỗi ER-Hop (chặng tường minh) chứa cấu trúc Type-Length-Value ràng buộc (constraint-base router TVL) Mỗi nhóm ER-Hop xác định nhóm nút CR-LSP bao gồm tất nhóm nút xác định theo thứ tự xuất cấu trúc TVL 3.5 Kiến trúc trình vận hành VPN MPLS Để xây dựng mơ hình mạng riêng ảo MPLS VPN, cần phải xây dựng số thành phần hỗ trợ (gọi building block) router PE Các thành phần bao gồm: chuyển tiếp/định tuyến ảo VRF (Virtual Routing Forwarding), phân biệt tuyến RD (route distinguisher), mục tiêu tuyến RT (route target), phát tán tuyến thông qua MP-BGP (route propagation through MP-BGP), trình chuyển tiếp gói tin nhãn 3.5.1 Q trình chuyển tiếp định tuyến ảo VRF Mỗi router PE có chế VRF riêng cho mạng VPN Quan sát ví dụ sau để thấy router PE lưu giữ bảng định tuyến IP tổng thể (global IP routing tabel), có bảng định tuyến VRF cho VPN kết nối tới router PE 65 Hình Mô tả bảng định tuyến ảo PE [5] Vì trình định tuyến tách biệt cho mạng riêng ảo VPN khách hàng router PE, nên mạng VPN phải có bảng định tuyến riêng Bảng định tuyến riêng biệt gọi bảng định tuyến VRF Các interface router PE nối đến router CE thuộc vào VRF Vì thế, tất gói tin IP nhận interface VRF không thật xác định có thuộc vào VRF hay khơng Vì VPN có bảng định tuyến riêng biệt nên router PE có bảng CEF riêng biệt dùng để chuyển tiếp gói tin VPN Bảng gọi bảng chuyển tiếp VRF CEF rút từ bảng định tuyến VRF Bảng định tuyến VRF thật không khác biệt so với bảng định tuyến thông thường, khác chỗ chúng sử dụng cho số site VPN hoàn toàn tách biệt với bảng định tuyến khác (bảng định tuyến tổng thể hay bảng định tuyến mặc định) Các khái niệm metric, khoảng cách, next-hop, khơng thay đổi Vì VRF xây dựng kết hợp với interface, nên gói tin IP vào router PE thông qua interface VRF thực chuyển tiếp dựa bảng VRF CEF 66 3.5.2 Route Distinguisher (RD) Các tiền tố VPN phát tán mạng MPLS VPN giao thức “định tuyến cổng nối biên đa giao thức” MP-BGP (Multiprotocol BGP) Khi BGP thực mang tiền tố Ipv4 qua mạng nhà cung cấp dịch vụ, tiền tố phải Nếu khách hàng sử dụng địa IP chồng lặp overlapping, trình định tuyến gặp cố không diễn Để giải vấn đề này, khái niệm RD đưa để phân biệt tiền tố Ipv4 Cơ chế làm việc RD dựa ý tưởng tiền tố khách hàng gán số xác nhận RD để phân biệt với tiền tố tương tự khách hàng khác Một tiền tố kết hợp tiền tố Ipv4 RD gọi tiền tố vpnv4 Lúc này, MP-BGP thực chuyển tiếp dựa tiền tố vpnv4 router PE Hình Mơ tả định dạng RD [5] Chỉ số xác nhận RD trường 64 bit dùng để tách biệt tiền tố VRF MP-BGP không trực tiếp tiền tố thuộc vào VRF Tính thật RD số xác nhận VPN số trường hợp mạng VPN phức tạp VPN có nhiều RD Mỗi trường hợp VRF router PE phải có RD kết hợp với Giá trị 64 bit RD có khn dạng: ASN:nn IP-address:nn (nn số đó) Khn dạng sử dụng thông thường ASN:nn, ASN (Autonomous System number) số xác nhận hệ thống tự trị gán đến nhà cung cấp dịch vụ IANA (internet Assigned Numbers Authority) nn số xác nhận VRF nhà cung cấp dịch vụ Sự kết hợp RD với tiền tố 67 Ipv4 cho tiền tố vpnv4 dài 96bit Nếu có tiền tố IP 10.1.1.0/24 RD 1:1 tiền tố vpnv4 1:1:10.1.1.0/24 Một khách hàng sử dụng RD khác cho tuyến Ipv4 Khi site VPN kết nối đến router PE, tuyến từ site VPN có hai RD khác nhau, phụ thuộc vào router PE mà tuyến nhận Mỗi tuyến Ipv4 có hai RD khác hình thành hai tuyến vpnv4 hoàn toàn khác Điều cho phép BGP xem chúng tuyến khác thực sách đối xử khác tuyến 3.5.3 Route Target (RT) Q trình truyền thơng đơn giản site công ty (cùng VPN) gọi truyền thông VPN mạng (intranet VPN) Các q trình truyền thơng site điều khiển tính khác MPLS VPN gọi RTs RT cộng đồng BGP mở rộng (BGP extented community) dùng để tuyến phải nhập vào VRF từ MP-BGP RT nhập vào hay xuất tuyến vpnv4 vào VRF Xuất (exporting) RT có nghĩa tuyến vpnv4 xuất (exported route) nhận cộng đồng BGP mở rộng (một RT) cấu hình câu lệnh ip vrf router PE tuyến phân phối từ bảng định tuyến VRF vào MP-BGP Nhập vào RT có nghĩa tuyến vpnv4 nhận từ MP-BGP kiểm tra phù hợp cộng đồng mở rộng (đây mục tiêu tuyến – route target) với cộng đồng mở rộng khác cấu hình Nếu kết phù hợp với nhau, tiền tố thêm vào bảng định tuyến VRF tuyến Ipv4 Nếu kết không phù hợp, tiền tố bị từ chối Có thể nhận thấy cách rõ ràng Site A Site B VRF custone truyền thông với Điều tương tự xảy với site VRF cust-two VPN cust-one dùng RT 1:1, VPN cust-two dùng RT 1:2 Bây tưởng tượng Site A VRF cust-one muốn truyền thông với Site A VRF custtwo Điều hồn tồn thực cách cấu hình RTs cho phù hợp RT 100:1 nhập vào xuất cho Site A vrf cust-one vrf cust-two router PE1 PE2 để đạt điều Đây gọi VPN extranet Ví 68 dụ sau giống ví dụ hình thêm vào RTs để trình bày VPN extranet Hình RT MPLS VPN Extranet [5] 3.5.4 Phân tán tuyến mạng MPLS VPN VRF sử dụng để tách biệt tuyến khách hàng router PE, làm cách tiền tố vận chuyển mạng nhà cung cấp dịch vụ? Do có số lượng lớn tuyến (lên đến hàng trăm ngàn) vận chuyển nên BGP giao thức lý tưởng sử dụng giao thức ổn định mang nhiều tuyến Và nhận thấy BGP giao thức định tuyến tiêu chuẩn dùng để mang bảng định tuyến Internet hồn chỉnh Và tuyến VPN khách hàng thêm RD vào tuyến Ipv4 (đổi thành vpnv4) nên tất tuyến khách hàng vận chuyển cách an toàn mạng MPLS VPN BGP Router PE nhận tuyến Ipv4 từ router CE thông qua giao thức định tuyến bên IGP hay eBGP (external BGP) Các tuyến Ipv4 từ site VPN thêm vào bảng định tuyến VRF, VRF sử dụng phụ thuộc vào việc cấu router PE nối đến router CE Các tuyến xuất bảng VRF với RD gắn vào Vì thế, chúng trở thành tuyến vpnv4 sau thêm vào MP-BGP BGP chịu trách nhiệm phân phối tuyến vpnv4 đến tất router PE mạng MPLS VPN Trên 69 router PE, tuyến vpnv4 gỡ bỏ RD đưa vào bảng định tuyến VRF tuyến Ipv4 Việc gỡ bỏ RD tuyến vpnv4 để đưa vào VRF có xảy hay khơng phụ thuộc vào việc RT có nhập vào VRF hay khơng Các tuyến Ipv4 sau quảng cáo đến router CE thơng qua IGP hay eBGP Ví dụ hình sau mô tả bước phát tán tuyến từ router CE site A đến router CE site B mạng MPLS VPN Hình Các bước phân tán tuyến từ router CE site A đến site B [5] Các nhà cung cấp dịch vụ MPLS VPN sử dụng iBGP để thực định tuyến router PE hệ thống tự trị họ Quá trình phát tán từ eBGP (chạy router PE CE) đến MP-iBGP mạng MPLS VPN ngược lại thực tự động không cần cấu hình thêm Tuy nhiên, trình phân phối MP-iBGP vào IGP chạy router PE CE tự động Chúng ta phải thực cấu hình MP-iBGP IGP 3.5.5 Chuyển tiếp gói tin mạng MPLS VPN Để router ePE biết gói tin thuộc vào VRF nào: Thông tin không nằm header gói tin IP khơng thể nhận từ nhãn, sử dụng để chuyển tiếp gói tin qua mạng cung cấp dịch vụ Giải pháp cho vấn đề thêm vào nhãn khác ngăn xếp nhãn MPLS Nhãn định gói tin 70 thuộc vào VRF Vì thế, tất gói tin khách hàng chuyển tiếp với hai nhãn: nhãn IGP làm nhãn đỉnh nhãn VPN làm nhãn đáy Nhãn VPN phải thêm vào router iPE router ePE biết gói tin thuộc vào VRF Vậy để router ePE báo hiệu cho router iPE biết nhãn sử dụng cho tiền tố VRF cụ thể đó: Vì MP-BGP sử dụng để quảng cáo tiền tố vpnv4 nên sử dụng để báo hiệu nhãn VPN (còn gọi nhãn BGP) sử dụng kết hợp với tiền tố vpnv4 [5] Trong thực tế cách thức sử dụng nhãn VPN để gói tin thuộc vào VRF khơng thực xác Điều số trường hợp, sai hầu hết trường hợp Một nhãn VPN thường next-hop mà gói tin phải thực chuyển tiếp đến để gởi đến router PE Vì thế, hầu hết trường hợp, mục đích nhãn VPN router CE next-hop gói tin Lưu lượng VRF-to-VRF mạng MPLS VPN có hai nhãn Nhãn đỉnh nhãn IGP phân phối LDP hay RSVP (cho TE) tất router P PE qua hop (hop by hop) Nhãn đáy nhãn VPN quảng cáo MPiBGP từ PE đến PE Các router P sử dụng nhãn IGP để chuyển tiếp gói tin đến xác router ePE Router ePE sử dụng nhãn VPN để chuyển tiếp gói IP đến xác router CE Hình 10 Q trình chuyển tiếp gói tin mạng MPLS VPN [5] 71 3.6 Vấn đề bảo mật MPLS VPN 3.6.1 Khoảng địa định tuyến riêng biệt MPLS cho phép VPN khác sử dụng dải địa sử dụng dải địa riêng [RFC1918] Điều đạt nhờ việc đưa thêm tham số phân biệt định tuyến (Route Distinguisher – RD) 64 bit vào địa Ipv4, làm cho địa VPN trở thành lõi MPLS Địa mở rộng gọi “địa VPN – Ipv4” Do vậy, khách hàng dịch vụ MPLS không cần thay đổi địa thời họ mạng 3.6.2 Che giấu cấu trúc lõi MPLS Vì lý bảo mật, công ty cung cấp dịch vụ khách hàng thường không muốn cấu trúc mạng họ bị lộ Điều làm cho việc cơng bị khó khăn Nếu kẻ cơng khơng biết mục tiêu, suy đốn địa IP cố tìm địa IP cách thử Do phần lớn công từ chối dịch vụ DoS (Denial – of – Service) không cung cấp phản hồi cho kẻ công nên việc công mạng khó khăn Với địa IP biết, kẻ cơng tiến hành cơng DoS với thiết bị Vì tốt hết không tiết lộ thông tin mạng nội cho bên Việc cần phải áp dụng cho hệ thống mạng khách hàng lõi MPLS Trên thực tế, nhiều biện pháp cần phải áp dụng quan trọng hết lọc gói liệu quy mô lớn Không định tuyến P (Provider) hay VPN khác VPN1 nhìn thấy Kết nối định tuyến CE (Customer Edge) PE (Provider Edge), bao gồm địa kết nối định tuyến PE, thuộc khoảng địa VPN Tất địa lại định tuyến PE, kết nối vịng phản hồi, khơng thuộc khoảng địa VPN MPLS không đưa thông tin khơng cần thiết bên ngồi, cho dù khách hàng VPN Việc địa hóa mạng lõi tiến hành với địa riêng [RFC1918] hay địa công cộng Do giao diện tới VPN – Internet 72 – BGP, khơng có lý để tiết lộ thông tin nội Thông tin cần trường hợp giao thức định tuyến PE CE địa định tuyến PE Nếu thông tin không cần thiết, định tuyến tĩnh cấu hình PE CE Với phương pháp này, lõi MPLS giữ kín hoàn toàn Trong trường hợp dịch vụ VPN với truy nhập Internet chia xẻ, nhà cung cấp dịch vụ thông thường thông báo tuyến khách hàng mong muốn sử dụng luồng Internet lên hay kết nối tới nhà cung cấp dịch vụ khác Điều thực thơng qua chức Biên dịch địa mạng (Network Address Translation – NAT) để đảm bảo việc che dấu thông tin địa mạng khách hàng Trong trường hợp này, khách hàng khơng tiết lộ thơng tin cho Internet nói chung nhiều so với dịch vụ Internet Thông tin lõi không tiết lộ, trừ cho địa kết nối (peering address) định tuyến PE có chức kết nối Internet 3.6.3 Chống lại công Phần xâm nhập vào VPN khác Khả công vào lõi MPLS cố gắng công vào VPN khác từ lõi Lõi MPLS bị cơng theo cách bản: - Tấn công định tuyến PE trực tiếp - Tấn công vào chế thông báo MPLS (phần lớn định tuyến) Để công vào thành phần mạng MPLS, việc cần biết địa thiết bị Như nói trên, cấu trúc địa lõi MPLS che dấu với bên ngồi Do đó, kẻ công địa IP định tuyến lõi mà muốn cơng Kẻ cơng đốn địa gửi gói liệu đến địa Định tuyến VPN lõi MPLS cấu hình theo cách: - Tĩnh: Trong trường hợp định tuyến PE cấu hình với định tuyến tĩnh tới mạng sau CE, CE cấu hình tĩnh tới định tuyến PE cho mạng phần cịn lại VPN (thơng thường tuyến mặc định) Có hai trường hợp nhỏ: định tuyến tĩnh tới địa định tuyến PE, tới giao diện định tuyến CE 73 - Động: giao thức định tuyến (ví dụ: Routing Information Protocol – RIP, Open Shortest Path First – OSPF, BGP) sử dụng để trao đổi thông tin định tuyến CE PE điểm kết nối tương ứng Trong trường hợp định tuyến tĩnh từ định tuyến CE tới định tuyến PE tới giao diện, định tuyến CE không cần biết địa IP mạng lõi, chí định tuyến PE Điều có hạn chế cho cấu hình lớn cho định tuyến tĩnh, nhìn từ góc độ bảo mật, cách ưa thích trường hợp khác Trên thực tế, truy nhập tới định tuyến PE thông qua giao diện CE/PE bị hạn chế tới giao thức định tuyến yêu cầu cách sử dụng danh mục quản lý truy nhập (Access Control Lists – ACL) Giải pháp hạn chế điểm công tới giao thức định tuyến, ví dụ BGP Một vụ cơng gửi liệu tới nhiều định tuyến, hay làm tràn ngập định tuyến PE với thông tin cập nhật định tuyến Cả hai dẫn tới DoS, nhiên không cho phép truy nhập trái phép 3.6.4 Giả nhãn Trong MPLS, gói liệu mạng truyền khơng dựa địa IP đích mà dựa nhãn định tuyến PE gán vào Giống công kiểu giả IP kẻ công thay địa IP nguồn đích gói liệu, mặt lý thuyết làm giả nhãn gói liệu MPLS Phần tập trung vào việc liệu chèn vào gói liệu với nhãn sai vào mạng MPLS từ bên ngồi, ví dụ từ VPN (bộ định tuyến CE) hay từ Internet Theo nguyên tắc, giao tiếp định tuyến CE định tuyến PE tương ứng giao tiếp IP (khơng có nhãn) Bộ định tuyến CE khơng biết đến lõi MPLS, cho gửi gói IP đến định tuyến thường Độ thông minh thể thiết bị PE, dựa vào cấu hình mà nhãn lựa chọn gán vào gói tin Đây trường hợp cho tất định tuyến PE, định tuyến chuyển tiếp CE dòng liệu lên nhà cung cấp dịch vụ Tất giao tiếp tới đám mây MPLS cần gói liệu IP, khơng có nhãn Vì lý bảo mật, định tuyến PE khơng chấp nhận gói liệu có nhãn từ định tuyến CE Trong định tuyến Cisco, 74 gói liệu với nhãn đến từ giao tiếp CE bị huỷ bỏ Vì khơng thể đưa vào nhãn giả khơng nhãn chấp nhận Các khả cuối để làm giả địa IP gói liệu gửi đến lõi MPLS Tuy nhiên, có phân chia địa nghiêm ngặt định tuyến PE VPN có bảng định tuyến VRF (Virtual Routing and Forwarding instance) riêng nó, nên việc cơng kiểu làm ảnh hưởng VPN tự công MPLS khơng tạo nguy bảo mật 75 KẾT LUẬN Qua đề tài nghiên cứu này, hiểu rõ khái niệm, cấu trúc hoạt động công nghệ MPLS, cách thức phân phối nhãn cách truyền gói tin mạng MPLS Hiểu thêm khái niệm VPN, ưu điểm hạn chế công nghệ MPLS VPN so với mơ hình VPN truyền thống Nắm rõ thành phần cách hoạt động MPLS VPN MPLS VPN giúp trình truyền liệu nhanh, an toàn Trong mang MPLS VPN router lõi nhà cung cấp dịch vụ đến định tuyến VPN khách hàng, dễ dàng cho việc mở rộng quy mô mạng MPLS-VPN Như vậy, thấy MPLS VPN đáp ứng yêu cầu đặt mạng VPN, đồng thời giải cách triệt để hạn chế mạng VPN truyền thống dựa công nghệ ATM, Frame Relay đường hầm IP Trong thời gian làm đồ án, kiến thức cịn hạn chế thời ngắn nên tơi chưa nghiên cứu đầy đủ chi tiết đề tài Trong thời gian tiếp tục tiến hành sâu nhằm nằm vững mô công nghệ chuyển mạch nhãn đa giao thức MPLS đưa ứng dụng MPLS VPN vào thực tế 76 TÀI LIỆU THAM KHẢO [1] TS Phùng Văn Vận, TS Đỗ Mạnh Quyết, Công nghệ chuyển mạch nhãn đa giao thức MPLS, Nhà xuất Bưu Điện, 2003 [2] TS Trần Công Hùng, Chuyển mạch nhãn đa giao thức MPLS, Nhà xuất thông tin truyền thông, 7/2009 [3] Jim Guichard, Ivan Pepelnjak, Jeff Apcar, MPLS and VPN Architectures, Volumer II, Cisco Press, 06/2003 [4] TS Nguyễn Tiến Ban, Th.S Hoàng Trọng Minh Mạng Riêng Ảo VPN, Học viện CNBCVT, 2007 [5] Jim Guichard, Ivan Pepelnjak, MPLS and VPN Architectures, Cisco Press, 2000 77 ... VPN Chính vậy, đồ án tốt nghiệp nghiên cứu ? ?Công nghệ chuyển mạch nhãn đa giao thức MPLS ứng dụng MPLS VPN? ?? Qua nghiên cứu kĩ kiến thức công nghệ chuyển mạch nhãn đa giao thức MPLS ứng dụng MPLS. .. sử phát triển MPLS 10 1.2 Công nghệ chuyển mạch tảng .12 1.2.1 Công nghệ IP 12 1.2.2 Công nghệ chuyển mạch ATM 13 1.2.3 Công nghệ chuyển mạch MPLS ... Tuyến chuyển mạch nhãn LSR Label Switch Router Bộ định tuyến chuyển mạch Cơ sở thông tin chuyển tiếp nhãn nhãn MPLS Chuyển mạch nhãn đa giao Multiprotool Label Switching thức MPLS Multiprotool