MPLS các vấn đề bảo mật mạng

1 Đại Học Quốc Gia Tp Hồ Chí Minh TRƯỜNG ĐẠI HỌC BÁCH KHOA - ĐẶNG HUY THÀNH MPLS & CÁC VẤN ĐỀ BẢO MẬT MẠNG Chuyên ngành: Mã số ngành: KỸ THUẬT VÔ TUYẾN – ĐIỆN TỬ 02.07.01 LUẬN VĂN THẠC SĨ TP HỒ CHÍ MINH, tháng 02 năm 2005 CƠNG TRÌNH ĐƯỢC HỒN THÀNH TẠI TRƯỜNG ĐẠI HỌC BÁCH KHOA ĐẠI HỌC QUỐC GIA TP HỒ CHÍ MINH Cán hướng dẫn khoa học: Tiến Sĩ Phạm Hồng Liên Cán chấm nhận xét 1: Tiến Sĩ Nguyễn Minh Hoàng Cán chấm nhận xét 2: Tiến Sĩ Lê Hiệp Tuyển Luận văn thạc sĩ bảo vệ tại: HỘI ĐỒNG CHẤM BẢO VỆ LUÂN VĂN THẠC SĨ TRƯỜNG ĐẠI HỌC BÁCH KHOA, ngày 30 tháng 12 năm 2004 TRƯỜNG ĐẠI HỌC BÁCH KHOA PHÒNG ĐÀO TẠO SĐH CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM ĐỘC LẬP – TỰ DO – HẠNH PHÚC - TP.HCM, ngày 18 tháng 02 năm 2005 NHIỆM VỤ LUẬN VĂN THẠC SĨ Họ tên học viên: ĐẶNG HUY THÀNH Ngày, tháng, năm sinh: 02/02/1977 Chuyên ngành: Kỹ Thuật Vô Tuyến Điện Tử III- IIIIVV- Phái: Nam Nơi sinh: Vĩnh Long MSHV:VTDT-K12-31 TÊN ĐỀ TÀI: MPLS & CÁC VẤN ĐỀ BẢO MẬT MẠNG NHIỆM VỤ VÀ NỘI DUNG: - Mô tả kiến trúc mạng MPLS - Phân tích vấn đề bảo mật mạng MPLS - Đưa giải pháp xây dựng hệ thống mạng MPLS ứng với vấn đề bảo mật phân tích - Xây dựng mơ mạng phần mềm mô để làm rõ vấn đề trình bày - Nhận xét kết kết luận NGÀY GIAO NHIỆM VỤ: 01/07/2004 NGÀY HOÀN THÀNH NHIỆM VỤ: 10/12/2004 CÁN BỘ HƯỚNG DẪN:Tiến sĩ Phạm Hồng Liên CÁN BỘ HƯỚNG DẪN CHỦ NHIỆM NGÀNH CN BỘ MÔN QL CHUYÊN NGÀNH Nội dung đề cương luận văn thạc sĩ Hội đồng chuyên ngành thơng qua TRƯỞNG PHỊNG ĐT-SĐH Ngày Tháng năm 2005 TRƯỞNG KHOA QL NGÀNH LỜI CẢM ƠN, Em xin chân thành cảm ơn Thầy Cô giảng dạy thời gian vừa qua Chân thành cảm ơn Thầy Cô môn Viễn Thông giúp đỡ em học tập nghiên cứu Và lần em xin cảm ơn Phạm Hồng Liên tận tình hướng dẫn em nghiên cứu thực đề tài ĐẶNG HUY THÀNH TÓM TẮT Nhiều doanh nghiệp có kế hoạch thay mạng VPN lớp truyền thống ATM hay Frame Relay (FR) dịch vụ MPLS (Multiprotocol Label Switching) MPLS trở thành công nghệ ứng dụng rộng rãi cho các nhà cung cấp dịch vụ mạng Đề tài khảo sát vấn đề bảo mật kiến trúc MPLS, quan tâm cho nhà cung cấp dịch vụ (P-Provider) khách hàng (C-Customer) Đề tài giới thiệu cách thức bảo mật cho hạ tầng MPLS Tiêu điểm ý đặc biệt MPLS/BGP (Border Gateway Protocol) kiến trúc mạng riêng ảo VPN Nội dung đề tài gồm phần sau: Phần 1: Giới thiệu công nghệ MPLS Phần giới thiệu tổng quát công nghệ MPLS, cách thức họat động, kiến trúc chung cho mạng MPLS, hoạt động MPLS trạng thái khung (frame), tế bào (cell) kiến trúc MPLS-VPN Phần 2: Các Dạng Tấn Công công cụ Ipsec, Firewall Giới thiệu loại công vào sở hạ tầng mạng bao gồm DoS, đánh lừa, ăn cắp phiên nghe trộm… Đưa giao thức Ipsec công cụ Firewall để làm gia tăng tính bảo mật hệ thống, chống lại cơng Phần 3: Phân Tích Giải Pháp MPLS vấn đề bảo mật - Phần phân tích bảo mật cho nhà cung cấp dịch vụ MPLS Đích đến so sánh dịch vụ VPN dựa MPLS phải đạt mức độ bảo mật tương tự bảo mật mạng VPN dựa ATM hay FR Khảo sát yêu cầu bảo mật mạng phân tích MPLS BGP/VPN với yêu cầu - Đưa kiến nghị để bảo mật hạ tầng MPLS Phần khảo sát định tuyến bảo mật mạng lõi MPLS liên kết mạng VPN truy nhập Internet Bổ sung công cụ bảo mật mã hóa, Ipsec hạ tầng MPLS truy nhập từ xa qua Ipsec đến mạng VPN đưa vấn đề mà kiến trúc mạng MPLS không hỗ trợ Phần 4: Mô Phỏng MPLS-VPN - Dùng chương trình Boson Netsim Thực Lab Test MPLS-VPN cho khách hàng nhà cung cấp dịch vụ (lõi MPLS) Phân tích chức bảo mật: chống lại cơng • Khơng gian địa • Cách ly mạng VPN • Cách ly định tuyến MỤC LỤC PHẦN I: CHỨC NĂNG VÀ HOẠT ĐỘNG CỦA MPLS CHƯƠNG I: GIỚI THIỆU MPLS I Giới Thiệu Chung Về MPLS II Ưu Điểm Của MPLS Giảm độ phức tạp định tuyến xây dựng đường dự phòng Cách ly lưu lượng Khả phân lớp dịch vụ Gia tăng lợi ích cho khách hàng CHƯƠNG II:CÁCH THỨC HOẠT ĐỘNG CỦA MPLS I Chuyển Tiếp Gói Tin Trong MPLS II Ngăn Xếp Nhãn III Giao Thức Định Tuyến CHƯƠNG III: HOẠT ĐỘNG CỦA MPLS Ở CHẾ ĐỘ FRAME I Dữ Liệu Trên Mạng MPLS Trong Chế Độ Khung II Chuyển Mạch Của MPLS Trong Chế Độ Khung III Chuyển Mạch Nhãn MPLS Với Ngăn Xếp Nhãn IV Thiết Lập Tiến Trình LDP V Kết Hợp Nhãn Phân Phối Nhãn VI Gỡ Nhãn Tại Điểm Kế Cuối VII Giao Tiếp Với Giao Thức Định Tuyến BGP VIII Kết Luận CHƯƠNG IV:HOẠT ĐỘNG Ở CHẾ ĐỘ CELL (TẾ BÀO) I Điều Khiển Kết Nối Giữa Các Giao Tiếp LC-ATM II Kết Nối Phần Điều Khiển MPLS III Thực Thi Phần Điều Khiển Trong Bộ Chuyển Mạch ATM IV Chuyển Tiếp Gói Tin Qua ATM-LSR Domain V Phân Phối Định Vị Nhãn Qua ATM-LSR Domain VI Nhúng VC VII Hội Tụ Của ATM-LSR Domain VIII Kết Luận CHƯƠNG V: MPLS/VPN I Bảng Chuyển Tiếp Định Tuyến VPN II Mạng VPN Chồng Lấp III Tuyến Đích IV Thơng Tin Định Tuyến VPN Trong Mạng Nhà Cung Cấp V MP-BGP Trong MPLS/VPN VI Chuyển Tiếp Gói Tin VPN VII Kết Luận 11 11 12 12 12 12 13 14 15 16 16 17 17 18 19 20 21 23 24 26 27 28 28 29 30 30 33 35 36 38 38 40 41 42 42 45 47 PHẦN 2: KỸ THUẬT TẤN CÔNG VÀ YÊU CẦU BẢO MẬT CHƯƠNG VI: CÁC KỸ THUẬT TẤN CƠNG I Tấn Cơng Từ Chối Dịch Vụ Tấn công từ chối dịch vụ gì? Các loại cơng từ chối dịch vụ tiêu biểu II Đánh Lừa III Ăn Cắp Phiên IV Nghe Trộm V Tấn Cơng Ngay Chính Giữa CHƯƠNG VII: GIAO THỨC IPSEC I Dạng Thức Của IPsec Kết hợp bảo mật SA Xác thực tiêu đề AH Bọc goi bảo mật ESP Chế độ làm việc II Quản Lý Khóa Các chế độ OAKLEY pha ISAKMP Đàm phán SA III Sử Dụng IPsec Các cổng nối bảo mật Các SA đại diện Host từ xa CHƯƠNG VII: FIREWALL I Bức Tường Lửa II Các Loại Tường Lửa Tường lửa mức mạng Các lọc gói Các proxy kênh proxy ứng dụng Socks Kiểm tra trạng thái Các tường lửa số cổng III VPN Tường Lửa IV Yêu Cầu Đối Với Tường Lửa Yêu cầu chung Kết hợp Ipsec PPTP L2TP V Thiết Kế Tường Lửa 49 49 50 50 52 53 54 54 56 56 56 57 58 59 61 61 64 65 65 65 66 67 67 67 67 68 68 71 71 72 73 75 75 75 76 77 PHẦN III: MPLS VÀ BẢO MẬT CHƯƠNG VIII: GIỚI THIỆU CHƯƠNG IX: PHÂN TÍCH BẢO MẬT MẠNG MPLS 81 82 I Không Gian Địa Chỉ Cách Ly Định Tuyến II Che Dấu Cấu Trúc Mạng Lõi III Chống lại Các Cuộc Tấn Công IV Giả Nhãn CHƯƠNG X: CÁC GIẢI PHÁP ĐỂ BẢO MẬT MẠNG LÕI I Bảo Mật Mạng Lõi II Kết Nối Giữa Các VPN Truy Cập Internet Kết nối VPN Firewall III Kết Hợp IPsec MPLS Ưu điểm kết hợp Ipsec MPLS Topology kết hợp Ipsec MPLS Kết hợp Ipsec MPLS IV Kết Nối Từ Xa Đến Mạng MPLS-VPN V Các Vấn Đề MPLS Chưa Hỗ Trợ 82 83 84 85 87 87 88 88 89 91 91 92 92 94 95 PHẦN IV: MÔ PHỎNG MẠNG MPLS CHƯƠNG XI: MÔ PHỎNG MẠNG MPLS-VPN I Giới Thiệu Chương Trình Mơ Phỏng II Mục Đích Của Bài Mơ Phỏng III Cấu Hình Chi Tiết Cấu hình mạng mơ Cấu hình địa IP cổng giao tiếp Cấu hình cho mạng riêng ảo VPN IV Phân Tích Kết Quả Mô Phỏng Không gian địa mạng VPN Phân biệt định tuyến cho mạng VPN Che dấu cấu trúc mạng lõi 98 98 98 98 98 99 100 108 108 111 111 PHẦN V HẠN CHẾ VÀ HƯỚNG PHÁT TRIỂN PHẦN VI THUẬT NGỮ VÀ CHỮ VIẾT TẮT PHẦN VII TÀI LIỆU THAM KHẢO 114 115 120 Chuyển mạch nhãn đa giao thức (MPLS) cơng nghệ tích hợp ATM IP, nâng cao chất lượng dịch vụ mạng gói Sau ATM (Phương thức truyền không đồng - asynchronous transfer mode), nhà hoạch định mạng phải đối mặt với số vấn đề gai góc như: liệu có cấp dịch vụ nào? Làm để dịch chuyển sang mạng đa dịch vụ, tích hợp giao thức khác nhau, cung cấp dịch vụ IP (giao thức Internet - Internet protocol) chất lượng cao giảm chi phí khai thác Để bao hàm đầy đủ dịch vụ cố định, di động, thoại số liệu nhiều giao thức hầu hết chuyên gia trù liệu vấn đề tới kết luận giống cần tìm tới giải pháp MPLS Cơng nghệ chi phí thấp, hiệu cao đơn giản Chuyển mạch nhãn đa giao thức (Multiprotocol Label Switching - MPLS) công nghệ mới, bắt đầu nghiên cứu vào năm 1997 Khởi đầu MPLS IBM Cisco nghiên cứu với mục đích giảm kích thước bảng định tuyến Thay hàng trăm ngàn địa định tuyến, cần khoảng 50 thẻ lớp mang tính cục cho định tuyến Những thẻ cho phép phân loại chức dịch vụ theo chất lượng đảm bảo cung cấp nhiều loại dịch vụ Đây bước tiến quan trọng so với giao thức IP Chỉ vòng vài năm MPLS trở thành giao thức lựa chọn để đơn giản hố tích hợp mạng mạng lõi Nó cho phép nhà khai thác giảm chi phí, đơn giản hoá việc quản lý lưu lượng hỗ trợ dịch vụ Internet xếp chồng Quan trọng cả, bước tiến việc đạt mục tiêu mạng đa dịch vụ với giao thức gồm di động, thoại, liệu đa thành phần Việt Nam áp dụng MPLS Nhà khai thác viễn thông lớn Việt Nam - VNPT xây dựng định hướng phát triển mạng hệ sau NGN với giải pháp áp dụng MPLS lộ trình thực thành nhiều giai đoạn từ đến 2010 10 PHẦN CHỨC NĂNG VÀ HOẠT ĐỘNG CỦA MPLS 104 PE2(config-router)#network 192.168.1.0 BGP PE1#config t PE1(config)#router bgp PE1(config-router)#no synchronization PE1(config-router)#network 192.168.1.1 mask 255.255.255.255 PE1(config-router)#neighbor 192.168.1.4 remote-as PE1(config-router)#neighbor 192.168.1.4 update-source Loopback0 PE1(config-router)#no auto summary PE1(config-router)#redistribute static PE2#config t PE2(config)#router bgp PE2(config-router)#no synchronization PE2(config-router)#network 192.168.1.4 mask 255.255.255.255 PE2(config-router)#neighbor 192.168.1.1 remote-as PE2(config-router)#neighbor 192.168.1.1 update-source Loopback0 PE2(config-router)#no auto summary PE2(config-router)#redistribute static MPLS PE1#config t PE1(config)#ip cef PE1(config)#mpls ip PE1(config-if)#interface serial 0/0 PE1(config-if)#mpls ip P1#config t P1(config)#ip cef P1(config)#mpls ip P1(config-if)#interface serial 0/0 P1(config-if)#mpls ip P1(config-if)#exit P1(config)#interface serial 0/1 P1(config-if)#mpls ip P2#config t P2(config)#ip cef P2(config)#mpls ip P2(config-if)#interface serial 0/0 105 P2(config-if)#mpls ip P2(config-if)#exit P2(config)#interface serial 0/1 P2(config-if)#mpls ip PE2#config t PE2(config)#ip cef PE2(config)#mpls ip PE2(config-if)#interface serial 0/0 PE2(config-if)#mpls ip MP – BGP PE1#config t PE1(config)#router bgp PE1(config-router)#address-family vpnv4 PE1(config-router)#neighbor 192.168.1.4 activate PE1(config-router)#neighbor 192.168.1.4 next-hop-self PE1(config-router)#neighbor 192.168.1.4 send-community both PE2#config t PE2(config)#router bgp PE2(config-router)#address-family vpnv4 PE2(config-router)#neighbor 192.168.1.1 activate PE2(config-router)#neighbor 192.168.1.1 next-hop-self PE1(config-router)#neighbor 192.168.1.1 send-community both IV PHÂN TÍCH KẾT QUẢ MƠ PHỎNG Khơng gian địa mạng VPN khơng đổi Hình 54 -Chuyển gói tin VPN-MPLS 106 Hình 55: Gỡ nhãn P2 PE2 PE1# show ip bgp vpnv4 vrf VPNB tags Network Next Hop In tag/Out tag Route Distinguisher: 1:2 (VPNB) 192.168.1.0/24 0.0.0.0 32/aggregate(VPNB) 10.3.0.0/16 194.22.15.1 notag/32 PE1# show tag-switching forwarding-table Local Outgoing Prefix Bytes tag Hop tag tag or VC or Tunnel Id switched 33 36 192.168.1.4/32 serial0/0 32 Aggregate 192.168.1.0/24[V] 3120 Outgoing Next interface point2point P2# show tag-switching forwarding-table Local Outgoing Prefix Bytes tag Outgoing Next Hop tag tag or VC or Tunnel Id switched interface 36 Pop tag 192.168.1.4/32 9416 serial0/1 point2point CE2# show tag-switching forwarding-table Local Outgoing Prefix Bytes tag Hop tag tag or VC or Tunnel Id switched 32 Aggregate 192.168.1.0/24[V] 1040 PING VÀ TRACE TỪ PC3 ĐẾN PC1 C:>ping 10.1.0.2 Pinging 10.1.0.2 with 32 bytes of data: Outgoing interface Next 107 Reply from 10.1.0.2: bytes=32 time=60ms TTL=241 Reply from 10.1.0.2: bytes=32 time=60ms TTL=241 Reply from 10.1.0.2: bytes=32 time=60ms TTL=241 Reply from 10.1.0.2: bytes=32 time=60ms TTL=241 Ping statistics for 10.1.0.2: Packets: Sent = 5, Received = 5, Lost = (0% loss), Approximate round trip times in milli-seconds: Minimum = 50ms, Maximum = 60ms, Average = 55ms C:>tracert 10.1.0.2 "Type escape sequence to abort." Tracing the route to 10.1.0.2 10.4.0.1 10.3.0.1 10.2.0.2 10.1.0.2 msec 16 msec msec 20 msec 16 msec 16 msec 20 msec 16 msec 16 msec 20 msec 16 msec * PING VÀ TRACE TRỪ PC4 ĐẾN PC2 C:>ping 10.1.0.2 Pinging 10.1.0.2 with 32 bytes of data: Reply from 10.1.0.2: bytes=32 time=60ms TTL=241 Reply from 10.1.0.2: bytes=32 time=60ms TTL=241 Reply from 10.1.0.2: bytes=32 time=60ms TTL=241 Reply from 10.1.0.2: bytes=32 time=60ms TTL=241 Ping statistics for 10.1.0.2: Packets: Sent = 5, Received = 5, Lost = (0% loss), Approximate round trip times in milli-seconds: Minimum = 50ms, Maximum = 60ms, Average = 55ms C:>tracert 10.1.0.2 "Type escape sequence to abort." Tracing the route to 10.1.0.2 10.4.0.1 10.3.0.1 10.3.0.2 10.1.0.2 msec 16 msec msec 20 msec 16 msec 16 msec 20 msec 16 msec 16 msec 20 msec 16 msec * 108 MPLS cho phép mạng VPN dùng chung địa (có thể không gian địa riêng theo RFC 1918) cách cộng thêm 64 bit phân biệt tuyến (RD: route distiguisher) cho tuyến IPv4 làm cho địa VPN mạng lõi Địa mở rộng gọi dịa VPNIPv4 Khách hàng dịch vụ MPLS không cần phải thay đổi địa mạng họ, tránh truy nhập trái phép từ mạng VPN khác PHÂN BIỆT ĐỊNH TUYẾN CHO MẠNG VPN PE1# show ip vrf Name Default RD Interfaces VPNA 1:1 Serial0/1 VPNB 1:2 Serial0/2 PE1#show ip route vrf vpn_1 delete some items Gateway of last resort is not set C 10.2.0.2 is directly connected,Serial0/1 B 10.4.0.0 255.255.0.0 [200/0 ] via 192.168.1.4,00:06:07 B 10.5.0.0 255.255.0.0 [200/1 ] via 192.168.1.4,00:01:22 R 10.6.0.0 255.255.0.0 [120/1 ] via 10.2.0.2, 00:00:08,Serial0/1 PE2#show ip route vrf vpn_1 Output Omitted Gateway of last resort is not set B 10.1.0.0 255.255.255.0 [200/0 ] via 192.168.1.1,00:09:12 C 10.3.0.2 is directly connected,Serial0/1 R 10.5.0.0 255.255.255.0 [120/1 ] via 10.3.0.2,00:00:12,Serial0/1 B 10.6.0.0 255.255.255.0 [200/1 ] via 192.168.1.1,00:02:57 Mỗi PER trì bảng chuyển tiếp định tuyến ảo (VRF) cho kết nối với mạng VPN Mỗi VRF PER chứa tuyến từ VPN giao thức định tuyến hay tuyến tĩnh PE CE Với VPN có VRF phân biệt nên khơng có “hồ lẫn” VPN PER Do MPLS xem có mức bảo mật lớp VPN so với ATM hay FR khơng có truy nhập trái phép VPN với CHE DẤU CẤU TRÚC LÕI Bảng định tuyến hoạt động phân biệt cách ly mạng khách hàng mạng nhà cung cấp dịch vụ nên cấu trúc mạng lõi che dấu Điều hiểu giảm nguy cơng DoS, DoS 109 thực người công biết địa mạng nạn nhân dùng cơng cụ để đốn địa IP PE2#show ip route Output Omitted R 192.168.1.1 255.255.255.255 [120/3 ] via 192.168.1.18,00:00:00,Serial0/0 R 192.168.1.2 255.255.255.255 [120/2] via 192.168.1.18, 00:00:00,Serial0/0 R 192.168.1.3 255.255.255.255 [ 120/1] via 192.168.1.18,00:00:00,Serial0/0 C 192.168.1.4 255.255.255.255 is directly connected,Loopback0 R 192.168.1.8 255.255.255.252 [120/1] via 192.168.1.18, 00:00:00, Serial0/0 C 192.168.1.16 255.255.255.252 is directly connected,Serial0/0 PE1#show ip route Output Omitted Gateway of last resort is not set C 192.168.1.1 255.255.255.255 is directly connected, Loopback0 R 192.168.1.2 255.255.255.255 [120/1] via 192.168.1.9,00:00:07 serial0/0, R 192.168.1.3 255.255.255.255 [120/2] via 192.168.1.9,00:00:07 serial0/0 R 192.168.1.4 255.255.255.255 [120/3] via 192.168.1.9, 00:00:12 serial 0/0 R 192.168.1.16 255.255.255.252 [120/2] via 192.168.1.9, 00:00:15, serial 0/0 R 192.168.1.8 255.255.255.252 [120/1] via 192.168.1.9, 00:00:10, serial 0/0 R 192.168 1.16 255.255.255.252 [120/2] via 192.168.1.9, 00:00:9 serial 0/0 Trong mạng lõi thực thi giao thức định tuyến IGP – RIPv2 khơng có thơng tin mạng khách hàng bảng định tuyến toàn cục PR P1#show ip route Output Omitted Gateway of last resort is not set 192.168.1.0 255.255.255.0 is variably subnetted, subnets,2 masks R 192.168.1.1 255.255.255.255 [120/1] via 192.168.1.10, 00:00:13, serial 0/0 C 192.168.1.2 255.255.255.255 is directly connected, loopback0 R 192.168.1.3 255.255.255.255 [120/1] via 192.168.1.13, 00:00:15, serial0/1 R 192.168.1.4 255.255.255.255 [120/2] via 192.168.1.13, 00:00:19, serial0/1 C 192.168.1.8 255.255.255.252 is directly connected C 192.168.1.16 255.255.255.252 [120/1] via 192.168.1.13,00:00:23, serial0/1 110 CE1# show ip route Output Omitted Gateway of last resort is not set 10.0.0.0 255.0.0.0 is subnetted, subnets, masks C 10.2.0.0 255.255.0.0 is directly connected R 10.4.0.0 255.255.0.0 [120/2] via 10.2.0.1, 00:00:25, serial 0/0 R 10.5.0.1 255.255.255.255 [120/1] via 10.2.0.1, 00:00:23, Serial0/0 C 10.6.0.1 255.255.255.255 is directly connected, loopback CE3#show ip route Output Omitted Gateway of last resort is not set 10.0.0.0 255.0.0.0 is subnetted, subnets, mask R 10.1.0.0 255.255.0.0 [120/2] via 10.3.0.1, 00:00:16, Serial 0/0 R 10.2.0.0 255.255.0.0 [120/1] via 10.3.0.1, 00:00:16, Serial 0/0 C 10.3.0.0 255.255.0.0 is directly connnected C 10.5.0.1 255.255.255.255 is directly connected, loopback0 Trong bảng định tuyến toàn cục định tuyến mạng khách hàng, khơng có thơng tin mạng lõi nhà cung cấp dịch vụ: địa IP, route mạng lõi Các cơng khó khăn 111 HẠN CHẾ VÀ HƯỚNG PHÁT TRIỂN Trong luận văn khảo sát vấn đề bảo mật mạng MPLS giải pháp áp dụng cho nhà cung cấp dịch vụ MPLS liên tục phát triển vấn đề bảo mật mạng vấn đề bật Đề tài đề cập đến dạng công mà không đề cập đến khả chống nghẽn mạng, khả phục hồi Ứng dụng quan trọng dịch vụ MPLS kỹ thuật lưu lượng Vấn đề nảy sinh em quan tâm tìm hiểu thời gian tới kỹ thuật: RSVTP, LDP hay CR_LDP, thiết lập phương pháp phân tích, mơ dịng chảy data, tỷ lệ gói hay băng thơng thay đổi mạng MPLS Những thiếu sót đề tài vấn đề bật hướng nghiên cứu tới em lĩnh vực sở hạ tầng mạng 112 Thuật ngữ chữ viết tắt AS Autonomous System Hệ thống tự trị ATM Asynchronous Transfer Mode Cách truyền dẫn bất đồng BGP Border Gatewate Protocol Giao thức cổng biên BR Border Router Router biên CBQ Clas Based Queueing Hàng đợi sở lớp Là miền định tuyến có chung quyền quản lý thích hợp với sách định tuyến nội Một hệ thống tự trị AS tham gia vào nhiều giao thức định tuyến bên miền giao tiếp với AS khác qua giao thức định tuyến miền chung CBR, CR Constraint Based Routing Định tuyến sở ràng buột Định tuyến sở ràng buột node tự động tính tốn đường tường minh cho trung kế lưu lượng từ node nguồn Trong trường hợp này, trung kế lưu lượng đặc trưng đường dẫn chuyển mạch nhãn mà thoả yêu cầu biểu thị thuộc tính trung kế, chịu ràng buột tài ngun sẵn có, sách quản lý, thơng tin trạng thái topo CBS Committed Burst Size Kích thước cụm uỷ thác Kích thước cụm tối đa cho phép tốc độ liệu uỷ thác CDR Khi bucket CBS đầy tràn vào bucket EBS CDR Committed Data Rate Tốc độ liệu uỷ thác Tốc độ mà miền MPLS uỷ thác cho CR-LSP Nó xác định với tham số tốc độ liệu uỷ thác (CDR) kích thước cụm uỷ thác (CBS) CLIP Classical IP IP kinh điển CR Core Router Router trung tâm 113 CR-LDP Constraint Based Routing Label Distribution Protocol Giao thức phân bố nhãn định tuyến sở ràng buột DF Default Forwarding Chuyển tiếp mặc định ER Edge Router Bộ định tuyến biên FEC Forwarding Equivalence Class Lớp chuyển tiếp tương đương FIB Forwarding Information Base Thông tin chuyển tiếp sở FNT FR FEC to NHLFE Frame Relay GII Global Information Infrastructure Cơ sở hạ tầng thơng tin tồn cầu HR Hosting Router Router chủ IETF Internet Engineering Task Force IGP Interior Gatewate Protocol Giao thức cổng nội ILM Incoming Label Map Ánh xạ nhãn đưa đến ISP Internet Service Provider Nhà cung cấp dịch vụ ITU International Telecommunication Union Hiệp hội viễn thông quốc tế LAN Local Area Network Mạng cục Miền MPLS DS khơng có đáp ứng đặc biệt gói Tập hợp gói đối xử router, nghĩa chúng chuyển tiếp giao tiếp với chặng ấn định lớp phục vụ Ánh xạ nhãn đưa đến tới tập hợp NHLFE Sử dụng chuyển tiếp gói dán nhãn 114 LDP Label Distribution Protocol Giao thức phân bố nhãn Tập hợp thủ tục thông điệp mà LSR thiết lập đường dẫn chuyển mạch nhãn qua mạng việc ãnh thông tin định tuyến lớp mạng trực tiếp đến đường dẫn chuyển mạch lớp tuyến liệu LER Label Edge Router Router chuyển mạch nhãn biên Gồm router chuyển mạch lớp có khả chuyển tiếp khung MPLS đi/đến từ miền MPLS LFIB Lable Forwarding Information Base Thông tin chuyển tiếp nhãn sở LIB Label Information Base Thông tin nhãn sở LSA Link State Advertisements Công bố trạng thái tuyến LSP Label Switching Path Đường dẫn chuyển mạch nhãn Là đường dẫn từ ngõ vào đến ngõ xây dựng qua node MPLS để chuyển tiếp gói địng gói MPLS FEC LSR Label Switching Router Router chuyển mạch nhãn Chuyển tiếp gói lớp chuyển tiếp khung đóng gói lớp MAC Medium Access Control Điều khiển truy cập trung gian MP-BGP Multi Protocol BGP Đa giao thức BGP MPLS Multi-Protocol Label Switching Chuyển mạch nhãn đa giao thức MPOA Multi-Protocol Over ATM Đa giao thức qua ATM NGN Next Generation Network Mạng hệ Hoạt động lớp lớp 3, có khả cung cấp nối kết lớp trực tiếp qua ATM sử dụng luồng tắt để khai thác đặc tính ATM 115 NHLFE Next Hop Label Forwarding Entry Mục chuyển tiếp chặng Được sử dụng gói dán nhãn NHRP Next Hop Resolution Protocol Giao thức phân giải chặng kế Có NHS LIS, tất host LIS đăng ký đa truy cập phi băng rộng địa lớp liên mạng với NHS khởi động OSPF Open Shortest Path First Đường dẫn ngắn mở đầu Giao thức định tuyến IP nội thuộc giao thức định tuyến trạng thái đường PHP Penultimate Hop Popping Thaáo nhãn định tuyến kế cuối PIL Protection Ingress LSR LSR ngõ vào bảo vệ PoP Point of Presence Điểm diện PVC Path Virtual Circuit Đường mạch ảo QoS Quality of Service Chất lượng dịch vụ QoSR QoS Routing Định tuyến QoS RED Random Early Detection Phát ngẫu nhiên đầu RSVP Resource ReSerVation Protocol Giao thức dự trữ tài nguyên RSVP_TE RSVP - Traffice Engineer RSVP - Kỹ Thuật Lưu lượng Đây phần RSVP mở rộng cho MPLS TCP Transmition Control Protocol Giao thức điều khiển truyền dẫn Giao thức để truyền liệu có độ tin cậy cao Xác định đường dẫn cho luồng sở nhận biết tài nguyên có sẵn mạng theo yêu cầu QoS luồng 116 TDP Tag Distribute Protocol Giao thức phân phối thẻ TE Traffic Engineering Kỹ thuật lưu lượng ToS Type of Service Trường dạng dịch vụ TP Traffic Parametter Tham số lưu lượng Các đặc trưng dòng lưu lượng (chuyển tiếp lớp tương đương) vận chuyển qua trung kế lưu lượng Bao gồm tốc độ đỉnh, tốc độ trung bình, kích thước cụm thừa nhận…chỉ thị yêu cầu tài nguyên trung kế lưu lượng TT Traffic Trunk Trung kế lưu lượng Tổng hợp luồng lưu lượng thuộc lớp Đôi cho phép bao gồm tổng lưu lượng đa lớp UDP User Datagram Protocol Giao thức datagram user VCI Virtual Channel Identifier Chỉ số kênh ảo Virtual Path Identifier Virtual Private Network Chỉ số đường ảo VPI VPN Mạng riêng ảo VRF Virtual Routing and Forwarding Table Bảng chuyển tiếp định tuyến ảo WFQ Weighted Fair Queueing Hàng đợi cân trọng số 117 TÀI LIỆU THAM KHẢO Uyless Black, MPLS and Label Switching Networks, Prentice Hall PTR, New Jersey, 2002 Vivek Alwayn, Advanced MPLS Design and Implementation, Cisco Press, Indianapolis, USA, 2002 Bruce Davie – Yakov Rekhter, MPLS Technology and Applications, Morgan Kaufhann publishers, San Francisco, 2000 Felicia Marie, Congestion Control Mechanisms within MPLS Network, University of London, 2000 Christopher Y Metz, IP Switching Protocols and Architectures, McGraw-Hill, USA, 1999 DataComm, Fram Relay and ATM: Are they really secure? Data Communication Report, Vol 15, No.4: February 2000 Fraser, B, Site Security Handbook, RFC 2196: September 1997 Chiris Brenton, Cameron Hunt, Mastering Network Security, second edition, Sybex 2003 Mandy Andress, Philipcox, Ed Tittel, CIW, CIW Security Professional Certificate Bibble,Series Editor, Hungry Minds 2001 10 Miercom Cisco MPLS-Based VPNs: Equivalent to the Security of Frame Relay and ATM Miercom Report: March 2001 (http://www.mier.com/reports/cisco/MPLS-VPNs.pdf 118 LÝ LỊCH TRÍCH NGANG Họ Tên : Đặng Huy Thành Nơi sinh : Vĩnh Long Ngày sinh : 02/02/1977 Địa liên lạc: 32/14 Lê Văn Thọ phường 11 Quận Gị Vấp, Tp Hồ Chí Minh Quá Trình Đào Tạo: - 1994-1999: Học Đại Học Bộ Môn Viễn Thông Khoa Điện - Điện Tử Trường Đại Học Bách Khoa Tp Hồ Chí Minh - 2001-2005: Học Sau Đại Học Ngành Kỹ Thuật Vô Tuyến Điện Trường Đại Học Bách Khoa Tp Hồ Chí Minh Q Trình Công Tác: - 1999-đến nay: Công Ty Cổ Phần Viễn Thông VTC ... TÊN ĐỀ TÀI: MPLS & CÁC VẤN ĐỀ BẢO MẬT MẠNG NHIỆM VỤ VÀ NỘI DUNG: - Mơ tả kiến trúc mạng MPLS - Phân tích vấn đề bảo mật mạng MPLS - Đưa giải pháp xây dựng hệ thống mạng MPLS ứng với vấn đề bảo mật. .. tích bảo mật cho nhà cung cấp dịch vụ MPLS Đích đến so sánh dịch vụ VPN dựa MPLS phải đạt mức độ bảo mật tương tự bảo mật mạng VPN dựa ATM hay FR Khảo sát yêu cầu bảo mật mạng phân tích MPLS. .. rãi cho các nhà cung cấp dịch vụ mạng Đề tài khảo sát vấn đề bảo mật kiến trúc MPLS, quan tâm cho nhà cung cấp dịch vụ (P-Provider) khách hàng (C-Customer) Đề tài giới thiệu cách thức bảo mật cho

Định dạng
Số trang	118
Dung lượng	1,53 MB