Với cách thức thiết kế của mạng hiện tại thì phần lớn lưu lượng sẽ là mạng riêng ảo chạy trên Mpls và một phần nhỏ, chủ yếu là các lưu lượng điều khiển và
định tuyến sẽ chạy trên nền thuần IP. Do vậy, để dễ dàng ánh xạ giữa hai loại lưu lượng, ở đây chúng tôi khuyến cáo EVNTelecom sử dụng DSCP và Mpls Exp bit trong việc đánh dấu và phân loại.
Để tối ưu hoạt động của hệ thống:
• Việc phân loại và đánh dấu DSCP nên được thực hiện trực tiếp trên các client node của Mobile. Trong trường hợp client node không có khả năng này thì sẽ thực hiện trên giao diện vào của Access Switch.
• Sử dụng trường DSCP trong IP header để phân loại và đánh dấu trên các CE, kết nối giữa CE và Access Switch, kết nối Access Switch và PE Router.
• Sử dụng trường EXP trong MPLS header để phân loại và đánh dấu trên các kết nối giữa Router.
Việc phân loại các traffic từ client network trong mạng Mobile-PBN theo yêu cầu từ phía Huawei như sau:
Bảng 3-19: Phân loại traffic Loại lưu lượng Lớp Diffserv của client Giá trị DSCP (Binary) Giá trị DSCP (Dec) Signaling EF 111100 62 Conversational EF 101110 46 Streaming AF43 100100 38 Interactive AF23 010010 18 Background AF13 001010 10
Trong mạng MPBN, các Fordwarding class sau sẽđược thực hiện
Bảng 3-20: Lớp chuyển tiếp
Lớp chuyển tiếp Loại lưu lượng Ghi chú
Network Control Giao thức định tuyến, điều khiển, giám sát giữa các router và OAM/NOC Tỉ lệ mất gói tin và độ trễ phải giảm thiểu hết mức đảm bảo việc hồi phục nhanh nhất khi có sự cố. Expedited Forwarding Ứng dụng thời gian thực như voice, video Yêu cầu độ trễ và trượt thấp nhất
Signaling Traffic báo hiệu Yêu cầu đảm bảo băng
thông, độ trễ thấp, số lượng gói tin bị mất gần tới 0 Assure Forwarding Ứng dụng bình thường như TCP Yêu cầu đảm bảo về băng thông, chấp nhận độ trễ và mất gói tin
Và dưới đây là bảng phân loại các DiffServ Class vào các forwarding class trên MPBN: Bảng 3-21: Phân loại Diffserv Giá trị lớp Diffserv Giá trị DSCP (BIN) Lớp chuyển tiếp MPBN Hàng đợi Tốc độ truyền Kích thước bộ đệm Độưu tiên 110000 NC 3 5 % 5 % low
Signaling 111100 SIG 2 15 % 15 % medium-
low Conversational 101110 Streaming 100100 EF 4 70 % 20k high Interactive 010010 Background 001010 AF 1 5 % 5 % low 000000 BE 0 5 % 5 % low
Bảng mapping giữa MPBN Forwarding class và EXP:
Bảng 3-22: Mapping lớp chuyển tiếp và EXP
Lớp chuyển tiếp MPBN Giá trị EXP (Binary) Giá trị EXP (Dec)
NC 110 6 EF 010 2 SIG 100 4 AF 000 0 BE 001 1 3.7.4 Cấu hình Qos thực tế
Để kiểm tra các giá trị Diffserv, mapping MPBN Forwarding class và EXP, sử dụng câu lệnh:
Hình 3-36: Cấu hình Diffserv
Các giá trị dscp thực tế và mapping EXP hoàn toàn đúng như thiết kế.
Để kiểm tra các tham số QoS trong forwarding class dùng câu lệnh >show configuration class-of-service schedulers
Thông số tốc độ, bộ đệm, độ ưu tiên của các class có giá trị tương ứng với giá trị trong bảng phân loại các DiffServ Class vào các lớp chuyển tiếp MPBN.
3.8Thiết kế an ninh mạng (Network Security)
3.8.1 Tổng quan
An ninh mạng là một tập hợp các dịch vụ có chung một mục đích là bảo vệ
tài sản thông tin và tính toán. Các tấn công có thể xuất phát từ cả bên ngoài lẫn bên trong và nhắm vào bất kỳ phần tử nào có kết nối vật lý tới mạng. Một số tấn công có thể nhắm vào các ứng dụng cụ thể (vd như email) hay vào các nền tảng máy chủ
(cụm máy chủ trung tâm). Các tấn công này cũng có thể nhắm vào bản thân hạ tầng của mạng như các router. Phần tiếp sau đây chỉ mô tả phần an ninh cho bản thân router do các phần tử không phải router không thuộc phạm vi của dự án này.
An ninh cho router bao gồm 03 phần tử cơ bản: an ninh vật lý cho router, an ninh cho hệđiều hành của router và an ninh đạt được thông qua việc cấu hình (như
việc hardening cấu hình). An ninh vật lý liên quan đến việc giới hạn truy cập vật lý
đến router và cũng không nằm trong phạm vi của tài liệu này. Tuy nhiên, một điều quan trọng phải được lưu ý là việc tấn công từ xa có thể được ngăn chặn tuy nhiên rất khó có thể ngăn chặn nếu kẻ tấn công có thể truy cập được đến cổng quản lý hay cổng console của router. Nếu như terminal server được sử dụng thì vấn đề an ninh cho terminal server phải được đặt ra.
Khả năng an ninh của bản thân hệđiều hành của router cũng rất quan trọng. Ví dụ, một kỹ thuật rất hay được các kẻ tấn công là sử dụng là kỹ thuật tràn bộ đệm bằng cách tìm kiếm những điểm yếu trong mã hệ điều hành của router. Để tránh tình trạng này, hệ điều hành của bản thân router phải rất ổn định và vững chắc. Juniper đặt rất nhiều quan tâm và nỗ lực nhằm đảm bảo mỗi phiên bản của Junos
được đưa ra đều ổn định và không có lỗi, tuy nhiên một vài hướng dẫn và kỹ thuật sẽ đảm bảo rằng một vài lõi hiếm gặp cũng sẽ không phơi bày router ra cho các cuộc tấn công. Khi cấu hình cho router, EVNTelecom có thể gia tăng độ an ninh cho các router bằng cách làm cứng hóa (hardening) cấu hình hay nói cách khác là dùng các tính năng của bản thân router để thực hiện các chính sách về an ninh. Bằng cách này, gần như mỗi một router đều có thể hoạt động một cách an toàn.
thân router đó; do vậy, việc kiểm soát để đảm bảo việc thay đổi cấu hình trên router trong suốt quá trình hoạt động vẫn phải tuân theo chính sách an ninh đã được đề ra là một điều rất quan trọng nhằm làm giảm nhẹ hay tránh việc cấu hình sai này.
3.8.2 Kiếm soát việc truy cập vào thiết bị
Có hai cách chuẩn để truy cập từ xa vào router là Telnet và SSH. Telnet thường thông dụng hơn vì nó được hỗ trợ trên tất cả các hệ thống. Điểm yếu của telnet là thông tin trao đổi không được mã hóa giữa các đầu kết nối.
SSH cung cấp một kênh liên lạc mã hóa an toàn do vậy rất hữu dụng cho việc quản lý inband của router. Vì vậy sử dụng SSH làm giao thức chính để truy cập từ xa vào các thiết bị cả chiều vào và ra.
Có thể thực hiện việc lọc địa chỉ nguồn để giới hạn chỉ cho phép SSH từ các
địa chỉ cho phép tới các router. Kết hợp với việc chống giả mạo địa chỉ trong nội mạng sẽđảm bảo được việc chống truy cập trái phép vào router.
3.8.3 Hạn chế tấn công từ chối dịch vụ
Các router của Juniper được thiết kế tách biệt phần điều khiển và chuyển mạch dữ liệu. Nếu như phần điều khiển bị tấn công từ chối dịch vụ (DoS), phần chuyển mạch (ví dụ như là PFE) vẫn tiếp tục hoạt động.
Mặc định thì các lưu lượng ICMP sẽ bị giới hạn tốc độ khi gửi tới Routing Engine, việc này sẽ tránh được một số tấn công DoS thông dụng ngay khi router vừa được bật lên và trước khi các giới hạn tốc độ khác được áp dụng. Người khai thác có thể thay đổi hay tinh chỉnh các giới hạn tốc độ này theo yêu cầu và theo điều kiện cụ thể của mạng một cách linh hoạt.
Một tấn công thông dụng thường hay thấy là TCP SYN flood, trong đó kẻ
tấn công sử dụng một đoạn mã để tạo ra yêu cầu kết nối TCP (bản tin SYN) với tốc
độ lớn hơn tốc độ mà mục tiêu tấn công có thể xử lý. Chúng tôi đề nghị giới hạn tốc
độ của các bản tin SYN đến Routing Engine ở mức nhỏ.
Hủy bỏ, chuyển đi, tái tạo, giới hạn tốc độ, thay đổi giá trị ToS, đếm số
lượng các gói giúp cho việc ngăn ngừa một số tấn công và giúp đỡ cho việc liên kết với hệ thống IDS/IDP ở ngoài.
Hệ thống Syslog cho các router trên mạng đóng một vai trò rất quan trọng trong việc phát hiện và khoanh vùng các vấn đề với hệ thống mạng của
EVNTelecom. Tất cả các sự kiện vềđịnh tuyến, lệnh thao tác, truy cập đến router, trạng thái môi trường, các lỗi đều có thể được router gửi đi và ghi nhận lại ở máy chủ Syslog.
Một vấn đề quan trọng trên mạng là phải kiểm soát và khống chế các lưu lượng giả mạo địa chỉ ngay từ nguồn xuất phát ban đầu. Nếu vấn đề này được kiểm soát tốt thì việc truy tìm nguồn gốc tấn công từ nội bộ (vô tình hay cố ý) đều rất dễ
dàng mà không cần áp dụng các kỹ thuật phức tạp khác. Kỹ thuật này được gọi là “Unicast Reversed Forwarding Path”, đều có thể kích hoạt ở trên các router.
Do kiến trúc của router Juniper, việc bảo vệ cho thành phần điều khiển của router là chỉ cần áp firewall filter lên giao diện loopback 0, tất cả các lưu lượng chuyển đến cho Routing Engine sẽ được lọc sạch theo yêu cầu tại tất cả các giao diện WAN.
3.8.4 Xác thực
Trong hệ thống MPBN của EVNTelecom các giao thức OSPF, BGP và LDP
đóng vai trò rất quan trọng, có khả năng ảnh hưởng đến toàn bộ hệ thống mạng. Để đảm bảo an toàn cho bản thân các giao thức định tuyến của router cũng như tránh việc thiết lập neighbour với thiết bị không mong muốn trong mạng, phương thức kiểm chứng MD5 sẽ được bật lên trong tất cả các router trong mạng MPBN với các giao thức này.
3.8.4.1 OSPF
Bảng 3-23 : Tham số xác thực OSPF
Tham số xác thực OSPF
Tham số Giá trị Ghi chú
Key evntel Giá trị minh họa
3.8.4.2 BGP
Bảng 3-24: Tham số xác thực BGP
Tham số xác thực BGP
Tham số Giá trị Ghi chú
Key evntel Giá trị minh họa
3.8.4.3 LDP
Bảng 3-25: Tham số xác thực LDP
Tham số xác thực LDP
Tham số Giá trị Ghi chú
Key evntel Giá trị minh họa
3.8.5 Cấu hình phân quyền quản trị trên hệ thống
Phân quyền quản trị cho từng user với từng class khác nhau, mỗi class được thực hiện một số lệnh hoặc tất cả các lệnh. Điều này giúp tăng cường an ninh mạng vì mỗi user chỉ có một quyền nhất định, người quản trị mạng mới có toàn quyền đối với hệ thống.
Người quản trị có thể phân quyền cho các user, user thuộc class tier1 có tất cả các quyền, user thuộc class tier có quyền cấu hình còn user thuộc class tier3 chỉ
có quyền xem hệ thống. Có thể tạo thêm các class và user với phân quyền riêng để đáp ứng nhu cầu bảo mật của hệ thống
Bảng 3-26: Cấu hình phân quyền quản trị
root-authentication {
encrypted-password "$1$J992jO5j$aorK9NU3NtPmRahb3RQvN0"; ## SECRET-DATA } login { class tier1 { idle-timeout 15; permissions all; } class tier2 { idle-timeout 15;
permissions [ admin clear configure firewall interface maintenance network routing secret snmp system trace view ];
}
class tier3 { idle-timeout 15;
permissions [ firewall interface network routing snmp system trace view ]; }
user user-1 { class tier1; authentication {
encrypted-password "$1$nDkm.EwF$eqw5BGpYUIQq9lUlK36Uk1"; ## SECRET-DATA }
}
user user-2 { class tier2; authentication {
encrypted-password "$1$GJlzZySV$XqZsdFy8/ZmOVbc3qdzZZ."; ## SECRET-DATA }
}
user user-3 { class tier3; authentication {
encrypted-password "$1$36OACN1a$/pqXtixuDL7CDYHaX8yNq0"; ## SECRET-DATA }
} }
3.9Tổng kết chương
Trong chương này, xuất phát từ việc phân tích hiện trạng hệ thống và các kĩ
thuật trong MPLS từđó đưa ra các thiết kế vật lý, thiết kếđịnh tuyến, thiết kế MPLS và QoS, thiết kế bảo mật. Các cấu hình của hệ thống được trình bày làm sáng tỏ tính
đúng đắn của thiết kế khi triển tại khai thực tế. Hệ thống hiện tại đáp ứng được nhu cầu của hệ thống đồng thời có khả năng nâng cấp và phát triển cũng như hỗ trợ các dịch vụ mới trong tương lai. Hiện nay, đểđáp ứng các yêu cầu mới phát sinh thì hệ
thống có thể sẽđược thay đổi khác với thiết kế nhưng nhìn chung mô hình mạng và các thiết kế cơ sở vẫn được giữ nguyên.
KẾT LUẬN VÀ KIẾN NGHỊ
MPLS với những ưu điểm nổi bật bằng khả năng kết hợp giữa định tuyến IP mềm dẻo và công nghệ ATM với khả năng thực hiện chuyển mạch bằng phần cứng tốc độ cao và băng thông lớn. Công nghệ chuyển mạch nhãn đa giao thức đã trở
thành một công nghệ hứa hẹn trong tương lai. Sự kết hợp này không chỉ cung cấp các phương pháp mới bổ sung cho các phương thức chuyển mạch và định tuyến truyền thống hiện tại mà còn là công nghệ hứa hẹn cho các mạng thế hệ tiếp theo.
Từ các ưu điểm nổi bật của MPLS, công nghệ này đã được ứng dụng vào việc thiết kế mạng lõi mới cho EVNTELECOM. Công nghệ MPLS đáp ứng được các yêu cầu về hội tụ dịch vụ trên một nền tảng, các yêu cầu về tính riêng tư, tự bảo vệ và hồi phục mạng. Mạng lõi mới đảm bảo được nhu cầu phát triển và mở rộng mạng lưới, đảm bảo độ dự phòng, an ninh mạng đồng thời đảm bảo được chất lượng dịch vụ cho các ứng dụng trong mạng.
Thực tế triển khai mạng lõi sử dụng công nghệ MPLS đã cho thấy tính đúng
đắn của thiết kế trong quá trình sử dụng và vận hành. Mạng lõi được triển khai đã
đáp ứng được yêu cầu của tổ chức và có khả năng phát triển nâng cấp, đón đầu các xu thế phát triển dịch vụ trong tương lai.
Luận văn có hai hướng phát triển. Thứ nhất là bài toán tối ưu mạng khi số
lượng người dùng tăng lên, các dịch vụ yêu cầu băng thông lớn và kết nối mạng lõi với mạng metro ethernet. Hướng phát triển này sẽ tập trung nghiên cứu các kĩ thuật lưu lượng, giải pháp cache cũng như nâng cấp băng thông hệ thống. Hướng phát triển thứ hai là tận dụng tối đa năng lực của mạng lõi không những đáp ứng được nhu cầu hệ thống mà còn phát triển dịch vụ cho thuê kênh, làm trung chuyển giữa các khách hàng, các nhà cung cấp mạng. Khi đó cần đi sâu nghiên cứu các kĩ thuật
TÀI LIỆU THAM KHẢO
[1] Trung tâm thông tin Bưu điện , Công nghệ chuyển mạch nhãn đa giao thức MPLS, Nhà xuất bản Bưu điện, Hà Nội, 2003
[2] David McDysan, Dave Paw, ATM & MPLS: Theory and Application,
McGrawHill, 2002
[3] Cornelis Hoogendoom, Next Generation Networks and VoIP, 2002
[4] Neill Wilkinson. Next Generation Services - Technologies and Strategies, John Wiley & Sons Ltd, 2002.
[5] Luc De Ghein, MPLS Fundamentals, CiscoPress, 2006
[6] RFC 3031: Multiprotocol Label Switching Architecture
[7] RFC 3032: MPLS Label Stack Encoding (updated by RFC 3443, RFC 4182) [8] RFC 3036: LDP Specification
[9] RFC 2702: Requirements for Traffic Engineering Over MPLS [10] RFC 3469: Framework for MPLS-based Recovery
[11] RFC 4271: A Border Gateway Protocol 4 (BGP-4) [12] Website: http://evntelecom.com.vn/
[13] Website: http://w4.siemens.de/ct/en/technologies/ic/beispiele/mpls/index.html
[14] Website: www.juniper.net/