RSVP là giao thức trạng thái mềm (soft-state), tiến trình phát một bản tin PATH và bản tin RESV hồi đáp tương ứng phải được định kỳ làm tươi, thường khoảng 30s
một lần. Phương pháp làm tươi này để phòng các bản tin bị mất và trong trường hợp
định tuyến từng chặng sẽ tự động chuyển dự trữ tài nguyên sang đường mới khi có
bất kỳ thay đổi định tuyến IP. Tất nhiên, việc xử lý dành cho khởi tạo các bản tin
PATH và RESV lớn hơn nhiều so với việc làm tươi trạng thái một bản tin đã nhận
trước đó, tuy nhiên với một số lượng lớn các LSP thì việc xử lý làm tươi có ảnh
hưởng đáng kể đến hiệu năng.
Một cách để giải quyết là tăng chu kỳ làm tươi, nhưng cũng sẽ làm tăng độ trễ
báo hiệu khi mất bản tin. RFC 2961 đặc tả một giải pháp cho hạn mức xử lý và vấn
để trễ báo hiệu. Cơ chế này bao gồm việc bó gọn bản tin để giảm tải xử lý, cũng như các cách để router dễ dàng nhận dạng một bản tin không thay đổi hơn. Việc hồi báo
bản tin cũng được bổ sung để chuyển tải tin cậy bản tin RSVP và xử lý trường hợp
mất các bản tin PATH TEAR và RESV TEAR vì hai bản tin này không được làm tươi trong hoạt động RSVP. Cuối cùng, giải pháp này định nghĩa một bản tin tổng
kết (summary) để làm tươi trạng thái mà không yêu cầu truyền toàn bộ bản tin làm tươi. Các cải tiến này nhằm giảm lượng overhead làm tươi của RSVP trong mạng
MPLS.
Chương 3 Tổng quan VPN và MPLS VPN
CHƯƠNG 3
TỔNG QUAN VPN VÀ MPLS VPN
3.1 Cấu trúc mạng riêng ảo VPN ( Virtual Private Network)
3.1.1 Tổng quan
Về mặt lịch sử, mạng diện rộng (WAN) tư nhân được cung cấp bởi các kết nối leased line chuyên dụng tạo ra kết nối point-to-point (điểm đến điểm) giữa 2 trạm khách hàng. Những mạng như thế thì quá đắt để lắp đặt, đặc biệt là nếu các kết nối giữa các trạm cần hỗ trợ một số đường dự trữ.
Mạng riêng ảo (VPNỞVirtual Private Network), là một giải pháp, trong đó một mạng mà các kết nối của khách hàng trên các vùng được dùng trên một cơ sở hạ
tầng chung. VPN có thể kết nối giữa hai hệ thống đầu cuối hoặc giữa hai hay nhiều mạng.VPN có thể được xây dựng dùng đường hầm và sự mã hoá. Mạng này đối với
người dùng là mạng riêng, cung cấp khả năng và chắnh sách như một mạng riêng. Một mạng riêng ảo có thể xây dựng dựa trên kỹ thuật lớp 2 truyền thống như frame
relay hay ATM.
3.1.1 Mô hình mạng ảo (Virtual Network Models)
Hình 3.1: Mô hình mạng ảo Đồ án tốt nghiệp Trang 55
Chương 3 Tổng quan VPN và MPLS VPN (adsbygoogle = window.adsbygoogle || []).push({});
Các loại đồ hình VPN (VPN topology) Hub and spoke (mạng hình sao)
*._ Mỗi nhánh liên lạc trực tiếp với điểm trung tâm *._ Phù hợp với luồng dữ liệu của nhiều công ty
" Trung tâm xử lý dữ liệu chắnh đặt ở trung tâm
+ Định tuyến chỉ là phụ + Số lượng đường hầm nhỏ
Ộ Khó cấu hình bằng tay * Trung tâm có thể nghẽn cổ chai
Mesh
*. Số lượng đường hầm lớn = Dễ dàng cấu hình bằng tay + Định tuyến được tối ưu nhất Overlay Network (Mạng chồng lấn)
*_ Dịch vụ (được quản lý) dựa trên IPsec
+. Nhiều đường hầm có nhiều mắt lưới (highly mesh) riêng biệt ". Mỗi VPN gateway phải biết mỗi VPN gateway khác
rA (FR, ATM, etc.)
Hình 3.2: Mô hình mạng chông lấn (Overlay Network)
Ở
Chương 3 Tổng quan VPN và MPLS VPN
Peer to peer Model (kiểu ngang hàng)
* Mạng MPLS
*_ Mỗi VPN gateway chỉ biết router public ngang hàng của nó
"_ Trao đổi thông tin định tuyến
"_ Mạng nhà cung cấp dịch vụ phổ biến thông tin định tuyến
* Mạng public route traffic giữa các gateway của cùng một VPN.
. Provider ca (MPLSAPN) Hình 3.3: Mô hình mạng publc
3.1.2 Các yêu cầu cho VPN :
RFC 2764 định nghĩa một cấu trúc chung cho các VPN dựa trên nên IP, bao
gồm các yêu cầu cho một giải pháp VPN.
Việc truyền dữ liệu không trong suốt giữa các trạm VPN, bởi vì khách hàng (adsbygoogle = window.adsbygoogle || []).push({});
có thể dùng các giao thức không IP hay các địa chỉ IP được quản trị cục bộ
không duy nhất ngang qua mạng của nhà cung cấp dịch vụ.
Bảo mật của việc truyền dữ liệu qua VPN tránh được sự sai lệch, sự thay
đổi, sự quấy phá hay rình mò dữ liệu của khách hàng.
QoS đảm bảo việc đáp ứng các yêu cầu kinh doanh của khách hàng về mặt băng thông, sử dụng và dự trữ.
Chương 3 Tổng quan VPN và MPLS VPN
3.1.3 Phân loại VPN :
Có 4 loại VPN được định nghĩa trong REC 2764 đó là :
+ Virtual Leased Line (VLL) cung cấp các đường kết nối điểm - điểm
định hướng kết nối giữa các trạm VPN. Khách hàng nhận mỗi VLL
như là một đường riêng (vật lý) mang tắnh chuyên dụng, mặc dù thực
tế nó được cung cấp bởi một đường hầm IP đi qua mạng trục
(backbone). Giao thức đường hầm IP tận dụng một VLL có khả năng chuyển tải bất kỳ giao thức nào mà khách hàng sử dụng giữa các trạm
được kết nối bằng VLL đó.
* Virtual Private LAN Segment (VPLS) cung cấp một LAN mô phỏng giữa các trạm VPLS. Như với các VLL, thì một VPLS VPN đòi hỏi sử
dụng các đường hầm IP trong suốt đối với các giao thức được chuyển
tải trên LAN mô phỏng đó. LAN có thể được mô phỏng bằng cách
dùng một đường hầm đạng lưới (mesh) giữa các trạm khách hàng hay bằng việc ánh xạ mỗi VPLS đối với một địa chỉ IP multicast riêng biệt.
* Virtual Private Routed Networks (VPRNs) mô phỏng một mạng được
route dựa trên IP chuyên dụng giữa các trạm khách hàng. Mặc dù một VPRN nhưng nó phải chuyển tải lưu lượng IP được đối xử như một routing domain riêng biệt từ mạng của nhà cung cấp bên dưới, bởi vì VPRN có khả năng dùng các địa chỉ IP được ấn định bởi không
phải duy nhất một khách hàng. Mỗi mạng của khách hàng nhận thấy
rằng bản thân nó hoạt động cách ly và tách rời khỏi mạng Internet Ở
Vì vậy nó tự do gán các địa chỉ IP bằng bất cứ kiểu nào mà nó thắch. Các địa chỉ này không được quảng bá ra ngoài VPRN bởi vì chúng
không được đảm bảo là duy nhất và rộng hơn nhiều so với bản thân
VPN.
* Virtual Private Dial Neworks (VPDNs) cho phép các khách hàng
đồng ý cho SP sự cung cấp và quản lý quay số vào truy xuất vào các mạng của họ. Thay vì mỗi khách hàng thiết lập các server truy xuất
của riêng mình và dùng các phiên PPP giữa một vị trắ trung tâm và các user ở xa, SP cung cấp một hay nhiều server chia sẻ việc truy xuất. Các phiên PPP cho mỗi VPDN được đi qua đường hầm từ server (adsbygoogle = window.adsbygoogle || []).push({});
truy xuất của SP đến một điểm truy xuất vào mạng của mỗi khách
hàng được gọi là bộ truy xuất tập trung (access concentrator).
Chương 3 Tổng quan VPN và MPLS VPN
Loại VPN cuối cùng cung cấp ở dạng truy xuất đặc biệt đến một mạng
khách hàng. IETF đã chỉ định giao thức đường hầm lớp 2 (L2TP), được thiết
kế rõ ràng để cung cấp các khả năng chứng thực và ghép kênh bắt buộc cho
việc mở rộng các phiên PPP từ một bộ xử lý tập trung L2TP của khách hàng (LAC) đến L2TP Network Server (LứS). mặt phẳng điều khiển).
3.1.4 Giao thức đường hầm VPN :
Giao thức đường hầm được sử dụng cho VPNs là IPsec, IP-in-IP, L2TP,
GRE, và MPLS :
IP Security ( IPSec), được phát triển bởi IETF, IPSec là chuẩn mở mà đảm
bảo việc bảo mật truyền dẫn và chứng thực user trên mạng công cộng. Không như các kỹ thuật mã hoá khác, hoạt động IPSec tại lớp mạng (Network) của mô hình OSI bảy lớp. Vì vậy, nó có thể được bổ sung một cách độc lập các ứng
dụng đang chạy trên mạng. Kết quả là mạng có thể được bảo mật mà không cần bổ sung và bảo mật kết hợp cho mỗi ứng dụng riêng.
+. Hơn nữa lợi ắch khác của IPsec là nó là không kết nối - một đường hầm
IPsec giữa các thiết bị PE không dùng bất kỳ tài nguyên nào trong các P
router. Trạng thái duy nhất đòi hỏi là một số thông tin bảo mật bị chia sẻ (một Ộ sự kết hợp bảo mật Ộ) giữa các thiết bị PE, mà có thể được cấu hình bằng tay hay được phân phối tự động (vắ dụ dùng IKE).
* Mặt hạn chế là không có việc phân tách tự nhiên đối với các đường
IPsec, mặc dù có khả năng giải quyết sự thiếu sót này chẳng hạn như việc chạy MPLS thông qua đường hầm IPsec.
+ Thậm chắ không xem xét các ứng dụng đường hầm, thì IPsec có thể hữu
ắch cho bất kỳ VPN nào. Bất kể VPN nào mà bạn dùng, khi bạn đang gởi
traffic nhạy cảm giữa các site thì bạn cần sự bảo mật tránh việc xâm
phạm bằng cách dùng chế độ transport IPsec thông qua transport bên
dưới.
Point-to-Point Tunneling Protocol( PPTP): Phát triển bởi Microsoft, 3COM, và Ascend Communications, PPTP được đưa ra như là sự lựa chọn với IPSec.
Tuy nhiên, IPSec vẫn còn giao thức đường hầm ưa chuộng. PPTP hoạt động tại
(adsbygoogle = window.adsbygoogle || []).push({});
Chương 3 _ Tổng quan VPN và MPLS VPN
lớp 2 của mô hình OSI và được dùng cho bảo mật truyền dẫn của lưu thông trên nên Windows.
Layer 2 Tunneling Protocol( L2TP) : Được phát triển bởi Cisco Systems,
L2TP đưa ra nhằm thay thế IPSec như là giao thức đường hầm thực tế. Hiện nay
L2TP3 (layer Tuneling Protocol version 3) là một giao thức được thiết kế cho việc đào đường hầm cho thông tin lớp 2 ngang qua một mạng lớp 3. Điều không lấy làm ngạc nhiên khi nó là giao thức đặc biệt hữu ắch cho các VPN lớp 3.
Thật may mắn cho nhà cung cấp VPN, là tắnh mở rộng tốt Ở các đường hầm chỉ dùng các tài nguyên ở 2 đầu đường hầm và các đường hầm có thể được
ghép. Mặc dù L2TP không có bất kỳ việc xây dựng trong bảo mật, nhưng L2TP
có thể được chạy thông qua chế độ transport IPsec, cung cấp một mức độ có lợi
về bảo mật cho VPN lớp 2.
The Generic Routing Encapsulation (GRE) protocol được định nghĩa trong
RFC1701, nhưng sau đó được cập nhật trong RFC2784 với ắt chức năng hơn. Để sử dụng đơn giản, GRE cho phép bạn tạo đường hầm đa giao thức.
+ Cách dùng GRE quan trọng trong thuật ngữ VPN là để chuyển tải IP
trong IP. Như với RFC2003, điều này có thuận lợi là không cần để báo hiệu bất kỳ kết nối nào và không có các tài nguyên nào được dùng bởi đường hầm GRE.
Ở một mức độ nhất định, nó tương tư như các đặc tắnh của RFC2003 IP-
in-IP. Tuy nhiên, có một sự khác biệt chắnh. Các mở rộng cho GRE được
mô tả trong RFC2890 cho phép việc ghép kênh các đường hầm GRE.
Điều này cho phép chúng ta thiết lập đữ liệu đường hầm từ nhiều VPNs dùng GRE mà không cần làm giảm số lượng các địa chỉ IP không sử
dụng cồn lại.
MPLS là một công nghệ được chuẩn hóa bởi IETF cung cấp việc chuyển
tiếp dữ liệu tốc độ cao và dự trữ băng thông.
*+ Nguyên tắc chắnh là các gói được chuyển tiếp thông qua một MPLS
tunel bằng chuyển mạch dựa trên các nhãn được gán, mà không xem xét
nội dung của header IP. Node đầu vào thêm một nhãn vào gói và các gói
sau chuyển tiếp dựa trên interface và nhãn đi vào, gởi gói này đến node
kế với một giá trị nhãn mới. Node cuối trong đường hầm MPLS loại bỏ
Chương 3 Tổng quan VPN và MPLS VPN
nhãn trước khi chuyển tiếp gói đến đắch đến cuối cùng của nó. Con đường để chuyển tiếp dữ liệu gọi là đường dẫn chuyển mạch nhãn
(LSP). (adsbygoogle = window.adsbygoogle || []).push({});
+ Một trong các lợi ắch của MPLS là có khả năng thiết lập các LSP bên trong các LSP bên trong. Việc đào đường hầm một LSP xuyên qua một -_ LSP khác đơn giản là thêm nhãn khác vào Ộngăn xếp nhãnỢ (tập hợp các nhãn được gắn vào gói). Khi gói đi tới, thì nó được chuyển mạch bằng
cách dùng nhãn bên ngoài. Ở đầu cuối của LSP, nhãn bên ngoài được lấy
ra khỏi, và gói được chuyển mạch bằng việc dùng nhãn bên ngoài mới.
* Thuận lợi khác của MPLS như một công nghệ đường hầm VPN là việc
thiết kế lưu lượng MPS có thể. dành các tài nguyên cho một LSP. Điều
này lợi cho khách hàng với một VPN dựa trên MPLS, đảm bảo lượng băng thông.
+ Điều duy nhất là khách hàng không cần lo lắng về bảo mật của VPN. Tuy nhiên, một sự phân tắch tắnh bảo mật của VPNs dùng các đường hầm
MPLS đã trình bày tắnh bảo mật thì tương tự như bảo mật cho bởi khi
các site VPN được kết nối dùng các kết nối ảo ATM/ Frame Relay. Đặc
biệt, dữ liệu được giữ riêng tư như với ATM và Frmae Relay, các vấn để mạng có thể gây nên sự mất gói, nhưng không có khả năng dẫn đến việc
các gói bị phân phối sai đắch đến. Mặt khác, nó vẫn còn sự dè chừng để mã hóa bất kỳ dữ liệu nhạy cảm nào.
Như vậy, IPSec vẫn còn tiếp tục là protocol chiếm ưu thế cho việc bảo mật thông tin trên Internet. L2TP là sự kết nối Layer 2 Forwarding( L2F) và PPTP
và được dùng để đóng gói khung theo giao thức Poini-to-Point Protocol( PPP)
để gởi trên mạng X.25, FR và ATM. 3.1.5 Ưu điểm của mạng VPN :
VPNs có những ưu điểm hơn mạng truyền thống hay lease line. Bao gồm
những ưu điểm nổi bật của VPN được đưa ra bởi Meeta Gupta và Dave Kosiur
như sau:
+ Giảm chi phắ thực hiện : Chi phắ cho mạng VPN thấp hơn so với giải pháp truyền thống, mà dựa trên kết nối lease line, Frame Relay, ATM,
Chương 3 Tổng quan VPN và MPLS VPN
hay ISDN. Do VPNs lại trừ kết nối khoảng cách dài và được thay thế bởi.
kết nối cục bộ để mang thông tin trên mạng ISP.
+ Giảm chỉ phắ quản lý và chi phắ nhân viên : Nhờ giảm đáng kể khoảng cách dài các chi phắ viễn thông, VPNs giảm chi phắ hoạt động mạng
WAN. Thêm vào đó, các tổ chức có thể giảm toàn bộ chi phắ của mạng nếu thiết bị WAN được dùng trong VPNs mà được quản lý bởi các nhà
ISP.
+ Làm tăng khả năng kết nối. Thuê VPNs trên Internet cho đa kết nối giữa
các bộ phận ở xa của intranet, vì Internet có khả năng truy cập toàn cầu, thậm chắ các chi nhánh văn phòng ở xa, người sử dụng, người sử dụng di động ( nhân viên bán hàng) có thể dễ dàng truy cập intranet của tập
đoàn.
* Bảo mật : Bởi vì VPNs dùng công nghệ đường hầm để truyền dữ liệu (adsbygoogle = window.adsbygoogle || []).push({});
trên mạng Internet công cộng, trao đổi dữ liệu được bảo mật ở một quy mô nào đó. Ngoài ra, với công nghệ đường hầm, VPNs dùng để đo lường quy mô bảo mật, như mã hoá, chứng thực, quyền tác giả để đảm bảo an
toàn , tin cậy và tắnh toàn vẹn của việc truyền dữ liệu. Và kết quả, VPNs được xem xét ở mức độ cao cho việc bảo mật.
* Sử dụng băng thông hiệu quả: Trong trường hợp kết nối Internet lease line, băng thông bị lãng phắ khi không có hoạt động kết nối Internet.
VPNs, tạo một đường hầm logic, để truyền dữ liệu khi có yêu cầu, kết
quả là băng thông mạng chỉ sử dụng khi có hoạt động kết nối Internet. Do đó, tránh gây việc lãng phắ băng thông.
* Nâng cao tắnh tỉ lệ : Vì VPNs dựa trên nền Internet, chúng cho phép
mạng cục bộ của tập đoàn có thể mở rộng và phát triển khi có nhu cầu, với chi phắ thấp nhất cho thiết bị mở rộng. Điều này làm cho VPNs mang
tắnh tỉ lệ và thắch nghi trong tương lại.
Chương 3 Tổng quan VPN và MPLS VPN Hình 3.4: Mô hình mạng VPN 3.1.6 Tổn tại của mạng VPN
Ngoài những ưu điểm trên, VPNs tổn tại một số khuyết điểm.