Truyền tunnel là cụng nghệ quan trọng nhất để xõy dựng cỏc IP VPN. Truyền tunnel bao gồm đúng bao (encapsulation) một số gúi số liệu vào cỏc gúi khỏc theo một tập quy tắc được ỏp dụng cho cả hai đầu cuối của tunnel. Kết quả là nội dung được đúng bao trong tunnel khụng thể nhỡn thấy đối với mạng cụng cộng khụng an ninh nơi cỏc gúi được truyền. Cần lưu ý rằng một tunnel cú thể cú nhiều điểm cuối khi sử dụng địa chỉ nhận đa phương (Multicast).
IP Tunnel Một chặng Kết nối vật lý Internet Mạng riờng A C Y Z
Hỡnh 2.1. Truyền tunnel trong nối mạng riờng ảo
Khỏi niệm truyền tunnel được ỏp dụng cho nối mạng riờng ảo được trỡnh bầy trờn hỡnh 2.1. Trờn hỡnh này, cỏc gúi được gửi đi từ mỏy trạm A đến mỏy trạm Z phải qua rất nhiều chuyển mạch và router. Nếu router C đúng bao gúi đến từ mỏy A và cổng Y mở bao gúi, thỡ cỏc nỳt khỏc mà gúi này đi qua sẽ khụng nhận biết được gúi đúng bao "bờn ngoài" này và sẽ khụng thể biết được phần tải tin cũng như địa chỉ điểm nhận cuối cựng của nú. Bằng cỏch này, tải tin của gúi được gửi giữa C và Y sẽ chỉ được nhận biết bởi hai nỳt mạng này và cỏc mỏy A, Z là nơi khởi đầu và kết cuối lưu lượng. Điều này tạo ra một cỏch hiệu quả một "tunnel" mà qua đú cỏc gúi được truyền tải với mức an ninh mong muốn.
Cú thể định nghĩa tunnel bởi cỏc điểm cuối của nú, cỏc thực thể mạng nơi thỏo bao và giao thức đúng bao được sử dụng. Cỏc kỹ thuật truyền tunnel hỗ trợ cỏc VPN như L2TP hay PPTP được sử dụng để đúng bao cỏc khung lớp liờn kết (PPP). Tương tự cỏc kỹ thuật truyền tunnel như IP trong IP và cỏc chế độ IPSec được sử dụng để đúng bao cỏc gúi lớp mạng.
Theo ngữ cảnh nối mạng riờng ảo, truyền tunnel cú thể thực hiện ba nhiệm vụ chớnh sau:
+ Đúng bao.
+ Tớnh trong suốt đỏnh địa chỉ riờng.
+ Toàn vẹn số liệu đầu cuối-đầu cuối và tớnh bảo mật.
Tớnh trong suốt đỏnh địa chỉ riờng cho phộp sử dụng cỏc địa chỉ riờng trờn hạ tầng IP nơi cho phộp đỏnh địa chỉ cụng cộng. Vỡ cỏc nội dung của gúi được truyền tunnel và cỏc thuộc khỏc như cỏc địa chỉ, chỉ cú thể được hiểu từ bờn ngoài cỏc điểm đầu cuối tunnel, đỏnh địa chỉ IP riờng hoàn toàn được che đậy khỏi cỏc mạng IP cụng cộng bằng cỏch sử dụng cỏc địa chỉ hợp lệ (hỡnh 2.2).
Mạng riờng Internet Mạng riờng
Địa chỉ riờng Địa chỉ cụng cộng Địa chỉ riờng
Hỡnh 2.2. Che đậy địa chỉ IP bằng tunnel
Cỏc chức năng toàn vẹn và bảo mật đảm bảo rằng một kẻ khụng được phộp khụng thể thay đổi cỏc gúi truyền tunnel của người sử dụng và nhờ vậy nội dung của gúi được bảo vệ chống truy nhập trỏi phộp. Ngoài ra theo tuỳ chọn, truyền tunnel cú thể bảo đảm sự toàn vẹn của tiờu đề gúi IP bờn ngoài, vỡ thế sẽ đảm bảo nhận thực nguồn gốc số liệu. Chẳng hạn trong IP VPN cú thể sử dụng tiờu đề IPSec AH (Authentication Header) để bảo vệ cỏc địa chỉ IP của cỏc đầu cuối tunnel. Tuy nhiờn trong truyền thụng số liệu, những trường hợp này khụng được xem là vấn đề quan trọng và thực tế nhiều cổng VPN thậm chớ khụng ỏp dụng AH. Lớ do là nếu gúi truyền tunnel của người sử dụng được bảo vệ bởi ESP và gúi này được mật mó húa bằng cỏch sử dụng phõn phối khúa an ninh, cỏc kỹ thuật quản lý cũng như cỏc giải thuật khụng dễ bị phỏ vỡ như 3DES (Triple Data Encryption Standard), thỡ mọi mục đớch thay đổi địa chỉ IP để chặn hoặc để gửi lưu lượng đều thất bại. Vỡ thế cỏc điểm cuối được sử dụng với ý đồ xấu sẽ khụng cú cỏch nào tham dự vào liờn kết an ninh dựa trờn ESP IPSec (Encapsulation Security Payload). Do vậy, mặc dự việc biện phỏp đảm bảo an ninh dễ dàng được nhận ra nhưng khú cú thể chuyển đổi được số liệu bị đỏnh cắp. Đõy là điều mà cỏc khỏch hàng VPN quan tõm và cũng là lý do việc sử dụng AH cũn hạn chế.
Lưu ý rằng AH vẫn hữu ớch khi cần cung cấp thụng tin điều khiển thiết lập tunnel. Vớ dụ để bảo vệ cỏc bản tin đăng ký MIP (Mobile IP) thỡ sử dụng AH là bắt buộc.
Khi ỏp dụng truyền tunnel để tạo lập một Mobile VPN, bốn chức năng (đúng bao, trong suốt đỏnh địa chỉ riờng, toàn vẹn số liệu đầu cuối-đầu cuối và bảo mật) phải đi kốm với một tập cỏc cơ chế để đảm bảo chuyển mạch tunnel động hay thiết lập lại nhằm hỗ trợ tớnh di động của người sử dụng VPN. Trong chương này chỳng ta sẽ bàn luận chi tiết về yờu cầu bổ sung này. Cỏc hệ thống số liệu gúi dựa trờn di động hiện đại như GPRS, UMTS và cdma 2000, sử dụng cơ chế truyền tunnel GTP hay MIP. GTP và MIP được thiết kế để hỗ trợ di động. Tunnel di động dựa trờn cỏc cụng nghệ này cú thể được múc nối với cỏc tunnel tĩnh tại biờn của cỏc mạng vụ tuyến để cung cấp đa dạng cỏc kiến trỳc MVPN.
Đỏnh nhón (MPLS) và VPN
MPLS cho phộp định tuyến cỏc gúi IP qua đường trục IP dựa trờn địa chỉ IP khụng phải của nơi nhận cuối cựng. Một trong cỏc ứng dụng của MPLS là kỹ thuật điều khiển
lưu lượng - định tuyến cỏc gúi trờn cỏc tuyến được quyết định bởi tiờu chuẩn khỏc với chỉ định tuyến IP tối ưu, dựa trờn nhu cầu cung cấp một số mức QoS nào đú, hay chọn cỏc liờn kết chi phớ tối thiểu (minimum-cost) hoặc định tuyến trờn cỏc liờn kết ớt được sử dụng để chia sẻ tải. Một ứng dụng quan trọng khỏc của MPLS là cung cấp cỏc dịch vụ VPN dựa trờn mạng (network-based) giữa cỏc mạng khỏch hàng cú nhiều site hay cũn gọi là cỏc VPN đa site (xem hỡnh 2.3). VPN dựa trờn mạng là một dịch vụ do nhà cung cấp dịch vụ cung cấp qua PE (Provider Edge) đến cỏc mạng khỏch hàng. Cỏc router PE thường nối đến cỏc site khỏch hàng qua cỏc router CE (Customer Edge) bằng cụng nghệ lớp 2 hay truyền tunnel cũng như MPLS.
Mạng nhà cung cấp dịch vụ Site khỏch hàng CPE PED PED PCD Site khỏch hàng lớn PED Cỏc router CPE khỏc
CPE: Customer Premises Equipment - Thiết bị đặt tại khỏch hàng PED: Provider Edge Device - Thiết bị biờn nhà cung cấp
PCD: Provider Core Device - Thiết bị lừi nhà cung cung cấp VC: Kờnh ảo
Hỡnh 2.3. VPN đa site dựa trờn mạng của nhà cung cấp dịch vụ
Sử dụng MPLS để cung cấp cỏc dịch vụ VPN liờn quan đến khả năng điều khiển thiết lập cỏc LSP (Label switched Path) thụng qua một giao thức phỏt hiện/phõn phối thành viờn của VPN site hiệu quả. Cú hai trường phỏi chớnh về việc sử dụng MPLS để cung cấp cỏc VPN. Một trường phỏi cho rằng cần sử dụng một router PE hoàn toàn được điều khiển bởi nhà cung cấp và được trang bị nhiều bảng định tuyến, ta gọi phương phỏp này là phương phỏp router đơn thuần. Trường phỏi thứ hai cho rằng PE router phải hoạt động dựa trờn cỏc router ảo và rằng cỏc khỏch hàng phải cú khả năng điều khiển chỳng ở mức độ nào đú. Ta sẽ khụng kết luận phương phỏp nào là tốt nhất, vỡ thực tế sẽ quyết định khi nào thỡ sử dụng phương phỏp nào là hợp lý. Tuy nhiờn ta sẽ phõn tớch ưu khuyết của từng phương phỏp.
Phương phỏp router PE đơn thuần dựa trờn khả năng của mỗi router hỗ trợ một bảng định tuyến cho một VPN site và mỗi bảng định tuyến này sẽ quảng cỏo về cỏc tuyến trong nội miền (intradomain) giữa cỏc site mạng khỏch hàng bằng cỏch sử dụng giao thức IBGP (Internet Border Gateway Protocol) và cỏc tuyến liờn miền (Interdomain) bằng cỏch sử dụng BGP. Trong trường hợp một tiền tố mạng thuộc một site nào đú chồng lấn lờn một tiền tố khỏc của một site khỏc được quảng cỏo bởi cựng một router PE, tuyến này sẽ đi kốm với phõn biệt tuyến để tạo nờn họ địa chỉ IPv4 VPN. Tuyến này cú thể được liờn kết tới hai thuộc tớnh BGP bổ sung: thuộc tớnh VPN đớch (Target VPN)
và thuộc tớnh VPN nguồn (VPN of Origin), để xõy dựng bộ lọc dựa trờn cỏc chớnh sỏch. Bộ lọc này được sử dụng để lập cấu hỡnh cỏc VPN dựa trờn cỏc PE. Nhón đi cựng với tuyến cũng được quảng cỏo và PE router chứa địa chỉ IP của nú ở dạng chặng BGP tiếp theo. Nhón này được sử dụng như nhón bờn trong của một ngăn xếp nhón, cho phộp gúi IP được gửi từ PE này đến PE khỏc và định tuyến gúi đến CE router dựa trờn giỏ trị của nhón. Phương phỏp này trỡnh bầy trong [RFC2547], được sử dụng rộng rói bởi nhà cung cấp mạng hàng đầu Cisco Systems.
Với cỏch tiếp cận router ảo (VR), PE router hỗ trợ cỏc router hoạt động dựa trờn phần mềm được gọi là cỏc router ảo, mỗi router này chịu trỏch nhiệm về một site mạng khỏch hàng. Do VR hoạt động như một router thụng thường, cỏc khỏch hàng cú thể quản lý nú và lập cấu hỡnh cỏc FEC (Forwading Equivalence Classes) cho nú. Mỗi PE VR trực thuộc một VPN riờng cú thể phỏt hiện cỏc VR khỏc thụng qua OA&M, cỏc phương phỏp dựa trờn danh mục hay phương phỏp BGP cú thể tham khảo trong [RFC2547].
Chẳng hạn, cú thể hỡnh dung rằng một nhà khai thỏc GPRS khụng chỉ quản lý truy nhập vụ tuyến mà cũn quản lý GGSN của họ hoạt động như một CE của giao thức BGP MPLS và sử dụng cỏc MPLS VPN để chia mạng thành cỏc VPN dành cho cỏc dịch vụ khỏc nhau. Một nhà khai thỏc GPRS cú thể quyết định tạo lập một MPLS VPN cho cỏc dịch vụ số liệu gúi nội miền để cung cấp cho cỏc thuờ bao khụng chuyển mạng và một VPN cho cỏc thuờ bao chuyển mạng. Cỏch này cú ưu điểm là tối tiểu húa sử dụng cỏc tài nguyờn đường trục giữa cỏc PLMN (chẳng hạn cỏc địa chỉ IP cho cỏc khối GRX được ấn định cho nhà cung cấp khai thỏc liờn mạng PLMN).