Mặc dù IPSec đã sẵn sàng đưa ra các đặc tính cần thiết cho việc bảo mật một VPN thông qua mạng Internet nhưng nó vẫn còn trong giai đoạn phát triển để hướng
68
tới hoàn thiện. Tất cả các gói được sử lý theo IPSec sẽ làm tăng kích thước gói tin do phải thêm vào các tiêu đề IPSec làm cho thông lượng của mạng giảm xuống. Điều này có thể được giải quyết bằng cách nén dữ liệu trước khi mã hóa, nhưng điều này chưa được chuẩn hóa.
- IKE vẫn là công nghệ chưa được chứng minh. Phương thức chuyển khoá bằng tay lại không thích hợp cho mạng có số lượng lớn các đối tượng di động.
- IPSec được thiết kế chỉ để điều khiển lưu lượng IP mà thôi.
- Việc tính toán cho nhiều giải thuật trong IPSec vẫn cồn là một vấn đề đối với các trạm làm việc và máy PC cũ.
- Việc phân phối các phần cứng và phần mềm mật mã vẫn còn bị hạn chế đối với chính phủ một số nước.
- Sử dụng IPSec ở chế độ đường hầm cho phép các nút có thể có những địa chỉ IP không hợp lệ nhưng vẫn có thể liên lạc được với các nút khác. Nhưng khi chuyển xuống bảo mật mức Host thì các địa chỉ đó phải được quản lý cẩn thận sao cho nhận dạng được nhau.
69
CHƯƠNG 3SO SÁNH MẠNG CÓ VÀ KHÔNG SỬ DỤNG KỸ THUẬT
MẠNG RIÊNG ẢO VPN (CÓ MÔ PHỎNG) 3.1 Mô hình khảo sát
Để đánh giá hiệu quả của kỹ thuật mạng riêng ảo VPN, trong phạm vi của luận văn, sử dụng sơ đồ cấu trúc mạng như sau.
KHÁCH HÀNG P1_R1 P2_R2 PE1_R3 PE2_R4 CE2_R6 CE1_R5 e0/0 e0/1 e0/0 e0/1 e0/0 e0/1 e0/0 e0/0 e0/2 e0/1 e0/2 e0/0 e0/2 Truyền hình Máy tính IP Phone SW-1 SW-2 NHÀ CUNG CẤP DỊCH VỤ KHÁCH HÀNG SITE 1 SITE 2
SƠ ĐỒ ỨNG DỤNG CÁC KỸ THUẬT VPN TRONG MẠNG THỰC TẾ
Truyền hình
Máy tính IP Phone
e0/2 OSPF AREA 0
L2TP
GRE+IPsec
OSPF AREA 1 OSPF AREA 2
Hình 3. 1: Mô hình mạng sử dụng Kỹ thuật mạng riêng ảo VPN
Với sơ đồ trên, ta sử dụng 04 router đóng vai trò mạng chuyển mạch của một nhà cung cấp dịch vụ. Trong đó: Các router P1, P2 là các router chuyển mạch lõi; hai router PE1 và PE2 đóng vai trò thiết bị định tuyến lớp biên kết nối với các router của khách hàng.
Các thiết bị định tuyến trên mạng lưới sử dụng định tuyến động OSPF với vai trò là một giao thức định tuyến nội vùng, trong đó giữa các router P và PE là vùng OSPF 0 (area 0), giữa PE và CE (CE1 và CE2) là vùng OSPF 1, 2 (area 1, 2). Mạng chuyển mạch lõi được cấu hình MPLS sẵn sàng triển khai VPN, QoS, TE sao cho phù hợp yêu cầu khách hàng. Vùng dữ liệu của khách hàng gồm ba loại lưu lượng chính,
70
thường dùng là Video, Voice và Data. Để đảm bảo tính bảo mật và toàn vẹn trên đường truyền, hai site của mạng khách hàng kết nối với nhau qua đường VPN. Cụ thể, mạng LAN của hai site khách hàng không được quảng bá ra ngoài (ra môi trường Internet hoặc đơn giản là ra mạng WAN của router CE), các router khách hàng chỉ có thể tìm thấy mạng WAN của nhau. Khi đó người quản trị mạng của khách hàng sẽ thiết lập một đường hầm ảo (tunnel). Sau khi đường hầm được thiết lập giữa hai router CE, người quản trị sẽ định tuyến truyền tải dữ liệu giữa các site qua đường hầm này. Các gói tin khi đó được truyền tải qua mạng nhà cung cấp dịch vụ mà vẫn đảm bảo được tính bảo mật, toàn vẹn.
Triển khai kênh VPN theo hai phương án:
- Triển khai 01 đường hầm GRE kết hợp mã hóa IPsec từ R5 tới R6, sử dụng các giao thức: AH, DES, MD5, RSA, DH1 trong bộ giao thức của IPsec. Ngoài ra để lọc dữ liệu nào sẽ đi qua đường hầm bảo mật, em sử dụng ACL trên R5 và R6 để lọc chỉ cho dải mạng LAN của R5 và R6 đi qua đường hầm Ipsec.
- Triển khai 01 đường hầm sử dụng giao thức L2TP, trong đó chỉ quảng bá dải mạng LAN của R5 và R6 qua kênh VPN này.
Máy phát lưu lượng là một router đặc biệt được sử dụng để kiểm tra chất lượng dịch vụ trên các hệ thống thiết bị của hãng Cisco. Các máy phát lưu lượng này được sử dụng để tạo ra các luồng dữ liệu khác nhau với các giao thức khác nhau như TCP, UDP và lưu lượng IP. Máy phát lưu lượng có thể tạo ra các luồng dịch vụ như trong thực tế như thoại, video, web, truyền tập tin, lưu lượng quản lý mạng. Nó có thể tạo ra một hay nhiều luồng truy cập tại một thời điểm, từ đó có thể mô phỏng lại các thời điểm bùng nổ lưu lượng truy cập có thể gây ra tắc nghẽn trên mạng lưới.
Trong luận văn này, chúng ta sẽ sử dụng máy phát để tạo ra các luồng lưu lượng UDP ngẫu nhiên và tăng dần tốc độ gói, các luồng dữ liệu này sẽ đại diện cho lưu lượng mạng biến đổi như trong thực tế.
Trong mô hình mạng trên, chúng ta sẽ sử dụng TGN để phát ra lưu lượng và NQR được sử dụng để đo lường độ trễ, biến thiên độ trễ và tỷ lệ mất gói. Cách thức tiến hành và sử dụng TGN, NQR sẽ được trình bày trong phần 3.
71
Hình 3. 2: Mô hình mạng máy phát lưu lượng
Các kết nối giữa các thiết bị là các đường Ethernet có tốc độ 10Mbps. Chúng ta bổ sung thêm bốn máy phát lưu lượng TGN có nhiệm vụ tạo ra lưu lượng nền trên mạng khảo sát. Các máy phát TGN này sẽ phát các luồng dữ liệu có điểm đích là các router trên hướng truyền PE1-P1-P2-PE2. Máy đo NQR sẽ thay thế hai router CE1 và CE2, có nhiệm vụ phát và thu lại chính luồng dữ liệu mình tạo ra, từ đó kiểm tra chất lượng dịch vụ của đường hầm MPLS VPN.
Chúng ta sẽ thực hiện đo trong ba trường hợp: Không sử dụng đường hầm VPN và sử dụng VPN để chuyển tiếp lưu lượng NQR trên mạng chuyển mạch lõi theo hai phương án: L2TP và GRE+IPsec.
3.2 Công cụ sử dụng
3.2.1. Máy phát TGN
TGN (Trafic Generator) là một hệ điều hành liên mạng (IOS) trên máy phát lưu lượng truy cập Cisco. Nó được sử dụng để tạo ra các luồng lưu lượng khác nhau. Để tạo ra lưu lượng truy cập, TGN yêu cầu người dùng phải cung cấp các địa chỉ lớp 2 và lớp 3 mà thiết bị định tuyến trên mạng sẽ dùng để chuyển tiếp gói tin. Ngoài ra, ta có thể thay đổi cổng nguồn và đích của giao thức TCP/UDP cho các luồng lưu lượng khác nhau.
Trong luận văn này, chúng ta tạo ra các dòng lưu lượng từ các máy phát TGN khác nhau làm lưu lượng nền của mạng. Đây là dòng lưu lượng liên tục và có
72
chu kỳ trong quá trình tạo ra các gói tin. Kích thước gói tin được duy trì chiều dài 1000 byte còn tải lưu lượng được duy trì với các gói dữ liệu mỗi giây (PPs). Tốc độ PPs được tăng dần từ 300 PPs đến 3000 PPs. Kết quả được thống kê tại các thời điểm tốc độ là bội của 300 PPs.
Quá trình tăng PPs không diễn ra tự động mà được khai báo từng lần. Khi đó luồng lưu lượng IP được dừng lại để cấu hình lại tốc độ gói và khởi động lại để lấy kết quả. Sau đây là các lệnh được sử dụng trên máy phát lưu lượng của Cisco TGN để tạo ra lưu lượng truy cập nền tảng này.
TGN#tgn
TGN(TGN:OFF,Vo0:none) #ethernet 0/0 TGN(TGN:OFF,Vo0:none) #add udp
TGN(TGN:OFF,E0/0:1/1)#l2-src-addr xxxx.xxxx.xxxx TGN(TGN:OFF,E0/0:1/1)#l3-src-addr x.x.x.x
TGN(TGN:OFF,E0/0:1/1)#l3-dest-addr x.x.x.x
TGN(NQR:OFF,E0/0:1/1) #l4-dest-port random 1 to 1023 TGN(TGN:OFF,E0/0:1/1)#rate 300
TGN(TGN:OFF,E0/0:1/1)#length 1000 TGN(TGN:OFF,E0/0:1/1)#START
3.2.2. Đánh giá chất lượng mạng NQR
Thiết bị đánh giá chất lượng mạng NQR (Network Quality Reporter) là một hệ điều hành IOS đơn giản dựa trên công cụ TGN. NQR được sử dụng để đo lường chất lượng của mạng bằng cách tạo ra lưu lượng truy cập của chính nó. Các tham số được đo lường bao gồm độ trễ, biến thiên độ trễ và tỷ lệ mất gói tin. Một giao diện của router được sử dụng để truyền đi lưu lượng truy cập và một giao diện được sử dụng để bắt lưu lượng truy cập. NQR hỗ trợ các giao thức như UDP, TCP, ICMP, IP, và IGMP.
Chúng ta tạo ra dòng lưu lượng UDP để lấy kết quả vì giao thức UDP được sử dụng cho truyền tải lưu lượng âm thanh và video ở lớp vận chuyển. Giá trị của độ trễ, biến động trễ, và tỷ lệ mất gói được đo tại từng bước tăng lưu lượng truy cập (lưu lượng nền mà TGN phát ở trên) là bội số của 300 PPs. Trong NQR, các gói tin được duy trì kích thước 100 byte và tốc độ gói được duy trì 125 PPs khi lưu lượng trở về
73
lưu lượng nền. Sau đây là các lệnh cấu hình để đo lường độ trễ, biến động trễ và mất gói.
TGN#nqr
TGN(NQR:OFF,Vo0:none)#add udp
TGN(NQR:OFF,Vo0:1/1)#ethernet 0/0
TGN(NQR:OFF,E0/0:1/1) #ethernet 0/1 capture on TGN(NQR:OFF,E0/0:1/1) #l3-src-addr x.x.x.x
TGN(NQR:OFF,E0/0:1/1) #l3-dest-addr x.x.x.x
TGN(NQR:OFF,E0/0:1/1) #l4-dest-port random 1 to 1023 TGN(NQR:OFF,E0/0:1/1) #rate 125
TGN(NQR:OFF,E0/0:1/1)#length 100
TGN(NQR:OFF,E0/0:1/1)#START
3.3 Phân tích độ trễ, độ biến thiên trễ và tổn thất gói tin 3.3.1 Mạng không cấu hình MPLS VPN 3.3.1 Mạng không cấu hình MPLS VPN
Trong trường hợp thứ nhất, chúng ta không cấu hình VPN nên toàn bộ các gói tin sẽ được định tuyến theo từng chặng R3→R1→R4, kể cả các gói tin tạo ra bởi máy đo NQR. Kết quả của độ trễ, biến thiên trễ, và mất mát gói tin như thể hiện trong bảng sau:
Bảng 3. 1: Kết quả độ trễ, biến thiên trễ và mất gói tin khi chưa có VPN
PPS Delay Jitter Packet Loss
300 0.000362 0.000558 01/8042 400 0.000423 0.000562 02/8023 500 0.000512 0.000576 01/7945 600 0.000645 0.000570 03/8014 700 0.000690 0.000569 02/8035 800 0.000756 0.000582 04/8140 900 0.000820 0.000578 03/8125 1000 0.000882 0.000591 06/8090
74
3.3.2 Mạng cấu hình L2TP VPN
Trong trường hợp thứ hai, chúng ta sử dụng kỹ thuật L2TP VPN để tạo ra đường hầm chỉ cho phép các gói tin tạo ra bởi NQR đi qua. Khi đó lưu lượng nền sẽ vẫn định tuyến theo từng chặng R3→R1→R4. Chúng ta có các kết quả đo như sau:
Bảng 3. 2: Kết quả độ trễ, biến thiên trễ và mất gói tin khi có L2TP VPN
PPS Delay Jitter Packet Loss
300 0.000362 0.000558 01/8042 400 0.000916 0.000934 45/8039 500 0.001452 0.001444 64/7912 600 0.001609 0.001892 104/8214 700 0.001965 0.002386 195/8135 800 0.002251 0.002590 235/8142 900 0.002519 0.002701 268/8226 1000 0.002748 0.003018 329/8138
3.3.3 Mạng cấu hình L3 VPN (GRE over IPSec) kết hợp QoS
Trong trường hợp thứ ba, chúng ta sử dụng kỹ thuật L3 VPN (GRE over IPSec) để tạo ra mạng riêng chỉ cho phép các gói tin tạo ra bởi NQR đi qua và áp dụng kỹ thuật QoS DiffServ để ưu tiên lưu lượng từ CE. Khi đó lưu lượng nền sẽ định tuyến theo từng chặng R3→R1→R4, nhưng lưu lượng NQR sẽ đi trên đường hầm GRE và lưu lượng được mã hóa/giải mã tại 2 router CE. Chúng ta có các kết quả đo như sau:
75
Bảng 3. 3: Kết quả độ trễ, biến thiên trễ và mất gói tin khi có L3 VPN
PPS Delay Jitter Packet Loss
300 0.000362 0.000558 01/8042 400 0.000734 0.000834 50/8023 500 0.000912 0.000945 56/7945 600 0.001205 0.001138 78/8014 700 0.001410 0.001375 156/8035 800 0.001458 0.001598 187/8144 900 0.00152 0.001708 190/8094 1000 0.001595 0.001828 245/8143 3.3.4 Phân tích kết quả
Để phân tích kết quả, chúng ta tập hợp các giá trị của độ trễ, biến thiên độ trễ, và mất gói từ các trường hợp trên và tiến hành các so sánh để rút ra nhận xét.
* Độ trễ: Hình 3. 3: Biểu đồ so sánh độ trễ (Delay) 0.0003 0.0008 0.0013 0.0018 0.0023 0.0028 300 400 500 600 700 800 900 1000 Giây PPS So sánh Delay Không VPN GRE+IPsec L2TP
76
Từ biểu đồ trên, ta rút ra nhận xét sau:
- Đối với trường hợp không cấu hình VPN: Lưu lượng nền từ các máy phát TGN chưa chiếm hết băng thông các kết nối mạng, vì vậy độ trễ gói tin là không đáng kể.
- Đối với trường hợp có cấu hình L2TP VPN: độ trễ gói tin tăng dần. Do dữ liệu được đóng gói trong đường hầm lớp 2 và giải đóng gói ở phía bên nhận.
- Đối với trường hợp có cấu hình L3 VPN: ta dễ dàng nhận thấy độ trễ gói tin đã được cải thiện. Dữ liệu được đóng gói trong đường hầm lớp 3, được mã hóa và giải mã ở phía bên nhận. Triển khai L3VPN sẽ làm tăng thời gian xử lý của router khi phải tập trung tài nguyên CPU để xử lý gói tin, nhưng khi kết hợp với DiffServ để ưu tiên lưu lượng thì chất lượng được nâng cao rõ rệt.
* Biến thiên trễ
Hình 3. 4: Biểu đồ so sánh biến thiên trễ (Jitter)
Với giá trị biến thiên độ trễ, chúng ta cũng có mô hình kết quả tương tự như với giá trị độ trễ. Với trường hợp không sử dụng VPN, giá trị jitter gần như không đổi. Còn với trường hợp cấu hình VPN, giá trị biến thiên độ trễ bị ảnh hưởng bởi giao thức VPN được sử dụng. Khi lưu lượng trên đường truyền tăng, đồng thời các router
0.0005 0.001 0.0015 0.002 0.0025 0.003 0.0035 0.004 300 400 500 600 700 800 900 1000 Giây PPS So sánh Jitter Không VPN GRE+IPsec L2TP
77
sẽ phải xử lý gói tin với tốc độ cao hơn. Khi tới ngưỡng vượt qua khả năng xử lý của router thì giá trị này tăng mạnh và duy trì ở mức cao.
* Tổn thất gói tin
Hình 3. 5: Biểu đồ so sánh tổn thất gói
Từ bảng kết quả và sơ đồ trên, ta có thể thấy khi không sử dụng VPN, tỷ lệ rớt gói gần như bằng 0, còn với khi sử dụng các VPN, tỷ lệ rớt gói là rất đáng kể, đặc biệt khi triển khai giao thức L2 VPN: khi lưu lượng càng tăng thì tỉ lệ mất gói càng lớn.
3.4 Kết luận chương 3
Từ các số liệu thu được về độ trễ, biến thiên độ trễ, tổn thất gói tin, chúng ta thấy rằng với mô hình mạng thông thường, khi tăng tốc độ phát lưu lượng (tăng dưới giá trị băng thông của cổng) thì các giá trị trên gần như không tăng. Với mạng khi triển khai VPN, khi tốc độ phát lưu lượng tăng thì độ trễ, biến thiên trễ, tổn thất gói tin cũng tăng, đặc biệt trong trường hợp triển khai L3VPN.
Các kỹ thuật VPN có ý nghĩa vô cùng thiết thực đối với những người quản trị mạng lưới của các nhà cung cấp dịch vụ. Ta có thể liệt kê rất nhiều trường hợp cần khai báo kỹ thuật trên, ví dụ như:
+ Các dữ liệu giám sát an ninh đường biển, đường không, đường biên giới.
0.000000 0.005000 0.010000 0.015000 0.020000 0.025000 0.030000 0.035000 0.040000 0.045000 300 400 500 600 700 800 900 1000 Tỉ lệ m ất gói Không VPN GRE+IPsec L2TP
78
+ Kết nối hai site của một khách hàng doanh nghiệp mà có yêu cầu cao về tính bảo mật và riêng tư.
+ Kết nối hai site của khách hàng là các ngân hàng thương mại. Truyền tải dữ liệu giữa các chi nhánh của một ngân hàng luôn cần độ bảo mật cao, kịp thời và toàn vẹn để các giao dịch được thực hiện giữa ngân hàng và khách hàng của họ được nhanh chóng và chính xác. Đây là yêu cầu tiên quyết cho uy tín của một ngân hàng.
+ Hay đơn giản là đáp ứng chỉ tiêu kỹ thuật khi một khách hàng thuê dịch vụ mạng riêng của nhà cung cấp.
Tuy nhiên, trong vai trò là người quản trị mạng nhà cung cấp, chúng ta cần nhận thấy rõ ưu nhược điểm khi sử dụng các VPN. Nếu băng thông đường truyền, tốc độ xử lý của thiết bị không đáp ứng đủ nhu cầu truyền tải thì rất dễ xảy ra trễ lớn và tổn thất gói tin, làm thất thoát dữ liệu khách hàng. Chính điều này khiến các nhà mạng phải cân đối giữa các nhu cầu khách hàng với khả năng truyền tải của hạ tầng để luôn đảm bảo chất lượng dịch vụ. Và trên thực tế, các ISP thường triển khai kỹ