Trong trường hợp thứ nhất, chúng ta không cấu hình VPN nên toàn bộ các gói tin sẽ được định tuyến theo từng chặng R3→R1→R4, kể cả các gói tin tạo ra bởi máy đo NQR. Kết quả của độ trễ, biến thiên trễ, và mất mát gói tin như thể hiện trong bảng sau:
Bảng 3. 1: Kết quả độ trễ, biến thiên trễ và mất gói tin khi chưa có VPN
PPS Delay Jitter Packet Loss
300 0.000362 0.000558 01/8042 400 0.000423 0.000562 02/8023 500 0.000512 0.000576 01/7945 600 0.000645 0.000570 03/8014 700 0.000690 0.000569 02/8035 800 0.000756 0.000582 04/8140 900 0.000820 0.000578 03/8125 1000 0.000882 0.000591 06/8090
74
3.3.2 Mạng cấu hình L2TP VPN
Trong trường hợp thứ hai, chúng ta sử dụng kỹ thuật L2TP VPN để tạo ra đường hầm chỉ cho phép các gói tin tạo ra bởi NQR đi qua. Khi đó lưu lượng nền sẽ vẫn định tuyến theo từng chặng R3→R1→R4. Chúng ta có các kết quả đo như sau:
Bảng 3. 2: Kết quả độ trễ, biến thiên trễ và mất gói tin khi có L2TP VPN
PPS Delay Jitter Packet Loss
300 0.000362 0.000558 01/8042 400 0.000916 0.000934 45/8039 500 0.001452 0.001444 64/7912 600 0.001609 0.001892 104/8214 700 0.001965 0.002386 195/8135 800 0.002251 0.002590 235/8142 900 0.002519 0.002701 268/8226 1000 0.002748 0.003018 329/8138
3.3.3 Mạng cấu hình L3 VPN (GRE over IPSec) kết hợp QoS
Trong trường hợp thứ ba, chúng ta sử dụng kỹ thuật L3 VPN (GRE over IPSec) để tạo ra mạng riêng chỉ cho phép các gói tin tạo ra bởi NQR đi qua và áp dụng kỹ thuật QoS DiffServ để ưu tiên lưu lượng từ CE. Khi đó lưu lượng nền sẽ định tuyến theo từng chặng R3→R1→R4, nhưng lưu lượng NQR sẽ đi trên đường hầm GRE và lưu lượng được mã hóa/giải mã tại 2 router CE. Chúng ta có các kết quả đo như sau:
75
Bảng 3. 3: Kết quả độ trễ, biến thiên trễ và mất gói tin khi có L3 VPN
PPS Delay Jitter Packet Loss
300 0.000362 0.000558 01/8042 400 0.000734 0.000834 50/8023 500 0.000912 0.000945 56/7945 600 0.001205 0.001138 78/8014 700 0.001410 0.001375 156/8035 800 0.001458 0.001598 187/8144 900 0.00152 0.001708 190/8094 1000 0.001595 0.001828 245/8143 3.3.4 Phân tích kết quả
Để phân tích kết quả, chúng ta tập hợp các giá trị của độ trễ, biến thiên độ trễ, và mất gói từ các trường hợp trên và tiến hành các so sánh để rút ra nhận xét.
* Độ trễ: Hình 3. 3: Biểu đồ so sánh độ trễ (Delay) 0.0003 0.0008 0.0013 0.0018 0.0023 0.0028 300 400 500 600 700 800 900 1000 Giây PPS So sánh Delay Không VPN GRE+IPsec L2TP
76
Từ biểu đồ trên, ta rút ra nhận xét sau:
- Đối với trường hợp không cấu hình VPN: Lưu lượng nền từ các máy phát TGN chưa chiếm hết băng thông các kết nối mạng, vì vậy độ trễ gói tin là không đáng kể.
- Đối với trường hợp có cấu hình L2TP VPN: độ trễ gói tin tăng dần. Do dữ liệu được đóng gói trong đường hầm lớp 2 và giải đóng gói ở phía bên nhận.
- Đối với trường hợp có cấu hình L3 VPN: ta dễ dàng nhận thấy độ trễ gói tin đã được cải thiện. Dữ liệu được đóng gói trong đường hầm lớp 3, được mã hóa và giải mã ở phía bên nhận. Triển khai L3VPN sẽ làm tăng thời gian xử lý của router khi phải tập trung tài nguyên CPU để xử lý gói tin, nhưng khi kết hợp với DiffServ để ưu tiên lưu lượng thì chất lượng được nâng cao rõ rệt.
* Biến thiên trễ
Hình 3. 4: Biểu đồ so sánh biến thiên trễ (Jitter)
Với giá trị biến thiên độ trễ, chúng ta cũng có mô hình kết quả tương tự như với giá trị độ trễ. Với trường hợp không sử dụng VPN, giá trị jitter gần như không đổi. Còn với trường hợp cấu hình VPN, giá trị biến thiên độ trễ bị ảnh hưởng bởi giao thức VPN được sử dụng. Khi lưu lượng trên đường truyền tăng, đồng thời các router
0.0005 0.001 0.0015 0.002 0.0025 0.003 0.0035 0.004 300 400 500 600 700 800 900 1000 Giây PPS So sánh Jitter Không VPN GRE+IPsec L2TP
77
sẽ phải xử lý gói tin với tốc độ cao hơn. Khi tới ngưỡng vượt qua khả năng xử lý của router thì giá trị này tăng mạnh và duy trì ở mức cao.
* Tổn thất gói tin
Hình 3. 5: Biểu đồ so sánh tổn thất gói
Từ bảng kết quả và sơ đồ trên, ta có thể thấy khi không sử dụng VPN, tỷ lệ rớt gói gần như bằng 0, còn với khi sử dụng các VPN, tỷ lệ rớt gói là rất đáng kể, đặc biệt khi triển khai giao thức L2 VPN: khi lưu lượng càng tăng thì tỉ lệ mất gói càng lớn.
3.4 Kết luận chương 3
Từ các số liệu thu được về độ trễ, biến thiên độ trễ, tổn thất gói tin, chúng ta thấy rằng với mô hình mạng thông thường, khi tăng tốc độ phát lưu lượng (tăng dưới giá trị băng thông của cổng) thì các giá trị trên gần như không tăng. Với mạng khi triển khai VPN, khi tốc độ phát lưu lượng tăng thì độ trễ, biến thiên trễ, tổn thất gói tin cũng tăng, đặc biệt trong trường hợp triển khai L3VPN.
Các kỹ thuật VPN có ý nghĩa vô cùng thiết thực đối với những người quản trị mạng lưới của các nhà cung cấp dịch vụ. Ta có thể liệt kê rất nhiều trường hợp cần khai báo kỹ thuật trên, ví dụ như:
+ Các dữ liệu giám sát an ninh đường biển, đường không, đường biên giới.
0.000000 0.005000 0.010000 0.015000 0.020000 0.025000 0.030000 0.035000 0.040000 0.045000 300 400 500 600 700 800 900 1000 Tỉ lệ m ất gói Không VPN GRE+IPsec L2TP
78
+ Kết nối hai site của một khách hàng doanh nghiệp mà có yêu cầu cao về tính bảo mật và riêng tư.
+ Kết nối hai site của khách hàng là các ngân hàng thương mại. Truyền tải dữ liệu giữa các chi nhánh của một ngân hàng luôn cần độ bảo mật cao, kịp thời và toàn vẹn để các giao dịch được thực hiện giữa ngân hàng và khách hàng của họ được nhanh chóng và chính xác. Đây là yêu cầu tiên quyết cho uy tín của một ngân hàng.
+ Hay đơn giản là đáp ứng chỉ tiêu kỹ thuật khi một khách hàng thuê dịch vụ mạng riêng của nhà cung cấp.
Tuy nhiên, trong vai trò là người quản trị mạng nhà cung cấp, chúng ta cần nhận thấy rõ ưu nhược điểm khi sử dụng các VPN. Nếu băng thông đường truyền, tốc độ xử lý của thiết bị không đáp ứng đủ nhu cầu truyền tải thì rất dễ xảy ra trễ lớn và tổn thất gói tin, làm thất thoát dữ liệu khách hàng. Chính điều này khiến các nhà mạng phải cân đối giữa các nhu cầu khách hàng với khả năng truyền tải của hạ tầng để luôn đảm bảo chất lượng dịch vụ. Và trên thực tế, các ISP thường triển khai kỹ thuật QoS đi kèm với các VPN để nâng cao chất lượng dịch vụ, mang lại trải nghiệm tốt nhất cho khách hang.
KẾT LUẬN
Các kết quả chính của đề tài luận văn:
- Đưa ra cái nhìn tổng quan về kiến trúc mạng VPN, các giao thức VPN lớp 2, VPN lớp 3 sử dụng chuyển tải, bảo mật thông tin trong mạng VPN trên môi trường mạng internet hoặc các mạng công cộng khác.
- Xây dựng kiến trúc mạng VNP được mã hoá, bảo mật trên cơ sở kết hợp các giao thức định tuyến lớp 3 với giao thức bảo mật IPSEC. Đồng thời giả lập, mô phỏng ảnh hưởng của các giao thức VPN lớp 2, lớp 3 đến độ trễ, biến thiên trễ, tổn thất gói tin từ đó đưa ra các khuyến cáo đối với người quản trị mạng ISP.
- Hệ thống mô phỏng đã tạo ra các tải dữ liệu mô phỏng các dạng dữ liệu truyền qua mạng VPN như Video, audio, text…và thực hiện phát các dữ liệu này với số lượng các bản tin tăng dần đến ngưỡng để đánh giá chính xác ảnh hưởng của các giao thức VPN lớp 2 và lớp 3 đến các bản tin dữ liệu và điều khiển, từ đó đánh giá được
79
hiệu quả của việc kết hợp các giao thức định tuyến, truyền tải và bảo mật trong mạng VPN thông môi trường internet và các mạng công cộng khác.
Hướng phát triển của đề tài:
Thử nghiệm mô hình với các bộ dữ liệu đã được thu thập từ thực tế chứa nhiều loại bản tin với các mục đích sử dụng khác nhau để có thể đánh giá hiệu năng của mạng VPN. Đồng thời, cải tiến, nâng cấp các module phần mềm tích hợp trên các bộ điều khiển mạng để tăng tốc độ xử lý các gói tin đối với các nhà cung cấp dịch vụ ISP, giảm thời gian đáp ứng của hệ thống, tối ưu hóa hiệu năng của hệ thống, cung cấp một hệ thống an toàn và tin cậy.
80
TÀI LIỆU THAM KHẢO
[1] Luc De Ghein, MPLS Fundamentals, Cisco Press, 2006. The Fundamentals Series from Cisco Press launches the basis to readers for understanding the purpose, application, and management of technologies. MPLS has emerged as the new networking layer for service providers throughout the world. For many service providers and enterprises MPLS is a way of delivering new applications on their IP networks, while consolidating data and voice networks. MPLS has grown to be the new default network layer for service providers and is finding its way into enterprise networks as well. This book focuses on the building blocks of MPLS (architecture, forwarding packets, LDP, MPLS and QoS, CEF, etc.). This book also reviews the different MPLS applications (MPLS VPN, MPLS Traffic Engineering, Carrying IPv6 over MPLS, AToM, VPLS, MPLS OAM etc).
[2] Santiago Alvarez, QoS for IP/MPLS Networks, Cisco Press, 2006. Understand IP QoS architectures and how they apply to MPLS, Take a detailed look at traffic management using policing, shaping, scheduling, and active queue management Study Cisco QoS behavioral model and the modular QoS command-line interface (MQC); Learn the operation of MPLS TE with its DiffServ extensions and applicability as a traffic-protection alternative;Find multiple configuration and verification examples illustrating the implementation of MPLS TE, DS-TE, and FRR
[3] Azhar Shannir Khan & Bilal Afzal, MPLS VPNs with DiffServ-A QoS Performance study, Halmstad University, 2011. MPLS (Multiprotocol Label Switching) VPNs (Virtual private network) are new alternatives to private WANs (Wide area network). They are gaining popularity in industry day by day
[4] Lancy Lobo & Umesh Lakshman, Cisco-MPLS Configuration on Cisco IOS Software, Cisco Press, 2005. MPLS Configuration on Cisco IOS Software is a complete and detailed resource to the configuration of Multiprotocol Label Switching (MPLS) networks and associated features. Through its practical, hands-on approach, you'll become familiar with MPLS technologies and their configurations using Cisco IOS® Software.
[5] Nichols, Definition of the Differentiated Services (DS Field) in the IPv4 and IPv6 headers, RFC2474, 1998. Definition of the Differentiated Services Field (DS Field) in the IPv4 and IPv6 Headers defines the Internet Protocol (IP) header field, called the DS (for differentiated services) field. In IPv4, it defines the layout of the Terms of Service (TOS) octet; in IPv6, the Traffic Class octet.
[6] Le Faucheur & L.Wu & S. Davari & P. Vaananen & R. Krishnan & P. Cheval & J.heinanen Multi-Protocol Label Switching (MPLS) Support of Differentiated Services, RFC 3270, 2002.
[7] V. Jacobson & K. Nichols & Cisco Systems & K. Poduri & Bay Networks & An Expedited Forwarding PHB, www.ietf.org, 1999. The definition of PHBs (per-
81
hop forwarding behaviors) is a critical part of the work of the Diffserv Working Group. This document describes a PHB called Expedited Forwarding. We show the generality of this PHB by noting that it can be produced by more than one mechanism and give an example of its use to produce at least one service, a Virtual Leased Line. A recommended codepoint for this PHB is given.
[8] S. T. Zargar, U. o. P. P. P. U. Telecommun. & Networking Program, J. Joshi and D. Tipper, "A Survey of Defense Mechanisms Against Distributed Denial of Service (DDoS) Flooding Attacks," in IEEE Communications Surveys & Tutorials, 2013.
[9] I. Ahmad, S. Namal, M. Ylianttila, and A. Gurtov, “Security in software defined networks: a survey” IEEE Communications Surveys & Tutorials, vol. 17, no.4, pp. 2317–2346, 2015.