Hình 5.5: Mô hình triển khai thử nghiệm RPKI
Mô hình thử nghiệm gồm 3 bộ định tuyến thuộc 2 AS khác nhau AS 135533 và AS131429. Bộ định tuyến R1 thuộc AS135533 sẽ có nhiệm vụ quảng bá các dải mạng đến bộ định tuyến R2 thông qua giao thức BGP với phiên eBGP. Bộ
định tuyến R2 có phiên xác thực với RPKI Validator. RPKI Validator sẽ thực hiện xác thực các dải mạng hợp lệ học được từ bộ định tuyến R1, từ đó bộ định tuyến R2 quảng bá lại cho bộ định tuyến R3 để đi vào mạng bên trong hệ thống mạng của mình. Mô hình thử nghiệm này nhằm mục đích: xây dựng một mô hình đơn giản, sử dụng RPKI điển hình. Từ đó, giúp người quản trị nắm rõ các cấu hình, thiết lập các phiên iBGP, eBGP, phiên RTR (RPKI To Bộ định tuyến). Cuối cùng, sau khi đã thử nghiệm triển khai một mô hình triển khai đơn giản, từ đó giúp các ISP có thể chủ động mở rộng mô hình, áp dụng vào mô hình mạng thực tế của mình, từ đó giảm thiểu các cuộc tấn công định tuyến. Quy hoạch đại chỉ IP cho các bộ định tuyến như sau:
Bộ định tuyến R1:
Interface e0/1: 172.16.12.1/24
Interface loopback0: 61.45.248.1/24 – đóng vai trò là dải mạng VALID
Interface loopback1: 1.6.12.1/22 – đóng vai trò là dải mạng INVALID Interface loopback2: 192.168.1.1/24 – đóng vai trò là dải mạng
UNKNOWN Bộ định tuyến R2: Interface Gi1: 192.168.149.133/24 Interface Gi2: 172.16.12.2/24 Interface Gi3: 172.16.23.2/24 Interface loopback0: 103.53.252.2/22 Bộ định tuyến R3: Interface e0/0: 172.16.23.3/24 Interface loopback0: 45.125.208.3/22 Cấu hình khai báo chi tiết trên R1:
R1#show running-config hostname R1
interface Loopback0
! interface Loopback1 ip address 1.6.12.1 255.255.252.0 ! interface Loopback2 ip address 192.168.1.1 255.255.255.0 ! interface Ethernet0/1 ip address 172.16.12.1 255.255.255.0 ! router bgp 135533 bgp log-neighbor-changes network 1.6.12.0 mask 255.255.252.0 network 61.45.248.0 mask 255.255.255.0 network 192.168.1.0 neighbor 172.16.12.2 remote-as 131429 ! end
Cấu hình khai báo chi tiết trên R2: R2#show running-config hostname R2 interface Loopback0 ip address 103.53.252.2 255.255.252.0 ! interface GigabitEthernet2 ip address 172.16.12.2 255.255.255.0 negotiation auto ! interface GigabitEthernet3 ip address 172.16.23.2 255.255.255.0 negotiation auto !
router bgp 131429
bgp log-neighbor-changes
bgp rpki server tcp 192.168.149.129 port 3323 refresh 900 network 103.53.252.0 mask 255.255.252.0 neighbor 172.16.12.1 remote-as 135533 neighbor 172.16.23.3 remote-as 131429 neighbor 172.16.23.3 next-hop-self ! end
Cấu hình khai báo chi tiết trên R3: R3#show running-config hostname R3 interface Loopback0 ip address 45.125.208.3 255.255.252.0 ! interface Ethernet0/0 ip address 172.16.23.3 255.255.255.0 ! router bgp 131429 bgp log-neighbor-changes network 45.125.208.0 mask 255.255.252.0 neighbor 172.16.23.2 remote-as 131429 ! end 5.3.5. Kết quả đạt được
Kiểm tra bảng định tuyến trên R2 và R3, trong đó chú ý vào dải mạng đóng vai trò là dải mạng INVALID thu được kết quả sau:
Hình 5.6: Bảng định tuyến của R2 trước khi cấu hình RPKI
Nhìn vào hình 3.4 và 3.5, ta thấy R2 nhận tất cả các dải mạng được quảng bá đến từ R1 thông qua giao thức eBGP, các dải mạng này chưa được xác thực nên đều được coi mặc đinh là dải mạng hợp lệ và được các bộ định tuyến ghi vào bảng định tuyến của R2 trong đó có cả dải mạng INVALID. Sau đó R2 quảng bá tất cả các bá tất cả các dải mạng này cho R3, R3 cũng chấp nhận học tất cả các dải mạng này và đưa vào bảng định tuyến. Việc này cho thấy nguy cơ tấn công BGP Hijacking, vì R2 học các dải mạng mà R1 quảng bá đến cho dù dải mạng đó là dải mạng giả mạo hoặc bị quảng bá sai.
Hình 5.7: Bảng định tuyến của R3 trước khi cấu hình RPKI
Áp dụng Import policy sử dụng RPKI cho các dải mạng nhận từ peer eBGP
Hình 5.8: Câu lệnh thiết lập phiên RPKI giữa R2 và RPKI Cache
Hình 5.7 và 5.8 là quá trình thiết lập RPKI đối với những dải mạng mà R2 học được từ R1 qua eBGP. Trong đó, ta cần thiết lập phiên TCP đến server RPKI Cache với port là 3323, đồng thời server RPKI Cache cũng cần lấy thông tin xác thực ROA từ RPKI Global qua phần mềm RPKI Validator, trong bài lab sử dụng là phần mềm Routinator.
Hình 5.9: Câu lệnh kiểm tra kết nối từ R2 đến server RPKI Cache
Hình 5.10: Thông tin ROA mà R2 nhận được từ RPKI Validator
Hình 5.11: Bảng định tuyến BGP của R2 sau khi cấu hình RPKI
Hình 5.12: Bảng định tuyến BGP của R3 sau khi cấu hình RPKI
Sau khi cấu hình RPKI trên dải mạng biên R2, lúc này R2 đã nhận được thông tin ROA từ RPKI Validator. R2 sau khi có được thông tin đó, nhận thấy dải mạng 1.6.12.0/22 nó học được từ R1 thì không phải là dải mạng hợp lệ mà AS135533 được phép quảng bá, vì dải mạng này khi tra cứu trên RPKI table thì
R2 nhận thấy nó thuộc quyền sở hữu của AS9583, vì thế có được kết quả như hình 3.9. Hình 3.9 chỉ ra được những dải mạng mà R2 học được là thuộc nhóm nào: VALID (V), INVALID (I) hay là UNKNOWN (N – Not found). Mặc định thiết bị của Cisco sẽ không cho phép ghi những dải mạng INVALID (I) vào bảng định tuyến.
Hình 5.14: Bảng định tuyến của R3 sau khi cấu hình RPKI
Như vậy, lúc này R2 đã loại bỏ hoàn toàn được dải mạng INVALID ra khỏi bảng định tuyến của mình, chính vì thế những dải mạng không hợp lệ này cũng không được quảng bá cho các BGP peer khác. Kiểm tra bảng định tuyến trên R3 ta cũng không thấy mạng 1.6.12.0/22 được R2 quảng bá sang, điều này cho thấy RPKI đã được cấu hình thành công và mang lại hiệu quả rõ rệt một cách tức thời, điều này mang lại sự an toàn và bảo mật cho các hoạt động định tuyến trong không gian mạng lớn như Internet hiện nay, giúp các ISP tránh được những sự cố, rủi ro cũng như những cuộc tấn công định tuyến nhằm mục đích xấu, từ đó giúp khách hàng của mình có được trải nghiệm sử dụng Internet an toàn và hiệu quả.
KẾT LUẬN
1.Kết quả đạt được
Mục đích của đồ án này là tập trung vào việc tìm hiểu “Tìm hiểu và triển khai hệ thống mạng với giao thức BGP” . Qua nội dung của bốn chương của đồ án trên kết hợp với phần mềm mô phỏng kịch bản triển khai, ta đã tìm hiểu được Tổng quan về mạng máy tính: khái niệm, lịch sử phát triển, lợi ích, phân
loại mạng máy tính và kiến trúc mạng máy tính
Định tuyến trong mạng máy tính: định nghĩa Router, bảng định tuyến, giao thức, khái niệm định tuyến, phân loại định tuyến và cuối cùng là tìm hiểu về phần mềm mô phỏng giả lập GNS3.
Giao thức định tuyến BGP: Khái niệm cơ bản về BGP, hoạt động của BGP và các thuộc tính cơ bản, thứ tự chọn đường đi trong BGP và một số lỗi và cách xử lí ở bản tin header của BGP.
Mô phỏng được hệ thống sử dụng giao thức BGP trên phần giả lập GNS3. Từ đó mô phỏng kịch bản triển khai hạ tầng khóa công khai tài nguyên
RKPI trong mạng truyền tải sử dụng giao thức BGP
Hiện nay, BGP làm một giao thức định tuyến được sử dụng rất rộng rãi. Nó được sử dụng chủ yếu cho mạng Internet và một số mạng lớn khác mà các giao thức khác không đáp ứng được. Kể từ khi ra đời, BGP vẫn luôn luôn được nghiên cứu và phát triển. Nó ngàycàng đáp ứng được nhu cầu sử dụng của con người.
Cho đến bây giờ vẫn chưa có một giao thức nào được phát triển và thay thế vị trí của BGP. Điều này chứng tỏ rằng BGP có nhiều tính năng nổi bật. Một trong những tính năng nổi bật đó là:
BGP hỗ trợ tìm đường phi phân lớp (CIDR Classless Inter-Domain Routing) và dùng kỹ thuật kết hợp đường đi để giảm kích thước bảng tìm đường (ví dụ nếu một mạng chiếm 255 địa chỉ lớp C từ 203.162.0.0/24 – 203.162.254.0/24 thì chỉ dùng 1 địa chỉ203.162.0.0/16 để định dạng mạng).
Ngoài việc sử dụng để định tuyến giữa các AS. BGP có thể sử dụng trong các mạng riêng quy mô lớn do OSPF không đáp ứng được.
2.Quá trình phát triển tương lai
Trong quá trình tìm hiểu về đề tài, vì định tuyến BGP là một giao thức định tuyến khá phức tạp, cũng như thời gian, điều kiện thực tế và đặc biệt là kiến thức của em còn nhiều hạn chế, do đó để tài chỉ dừng ở mức cung cấp những kiến thức cơ bản nhất về BGP. Việc triển khai giao thức định tuyến BGP trên một hệ thống mạng nhỏ bằng công cụ giả lập do đó chưa thể đánh giá hết được những ưu nhược điểm của giao thức BGP so với một số giao thức khác.Trong thời gian tới sẽ cố gắng tìm hiểu thật sâu sắc là giao thức BGP cũng như tìm kiếm cơ hội được triển khai trên một hệ thống thật để đề tài này ngày càng hoàn thiện hơn nữa. Từ đó trang bị cho em những kiến thức có để áp dụng đi làm vào thực tế tại các công ty.
TÀI LIỆU THAM KHẢO
[ [1] Y. C. Hoong, CCNP ROUTE Complete Guide, Malaysia, 2010. [ [2] L. V. Hằng, "Tailieu.vn," [Online]. Available: https://tailieu.vn/doc/tong-quan-giao-thuc-dinh-tuyen-bgp-tren-router-cisco- svth-le-vu-thang-431957.html.
[ [3] T. N. X. Anh, in Bài Giảng Mạng Máy Tính, Hà Nội, Học Viện Công Nghệ Bưu Chính Viễn Thông, 2015.
[ [4] Wikipedia, "Wikipedia," [Online]. Available: https://vi.wikipedia.org/wiki/BGP#Ho%E1%BA%A1t_%C4%91%E1%BB %99ng_c%E1%BB%A7a_BGP.
[ [5] http://hasitec.com.vn/, "Định tuyến trong chuyển mạng IP," [Online]. Available: http://hasitec.com.vn/vi/news/Dien-tu-vien-thong/Dinh-tuyen- trong-chuyen-mach-IP-IP-Routing
88/#:~:text=%C4%90%E1%BB%8Bnh%20tuy%E1%BA%BFn%20trong%2 0m%E1%BA%A1ng%20vi%E1%BB%85n,m%E1%BA%A1ng%20v%C3% A0%20%C4%91i%E1%BB%81u%20h%C3%A0nh%20m%E1%BA%A1ng.
[ [6] bachkhoa-aptech.edu.vn, "Học CCNA v6 - Tìm hiểu chung về mạng máy tính," [Online]. Available: https://bachkhoa-aptech.edu.vn/hoc-ccna-v6- tim-hieu-chung-ve-mang-may-tinh/285.html?fbclid=IwAR0-
ZtObFRx1kRqG-