Trong một mạng MPLS VPN, site phía khách hàng sẽ sử dụng IP thông thường mà không cần biết đến MPLS, IPSec hay bất cứ một chức năng VPN đặc biệt nào.
Tại các PE router, một cặp VRF và RD sẽ tương ứng với mỗi liên kết đến site của khách hàng (customer site). Liên kết này có thể là một liên kết vật lý T1, Frame Relay hay ATM VC, DSL... Giá trị RD sẽ hoàn toàn “ẩn” và sẽ không được cấu hình tại các thiết bị của khách hàng.
Sau đây ta xét một ví dụ cụ thể đường đi của một gói tin trong mạng VPN của khách hàng từ PC A thuộc site A tới PC B thuộc site B thông qua mạng MPLS.
- Gói tin đến từ site A của PE router R1 như một gói IP thông thường với địa chỉ đích 10.2.1.100. Site này thuộc mạng VPN với RD:10.
- R1 sẽ tra cứu bảng chuyển tiếp VPN của nó và dựa vào bảng này để gán nhãn cho gói tin, trong trường hợp này là nhãn 56. Nhãn này mang thông tin về đích đến của gói tin trong mạng VPN với RD:10
R D Pref ix Destinat ion PE L abel
0 .0.0/16 128.216 18 1 0 10.2 .0.0/16 216.70. 128.192 5 6 1 0 10.3 .0.0/16 216.70. 128.133 3 2 1 0 10.4 .0.0/16 216.70. 128.60 2 10 1 0 10.5 .0.0/16 216.70. 128.84 1 09
- R1 chuyển tiếp gói tin dựa vào địa chỉ PE đích trong bảng FIB (Label Forwarding Information Base). Khi gói tin này được chuyển đi, nó sẽ được gán một nhãn MPLS trong bảng LIB. Nhãn này (188) tương ứng với nhãn được yêu cầu để chuyển tiếp gói tin đến R2, có địa chỉ IP là 216.70.128.192.
- LSR1 tiếp nhận gói tin và thưc hiện hoạt động chuyển mạch nhãn thông thường. Trong ví dụ này, LSR1 tráo đổi nhãn 188 với nhãn 62, sau đó chuyển tiếp gói tin đến LSR2.
- LSR2 tiếp nhận gói tin và thực hiện chức năng Penultimate Hop Popping bởi vì đây là chặng cuối cùng trước khi gói tin đến PE đích, LSR2 sẽ loại bỏ nhãn (62) và gửi gói tin tới R2 với nhãn 56.
- Sau khi R2 tiếp nhận gói tin, nó sẽ tra nhãn 56 trong bảng chuyển tiếp VPN, trong trường hợp này, nhãn sẽ tương ứng với RD:10. Sau đó, R2 tham chiếu địa chỉ IP trong gói tin để xác định ra đích đến là RD:10 với địa chỉ IP 10.2.1.100. R2 xác định RD:10 và địa chỉ IP:10.2.1.100 là thuộc site được liên kết trực tiếp với R2 bởi một liên kết IP thông thường nên nó sẽ loại bỏ nhãn và chuyển tiếp gói IP tới site đó.
R D Pref ix Destinat ion PE L abel 1 0 10.1 .0.0/16 216.70. 128.216 3 18 1 0 10.2 .0.0/16 216.70. 128.192 5 6 1 0 10.3 .0.0/16 216.70. 128.133 3 2 1 10.4 216.70. 2
0 .0.0/16 128.60 10 1 0 10.5 .0.0/16 216.70. 128.84 1 09
Chú ý rằng địa chỉ IP 10.2.1.100 và 216.70.128.192 khác nhau về phạm vi, địa chỉ IP 10.2.1.100 thuộc mạng VPN với RD:10 và chỉ những gói tin bên trong VPN này mới có thể đến được địa chỉ này. Có thể có một địa chỉ IP 10.2.1.100 khác ở các VPN khác, nhưng chúng được đặc trưng bởi những RD khác nhau. địa chỉ 216.70.128.192 thuộc mạng đường trục và nó không thuộc một VPN nào.
Một trong những ưu điểm lớn nhất của các MPLS VPN là không đòi hỏi các thiết bị CPE thông minh bởi vì toàn bộ các chức năng VPN được thực hiện ở phía trong mạng lõi của nhà cung cấp dịch vụ và hoàn toàn “trong suốt” đối với các CPE. Các CPE không đòi hỏi chức năng VPN và hỗ trợ IPSec. điều này có nghĩa là khách hàng không phải chi phí quá cao cho các thiết bị CPE.
Trễ trong mạng được giữ ở mức thấp nhất vì các gói tin lưu chuyển trong mạng không phải thông qua các hoạt động như đóng gói và mã hóa. Sở dĩ không cần chức năng mã hóa là vì MPLS VPN tạo nên một mạng riêng. Phương pháp bảo mật này gần giống như bảo mật trong mạng Frame Relay. Thậm chí trễ trong MPLS VPN còn thấp hơn là trong mạng MPLS IP sử dụng chuyển mạch nhãn
Việc tạo một mạng đầy đủ (full mesh) VPN là hoàn toàn đơn giản vì các MPLS VPN không sử dụng cơ chế tạo đường hầm. Vì vậy, cấu hình mặc định cho các mạng MPLS VPN là full mesh, trong đó các site được nối trực tiếp với PE vì vậy các site bất kỳ có thể trao đổi thông tin với nhau trong VPN. Và thậm chí, nếu site trung tâm gặp trục trặc, các spoke site vẫn có thể liên lạc với nhau.
Hoạt động khai thác và bảo dưỡng cũng đơn giản hơn trong mạng MPLS-VPN. Hoạt động này chỉ cần thực hiện tại các thiết bị bên trong mạng core mà không cần phải tiếp xúc đến các CPE. Một khi một site đã được cấu hình xong, ta không cần đụng chạm đến nó nữa cho dù nếu muốn thêm một site mới vào mạng vì những thay đổi về cấu hình lúc này chỉ cần thực hiện tại PE mà nó nối tới.
Vấn đề bảo mật thậm chí còn đơn giản hơn nhiều khi triển khai trong các mạng MPLS VPN vì một VPN khép kín bản thân nó đã đạt được sự an toàn thông tin do không có kết nối với mạng Internet công cộng. Nếu có nhu cầu truy nhập Internet, một tuyến sẽ được thiết lập để cung cấp khả năng truy nhập. Lúc này, một firewall sẽ được sử dụng trên tuyến này để đảm bảo một kết nối bảo mật cho toàn bộ mạng VPN. Cơ chế hoạt động này rõ ràng dễ dàng hơn nhiều cho hoạt động quản lý mạng vì chỉ cần duy trì các chính sách bảo mật cho một firewall duy nhất mà vẫn đảm bảo an toàn cho
Một ưu điểm nữa của các mạng MPLS VPN là chỉ cần một kết nối duy nhất cho mỗi remote site. So sánh với mạng Frame Relay truyền thống có 1 nút trung tâm và 10 remote site (mỗi một remote site sẽ cần một Frame Relay PVC) thì tại nút trung tâm (hub) sẽ cần 10 PVCs. Trong khi bên trong một mạng MPLS VPN chỉ cần duy nhất một PVC tại vị trí hub trung tâm nên chi phí mạng sẽ giảm đáng kể.
2.3 Kết luận
Như vậy có thể nói VPN là một trong những ứng dụng quan trọng nhất của MPLS. Kỹ thuật MPLS VPN đưa ra mộ t thay đổi cơ bản trong công nghệ VPN đó là sử dụng khái niệm Virtual Router thay cho Dedicated Router và Shared Router . Từ việc phân tích phương thức hoạt động của MPLS VPN ta thấy nó có nhiều ưu điểm hơn so với các dịch vụ VPN truyền thống:
Riêng biệt và bảo mật : MPLS VPN giữ các thông tin định tuyến riêng biệt cho mỗi VPN, đảm bảo người dùng chỉ có thể liên lạc được với các địa chỉ đã được lập sẵn cho VPN của mình.
Độc lập với khách hàng : MPLS VPN có cách đánh địa chỉ (gán nhãn trong mạng MPLS ) hết sức linh hoạt , người dùng có thể sử dụng bất cứ dải địa chỉ nào (kể cả các địa chỉ kiểm tra hoặc các địa chỉ không được đăng ký ) hoặc có thể sử sụng NAT (Network Address Translation). Mặt khác, người dùng còn có thể sử dụng các dải địa chỉ trùng hoặc giống nhau . Một điểm nổi bật khác là mạng của người dùng không yêu cầu các thiết bị hỗ trợ MPLS, các thiết bị đắt tiền như VPN Router với IP Sec hoặc bất cứ yêu cầu đặc biệt nào khác ngoài IP.
Linh hoạt và khả năng phát triển : Với các dịch vụ VPN dựa trên IP , số lượng router trên mạng tăng nhanh chóng theo số lượng các VPN . VPN sẽ phải chứa các bảng định tuyến ngày một lớn . MPLS VPN sử dụng một tập các BGP (Border Gateway Protocol ) ngang hàng giữa các LSR cạnh (Edge LSR ), cho phép số lượng VPN không hạn chế và hỗ trợ nhiều dạng VPN , dễ dàng tạo thêm các VPN hoặc site mới (chỉ cần thực hiện tại router của site mới).
Như vậy MPLS là một trong những giải pháp mạng đường trục cho mạng thế hệ mới , hiện xu hướng phát triển của MPLS là ATOM (Any traffic Over MPLS ), nghĩa là có khả năng đáp ứng bất cứ loại dịch v ụ nào: thoại, video, fax, data... MPLS VPN sẽ là một thị trường đầy tiềm năng và hứa hẹn mang lại nhiều lợi ích cho cả người dùng và nhà cung cấp dịch vụ viễn thông.
Ngày nay, tuy VPN vẫn đang còn là một công nghệ mới mẻ ở Việt nam, nhưng việc đầu tư nghiên cứu để chọn giải pháp tối ưu cũng là điều nên làm đối với các nhà cung cấp dịch vụ mạng./.
CHƢƠNG 3 ỨNG DỤNG MPLS IP VPN VÀO HỆ THỐNG MẠNG NGÀNH VÀ GIẢI PHÁP HỆ THỐNG
Tổng quan hệ thống mạng ngành thuế
Đánh giá ưu nhược điểm của hệ thống cơ sở hạ tầng hiện tại
Giải pháp MPLS IP VPN để nâng cao an ninh mạng cho ngành Thuế Các đề xuất cải tiến hệ thống
Thiết kế hệ thống cải tiến
Đánh giá về hệ thống đảm bảo an ninh Tổng quan hệ thống mạng ngành Thuế
3.1 Bối cảnh chung
Hệ thống mạng ngành Thuế nằm trong hệ thống mạng của ngành tài chính. Ngành Tài chính bắt đầu tiến hành xây dựng hệ thống hạ tầng truyền thông thống nhất từ năm 1999. Cho đến nay, Ngành Tài Chính đã thu được các thành quả đáng kể như: Về mặt kết nối: Đã xây dựng Trung tâm Miền Bắc và Nam, kết nối tới các đơn vị cấp TW như TCT, KBNN, TCHQ, Cục DTQG, Cục QLG, UBCK, Học viện Tài chính, đồng thời kết nối tới 64 Trung Tâm Tỉnh. Đã xây dựng 64 TTT và kết nối từ TTT tới các đơn vị Thuế, Kho Bạc và Tài chính của tỉnh, thành phố. Đã triển khai tới cấp huyện của 3 tỉnh Hà Nội, TpHCM và Hải Phòng. Với hệ thống như vậy đã bước đầu đáp ứng được yêu cầu của ngành Thuế: Trao đổi mã số thuế, quản lý thuế, trao đổi thông tin hệ thống,...
Tuy nhiên, kể từ khi có thiết kế hệ thống đầu tiên vào năm 1999 đến nay, đã có sự phát triển rất nhanh của lĩnh vực công nghệ thông tin trên thế giới và Việt nam, kèm theo sự ra đời của nhiều loại hình dịch vụ công cộng dựa trên các công nghệ mới. Do đó, vấn đề đặt ra là cần phải có các phân tích xem xét mức độ phù hợp với các yêu cầu mới của các thiết kế trước đây và hạ tầng truyền thông hiện tại, qua đó xây dựng cập nhật hệ thống hạ tầng mới phục vụ cho các nhu cầu cấp bách ngay hiện tại và trong tương lai xa hơn.
Tổng quan hệ thống mạng hiện tại ngành Thuế
TCT dùng chung hạ tầng mạng của BTC, thông qua việc chia sẻ kinh phí / dịch vụ với Cục Tin học và Thống kê Tài chính của BTC.