Mô hình mô phỏng đƣợc thực hiện nhƣ hình 2-16. Trong đó:
Các router P, PE1, PE2 là router của nhà cung cấp dịch vụ (ISP), trong đó PE1 và PE2 là các router biên. Router P là router của mạng lõi.
Có 2 khách hàng A, B sở hữu 2 site kết nối với nhà cung cấp qua các router CE. Trong đó CE-A1; CE-A2 là của khách hàng A, CE-B1 và CE-B2 là của khách hàng B. Hay nói cách khác là CE-A1 và CE-A2 tạo thành một VPN của khách hàng A; CE-B1 và CE-B2 tạo thành một VPN của khách hàng B.
Địa chỉ IP của các giao diện router đƣợc khai báo nhƣ hình trên.
Router Giao diện Kết nối với Địa chỉ IP/Subnet Mark
CE-A1 Serial 1/0 PE1 10.0.1.2/24
CE-A1 Loopback0 1.1.1.1/24
CE-A2 Serial 1/0 PE2 10.0.2.2/24
CE-A2 Loopback0 2.2.2.2/24
CE-B1 Serial 1/0 PE1 10.0.1.2/24
CE-B1 Loopback0 1.1.1.1/24
CE-B2 Serial 1/0 PE2 10.0.2.2/24
CE-B2 Loopback0 2.2.2.2/24
PE1 Serial 1/3 CE-A1 10.0.1.1/24
PE1 FastEthernet0/0 P 192.168.1.2/24
PE1 Loopback0 3.3.3.3/24
PE2 Serial 1/2 CE-B2 10.0.2.1/24
PE2 Serial 1/3 CE-A2 10.0.2.1/24
PE2 FastEthernet0/0 P 192.168.2.2/24
PE2 Loopback0 4.4.4.4/24
P FastEthernet0/0 PE1 192.168.1.1/24
P FastEthernet2/0 PE2 192.168.2.1/24
d. Các bước cấu hình
Bƣớc 1: Cấu hình cơ bản cho các thiết bị
Router(config)#hostname name //cấu hình tên router
Router(config)#no ip domain lookup //không tự động phân giải tên miền Router(config)#line console 0
Router(config-line)#exec-timeout 0 0
Router(config)#line vty 0 4 // Cấu hình telnet Router(config-line)#previlege level 15
Router(config-line)#no login
VD: Cấu hình cơ bản cho router CE-A1:
Router(config)#hostname A1 A1(config)#no ip domain lookup A1(config)#line console 0
A1(config-line)#exec-timeout 0 0 A1(config)#line vty 0 4
A1(config-line)#previlege level 15 A1(config-line)#no login
Bƣớc 2: Cấu hình địa chỉ IP cho các router
Router(config-if)#ip address IP_address Router(config-if)#no shutdown
Router(config-if)#clock rate x //dùng cho interface serial Router(config)#interface loopback 0
VD: Cấu hình địa chỉ IP cho router CE-A1
A1#config terminal
Enter configuration commands, one per line. End with CNTL/Z. A1(config)#interface S1/0 // Đặt địa chỉ cho interface S1/0 A1(config-if)#ip address 10.0.1.2 255.255.255.0
A1(config-if)#no shutdown // Bật Interface A1(config-if)#Clockrate 64000
A1(config-if)#interface loopback0 // Đặt địa chỉ cho cổng loopback 0 A1(config-if)#ip address 1.1.1.1 255.255.255.0
Bƣớc 3: Cấu hình định tuyến cơ bản cho 3 router mạng lõi (P; PE1;PE2)
Router(config-router)#version 2
Router(config-router)#network network address Router(config-router)#no auto-summary
VD:Cấu hình định tuyến cơ bản cho router P:
P#config terminal
Enter configuration commands, one per line. End with CNTL/Z. P(config)#router rip
P(config-router)#version 2
P(config-router)#network 192.168.1.0 P(config-router)#network 192.168.2.0
Bƣớc 4: Cấu hình MPLS cho router Core (PE1; PE2,P)
Router(config)#ip cef Router(config-if)#mpls ip
Router(config-if)#mpls label protocol ldp
Router(config-if)#mpls mtu size
Bƣớc 5: Cấu hình bảng định tuyến VRF cho các khách hàng:
Router(config)#ip vrf customer_name Router(config-vrf)#rd ASN:nn
Router(config-vrf)route-target import AS:nn Router(config-vrf)route-target export AS:nn VD: Cấu hình bảng định tuyến VRF cho router PE1
PE-1(config)#ip vrf A1 PE-1(config-vrf)#rd 1:100
PE-1(config-vrf)# route-target export 1:100 PE-1(config-vrf)# route-target import 1:100 PE-1(config-vrf)#exit
Bƣớc 6: Cấu hình VRF forwarding cho interface
Router(config)#ip vrf forwarding customer_name VD: Cấu hình VRF forwarding cho router PE1
PE-1(config)#interface serial1/2 PE-1(config-if)#ip vrf forwarding B1 PE-1(config-if)#exit
PE-1(config)#interface serial1/3 PE-1(config-if)#ip vrf forwarding A1
Bƣớc 7: Cấu hình định tuyến VRF dùng EIGRP
Router(config)#router eigrp 100
Router(config-router)#address-family ipv4 vrf customer_name Router(config-router-af)#network network wildcardmask Router(config-router-af)#autonomous-system AS
Router(config-router-af)#no auto-summary Router(config-router-af)#exit-address-family VD: Cấu hình định tuyến VRF với router PE-1
PE-1(config)#router eigrp 100 PE-1(config-router)# auto-summary PE-1(config-router)# !
PE-1(config-router)# address-family ipv4 vrf B1
PE-1(config-router-af)# redistribute bgp 1 metric 1000 100 100 100 100 PE-1(config-router-af)# network 10.0.1.0 0.0.0.255
PE-1(config-router-af)# no auto-summary PE-1(config-router-af)# autonomous-system 30 PE-1(config-router-af)# exit-address-family
Bƣớc 8: Cấu hình định tuyến EIGRP cho router khách hàng
Router(config)#router eigrp as
Router(config-router)#network network wildcardmask Router(config-router)#no auto-summary
VD: Cấu hình định tuyến EIGRP cho router CE-A1
A1(config)#router eigrp 10
A1(config-router)# network 1.1.1.0 0.0.0.255 A1(config-router)# network 10.0.1.0 0.0.0.255 A1(config-router)# no auto-summary
Bƣớc 9: Cấu hình BGP giữa 2 router PE
Router(config)#router bgp as
Router(config-router)#no synchronization
Router(config-router)#bgp log-neighbor-changes Router(config-router)#neighbor ip_address remote-as 1
Router(config-router)#neighbor ip_address update-source loopback 0 Router(config-router)#no auto-summary
VD: Cấu hình BGP tại router PE1
PE-1(config)#router bgp 1
PE-1 (config-router)#no synchronization
PE-1 (config-router)#bgp log-neighbor-changes PE-1 (config-router)#neighbor 4.4.4.4 remote-as 1
PE-1 (config-router)# neighbor 4.4.4.4 update-source Loopback0 PE-1 (config-router)#no auto-summary
Bƣớc 10: Cấu hình VPNv4
Router(config-router)#address-family vpnv4
Router(config-router-af)#neighbor ip_address activate
Router(config-router-af)#neighbor ip_address send-community extended Router(config-router-af)#exit-address-family
VD: Cấu hình Vpn v4 tại router PE1
PE-1(config)#
PE-1(config)#router bgp 1
PE-1(config-router)# address-family ipv4
PE-1(config-router-af)# neighbor 4.4.4.4 activate PE-1(config-router-af)# no auto-summary
PE-1(config-router-af)# exit-address-family
Bƣớc 11: Cấu hình bảng VRF cho BGP
Router(config-router)#address-family ipv4 vrf Customer_name Router(config-router-af)#no auto-summary
Router(config-router-af)#no synchronization Router(config-router-af)#exit-address-family VD: Cấu hình bảng VRF A1cho BGP của router PE-1
PE-1(config-router)# address-family ipv4 vrf A1 PE-1(config-router-af)# redistribute eigrp 10 PE-1(config-router-af)# no synchronization PE-1(config-router-af)# exit-address-family
Bƣớc 12: Redistribute EIGRP vào BGP
Router(config-router)#address-family ipv4 vrf Customer_name Router(config-router-af)#redistribute eigrp AS
VD: Cấu hình redistribute của router PE-1
PE-1(config)#router bgp 1
PE-1(config-router)# address-family ipv4 vrf B1 PE-1(config-router-af)# redistribute eigrp 30
Bƣớc 13: Redistribute BGP và EIGRP
Router(config)#router eigrp AS
Router(config-router)#address-family ipv4 vrf Customer
Router(config-router-af)#redistribute bgp 1 metric 1000 100 100 100 100 VD: Cấu hình redistribute BGP và EIGRP của router PE-1
PE-1(config)#router eigrp 100
PE-1(config-router)#address-family ipv4 vrf A1
PE-1(config-router-af)# redistribute bgp 1 metric 1000 100 100 100 100
2.4.2. Phân tích mô hình mô phỏng dựa trên các bƣớc cấu hình
Mô hình mô phỏng VPN sử dụng công nghệ MPLS trên là mô hình đơn giản nhất về bảo mật (giống hình 2-2). Tại mô hình này, có 2 khách hàng A và B. Mỗi khách hàng có 2 site, các site này giao tiếp với nhau thông qua mạng lõi, và không có giao tiếp giữa các VPN với nhau, cũng nhƣ giữa VPN với internet,… Do đó phần bảo mật quan trọng trong mô hình này là không cho gửi lƣu lƣợng giữa các VPN hoặc từ VPN đến mạng lõi. Dựa trên các bƣớc cấu hình để mô hình mô phỏng đƣợc, ta có các nhận xét sau:
a. Tại các router CE của khách hàng
Các router CE của khách hàng chỉ khai báo địa chỉ IP cho các giao diện (interface) của mình và sử dụng giao thức EIGRP để quảng bá địa chỉ mạng của mình. Do đó gói tin mà router CE gửi tới router PE thuần túy là gói tin IP, không phải là gói
tin MPLS và không có gắn nhãn. Việc gắn nhãn sẽ đƣợc thực hiện tại router PE. Các gói tin từ router CE không gắn nhãn do đó không thực hiện đƣợc việc giả mạo nhãn của VPN khác.
Các router CE của khách hàng A và B có cùng không gian địa chỉ với nhau và khai báo giống hệt nhau. Tuy nhiên hai VPN này vẫn tách biệt nhau về mặt lƣu lƣợng nhờ sử dụng VPN-IPv4 address family . (Nhƣ đã nói ở phần II.3.1.1). Một địa chỉ VPN-IPv4 sẽ bao gồm địa chỉ IPv4 thông thƣờng (trùng nhau giữa 2 VPN) và 8byte phân biệt Router distinguisher (tham số Rd đƣợc khai báo ở các PE).
b. Tại các router PE của nhà cung cấp
Mô hình MPLS tuân theo nguyên tắc “Đinh tuyến tại biên, chuyển mạch tại lõi”. Do đó hầu hết các thông số MPLS của mạng riêng ảo VPN đều đƣợc khai báo tại các router PE của nhà cung cấp. Cũng chính vì vậy mà router PE đóng vai trò quan trọng trong bảo mật MPLS/VPN.
Sự tách biệt không gian địa chỉ
Nhƣ đã phân tích ở trên, hai VPN của hai khách hàng A và B đều sử dụng chung một không gian địa chỉ IPv4. Do đó để tách biệt không gian địa chỉ của hai khách hàng này cần phải thêm vào phần địa chỉ IPv4 của mỗi gói tin một tham số phân biệt con đƣờng định tuyến- tham số Route Distinguisher, thông qua khai báo sau trong khi cấu hình router:
Khai báo cho khách hàng A
PE-1(config)#ip vrf A1 PE-1(config-vrf)#rd 1:100
PE-1(config-vrf)# route-target export 1:100 PE-1(config-vrf)# route-target import 1:100 PE-1(config-vrf)#exit
Khai báo cho khách hàng B
PE-1(config)#ip vrf B1 PE-1(config-vrf)#rd 1:200
PE-1(config-vrf)# route-target export 1:200 PE-1(config-vrf)# route-target import 1:200 PE-1(config-vrf)#exit
Bảo mật MPLS/VPN có thể xẩy ra do lỗi cấu hình sai từ nhân viên của nhà cung cấp dịch vụ. VD: nếu khai báo cho khách hàng A, nhân viên gõ nhầm rd 1:200 (thay cho rd 1:100). Với không gian địa chỉ trùng nhau giữa hai khách hàng A và B, site CE-A1 của khách hàng A sẽ có khả năng xâm nhập trái phép vào VPN của khách hàng B. Khách hàng khó có thể phát hiện ra sự nhầm lẫn này.
Nhờ sử dụng địa chỉ VPN-IPv4 nên không gian địa chỉ của các VPN hoàn toàn độc lập. Mặt khác, các thiết bị định tuyến trong mạng lõi sử dụng không gian địa chỉ IPv4 có cấu trúc khác với VPN-IPv4 nên không gian địa chỉ mạng lõi hoàn toàn độc lập với không gian địa chỉ VPN.
Quan sát cấu hình mô phỏng ta nhận thấy. Mỗi router PE có hai loại giao diện: Một là các giao diện kết nối với khách hàng (giao diện thuộc VRF) và hai là giao diện kết nối với mạng lõi (giao diện không thuộc VRF). Sự tách biệt lƣu lƣợng sẽ phụ thuộc vào kiểu giao diện mà các gói đi vào router PE:
Giao diện không thuộc VRF: Nếu các gói tin đi vào router thông qua giao diện không thuộc VRF thì quyết định chuyển tiếp gói tin phụ thuộc vào bảng định tuyến toàn cục và các gói tin hoạt động nhƣ những gói tin bình thƣờng.
Giao diện thuộc VRF: Nếu các gói đi vào qua một giao diện thuộc một VRF bằng cách sử dụng lệnh “ip vrf forwarding” thì các quyết định về chuyển tiếp dựa trên bảng chuyển tiếp của VRF đó. Ví dụ:
PE-1(config)#interface serial1/2 PE-1(config-if)#ip vrf forwarding B1 PE-1(config-if)#exit PE-1(config)#interface serial1/3 PE-1(config-if)#ip vrf forwarding A1 Kết luận:
Dựa trên mô hình mô phỏng và các bƣớc cấu hình PE ta có thể nhận thấy VPN đƣợc tách biệt với nhau và với mạng lõi nhờ:
Một giao diện trên PE chỉ có thể thuộc về một VRF.
Các đƣờng kết nối PE-CE về logic chỉ thuộc một VPN. Các VPN khác không thể truy nhập đƣợc nó.
Các thông tin địa chỉ trên PE của VPN sử dụng VPN-IPv4 làm cho VPN là duy nhất thông qua RD. VPN-IPv4 chỉ đƣợc nắm giữ bởi PE và thiết bị phân phối định tuyến.
Các lƣu lƣợng đƣợc chuyển tiếp qua mạng lõi thông qua các đƣờng dẫn và đƣờng ngầm chuyển mạch nhãn bằng cách gắn thêm mào đầu cho mỗi gói tin.
Các nhà cung cấp dịch vụ có thể mong đợi mạng lõi của họ đƣợc tách biệt với mạng VPN bởi vì: Các địa chỉ của thiết bị P và PE là địa chỉ IPv4. VPN sử dụng không gian địa chỉ VPN-IPv4 cho nên VPN không thể truy nhập đƣợc vào thiết bị P và PE.
c. Tại các router P của nhà cung cấp
Các router P là router trung tâm của mạng lõi, và không trực tiếp giao tiếp với các router CE của khách hàng. Do nguyên tắc của MPLS là: “Định tuyến tại biên,
chuyển mạch tại lõi”, nên các router này đóng vai trò không mấy quan trọng trong VPN. Trên thực tế cấu hình của router P, ngƣời sử dụng chỉ có nhiệm vụ khai báo:
P(config)#ip cef: Kích hoạt quá trình CEF (Cisco Express Forwarding) là một
quá trình chuyển mạch IP ở lớp 3, giúp tối ƣu hóa hiệu suất và sự linh động cho mạng. CEF là một thành phần thiết yếu cho chuyển mạch nhãn (label switching) và chịu trách nhiệm sắp xếp và cài đặt nhãn trong một mạng MPLS
P(config-if)#mpls ip: Cho phép MPLS chuyển tiếp gói tin IP v4 thông qua con
đƣờng định tuyến thông thƣờng của các giao diện (interface)
P (config-if)#mpls label protocol ldp: Cho phép giao thức phân phối nhãn ldp
hoạt động.
Nhƣ vậy router P không biết gì về VPN, nó chỉ đóng vai trò chuyển tiếp các gói tin MPLS, và không có khả năng tác động vào sự tách biệt của các VPN. Đây cũng là ƣu điểm trong việc mở rộng mạng: việc mở rộng mạng chỉ cần thêm các router PE và khai báo các router PE nối với nó. Router P chỉ cần khai báo thêm giao tiếp với các router PE.
Mặt khác, do router P chỉ đóng vai trò là chuyển tiếp gói tin MPLS, nên các gói tin của khách hàng không thể tác động trực tiếp đến mạng lõi.
2.4.3. Phân tích mô hình mô phỏng dựa trên hoạt động của mô hình
a. Lệnh show mpls forwarding-table
Chức năng: Kiểm tra bảng LFIB (Label Switching Information Base): là bảng
kết nối trong các LSR (Label Switching Router) có chứa thông tin về nhãn đầu vào, nhãn đầu ra, giao diện đầu ra và địa chỉ điểm tiếp theo.
Thực hiện lệnh trên tại 3 router biên ta nhận đƣợc kết quả nhƣ sau:
Router PE1:
PE-1#show mpls forwarding-table
Local Outgoing Prefix Bytes tag Outgoing Next Hop tag tag or VC or Tunnel Id switched interface
16 Pop tag 192.168.2.0/24 0 Fa0/0 192.168.1.1 17 Untagged 1.1.1.0/24[V] 0 Se1/3 point2point 18 Aggregate 10.0.1.0/24[V] 0
20 Aggregate 10.0.1.0/24[V] 0
21 17 4.4.4.0/24 0 Fa0/0 192.168.1.1 22 Untagged 1.1.1.0/24[V] 0 Se1/2 point2point
Router PE2:
PE-2#show mpls forwarding-table
Local Outgoing Prefix Bytes tag Outgoing Next Hop tag tag or VC or Tunnel Id switched interface
16 16 3.3.3.0/24 0 Fa0/0 192.168.2.1 17 Pop tag 192.168.1.0/24 0 Fa0/0 192.168.2.1 18 Aggregate 10.0.2.0/24[V] 0
20 Aggregate 10.0.2.0/24[V] 0
23 Untagged 2.2.2.0/24[V] 0 Se1/3 point2point 24 Untagged 2.2.2.0/24[V] 0 Se1/2 point2point
Router P:
P#show mpls forwarding-table
Local Outgoing Prefix Bytes tag Outgoing Next Hop tag tag or VC or Tunnel Id switched interface
16 Pop tag 3.3.3.0/24 1683 Fa0/0 192.168.1.2 17 Pop tag 4.4.4.0/24 1902 Fa2/0 192.168.2.2
Phân tích kết quả câu lệnh trên ta thấy: Cả 3 router PE1, PE2, P đều là thành phần cơ bản của thiết bị định tuyến chuyển mạch nhãn LSR. Các thiết bị này thực hiện chức năng chuyển tiếp gói thông tin trong phạm vi MPLS bằng thủ tục phân phối nhãn.
Các router PE1, PE2 nằm ở biên mạng MPLS, có nhiệm vụ gán hay loại bỏ nhãn cho các gói thông tin đến hoặc đi khỏi mạng MPLS. Việc gán nhãn trên các router PE có tác dụng chống giả mạo nhãn. Nếu ngƣời sử dụng tạo ra nhãn giả và gửi chúng vào mạng lõi nhằm xâm nhập trái phép VPN khác; các gói tin này sẽ bị chặn trên router PE, do router PE không chấp nhận các gói tin có nhãn gửi đến từ các CE.
Router P làm nhiệm vụ chuyển tiếp gói tin có nhãn. Cụ thể nếu gói tin đến có nhãn là 16, router P sẽ loại bỏ nhãn này và chuyển đến Next hop là 192.168.1.2. Nếu gói tin chuyển đến có nhãn là 17, router P sẽ loại bỏ nhãn này và chuyển đến Nexthop là 192.168.2.2.
Nhƣ vậy các gói tin của khách hàng từ router CE chuyển tiếp đến router PE, đƣợc định tuyến, gán nhãn rồi chuyển tiếp đến router P. Router P căn cứ vào nhãn (không căn cứ vào địa chỉ IP ) sẽ chuyển tiếp đến router tiếp theo. Do đó tăng tốc độ gói tin đi qua mạng lõi, đồng thời gói tin của khách hàng không có khả năng can thiệp vào mạng lõi, không gây ảnh hƣởng gì với hoạt động của mạng lõi.
b. Chống tấn công do thám
Trƣớc khi tấn công một mạng, các hacker thƣờng phải tấn công thăm dò để thu thập thông tin về topo mạng, kiẻu mạng, thiết bị phần cứng,… Do đó mạng lõi cần phải đƣợc che giấu chống lại những do thám ở bên ngoài đối với mạng lõi. Sau đây là một ví dụ.
Hiện tƣợng:
Ngƣời sử dụng tại router CE-A1, thực hiện lệnh traceroute tới CE-A2 để xác định các điểm mà gói tin đi qua khi truyền từ site này đến site kia của VPN
A1#traceroute 2.2.2.2
Type escape sequence to abort. Tracing the route to 2.2.2.2
1 10.0.1.1 152 msec 52 msec 96 msec
2 192.168.1.1 [MPLS: Labels 17/21 Exp 0] 456 msec 404 msec 456 msec