Ngày nay khách hàng có nhu cầu về dịch vụ rất đa dạng và phức tạp. Chẳng hạn nhƣ một công ty vừa muốn điều khiển cấu hình định tuyến của riêng họ, lại vừa muốn SP cung cấp truy nhập Internet và một số dịch vụ mạng khác, nhƣ VPN. Do vậy để cung cấp thêm tính năng điều khiển, SP cần có một router riêng cho khách hàng. Cách này khá đắt và khó quản lý. Để giải quyết vấn đề này ngƣời ta tạo ra các router ảo (Virtual Router - VR) trong một router vật lý. Mỗi VR đều có khả năng định tuyến và
điều khiển cấu hình nhƣ router vật lý. Cách này có chi phí thấp và có khả năng thu lợi cao.
Định nghĩa router ảo:
VR đƣợc tạo ra trên các router vật lý ở các mức phần cứng hoặc phần mềm. Mỗi router ảo có bảng định tuyến và chuyển tiếp IP riêng biệt. Các bảng này hoàn toàn cách li với nhau. Vì thế hai VR có thể phục vụ hai VPN khác nhau dùng chung một không gian địa chỉ. Miễn là dải địa chỉ đó là duy nhất trong miền VPN.
VR có hai chức năng chính:
Cấu trúc bảng định tuyến các đƣờng giữa các điểm VPN bằng cách sử dụng kĩ thuật định tuyến nhƣ OSPF, RIP, BGP…
Chuyển gói đến HOP tiếp theo trong miền VPN.
Đối với khách hàng thì VR không khác gì một router thật với các chức năng hoàn toàn giống nhau. Khả năng định tuyến và chuyển tiếp độc lập của mỗi VR luôn đảm bảo tính cách li dữ liệu của VPN khi chạy trên tài nguyên truyền dẫn và chuyển tiếp chia sẻ chung trong mạng SP.
Các VR trong cùng một VPN nhất thiết phải có cùng nhận dạng mạng riêng ảo (VPN-ID). Nếu các VR trong VPN cho trƣớc sử dụng BGP làm giao thức định tuyến trong mạng lõi, thì VPN-ID cần có thêm phần NLRI, để địa chỉ của VR trở thành duy nhất trên toàn mạng. VÌ địa chỉ VR trở thành duy nhất trên toàn mạng khi sử dụng BGP làm giao thức tự động cập nhật cấu hình, nên VPN-ID là yếu tố quan trọng trong khâu hỗ trợ việc tự động cấu hình, đồng thời nâng cao tính khả triển của dịch vụ VPN dựa trên VR.
Đối với thiết bị CE, VR là router lân cận trong mạng dựa trên CE. Thiết bị CE gửi toàn bộ lƣu lƣợng mà đích là các host ở trong VPN khác điểm tới VR, trừ khi cấu trúc VPN đặc biệt cung cấp tuyến đƣờng khác. Tất cả CE đều phải học thông tin về các đích có thể tới đƣợc trong VPN, thông qua kết nối với VR. Các VR trong miền VPN có trách nhiệm học thông tin định tuyến từ các VR khác, đồng thời liên tục cập nhật thông tin định tuyến của mình tới các VR khác. Một VR chỉ lƣu giữ thông tin định tuyến của VPN mà nó là thành viên.
Yêu cầu đối với các router ảo:
Một router ảo không thể đƣợc tạo ra một cách tùy ý trên router vật lý, mà nó phải đảm bảo những yêu cầu sau:
VR phải đảm bảo có thể chạy đƣợc giao thức định tuyến.
VR phải có cơ sở thông tin định tuyến (RIB) riêng cho mỗi công nghệ mà nó hỗ trợ (IPv4, IPv6, MPLS…)
VR phải cung cấp khả năng quản lý đƣợc cho ngƣời quản trị chịu trách nhiệm về nó. Thƣờng việc này đƣợc thực hiện nhờ các giao thức hoặc chƣơng trình quản lý chuẩn.
VR phải cung cấp khả năng quản lý đƣợc cho ngƣời có quyền quản trị hệ thống. Việc này đƣợc thực hiện nhờ các giao thức hoặc chƣơng trình quản lý chuẩn.
Đồng thời mỗi VR cũng phải có một cơ sở thông tin chuyển tiếp (FIB) riêng ứng với mỗi công nghệ nó hỗ trợ.
Trong trƣờng hợp có một thực thể FIB vật lý chung thì các FIB của mỗi VR phải đƣợc cách li logic hoàn toàn.
Việc chuyển tiếp có thể đƣợc thực hiện bằng phần cứng hoặc phần mềm, và có thể là chuyển tiếp nội trong VR hoặc giữa các VR. Nếu là chuyển tiếp giữa các VR thì thông tin về các dữ liệu, khung, tuyến đƣờng, ARP… giữa các VR đều phải độc lập về mặt logic.
Yêu cầu kiến trúc VPN VR:
VPN cũng có một số yêu cầu nhất định đối với VR.
Tính thành viên: Tất cả các VR trong một VPN đều phải có VPN-ID giống nhau.
Tính khả triển: VR vẫn phải đảm bảo là các router trong mạng lõi không lƣu giữ thông tin gì về VPN, nó chỉ có chức năng chuyển tiếp các gói dữ liệu trong VPN
Chất lƣợng dịch vụ (QoS): Những phƣơng thức cung cấp QoS hiện có, đƣợc phát triển cho các router vật lý đều có thể áp dụng cho router ảo. Vì thế vẫn có thể cung cấp chất lƣợng dịch vụ cho khách hàng một cách bình thƣờng. Tự động cập nhật cấu hình mới (auto-discovery): VR cũng có chức năng tự
động cập nhật cấu hình mới mỗi khi có thêm VPN, hoặc thêm điểm khách hàng tham gia vào VPN, và trao đổi các thông tin định tuyến riêng trong mạng lõi.
PE-CE: Tất cả các giao thức định tuyến đều có thể sử dụng đƣợc. Ban đầu trong mạng IP ngƣời ta hay sử dụng giao thức BGP, RIP hoặc định tuyến tĩnh.
Định tuyến trong mạng lõi: Các phƣơng thức định tuyến trong mạng lõi không ảnh hƣởng đến VPN sử dụng VR.
PE-PE: có thể sử dụng tất cả các giao thức hiện có.
Tuy nhiên, cần chú ý khi sử dụng các giao thức định tuyến khác nhau giữa các điểm, bởi vì các giao thức này có những hệ thống quy chiếu khác nhau và tham số khác nhau.
Tính bảo mật: Kiến trúc kiểu này cần thiết phải có các biện pháp bảo mật ở các mức độ khác nhau cho dữ liệu VPN, thông tin định tuyến và các thông tin điều khiển khác. Nên có các thủ tục nhận thực và mã hóa dữ liệu cho VPN VR.
Cấu trúc: VR cần phải hỗ trợ tất cả các kiểu cấu trúc VPN (hub-and-spoke, full mesh hay hỗn hợp). VR nên hỗ trợ xây dựng cấu trúc VPN bất kì. Ví dụ kiểu cấu trúc có VR trên PE hỗ trợ một VPN xác định, và VR này có thể lại đóng vai trò là P đối với các VPN khác trong mạng của nhà cung cấp.
Đƣờng hầm: Kiến trúc VR không nhất thiết chỉ sử dụng một giao thức đƣờng hầm nhất định, mà có thể sử dụng các kiểu đƣờng hầm nhƣ IPsec, GRE, MPLS…Đƣờng hầm nên có khả năng ghép nhiều VPN để tăng tính khả triển. Và trong một VPN cũng có thể có nhiều kiểu đƣờng hầm.
Khả năng quản lý: Kiến trúc VR phải đảm bảo cho việc cấu hình, triển khai, tổ chức hoạt động và sửa lỗi cho mỗi VPN đƣợc dễ dàng. Nên sử dụng các công cụ giúp cho việc tổ chức hoạt động, quản lý và sửa lỗi mạng IP sẵn có, không cần phải sửa đổi để phù hợp.
Kiến trúc:
Kiến trúc cần cung cấp đƣợc các VPN có kích thƣớc khác nhau.
Đồng thời phải hỗ trợ xử lí việc trùng không gian địa chỉ IP trong mỗi VPN.
Kiến trúc VR nên hỗ trợ kết nối trực tiếp giữa các điểm VPN không qua mạng của nhà cung cấp (liên kết cửa sau). Lƣu lƣợng vừa có thể đi trực tiếp trên kết nối này vừa có thể đi qua mạng của nhà cung cấp.
Cấu trúc mạng VPN VR:
Cấu trúc của VPN VR thực chất giống với cấu trúc sử dụng router vật lý. Điểm khác duy nhất là CE đƣợc nối tới một router ảo nằm trên một PE thật. Mỗi CE đƣợc cấu hình trƣớc là nối tới một hay nhiều VR. Có thể có nhiều VR cùng tồn tại trên một thiết bị PE.
Các CE có thể kết nối tới VR qua nhiều dạng liên kết truy nhập nhƣ ATM, FR, Ethernet, PPP hay đƣờng hầm nhƣ IPsec, GRE, L2TP..
Nhƣ vậy, ta có thể thấy rằng giải pháp router ảo khác so với RFC2547. Điểm khác biệt đó nằm ở chỗ, hoạt động định tuyến mở rộng đến đâu tính từ CE. Ở RFC2547, hoạt động khách hàng kết thúc trên PE. Từ đây SP sử dụng giao thức i-BGP để phân ghép các phân phối tuyến đƣờng. Còn VR thì khác, nó duy trì định tuyến khách hàng trong mạng của SP và không ảnh hƣởng gì tới thông tin định tuyến trong mạng lõi.
Hình 1-11: Cấu trúc mạng VPN VR
Mặt khác, trong mỗi trƣờng hợp đều có router ảo tƣơng ứng với mỗi VRF để chuyển dữ liệu đi từ một thiết bị CE. Tuy nhiên trong RFC2547, router PE chỉ cần một giao thức BGP để quảng bá đƣờng từ tất cả các VRF trong nó qua mạng của nhà cung cấp. Nhƣng trong trƣờng hợp giải pháp router ảo thì mỗi một router ảo tƣơng ứng với một VRF sẽ có một đƣờng hầm với một giao thức riêng có thể không giống nhau.
Xây dựng và triển khai VPN VR:
Kết nối VR-VR qua liên kết kênh ảo lớp 2:
Ở phƣơng thức này các VPN VR đƣợc triển khai trên kết nối ATM hay FR hoặc các công nghệ vận chuyển lớp 2 khác.
Đây là kiểu triển khai cho phép đƣa trực tiếp kĩ thuật QoS vào trong kết nối VPN. Kết nối có thể đƣợc cài đặt trƣớc hoặc tự động cập nhật cấu hình.
Định đường hầm VR-VR qua mạng IP hoặc MPLS:
Có thể kết nối các VR bằng cách định đƣờng hầm qua mạng đƣờng trục IP hay MPLS của nhà cung cấp. Cấu trúc của dạng VPN VR này cũng giống nhƣ cấu trúc của dạng VPN kết nối VR qua liên kết lớp 2. Tất cả thông tin định tuyến và dữ liệu VPN đều đƣợc chuyển đi trên đƣờng hầm IP hoặc MPLS (ví dụ IPsec, GRE, IP-in-IP, MPLS).
Tuy nhiên, VPN VR xây dựng theo cấu trúc này cần một đƣờng hầm cho mỗi VPN, nên tính khả triển không cao. Khắc phục vấn đề này ngƣời ta tạo ra một VR
khác đóng vai trò nhƣ là một router PE để tập trung các VR trƣớc khi đi vào mạng của nhà cung cấp. Giải pháp triển khai này gọi là kết hợp các VR thông qua một router ảo đƣờng trục.
Kết hợp các VR thông qua router ảo đường trục:
Một kiểu cấu hình VPN khác, nâng cao tính khả triển hơn so với VPN VR cơ bản đó là tập trung các router ảo vào một VR khác, trƣớc khi định đƣờng hầm vào mạng của nhà cung cấp. VR tập trung này cũng đƣợc tạo ra trên cùng một thiết bị PE với các VR khác, và nó đƣợc gọi là router ảo đƣờng trục hay VR đƣờng trục. Trong VPN dựa trên VR thì sử dụng VR đƣờng trục hay không là tùy chọn. Khi lựa chọn giải pháp có triển khai VR đƣờng trục thì phải cấu hình nó trên tất cả các PE mà có VPN đƣợc mạng đƣờng trục hỗ trợ tham gia.
Do VR đƣờng trục cho phép kết hợp nhiều VR từ các VPN khác nhau, nên nó không ảnh hƣởng đến mạng đƣờng trục khi có thêm VPN hoặc điểm VPN tham gia. Mối quan hệ giữa VR đƣờng trục và các VR khác là mối quan hệ chồng lấn (overlay). Trong mối quan hệ đó, VR và VR đƣờng trục đƣợc coi là các router hoàn toàn độc lập mặc dù chúng cùng tồn tại trên một thiết bị vật lý. Lúc này VR đƣờng trục đóng vai trò nhƣ là thiết bị PE, mỗi VR chịu trách nhiệm với mỗi VPN khác nhau, đóng vai trò là thiết bị CE của một VPN. Nhờ thế ngƣời ta có thể ghép các VPN trong cấu hình phân cấp, sử dụng đóng gói IP hay chồng nhãn MPLS, tùy thuộc vào công nghệ đƣờng hầm sử dụng giữa các VR đƣờng trục.
Sử dụng VR đƣờng trục vừa cung cấp khả năng kết hợp các VPN, trong khi vẫn có thể tạo ra các kết nối đơn lẻ cho mỗi VPN. Về mặt lí thuyết ngƣời ta có thể tạo ra nhiều VR đƣờng trục trên cùng một thiết bị PE vật lý.
Truy nhập Internet:
Có nhiều phƣơng thức cho phép VPN VR cung cấp truy nhập Internet. Phƣơng thức truy nhập Internet đầu tiên là cấu hình một VR đƣờng trục, để định hƣớng lƣu lƣợng riêng tới VR VPN, còn lƣu lƣợng Internet đƣợc chuyển tới bảng chuyển tiếp đƣờng trục/Internet một cách bình thƣờng.Cần có chức năng tƣờng lửa để đảm bảo an toàn cho việc truy nhập Internet ở các VR đƣờng trục. Ngoài ra có thể cấu hình dịch vụ chuyển đổi địa chỉ trên các VR đƣờng trục hoặc các VPN VR tại những nơi cần truy nhập Internet.
Có thể làm theo cách khác đó là cấu hình một VR đặc biệt chỉ để thực hiện truy nhập Internet. Ngoài ra còn có thể thiết lập một tuyến đƣờng đặc biệt mặc định tới cổng Internet (cổng này cũng có thể là một VR).
Carrier’s Carrier:
Cấu trúc Carrier’s Carrier ở dạng VPN VR cũng giống nhƣ trong RFC2547, và còn đƣợc gọi là VPN phân cấp. Nó cung cấp dịch vụ đƣờng trục tới các carrier con. Một carrier’s carrier có thể hỗ trợ nhiều carrier con trong cùng một thiết bị PE. VR cung cấp một số phƣơng pháp thực hiện VPN phân cấp nhƣ sau;
Phƣơng pháp 1: xây dựng đƣờng hầm của Carrier’s Carrier đến CE của khách hàng (remote CE – CE ở xa) của một carrier con. Trong trƣờng hợp này VR của Carrier’s Carrier cung cấp dịch vụ VPN tới các CE ở xa. Carrier con chỉ đóng vai trò vận chuyển mà không tham gia vào các dịch vụ VPN. Phƣơng pháp này đặc biệt hữu dụng trong trƣờng hợp thiết bị PE hay P của carrier con cũng là VR (mà VR này có thể đƣợc cấu hình trên cùng một thiết bị vật lý với VR của Carrier’s Carrier), hoặc trong trƣờng hợp mạng con để cho nhà cung cấp dịch vụ khác quản lý dịch vụ VPN của mình.
Phƣơng pháp 2: Các dịch vụ VPN của mạng con hoàn toàn trong suốt đối với VR của Carrier’s Carrier. Đây là trƣờng hợp mặc định. Việc phân phối thông tin của các VPN qua CE của khách hàng của nó là tùy thuộc vào dịch vụ VPN của mạng con.
CHƢƠNG 2 - BẢO MẬT TRONG MPLS VPN 2.1. Khái niệm vê bảo mật trong MPLS VPN
2.1.1. Khái niệm
Trong môi trƣờng MPLS VPN, vấn đề bảo mật có thể đƣợc xem xét theo hai góc độ: Từ phía khách hàng VPN hoặc từ phía nhà cung cấp dịch vụ. Cả hai góc độ này đều có những kiểu đe dọa tấn công khác nhau.
Đối với khách hàng, sự an toàn chống xâm nhập từ mạng ngoài là quan trọng nhất. Do đó một trong những đe dọa chính với khách hàng là sự xâm nhập vào trong miền VPN của họ.
Về phía nhà cung cấp dịch vụ, một trong những vấn đề chính là mạng lõi và một trong những mối đe dọa chính là ngăn chặn những tấn công từ chối dịch vụ (DoS). Cả hai góc độ đều quan trọng trong MPLS VPN, nhƣng mỗi góc độ lại có tầm quan trọng khác nhau với các kiểu đe dọa của riêng chúng.
Mô hình tham chiếu bảo mật MPLS VPN cho phép xóa bỏ những nét riêng của các vùng mạng khác nhau trong môi trƣờng MPLS VPN và xác định ra cái gọi là vùng bảo mật (vùng đƣợc tin tƣởng). Mỗi vùng bảo mật có các chính sách bảo mật và các mô hình (kiểu) đe dọa riêng của chúng.
Do đó cách chính xác để định nghĩa “bảo mật” trong một ngữ cảnh nào đó bắt đầu bởi việc định nghĩa ra các vùng bảo mật trong các môi trƣờng đƣơc đƣa ra và sau đó là xây dựng những mô hình đe dọa cho mỗi vùng cũng nhƣ cho toàn bộ môi trƣờng. Khái niệm bảo mật có thể đƣợc định nghĩa dựa trên các yêu cầu từ mô hình đe dọa.
2.1.2. Các thành phần bảo mật của hệ thống mạng MPLS VPN
Hình 2-1: Ba thành phần chính của hệ thống bảo mật mạng
Đối với hệ thống bảo mật trong mạng MPLS VPN, có thể đƣợc chia ra làm 3 phần:
Phần kiến trúc bảo mật(giải thuật): đây là phần đặc tả chính thức, đối với MPLS VPN đó là RFC2547bis.
Phần thực hiện của kiến trúc (giải thuật) bảo mật: Liên quan đến cách thực hiện kiến trúc giải thuật bảo mật trong thực tế. Ví dụ nhƣ các lỗi chƣơng trình nhƣ là tràn bộ đệm…
Phần vận hành của kiến trúc bảo mật: bao gồm các vấn đề về vận hành nhƣ