Trong cỏc chương trước đó nghiờn cứu cụng nghệ VPN dựa trờn IPSec (IPSec- based VPN) và cụng nghệ VPN dựa trờn MPLS (MPLS based VPN), trong phần này sẽ so sỏnh hai kiến trỳc IPSec VPN và MPLS VPN, cỏc thế mạnh của từng loại cấu trỳc và giải thớch về việc triển khai cỏc cấu trỳc này để làm sao đạt được tối đa những ưu điểm của chỳng.
Trong những năm gần đõy, IETF đó cú hai nhúm làm việc, tập trung vào ba thành phần quan trọng của VPN , đú là an ninh Internet (Internet security), chuẩn húa chuyển mạch nhón (label switching) và chất lượng dịch vụ (quality of service). Trong lĩnh vực chuyển mạch của IETF, nhúm làm việc MPLS phỏt triển cỏc cơ chế (mechanism) để hỗ trợ việc hạn chế tài nguyờn ở cỏc lớp cao, chất lượng dịch vụ và định nghĩa về cỏch hoạt động của mỏy. Đồng thời trong lĩnh vực an ninh, bảo mật của IETF, nhúm làm việc IPSec tập trung vào việc bảo vệ lớp mạng thụng qua việc thiết kế cỏc cơ chế an ninh bằng mật mó, cỏc cơ chế này cú thể hỗ trợ việc kết hợp của xỏc thực, tớnh toàn vẹn, kiểm soỏt truy cập và tớnh tin cẩn một cỏch mềm dẻo. IETF đó để mặc vấn đề tớch hợp MPLS và IPSec cho cỏc nhà sản xuất làm theo ý mỡnh. Kết quả là hai kiến trỳc VPN được hỡnh thành. Một dựa trờn MPLS cũn cỏi kia trờn IPSec.
VPN dựa trờn MPLS (gọi tắt là VPN MPLS) và VPN dựa trờn IPSec (gọi tắt là VPN IPSec) tồn tại trờn cơ sở bổ xung cho nhau chứ khụng tồn tại riờng lẻ. Cỏc nhà cung cấp dịch vụ cú thể mở rộng dịch vụ và thu được những lợi thế cạnh tranh khỏc nhau thụng qua việc sử dụng cỏc thế mạnh của cả hai hoại kiến trỳc.
5.1.1 Vai trũ của MPLS
MPLS hợp nhất sự "thụng minh" của định tuyến (routing) với tốc độ của chuyển mạch (switching). Nú mang lại nhiều thuận lợi đỏng kể so với cỏc mạng chỉ cú kiến trỳc thuần IP, như là cỏc mạng kết hợp IP với ATM và cỏc mạng với một sự pha trộn giữa cỏc cụng nghệ lớp hai. Cụng nghệ MPLS chớnh là chỡa khúa cho cỏc VPN cú khả năng mở rộng và giỳp cỏc nhà cung cấp dịch vụ dễ dàng sử dụng hệ thống mạng đang tồn tại một cỏch hiệu quả để đỏp ứng sự tăng trưởng trong tương lai. Chất lượng dịch vụ điểm tới điểm của nú cho phộp sửa lỗi liờn kết nhanh chúng. MPLS cũn giỳp mang lại cỏc dịch vụ IP điểm tới điểm cú khả năng mở rộng cao với sự đơn giản trong cấu hỡnh, quản lý và cung cấp.
MPLS được triển khai chủ yếu trong phần lừi của mạng nhà cung cấp dịch vụ. Nú tạo điều kiện cho cỏc bộ định tuyến ở phần biờn của mạng ỏp cỏc nhón đơn giản và cỏc gúi (khung). Cỏc bộ chuyển mạch ATM hoặc cỏc bộ định tuyến đang tồn tại trờn mạng lừi cú thể chuyển cỏc gúi tương ứng theo cỏc nhón đó được dỏn với một thời gian tỡm kiếm tối thiểu (minimal lookup overhead). MPLS tớch hợp được tốc độ và cỏc khả năng quản lý giao thụng của lớp 2 với khả năng mở rộng và mềm dẻo của lớp 3.
MPLS cú thể được triển khai trờn cỏc mạng IP, ATM và Frame Relay. Bởi vậy, MPLS đó tạo ra cho cỏc nhà cung cấp một hướng phỏt triển mới dựa trờn cơ sở hạ tầng IP rất mềm dẻo và hiệu quả.
Hỡnh 5.1 - Vị trớ của IPSec và MPLS
Cỏc thế mạnh của MPLS
Dưới đõy là cỏc thế mạnh cơ bản của VPN MPLS
Khả năng mở rộng - Một sự triển khai VPN MPLS tốt cú thể hỗ trợ hàng ngàn VPN . Khả năng mở rộng là vốn cú của VPN MPLS bởi trong VPN MPLS khụng cú
An ninh - MPLS phõn luồng giao thụng riờng biệt thụng qua việc sử dụng số phõn tuyến duy nhất (unique route distinguishers). Được gỏn tự động khi VPN được cung cấp, số phõn tuyến được đặt vào đầu gúi như là một cỏch để phõn tỏch giao thụng, số phõn tuyến này là trong suốt đối với người sử dụng trong cựng một VPN
Kỹ thuật điều khiển lưu lượng (Traffic engineering) - Được thực hiện trong cỏc cơ cấu MPLS và cho phộp giao thụng được chuyển đi thụng quan một đường riờng biệt (khụng nhất thiết phải là đường rẻ nhất). Thụng qua việc sử dụng kỹ thuật điều khiển lưu lượng trờn mạng lừi, cỏc nhà quản trị mạng cú thể thực hiện cỏc chớnh sỏch nhằm đảm bảo việc phõn chia luồng giao thụng tối ưu và tăng cường được hiệu quả sử dụng mạng
Lớp dịch vụ (class of service) - cỏc đặc tớch của CoS trong MPLS cho phộp cỏc nhà cung cấp dịch vụ đưa ra nhiều loại dịch vụ khỏc nhau trờn mạng MPLS, bằng cỏch đơn giản là đỏnh dấu cỏc gúi với cỏc điểm mó dịch vụ phõn biệt (differentiated services code point) và xử lý chỳng một cỏch tương ứng. Cỏc kỹ thuật sử dụng để hỗ trợ cỏc dịch vụ phõn biệt bao gồm phõn loại gúi, trỏnh nghẽn và quản trị
Hỗ trợ thỏa thuận về dịch vụ - VPN MPLS hỗ trợ SLA và cam kết về thoả thuận dịch vụ thụng qua cỏc kỹ thuật về chất lượng dịch vụ, đảm bảo về băng thụng và cỏc tớnh năng về xảo thuật giao thụng
5.1.2 Vai trũ của IPSec
Dựa trờn cỏc tiờu chuẩn được IETF phỏt triển, IPSec đảm bảo được tớnh tin cẩn, tớnh toàn vẹn và xỏc thực đối với việc trao đổi dữ liệu thụng qua mạng cụng cộng. IPSec đúng gúp một thành phần thiết yếu cho một giải phỏp mềm dẻo, dựa trờn tiờu chuẩn để cú thể triển khai một chớnh sỏch an ninh trờn toàn mạng.
IPSec làm việc ở lớp mạng, lớp 3 trong mụ hỡnh OSI. Nú rất hữu ớch tại vũng cục bộ (local loop), biờn (edge), và ngoài mạng của nhà cung cấp dịch vụ, nơi mà khả năng vi phạm tớnh riờng tư rất cao và nơi mà cỏc cơ cấu an ninh của IPSec như đường hầm (tunneling) và mó húa (encryption) cú thể được ỏp dụng tốt nhất. IPSec đặc biệt hữu ớch cho cỏc kết nối mạng riờng ảo từ xa vào cỏc mạng của doanh nghiệp.
Cỏc thế mạnh của IPSec
An ninh, bảo mật: IPSec đảm bảo tớnh riờng tư của dữ liệu với một tập hợp cỏc cơ cấu tạo đường hầm và mó húa mềm dẻo, để bảo vệ cỏc gúi khi chỳng di chuyển trờn mạng. Người sử dụng được xỏc thực bằng chứng chỉ số hoặc cỏc khúa được chia sẻ từ trước. Cỏc gúi khụng tuõn thủ theo chớnh sỏch an ninh sẽ bị loại bỏ.
Triển khai đơn giản: IPSec cú thể đưa ra thị trường nhanh chúng. Nú cú thể được triển khai trờn bất kỳ một mạng IP đang tồn tại nào.
Bảng dưới đõy là sự so sỏnh giữa VPN IPSec và VPN MPLS trờn một số cỏc khớa cạnh như khả năng mở rộng, an ninh, chất lượng dịch vụ, thỏa thuận mức dịch vụ, ..v.v.
VPN MPLS VPN IPSec
Dịch vụ - Dịch vụ Internet tốc độ cao
- Dịch vụ VPN IP chất lượng doanh nghiệp
- Thương mại điện tử E-commerce - Dịch vụ thuờ dịch vụ - An ninh quản lý - Thoại IP quản lý - Sao lưu từ xa Dịch vụ Internet tốc độ cao - Dịch vụ VPN IP chất lượng doanh nghiệp
- Thương mại điện tử - Dịch vụ thuờ dịch vụ - An ninh quản lý - Thoại IP quản lý - Sao lưu từ xa Khả năng mở rộng
- Khả năng mở rộng cao - khụng yờu cầu cú cặp vị trớ tới vị trớ (site-to-site peering)
- Cú khả hỗ trợ hàng ngàn VPN trờn một mạng, đặc biệt trờn mạng core
- Một VPN IPSec lớn đũi hỏi phải cú kế hoạch và điều phối cho việc phỏt tỏn khúa, quản trị khúa và cấu hỡnh cặp - Khả năng mở rộng sẽ là vấn đề khi triển khai mạng lớn đầy đủ cỏc mắt (full-meshed)
Nơi triển khai Mạng lừi Local loop, edge, and off-net Trong suốt - Tập trung tại cỏc mụi trường
IP+ATM hoặc IP
- Trong suốt đối với cỏc ứng dụng
- Tập trung ở lớp mạng
- Trong suốt đối với cỏc ứng dụng Cung cấp Cung cấp thiết bị ở đầu ISP và đầu
khỏch hàng một lần duy nhất, để vị trớ (site) trở thành thành viờn của một nhúm VPN MPLS
- Cung cấp dịch vụ dựa trờn thiết bị của khỏch hàng (CPE-based) sẽ khụng yờu cầu phải cú sự tham gia của lớp mạng
- Cung cấp dịch vụ dựa trờn lớp mạng cú thể thực hiện một cỏch tập trung Triển khai Cỏc thành phần tham gia vào mạng
tại mạng lừi và biờn phải cú tớnh năng MPLS
- Cú thể đưa nhanh ra thị trường
- Cú thể triển khai trờn bất kỳ một mạng IP cú sẵn nào
Xỏc thực phiờn
- Tư cỏch thành viờn được xỏc lập trong quỏ trỡnh cung cấp dựa trờn cổng logic và ký hiệu tuyến duy nhất - Truy cập vào nhúm dịch vụ được định nghĩa trong quỏ trỡnh lờn cấu hỡnh; truy cập trỏi phộp bị khước từ
- Thụng qua chứng chỉ số hoặc khúa chia sẻ trước.
- Cỏc gúi tin khụng tuõn theo cỏc chớnh sỏch an ninh sẽ bị loại bỏ
Tớnh tin cẩn Đạt được thụng qua sự tỏch biệt giao thụng, tương tự như kỹ thuật sử dụng trong cỏc mụi trường mạng Frame Relay hoặc ATM
Thụng qua tập hợp cỏc kỹ thuật mó húa và tạo đường hầm tại lớp mạng
Chất lượng dịch vụ và Thỏa thuận mức dịch vụ
Đạt được thụng qua cơ cấu chất lượng dịch vụ khả mở, vững chắc và khả năng về xảo thuật giao thụng
- Khụng nhắm trực tiếp vào IPSec - Phụ thuộc vào giải phỏp phõn loại cỏc gúi cho chất lượng dịch vụ trong một đường hầm Hỗ trợ mỏy khỏch Khụng cần thiết vỡ VPN MPLS là dịch vụ dựa trờn mạng (network- based)
- Triển khai VPN IPSec
- Cỏc phần mềm cho mỏy khỏch từ cỏc nhà sản xuất
Tương tỏc với người sử dụng
Khụng cần phải cú tương tỏc với người sử dụng.
Người sử dụng phải tương tỏc với phần mềm mỏy khỏch để tạo kết nối VPN IPSec
5.1.3 Tớch hợp VPN IPSec và VPN MPLS
Nhà cung cấp dịch vụ cú thể đạt được cỏc lợi ớch cao nhất khi ỏp dụng cả hai cụng nghệ IPSec và MPLS. Vớ dụ, nhà cung cấp dịch vụ cú thể sử dụng IPSec cho cỏc giao thụng off-net vỡ giao thụng này cần cú xỏc thực tốt và tớnh tin cẩn cao và sử dụng MPLS ở mạng lừi cho kết nối rộng mở hơn, đồng thời hỗ trợ cỏc kỹ thuật định tuyến lưu lượng thụng tin và chất lượng dịch vụ.
Hỡnh 5.2 - Tớch hợp IPSec và MPLS
Cỏc nhà sản xuất thiết bị như Cisco, Noika Checkpoint, Juniper Network cú thể cung cấp cỏc giải phỏp nhằm cho phộp cỏc nhà cung cấp dịch vụ ghộp cỏc phiờn IPSec trực tiếp vào một VPN MPLS. Cỏch tiếp cận này giỳp cỏc nhà cung cấp dịch vụ mở rộng cỏc dịch vụ VPN ra ngoài cỏc biờn giới của một mạng MPLS thụng qua việc sử dụng một cơ sở hạ tầng mạng IP cụng cộng. Nhà cung cấp dịch vụ cú thể chào cỏc dịch vụ VPN để kết nối an toàn khỏch hàng, văn phũng chi nhỏnh, cộng tỏc viờn từ xa và nhõn viờn di động từ bất kỳ vị trớ nào vào mạng doanh nghiệp. Thời gian gần đõy, một số nhà cung cấp dịch vụ như VNPT, VDC, Vietel, FPT … đó đưa ra dịch vụ “mạng riờng ảo VPN” cho khỏch hàng là doanh nghiệp, cỏc cơ quan nhà nước …
Tổng cụng ty Bưu chớnh viễn thụng Việt Nam đó triển khai MPLS trong mạng lừi tại tổng đài chuyển tiếp vựng bao gồm 3 tổng đài core của Thành phố Hà nội, Đà nẵng và Hồ Chớ Minh. Tất cả cỏc trung kế của cỏc tổng đài này đều sử dụng MPLS. Như vậy cỏc tổng đài này sẽ đúng vai trũ LSR core. Việc triển khai MPLS tại mạng core của VNPT là phự hợp với sự phỏt triển theo định hướng tổ chức mạng viễn thụng NGN. Vấn đề này đó được trỡnh bày tại một số bỏo cỏo của VNPT, ở đõy tụi khụng đề cập đến, sau đõy chỳng ta sẽ đi sõu vào việc triển khai mạng riờng ảo tại Ngõn hàng Nhà nước Việt Nam.