CHƢƠNG 3 MẠNG RIÊNG ẢO TRÊN NỀN MPLS
3.3 So sánh các đặc điểm của VPN trên nền IPSec và MPLS
[3]
3.3.1 VPN trên nền IPSec
Để bảo vệ dữ liệu qua mạng công cộng, giao thức IPSec hỗ trợ tổ hợp các chức năng bảo mật mạng sau:
- Nhận dạng và mã hoá các gói tin trƣớc khi truyền dẫn; - Xác thực các gói nhằm đảm bảo tính toàn vẹn của dữ liệu; - Xác thực dữ liệu nguyên thuỷ của các nguồn gửi tin;
Giao thức IPSec cung cấp khả năng bảo vệ các gói tin IP theo thiết kế mạng để chỉ ra các lƣu lƣợng đặc biệt cần bảo vệ. IPSec định nghĩa cách thức bảo vệ lƣu lƣợng và điều khiển thiết bị nhận lƣu lƣợng. VPN trên nền IPSec thay thế hoặc bổ sung các mạng riêng dựa trên hạ tầng WAN truyền thống nhƣ đƣờng dây thuê riêng, Frame Relay hoặc ATM. Ƣu điểm nổi trội của IPSec là nó đáp ứng đƣợc các yêu cầu của mạng về mặt giá thành.
Khi một doanh nghiệp sử dụng IPSec-VPN, nhà cung cấp dịch vụ thƣờng cấu hình IPSec trong cấu hình Hub-and-Spoke, nơi tất cả các nhánh Spoke duy trì kết nối điểm- điểm với đầu cuối. IPSec rất phù hợp với cấu hình VPN điểm tới điểm và truy nhập từ xa.
Một số đặc điểm khiến cho các doanh nghiệp lựa chọn giải pháp IPSec-VPN là: - IPSec cung cấp hệ thống bảo mật rất tốt, hỗ trợ cho các doanh nghiệp cần
bảo mật bằng mã hoá dữ liệu và nhận dạng thiết bị;
- Giá thành triển khai mạng thấp do IPSec-VPN có thể thực hiện trên bất kỳ mạng IP nào đã tồn tại;
- Khả năng triển khai các dịch vụ nhanh, kể cả việc bổ sung hoặc loại bỏ các site;
- Luồng lƣu lƣợng rẽ nhánh theo Hub-and-Spoke.
Thông thƣờng, ngƣời sử dụng VPN dùng phần mềm VPN lựa chọn đích thích hợp cho các thông tin cần gửi qua mạng. Một khi nhận dạng thành công và đƣờng hầm IPSec đƣợc thiết lập, ngƣời sử dụng có thể truy nhập từ xa tới các ứng dụng một cách đơn giản mà không cần phải sửa đổi hàng loạt các tham số tại các site.
Với các kết nối điểm-điểm qua IPSec-VPN, ngƣời sử dụng không cần phải có phần mềm client trên máy tính của họ. Ngƣời sử dụng tại các nhánh khởi tạo ứng dụng nếu nó tồn tại ở trong site, hoặc trong một phiên với trung tâm. Sau khi phiên thoả thuận và nhận dạng thành công, một đƣờng hầm đảm bảo giữa các nhánh và trung tâm đƣợc thiết lập không phụ thuộc vào hoạt động của ngƣời dùng.
3.3.2 VPN trên nền MPLS
MPLS cung cấp môi trƣờng định tuyến thông minh và hiệu năng chuyển mạch cao nhƣ đã trình bày ở trên. Ƣu điểm nổi trội nhất của MPLS-VPN là khả năng mở rộng nhiều VPN trên cùng một mạng lõi. Thêm vào đó là các đặc tính đảm bảo QoS, sửa lỗi nhanh, bảo vệ đƣờng dẫn và cung cấp nền tảng để phát triển các dịch vụ giá trị gia tăng. Một số lí do để các doanh nghiệp lựa chọn MPLS-VPN là:
- Các công ty cần thoả thuận mức độ chất lƣợng dịch vụ SLA;
- Bảo mật đƣợc hỗ trợ bởi việc tách các luồng lƣu lƣợng tƣơng tự nhƣ Frame Relay và ATM;
- Các mẫu lƣu lƣợng phù hợp với cả cấu hình từng phần và đầy đủ;
- Các doanh nghiệp muốn hội tụ nhiều dịch vụ đa phƣơng tiện trên cùng một mạng;
Khía cạnh an toàn mạng của MPLS dựa trên việc phân tách luồng lƣu lƣợng giữa các VPN trên cùng mạng lõi thông qua trƣờng phân biệt tuyến. Các tuyến đƣợc phân biệt đảm bảo tính riêng tƣ của MPLS-VPN tƣơng tự nhƣ trong mạng diện rộng Frame Relay hay ATM. Các nhà cung cấp có thể dễ dàng thiết kế và tối ƣu hóa mạng do khách hàng không cần biết kiến trúc mạng lõi, còn các bộ định tuyến lõi thì không cần biết thông tin về mạng biên của khách hàng.
MPLS-VPN có độ mềm dẻo và linh hoạt cao, nó không yêu cầu cấu hình kết nối đầy đủ hoặc ngang hàng đối với các kết cuối nhƣ các mô hình khác đòi hỏi. Mặt khác, MPLS-VPN cũng hỗ trợ tốt các thoả thuận mức dịch vụ SLA. Đây là điều mà khách hàng VPN quan tâm nhiều nhất, nó cho phép đáp ứng các yêu cầu về hiệu năng và tính đàn hồi của mạng. Ngoài ra, MPLS-VPN còn hỗ trợ các kỹ thuật lƣu lƣợng nhằm đáp ứng yêu cầu QoS, hỗ trợ chính sách quản lý và phân bổ lƣu lƣợng tối ƣu cho mạng.
3.4 Kết luận chƣơng
Trong những năm gần đây, công nghệ chuyển mạch nhãn đa giao thức MPLS đã đƣợc triển khai trên rất nhiều quốc gia. Một trong những ứng dụng điển hình của MPLS là dịch vụ mạng riêng ảo MPLS-VPN. Dịch vụ này đã góp phần rất lớn vào sự phát triển nhanh chóng của MPLS và mở ra nhiều khả năng ứng dụng mới
Trong chƣơng này đã trình bày các khái niệm cơ bản của MPLS-VPN, các mô hình cũng nhƣ những kỹ thuật then chốt của MPLS-VPN. Ngoài ra cũng đã đƣa ra một số phân tích và so sánh các đặc điểm nổi bật của hai giải pháp VPN phổ biến nhất hiện này là VPN dựa trên IPSec và VPN dựa trên MPLS.
Có thể thấy rõ ràng về mặt bảo mật, MPLS VPN đã thực hiện rất tốt công việc của mình bằng việc phân biệt các tuyến giữa các khách hàng, đảm bảo tính riêng tƣ giữa các khách hàng, các khách hàng cũng không biết về mạng của nhà cung cấp…Ngoài ra chất lƣợng dịch vụ cũng là một vấn đề quan tâm hàng đầu của cả nhà cung cấp và khách hàng. MPLS-VPN có đủ các cơ chế QoS mềm dẻo để đáp ứng các nhu cầu của các khách hàng khác nhau đồng thời cũng có khả năng mở rộng để đảm bảo hỗ trợ đƣợc một số lƣợng lớn khách hàng VPN. Vấn đề MPLS QoS sẽ đƣợc nghiên cứu ở các chƣơng tiếp theo.
CHƢƠNG 4. CÁC MÔ HÌNH ĐẢM BẢO CHẤT LƢỢNG DỊCH VỤ VÀ ÁP DỤNG CHO MẠNG RIÊNG ẢO TRÊN NỀN MPLS
4.1 Chất lƣợng dịch vụ - QoS và các độ đo 4.1.1 Giới thiệu chất lƣợng dịch vụ - QoS