Trong những năm gần đây, công nghệ MPLS- VPN đã giành được rất nhiều sự quan tâm của các nhà khai thác công nghệ mạng nhằm hướng tới một mạng tốc độ cao
nghệ MPLS- VPN ra đời là sự kết hợp các đặc điểm của VPN và MPLS. VPN được định nghĩa như là mạng kết nối các site khách hàng đảm bảo an ninh trên cơ sở hạ tầng mạng chung cùng với các chính sách điều khiển truy nhập và bảo mật như một mạng riêng. Tuy được xây dựng trên cơ sở hạ tầng sẵn có của mạng cơng cộng nhưng VPN lại có được các tính chất của một mạng cục bộ như khi sử dụng các đường thuê riêng. Nó cho phép nối liền các chi nhánh của một công ty cũng như là với các đối tác, cung cấp khả năng điều khiển quyền truy nhập của khách hàng, các nhà cung cấp dịch vụ hoặc các đối tượng bên ngoài khác. Do vậy, khả năng ứng dụng của VPN là rất lớn.
MPLS- “chuyển mạch nhãn đa giao thức” như tên gọi của nó đã nói lên đầy đủ đặc điểm của công nghệ này. Cụm từ “chuyển mạch nhãn” nghĩa là việc hoán đổi nhãn được sử dụng như một kỹ thuật chuyển tiếp nằm ở lớp dưới, còn cụm từ “đa giao thức” nghĩa là nó có thể hỗ trợ nhiều loại giao thức lớp mạng khác nhau chứ không chỉ riêng IP. Đồng thời, các nhà cung cấp mạng cũng có thể cấu hình để chạy MPLS trên nhiều công nghệ lớp 2 khác nhau như PPP, Ethernet, Frame Relay, hay ATM,…
Trong chương này đã nêu lên các ưu điểm của cơng nghệ MPLS- VPN và đó là lí do vì sao nên lựa chọn sử dụng MPLS- VPN. Bên cạnh đó, giới thiệu chung về VPN và MPLS, các thành phần và hoạt động của MPLS; các thành phần và mơ hình định tuyến trong mạng MPLS- VPN, bảng định tuyến và chuyển tiếp ảo. Đó là những đặc điểm cơ bản làm nền tảng để đưa ra các giải pháp triển khai MPLS- VPN ở chương sau.
CHƯƠNG II
GIẢI PHÁP TRIỂN KHAI MPLS-VPN 2.1 So sánh MPLS-VPN và các kỹ thuật VPN truyền thống
Các mạng VPN truyền thống sử dụng các chức năng bảo mật như: tạo đường hầm (Tunneling), mã hoá dữ liệu (Encryption), chứng thực (Authentication) với mục đích đạt được khả năng bảo mật khi truyền dữ liệu giữa hai đầu cuối. Có rất nhiều các giao thức khác nhau được sử dụng cho các mạng VPN này như: GRE, PPTP, L2TP, và IPSec. Chúng đều dựa trên hoạt động tạo đường truyền riêng và sử dụng các thuật tốn mã hóa dữ liệu. Xét một ví dụ Site A nối với site B thông qua mạng Internet công cộng sử dụng giao thức IPSec với mã hóa 3DES.
Hình 2.1 Kết nối trong mạng VPN truyền thống
Hạn chế đầu tiên và cũng là dễ nhận thấy nhất ở IPSec đó là làm giảm hiệu năng của mạng. Khi xét đường đi của một gói tin được gửi từ máy tính A trong mạng A đến máy tính B trong mạng B. Gói tin từ máy tính A sẽ được gửi đến CPE-A. CPE- A sẽ kiểm tra gói tin xem liệu nó có cần thiết phải chuyển đến CPE-B hay khơng. Trong một môi trường mạng khơng có VPN thì gói tin sẽ được truyền ngay đến CPE-
gói tin đi. Đầu tiên, gói tin được mã hóa, sau đó đóng gói vào các gói IP, hoạt động này tiêu tốn thời gian và gây trễ cho gói tin. Tiếp theo gói tin sẽ được đưa vào trong mạng của nhà cung cấp dịch vụ. Lúc này, nếu gói tin mới được tạo thành có kích thước lớn hơn kích thước tối đa cho phép truyền (MTU-Maximum Transmission Unit) trên bất cứ một liên kết nào giữa CPE-A và CPE-B thì gói tin sẽ cần phải được phân mảnh thành hai hay nhiều gói tin nhỏ hơn. Điều này chỉ xảy ra trong trường hợp bit DF (Don't Fragment) khơng được thiết lập, cịn trong trường hợp bit DF được thiết lập thì gói tin sẽ bị mất và một bản tin ICMP (Internet Control Message Protocol) sẽ được gửi lại phía phát. Khi gói tin đến được CPE-B, nó sẽ được mở gói và giải mã, hai hoạt động này tiếp tục làm trễ gói tin trong mạng. Cuối cùng, CPE-B sẽ chuyển tiếp gói tin đến máy tính B.
Thời gian trễ trong mạng sẽ phụ thuộc vào độ phức tạp và tốc độ xử lý của các CPE. Các thiết bị CPE chất lượng thấp thường phải thực hiện hầu hết các chức năng IPSec bằng phần mềm khiến trễ trong mạng lớn. Các thiết bị CPE với khả năng thực hiện các chức năng IPSec bằng phần cứng có thể tăng tốc độ xử lý gói tin lên rất nhiều nhưng chi phí cho các thiết bị này là rất đắt. Điều này dẫn đến chi phí triển khai một mạng IPSec VPN là rất tốn kém.
Từ ví dụ trên, ta dễ dàng nhận thấy các mạng IPSec VPN là mạng lớp trên của mạng IP và sự trao đổi thông tin trong mạng được thực hiện bằng cách thiết lập các đường hầm giữa các site. Điều này sẽ tạo nên những cấu hình mạng khơng tối ưu. Để rõ hơn về vấn đề này, ta sẽ xét hai cấu hình mạng, cấu hình hình sao và cấu hình mạng lưới.
Cấu hình mạng hình sao bao gồm một site trung tâm (hub) được nối với rất các site ở xa (spoke) khác. Trong cấu hình này, CPE của site trung tâm thường là một thiết bị rất đắt tiền và phụ thuộc vào số lượng spoke cần kết nối đến. Và mỗi một spoke này sẽ thiết lập một đường hầm IPSec đến site trung tâm. Cấu hình mạng này khơng phù hợp cho truyền thông giữa các site nhánh (spoke) với nhau vì gói tin từ spoke này đến spoke kia phải đi qua site trung tâm và tại site trung tâm này sẽ lặp lại các tác vụ như đóng mở gói tin, xác định đường chuyển tiếp, mã hóa và giải mã đối với mỗi gói tin đi qua nó. Có nghĩa là mỗi gói tin sẽ phải đi qua hai đường hầm IPSec dẫn đến trễ xử lý
cho mỗi gói tin sẽ tăng gấp đơi so với trường hợp hai spoke có thể trao đổi thơng tin trực tiếp với nhau.
Giải pháp duy nhất để khắc phục hiện tượng trên là thiết lập một mạng mắt lưới. Tuy nhiên, cấu hình này có rất nhiều hạn chế, và điểm hạn chế lớn nhất là khả năng mở rộng mạng. Số lượng các tunnel cần thiết để hỗ trợ một mạng mắt lưới IPSec về phương diện hình học sẽ tăng cùng với số lượng site.
Một điểm chúng ta cần phải cân nhắc khi triển khai các mạng VPN đó là các thiết bị CPE. Mỗi nhà cung cấp cần phải chắc chắn rằng tất cả các CPE sẽ hoạt động tương thích với nhau. Giải pháp đơn giản và và hiệu quả nhất là sử dụng cùng một loại CPE trong mỗi vùng, tuy nhiên, điều này không phải bao giờ cũng thực hiện được do nhiều yếu tố khác nhau. Tuy ngày nay sự tương thích khơng phải là một vấn đề lớn nhưng nó vẫn cần phải được quan tâm khi hoạch định một giải pháp mạng IPSec VPN.
Mỗi một CPE phải đóng vai trị như là một router và có khả năng hỗ trợ tunneling. Những CPE với chức năng bổ sung này địi có giá thành rất cao nên cách duy nhất để triển khai IPSec trong một mạch cầu là tải các phần mềm IPSec client vào tất cả các PC phía sau cầu. Giải pháp này đòi hỏi sự hỗ trợ khách hàng cao dẫn đến những khó khăn trong quản lý mạng.
Khai thác và bảo dưỡng cũng là một vấn đề nữa của các mạng IPSec VPN vì mỗi một đường hầm IPSec đều phải được thiết lập bằng tay. Cấu hình cho một đường hầm IPSec đơn lẻ không phải là vấn đề thế nhưng thời gian để thiết lập và duy trì một mạng VPN với nhiều site sẽ tăng lên đáng kể khi kích thước mạng được mở rộng. đặc biệt là với mạng VPN có cấu hình “full mesh” thì các nhà cung cấp dịch vụ sẽ gặp nhiều khó khăn trong hỗ trợ và xử lý sự cố kỹ thuật.
Vấn đề bảo mật cũng cần được quan tâm trong các mạng VPN. Mỗi CPE có thể truy nhập vào mạng Internet công cộng nhưng tin tức vẫn cần được bảo mật trong quá trình truyền giữa các site. Vì vậy, mỗi thiết bị CPE phải có biện pháp bảo mật nhất định (như Firewall). Và sự quản lý các firewall này sẽ trở nên rất khó khăn nhất là khi kích thước của mạng rất lớn. Với một mạng VPN khoảng 100 nút mạng, sẽ cần 100 firewall và mỗi khi cần một sự thay đổi nhỏ trong chính sách (policy) của firewall,
chúng ta phải tiếp cận cả 100 firewall này trong mạng. Rõ ràng đây là một điểm hạn chế lớn của các mạng IPSec VPN về khía cạnh bảo mật.
Dưới đây, ta có bảng so sánh IP Sec-VPN và MPLS-VPN :
Bảng 2.1. So sánh IP Sec-VPN và MPLS-VPN
Đặc điểm MPLS-VPN IP Sec-VPN
Cấu hình Điểm tới điểm, Hub-and-Spoke, cấu hình đầy đủ.
Điểm tới điểm, Hub-and-Spoke, cấu hình đầy đủ.
Bảo mật/ Xác thực phiên
Thiết lập các thành viên VPN trong quá trình cung cấp dịch vụ, định nghĩa truy nhập tới nhóm dịch vụ trong khi cấu hình, từ chối các truy nhập không hợp pháp.
Xác thực qua chứng thực số hoặc khóa xác định trước.
Loại bỏ gói khơng phù hợp với chính sách bảo mật.
Tính riêng tư
Tách lưu lượng thành những luồng riêng biệt. (adsbygoogle = window.adsbygoogle || []).push({});
Sử dụng mã hóa và kỹ thuật đường hầm thích hợp tại lớp địa chỉ mạng. QoS và
SLA
Cho phép lập các SLA với nhiều mức, có các kỹ thuật đảm bảo QoS và kỹ thuật lưu lượng.
Không chỉ ra các QoS và SLA trực tiếp.
Khả năng mở rộng
Có khả năng mở rộng cao vì khơng u cầu cấu hình đầy đủ hoặc ngang hàng.
Chấp nhận các mở rộng theo kiểu Hub-and-Spoke. Khả năng mở rộng kéo theo hàng loạt các thách thức về kế hoạch, phân phối các khóa, quản lý khóa và cấu hình các thiết bị ngang hàng. Hỗ trợ điểm – điểm Có. Có. Hỗ trợ truy nhập
từ xa Cung cấp dịch vụ Cần một lần cung cấp các thiết bị khách hàng và thiết bị liên mạng nhà cung cấp.
Giảm các chi phí điều hành mạng qua phương pháp cung cấp tập trung.
Triển khai dịch vụ
Yêu cầu các phần tử mạng MPLS mở dịch vụ tại các thiết bị lõi và biên của mạng nhà cung cấp.
Có thể triển khai trên bất kỳ hạ tầng mạng IP có sẵn.
Phần mềm Client VPN
Khơng u cầu, người sử dụng không cần phần mềm tương tác với mạng.
Cần phải có để khởi tạo các phần mềm chức năng.
2.2 Bảo mật trong mạng MPLS-VPN
Không giống như các mạng VPN truyền thống, các mạng MPLS-VPN không sử dụng hoạt động đóng gói và mã hóa gói tin để đạt được mức độ bảo mật cao. MPLS-VPN sử dụng bảng chuyển tiếp và các nhãn “tags” để tạo nên tính bảo mật cho mạng VPN. Kiến trúc mạng loại này sử dụng các tuyến mạng xác định để phân phối các dịch vụ VPN, và các cơ chế xử lý thơng minh của MPLS-VPN lúc này nằm hồn toàn trong phần lõi của mạng. Trong lĩnh vực bảo mật, mục tiêu của mơ hình mạng MPLS-VPN lớp 3 là đạt được sự bảo mật có thể so sánh với sự bảo mật trong mơ hình mạng overlay VPN như ATM hay Frame Relay mang lại.
Bảo mật cho VPN phải đảm bảo được sự cách ly về thông tin định tuyến, về không gian địa chỉ của mỗi VPN. Nghĩa là việc cấp địa chỉ của mỗi VPN là hoàn toàn độc lập nhau. Thông tin định tuyến từ VPN này không được chảy vào VPN khác và ngược lại. Thứ hai bảo mật phải đảm bảo được cấu trúc mạng lõi hoàn toàn trong suốt với khách hàng sử dụng dịch vụ. Thứ ba, bảo mật phải đảm bảo được việc tránh làm giả nhãn như việc làm giả địa chỉ IP và chống các cuộc tấn công từ chối dịch vụ cũng như tấn công truy cập dịch vụ (instrusion).
Trong mạng MPLS-VPN cho phép sử dụng cùng không gian giữa các VPN nhưng vẫn tạo được tính duy nhất là nhờ vào giá trị 64 bit Route Distinguisher. Do đó, khách hàng sử dụng dịch vụ MPLS-VPN không cần phải thay đổi địa chỉ hiện tại của mình.
Mỗi router PE duy trì một bảng VRF riêng cho mỗi VPN, và VRF này chỉ phổ biến các route thuộc về VPN đó. Do đó đảm bảo được sự cách ly thơng tin định tuyến giữa các VPN với nhau.
MPLS là kỹ thuật chuyển mạch nhãn, vì thế sự chuyển gói dữ liệu đi trong mạng không dựa vào địa chỉ IP trên mào đầu gói tin. Hơn nữa, tất cả các LSP đều kết thúc tại các router biên PE chứ không phải kết thúc tại các router P trong mạng. Do đó mạng lõi bên trong hồn tồn trong suốt đối với khách hàng.
Trong mạng MPLS-VPN, khó có thể tấn cơng trực tiếp vào VPN. Chỉ có thể tấn cơng vào mạng lõi MPLS, rồi từ đó tấn cơng vào VPN. Mạng lõi có thể tấn cơng theo hai cách:
Bằng cách tấn công trực tiếp vào router PE.
Bằng cách tấn công vào các cơ chế báo hiệu MPLS.
Để tấn công vào mạng, trước hết cần phải biết địa chỉ IP. Nhưng mạng lõi MPLS hoàn toàn trong suốt so với bên ngồi, do đó kẻ tấn cơng khơng biết địa chỉ IP của bất kì router nào trong mạng lõi. Họ có thể đốn địa chỉ và gửi gói tin đến những địa chỉ này. Tuy nhiên, trong mạng MPLS, mỗi gói tin đi vào đều được xem như thuộc về khơng gian địa chỉ nào đó của khách hàng. Do đó, khó có thể tìm được các router bên trong, kể cả trong trường hợp khi đốn được địa chỉ. Có thể việc trao đổi thơng tin định tuyến giữa router PE và CE sẽ là điểm yếu trong mạng MPLS-VPN nhưng trên router PE có thể dùng ACL, các phương pháp xác thực của giao thức định tuyến dùng trên kết nối đó sẽ đảm bảo được vấn đề bảo mật.
Việc làm giả nhãn cũng khó có thể xảy ra tại vì router PE chỉ chấp nhận những gói tin từ router CE gửi đến là gói tin khơng có nhãn, nếu gói tin là có nhãn thì nhãn đó là do PE kiểm sốt và quản lý.
Vấn đề bảo mật trong các mạng MPLS-VPN được đảm bảo vì một VPN khép kín bản thân nó đã đạt được sự an tồn thơng tin do khơng có kết nối với mạng Internet ccơng cộng. Nếu có nhu cầu truy nhập Internet, một tuyến sẽ được thiết lập để cung cấp khả năng truy nhập. Lúc này, một firewall sẽ được sử dụng trên tuyến này để đảm bảo một kết nối bảo mật cho toàn bộ mạng VPN. Cơ chế hoạt động này dễ dàng hơn nhiều cho hoạt động quản lý mạng vì chỉ cần duy trì các chính sách bảo mật cho một firewall duy nhất mà vẫn đảm bảo an toàn cho toàn bộ VPN.
Từ những vấn đề nêu trên, ta thấy việc bảo mật trong mạng MPLS-VPN hồn tồn có thể so sánh ngang bằng với việc bảo mật trong mạng ATM hay Frame Relay.
2.3 Chất lượng dịch vụ trong mạng MPLS-VPN
QoS là một khái niệm dùng để đề cập đến tất cả các khía cạnh liên quan đến (adsbygoogle = window.adsbygoogle || []).push({});
hiệu quả hoạt động của mạng. QoS bao gồm hai thành phần chính:
Tìm đường qua mạng nhằm cung cấp cho dịch vụ được yêu cầu.
Duy trì hiệu lực hoạt động của dịch vụ.
Hai mơ hình cung cấp chất lượng dịch vụ được sử dụng phổ biến ngày nay là:
Mơ hình dịch vụ tích hợp IntServ (Intergrated Services).
Mơ hình dịch vụ phân biệt DiffServ (Differentiated Services).
Có nhiều ngun nhân giải thích tại sao mơ hình IntServ khơng được sử dụng để theo kịp mức độ phát triển của Internet. Thay vào đó, IntServ chỉ được sử dụng phổ biến trong các mơ hình mạng với quy mơ nhỏ và trung bình. Trong khi đó, DiffServ lại là mơ hình cung cấp chất lượng dịch vụ có khả năng mở rộng. Cơ chế hoạt động của mơ hình này bao gồm q trình phân loại lưu lượng và tại thành phần biên mạng, quá