Mặt phẳng điều khiển thực hiện các nhiệm vụ : định tuyến lớp 3 cũng nh ấn định và phân phối nhãn. Trên kết nối CE – PE sử dụng giao thức IGP, BGP hoặc định tuyến tĩnh để trao đổi thông tin định tuyến mạng khách hàng. Trong mạng lõi MPLS, giao thức IGP đợc dùng cho định tuyến và LDP đợc dùng để phân phối nhãn đờng hầm giữa các PE và P router. IGP còn làm nhiệm vụ ánh xạ các thông tin định tuyến PE – P vào MP – BGP. Các phiên MP – BGP đợc thiết lập để trao đổi các thông tin về nhãn VPN.
Hình 5.12 mô tả hoạt động của mặt phẳng điều khiển của một mạng VPN đơn giản – 2 site của công ty A kết nối với nhau thông qua mạng backbone MPLS của nhà cung cấp.
Bớc 1: PE1 nhận các bản tin cập nhật về mạng 172.16.10.0/24 từ CE1.
Bớc 2: PE1 dịch địa chỉ IPv4 (172.16.10.0/24) sang địa chỉ VPNv4 bằng cách gán thêm giá trị RD = 1:100 và RT = 1:100 ( nhờ thao tác cấu hình VRF tại PE1). Sau đó, nó đợc gán cho một nhãn VPN là V1 và chuyển đến giao diện đầu ra trên PE1 là 10.10.10.101. Nhãn này đợc phân phối đến PE2 bằng giao thức iBGP. Tiếp theo là quá trình phân phối nhãn đờng hầm.
• 2a: Router PE2 yêu cầu 1 nhãn cho địa chỉ 10.10.10.101/32 thông qua phiên LDP gửi đến router downstream của nó là P2. Router P2 lại yêu cầu một nhãn cho 10.10.10.101/32 thông qua phiên LDP gửi đến router downstream của nó là router P1. Router P1 lại tiếp tục thực hiện nh vậy đối với PE1. Router PE1 sẽ phân bổ một nhãn implicit – null ( chỉ định việc tách nhãn thực hiện ở nút kế cuối) cho địa chỉ 10.10.10.101/32, cập nhật vào LFIB và gửi cho P1 bằng một LDP reply.
• 2b: P1 sử dụng giá trị nhãn implicit – null nhận đợc từ PE1 làm nhãn ra của nó, phân bổ nhãn L1 cho địa chỉ 10.10.10.101/32, cập nhật vào bảng LFIB . Sau đó, gửi giá trị nhãn L1 cho P2 thông qua LDP reply.
• 2c: P2 dùng giá trị L1 nhận đợc từ P1 làm nhãn ra của nó, phân bổ nhãn L2 cho địa chỉ 10.10.10.101/32, cập nhật vào LFIB . Sau đó, tiếp tục gửi giá trị nhãn này đến PE2 thông qua LDP reply.
Bớc 3: VRF của CE2 trên PE2 đợc cấu hình giá trị RT = 1:100 và sẽ dịch địa chỉ VPNv4 thành IPv4 và PE2 sẽ chèn tuyến này vào bảng VRF của công ty A. Tuyến PE2 – CE2 đợc thiết lập.
5.7.2. Hoạt động cuả mặt phẳng dữ liệu
Mặt phẳng dữ liệu thực hiện các chức năng nh chuyển tiếp các gói tin IP hoặc gói tin gán nhãn trong mạng cho đến đích cuối cùng. Mặt phẳng này hoạt động dựa trên việc sử dụng ngăn xếp nhãn 2 mức đã nói ở trên.
Khi dữ liệu truyền trong mạng lõi MPLS, chỉ có nhãn đờng hầm là đợc hoán đổi tại các P router. Cả 2 nhãn này đều đợc tách khỏi gói trớc khi nó đến CE router. Riêng nhãn đờng hầm thờng đợc tách tại nút kế cuối trớc PE. Nhờ vậy mà tại PE hớng ra chỉ phải kiểm tra nhãn VPN để chọn giao diện chuyển gói tin ra khỏi PE, đến CE.
Quay trở lại với mô hình mạng trong hình 5.10, hoạt động của mặt phẳng dữ liệu trong quá trình truyền từ CE2 đến CE1 nh sau:
Hình 5.13: Hoạt động của mặt phẳng dữ liệu
Bớc 1: CE2 truyền 1 gói có địa chỉ nguồn là 172.16.20.1và địa chỉ
đích là 172.16.10.1.
Bớc 2: PE 2 nhận gói này và gắn nhãn VPN là V1, nhãn đờng hầm là
L2 và chuyển đến P2.
Bớc 3: Nhờ thông tin trong bảng LFIB, P2 hoán đổi nhãn L2 thành
L1 và chuyển đến P1.
Bớc 4: P1 nhận gói, tách nhãn L1. gói lúc này chỉ còn nhãn VPN V1
và đợc chuyển tiếp đến PE1
Bớc 5: PE1 tách nhãn VPN và chuyển đến CE1 - điểm kết nối với
mạng 172.16.10.1.
5.8. Vấn đề bảo mật trong VPN/MPLS
Yêu cầu quan trọng nhất khi thiết lập một mạng VPN là phải bảo mật dữ liệu. Phần này sẽ xem xét đến các mối đe dọa đối với vấn đề an toàn thông tin trong VPN và cách xử lý của MPLS.
5.8.1. Các mối đe doạ đối với một VPN
Phần này đề cập đến các nguy cơ đối với một VPN intranet đứng trên quan điểm của ngời sử dụng. Đó có thể là:
a. Sự xâm nhập từ bên ngoài : ( từ các mạng VPN khác, mạng lõi hay từ Internet) nhằm chiếm quyền điều khiển các thành phần trong mạng VPN nh : PC, server hay các thiết bị networking khác.
Hình 5.14: Các nguy cơ đối với một VPN
b. Kiểu tấn công từ chối dịch vụ DoS : cũng đến từ các tác nhân bên ngoài, nh VPN khác, mạng lõi hay từ Internet. Nhng nó khác với kiểu xâm nhập ở chỗ là: DoS không cần truy nhập vào mạng VPN, mà nó ngăn cản sự truy nhập của các user khác (hợp lệ hay không) vào mạng. Ví dụ: một PE router bị tấn công DoS thì một mạng VPN nào đó kết nối vào nó cũng bị ảnh hởng lây, cho dù mục tiêu tấn công của hacker không phải là mạng VPN đó.
Hình 5.15: DoS
Về nguyên tắc, bất cứ một thành phần nào trong hạ tầng mạng chia sẻ bị tấn công DoS thì đều ảnh hởng đến VPN. Nh hình trên, các điểm tấn công có thể là PE, P, CE router hay ngay cả trên đờng truyền dẫn.
Tấn công DoS có thể thực hiện bằng các cách:
Làm quá tải đờng truyền trong mạng
Liên tục gửi gói đến để làm tràn bộ đệm của router
Liên tục gửi gói đến để làm quá tải khả năng xử lý của server
Nh vậy, các tài nguyên bị DoS tấn công có thể là: băng thông, CPU hay bộ nhớ.
5.8.2. Các mối đe doạ đối với mạng extranet
Có thể nói mạng extranet cho phép các VPN khác nhau kết nối và chia sẻ nguồn tài nguyên chung. Các site VPN trong extranet liên kết với nhau nhờ vào thông số RT đợc cấu hình tại PE router.
Vì vậy, các nguy cơ về an ninh mạng extranet cũng tơng tự nh trong mạng intranet - đã đợc đề cập ở trên.
5.8.3. Các mối đe doạ đối với mạng lõi
Phần này đề cập đến vấn đề bảo mật đứng trên quan điểm của nhà cung cấp dịch vụ. Một mạng lõi MPLS có thể đợc xây dựng trong một hoặc nhiều miền AS khác nhau.
• Mạng lõi chỉ thuộc một miền AS: trờng hợp này các mối đe doạ có thể là: Tấn công kiểu xâm nhập, chiếm quyền sử dụng từ bên ngoài ( nh các VPN hay mạng Internet): đối với các router lõi. Các router này không bị “nhìn thấy” bởi các VPN hay Internet. Tuy nhiên, kẻ tấn công có thể lợi dụng các bản tin định tuyến trao đổi giữa P và PE (thành phần duy nhất của mạng lõi tiếp xúc với bên ngoài) để thực hiện mục đích của mình.
Tấn công DoS từ các VPN hay Internet.
Nguy cơ từ bên trong: có thể là lỗi hay cố tình cấu hình sai của ngời điều hành mạng lõi. Việc làm này còn ảnh hởng tới cả các mạng VPN.
• Mạng lõi thuộc nhiều miền AS : trờng hợp này bên cạnh các nguy cơ tơng tự nh trên, còn có mối đe doạ từ miền AS này đến miền AS kia.
5.8.4. Các giải pháp hỗ trợ bởi MPLS
5.8.4.1. Khoảng địa chỉ và định tuyến riêng biệt
Yêu cầu bảo mật quan trọng nhất của VPN là phải đảm bảo dữ liệu của nó không bao giờ đi lệch sang một tuyến VPN khác và ngợc lại. MPLS cho phép các VPN sử dụng một dải địa chỉ IP nh nhau. Do đó, để có thể tách biệt giữa các VPN, ngời ta phải bổ sung thêm tham số phân biệt định tuyến RD 64 bit vào mỗi địa chỉ IPv4 trớc khi chuyển vào mạng lõi. Và để dữ liệu VPN đến đúng địa chỉ cần phải đến, tham số RT đợc sử dụng.
Bên cạnh đó. để ngăn không cho kẻ tấn công bên ngoài xâm nhập vào VPN thì thờng phải triển khai hệ thống tờng lửa để lọc các lu lợng không hợp lệ.
Chú ý: Các giải pháp trên chỉ thực sự có ý nghĩa khi các PE router đợc cấu hình chính xác. Nếu cấu hình sai dù là vô tình hay cố ý thì một site bên ngoài có thể sẽ trở thành một thành viên trong mạng VPN. Và điều đó thực sự rất nguy hiểm cho vấn đề an toàn thông tin của khách hàng.
Việc bảo vệ VPN khỏi sự xâm nhập từ bên ngoài có thể dễ dàng thực hiện khi cấu hình PE router. Tuy nhiên, để đối phó với DoS thì phức tạp hơn nhiều. Nếu biết đợc địa chỉ IP của thiết bị, hacker có thể tiến hành một cuộc tấn công DoS. Vì thế tốt nhất là không tiết lộ bất cứ thông tin nào về mạng nội bộ ra bên ngoài. Việc này cần phải đợc áp dụng cho hệ thống mạng của khách hàng cũng nh lõi nhà cung cấp MPLS. Ngời ta cần phải tính toán đến việc chống lại DoS ngay từ khi thiết kế mạng VPN, sao cho các tài nguyên chia sẻ không bị quá tải bởi những hacker:
Bố trí các thiết bị phù hợp: mỗi thiết bị trong mạng phải có khả năng xử lý lợng tải tối đa.
Dự tính băng thông hợp lý: các đờng truyền trong mạng phải xử lý đợc các trờng hợp “ bùng nổ lu lợng“. Điều này có thể thực hiện đợc bằng 2 cách: dự phòng băng thông hoặc hỗ trợ QoS (lu lợng đợc phân lớp và những dữ liệu quan trọng đợc phục vụ trớc tiên).
Các giải pháp chống DoS: mỗi một mạng cần phải có một giải pháp để phát hiện và làm giảm bớt các cuộc tấn công DoS. Ví dụ: Cisco Guard. Đồng thời cần phải có các biện pháp ứng cứu khi có sự cố.
Riêng đối với mạng VPN/MPLS, các PE router cần đợc chú ý đặc biệt khi thiết kế mạng: nh đã trình bày ở trên, PE router chính là biên giữa VPN và mạng lõi. Một hacker ở mạng VPN này muốn tấn công vào mạng lõi hay VPN khác thì phải thông qua PE. Vì vậy, ngời quản trị cần phải cấu hình PE cẩn thận để đảm bảo mỗi một giao diện của PE chỉ đợc “nhìn thấy” bởi mạng VPN nối trực tiếp với nó. Phơng pháp hay đợc dùng là cấu hình ACL (access control list) cho tất cả các giao diện trên PE, chỉ cho phép các thông tin định tuyến đi qua, còn các gói tin đến từ một VPN không nối trực tiếp với giao diện sẽ bị ACL trên giao diện đó loại bỏ.
Trong trờng hợp mạng VPN có kết nối với Internet, sử dụng cơ chế biên dịch địa chỉ mạng NAT có thể đảm bảo che giấu đợc thông tin địa chỉ mạng của khách hàng.
5.8.4.3. Che giấu cấu trúc lõi
Phần trên chỉ ra rằng không thể nào từ một VPN này xâm nhập vào VPN khác. Cách còn lại là tấn công vào lõi MPLS và từ đây xâm nhập vào VPN mong muốn.
Muốn tấn công vào mạng lõi MPLS, hacker cần phải biết địa chỉ của một P router trong đó. Nhng mạng VPN/MPLS lại có khả năng che giấu cấu trúc lõi của nó trớc ngời dùng. Ngời dùng VPN chỉ biết đợc địa chỉ IP của PE (nối trực tiếp với CE). Các P router hoàn toàn đợc che giấu với bên ngoài. Điều này thực hiện đợc không phải nhờ vào ACL mà nhờ chính bản chất của công nghệ MPLS. Địa chỉ mà P router sử dụng không thuộc không gian địa chỉ IP thông thờng của mạng VPN. Nên dù địa chỉ của P có bị lộ ra ngoài thì một hacker ở một VPN nào đó cũng không thể chiếm quyền sử dụng P đợc.
Cách còn lại là tấn công trực tiếp vào PE router bằng cách liên tục gửi các gói tin IP nhằm làm tràn bộ đệm router. Nhng vấn đề này có thể đợc xử lý bằng cách cấu hình ACL nh trình bày ở trên, loại bỏ tất cả các gói IP từ các mạng không nối trực tiếp với giao diện, chỉ cho thông tin định tuyến đi qua.
Vấn đề cuối cùng là hacker sẽ lợi dụng đặc điểm này của ACL để tấn công vào cơ chế thông báo của MPLS. Nh chúng ta đã biết, định tuyến giữa CE – PE có thể cấu hình theo 2 cách:
• Tĩnh: ngời quản trị cấu hình mặc định tuyến CE – PE. Ngời dùng VPN không đợc biết địa chỉ của PE , nên độ bảo mật của mạng lõi sẽ cao hơn.
• Động: để cung cấp mức độ bảo mật cho môi trờng định tuyến động, giữa PE và CE cần áp dụng cơ chế xác thực MD5. Cơ chế này sử dụng thuật toán băm để đảm bảo không bị giả mạo địa chỉ.
5.8.4.4. Chống lại sự giả mạo
Trong mạng IP truyền thống, hacker có thể tấn công kiểu giả mạo địa chỉ IP nguồn, hoặc đích để chiếm phiên làm việc. Nhng nếu trong mạng VPN/MPLS, một hacker ở VPN A giả mạo địa chỉ của một VPN B thì cũng không ảnh hởng gì. Bởi vì MPLS cho phép một VPN sử dụng toàn bộ dải địa chỉ 0.0.0.0 : 255.255.255.255 và mỗi VPN có một bảng định tuyến VRF của riêng nó. Chẳng những vậy mà việc tấn công kiểu này chỉ làm ảnh hởng đến chính VPN A, hay nói cách khác khách hàng VPN tự tấn công chính mình.
Vấn đề còn lại là liệu có thể làm giả nhãn để chiếm phiên làm việc trong mạng lõi hay không? Một hacker ngồi trong một VPN, có thể tạo ra một gói tin dán nhãn một cách thủ công và tìm cách chèn gói tin đó vào mạng lõi MPLS để đa tới một mạng VPN khác. Nhng trớc khi vào đợc mạng lõi, gói tin đó phải đi qua
PE. Mà theo nguyên tắc, kết nối giữa PE – CE là một kết nối IP. PE sẽ không bao giờ chấp nhận một gói dữ liệu dán nhãn đi đến từ CE. Do đó một gói tin với nhãn giả nh thế sẽ bị PE huỷ bỏ ngay trớc khi đi vào đợc mạng lõi.
Kết luận:
Với những phân tích nh trên, có thể thấy rõ rằng MPLS VPN đáp ứng đợc những yêu cầu đặt ra của một mạng VPN, đồng thời giải quyết đợc một cách triệt để những hạn chế của VPN truyền thống sử dụng FR, ATM hay đờng hầm IPSec. MPLS là một trong những giải pháp mạng đờng trục cho mạng thế hệ mới, có thể đáp ứng bất cứ loại hình dịch vụ nào: thoại, video, fax, data...Tuy MPLS VPN vẫn đang còn là một công nghệ khá mới mẻ ở Việt Nam, nhng hứa hẹn sẽ là một thị tr- ờng đầy tiềm năng và mang lại nhiều lợi ích cho cả ngời sử dụng lẫn nhà cung cấp dịch vụ viễn thông.
Chơng cuối cùng của đồ án đề cập đến thực tế ứng dụng công nghệ MPLS trong mạng thế hệ mới của Việt Nam hiện nay và phơng án triển khai mạng riêng ảo VPN/MPLS dựa trên nền hạ tầng mạng sẵn có.
Chơng 6
Khuyến nghị ứng dụng MPLS trong mạng viễn thông VNPT
6.1. Mạng NGN ở Việt Nam
Các hãng cung cấp thiết bị và các nhà khai thác trên thế giới đã đa ra một nguyên tắc tổ chức mới cho mạng viễn thông trong giai đoạn sắp tới - đợc gọi là mạng thế hệ sau NGN. Mạng NGN ra đời đáp ứng sự hội tụ giữa cácloại hình dịch vụ khác nhau: thoại cố định, thoại di động, dữ liệu, đa phơng tiện... trên một cơ sở hạ tầng mạng duy nhất. Các loại hình dịch vụ này trớc đây đợc cung cấp từ các mạng khác nhau, mỗi loại mạng có đặc thù riêng biệt. Quá trình phát triển lên NGN không phải là xây dựng một mạng hoàn toàn mới mà cần phải kế thừa từ hạ tầng mạng sẵn có, đồng thời đảm bảo duy trì hoạt động cho các thuê bao hiện có một cách liên tục.
Tháng 12/2003, Tổng công ty Bu chính Viễn thông Việt Nam VNPT đã lắp đặt xong giai đoạn 1 mạng NGN và vận hành thành công. Đây là mạng có hạ tầng thông tin duy nhất dựa trên công nghệ chuyển mạch gói IP/MPLS, có đặc tính linh hoạt, tích hợp đợc các dịch vụ thoại và truyền số liệu.