Tải bản đầy đủ (.pdf) (21 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Thạc sĩ - Cao học

Bảo mật trong mạng riêng ảo

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (707.08 KB, 21 trang )

1



HỌC VIỆN CÔNG NGHỆ BƢU CHÍNH VIỄN THÔNG






TRẦN QUỐC THƢ
BẢO MẬT TRONG MẠNG RIÊNG ẢO
CHUYÊN NGÀNH : TRUYỀN DỮ LIỆU VÀ MẠNG MÁY TÍNH
MÃ SỐ : 60.48.15

TÓM TẮT LUẬN VĂN THẠC SĨ

NGƢỜI HƢỚNG DẪN KHOA HỌC:
TS. NGUYỄN TRỌNG ĐƢỜNG








HÀ NỘI - 2013
2




Luận văn được hoàn thành tại:
HỌC VIỆN CÔNG NGHỆ BƢU CHÍNH VIỄN THÔNG

Người hướng dẫn Khoa học: TS. Nguyễn Trọng Đường

Phản biện 1:
Phản biện 2:
Luận văn sẽ được bảo trước Hội đồng chấm luận văn thạc sỹ tại Học viện
Công nghệ Bưu chính Viễn thông.
Vào lúc ……… giờ ……… Ngày ……… tháng 09 năm 2013


3



MỞ ĐẦU
Ngày nay, sự phát triển nhanh chóng của các công nghệ viễn thông tiên tiến
như ISDN, ATM, ASDL và đặc biệt là Internet trong các năm qua kéo theo sự phát
triển hàng loạt các dịch vụ mới đáp ứng các nhu cầu đa dạng của việc ứng dụng công
nghệ thông tin. Một trong các loại dịch vụ đó là công nghệ mạng riêng ảo - VPN
(Virtual Private Network)
Theo IETF, VPN là mạng diện rộng sử dụng các thiết bị, phương tiện truyền
thông của mạng công cộng cùng với các chức năng bảo mật như tạo đường hầm
(tunnel), mật mã hóa dữ liệu (encryption), xác thực (authentication) với mục đích đạt
được tính bảo mật như một mạng được thiết lập dùng riêng.
Trong xu hướng toàn cầu hóa sẽ kéo theo sự phát triển của các công ty đa quốc
gia, các chi nhánh hoặc các văn phòng đại diện của các công ty lớn không phụ thuộc

vào vị trí địa lý, nhu cầu truy cập từ xa, xu hướng hội nhập và mở rộng dẫn đến sự
phát triển của dịch vụ VPN là tất yếu, là sự kết hợp hoàn hảo giữa Internet và các
mạng dùng riêng.
Xã hội ngày càng phát triển, nhu cầu sử dụng các dịch vụ tác nghiệp trực tuyến
ngày càng cao, sự phát triển mạnh mẽ của nhiều nhà cung cấp dịch vụ với hệ thống
kiến trúc mạng khác nhau cùng các trang thiết bị, sản phẩm viễn thông đa dạng đã tạo
ra những thách thức, rào cản lớn đối với mạng dùng riêng trong việc kết nối các mạng
này với nhau, VPN chính là một giải pháp thích hợp trong nhu cầu này.
Bên cạnh đó, chi phí cho việc thiết lập và quản trị một mạng diện rộng là rất
lớn, trong khi đó sử dụng VPN vừa tiết kiệm và vẫn bảo đảm được tính an toàn và bảo
mật, điều này có ý nghĩa đối với các công ty có nhiều văn phòng chi nhánh.
Hai công nghệ nổi trội hơn cả để ứng dụng tạo ra các VPN đó là MPLS và
IPSec. Mỗi kỹ thuật có giá trị và vị trí riêng trong hệ thống mạng. VPN MPLS triển
khai rất tốt trong vùng lõi (core) của mạng các nhà cung cấp dịch vụ. Trong khi đó
VPN IPSec rất phù hợp với cấu hình bảo mật end-to-end. Việc thực thi mô hình mạng
bao gồm cả VPN MPLS và IPSec sẽ đem lại hiệu quả lợi ích tốt nhất.
Công nghệ MPLS cung cấp các công cụ cải thiện kỹ thuật lưu lượng mạng IP
cho phép nhà cung cấp dịch vụ dễ dàng đo đạc, giám sát và đáp ứng các mức dịch vụ
khác nhau. MPLS đem đến nhiều ưu điểm, tận dụng sự thông minh của bộ định tuyến
và tốc độ chuyển mạch, cung cấp phương thức ánh xạ gói tin IP vào kết nối có hướng
như ATM hoặc FR. Ngoài ra cung cấp cơ chế định nghĩa QoS trong header MPLS.
MPLS sử dụng thông tin định tuyến lớp 3 để thiết lập bảng định tuyến và định rõ tài
nguyên, đồng thời sử dụng các giao thức lớp 2 (FR, ATM) để chuyển mạch hoặc định
hướng thông tin trên đường dẫn tương ứng. MPLS được coi là công nghệ mạng tân
tiến giải quyết được nhiều nhược điểm của mạng IP, ATM. Vì thế công nghệ MPLS là
một trong những lựa chọn phù hợp cho mạng thế hệ sau NGN.
Với những lý do trên, đề tài tập trung nghiên cứu bảo mật trong mạng riêng ảo
VPN trên nền mạng công cộng như IPSec, MPLS, đồng thời phân tích, thiết kế các mô
hình, kiến trúc mạng VPN/MPLS và đưa ra các cơ sở để ứng dụng tại Ngân hàng.
4




Mục tiêu của luận văn:
Tập trung nghiên cứu bảo mật trong mạng riêng ảo VPN trên nền mạng công
cộng như IPSec, MPLS, đồng thời phân tích, thiết kế các mô hình, kiến trúc mạng
VPN/MPLS và đưa ra các cơ sở để triển khai trên mô hình thực tế của cơ quan, doanh
nghiệp
 Tìm hiểu tổng quan về mạng riêng ảo, những kiến thức cơ bản về các thành
phân trên mạng riêng ảo, các loại mạng riêng ảo và các giao thức.
 Nghiên cứu các cơ chế an ninh, bảo mật được sử dụng trong mạng VPN: Xác
thực, mã hóa, chữ ký điện tử, tạo đường hầm. Công nghệ chuyển mạch nhãn đa giao
thức MPLS - MPLS/VPN.
 Triển khai MPLS/VPN

Đối tƣợng nghiên cứu:
- Bảo mật trong mạng riêng ảo VPN trên nền tảng công nghệ chính là IPSec và
MPLS
- Nghiên cứu bài toán cụ thể với việc kết nối giữa các Khách hàng trên mạng lõi
của nhà cung cấp trên phần mềm mô phỏng GNS3. Trong mô hình triển khai chia làm
hai phần: Customer (Khách hàng, Ngân hàng), Service Provider (Nhà cung cấp dịch
vụ) trao đổi thông tin.

Phƣơng pháp nghiên cứu:
- Nghiên cứu các tài liệu, báo cáo trong nước và nước ngoài có liên quan kỹ
thuật chuyển mạch nhãn đa giao thức MPLS
- Tiến hành cài đặt và thử nghiệm

5




CHƢƠNG I: TỔNG QUAN VỀ CÔNG NGHỆ MẠNG RIÊNG ẢO VPN
1.1. Giới thiệu về VPN
Vấn đề an ninh, bảo mật trong hệ thống mạng đang rất được quan tâm, nhất là
khi cơ sở hạ tầng và công nghệ mạng WAN đã dần đáp ứng tốt các yêu cầu về băng
thông, chất lượng dịch vụ, đồng thời vấn đề tấn công trên mạng với mục đích chính trị
và kinh tế gia tăng nhanh chóng thì bảo mật ngày càng được quan tâm. An ninh mạng
không chỉ quan trọng đối với các nhà cung cấp dịch vụ ISP mà còn có ý nghĩa quyết
định đối với các cơ quan chính phủ và các doanh nghiệp. Các giải pháp cho hệ thống
WAN như sử dụng đường dây thuê riêng (Leaseline), FR không có sự mềm dẻo linh
hoạt về mặt kết nối, mở rộng mạng cũng như an toàn thông tin, chi phí lại rất cao, các
giải pháp tường lửa cũng chỉ đảm bảo chống lại các cuộc tấn công từ bên ngoài tại hệ
thống vào còn thông tin trên đường truyền thì có thể đọc được, nguy cơ bị sao chép và
ăn cắp thông tin cao. Khi đưa ra giải pháp an ninh bảo mật toàn diện cho một hệ thống
mạng thì không thể không nhắc đến giải pháp mạng riêng ảo VPN
Sự ra đời của mạng riêng ảo VPN đã giải quyết vấn đề bảo mật, tiết kiệm chi
phí, linh hoạt trong việc quản lý các site và khách hàng quay số từ xa, cũng như hỗ trợ
tốt những công nghệ, giao thức mới.
Khi mạng riêng ảo trở nên thông dụng và không thể thiếu đối với các doanh
nghiệp ở các nước phát triển, vì điều đó thực sự mạng lại lới ích lớn cho doanh nghiệp,
bởi an toàn thông tin gắn liền với sự phát triển của doanh nghiệp.
Mạng riêng ảo (VPN) hoạt động trên nền giao thức IP ngày càng trở nên phổ
biến. Công nghệ này cho phép tạo lập một mạng riêng thông qua cơ sở hạ tầng chung
của nhà cung cấp dịch vụ (ISP). Các kỹ thuật đảm bảo an ninh khác nhau đã được áp
dụng để bảo vệ thông tin của người sử dụng khi trao đổi trong một môi trường chia sẻ
như Internet.
Mạng riêng ảo VPN là một môi trường thông tin ở đó việc truy nhập được kiểm
soát và chỉ cho phép thực hiện kết nối thuộc phạm vi đã được xác định trước. VPN
được xây dựng thông qua việc chia sẻ các phương tiện, môi trường truyền thông

chung. Việc cung cấp các dịch vụ cho mạng riêng được thực hiện thông qua các
phương tiện, môi trường này”.
Mạng riêng ảo VPN là một mạng riêng được xây dựng trên cơ sở hạ tầng của
mạng Internet.

6



Hình 1.1. Mô hình cơ bản VPN
1.2. Phân loại VPN
Có hai loại mạng riêng ảo VPN đó là: VPN truy cập từ xa và VPN kết nối hai
mạng với nhau, còn được gọi là site to site hay LAN to LAN VPN.
1.2.1. VPN truy cập từ xa (Remote access VPN)
VPN truy cập từ xa (hình 1.2) được dùng cho những user làm việc di động, cần
phải truy cập an toàn tới mạng riêng của công ty từ bất kỳ vị trí địa lý nào thông qua
một môi trường chia sẻ, thông dụng như mạng Internet. Một số văn phòng nhỏ cũng có
thể sử dụng kiểu truy cập này để nối với mạng riêng của công ty mình.
1.2.2. Intranet VPN
VPN kết nối hai mạng với nhau (site to site VPN) được chia làm hai loại là
Intranet VPN và Extranet VPN. Về mặt mô hình mạng thì hai loại trên không khác
nhau nhưng khác nhau về chính sách bảo mật. Được sử dụng để kết nối các văn phòng,
chi nhánh trong cùng một công ty, cung cấp kết nối tin cậy, sử dụng nhiều tài nguyên
mạng của Công ty.
1.2.3. Extranet VPN
Được sử dụng khi có nhu cầu trao đổi thông tin giữa mạng của công ty với
mạng của đối tác bên ngoài. Với mô hình này đòi hỏi các chính sách bảo mật cao hơn
so với mô hình trên để hạn chế việc truy cập các tài nguyên của công ty.
1.3. Các thành phần trong mạng VPN
Một mạng VPN có thể bao gồm các thành phần cơ bản sau:

- Máy phục vụ truy cập mạng NAS - Network Access Server
- Bộ định tuyến - Router
- Máy nguồn đường hầm TOS - Tunnel Origination Server
- Máy đích đường hầm TTS - Tunnel Termination Server
- Máy phục vụ xác thực - Authentication Server
- Tường lửa (Firewall)
- Máy phục vụ thiết lập chính sách (Policy Server)
- VPN Gateway
1.3.1. VPN Gateway
1.3.2. Đường hầm (Tunneling)
Đương hầm là khái niệm để chỉ một kênh logic trên đó các gói tin được đóng
trong một khung với địa chỉ nguồn và địa chỉ đích mới (hoặc sử dụng giao thức mới).
Như vậy, phần địa chỉ của gói tin ban đầu sẽ được ẩn trong gói tin mới. Đây là biện
pháp tăng cường an ninh và chất lượng dịch vụ. Định dạng gói tin trong đường hầm có
dạng
1.3.3. Các giao thức tạo đường hầm trong VPN
7



 Giao thức đường hầm điểm nối điểm (PPTP)
 Giao thức chuyển tiếp lớp 2 (L2F)
 Giao thức tạo đường hầm ở lớp hai (L2TP)
 Các giao thức riêng khác.
a. Giao thức PPTP (Point-to-point Tunning Protocol)
b. Giao thức L2TP (Layer 2 Tunneling Protocol)
L2TP được tạo ra bằng cách kết hợp các ưu điểm của hai giao thức PPTP và L2F
(Layer 2 Forwarding - do Cisco thiết kế). Hai công ty Microsoft và Cisco đã cùng hợp
tác để đưa ra giao thức L2TP.
L2F có nhiều điểm giống PPTP. L2F được thiết kế để làm việc với PPP và các

giao thức không định tuyến khác. L2F là một giao thức thuộc lớp hai. Điểm khác nhau
chính giữa PPTP và L2F là việc tạo đường hầm trong L2F không phụ thuộc vào IP và
GRE, điều này cho phép làm việc với các phương tiên truyền vật lý khác.
L2F ngoài việc sử dụng PPP xác thực người dùng còn hỗ trợ cho TACACS+ và
RADIUS để xác thực. L2F khác PPTP ở việc định nghĩa các kết nối bên trong một
đường hầm, cho phép một đường hầm hỗ trợ nhiều kết nối.
Giống như PPTP, L2F sử dụng chức năng của PPP để cung cấp một kết nối truy
cập từ xa. L2TP định nghĩa giao thức tạo đường hầm riêng, dựa trên cấu trúc của L2F.
Cơ cấu này cho phép triển khai đường hầm không chỉ trên mạng IP mà còn trên các
mạng chuyển mạch gói như X25, Frame Relay và ATM.

Hình 1.8. Đường hầm L2TP
c. Giao thức IPSec
IPSec cung cấp các chuẩn mã hóa, xác thực và quản lý khóa mạnh. Sử dụng
IPSec, hai bên tham gia có thể mã hóa từng gói tin cũng như xác thực lẫn nhau. Có hai
chế độ thông tin được sử dụng trong IPSec là giao vận và đường hầm.
Thành phần của IPSec:
Authentication Header (AH)
Encapsulating Security Payload (ESP)
d. SSL VPN (Secure Socket Layer VPN)
- Ứng dụng: IPSec VPN hỗ trợ tất cả các ứng dụng trên nền tảng IP. Một khi
kênh IPSec được thiết lập, tất cả các dịch vụ ứng dụng từ các ứng dụng truyền thống
8



như Web, thư điện tử, truyền tệp đến ứng dụng khác như: ICMP, VoIP …, các ứng
dụng đa dịch vụ để cho phép đi qua kênh này. Đây là một ưu điểm của IPSec VPN,
nhất là IPSec VPN có thể cung cấp kết nối an toàn cho các ứng dụng không dựa trên
nền Web. Vì vậy, các máy khác dùng IPSec thực hiện kết nối VPN được gọi là fat-

client do khả năng ứng dụng và dịch vụ. Trong khi đó khả năng truy cập các ứng dụng,
dịch vụ của SSL VPN hạn chế hơn. SSL VPN cung cấp các ứng dụng dựa trên nền
web: Email (POP3, IMAP, SMTP). Các máy khách chỉ cần dùng trình duyệt có hỗ trợ
SSL, hoặc thực hiện kết nối VPN mà không cần cài đặt phần mềm client. Đa số các
giải pháp SSL VPN không cung cấp các ứng dụng dùng cổng TCP động như FTP hay
VoIP. Tuy nhiên, SSL VPN cũng hỗ trợ cả một số ứng dụng trên nền TCP sử dụng
chương trình chuyển tiếp cổng như: Terminal Services
Tổng kết chƣơng 1
Trong chương một đã giới thiệu khái quát về kỹ thuật VPN. Bên cạnh những kỹ
thuật cơ bản, còn có các ưu điểm cũng như nhược điểm của VPN. Chương một này
cũng đề cập đến các dạng của mạng VPN hiện tại. Đối với người dùng phổ thông thì
vai quan trọng nhất của VPN chính là khả năng bảo mật cao và chi phí đầu tư hợp lý.

9



CHƢƠNG 2.BẢO MẬT TRONG VPN
2.1. Các dịch vụ bảo mật
Điều quan trong nhất trong ứng dụng công nghệ mạng riêng ảo là tính bảo mật
hay tính riêng tư. Trong hầu hết các ứng dụng cơ bản của nó, tính riêng tư mang ý
nghĩa là một đường hầm giữa 2 người dùng trên một mạng VPN như một liên kết riêng
chạy trên môi trường chung như Internet. Đặc biệt đối với doanh nghiệp trong kết nối
phải mang tính bảo mật, nghĩa là VPN cần cung cấp các dịch vụ giới hạn để đảm bảo
an toàn cho dữ liệu:
- Xác thực (Authentication): Đảm bảo dữ liệu đến từ một nguồn xác định
- Điều khiển truy cập (Access Control): hạn chế, không cho phép những người
dùng bất hợp pháp truy cập vào mạng.
- Tin cậy (Confidentiality): ngăn không cho một ai đó đọc hay sao chép dữ liệu
khi dữ liệu được truyền đi qua mạng Internet.

- Tính toàn vẹn dữ liệu (Data integrity): Đảm bảo dữ liệu không bị thay đổi khi
truyền trên mạng Internet.
Các dịch vụ trên được cung cấp tại lớp 2 - Liên kết dữ liệu và lớp 3 - lớp mạng
của OSI. Việc phát triển các dịch vụ bảo mật tại các lớp thấp của OSI làm cho các dịch
vụ này trở nên trong suốt đối với người dùng.
2.1.1. Xác thực
- Giao thức xác thực mật khẩu PAP (Password Authentication Protocol):
- Giao thức bắt tay theo yêu cầu CHAP (Challenge Handshake Authentication
Protocol)
- Hệ thống điều khiển truy cập bộ điều khiển đầu cuối - TACACS
- Dịch vụ xác thực người dùng thông qua quay số - RADIUS
2.1.2. Chữ ký điện tử
2.1.3. Kiểm soát truy cập
2.1.4. Tính bí mật dữ liệu
2.1.5. Tính toàn vẹn dữ liệu
2.2. Bảo mật trong giao thức PPTP
Xác thực: Để xác thực người sử dụng, PPTP cũng sử dụng các phương pháp xác
thực giống như PPP: PAP, CHAP. Tuy nhiên, PPTP có bổ sung EAP (Extensible
authentication protocol). EAP hỗ trợ nhiều cơ chế xác thực sử dụng mật khẩu tức thời,
thẻ bài… Riêng đối với hệ điều hành Windows còn hỗ trợ thêm giao thức xác thực
người dùng là MS-CHAP sử dụng thuật toán băm MD4
10



Mã hóa: PPTP sử dụng mã hóa gói tin của PPP. Đối với PPTP do Microsoft đưa
ra sử dụng giao thức mã hóa MPPE (Microsoft Point to Point Encryption) dựa trên
chuẩn RC4 RSA. MPPE chỉ đáp ứng trong trường hợp các giao thức xác thực EAP-
TLS hoặc MS-CHAP (phiên bản 1 hoặc 2) được sử dụng.
MPPE có thể dụng các khóa mã 40-bit, 56 bit hoặc 128 bit. Ngầm định khóa có

độ tin cậy cao nhất được hỗ trợ bởi VPN Client và VPN Server được xác định trong
quá trình thiết lập kết nối. Nếu VPN server yêu cầu một khóa có độ tin cậy cao hơn
khóa được hỗ trợ bởi VPN Client, thì Client sẽ bị từ chối khi cố gắng truy cập.
2.3. Bảo mật trong giao thức L2TP
Cơ chế bảo mật giống như trong cơ chế xác thực của PPP: PAP, CHAP, MS-
CHAP, EAP. Về mặt mã hóa, bản thân L2TP không cung cấp dịch vụ mã hóa dữ liệu.
Nó chỉ kế thừa việc sử dụng mã hóa của PPP. Tuy nhiên để nâng cao bảo mật, có thể
kết hợp L2TP với IPSec. Lúc này gói tin L2TP sẽ được đóng gói trong một gói itn IP.
Cấu trúc:
IP Header
UDP Header
L2TP Header
PPP Header
PPP Payload
Do gói tin L2TP được đóng gói trong một gói tin IP, cho nên có thể áp dụng giao
thức IPSec cho gói tin này để tăng cường tính bảo mật khi nó được truyền qua mạng.
2.4. Bảo mật trong IPSec
IPSec là chuẩn mở, cho phép truyền tin bảo mật trên mạng công cộng dựa trên
thuật toán DES, 3DES… nhằm thực hiện việc mã hóa và giải mã. Có hai thành phần
chính của IPSec là: Xác thực header (AH) và phương thức bảo mật tải tin (ESP).
2.4.1. Bảo mật trong AH
2.4.2. Bảo mật trong ESP
2.4.3. Quản lý và trao đổi khóa
2.5.Công nghệ chuyển mạch nhãn đa giao thức MPLS
2.5.1. Giới thiệu công nghệ MPLS
MPLS là một công nghệ kết hợp đặc điểm tốt nhất giữa định tuyến lớp ba và
chuyển mạch lớp hai cho phép chuyển tải các gói rất nhanh trong mạng lõi (core) và
định tuyến tốt ở mạng biên (Edge) bằng cách dựa vào nhãn (Label). MPLS là một
phương pháp cải tiến việc chuyển tiếp gói trên mạng bằng các nhãn được gắn với mỗi
gói IP, tế bào ATM, hoặc frame lớp hai. Phương pháp chuyển mạch nhãn giúp các

Router và MPLS-Enable ATM switch ra quyết định theo nội dung nhãn tốt hơn việc
định tuyến phức tạp theo địa chỉ IP đích. MPLS kết hợp tính thực thi và khả năng
chuyển mạch lớp hai với định tuyến lớp ba. Cho phép các ISP cung cấp nhiều dịch vụ
khác nhau mà không cần phải bỏ đi cơ sở hạ tầng sẵn có. Cấu trúc MPLS có tính mềm
dẻo trong bất kỳ sự phối hợp với công nghệ lớp hai nào.
11



Đặc điểm mạng MPLS:
- Không có MPLS API, cũng không có thành phần giao thức phía host.
- MPLS chỉ nằm trên các router trong mạng lõi.
- MPLS là giao thức độc lập nên có thể hoạt động cùng với giao thức khác IP như
IPX, ATM, Frame Relay,…
- MPLS giúp đơn giản hoá quá trình định tuyến và làm tăng tính linh động của
các tầng trung gian.
2.5.2. Chuẩn hóa MPLS
2.5.3. Các thành phần của MPLS
- LSR (Label switch router)
- LSR biên
- LSR dựa trên khung
- ATM-LSR
- Label - nhãn
- FEC (forwaring equivalence classes)
- Ngăn xếp nhãn (Label stack)
- LSP (path)
- Miền ATM-LSR
2.5.4. Các chế độ hoạt động của MPLS
a. Chế độ hoạt động khung
Chế độ hoạt động này xuất hiện khi sử dụng MPLS trong môi trường các thiết bị

định tuyến thuần nhất định tuyến các gói tin IP điểm - điểm. Các gói tin gán nhãn được
chuyển tiếp trên cơ sở khung lớp 2.
Quá trình chuyển tiếp một gói IP qua mạng MPLS được thực hiện qua một số
bước cơ bản sau:
 LSR biên lối vào nhận gói IP, phân loại gói vào nhóm chuyển tiếp tương
đương FEC và gán nhãn cho gói với ngăn xếp nhãn tương ứng FEC đã xác
định. Trong trường hợp định tuyến một địa chỉ đích, FEC sẽ tương ứng với
mạng con đích và việc phân loại gói sẽ đơn giản là việc so sánh bảng định
tuyến lớp 3 truyền thống.
 LSR lõi nhận gói có nhãn và sử dụng bảng chuyển tiếp nhãn để thay đổi
nhãn nội vùng trong gói đến với nhãn ngoài vùng tương ứng cùng với vùng
FEC (trong trường hợp này là mạng con IP)
 Khi LSR biên lối ra của vùng FEC này nhận được gói có nhãn, nó loại bỏ
nhãn và thực hiện việc chuyển tiếp gói IP theo bảng định tuyến lớp 3 truyền
thống.
12



Header nhãn MPLS
Trong chế độ hoạt động khung, nhãn MPLS được chèn vào giữa header lớp 2 và
nội dung thông tin lớp 3 của khung lớp 2 như hình dưới đây:

Hình 2.7. Nhãn MPLS trong khung lớp 2
Chuyển mạch nhãn trong chế độ khung
- Sau khi nhận khung PPP lớp 2 từ router biên LSR biên số 1, LSR lõi 1 lập tức
nhận dạng gói nhận được là gói có nhãn dựa trên giá trị trường giao thức PPP và thực
hiện việc kiểm tra nhãn trong cơ sở dữ liệu chuyển tiếp (LFIB - Label forwarding
Information Base).
- Kết quả nhãn vào là 30 được thay bằng nhãn ra 28 tương ứng với việc gói tin

sẽ được chuyển tiếp đến LSR lõi 3.
- Tại đây nhãn được kiểm ra, nhãn số 28 được thay bằng nhãn số 37 và cổng ra
được xác định. Gói tin được chuyển tiếp đến LSR biên số 4.
- LSR biên số 4, nhãn 37 bị loại bỏ và việc kiểm tra địa chỉ lớp 3 được thực hiện,
gói tin được chuyển tiếp đến nút router tiếp theo ngoài mạng MPLS.
Như vậy quá trình chuyển đổi nhãn được thực hiện trên các LSR lõi dựa trên
bảng định tuyến. Bảng định tuyến này phải được cập nhật đầy đủ để đảm bảo mỗi LSR
(hay router) trong mạng MPLS có đầy đủ thông tin về tất cả các hướng chuyển tiếp.
Quá trình này xảy ra trước khi thông tin được truyền trong mạng và thông thường
được gọi là quá trình liên kết nhãn (label binding).
Các bước chuyển mạch trên được áp dụng đối với các gói tin có nhãn hay gói tin
có nhiều nhãn (trong trường hợp sử dụng VPN thông thường một nhãn được gán cố
định cho VPN server).
Quá trình liên kết và lan truyền nhãn
Khi xuất hiện một LSR mới trong mạng MPLS hay bắt đầu khỏi tạo mạng
MPLS, các thành viên LSR trong mạng MPLS phải có liên lạc với nhau trong quá
trình khai báo thông qua bản tin Hello. Sau khi bản tin này được gửi một phiên giao
dịch giữa 2 LSR được thực hiện. Thủ tục trao đổi là giao thức LDP.
Gói IP không
nhãn trong khung
lớp 2
Gói IP có nhãn
trong khung lớp 2
Nhãn MPLS
13



Ngay sau khi LIB (cơ sở dữ liệu nhãn) được tạo ra trong LSR, nhãn được gán
cho mỗi FEC mà LSR nhận biết được. Đối với định tuyến dựa trên unicast, FEC tương

đương với prefix trong bảng định tuyến IP và bảng chuyển đổi chứa trong LIB. Bảng
chuyển đổi định tuyến này được cập nhật liên tục khi xuất hiện những tuyến nội vùng
mới, nhãn mới sẽ được gán cho tuyến mới.
Do LSR gán nhãn cho mỗi IP prefix trong bảng định tuyến của chúng ngay sau
khi prefix xuất hiện trong bảng định tuyến và nhãn là phương tiện được LSR khác sử
dụng khi gửi gói tin cho nhãn đến chính LSR đó nên phương pháp gán và phân phối
nhãn này được gọi là nhãn điều khiển độc lập với quá trình phân phối ngược không
yêu cầu.
Việc liên kết các nhãn được quảng bá ngay đến tất cả các router thông qua phiên
LDP.
b. Chế độ hoạt động tế bào
Khi thực hiện triển khai MPLS qua ATM cần phải giải quyết một số vấn đề sau:
 Không thực hiện trao đổi trực tiếp các gói IP giữa 2 nút MPLS cận kề qua
giao diện ATM. Tất cả các số liệu trao đổi qua giao diện ATM phải thực
hiện qua kênh ảo ATM.
 Các tổng đài ATM không thể thực hiện việc kiểm tra nhãn hay địa chỉ lớp 3.
Khả năng duy nhất của tổng đài ATM đó là chuyển đổi VC đầu vào sang
VC đầu ra của giao diện ra.
Do đó, MPLS đã xây dựng một số cơ chế để đảm bảo thực thi chuyển mạch nhãn
đa giao thức qua ATM như sau:
 Các gói IP trong mảng điều khiển (Control Frame) không thể trao đổi trực
tiếp qua giao diện ATM. Một kênh ảo VC phải được thiết lập giữa 2 nút
MPLS cần kề để trao đổi gói thông tin điều khiển.
 Nhãn trên cùng trong ngăn xếp nhãn phải được sử dụng cho các giá trị
VPI/VCI.
 Các thủ tục gán và phân phối nhãn phải được sửa đổi để đảm bảo các tổng
đài ATM không phải kiểm tra địa chỉ lớp 3.
2.5.5. Các giao thức sử dụng trong mạng MPLS
Tham gia vào quá trình truyền thông tin trong mạng MPLS có một số giao thức
như LDP, RSVP.

a. Giao thức phân phối nhãn LDP
b. Giao thức định tuyến cưỡng bức CR-LDP
c. Giao thức báo hiệu RSVP
2.6. Ứng dụng mạng riêng riêng ảo trong MPLS
14



2.6.1. Mô hình Overlay VPN
2.6.2. Mô hình ngang hàng
2.6.3. Các bộ định tuyến ảo trong MPLS VPN
2.6.4. Kiến trúc MPLS VPN
Trong kiến trúc mạng MPLS VPN, các router biên mang thông tin định tuyến
khách hàng, cung cấp định tuyến tối ưu cho lưu lượng giữa các site của khách hàng.
Mô hình MPLS-based VPN cũng giúp cho khách hàng sử dụng không gian địa chỉ
trùng lặp (Overlapping address spaces), không giống như mô hình peer-to-peer truyền
thống trong việc định tuyến lưu lượng khách hàng yêu cầu nhà cung cấp phải gán địa
chỉ IP riêng cho mỗi khách hàng (hoặc khách hàng phải thực hiên NAT) để tránh trùng
lặp không gian địa chỉ. MPLS VPN là một dạng thực thi đầy đủ của mô hình peer-to-
peer. MPLS VPN backbone và các site khách hàng trao đổi thông tin định tuyến lớp 3,
và dữ liệu được chuyển tiếp giữa các site khách hàng sử dụng MPLS-enable SP IP
Backbone. Miền (domain) MPLS VPN, giống như VPN truyền thống, gồm mạng của
khách hàng và mạng của nhà cung cấp. Mô hình MPLS VPN giống với mô hình router
PE dành riêng (dedicated PE router model) trong các dạng thực thi VPN ngang cấp
peer-to-peer VPN. Tuy nhiên, thay vì triển khai các router PE khác nhau cho từng
khách hàng, lưu lượng khách hàng được tách riêng trên cùng router PE nhằm cung cấp
khả năng kết nối vào mạng của nhà cung cấp cho nhiều khách hàng. Các thành phần
của một MPLS VPN được trình bày trong hình sau:



Hình 2.13. Kiến trúc MPLS VPN
LSP riêng
LSP công cộng
2.6.5. Vấn đề bảo mật trong MPLS VPN
a. Bảo mật định tuyến
b. Bảo mật dữ liệu
15



c. Bảo mật mạng vật lý
2.6.6. Chất lượng dịch vụ trong mạng MPLS VPN
Chất lượng dịch vụ được mô tả thông qua các thông số băng thông, đỗ trễ, tỷ lệ
mất gói tin, tốc độ truyền … Thuật ngữ QoS và CoS (class of service) có sự liên quan
chặt chẽ với nhau nhưng cũng có sự khác biệt nhỏ. QoS là sự đảm bảo về việc cung
cấp một mức dịch vụ yêu cầu, còn CoS là loại của dịch vụ được yêu cầu bởi một gói
nghĩa là một phần của lưu lượng ứng dụng đặc biệt. Chúng được kết hợp với nhau để
cung cấp các dịch vụ có chất lượng dịch vụ như mong muốn. Bắt đầu từ điểm vào của
một tuyến, giá trị trường CoS được ấn định. Trường CoS này sau đó được phân tích
bởi mỗi quá trình QoS hoạt động trong các nút dọc theo tuyến đường gói di chuyển
cho tới khi gói đạt tới đích của nó với chất lượng dịch vụ đã được thiết lập.
Tổng kết chƣơng 2
Trong chương này tìm hiểu về:
- Các dịch vụ bảo mật trong VPN: PPTP, L2TP, IPSec bao gồm:
 Độ an toàn, tính sẵn sàng, chất lượng dịch vụ, độ tin cậy, tính tương thích
và tính có thể quản lý được.
- Công nghệ chuyển mạch nhãn đa giao thức MPLS:
 Các chế độ hoạt động
 Các giao thức sử dụng trong mạng MPLS
 Ứng dụng mạng riêng ảo trong MPLS



16



CHƢƠNG 3. TRIỂN KHAI VPN MPLS THỰC TẾ
Trong nền kinh tế hiện nay, lợi nhuận của nhà cung cấp dịch vụ xoay quanh
trong tâm cung cấp các dịch vụ giá trị gia tăng. Theo hãng Frost and Sullivan, thị
trường mạng riêng ảo (VPN) khu vực châu Á - Thái Bình Dương dự kiến đạt 5,15 tỷ
USD vào năm 2009, tăng hơn 200% so với năm 2003.
Công ty nghiên cứu cũng cho biết thị trường này năm nay sẽ tăng 25,7%, đạt hơn
2 tỷ USD, từ con số 1,687 tỷ USD của năm ngoái. Năm 2003, thị trường mạng riêng
ảo phát triển mạnh tại Nhật Bản, Australia và Trung Quốc. VPN hiện được coi là thị
trường dịch vụ viễn thông có tốc độ phát triển nhanh nhất, ước tăng 20,4% mỗi năm
trong vòng 6 năm nữa.
Cũng theo Frost and Sullivan, Nhật Bản là thị trường VPN lớn nhất châu Á -
Thái Bình Dương, chiếm 60% doanh thu, trong khi Australia đứng thứ hai với 21%.
Tuy nhiên, đến cuối năm 2009, Trung Quốc và Ấn Độ được dự đoán là hai thị trường
VPN trọng điểm của khu vực
Các dịch vụ mạng riêng ảo rất đa dạng bao gồm thương mại điện tử, điện thoại
IP, an ninh quản lý, sao lưu từ xa, thuê ứng dụng và các ứng dụng đa phương tiện …
Sự lựa chọn và triển khai một trong các kiến trúc của VPN - MPLS, IPSec hay là sự
phối hợp của cả hai cấu trúc sẽ ảnh hưởng đến phạm vi thị trường, các dịch vụ cung
cấp và doanh thu.
Trong xu hướng phát triển đó. Tổng công ty Bưu chính viễn thông Việt Nam đã
triển khai MPLS trong mạng lõi của VNPT. Các LSR biên sẽ được tiếp tục đầu tư và
mở rộng tại các điểm có nhu cầu lớn như Hải Phòng, Quảng Ninh, Đà Nẵng, Khánh
Hòa …, từng bước chuyển đổi sang mạng NGN. Các nhà cung cấp dịch vụ như VDC,
FPT …. Cũng đưa ra các dịch vụ mạng riêng ảo, điều này cho thấy thị trường

VPN/MPLS đầy tiềm này và còn phát triển trong tương lai.
Đối tượng sử dụng không kể các Doanh nghiệp và văn phòng đại diện nước
ngoài, có rất nhiều DN trong nước trong lĩnh vực tài chính, bảo hiểm, ngân hàng sử
dụng dịch vụ này. Với VPN dựa trên MPLS, các tổ chức, doanh nghiệp có thể đạt
được nhiều mục tiêu của mình như điều khiển nhiều hơn trên hạ tầng mạng, cung cấp
đa lớp dịch vụ cho người dùng.
3.1. So sánh IPSec và MPLS
3.1.1. Vai trò của MPLS
3.1.2. IPSec
3.1.3. Tích hợp VPN IPSec và VPN MPLS
Nhà cung cấp dịch vụ có thể đạt được các lợi ích cao nhất khi áp dụng cả hai
công nghệ IPSec và MPLS. Ví dụ, có thể sử dụng IPSec cho các giao thông off-net, vì
17



đường truyền cần có xác thực tốt và tính tin cẩn cao và sử dụng MPLS ở mạng lõi cho
kết nối rộng mở hơn, đồng thời hỗ trợ các kỹ thuật định tuyến lưu lượng và chất lượng
dịch vụ.
Các nhà sản xuất thiết bị như Cisco, Nokia Checkpoint, Juniper network có thể
cung cấp các giải pháp cho phép nhà cung cấp dịch vụ ghép các phiên IPSec trực tiếp
vào một VPN MPLS. Các tiếp cận này giúp các nhà cung cấp dịch vụ mở rộng các
dịch vụ VPN ra ngoài biên của một mạng MPLS thông qua việc sử dụng một cơ sở hạ
tầng mạng IP công cộng.
3.2. Triển khai ứng dụng VPN tại Ngân hàng
Ngân hàng là cơ quan có chức năng quản lý tiền tệ, các hoạt động tại ngân hàng
đòi sự nhanh chóng, chính xác và an toàn cao. Để đáp ứng điều đó, Ngân hàng nhà
nước VN là một trong đơn vị đi đầu trong lĩnh vực ứng dụng công nghệ thông tin hiện
đại nhằm mục đích phục vụ cho hoạt động chuyên môn nghiệp vụ của mình. Trong xu
hướng hội nhập kinh tế, quốc tế, việc ứng dụng thương mại điện tử (TMĐT) là tất yếu

nhằm đảm bảo an ninh, an toàn trong TMĐT. Bên cạnh đó xây dựng hệ thống thanh
toán điện tử ngân hàng tự động mở rộng các dịch vụ ngân hàng điện tử.
Ý thức được tầm quan trọng của việc ứng dụng công nghệ thông tin vào lĩnh vực
ngân hàng, ngay từ đầu các ngân hàng nhà nước đã xây dựng cơ sở hạ tầng thông tin
hiện đại, với mạng LAN, WAN được triển khai hầu hết các chi nhánh Tỉnh, Thành phố
trên toàn quốc. Hiện nay là hệ thống mạng SBVNet (Mạng diện rộng của Ngân hàng
nhà nước Viết Nam Sate Bank of Vietnam and Wide computer Network) phục vụ điều
hành quản lý, hệ thống chuyển tiền, thanh toán liên ngân hàng …
Với đặc thù của ngành ngân hàng mang tính bảo mật cao, NHNN đã triển khai
các giải pháp an ninh nhiều lớp, trang bị các công cụ kiểm soát và giảm sát truy nhập,
mã hóa dữ liệu trên đường truyền, sử dụng tường lửa, hệ thống chứng thực (CA) và
chữ ký điện tử nhằm đảm bảo an toàn, bảo mật tuyệt đối cho các giao dịch thanh toán.
Trong đó phải kể đến thiết lập mạng riêng ảo của Cisco, Checkpoint và của Microsoft
được sử dụng đề án tin học hóa quản lý hành chính nhà nước - Ngân hàng Nhà nước
Việt Nam
18




3.2.1. Giải pháp VPN của Microsoft
3.2.2. Giải pháp VPN của Cisco
19



Customer A
Site 1
EIGRP AS 101
Customer A

Site 2
EIGRP AS 101
Customer B
Site 2
Customer B
Site 1
EIGRP AS 202EIGRP AS 201
5.5.5.5/24
1.1.1.1/24
7.7.7.7/24
6.6.6.6/24
VPN-B
VPN-A VPN-A
VPN-B
F0/0.1
192
.
168.
12
.
0
/
24
F0/0
.2
2
S1/3
S1/3
.4
.3.3

S1/2 S1/0
F0/1
F0/0
F0/0 .5
F0/1.7
.4
F0/1
.2
F0/1 .6
Loopback 0
2.2.2.2/32
192
.
168
.
23
.
0
/
24
192
.
168
.
34
.
0
/
24
Loopback 0

4.4.4.4/32
.4
192
.
168
.
45
.
0
/
24
192
.
168
.
47
.
0
/
24
192
.
168.
26
.
0
/
24
Mạng trục của
nhà cung cấp dịch

vụ MPLS
R1-CE R5-CE
R6-CE
R7-CE
R3-P
R2-PE
R4-PE


Tổng kết chƣơng 3
Trong chương này tìm hiểu về:
- IPSec và MPLS ưu và nhược điểm
- Triển khai ứng dụng MPLS VPN


20



KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN
Ngày nay, các ứng dụng Internet đã được sử dụng rộng rãi trong mọi lĩnh vực, ở
khắp mọi nơi trên thế giới. Sự mở rộng của Internet kéo theo sự cải tiến không ngừng
của các mô hình mạng, kéo theo đó là các dịch vụ mạng để đáp ứng nhu cầu truyền
thông tin một cách an toàn, hiệu quả, đáp ứng được nhiều yêu cầu trên nhiều hạ tầng
mạng khác nhau. Một trong những ứng dụng quan trọng đó là mạng riêng ảo.
Bên cạnh tìm hiểu chung về mạng riêng ảo, luận văn còn phân tích các loại mạng
riêng ảo hiện nay, những hạn chế còn tồn tại trong mỗi mô hình, những thế mạnh của
mỗi mô hình từ đó có cái nhìn tổng quan về mỗi mô hình để từ đó lựa chọn áp dụng
vào mỗi mô hình sao cho có hiệu qủa nhất.
Hiện nay có nhiều công nghệ mới ra đời nhằm nghiên cứu phương thức truyền

tin trên mạng một cách an toàn một trong những công nghệ đang được ứng dụng rộng
rãi hiện nay đó là MPLS VPN. Luận văn trình bày khái niệm và phương thức hoạt
động của công nghệ MPLS đi sâu vào phân tích cấu trúc MPLS cũng như cách thức
truyền gói tin gắn nhãn đi trong mạng từ một địa chỉ nguồn tới một địa chỉ đích một
cách an toàn.
Triển khai MPLS-VPN trong thực tế, so sánh hai công nghệ mạng riêng ảo IPSec
và MPLS, trên cơ sở đó triển khai ứng dụng mạng riêng ảo VPN tại ngân hàng nhà
nước với giải pháp của Cisco và Microsoft.
Tuy nhiên luận văn còn nhiều hạn chế: chưa triển khai được trên hệ thống mạng
thực tế, chỉ thực hiện trên hệ thống mô phỏng, chưa tìm hiểu kỹ về MPLS được triển
khai thực tế trong hoạt động Ngân hàng cụ thể.


21



TÀI LIỆU THAM KHẢO
TÀI LIỆU TIẾNG VIỆT
1. Nghiên cứu công nghệ chuyển mạch nhãn MPLS và đề xuất các kiến nghị áp
dụng công nghệ MPLS trong mạng thế hệ mới NGN của tổng công ty. TG: Lê Ngọc
Giao, Trần Hạo Bửu, Phạm Thủy Phong, Trần Việt Tuấn, Phạm Huy Tỳ, Nguyễn
Ngọc Thành, Đặng Thu Hà, Phan Hà Trung)
TÀI LIỆU TIẾNG ANH
2. Cisco System, Overview of Virtual Private Networks and IPSec Technologies.
3. Cisco VPN solution, www.cisco.com/go/vpn
4. Harkins, D. and Carrel, D. (1998), “The Internet Key Exchange”, RFC 2409,
November 1998.
5 IETF Working Group
5.1. IETF RFC 2637: “Point - to - Point Tunneling Protocol (PPTP)”

5.2. IETF RFC 1701: “Generic Routing Encapsulation (GRE)”
5.3. IETF RFC 2661: “Layer Two Tunnuling Protocol (L2TP)”
5.4. IETF RFC 2409: “The Internet Key Exchange (IKE)”
6. Ivan Pepelnjak and Jim Guichard, MPLS and VPN Architectures - A practical
guide to understanding, designing and deploying MPLS and MPLS-VPN enabled
VPNs, Cisco Systems, IN-USA, 2001
7. R.C.Sreijl - Analysis of Managed Virtual Private Network, 2000
8. RSA Security Inc - A Guide to Security Technologies, www.rsasecurity.com
9. Các tài liệu từ Internet

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×