H
Ọ
C VI
Ệ
N CÔNG NGH
Ệ

BƯU CHÍNH VI
Ễ
N THÔNG





QUÁCH NHƯ THẾ


NGHIÊN CỨU BẢO MẬT MẠNG RIÊNG ẢO TRÊN CÔNG NGHỆ
CHUYỂN MẠCH NHÃN ĐA GIAO THỨC

Chuyên ngành: Truyền dữ liệu và mạng máy tính

Mã số: 60.48.15

TÓM TẮT LUẬN VĂN THẠC SĨ KỸ THUẬT

NGƯỜI HƯỚNG DẪN KHOA HỌC :

PGS.TS NGUYỄN VĂN TAM

HÀ NỘI – 2012

1

MỞ ĐẦU
Mạng VPN là một trong những ứng dụng rất quan trọng
trong mạng MPLS. MPLS VPN đã đơn giản hóa quá trình tạo
“đường hầm” trong mạng riêng ảo bằng cơ chế gán nhãn gói tin
(Lable) trên thiết bị mạng nhà cung cấp. Thay vì phải tự thiết
lập, quản trị, và đầu tư những thiết bị đắt tiền, MPLS VPN sẽ
giúp doanh nghiệp giao trách nhiệm này cho nhà cung cấp –
đơn vị có đầy đủ năng lực, thiết bị và công nghệ bảo mật tốt
hơn cho mạng của doanh nghiệp.
Luận văn “ Nghiên cứu bảo mật mạng riêng ảo trên
công nghệ chuyển mạch nhãn đa giao thức” đã nghiên cứu
VPN trên mạng MPLS có kết hợp với IPSEC và mô phỏng.
Luận văn được chia làm 3 chương:
Chương I: Tổng quan về mạng riêng ảo
Chương II: Giải pháp bảo mật VPN trên nền MPLS
Chương III: Mô phỏng
2



CHƯƠNG I: TỔNG QUAN VỀ MẠNG RIÊNG ẢO
1. Tổng quan về mạng riêng ảo
1.1 Giới thiệu về mạng riêng ảo
 Khái niệm mạng riêng ảo.
Mạng riêng ảo là phương pháp làm cho một mạng công
cộng hoạt động như một mạng cục bộ kết hợp với các giải pháp
bảo mật trên đường truyền. VPN cho phép thành lập các kết nối
riêng với người dùng ở xa, các văn phòng chi nhánh của công
ty và các đối tác của công ty đang sử dụng chung một mạng
công cộng.
VPN = định đường hầm + bảo mật + các thoả thuận QoS
1.2 Ưu và nhược điểm của VPN
 Ưu điểm:
 Giảm chi phí đường truyền
 Giảm chi phí đầu tư
 Giảm chi phí quản lý và hỗ trợ
 Truy cập mọi lúc mọi nơi
 Cải thiện kết nối.
 An toàn trong giao dịch.
 Hiệu quả về băng thông.
 Enhanced scalability
 Nhược điểm:
 Phụ thuộc trong môi trường Internet.
 Thiếu sự hổ trợ cho một số giao thức kế thừa
3

1.3 Phân loại mạng và các mô hình VPN
 Các loại mạng VPN
 Remote access VPN
 Intranet VPN

 Extranet VPN
1.4 Các thành phần trong mạng VPN
1.4.1 Mạng khách hàng (Customer Network)
Gồm các router tại các site khách hàng khác nhau. Các
router kết nối các site cá nhân với mạng của nhà cung cấp dịch
vụ được gọi là các router biên phía khách hàng (CE- Customer
Edge).
1.4.2 Mạng nhà cung cấp (Provider Network)
Được dùng để cung cấp các kết nối point-to-point qua
hạ tầng mạng của nhà cung cấp dịch vụ. Các thiết bị của nhà
cung cấp dịch vụ mà nối trực tiếp với CE router được gọi là
router biên phía nhà cung cấp (PE-Provider Edge). Mạng của
nhà cung cấp còn có các thiết bị dùng để chuyển tiếp dữ liệu
trong mạng trục (SP backbone) được gọi là các router nhà cung
cấp (P- Provider)
VPN có thể chia thành hai loại mô hình: Overlay và
Peer-to-Peer.
4

1.5 Các giao thức tạo đường hầm trong VPN
1.5.1 Giao thức PPTP(Point-To-Point Tunning
Protocol)
Giao thức PPTP (Point-to-Point Tunneling Protocol -
giao thức tạo đường hầm điểm nối điểm) ban đầu được phát
triển và được thiết kế để giải quyết vấn đề và duy trì các đường
hầm VPN trên các mạng public dựa vào TCP/IP bằng cách sử
dụng PPP. PPTP là kết quả của sự nỗ lực chung của Microsoft
và một loạt các nhà cung cấp sản phẩm bao gồm chẳng hạn
Ascend Communications, 3Com/Primary Access, ECI
Telematics, và U.S. Robotics

1.5.2 Giao thức L2TP (Layer 2 Tunneling Protocol)
Giao thức L2TP sử dụng hai loại thông điệp, thông điệp
điều khiển (Control Message) và thông điệp dữ liệu (Data
Message). Thông điệp điều khiển được sử dụng trong việc thiết
lập và duy trì đường ống. Thông điệp dữ liệu được sử dụng để
đóng gói PPP frame để chuyển qua đường ống.
1.5.3 Giao thức IPSec (IP Security Protocol)
IPSec là một giao thức bảo mật tích hợp với tầng IP,
cung cấp dịch vụ bảo mật mã hóa linh hoạt. Những dịch vụ này
là
1.5.3.1 Chứng thực nguồn gốc dữ liệu/Tính toàn vẹn
dữ liệu phi kết nối
17


KẾT LUẬN
Mạng riêng ảo VPN là một trong những ứng dụng rất
quan trọng trong mạng MPLS. Các công ty, doanh nghiệp đặc
biệt các công ty đa quốc gia có nhu cầu rất lớn về loại hình dịch
vụ này. Với VPN họ hoàn toàn có thể sử dụng các dịch vụ viễn
thông, truyền số liệu nội bộ với chi phí thấp, an ninh bảo đảm.
Đây là một ứng dụng rất quan trọng đáp ứng các yêu cầu của
các mạng riêng sử dụng hạ tầng cơ sở thông tin quốc gia với
những yêu cầu khác nhau về độ an toàn, bảo mật và chất lượng
dịch vụ. Bên cạnh đó là việc nghiên cứu các công nghệ bảo mật
trong MPLS VPN, nổi bật hiện nay chính là sử dụng IPSec.
Sau nghiên cứu đề tài đã tổng kết được các vấn đề sau:
 Tổng quan VPN: Giới thiệu tổng quan VPN
 Giải pháp bảo mật VPN trên nền MPLS, tìm hiểu IPsec
MPLS

 Tìm hiểu phần mềm mô phỏng GNS để mô phỏng vấn
đề bảo mật MPLS VPN
16

CHƯƠNG III: MÔ PHỎNG
3.1 Thực hiện MPLS VPN, IPSEC
3.1.1 Sơ đồ mạng – cấu hình các interface cơ bản

3.1.2 Yêu cầu:
 Tạo MPLS core.
 Thực hiện MPLS VPN , IPSEC cho hai khách
hàng CE1và CE2
5

1.5.3.2 Bảo vệ chống replay
1.5.3.3 Bảo mật
1.5.3.4 Encapsulating Security Payload (ESP)
1.5.3.5 Tiêu đề chứng thực (AH)
1.5.3.6 Trao đổi khóa Internet (IKE)
1.5.3.7 Chế độ vận hành
1.5.3.8 Chế độ Tunnel
CHƯƠNG II: GIẢI PHÁP BẢO MẬT VPN TRÊN NỀN
MPLS
2.1 Công nghệ chuyển mạch MPLS
2.1.1 Tổng quan về MPLS
MPLS là một công nghệ kết hợp đặc điểm tốt nhất
giữa định tuyến lớp
ba
và chuyển mạch lớp hai cho phép
chuyển tải các gói rất nhanh trong mạng

lõi
(core) và định
tuyến tốt mạng biên (edge) bằng cách dựa vào nhãn
(label).
Đặc điểm mạng
MPLS:

- Không có MPLS API, cũng không có thành phần giao
thức phía
host.

- MPLS chỉ nằm trên các
router.

- MPLS là giao thức độc lập nên có thể hoạt động
cùng với giao
thức
khác IP như IPX, ATM, Frame
Relay,…

- MPLS giúp đơn giản hoá quá trình định tuyến và
làm tăng tính linh động của các tầng trung gian.
6

Phương thức hoạt
động:

Thay thế cơ chế định tuyến lớp ba bằng cơ chế chuyển
mạch lớp
hai. MPLS

hoạt động trong lõi của mạng IP. Các
Router trong lõi phải enable MPLS
trên
từng giao tiếp. Nhãn
được gắn thêm vào gói IP khi gói đi vào mạng
MPLS.
Nhãn
được tách ra khi gói ra khỏi mạng MPLS. Nhãn (Label) được
chèn
vào
giữa header lớp ba và header lớp hai. Sử dụng
nhãn trong quá trình gửi
gói
sau khi đã thiết lập đường đi.
MPLS tập trung vào quá trình hoán đổi
nhãn
(Label
Swapping). Một trong những thế mạnh của kiến trúc MPLS là
tự
định
nghĩa chồng nhãn (Label
Stack).

2.1.2 Cấu trúc của nút MPLS
Một nút của MPLS có hai mặt phẳng: mặt phẳng
chuyển tiếp MPLS
và
mặt phẳng điều khiển MPLS. Nút
MPLS có thể thực hiện định tuyến lớp
ba

hoặc chuyển mạch
lớp hai.
2.1.2.1 Mặt phẳng chuyển tiếp (Forwarding plane):
Mặt phẳng chuyển tiếp có trách nhiệm chuyển tiếp
gói dựa trên giá
trị
chứa trong nhãn. Mặt phẳng chuyển tiếp
sử dụng một cơ sở thông tin
chuyển
tiếp nhãn LFIB để chuyển
tiếp các gói.
15

IPsec tĩnh: trong mô hình này, mỗi nút IPsec được cấu
hình tĩnh với tất cả IPsec đồng cấp của nó, thông tin nhận thực
và chính sách bảo mật.
IPsec tĩnh được mô tả trong RFC 2401, 2412. Nó có thể
được áp dụng trên CE-CE và PE-PE
IPsec động: trong môi trường hub- và-spoke, hub có thể
được cấu hình mà không cần thông tin đặc điểm của spoke; chỉ
các spoke biết cách đến được hub, và một đường hầm IPsec
được thiết lập chỉ khi nào spoke có thể xác thực được chính nó.
IPsec truy cập từ xa sử dụng ý tưởng tương tự, nhưng xác thực
thường được thực hiện trên máy chủ AAA. IPsec động có thể
được sử dụng cho CE-CE cũng như PE-PE.
14

tương tự như trong bảo mật nhưng dễ thực thi hơn
nhiều, đặc biệt đối với khách hàng.
Ngoại trừ trong trường hợp đặc biệt, IPsec PE-PE

hiện tại không được sử dụng nhiều vì lí do bảo mật.
Rõ ràng nó không là một giải pháp tổng thể cho bảo
mật VPN. Trong các trường hợp này nên sử dụng
IPsec CE-CE
2.3.2.3 IPsec truy cập từ xa vào một mạng MPLS
VPN
Đường hầm IPsec từ người dùng từ xa được kết thúc
trên các bộ định tuyến PE, dựa trên sự nhận dạng
của người dùng, được ánh xạ vào VPN. Do đó, bộ
định tuyến PE thực hiện đầy đủ 2 nhiệm vụ: điểm
cuối truy cập từ xa IPsec và PE MPLS.
Trong ứng dụng này, IPsec phục vụ chủ yếu như
một phương pháp truy cập an toàn vào VPN của
người dùng, như các điểm truy cập không dây công
cộng hay mang internet.
2.3.3 IPsec trên MPLS
Các mô hình đã xem xét trong phần trước mô tả các
đường hầm IPsec đã được thiết lập (ví dụ PE-PE), nhưng không
xem xét cách thức thiết lập đường hầm, việc xem xét thiết kế
thứ 2 khi triển khai mạng IPsec. Các lựa chọn chính để thiết lập
đường hầm IPsec:
7

2.1.2.2 Mặt phẳng điều khiển (Control Plane):
Mặt phẳng điều khiển MPLS chịu trách nhiệm tạo ra
và lưu trữ LFIB.
Tất
cả các nút MPLS phải chạy một giao thức
định tuyến IP để trao đổi thông
tin

định tuyến IP với các nút
MPLS khác trong mạng.
Các môđun điều khiển MPLS
gồm:

•
Định tuyến Unicast (Unicast
Routing)

•
Định tuyến Multicast (Multicast
Routing)

•
Kỹ thuật lưu lượng (Traffic
Engineer)

•
Mạng riêng ảo (VPN – Virtual private
Network)

•
Chất lượng dịch vụ (QoS – Quality of
Service)

2.1.3 Các phần tử chính của MPLS
2.1.3.1 LSR (label switch Router)
Có 3 loại LSR trong mạng
MPLS:


o Ingress LSR – LSR vào nhận gói chưa có nhãn,
chèn nhãn
(ngăn
xếp) vào trước gói và truyền đi trên đường
kết nối dữ
liệu.

o Egress LSR – LSR ra nhận các gói được gán nhãn,
tách nhãn
và
truyền chúng trên đường kết nối dữ liệu. LSR ra
và LSR vào là
các
LSR
biên.

o LSR trung gian (intermediate LSR) – các LSR
trung gian này
sẽ
nhận các gói có nhãn tới, thực hiện các
thao tác trên nó,
chuyển
mạch gói và truyền gói đến đường
8

kết nối dữ liệu
đúng.

2.1.3.2 LSP (label switch Path)
Đường chuyển mạch nhãn là một tập hợp các LSR

mà chuyển mạch
một
gói có nhãn qua mạng MPLS hoặc
một phần của mạng MPLS. Về cơ
bản,
LSP là một đường
dẫn qua mạng MPLS hoặc một phần mạng mà gói đi
qua.
LSR
đầu tiên của LSP là một LSR vào, ngược lại LSR cuối cùng
của LSP
là
một LSR ra.
2.1.3.3 FEC (Forwarding Equivalence Class)
Lớp chuyển tiếp tương đương (FEC) là một nhóm hoặc
luồng các gói
được
chuyển tiếp dọc theo cùng một tuyến
và được xử lý theo cùng một
cách
chuyển tiếp. Tất cả các
gói cùng thuộc một FEC sẽ có nhãn giống nhau.
Tuy
nhiên,
không phải tất cả các gói có cùng nhãn đều thuộc cùng một
FEC, bởi
vì
giá trị EXP của chúng có thể khác nhau; phương
thức chuyển tiếp khác
nhau

và nó có thể phụ thuộc vào FEC
khác
nhau.

2.1.4 Các giao thức sử dụng trong MPLS
2.1.4.1 Phân phối nhãn
•

Phân phối nhãn với LDP
•

Các tính chất cơ bản của giao thức phân phối
nhãn LDP
•

Thủ tục phát hiện LSR lân cận
•

Giao thức truyền tải tin cậy
13

2.3.2 Vị trí các điểm kết thúc của IPsec
Trong một môi trường MPLS VPN, IPsec có thể được
sử dụng tại các điểm khác nhau của mạng:
 Giữa các bộ định tuyến CE của VPN
 Giữa một điểm trong VPN và PE
 Giữa các bộ định tuyến PE trong lõi MPLS VPN
2.3.2.1 CE-CE IPsec
Nếu IPsec được sử dụng giữa các CE, toàn bộ đường
dẫn giữa các CE được bảo mật các đường truy cập (giữa CE và

PE), cũng như toàn bộ lõi MPLS bao gồm các PE, các P và các
đường dẫn
IPsec CE-CE không bảo vệ chống lại các mối đe dọa
sau đây:
 Tấn công từ chối dịch vụ (DoS)
 Các mối đe dọa trong khu vực đáng tin cậy
Nhìn chung, CE-CE IPsec cung cấp một phương
tiện lý tưởng đảm bảo một MPLS VPN vượt quá
tiêu chuẩn an ninh của các mạng MPLS. Đây là kỹ
thuật của sự lựa chọn cho việc cung cấp an ninh bổ
sung, chẳng hạn như mã hóa lưu lượng truy cập đến
một MPLS VPN.
2.3.2.2 PE-PE IPsec
Thường, PE-PE IPsec được xem như một cách để
tránh khách hàng VPN phải thiết lập CE dựa trên
IPsec. Một vài vị trí tư vấn này là một cấu trúc
12

2.3.1.1 Tổng quan IPsec
IPsec là một kỹ thuật cung cấp các dịch vụ bảo mật qua
mạng IP:
 Tính bảo mật thông qua sử dụng mã hóa.
 Tính xác thực thông qua việc sử dụng xác thực
đồng cấp và xác thực thông điệp.
 Tính toàn vẹn thông qua việc sử dụng kiểm tra
toàn vẹn thông điệp.
 Chống lại việc phát lại, bằng cách sử dụng các
chuỗi số đã được xác thực để đảm bảo tính mới mẻ của thông
điệp.
Một trong những lợi ích quan trọng của IPsec là các

dịch vụ bảo mật tất cả được áp dụng trên lớp 3 (lớp mạng) cũng
giống như với IP. Bằng cách này, các dịch vụ bảo mật vẫn độc
lập với cơ chế vận chuyển ưu tiên cũng như các giao thức và
các ứng dụng được dùng ở lớp trên của ngăn xếp.
Khi thiết kế một mạng dùng IPsec, cần xem xét 2 vấn
đề:
 Vị trí các đường hầm IPsec nên được áp dụng.
 Cách thức thiết lập các đường hầm IPsec.
Để giải quyết 2 vấn đề trên có nhiều cách. Trước hết, ta
sẽ xét vị trí điểm cuối IPsec; sau đó là cách các đường hầm
được thiết lập giữa các vị trí.
9

•

Các bản tin LDP
•

Các chế độ phân phối
nhãn

2.1.4.2 Giao th
ứ
c
đặ
t tr
ướ
c tài nguyên
2.2
Ứ

ng d
ụ
ng VPN trên m
ạ
ng MPLS


2.2.1 Gi
ớ
i thi
ệ
u v
ề
MPLS trong VNP
2.2.4 Các b
ộ

đị
nh tuy
ế
n
ả
o MPLS
Một bộ định tuyến ảo là một tập các chức năng, cả tĩnh
và động trong thiết bị định tuyến, nó cung cấp các dịch vụ định
tuyến và gửi chuyển tiếp giống các bộ định tuyến vật lý
Các đặc tính mà bộ định tuyến ảo cần có là:
 Cấu hình của bất cứ sự kết hợp giữa các giao
thức định tuyến.
 Giám sát mạng

 Xử lý sự cố
2.2.3 Ki
ế
n trúc MPLS VPN
2.2.3.1 G
ử
i chuy
ể
n ti
ế
p trong MPLS VPN
a) Gửi chuyển tiếp
Để cung cấp việc gửi chuyển tiếp các gói tin IP dọc theo
các bộ định tuyến người ta sử dụng MPLS. Lý do mà MPLS
giúp chúng ta làm được điều này là vì nó tách riêng thông tin sử
dụng cho việc gửi chuyển tiếp gói tin với thông tin mang trong
tiêu đề IP. Do vậy, chúng ta có thể kết hợp LSP với các bộ định
tuyến VPN-IP và sau đó gửi chuyển tiếp các gói tin IP dọc theo
những bộ định tuyến đó sử dụng MPLS đóng vai trò cơ chế gửi
chuyển tiếp
10

b) Gửi chuyển tiếp trong MPLS VPN
LSP riêng
LSP này được coi là tuỳ chọn trong các cơ sở VPN.
LSP này thường kết hợp với việc dự trữ trước băng thông và
với các dịch vụ khác nhau riêng biệt hoặc lớp QoS. Nếu LSP
này sẵn sàng, nó được sử dụng cho dữ liệu người sử dụng và
cho việc gửi chuyển tiếp dữ liệu điều khiển cá nhân VPN.
LSP công cộng

Các gói tin VPN được gửi chuyển tiếp sử dụng LSP này
nếu LSP riêng với băng thông xác định và các đặc tính QoS
hoặc không được cấu hình hoặc hiện tại không sẵn sàng. LSP
được sử dụng là một LSP được tính trước cho bộ định tuyến lối
ra trong VPN0. VPNID trong tiêu đề chèn thêm được sử dụng
để phân các gói dữ liệu từ các VPN khác nhau tại bộ định tuyến
lối ra.
2.2.3.2 Nh
ậ
n bi
ế
t
đồ
ng b
ộ

đị
nh tuy
ế
n lân c
ậ
n trong
MPLS VPN
Các VR trong một VPN cho trước thuộc về một số các
SPED trong mạng. Những VR này cần phải nhận biết về các
VR khác và phải được kết nối với các VR khác. Một cách để
thực hiện điều này là yêu cầu thiết lập cấu hình của các VR lân
cận
11


2.2.3.3 DiffSer trong MPLS VPN
Việc cấu hình các LSP riêng cho các VPN cho phép SP
cung cấp DiffSer dành cho các khách hàng. Những LSP riêng
này có thể được kết hợp với bất cứ lớp QoS L2 nào có sẵn hoặc
với các điểm mã dịch vụ. Trong một VPN, nhiều LSP riêng với
các lớp dịch vụ khác nhau có thể được cấu hình với các thông
tin luồng cho việc sắp xếp các gói tin trong các LSP. Đặc tính
này, cùng với khả năng thay đổi kích thước các bộ định tuyến
ảo, cho phép SP cung cấp các dịch vụ hoàn toàn khác nhau tới
các khách hàng VPN.
2.3 MPLS VPN k
ế
t h
ợ
p IPSEC
2.3.1 IPSEC MPLS VPN
Ngày nay mạng MPLS VPN và IPsec VPN đã được
triển khai khá rộng, cho thấy rằng cả hai đều có những lợi ích
riêng. Các lợi ích của MPLS VPN chủ yếu bên phía nhà cung
cấp dịch vụ do kỹ thuật này cho phép các kiến trúc VPN có khả
năng mở rộng cao có tích hợp hỗ trợ QoS. Và các khách hàng
VPN có lợi ích gián tiếp nhờ việc cung cấp các dịch vụ VPN có
giá cả thấp. Trong khi đó, IPsec VPN có lợi ích chính là bảo
mật mạng khách hàng: dữ liệu được mã hóa, chứng thực và tính
toàn vẹn.