Số hóa bởi Trung tâm Học liệu


ĐẠI HỌC THÁI NGUYÊN
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG




NGUYỄN XUÂN DUẨN


NÂNG CAO KHẢ NĂNG BẢO MẬT CỦA HỆ THỐNG
THÔNG TIN BẰNG GIẢI PHÁP TÍCH HỢP MẠNG RIÊNG ẢO
MPLS-VPN VÀ IPSEC


LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN

Chuyên ngành: Khoa học máy tính
Mã số: 60480101



NGƢỜI HƢỚNG DẪN KHOA HỌC: PGS, TS. NGUYỄN VĂN TAM

Thái Nguyên - 2013
2

Số hóa bởi Trung tâm Học liệu

LỜI CẢM ƠN

Trước hết, tôi xin gửi lời cảm ơn chân thành nhất tới PGS.TS Nguyễn
Văn Tam, người thầy đã cho tôi những định hướng và những ý kiến rất quý
báu về công nghệ VPN cũng như cách để triển khai ứng dụng trên nó.
Tôi cũng xin tỏ lòng biết ơn sâu sắc tới thầy cô, bạn bè cùng khoá đã
quan tâm, giúp đỡ tôi tiến bộ trong suốt thời gian qua. Tôi xin cảm ơn trường
Đại học Thái Nguyên cũng như trường Đại học Kinh Doanh và Công nghệ
Hà Nội đã hết sức tạo điều kiện cho tôi trong quá trình học và làm luận văn
này.
Luận văn được hoàn thành trong thời gian rất hạn hẹp, và chắc chắn
còn nhiều khiếm khuyết cần bổ sung thêm. Tôi xin cảm ơn các thầy cô, bạn
bè và người thân đã và sẽ có những góp ý chân tình cho nội dung của luận
văn này, để tôi có thể tiếp tục đi sâu tìm hiểu về VPN Security và hy vọng có
thể đưa vào ứng dụng thức tiễn công tác.


Nguyễn Xuân Duẩn
3

Số hóa bởi Trung tâm Học liệu

LỜI CAM ĐOAN



Tôi xin cam đoan luận văn là kết quả nghiên cứu của tôi, không sao chép của
ai. Nội dung luận văn có tham khảo và sử dụng các tài liệu liên quan, các thông tin
trong tài liệu được đăng tải trên các tạp chí và các trang website theo danh mục tài
liệu của luận văn.

Tác giả luận văn


Nguyễn Xuân Duẩn
4

Số hóa bởi Trung tâm Học liệu

MỤC LỤC
CHƢƠNG I: MẠNG RIÊNG ẢO VÀ NHU CẦU TÍCH HỢP 8
1.1 Giới thiệu về mạng VPN 8
1.2Phân loại mạng và các mô hình VPN 12
1.2.1 Công nghệ mạng riêng ảo an toàn (Secure VPN) 12
1.2.2Công nghệ mạng riêng ảo tin cậy (Trusted VPN) 12
1.3.1 Giải pháp tích hợp VPN trong cùng nhóm công nghệ 13
1.3.2 Giải pháp tích hợp VPN không cùng nhóm công nghệ 15
CHƢƠNG II: GIẢI PHÁP TÍCH HỢP MẠNG RIÊNG ẢO MPLS-VPN và
IPSEC 18
2.1 Mạng riêng ảo MPLS-VPN 18
2.1.1 Công nghệ chuyển mạch MPLS 18
2.1.2 Ứng dụng VPN trên mạng MPLS 25
2.2 Mạng riêng ảo IPSec 34
2.2.1 Kiến trúc IPSec 34
2.2.2 Mạng riêng ảo IPSec 41

2.3 MPLS- VPN kết hợp IPSec 43
2.3.1 Vị trí các điểm kết thúc của IPSec 43
2.3.2 IPsec trên MPLS 51
CHƢƠNG III: TRIỂN KHAI VÀ CÀI ĐẶT 53
3.1
Điều kiện triển khai Ipsec VPN và MPLS-VPN: 53
3.2 Cấu hình Ipsec VPN trên mạng lưới (Giải pháp

dùng cho các điểm triển
khai kết nối cố định đòi hỏi tính

liên tục trong kết nối như 2 cơ sở): 54
3.3.Kết quả thực nghiệm : 56
KẾT LUẬN 61

5

Số hóa bởi Trung tâm Học liệu

BẢNG PHỤ LỤC
I. CÁC

THUẬT

NGỮ

VIẾT

TẮT


TH
UẬ
T
N
GỮ
, VI
ẾT T
Ắ
T
MÔ T
Ả

Ý

N
GH
ĨA

SNMP

Simple

Network

Management

Protocol

VPN
Virtual Private Network

VPDN
Virtual Private Data Network
ESP
Encapsulating Security Payload
NAS
Network Access Server
LAN
Local Area Network

PPTP

Program Performance Test Procedure

L2TP

Layer 2 Tunneling Protocol

IPSec
Internet Protocol Security
PIX
Property Information Exchange
MPLS

Multi-Protocol Label Switching

GRE

Generic Routing Encapsulation
L2F


Layer 2 Forwarding
PPTP

Program Performance Test Procedure
IPX

Packet Exchange/Sequenced Packet Exchange

IP

Internet Protocol
CPE

Customer Premises Equipment

ATM

Asynchronous Transfer Mode

ICT

Information Communication Technology

LDP

Label Distribution Protocol

LSP

Label Switched Path


FEC

Forwarding Equivalence Class

LSR

Label Switching Router

LER

Label Edge Router

NHLFE

Next Hop Label Forwarding Entry

FTN

(FEC to NHLFE): Ánh xạ FEC sang NHLFE

LIB

Label Information Base

IGP

Interior Gateway Protocol
TDP


Tag Distribution Protocol

BGP

Border Gateway Protocol

IETF

Internet Engineering Task Force.

AH

Authentication Header

CE

customer edge

PE

Provider Edge
DMVPN

Dynamic multipoint Virtual Private Network


6

Số hóa bởi Trung tâm Học liệu


II. DANH

MỤC

CÁC

HÌNH

STT

Tên

h
ì
nh

Trang

1

Hình 1.1: Mô hình mạng VPN

9

2

Hình 1. 2: Bộ xử lý trung tâm VPN số hiệu 3000 của hãng
Cisco
12


3

Hình 1.3: Mô hình Tunneling
15

4

Hình 2- 1 Cấu trúc một nút MPLS

23

5

Hình 2.2: LSP nested (ghép)

26

6

Hình 2.3: Kiến trúc MPLS- VPN

31

7

Hình 2.4: Vị trí nhãn MPLS trong khung lớp 2

32
8


Hình 2.5 Định dạng nhãn MPLS kiểu khung
32
9

Hình 2.6. Dùng OSPF để quảng cáo các mạng
34
10

Hình 2.7. Trao đổi nhãn bằng giao thức TDP
34
11

Hình 2.8: RouterA.
35
12

Hình 2 .9: Điểm kết thúc của IPsec trong môi trường MPLS
VPN
trƣờng MPLS VPN
một môi trường MPLS VPN
44
13

Hình 2 .10: Mô hình CE-CE IPsec
45
14

Hình 2.11: IPsec từ PE đến PE.
48
15


Hình 2 .12: Đóng gói IPsec trong bảo mật PE-PE.
48
16

Hình 2.13: Truy cập từ xa IPsec vào MPLS VPN.
50

17

Hình 3.1: Sơ đồ mạng Đại học Kinh Doanh và Công Nghệ
Hà Nội

53
18

Hình 3.2.1: IP VPN server admin
54
19

Hình 3.2.2: Tạo domain controler
54
20

Hình 3.2.3: Đưa SRV-1 (VPN Server) vào domain
55
21

Hình 3.2.4: Cài đặt VPN Server trên SRV-1
55

15

Hình 3.2.5: Thiết lập VPN Client kết nối đến VPN Server
55
16

Hình 3.2.6: Yêu cầu cấp phát chứng chỉ điện tử
56

17

Hình 3.2.7: Thiết lập kết nối VPN

56
18

Hình 3.2.8: Các gói tin trong VPN khi không sử dụng IPSEC
57
19

Hình 3.2.9: Gói tin khi dùng Follow TCP Stream trong
Wireshark
57
19
Hình 3.2.10: Gói tin khi dùng Follow TCP Stream khi mã
hóa
58
7

Số hóa bởi Trung tâm Học liệu


ĐẶT VẤN ĐỀ
Trong thời đại ngày nay, Internet đã phát triển mạnh về mặt mô hình cho
đến công nghệ, đáp ứng các nhu cầu của người sử dụng. Internet đã được thiết kế
để kết nối nhiều mạng khác nhau và cho phép thông tin chuyển đến người sử dụng
một cách tự do và nhanh chóng mà không xem xét đến máy và mạng mà người sử
dụng đó đang dùng.
Tuy nhiên, do Internet có phạm vi toàn cầu và không một tổ chức, chính phủ
cụ thể nào quản lý nên rất khó khăn trong việc bảo mật và an toàn dữ liệu cũng như
trong việc quản lý các dịch vụ. Từ đó người ta đã đưa ra một mô hình mạng mới
nhằm thoả mãn những yêu cầu trên mà vẫn có thể tận dụng lại những cơ sở hạ tầng
hiện có của Internet, đó chính là mô hình mạng riêng ảo (Virtual Private Network -
VPN). Với mô hình mới này, người ta không phải đầu tư thêm nhiều về cơ sở hạ
tầng mà các tính năng như bảo mật, độ tin cậy vẫn đảm bảo, đồng thời có thể quản
lý riêng được sự hoạt động của mạng này. VPN cho phép người sử dụng làm việc
tại các nơi khác nhau có thể kết nối an toàn đến máy chủ của tổ chức mình bằng cơ
sở hạ tầng được cung cấp bởi mạng công cộng. Nó có thể đảm bảo an toàn thông
tin giữa các đại lý, người cung cấp, và các đối tác kinh doanh với nhau trong môi
trường truyền thông rộng lớn.
Mạng VPN là một trong những ứng dụng rất quan trọng trong mạng MPLS.
MPLS-VPN đã đơn giản hóa quá trình tạo “đường hầm” trong mạng riêng ảo bằng
cơ chế gán nhãn gói tin (Label) trên thiết bị mạng của nhà cung cấp. Để nâng cao
tính bảo mật của thông tin các nhà công nghệ đã và đang nghiên cứu triển khai
MPLS-VPN kết hợp với IPSEC.
Trong khuôn khổ kiến thức có được qua quá trình được đào tạo tại trường và
công việc thực tế, tôi chọn hướng nghiên cứu đề tài này mong muốn đóng góp,
xây dựng thử nghiệm vào một mô hình cụ thể và qua đó đánh giá khả năng triển
khai trong thực tế hệ thống quản trị mạng có độ an ninh cao.
8


Số hóa bởi Trung tâm Học liệu

Tên đề tài: Nâng cao khả năng bảo mật của hệ thống thông tin bằng giải
pháp tích hợp mạng riêng ảo MPLS-VPN và IPSec
CHƢƠNG I: MẠNG RIÊNG ẢO VÀ NHU CẦU TÍCH HỢP
1.1 Giới thiệu về mạng VPN
VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là
Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở
trụ sở trung tâm. Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao
số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ
chức với địa điểm hoặc người sử dụng ở xa.

Hình 1.1: Mô hình mạng VPN
Về cơ bản, VPN là một mạng riêng sử dụng hệ thống mạng công cộng
(thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một
mạng LAN ở trụ sở trung tâm. Thay vì dùng kết nối thật khá phức tạp như đường
dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng
riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa.
Các loại VPN
Có hai loại phổ biến hiện nay là VPN truy cập từ xa (Remote-Access ) và
VPN điểm-nối-điểm (site-to-site)
VPN truy cập từ xa còn được gọi là mạng Dial-up riêng ảo (VPDN), là một
kết nối người dùng-đến-LAN, thường là nhu cầu của một tổ chức có nhiều nhân
viên cần liên hệ với mạng riêng của mình từ rất nhiều địa điểm ở xa. Ví dụ như
9

Số hóa bởi Trung tâm Học liệu

công ty muốn thiết lập một VPN lớn phải cần đến một nhà cung cấp dịch vụ doanh
nghiệp (ESP). ESP này tạo ra một máy chủ truy cập mạng (NAS) và cung cấp cho

những người sử dụng từ xa một phần mềm máy khách cho máy tính của họ. Sau
đó, người sử dụng có thể gọi một số miễn phí để liên hệ với NAS và dùng phần
mềm VPN máy khách để truy cập vào mạng riêng của công ty. Loại VPN này cho
phép các kết nối an toàn, có mật mã.
Hình minh họa cho thấy kết nối giữa Văn phòng chính và "Văn phòng" tại gia
hoặc nhân viên di động là loại VPN truy cập từ xa).
VPN điểm-nối-điểm là việc sử dụng mật mã dành cho nhiều người để kết nối nhiều
điểm cố định với nhau thông qua một mạng công cộng như Internet. Loại này có thể
dựa trên Intranet hoặc Extranet. Loại dựa trên Intranet: Nếu một công ty có vài địa điểm
từ xa muốn tham gia vào một mạng riêng duy nhất, họ có thể tạo ra một VPN intranet
(VPN nội bộ) để nối LAN với LAN. Loại dựa trên Extranet: Khi một công ty có mối
quan hệ mật thiết với một công ty khác (ví dụ như đối tác cung cấp, khách hàng ), họ
có thể xây dựng một VPN extranet (VPN mở rộng) kết nối LAN với LAN để nhiều tổ
chức khác nhau có thể làm việc trên một môi trường chung.
Trong hình minh họa trên, kết nối giữa Văn phòng chính và Văn phòng từ xa
là loại VPN Intranet, kết nối giữa Văn phòng chính với Đối tác kinh doanh là VPN
Extranet.
Bảo mật trong VPN
Tường lửa (firewall) là rào chắn vững chắc giữa mạng riêng và Internet. Bạn
có thể thiết lập các tường lửa để hạn chế số lượng cổng mở, loại gói tin và giao
thức được chuyển qua. Một số sản phẩm dùng cho VPN như router 1700 của Cisco
có thể nâng cấp để gộp những tính năng của tường lửa bằng cách chạy hệ điều
hành Internet Cisco IOS thích hợp. Tốt nhất là hãy cài tường lửa thật tốt trước khi
thiết lập VPN.
Mật mã truy cập là khi một máy tính mã hóa dữ liệu và gửi nó tới một máy
tính khác thì chỉ có máy đó mới giải mã được. Có hai loại là mật mã riêng và mật
mã chung.
10

Số hóa bởi Trung tâm Học liệu


Mật mã riêng (Symmetric-Key Encryption): Mỗi máy tính đều có một mã bí
mật để mã hóa gói tin trước khi gửi tới máy tính khác trong mạng. Mã riêng yêu
cầu bạn phải biết mình đang liên hệ với những máy tính nào để có thể cài mã lên
đó, để máy tính của người nhận có thể giải mã được.
Mật mã chung (Public-Key Encryption) kết hợp mã riêng và một mã công
cộng. Mã riêng này chỉ có máy của bạn nhận biết, còn mã chung thì do máy của
bạn cấp cho bất kỳ máy nào muốn liên hệ (một cách an toàn) với nó. Để giải mã
một message, máy tính phải dùng mã chung được máy tính nguồn cung cấp, đồng
thời cần đến mã riêng của nó nữa. Có một ứng dụng loại này được dùng rất phổ
biến là Pretty Good Privacy (PGP), cho phép bạn mã hóa hầu như bất cứ thứ gì.
Giao thức bảo mật giao thức Internet (IPSec) cung cấp những tính năng an ninh
cao cấp như các thuật toán mã hóa tốt hơn, quá trình thẩm định quyền đăng nhập
toàn diện hơn.
IPSec có hai cơ chế mã hóa là Tunnel và Transport. Tunnel mã hóa tiêu đề
(header) và kích thước của mỗi gói tin còn Transport chỉ mã hóa kích thước. Chỉ
những hệ thống nào hỗ trợ IPSec mới có thể tận dụng được giao thức này. Ngoài
ra, tất cả các thiết bị phải sử dụng một mã khóa chung và các tường lửa trên mỗi hệ
thống phải có các thiết lập bảo mật giống nhau. IPSec có thể mã hóa dữ liệu giữa
nhiều thiết bị khác nhau như router với router, firewall với router, PC với router,
PC với máy chủ.
Máy chủ AAA
AAA là viết tắt của ba chữ Authentication (thẩm định quyền truy cập),
Authorization (cho phép) và Accounting (kiểm soát). Các server này được dùng để
đảm bảo truy cập an toàn hơn. Khi yêu cầu thiết lập một kết nối được gửi tới từ
máy khách, nó sẽ phải qua máy chủ AAA để kiểm tra. Các thông tin về những hoạt
động của người sử dụng là hết sức cần thiết để theo dõi vì mục đích an toàn.
Sản phẩm công nghệ dành cho VPN
Tùy vào loại VPN (truy cập từ xa hay điểm-nối-điểm), bạn sẽ cần phải cài đặt
những bộ phận hợp thành nào đó để thiết lập mạng riêng ảo. Đó có thể là:

11

Số hóa bởi Trung tâm Học liệu

- Phần mềm cho desktop của máy khách dành cho người sử dụng từ xa.
- Phần cứng cao cấp như bộ xử lý trung tâm VPN hoặc firewall bảo mật PIX.
- Server VPN cao cấp dành cho dịch vụ Dial-up.
- NAS (máy chủ truy cập mạng) do nhà cung cấp sử dụng để phục vụ người sử
dụng từ xa.
- Mạng VPN và trung tâm quản lý.
Bộ xử lý trung tâm VPN
Có nhiều loại máy xử lý VPN của các hãng khác nhau, nhưng sản phẩm của
Cisco tỏ ra vượt trội ở một số tính năng. Tích hợp các kỹ thuật mã hóa và thẩm
định quyền truy cập cao cấp nhất hiện nay, máy xử lý VPN được thiết kế chuyên
biệt cho loại mạng này. Chúng chứa các module xử lý mã hóa SEP, cho phép
người sử dụng dễ dàng tăng dung lượng và số lượng gói tin truyền tải. Dòng sản
phẩm có các model thích hợp cho các mô hình doanh nghiệp từ nhỏ đến lớn (từ100
cho đến 10.000 điểm kết nối từ xa truy cập cùng lúc).

Hình 1. 2: Bộ xử lý trung tâm VPN số hiệu
3000 của hãng Cisco
Router dùng cho VPN
Thiết bị này cung cấp các tính năng truyền dẫn, bảo mật. Dựa trên hệ điều
hành Internet IOS của mình, hãng Cisco phát triển loại router thích hợp cho mọi
trường hợp, từ truy cập nhà-tới-văn phòng cho đến nhu cầu của các doanh nghiệp
quy mô lớn.
Tường lửa PIX của Cisco
12

Số hóa bởi Trung tâm Học liệu


Firewall trao đổi Internet riêng (Private Internet Exchange) bao gồm một cơ
chế dịch địa chỉ mạng rất mạnh, máy chủ proxy, bộ lọc gói tin, các tính năng VPN
và chặn truy cập bất hợp pháp.
1.2 Phân loại mạng và các mô hình VPN
1.2.1 Công nghệ mạng riêng ảo an toàn (Secure VPN)
- Dựa trên môi trường truyền thông công cộng
Mạng riêng ảo an toàn là các mạng riêng ảo có sử dụng mật mã để bảo mật dữ
liệu. Dữ liệu ở đầu ra của một mạng được mật mã rồi chuyển vào mạng công cộng
(ví dụ: mạng Internet) như các dữ liệu khác để truyền tới đích và sau đó được giải
mã dữ liệu tại phía thu.
- Sử dụng kỹ thuật mã hoá, xác thực
Dữ liệu đã mật mã có thể coi như được truyền trong một đường hầm (tunnel)
bảo mật từ nguồn tới đích. Cho dù một kẻ tấn công có thể nhìn thấy dữ liệu đó trên
đường truyền thì cũng không có khả năng đọc được vì dữ liệu đã được mật
mã.Mạng riêng ảo xây dựng dựa trên Internet là mạng riêng ảo kiểu an toàn, sử
dụng cơ sở hạ tầng mở và phân tán của Internet cho việc truyền dữ liệu giữa các
site của các công ty. Khi nói đến mạng riêng ảo VPN phải hiểu là mạng riêng ảo
dựa trên Internet.
- Ví dụ: PPTP, L2TP, IPSec
1.2.2 Công nghệ mạng riêng ảo tin cậy (Trusted VPN)
- Sử dụng kênh riêng (ảo), tin cậy của nhà cung cấp dịch vụ:
Mạng riêng ảo kiểu tin tưởng được xem như một số mạch thuê của một nhà
cung cấp dịch vụ viễn thông. Mỗi mạch thuê riêng hoạt động như một đường
dây trong một mạng cục bộ. Tính riêng tư của trusted VPN thể hiện ở chỗ nhà
cung cấp dịch vụ sẽ đảm bảo không có một ai sử dụng cùng mạch thuê riêng đó.
Khách hàng của mạng riêng ảo loại này tin tưởng vào nhà cung cấp dịch vụ để
duy trì tính toàn vẹn và bảo mật của dữ liệu truyền trên mạng. Các mạng riêng
xây dựng trên các đường dây thuê thuộc dạng “trusted VPN”.
- Ví dụ: MPLS

13

Số hóa bởi Trung tâm Học liệu

1.3. Các giải pháp tích hợp VPN trong công nghệ
1.3.1 Giải pháp tích hợp VPN trong cùng nhóm công nghệ
Hầu hết các VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo ra một mạng riêng
trên nền Internet. Về bản chất, đây là quá trình đặt toàn bộ gói tin vào trong một
lớp header (tiêu đề) chứa thông tin định tuyến có thể truyền qua hệ thống mạng
trung gian theo những "đường ống" riêng (tunnel).
Khi gói tin được truyền đến đích, chúng được tách lớp header và chuyển đến
các máy trạm cuối cùng cần nhận dữ liệu. Để thiết lập kết nối Tunnel, máy khách
và máy chủ phải sử dụng chung một giao thức (tunnel protocol).
Giao thức của gói tin bọc ngoài được cả mạng và hai điểm đầu cuối nhận biết.
Hai điểm đầu cuối này được gọi là giao diện Tunnel (tunnel interface), nơi gói tin
đi vào và đi ra trong mạng.
Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau:
- Giao thức truyền tải (Carrier Protocol) là giao thức được sử dụng bởi mạng
có thông tin đang đi qua.
- Giao thức mã hóa dữ liệu (Encapsulating Protocol) là giao thức (như GRE,
IPSec, L2F, PPTP, L2TP) được bọc quanh gói dữ liệu gốc.
- Giao thức gói tin (Passenger Protocol) là giao thức của dữ liệu gốc được
truyền đi (như IPX, NetBeui, IP).
Người dùng có thể đặt một gói tin sử dụng giao thức không được hỗ trợ trên Internet
(như NetBeui) bên trong một gói IP và gửi nó an toàn qua Internet. Hoặc, họ có thể đặt
một gói tin dùng địa chỉ IP riêng (không định tuyến) bên trong một gói khác dùng địa
chỉ IP chung (định tuyến) để mở rộng một mạng riêng trên Internet.
Kỹ thuật Tunneling trong mạng VPN điểm-nối điểm
Trong VPN loại này, giao thức mã hóa định tuyến GRE (Generic Routing
Encapsulation) cung cấp cơ cấu "đóng gói" giao thức gói tin (Passenger Protocol)

để truyền đi trên giao thức truyền tải (Carier Protocol). Nó bao gồm thông tin về
loại gói tin mà bạn đnag mã hóa và thông tin về kết nối giữa máy chủ với máy
khách. Nhưng IPSec trong cơ chế Tunnel, thay vì dùng GRE, đôi khi lại đóng vai
14

Số hóa bởi Trung tâm Học liệu

trò là giao thức mã hóa. IPSec hoạt động tốt trên cả hai loại mạng VPN truy cập từ
xa và điểm- nối-điểm. Tất nhiên, nó phải được hỗ trợ ở cả hai giao diện Tunnel.

Hình 1.3: Trong mô hình này, gói tin được chuyển từ một máy tính ở
văn phòng chính qua máy chủ truy cập, tới router (tại đây giao thức
mã hóa GRE diễn ra), qua Tunnel để tới máy tính của văn phòng từ xa.
Kỹ thuật Tunneling trong mạng VPN truy cập từ xa
Với loại VPN này, Tunneling thường dùng giao thức điểm-nối-điểm PPP (Point-
to-Point Protocol). Là một phần của TCP/IP, PPP đóng vai trò truyền tải cho các giao
thức IP khác khi liên hệ trên mạng giữa máy chủ và máy truy cập từ xa. Nói tóm lại,
kỹ thuật Tunneling cho mạng VPN truy cập từ xa phụ thuộc vào PPP.
Các giao thức dưới đây được thiết lập dựa trên cấu trúc cơ bản của PPP và
dùng trong mạng VPN truy cập từ xa.
L2F (Layer 2 Forwarding) được Cisco phát triển. L2 F dùng bất kỳ cơ chế
thẩm định quyền truy cập nào được PPP hỗ trợ.
PPTP (Point-to-Point Tunneling Protocol) được tập đoàn PPTP Forum phát
triển. Giao thức này hỗ trợ mã hóa 40 bit và 128 bit, dùng bất kỳ cơ chế thẩm định
quyền truy cập nào được PPP hỗ trợ.
L2TP (Layer 2 Tunneling Protocol) là sản phẩm của sự hợp tác giữa các thành
viên PPTP Forum, Cisco và IETF. Kết hợp các tính năng của cả PPTP và L2F,
L2TP cũng hỗ trợ đầy đủ IPSec. L2TP có thể được sử dụng làm giao thức
15


Số hóa bởi Trung tâm Học liệu

Tunneling cho mạng VPN điểm-nối-điểm và VPN truy cập từ xa. Trên thực tế,
L2TP có thể tạo ra một tunnel giữa máy khách và router, NAS và router, router và
router. So với PPTP thì L2TP có nhiều đặc tính mạnh và an toàn hơn.
1.3.2 Giải pháp tích hợp VPN không cùng nhóm công nghệ
IPSec VPN
Các mạng VPN tuyền thống sử dụng 3 chức năng bảo mật như: tạo đường
hầm (Tunneling), mã hóa dữ liệu (Encryption) và chứng thực (Authentication).
Hạn chế đầu tiên và cũng là dễ nhận thấy nhất ở IPSec đó là làm giảm hiệu năng
của mạng. Khi xét đường đi giữa hai máy tính A và B ở hai chi nhánh khác nhau.
Khi A gởi gói tin cho B, gói tin sẽ được gởi đến VPN Server ở chi nhánh A, VPN
Server này sẽ kiểm tra gói tin xem liệu nó có cần thiết để chuyển đến VPN Server
bên kia không. Trong một môi trường mạng không có VPN thì gói tin sẽ được
truyền ngay qua VPN Server bên kia. Tuy nhiên, với giao thức IPSec, đầu tiên, gói
tin phải được mã hóa, sau đó đóng gói vào các gói IP, hoạt động này tiêu tốn thời
gian và gây trễ cho gói tin. Khi gói tin đến được VPN Server bên kia, nó lại phải
được mở gói và giải mã, sau đó mới được chuyển đến máy B bằng gói IP, điều này
một lần nữa lại làm tăng thêm độ trễ của mạng. Để cải thiện điều này, nhiều thiết
bị phần cứng có tốc độ xử lý gói tin rất lớn được ra đời nhưng lại tỉ lệ thuận với giá
thành, điều này làm cho chi phí triển khai IPSec VPN rất lớn.
Lại nói về chi phí, một điểm chúng ta cần cân nhắc khi triển khai các mạng
VPN đó là các VPN Server – Customer Premise Equipment (CPE). Mỗi một CPE
phải đóng vai trò như là một Router và có khả năng hỗ trợ Tunneling. Những CPE
với chức năng này có giá thành rất cao, điều này lần nữa làm nổi bật yêu cầu chi
phí khi xây dựng mạng IPSec VPN. Để khắc phục điều này, cách duy nhất là tải
các phần mềm IPSec Client vào tất cả các PC, cách này giảm thiểu được chi phí
nhưng ngược lại đòi hỏi sự hỗ trợ người dùng, khó khăn trong quản lý mạng và
hiệu năng thì không cao.
Khai thác và bảo dưỡng cũng là một vấn đề nữa của các mạng IPSec VPN vì

mỗi một đường hầm IPSec đều phải được thiết lập bằng tay. Cấu hình cho một
16

Số hóa bởi Trung tâm Học liệu

đường hầm IPSec đơn lẻ không phải là vấn đề thế nhưng thời gian để thiết lập và
duy trì một mạng VPN với nhiều site sẽ tăng lên đáng kể khi kích thước mạng
được mở rộng. đặc biệt là với mạng VPN có cấu hình “full mesh” thì các nhà cung
cấp dịch vụ sẽ gặp nhiều khó khăn trong hỗ trợ và xử lý sự cố kỹ thuật.
Vấn đề bảo mật cũng cần được quan tâm trong các mạng VPN. Mỗi CPE có
thể truy nhập vào mạng Internet công cộng nhưng tin tức vẫn cần được bảo mật
trong quá trình truyền giữa các site. Vì vậy, mỗi thiết bị CPE phải có biện pháp bảo
mật nhất định (như Firewall). Và sự quản lý các firewall này sẽ trở nên rất khó
khăn nhất là khi kích thước của mạng rất lớn. Với một mạng VPN khoảng 100 nút
mạng, sẽ cần 100 firewall và mỗi khi cần một sự thay đổi nhỏ trong chính sách
(policy) của firewall, chúng ta phải tiếp cận cả 100 firewall này trong mạng. Rõ
ràng đây là một điểm hạn chế lớn của các mạng IPSec VPN về khía cạnh bảo mật.
MPLS VPN
Trễ trong mạng được giữ ở mức thấp nhất vì các gói tin lưu chuyển trong
mạng không phải thông qua các hoạt động như đóng gói và mã hóa. Sở dĩ không
cần chức năng mã hóa là vì MPLS VPN tạo nên một mạng riêng. Phương pháp bảo
mật này gần giống như bảo mật trong mạng Frame Relay. Ngoài ra, cơ chế chuyển
mạch dựa vào thông tin nhãn giúp MPLS VPN cải thiện tốc độ chuyển mạch và
cũng giảm độ trễ gói tin trong mạng so mới IPSec VPN.
Toàn bộ thông tin định tuyến giữa các chi nhánh của khách hàng được ISP
quản lý trên các PE Router thông qua các bảng VRF. Đó là một trong những ưu
điểm lớn nhất của MPLS VPN, không đòi hỏi các thiết bị CPE thông minh bởi vì
toàn bộ các chức năng VPN được thực hiện ở phía trong mạng lõi của nhà cung
cấp dịch vụ và hoàn toàn “trong suốt” đối với các CPE. Các CPE không đòi hỏi
chức năng VPN và hỗ trợ IPSec. điều này có nghĩa là khách hàng không phải chi

phí quá cao cho các thiết bị CPE.
Việc tạo một mạng đầy đủ (full mesh) VPN, hay sâu hơn là khả khả năng mở
rộng của mạng MPLS VPN hoàn toàn đơn giản vì các MPLS VPN không sử dụng
cơ chế tạo đường hầm. Vì vậy, cấu hình mặc định cho các mạng MPLS VPN là full
17

Số hóa bởi Trung tâm Học liệu

mesh, chỉ cần một kết nối duy nhất cho mỗi remote site. trong đó các site được nối
trực tiếp với PE vì vậy các site bất kỳ có thể trao đổi thông tin với nhau trong
VPN. Và thậm chí, nếu site trung tâm gặp trục trặc, các site khác vẫn có thể liên
lạc với nhau.
Hoạt động khai thác và bảo dưỡng cũng đơn giản hơn trong mạng MPLS-
VPN. Hoạt động này chỉ cần thực hiện tại các thiết bị bên trong mạng core mà
không cần phải tiếp xúc đến các CPE. Một khi một site đã được cấu hình xong, ta
không cần đụng chạm đến nó nữa cho dù nếu muốn thêm một site mới vào mạng vì
những thay đổi về cấu hình lúc này chỉ cần thực hiện tại PE mà nó nối tới.
Vấn đề bảo mật thậm chí còn đơn giản hơn nhiều khi triển khai trong các
mạng MPLS VPN vì một VPN hoàn toàn dựa trên mạng CORE của ISP khép kín
bản thân nó đã đạt được sự an toàn thông tin do không có kết nối với mạng Internet
công cộng. Nếu có nhu cầu truy nhập Internet, một tuyến sẽ được thiết lập để cung
cấp khả năng truy nhập. Lúc này, một firewall sẽ được sử dụng trên tuyến này để
đảm bảo một kết nối bảo mật cho toàn bộ mạng VPN. Cơ chế hoạt động này rõ
ràng dễ dàng hơn nhiều cho hoạt động quản lý mạng vì chỉ cần duy trì các chính
sách bảo mật cho một firewall duy nhất mà vẫn đảm bảo an toàn cho toàn bộ VPN.
18

Số hóa bởi Trung tâm Học liệu

CHƢƠNG II: GIẢI PHÁP TÍCH HỢP MẠNG RIÊNG ẢO MPLS-VPN và

IPSEC
2.1 Mạng riêng ảo MPLS-VPN
2.1.1 Công nghệ chuyển mạch MPLS
TỔNG QUAN VỀ MPLS
1) Sơ lƣợc lịch sử
Khi mạng Internet phát triển và mở rộng, lưu lượng Internet bùng nổ. Các ISP
xử lý bằng cách tăng dung lượng các kết nối và nâng cấp bộ định tuyến (router)
nhưng vẫn không tránh khỏi nghẽn mạch. Lý do là các giao thức định tuyến
thường hướng lưu lượng vào cùng một số các kết nối nhất định dẫn đến kết nối này
bị quá tải trong khi một số tài nguyên khác không được sử dụng. Đây là tình trạng
phân bố tải không đồng đều và sử dụng lãng phí tài nguyên mạng Internet
Vào thập niên 90, các ISP phát triển mạng của họ theo mô hình chồng lớp
(overlay) bằng cách đưa ra giao thức IP ứng dụng trong ATM (IP over ATM).
ATM là công nghệ định hướng kết nối (connection-oriented), thiết lập các kênh ảo
(Virtual Circuit), tuyến ảo (Virtual Path) tạo thành một mạng logic nằm trên mạng
vật lý giúp định tuyến, phân bố tải đồng đều trên toàn mạng.
Tuy nhiên, IP và ATM là hai công nghệ hoàn toàn khác nhau, được thiết kế
cho những môi trường mạng khác nhau, khác nhau về giao thức, cách đánh địa chỉ,
định tuyến, báo hiệu, phân bổ tài nguyên. Khi các ISP càng mở rộng mạng theo
hướng IP over ATM, họ càng nhận rõ nhược điểm của mô hình này, đó là sự phức
tạp của mạng lưới do phải duy trì hoạt động của hai hệ thống thiết bị.
Sự bùng nổ của mạng Internet dẫn tới xu hướng hội tụ các mạng viễn thông khác
như mạng thoại, truyền hình dựa trên Internet, giao thức IP trở thành giao thức chủ
đạo trong lĩnh vực mạng.
Xu hướng của các ISP là thiết kế và sử dụng các bộ định tuyến chuyên dụng,
dung lượng chuyển tải lớn, hỗ trợ các giải pháp tích hợp, chuyển mạch đa lớp cho
mạng trục Internet. Nhu cầu cấp thiết trong bối cảnh này là phải ra đời một công
19

Số hóa bởi Trung tâm Học liệu


nghệ có khả năng kết hợp những đặc điểm tốt của chuyển mạch kênh ATM và
chuyển mạch gói IP .
Công nghệ MPLS (Multiprotocol Label Switching) ra đời trong bối cảnh này
đáp ứng được nhu cầu của thị trường đúng theo tiêu chí phát triển của Internet đã
mang lại những lợi ích thiết thực, đánh dấu một bước phát triển mới của mạng
Internet trước xu thế tích hợp công nghệ thông tin và viễn thông (ICT -
Information Communication Technology) trong thời kỳ mới.
2) MPLS và mô hình tham chiếu OSI
MPLS được xem như là một công nghệ lớp đệm (shim layer), nó nằm trên lớp
2 nhưng dưới lớp 3, vì vậy đôi khi người ta còn gọi nó là lớp 2,5.
Nguyên lý của MPLS được thể hiện ở hình 1.2. Tất cả các gói IP sẽ được gắn
nhãn (label) và chuyển tiếp theo một đường dẫn LSP (Label Switched Path). Các bộ
định tuyến (router) trên đường dẫn chỉ căn cứ vào nội dung của nhãn để thực hiện
quyết định chuyển tiếp gói mà không cần phải kiểm tra phần đầu (header) của IP.
3) Các khái niệm trong MPLS
• LDP (Label Distribution Protocol): Giao thức phân bố nhãn.
• LSP (Label Switched Path): Đường dẫn chuyển mạch nhãn.
• FEC (Forwarding Equivalence Class): Lớp chuyển tiếp tương đương.
• LSR (Label Switching Router) Bộ định tuyến chuyển mạch nhãn.
• LER (Label Edge Router): Bộ định tuyến nhãn biên.
• NHLFE (Next Hop Label Forwarding Entry): Mục chuyển tiếp chặng tiếp theo.
• FTN (FEC to NHLFE): Aùnh xạ FEC sang NHLFE.
• LIB (Label Information Base): Cơ sở thông tin nhãn.
Miền MPLS (MPLS Domain)
Miền MPLS được chia thành hai phần: phần mạng lõi (core) và phần mạng
biên (edge). Các nút thuộc miền MPLS được gọi là bộ định tuyến (router) chuyển
mạch nhãn LSR (Label Switch Router). Các nút ở phần mạng lõi được gọi là LSR
chuyển tiếp (transit-LSR) hay LSR lõi (core-LSR) (thường được gọi tắt là LSR).
Các nút ở biên được gọi là bộ định tuyến nhãn biên LER (Label Edge Router). Nếu

20

Số hóa bởi Trung tâm Học liệu

một LER là nút đầu tiên trên đường đi của một gói xuyên qua miền MPLS thì nó
được gọi là LER lối vào (ingress-LER), còn nếu là nút cuối cùng thì nó được gọi là
LER lối ra (egress-LER). Lưu ý là các thuật ngữ này được áp dụng tuỳ theo chiều
của luồng lưu lượng trong mạng, do vậy một LER có thể là LER lối vào vừa là
LER lối ra tuỳ theo các luồng lưu lượng đang xét.
Lớp chuyển tiếp tƣơng đƣơng FEC
Lớp chuyển tiếp tương đương FEC (Forwarding Equivalence Class) là một tập
hợp các gói được đối xử như nhau bởi một LSR. Như vậy, FEC là một nhóm các gói
IP được chuyển tiếp trên cùng một đường chuyển mạch nhãn LSP, được đối xử theo
cùng một cách thức và có thể ánh xạ vào một nhãn bởi một LSR cho dù chúng có thể
khác nhau về thông tin đầu (header) lớp mạng. Hình 1.4 cho thấy cách xử lý này.
Hoán đổi nhãn (Label Swapping)
Hoán đổi nhãn là cách dùng các thủ tục để chuyển tiếp gói. Để chuyển tiếp gói
có nhãn, LSR kiểm tra nhãn trên đỉnh ngăn xếp và dùng ánh xạ ILM (Incoming
Label Map) để ánh xạ nhãn này tới một mục chuyển tiếp nhãn NHLFE (Next Hop
Label Forwarding Entry). Sử dụng thông tin trong NHLFE, LSR xác định ra nơi để
chuyển tiếp gói và thực hiện một tác vụ trên ngăn xếp nhãn. Rồi nó mã hoá ngăn
xếp nhãn mới vào gói và chuyển gói đi.
Chuyển tiếp gói chưa có nhãn cũng tương tự nhưng xảy ra ở LER lối vào
(ingress-LER). LER phải phân tích đầu (header) lớp mạng để xác định FEC rồi sử
dụng ánh xạ FTN (FEC-to-NHLFE) để ánh xạ FEC vào một NHLFE.
Đường chuyển mạch nhãn LSP là một đường nối giữa bộ định tuyến ngõ vào và bộ
định tuyến ngõ ra, được thiết lập bởi các nút MPLS để chuyển các gói đi xuyên
qua mạng. Đường dẫn của một LSP qua mạng được định nghĩa bởi sự chuyển đổi
các giá trị nhãn ở các LSR dọc theo LSP bằng cách dùng thủ tục hoán đổi nhãn.
4) Hoạt động của MPLS

Chuyển gói qua miền MPLS
Hình dưới đây là một ví dụ đơn giản minh hoạ quá trình truyền gói IP đi qua
miền MPLS. Gói tin IP khi đi từ ngoài mạng vào trong miền MPLS được bộ định
21

Số hóa bởi Trung tâm Học liệu

tuyến (router) A đóng vai trò là một LER ngõ vào sẽ gán nhãn có giá trị là 6 cho
gói IP rồi chuyển tiếp đến bộ định tuyến B. Bộ định tuyến B dựa vào bảng hoán
đổi nhãn để kiểm tra nhãn của gói tin. Nó thay giá trị nhãn mới là 3 và chuyển tiếp
đến router C. Tại C, việc kiểm tra cũng tương tự như ở B và sẽ hoán đổi nhãn, gán
cho gói tin một nhãn mới là 9 và tiếp tục được đưa đến bộ định tuyến D.
Bộ định tuyến D đóng vai trò LER ngõ ra sẽ kiểm tra trong bảng hoán đổi nhãn và
gỡ bỏ nhãn 9 ra khỏi gói tin rồi định tuyến gói IP một cách bình thường đi ra khỏi
miền MPLS. Với kiểu làm việc này thì các LSR trung gian như bộ định tuyến B và
C sẽ không phải thực hiện kiểm tra toàn bộ phần đầu (header) IP của gói tin mà nó
chỉ việc kiểm tra các giá trị của nhãn, so sánh trong bảng và chuyển tiếp. Vì vậy
tốc độ xử lý trong miền MPLS sẽ nhanh hơn nhiều so với định tuyến IP truyền
thống. Đường đi từ bộ định tuyến A đến bộ định tuyến D được gọi là đường
chuyển mạch nhãn LSP (Label Switched Path).
Cấu trúc MPLS
Cấu trúc của một nút MPLS bao gồm 2 mặt thành phần:thành phần chuyển tiếp
(hay còn được gọi là mặt phẳng dữ liệu) và thành phần điều khiển (còn được gọi là
mặt phẳng điều khiển). Thành phần chuyển tiếp sử dụng một cơ sở dữ liệu chuyển
tiếp nhãn để chuyển tiếp dữ liệu dựa trên các nhãn đi kèm với gói tin. Thành phần
điều khiển chịu trách nhiệm tạo và duy trì các thông tin chuyển tiếp nhãn (còn
được gọi là bindings ) giữa nhóm các chuyển mạch nhãn với nhau. Tất cả các nút
MPLS phải chạy một hoặc nhiều giao thức định tuyến IP (hoặc dựa trên định tuyến
tĩnh) để có thể trao đổi thông tin định tuyến với các nút MPLS khác trên mạng.
Theo đó, mỗi một nút MPLS (bao gồm cả chuyển mạch ATM) là một router trên

mặt phẳng điều khiển.
22

Số hóa bởi Trung tâm Học liệu


mặt phẳng điều khiển.

Hình 2- 1 Cấu trúc một nút MPLS
Tương tự như các router truyền thống, các giao thức định tuyến IP sẽ dùng
để xây dựng nên bảng định tuyến. Bảng định tuyến IP được sử dụng để forward gói
tin. Tại một nút MPLS, bảng định tuyến được sử dụng để xác định việc trao đổi
thông tin nhãn chuyển tiếp, nơi mà các nút MPLS kề cận với nó trao đổi các nhãn
cho các mạng con subnets) cụ thể được chứa trong bảng định tuyến. Các quá trình
Điều khiển định tuyến MPLS IP (MPLS IP Routing Control) sử dụng các nhãn để
trao đổi với các nút MPLS cạnh nó để tạo ra Bảng chuyển tiếp nhãn (Label
Forwarding Table), bảng này là vùng cơ sở dữ liệu được sử dụng để chuyển tiếp
các gói được gán nhãn qua mạng MPLS.
Các phần tử chính của MPLS
LSR (label switch Router)
Thành phần cơbản của mạng MPLS là thiết bị định tuyến chuyển mạch nhãn
LSR. Thiết bịnày thực hiện chức năng chuyển tiếp gói thông tin trong phạm vi
mạng MPLS bằng thủtục phân phối nhãn. Đó là khảnăng cần thiết đểhiểu được
23

Số hóa bởi Trung tâm Học liệu

nhãn MPLS, nhận và truyền gói được gán nhãn trên đường liên kết dữliệu. Có 3
loại LSR trong mạng MPLS:
o Ingress LSR – LSR vào nhận gói chưa có nhãn, chèn nhãn (ngăn xếp) vào

trước gói và truyền đi trên đường kết nối dữliệu.
o Egress LSR – LSR ra nhận các gói được gán nhãn, tách nhãn và truyền
chúng trên đường kết nối dữliệu. LSR ra và LSR vào là các LSR biên.
o LSR trung gian (intermediate LSR) – các LSR trung gian này sẽ nhận các
gói có nhãn tới, thực hiện các thao tác trên nó, chuyển mạch gói và truyền gói đến
đường kết nối dữ liệu đúng.
Bảng sau mô tảcác hoạt động của nhãn:

LSR phải có khảnăng lấy ra một hoặc nhiều nhãn (tách một hoặc nhiều nhãn
từphía trên của ngăn xếp nhãn) trước khi chuyển mạch gói ra ngoài. Một LSR cũng
phải có khảnăng gắn một hoặc nhiều nhãn vào gói nhận được. Nếu gói nhận được
đã có sẵn nhãn, LSR đẩy một hoặc một vài nhãn lên trên ngăn xếp nhãn và chuyển
mạch gói ra ngoài. Nếu gói chưa có nhãn, LSR tạo một ngăn xếp nhãn và gán nhãn
lên gói. Một LSR phải có khảnăng trao đổi nhãn. Nó có ý nghĩa rất đơn giản khi nó
nhận được gói đã gán nhãn, nhãn trên cùng của ngăn xếp nhãn được trao đổi với
nhãn mới và gói được chuyển mạch trên đường kết nối dữliệu ra. LSR mà gắn
nhãn lên trên gói đầu tiên được gọi là LSR imposing (gắn) bởi vì nó là LSR đầu
tiên đặt nhãn lên trên gói. Đây là một việc bắt buộc đối với một LSR vào. Một
24

Số hóa bởi Trung tâm Học liệu

LSR mà tách tất cảcác nhãn từgói có dán nhãn trước khi chuyển mạch gói là một
LSR Disposing (tách) hay là một LSR ra.
Trong MPLS VPN, các LSR ra và vào được biết đến nhưmột bộ định tuyến
cung cấp biên (PE). LSR trung gian được biết đến nhưlà bộ định tuyến của nhà
cung cấp. Bộ định tuyến PE và P trởlên phổbiến đến nỗi nó thường xuyên được
sửdụng khi mạng MPLS không chạy MPLS VPN.
LER (label edge Router)
Bộ định tuyến nhãn ởbiên mạng (LER) là thiết bịhoạt động ởranh giới giữa

mạng MPLS và mạng truy cập. LER hỗtrợnhiều cổng nối đến các mạng khác nhau
nhưATM, Frame Relay, Ethernet đểchuyển tiếp các lưu lượng
vào trong mạng MPLS và phân phối lưu lượng này trởlại các mạng truy cập ở
đầu ra.
LSP (label switch Path)
Đường chuyển mạch nhãn là một tập hợp các LSR mà chuyển mạch một gói có
nhãn qua mạng MPLS hoặc một phần của mạng MPLS. Vềcơbản, LSP là một
đường dẫn qua mạng MPLS hoặc một phần mạng mà gói đi qua. LSR đầu tiên của
LSP là một LSR vào, ngược lại LSR cuối cùng của LSP là một LSR ra. Tất cảcác
LSR ởgiữa LSR vào và ra chính là các LSR trung gian. Trong hình 2-5 dưới đây,
mũi tên ởtrên cùng chỉhường bởi vì đường chuyển mạch nhãn là đường theo một
phương hướng duy nhất. Luồng của các gói có nhãn trong một hướng khác –
từphải sang trái – giữa cùng các LSR biên sẽlà một LSP khác.
Hình 2- 7 Ví dụvềmột LSP qua mạng MPLS
LSR vào của một LSP không nhất thiết phải là bộ định tuyến đầu tiên gán nhãn
vào gói. Gói có thể đã được gán nhãn bởi các LSR trước đó. Đây là trường hợp này
là một LSP xếp lồng (ghép), hay là có một LSP trong một LSP khác.
Trong hình 2-8, ta có thểthấy LSP mà trải rộng toàn bộ độrộng mạng MPLS.
Một LSP khác bắt đầu tại LSR thứba và kết thúc ởtrước LSR cuối cùng.Do đó, khi
một gói đi vào LSP thứhai trên cổng LSR vào của nó (có nghĩa là LSR thứba), nó
đã thực sự được dán nhãn. LSR vào của LSP nested (ghép) sau đó gán một nhãn
25

Số hóa bởi Trung tâm Học liệu

thứhai lên trên gói. Ngăn xếp nhãn của gói trên LSP thứhai bây giờ đã có 2 nhãn.
Nhãn trên cùng sẽphụthuộc vào LSP nested (ghép), và nhãn dưới cùng sẽphụthuộc
vào LSP mà trải rộng hết toàn bộmạng MPLS. Đường hầm điều khiển lưu lượng
dựphòng là một ví dụ cho


Hình 2.2: LSP nested (ghép)
2.1.2 Ứng dụng VPN trên mạng MPLS
- Giới thiệu về MPLS trong VPN
MPLS là một công nghệ kết hợp đặc điểm tốt nhất giữa định tuyến lớp ba
và chuyển mạch lớp hai cho phép chuyển tải các gói rất nhanh trong mạng lõi
(core) và định tuyến tốt mạng biên (edge) bằng cách dựa vào nhãn (label).
MPLS là một phương pháp cải tiến việc chuyển tiếp gói trên mạng bằng cách
gắn nhãn vào mỗi gói IP, tế bào ATM, hoặc frame lớp hai. Phương pháp
chuyển mạch nhãn giúp các Router và các bộ chuyển mạch MPLS-enable
ATM quyết định theo nội dung nhãn tốt hơn việc định tuyến phức tạp theo địa
chỉIP đích. MPLS cho phép các ISP cung cấp nhiều dịch vụkhác nhau mà
không cần phải bỏ đi cơ sở hạ tầng sẵn có. Cấu trúc MPLS có tính mềm dẻo
trong bất kỳ sự phối hợp với công nghệ lớp hai nào.
MPLS hỗ trợ mọi giao thức lớp hai, triển khai hiệu quả các dịch vụ IP trên
một mạng chuyển mạch IP. MPLS hỗ trợ việc tạo ra các tuyến khác nhau
giữa nguồn và đích trên một đường trục Internet. Bằng việc tích hợp MPLS
vào kiến trúc mạng, các ISP có thểgiảm chi phí, tăng lợi nhuận, cung cấp