HỌC VIỆN KỸ THUẬT MẬT MÃ
KHOA CÔNG NGHỆ THÔNG TIN
ĐỀ TÀI THỰC TẬP CƠ SỞ
TỔNG QUAN VỀ VPN
TRIỂN KHAI MPLS-VPN
Giảng viên hướng dẫn: Thầy Nguyễn Hồng Việt
Sinh viên thực hiện:
- Hoàng Hải Anh
- Nguyễn Vinh Quang
- Trần Khánh Toàn
Lớp: AT7A
HÀ NỘI, tháng 12/2013
HỌC VIỆN KỸ THUẬT MẬT MÃ
KHOA CÔNG NGHỆ THÔNG TIN
ĐỀ TÀI THỰC TẬP CƠ SỞ
TỔNG QUAN VỀ VPN
TRIỂN KHAI MPLS-VPN
Nhận xét của giáo viên hướng dẫn:
Điểm chuyên cần của nhóm:
Điểm chấm kết quả bản in hoàn chỉnh của báo cáo thực tập:
Học viện kỹ thuật mật mã
Lớp AT7A Thực tập cơ sở chuyên ngành
MỤC LỤC
LỜI NÓI ĐẦU 1
CHƯƠNG 1. TỔNG QUAN VỀ VPN 2
1.1 Giới thiệu về VPN 2
1.1.1 VPN là gì 2
1.1.2 Lợi ích VPN mang lại 3
1.1.3 Các thành phần cần thiết cấu tạo nên kết nối VPN 4
1.2 Các loại VPN 4
1.2.1 VPN Remote Access 4
1.2.2 VPN Site - to – Site 5
CHƯƠNG 2. GIỚI THIỆU VỀ CÔNG NGHỆ MPLS 7
2.1. Giới thiệu , lịch sử phát triển và các lợi ích của MPLS 7
2.1.1. Giới thiệu 7
2.1.2. Lịch sử phát triển 8
2.1.3. Lợi ích của MPLS 9
2.2. Công nghệ chuyển mạch MPLS 9
2.2.1. Cấu trúc MPLS 9
2.2.2. Cấu trúc nhãn 10
2.2.3. Quá trình gán nhãn gói tin 11
2.3. Ứng dụng công nghệ MPLS-VPN 14
2.3.1. Giới thiệu 14
2.3.2. Mô hình mạng MPLS-VPN 15
2.3.3. Thành phần trong cấu trúc MPLS-VPN 16
2.3.4. Thông tin định tuyến qua môi trường MPLS-VPN 18
2.3.5. So sánh giữa MPLS-VPN và VPN truyền thống 18
CHƯƠNG 3. TRIỂN KHAI MPLS-VPN 23
3.1. Mô hình triển khai 23
3.2. Các bước triển khai 23
TÀI LIỆU THAM KHẢO 25
i
Học viện kỹ thuật mật mã
Lớp AT7A Thực tập cơ sở chuyên ngành
DANH MỤC HÌNH ẢNH
Hình 1.1. VPN= đường hầm + mã hóa 2
Hình 1.2. Mô hình VPN 3
Hình 1.3. Mô hình VPN Remote Access 5
Hình 1.4. Mô hình VPN Site-to-Site 6
Hình 2.5. Mô hình MPLS cơ bản 7
Hình 2.6. Cấu trúc MPLS 10
Hình 2.7. Nhãn chứa MPLS 10
Hình 2.8. Nhãn đặc biệt trong MPLS 11
Hình 2.9. Xây dựng bảng FIB 12
Hình 2.10. Xây dựng bảng LIB 12
Hình 2.11. Xây dựng bảng LFIB 13
Hình 2.12. Chuyển tiếp gói tin trong MPLS 13
Hình 2.13. Overlay VPNs 14
Hình 2.14. Peer-to-peer VPNs 15
Hình 2.15. Cấu trúc mạng MPLS-VPN 16
Hình 2.16. Chức năng của VRF 16
Hình 2.17. Hoạt động của RD 17
Hình 2.18. Thông tin định tuyến qua môi trường MPLS 18
Hình 3.19. Mô hình triển khai 23
ii
Học viện kỹ thuật mật mã
Lớp AT7A Thực tập cơ sở chuyên ngành
LỜI NÓI ĐẦU
Ngày nay, Internet đã trở nên rất phổ biến trên toàn thế giới. Internet đã và đang
chiếm vị trí quan trọng, phục vụ cho con người trong mọi lĩnh vực: Quản lý, sản xuất
kinh doanh, học tập, nghiên cứu, thông tin liên lạc và những sinh hoạt thường nhật.
Tuy nhiên, mạng Internet truyền thống không thể đáp ứng các nhu cầu ngày càng tăng
nhanh của khách hàng vì không có bất kỳ cơ chế điều khiển chất lượng nào, không hỗ
trợ tốt chất lượng dịch vụ và không đảm bảo được tính bảo mật cơ sở dữ liệu – một
vấn đề cấp thiết đối với bất kỳ cơ quan, doanh nghiệp, tổ chức nào,
đặc biệt các công
ty đa quốc gia
.
Gần đây, công nghệ chuyển mạch nhãn đa giao thức (MPLS) được đề xuất sử
dụng để tải các gói tin IP trên các kênh ảo. MPLS đã kết hợp được các ưu điểm của
chuyển mạch gói datagram và chuyển mạch kênh ảo đồng thời khắc phục được các
nhược điểm trên của mạng truyền thống,
đáp ứng được các yêu cầu của các mạng
riêng sử dụng hạ tầng cơ sở thông tin quốc gia với những yêu cầu khác nhau về độ
an toàn, bảo mật và chất lượng dịch vụ.
Do vậy, kỹ thuật chuyển mạch nhãn đa giao
thức MPLS (MultiProtocol Label Switching) đã nhanh chóng trở thành một kỹ thuật
nền tảng quan trọng trong Internet và được
các công ty, doanh nghiệp áp dụng
. Đặc
biệt là
dịch vụ mạng riêng ảo (Virtual Private Network - VPN) chạy trên nền công
nghệ mới MPLS.
Trong báo cáo này , chúng em muốn giới thiệu về công nghệ MPLS và một ứng
dụng rất quan trọng của nó đó là dịch vụ MPLS VPN, để từ đó xây dựng mô hình
MPLS VPN dựa trên Router hàng Cisco. Báo cáo được trình bày qua 3 chương:
- Chương I: Tổng quan về VPN.
- Chương II: Giới thiệu về công nghệ MPLS.
- Chương III: Mô hình triển khai MPLS-VPN
Công nghệ MPLS là công nghệ tương đối mới mẻ, việc tìm hiểu về các vấn đề
của công nghệ MPLS đòi hỏi phải có kiến thức sâu rộng, và lâu dài. Do vậy báo cáo
của chúng em không tránh khỏi những thiếu sót. Rất mong nhận được sự phê bình, góp
ý của các thầy cô giáo và các bạn.
Chúng em cũng xin gửi lời cảm ơn chân thành tới thầy Nguyễn Hồng Việt,
người đã tận tình hướng dẫn chúng em trong suốt quá trình nghiên cứu, tìm hiểu đề tài
này.
1
Học viện kỹ thuật mật mã
Lớp AT7A Thực tập cơ sở chuyên ngành
CHƯƠNG 1. TỔNG QUAN VỀ VPN
1.1 Giới thiệu về VPN
1.1.1 VPN là gì
Mạng riêng ảo hay còn được biết đến với từ viết tắt VPN,đây không phải là một
khái niệm mới trong công nghệ mạng. VPN có thể được định nghĩa như một dịch vụ
mạng ảo được triển khai trên cơ sở hạ tầng của hệ thống mạng công cộng với mục đích
tiết kiệm chi phí cho các kết nối điểm-điểm. Hai đặc điểm quan trọng của công nghệ
VPN là “riêng” và “ ảo ” tương ứng với hai thuật ngữ tiếng anh (Virtual and Private).
VPN có thể xuất hiện tại bất cứ lớp nào của mô hình OSI, VPN là sự cải tiến cơ sở hạ
tầng mạng WAN, làm thay đổi và tăng thêm tính chất của mạng cục bộ cho WAN.
Hình 1.1. VPN= đường hầm + mã hóa
2
Học viện kỹ thuật mật mã
Lớp AT7A Thực tập cơ sở chuyên ngành
Hình 1.2. Mô hình VPN
1.1.2 Lợi ích VPN mang lại
- VPN làm giảm chi phí thường xuyên: VPN cho phép tiết kiệm chi phí
đường truyền và giảm chi phí phát sinh cho nhân viên ở xa nhờ vào việc họ truy cập
vào hệ thống nội bộ thông qua các điểm cung cấp dịch vụ ở địa phương POP(Point of
Presence), hạn chế thuê đường truy cập của nhà cung cấp dẫ đến giá thành cho việc kết
nối Lan-to-Lan giảm đi đáng kể so với việc thuê đường Leased-Line
- Giảm chi phí quản lý và hỗ trợ: với việc sử dụng dịch vụ của nhà cung
cấp, chúng ta chỉ phải quản lý các kết nối đầu cuối tại các chi nhánh mạng không phải
quản lý các thiết bị chuyển mạch trên mạng. Đồng thời tận dụng cơ sở hạ tầng của
mạng Internet và đội ngũ kỹ thuật của nhà cung cấp dịch vụ.
- VPN đảm bảo an toàn thông tin, tính toàn vẹn và xác thực: dữ liệu
truyền trên mạng được mã hóa bằng các thuật toán, đồng thới được truyền trong các
đường hầm (Tunnle) nên thông tin có độ an toàn cao.
- VPN dễ dàng kết nối các chi nhánh thành một mạng cục bộ : việc
tập trung quản lý thông tin tại tất cả các chi nhánh là cần thiết. VPN có thể dễ dàng kết
nối hệ thống mạng giữa các chi nhánh và văn phòng trung tâm thành một mạng LAN
với chi phí thấp.
- VPN hỗ trợ các giáo thức mạng thông dụng nhất hiện nay như
TCP/IP: bảo mật địa chỉ IP: thông tin được gửi đi trên VPN đã được mã hóa do đó
3
Học viện kỹ thuật mật mã
Lớp AT7A Thực tập cơ sở chuyên ngành
các địa chỉ trên mạng riêng được che giấu và chỉ sử dụng các địa chỉ bên ngoài
Internet.
1.1.3 Các thành phần cần thiết cấu tạo nên kết nối VPN
- User authentication : cung cấp cơ chế chứng thực người dùng chỉ cho phép
người dùng hợp lệ kết nối vào hệ thống VPN
- Address management : cung cấp địa chỉ IP hợp lệ cho người dùng sau khi gia
nhập hệ thống VPN có thể truy cập tài nguyên trên mạng nội bộ gia nhập hệ thống
VPN để truy cập tài nguyên trên mạng nội bộ.
- Data Encryption : cung cấp giải pháp mã hóa dữ liệu trong quá trình truyền
nhằm đảm bảo tính riêng tư và toàn vẹn dữ liệu.
- Key Management : cung cấp giải pháp quản lý các khóa dùng cho quá trình
mã hóa và giải mã dữ liệu.
1.2 Các loại VPN
1.2.1 VPN Remote Access
Cung cấp các kết nối truy cập từ xa đến một mạng Intranet hoặc Extranet dựa
trên hạ tầng được chia sẻ. VPN Remote Access sử dụng đường truyền qua Analog,
Dial, INDS, DSL, Mobile IP và cable để thiết lập kết nối đến các mobile user.
Một đặc điểm quan trọng của VPN Remote Access : cho phép người dùng di
động truy cập từ xa vào hệ thống nội bộ trong cong ty để làm việc.
Để thực hiện được VPN Remote Access cần có:
+ 1 VPN Getway(1 IP Public). Đây là địa điểm tập trung xử lý VPN Client
quay số truy cập hệ thống VPN nội bộ
+ các VPN client kết nối vào mạng Internet
4
Học viện kỹ thuật mật mã
Lớp AT7A Thực tập cơ sở chuyên ngành
Hình 1.3. Mô hình VPN Remote Access
1.2.2 VPN Site - to – Site
VPN Site - to – Site được chia thành 2 loại Intranet VPN và Extranet VPN.
- Intranet VPN : kết nối văn phòng trung tâm, các chi nhánh văn phòng ở xa
vào mạng nội bộ của công ty dưa trên hạ tầng được chia sẻ. Intranet VPN khác với
Extranet VPN ở chỗ chỉ cho phép các nhân viên nội bộ trong công ty truy cập vào hệ
thống mạng nội bộ của công ty.
- Extranet VPN : kết nối bộ phận khách hàng của công ty, bộ phận tư vấn hoặc
các đối tác của công ty thành 1 hệ thống mạng dựa trên hạ tầng được chia sẻ. Extranet
VPN khác với Intranet VPN ở chỗ cho phép các user ngoài công ty truy cập vào hệ
thống.
- Để thực hiện được VPN Site-to-Site cần có:
+ 2 VPN getway(mỗi VPN getway có 1 IP public). Đây là điểm tập trung xư
lý khi VPN getway phía bên kia quay số truy cập vào.
+ Các client để nối vào hệ thống mạng nội bộ.
5
Học viện kỹ thuật mật mã
Lớp AT7A Thực tập cơ sở chuyên ngành
Hình 1.4. Mô hình VPN Site-to-Site
6
Học viện kỹ thuật mật mã
Lớp AT7A Thực tập cơ sở chuyên ngành
CHƯƠNG 2. GIỚI THIỆU VỀ CÔNG NGHỆ MPLS
2.1. Giới thiệu , lịch sử phát triển và các lợi ích của MPLS
2.1.1. Giới thiệu
MPLS là một công nghệ kết hợp đặc điểm tốt nhất giữa định tuyến lớp ba và
chuyển mạch lớp hai cho phép chuyển tải các gói rất nhanh trong mạng lõi (core) và
định tuyến tốt ở mạng biên (edge) bằng cách dựa vào nhãn (label). MPLS là một
phương pháp cải tiến việc chuyển tiếp gói trên mạng bằng các nhãn được gắn với mỗi
gói IP, tế bào ATM, hoặc frame lớp hai. Phương pháp chuyển mạch nhãn giúp các
Router và MPLS-enable ATM switch ra quyết định theo nội dung nhãn tốt hơn việc
định tuyến phức tạp theo địa chỉ IP đích. MPLS kết nối tính thực thi và khả năng
chuyển mạch lớp hai với định tuyến lớp ba. Cho phép các ISP cung cấp nhiều dịch vụ
khác nhau mà không cần phải bỏ đi cơ sở hạ tầng sẵn có. Cấu trúc MPLS có tính mềm
dẻo trong bất kỳ sự phối hợp với công nghệ lớp hai nào.
MPLS hỗ trợ mọi giao thức lớp hai, triển khai hiệu quả các dịch cụ IP trên một
mạng chuyển mạch IP. MPLS hỗ trợ việc tạo ra các tuyến khác nhau giữa nguồn và
đích trên một đường trục Internet. Bằng việc tích hợp MPLS vào kiến trúc mạng, Các
ISP có thể giảm chi phí, tăng lợi nhuận, cung cấp nhiều hiệu quả khác nhau và đạt
được hiệu quả cạnh tranh cao.
Hình 2.5. Mô hình MPLS cơ bản
Thành phần cơ bản của mạng MPLS
• Bộ định tuyến chuyển mạch nhãn(Label Switching router-LSR) .
7
Học viện kỹ thuật mật mã
Lớp AT7A Thực tập cơ sở chuyên ngành
• Bộ định tuyến nhãn biên (Label Edge Router – LER)
• Lớp chuyển tiếp tương đương FEC (Forwarding Equivalence Class)
• Tuyến chuyển mạch nhãn LSP (Label Switching Path) .
2.1.2. Lịch sử phát triển
Khi mạng Internet phát triển và mở rộng, lưu lượng Internet bùng nổ. Các ISP
xử lý bằng cách tăng dung lượng các kết nối và nâng cấp router nhưng vẫn không
tránh khỏi nghẽn mạch. Lý do là các giao thức định tuyến thường hướng lưu lượng vào
cùng một số các kết nối nhất định dẫn đến kết nối này bị quá tải trong khi một số tài
nguyên khác không được sử dụng. Đây là tình trạng phân bố tải không đồng đều và sử
dụng lãng phí tài nguyên mạng Internet.
Vào thập niên 90, các ISP phát triển mạng của họ theo mô hình chồng lớp
(overlay) bằng cách đưa ra giao thức IP over ATM . ATM là công nghệ connection-
oriented, thiết lập các kênh ảo (Virtual Circuit), tuyến ảo (Virtual Path) tạo thành một
mạng logic nằm trên mạng vật lý giúp định tuyến, phân bố tải đồng đều trên toàn
mạng. Tuy nhiên, IP và ATM là hai công nghệ hoàn toàn khác nhau, được thiết kế cho
những môi trường mạng khác nhau, khác nhau về giao thức, cách đánh địa chỉ, định
tuyến, báo hiệu, phân bổ tài nguyên Khi các ISP càng mở rộng mạng theo hướng IP
over ATM, họ càng nhận rõ nhược điểm của mô hình này, đó là sự phức tạp của mạng
lưới do phải duy trì hoạt động của hai hệ thống thiết bị.
Sự bùng nổ của mạng Internet dẫn tới xu hướng hội tụ các mạng viễn thông
khác như mạng thoại, truyền hình dựa trên Internet, giao thức IP trở thành giao thức
chủ đạo trong lĩnh vực mạng. Xu hướng của các ISP là thiết kế và sử dụng các router
chuyên dụng, dung lượng chuyển tải lớn, hỗ trợ các giải pháp tích hợp, chuyển mạch
đa lớp cho mạng trục Internet. Nhu cầu cấp thiết trong bối cảnh này là phải ra đời một
công nghệ lai có khả năng kết hợp những đặc điểm tốt của chuyển mạch kênh ATM và
chuyển mạch gói IP. Và công nghệ MPLS ra đời trong bối cảnh này đã đáp ứng được
nhu cầu của thị trường đúng theo tiêu chí phát triển của Internet đã mang lại những lợi
ích thiết thực, đánh dấu một bước phát triển mới của mạng Internet trước xu thế tích
hợp công nghệ thông tin và viễn thông (ICT - Information Communication
Technology) trong thời kỳ mới.
8
Học viện kỹ thuật mật mã
Lớp AT7A Thực tập cơ sở chuyên ngành
Cisco phát hành ấn bản đầu tiên về chuyển mạch nhãn đa giao thức (MPLS)
vào tháng 3 năm 1998 và trong vài tháng gần đây công nghệ này được chuẩn hoá tại
nhóm đặc trách kỹ thuật Internet (IETF). Một vài đặc tính MPLS mới trở nên có giá
trị trong năm nay sẽ cung cấp những khả năng mới cho các mạng cung cấp dịch vụ.
Các khả năng cơ bản mà MPLS cung cấp cho việc phân phối các dịch vụ thương mại
IP bao gồm:
• Hỗ trợ VPN
• Định tuyến thẳng (cũng được biết đến như là định tuyến có điều tiết hay điều
khiển lưu lượng)
• Hỗ trợ cục bộ cho định tuyến IP trong các tổng đài chuyển mạch ATM.
2.1.3. Lợi ích của MPLS
• Làm việc với hầu hết các công nghệ liên kết dữ liệu
• Tương thích với hầu hết các giao thức định tuyến và các công nghệ khác liên
quan đến Internet
• Hoạt động độc lập với các giao thức định tuyến (routing protocol).
• Tìm đường đi linh hoạt dựa vào nhãn (label) cho trước.
• Hỗ trợ việc cấu hình quản trị và bảo trì hệ thống (OAM).
• Có thể hoạt động trong một mạng phân cấp.
• Có tính tương thích cao.
2.2. Công nghệ chuyển mạch MPLS
MPLS là chữ viết tắt của Multi Protocol Label Switching, chuyển mạch nhãn đa
giao thức. Mỗi gói tin IP bao gồm cả IPv4 và IPv6 hoặc cả những khung Frame lớp 2
khi đi vào miền MPLS sẽ được gán nhãn và truyền đi trong môi trường mạng. Bằng
cách này gói tin có thể chuyển mạch nhanh hơn và có thể kết hợp được đa tầng mạng
hợp nhất.
2.2.1. Cấu trúc MPLS
Cấu trúc của MPLS sẽ chia làm 02 mặt phẳng riêng:
- Mặt phẳng điều khiển: chứa các giao thức định tuyến để thiết lập các đường đi
được sử dụng cho việc chuyển tiếp gói tin ở lớp 3. Ngoài ra mặt phẳng điều khiển còn
chứa giáo thức phân phối nhãn để đáp ứng cho việc tạo và duy trì thông tin chuyển
9
Học viện kỹ thuật mật mã
Lớp AT7A Thực tập cơ sở chuyên ngành
tiếp nhãn (gọi là binding) giữa một nhóm switch chuyển mạch nhãn kết nối với nhau.
Các giao thức định tuyến như OSPF, ISIS, EIGRP và các giao thức trao đổi nhãn như
LDP, BGP.
- Mặt phẳng dữ liệu: sử dụng cơ sở dữ liệu chuyển tiếp nhãn (LFIB-label
forwarding information base) được duy trì bởi một thiết bị chuyển mạch nhãn để thực
hiện việc chuyển tiếp gói tin dựa trên thông tin nhãn mang trên gói tin. Mặt phẳng dữ
liệu chỉ là một thành phần chuyển tiếp dựa trên nhãn đơn giản độc lập với các giao
thức định tuyến và các giao thức trao đổi nhãn.
Hình 2.6. Cấu trúc MPLS
2.2.2. Cấu trúc nhãn
Nhãn của MPLS là 1 trường 32 bit cố định với cấu trúc xác định. Trong đó :
Label : có giá trị từ 0->220 -1. Giá trị từ 0 - 15 là giá trị dành riêng, sử dụng giá
trị từ 16 -> 220 -1.
EXP (Experimental) : dùng cho QoS.
S (Bottom of Stack) : cho biết đây là nhãn cuối cùng của chồng nhãn (label
stack) chưa.
TTL (Time – To – Live) : tương tự như trường TTL của IP header.
Hình 2.7. Nhãn chứa MPLS
10
Học viện kỹ thuật mật mã
Lớp AT7A Thực tập cơ sở chuyên ngành
Một số nhãn đặc biệt trong công nghệ MPLS:
Hình 2.8. Nhãn đặc biệt trong MPLS
• Nhãn untagged: gói MPLS được chuyển thành gói IP và được chuyển tiếp đến
đích. Untagged được dùng trong thực thi MPLS VPN.
• Nhãn pop hay implicit null:
Nhãn này được gán bằng P Router gần LSR nhất khi gói tin MPLS được
chuyển đến LSR
Dùng 1 giá trị riêng là 3 khi được quảng bá bởi LSR láng giềng.
Nhãn được dùng trong mạng MPLS cho những trạm kế cuối.
• Nhãn Explicit-null:
Được gán để giữ giá trị EXP cho nhãn top của gói đến.
Được sử dụng khi thực hiện QoS với MPLS
• Nhãn aggregate: với nhãn này, khi gói tin MPLS đến nó bị bóc tất cả nhãn
trong chồng nhãn ra thành gói IP, sau đó tìm kiếm trong FIB để xác định giao thức ngõ
ra cho gói tin này.
2.2.3. Quá trình gán nhãn gói tin
• Xây dựng bảng định tuyến :
Các Router sau khi khởi tạo sẽ dựa vào giao thức định tuyến để xây dựng bảng
định tuyến RIB (Routing Table Information Base) và được lưu trử trong mặt phẳng
điều khiển.
Dựa vào bảng RIB, Router sẽ tạo ra bảng FIB (Forwarding Information Base)
và được lưu trữ trong mặt phẳng dữ liệu.
11
Học viện kỹ thuật mật mã
Lớp AT7A Thực tập cơ sở chuyên ngành
Hình 2.9. Xây dựng bảng FIB
• Xây dựng bảng LIB
Giao thức trao đổi nhãn LDP sẽ khởi tạo và trao đổi nhãn giữa những Router
trong miền MPLS để tạo ra bảng LIB (Label Information Base)
Hình 2.10. Xây dựng bảng LIB
12
Học viện kỹ thuật mật mã
Lớp AT7A Thực tập cơ sở chuyên ngành
• Xây dựng bản LFIB
Sự kết hợp giữa bản LIB và bảng FIB sẽ tạo ra bảng LFIB.
Hình 2.11. Xây dựng bảng LFIB
• Chuyển tiếp gói tin
Ở chặng đầu tiên, gói tin IP đi vào miền MPLS, Router biên sẽ dựa vào địa chỉ
đích tìm kiếm trong bảng FIB để gán nhãn cho gói tin.
Ở chặng kế tiếp, Router trong miền MPLS sẽ dựa vào nhãn được lưu trong bảng
LFIB để xác định nút kế tiếp, thay đổi nhãn và forward gói tin đi.
Ở chặng cuối cùng, Router biên sẽ dựa vào nhãn đặc biệt để gở bỏ gói tin và
gởi ra ngoài miền MPLS.
Hình 2.12. Chuyển tiếp gói tin trong MPLS
13
Học viện kỹ thuật mật mã
Lớp AT7A Thực tập cơ sở chuyên ngành
2.3. Ứng dụng công nghệ MPLS-VPN
2.3.1. Giới thiệu
MPLS-VPN không giống như các mạng VPN truyền thống, các mạng MPLS-VPN
không sử dụng hoạt động đóng gói và mã hóa gói tin để đạt được mức độ bảo mật cao.
MPLS VPN sử dụng bảng chuyển tiếp và các nhãn “tags” để tạo nên tính bảo mật cho
mạng VPN. Kiến trúc mạng loại này sử dụng các tuyến mạng xác định để phân phối các
dịch vụ iVPN, và các cơ chế xử lý thông minh của MPLS VPN lúc này nằm hoàn toàn
trong phần lõi của mạng.
MPLS-VPN là công nghệ mạng riêng ảo được xây dựng dựa trên hạ tầng của
MPLS. Một mạng riêng yêu cầu các khách hang đầu cuối có thể kết nối với nhau và hoàn
toàn độc lập với các mạng riêng khác. Ngày nay, mỗi công ty đều có các chi nhánh được
phân bố khắp nơi, yêu cầu của công nghệ VPN là xây dựng các kết nối ảo (Tunnel) thay
cho các kết nối thật (Lease Line) kết nối các chi nhánh lại với nhau thông qua hạ tầng của
nhà cung cấp dịch vụ chung. Dịch vụ VPN được xây dựng dưa trên 2 mô hình chính:
• Overlay VPNs: dùng khi ISP cung cấp kết nối ảo (virtual point-to-point links)
giữa các site khách hàng (Frame Relay là 1 ví dụ của Overlay VPNs).
Hình 2.13. Overlay VPNs
• Peer-to-peer VPNs: dùng khi ISP cùng tham gia trong quá trình định tuyến
cho khách hàng.
14
Học viện kỹ thuật mật mã
Lớp AT7A Thực tập cơ sở chuyên ngành
Hình 2.14. Peer-to-peer VPNs
2.3.2. Mô hình mạng MPLS-VPN
Nhà cung cấp dịch vụ sẽ cung cấp hạ tầng dùng chung cho các khác hàng có
kết nối VPN trong đó:
• Mạng khách hàng (customer network): thường là miền điều khiển của khách
hàng gồm các thiết bị hay các router trải rộng trên nhiều site của cùng một khách hàng.
Các router CE- là những router trong mạng khách hàng giao tiếp với mạng của nhà
cung cấp. Ở hình 10, mạng khách hàng của Customer A gồm các router CE1-A, CE2-
A và các thiết bị trong Site1 và Site2 của Customer A. Các router CE của Customer A
là CE1-A, CE2-A, router CE của Customer B là CE1-B, CE2-B.
• Mạng của nhà cung cấp (provider network): miền thuộc điều khiển của nhà
cung cấp gồm các router biên và lõi để kết nối các site thuộc vào các khách hàng trong
một hạ tầng mạng chia sẻ. Các router PE là các router trong mạng của nhà cung cấp
giao tiếp với router biên của khách hàng. Các router P là router trong lõi của mạng,
giao tiếp với router lõi khác hoặc router biên của nhà cung cấp. Trong hình 10, mạng
của nhà cung cấp gồm các router PE1, PE2, P1, P2, P3, P4. Trong đó, PE1 và PE2 là
router biên của nhà cung cấp trong miền MPLS-VPN cho khách hàng A và B. Router
P1, P2, P3, P4 là router nhà cung cấp
15
Học viện kỹ thuật mật mã
Lớp AT7A Thực tập cơ sở chuyên ngành
Hình 2.15. Cấu trúc mạng MPLS-VPN
2.3.3. Thành phần trong cấu trúc
MPLS-VPN
• Bảng định tuyến và chuyển mạnh ảo VRF
VRF -Virtual Routing Forwarding: là một tổ hợp định tuyến và chuyển mạch đi
kèm với một giao thức định tuyến trên PE router. Trên PE mỗi VRF được gán cho 1
VPN của khách hang để phân biệt các khách hang với nhau. Chấp nhận cho phép các
khách hàng khác nhau có thể trùng lập IP lẫn nhau.
Hình 2.16. Chức năng của VRF
• Route Distinguisher
16
Học viện kỹ thuật mật mã
Lớp AT7A Thực tập cơ sở chuyên ngành
Trong mô hình định tuyến MPLS VPN, router PE phân biệt các khách hàng
bằng VRF. Tuy nhiên, thông tin này cần được mang theo giữa các router PE để cho
phép truyền dữ liệu giữa các site khách hàng qua MPLS VPN backbone. Router PE
phải có khả năng thực thi các tiến trình cho phép các mạng khách hàng kết nối vào có
không gian địa chỉ trùng lắp (overlapping address spaces). Router PE học các tuyến
này từ các mạng khách hàng và quảng bá thông tin này bằng mạng trục chia sẻ của nhà
cung cấp (share provider backbone). Điều này thực hiện bằng việc kết hợp với RD
(route distinguisher) trong bảng định tuyến ảo (virtual routing table) trên một route PE.
RD là một định danh 64-bit duy nhất, thêm vào trước 32-bit địa chỉ tuyến được học từ
router CE tạo thành địa chỉ 96-bit duy nhất có thể được chuyển vận giữa các router PE
trong miền MPLS. Do đó, duy nhất một RD được cấu hình cho 1 VRF trên router PE.
Địa chỉ 96-bit cuối cùng (tổng hợp của 32-bit địa chỉ khách hàng và 64-bit RD) được
gọi là một địa chỉ VPNv4 (Hình 17).
Địa chỉ VPNv4 được truyền tải giữa các Router PE bằng giáo thức MPBGP
(Multiprotocol BGP).
Hình 2.17. Hoạt động của RD
• Route-Target (RT)
RD chỉ sử dụng riêng cho 1 VPN để phân biệt địa chỉ IP đẫn đến việc các khách
hang có nhiều kết nối VPN trở nên khó giải quyết. Khi thực thi các cấu trúc mạng
VPN phức tạp (như: extranet VPN, Internet access VPNs, network management
VPN…) sử dụng công nghệ MPLS VPN thì RT giữ vai trò nồng cốt. Một địa chỉ mạng
17
Học viện kỹ thuật mật mã
Lớp AT7A Thực tập cơ sở chuyên ngành
có thể được kết hợp với một hoặc nhiều export RT khi quảng bá qua mạng MPLS
VPN. Như vậy , RT có thể kết hợp với nhiều site thành viên của nhiều VPN.
2.3.4. Thông tin định tuyến qua môi
trường MPLS-VPN
Hình 2.18. Thông tin định tuyến qua môi trường MPLS
Gói tin IPv4 được gởi từ CE Router đến PE Router và được cập nhật vào trong
bảng VRF.
Gói tin IPv4 sẽ được gắn vào thông số RD để phân biệt những địa chỉ IP trùng
lấp trở thành địa chỉ VPNv4 và được gởi từ PE router này đến PE router khác bằng
giao thức MP BGP.
PE Router đầu xa nhận được địa chỉ VPNv4 gở bỏ giá trị RD , cho vào bảng
VRF dựa vào giá trị RT để xác định cổng ra và gởi đến cho CE Router đích.
2.3.5. So sánh giữa MPLS-VPN và
VPN truyền thống
VPN truyền thống:
- Độ trễ của mạng
Các mạng VPN tuyền thống sử dụng 3 chức năng bảo mật như: tạo đường hầm
(Tunneling), mã hóa dữ liệu (Encryption) và chứng thực (Authentication). Hạn chế
đầu tiên và cũng là dễ nhận thấy nhất ở IPSec đó là làm giảm hiệu năng của mạng. Khi
xét đường đi giữa hai máy tính A và B ở hai chi nhánh khác nhau. Khi A gởi gói tin
18
Học viện kỹ thuật mật mã
Lớp AT7A Thực tập cơ sở chuyên ngành
cho B, gói tin sẽ được gởi đến VPN Server ở chi nhánh A, VPN Server này sẽ kiểm tra
gói tin xem liệu nó có cần thiết để chuyển đến VPN Server bên kia không. Với giao
thức IPSec, đầu tiên, gói tin phải được mã hóa, sau đó đóng gói vào các gói IP, hoạt
động này tiêu tốn thời gian và gây trễ cho gói tin. Khi gói tin đến được VPN Server
bên kia, nó lại phải được mở gói và giải mã, sau đó mới được chuyển đến máy B bằng
gói IP, điều này một lần nữa lại làm tăng thêm độ trễ của mạng.
- Chi phí triển khai
Để cải thiện điều này, nhiều thiết bị phần cứng có tốc độ xử lý gói tin rất lớn
được ra đời nhưng lại tỉ lệ thuận với giá thành, điều này làm cho chi phí triển khai
IPSec VPN rất lớn. Lại nói về chi phí, một điểm chúng ta cần cân nhắc khi triển khai
các mạng VPN đó là các VPN Server – Customer Premise Equipment (CPE). Mỗi một
CPE phải đóng vai trò như là một Router và có khả năng hỗ trợ Tunneling. Những
CPE với chức năng này có giá thành rất cao, điều này lần nữa làm nổi bật yêu cầu chi
phí khi xây dựng mạng IPSec VPN. Để khắc phục điều này, cách duy nhất là tải các
phần mềm IPSec Client vào tất cả các PC, cách này giảm thiểu được chi phí nhưng
ngược lại đòi hỏi sự hỗ trợ người dùng, khó khăn trong quản lý mạng và hiệu năng thì
không cao.
- Khó khăn mở rộng và bảo trì
Khai thác và bảo dưỡng cũng là một vấn đề nữa của các mạng IPSec VPN vì
mỗi một đường hầm IPSec đều phải được thiết lập bằng tay. Cấu hình cho một đường
hầm IPSec đơn lẻ không phải là vấn đề thế nhưng thời gian để thiết lập và duy trì một
mạng VPN với nhiều site sẽ tăng lên đáng kể khi kích thước mạng được mở rộng. đặc
biệt là với mạng VPN có cấu hình “full mesh” thì các nhà cung cấp dịch vụ sẽ gặp
nhiều khó khăn trong hỗ trợ và xử lý sự cố kỹ thuật.
- Vấn đề bảo mật
Vấn đề bảo mật cũng cần được quan tâm trong các mạng VPN. Mỗi CPE có thể
truy nhập vào mạng Internet công cộng nhưng tin tức vẫn cần được bảo mật trong quá
trình truyền giữa các site. Vì vậy, mỗi thiết bị CPE phải có biện pháp bảo mật nhất
định (như Firewall).
Và sự quản lý các firewall này sẽ trở nên rất khó khăn nhất là khi kích thước
của mạng rất lớn. Với một mạng VPN khoảng 100 nút mạng, sẽ cần 100 firewall và
19
Học viện kỹ thuật mật mã
Lớp AT7A Thực tập cơ sở chuyên ngành
mỗi khi cần một sự thay đổi nhỏ trong chính sách (policy) của firewall, chúng ta phải
tiếp cận cả 100 firewall này trong mạng. Rõ ràng đây là một điểm hạn chế lớn của các
mạng IPSec VPN về khía cạnh bảo mật.
MPLS VPN:
- Độ trễ của mạng
Trễ trong mạng được giữ ở mức thấp nhất vì các gói tin lưu chuyển trong mạng
không phải thông qua các hoạt động như đóng gói và mã hóa. Sở dĩ không cần chức
năng mã hóa là vì MPLS VPN tạo nên một mạng riêng. Phương pháp bảo mật này gần
giống như bảo mật trong mạng Frame Relay. Ngoài ra, cơ chế chuyển mạch dựa vào
thông tin nhãn giúp MPLS VPN cải thiện tốc độ chuyển mạch và cũng giảm độ trễ gói
tin trong mạng so mới IPSec VPN.
- Chi phí thiết bị
Toàn bộ thông tin định tuyến giữa các chi nhánh của khách hàng được ISP quản
lý trên các PE Router thông qua các bảng VRF. Đó là một trong những ưu điểm lớn
nhất của MPLS VPN, không đòi hỏi các thiết bị CPE thông minh bởi vì toàn bộ các
chức năng VPN được thực hiện ở phía trong mạng lõi của nhà cung cấp dịch vụ và hoàn
toàn “trong suốt” đối với các CPE. Các CPE không đòi hỏi chức năng VPN và hỗ trợ
IPSec. điều này có nghĩa là khách hàng không phải chi phí quá cao cho các thiết bị CPE.
- Khả năng mở rộng
Việc tạo một mạng đầy đủ (full mesh) VPN, hay sâu hơn là khả khả năng mở
rộng của mạng MPLS VPN hoàn toàn đơn giản vì các MPLS VPN không sử dụng cơ
chế tạo đường hầm. Vì vậy, cấu hình mặc định cho các mạng MPLS VPN là full mesh,
chỉ cần một kết nối duy nhất cho mỗi remote site. trong đó các site được nối trực tiếp
với PE vì vậy các site bất kỳ có thể trao đổi thông tin với nhau trong VPN. Và thậm
chí, nếu site trung tâm gặp trục trặc, các site khác vẫn có thể liên lạc với nhau. Hoạt
động khai thác và bảo dưỡng cũng đơn giản hơn trong mạng MPLS-VPN. Hoạt động
này chỉ cần thực hiện tại các thiết bị bên trong mạng core mà không cần phải tiếp xúc
đến các CPE. Một khi một site đã được cấu hình xong, ta không cần đụng chạm đến nó
nữa cho dù nếu muốn thêm một site mới vào mạng vì những thay đổi về cấu hình lúc
này chỉ cần thực hiện tại PE mà nó nối tới.
20
Học viện kỹ thuật mật mã
Lớp AT7A Thực tập cơ sở chuyên ngành
- Vấn đề bảo mật
Vấn đề bảo mật thậm chí còn đơn giản hơn nhiều khi triển khai trong các mạng
MPLS VPN vì một VPN hoàn toàn dựa trên mạng Core của ISP khép kín, bản thân nó
đã đạt được sự an toàn thông tin do không có kết nối với mạng Internet công cộng.
Nếu có nhu cầu truy nhập Internet, một tuyến sẽ được thiết lập để cung cấp khả năng
truy nhập. Lúc này, một firewall sẽ được sử dụng trên tuyến này để đảm bảo một kết
nối bảo mật cho toàn bộ mạng VPN. Cơ chế hoạt động này rõ ràng dễ dàng hơn nhiều
cho hoạt động quản lý mạng vì chỉ cần duy trì các chính sách bảo mật cho một firewall
duy nhất mà vẫn đảm bảo an toàn cho toàn bộ VPN.
TIÊU CHÍ
GIẢI PHÁP
MPLS VPN IP VPN
Công nghệ chuyển mạch
Chuyển mạch Nhãn
Chuyển mạch IP
Hạ tầng mạng
Mạng Core của ISP
Internet
Tốc độ chuyển mạch
Cao
Thấp
Thời gian trễ mạng
Thấp
Cao
Tỉ lệ mất gói tin
Thấp
Cao
Độ bảo mật thông tin
Rất cao
Tương đối
Khả năng mở rộng Cao, dễ dàng
Khó mở rộng với mạng lớn
Chi phí thiết bị Thấp
Rất cao nếu muốn đảm bảo
chất lượng
Chi phí dịch vụ
Có phí
Miễn phí
Đơn vị thực hiện
ISP
Khách hàng
Bảng đánh giá dưới góc độ khách hàng và quá trình phân tích các tiêu chí
21