Giảng viên
: Dr.Lê Anh Ngọc
Nhóm thực hiện : Nhóm 5
Lớp
: Đ4LT - ĐTVT


TÓM TẮT





-

VPN di động băng rộng trên nền NGN thích hợp cho các
mạng truy nhập office-LAN và home-LAN.
Phương pháp này tạo ra một kênh cho truyền thông
VPN sử dụng báo hiệu SIP, cho phép mạng thực hiện
việc điều khiển biên và quản lý QoS dựa trên phiên,
thực hiện chuyển giao của một phiên VPN sử dụng khả
năng di động SIP.
Ưu điểm của phương pháp:
Mạng có thể bảo vệ các cổng home của người dùng khỏi
tình trạng lưu lượng độc hại.
Các doanh nghiệp có thể tách các cổng VPN khỏi tường
lửa và phân phối nhiều cổng VPN cho mỗi đoạn nhỏ.
Mạng có thể thực hiện việc quản lý QoS dựa trên phiên.
Cho phép thiết bị đầu cuối di động tiếp tục một phiên
VPN trong khi chuyển mạch các mạng truy nhập.

I. GIỚI THIỆU







Các phương pháp Internet VPN hiện tại gặp khó
khăn trong việc thực thi các ứng dụng mạng
LAN trên qua một mạng diện rộng công cộng vì
những hạn chế sau:
Duy trì một cổng VPN trong tình trạng lưu lượng
độc hại trên Internet đòi hỏi một lượng lớn các
kỹ năng về IT và không được khuyến cáo cho
khách hàng thông thường.
Khó khăn để đạt được thông lượng điểm – điểm
đủ cho các ứng dụng tốn băng thông như dòng
media.
Các chức năng của cổng VPN không được tách
ra khỏi các bộ định tuyến tường lửa ở rìa của
mạng doanh nghiệp.


I. GIỚI THIỆU





-

Bài viết đề xuất một phương pháp truyền thông
VPN di động, trong đó lợi dụng các đặc tính của
mạng NGN.
Lợi thế của phương pháp:
Dùng cho những khách hàng thông thường,
người dùng tiềm năng của VPN.
Cho phép thiết bị đầu cuối di động truy nhập vào
một phân đoạn cụ thể của mạng doanh nghiệp.
Cơ chế đặt trước QoS theo yêu cầu cải thiện
khả năng ứng dụng của mạng NGN với các ứng
dụng đòi hỏi phải có một QoS ổn định.
Sử dụng một loạt các công nghệ mạng truy nhập
và do đó làm tăng số lượng cơ hội VPN từ xa
được thực thi.


II. NỘI DUNG BÀI VIẾT
1.

Mô tả các mô hình sử dụng VPN di động
trên mạng NGN và rút ra các yêu cầu

2.

Tóm tắt các giao thức liên quan

3.


Mô tả phương pháp được đề xuất

4.

Đánh giá phương pháp được đề xuất từ
quan điểm của các yêu cầu, so sánh
phương pháp được đề xuất với các lựa
chọn thay thế có thể.


CÁC MÔ HÌNH SỬ DỤNG


CÁC YÊU CẦU
1.

Bảo vệ các cổng VPN khỏi tình trạng lưu
lượng độc hại

2.

Tách các cổng VPN khỏi bộ định tuyến
tường lửa ở rìa

3.

Đặt trước QoS

4.


Chuyển giao của một phiên VPN


CÁC GIAO THỨC HIỆN TẠI


Các giao thức ứng dụng

-

Các tiêu chuẩn của tổ chức DLNA

-

RDP



Các giao thức IP – VPN

-

IKE

-

IPsec




Các giao thức cho tính di động

-

IP di động

-

SIP


PP ĐỀ XUẤT: SIP DIAL – UP


Khái niệm cơ bản



Các ngăn giao thức


KIẾN TRÚC MẠNG


KIẾN TRÚC MẠNG


Thiết bị đầu cuối di động (Mobile TE) có
SIP UA, bộ khởi tạo IKE, và các khả năng
IPsec.




Cổng VPN (VPN GW) có SIP UA, bộ đáp
ứng IKE, và các khả năng IPsec.



Một SIP proxy doanh nghiệp (ESIP) dàn
xếp các bản tin SIP giữa máy chủ CSCF
và các cổng VPN, và cập nhật tính năng
lọc gói tin của tường lửa doanh nghiệp


KIẾN TRÚC MẠNG


Bộ định tuyến biên (RE) có chức năng lọc gói
tin; không được cấu hình để chuyển tiếp các gói
tin giữa những người sử dụng.



Máy chủ CSCF dàn xếp các bản tin SIP giữa
các thiết bị người dùng như một SIP proxy và
yêu cầu RACF tạo các đường truyền dẫn cho
các phiên được thiết lập.




Máy chủ RACF cập nhật nguyên tắc chuyển
tiếp gói tin của các bộ định tuyến biên để tạo ra
các đường truyền dẫn với QoS mong muốn.


SYSTEM DYNAMICS


Thiết lập phiên VPN


SYSTEM DYNAMICS
-

-

Trình tự thiết lập phiên VPN
TE di động và cổng VPN thiết lập một phiên SIP
với một đường truyền dẫn UDP bằng cách trao
đổi các bản tin SIP giữa CSCF và ESIP.
CSCF và RACF thực hiện việc điều khiển biên
dựa trên phiên và việc đặt trước QoS.
Mạng doanh nghiệp thực hiện điều khiển biên
dựa trên phiên cho việc duyệt qua tường lửa.
Cổng VPN thực hiện việc kiểm soát đăng nhập
trong hai giai đoạn.
Sau khi phiên được thiết lập, thiết bị đầu cuối di
động và cổng VPN bắt đầu trao đổi IKE và dữ
liệu IPsec ESP.



SYSTEM DYNAMICS


Chuyển giao của phiên VPN
Thủ tục cơ bản

SAD: Security association database


SYSTEM DYNAMICS
Chuyển giao của phiên VPN


Micromobility sd NAPT như điểm nút ngoại vi di động
Khi một phiên VPN có độ trễ truyền một vòng dài, chèn
thêm một NAPT giữa các điểm đầu cuối của đường truyền
dẫn như một điểm nút ngoại vi di động (MAP)


ĐÁNH GIÁ

-

-

Đánh giá những ưu điểm của phương pháp đề
xuất từ quan điểm của những yêu cầu.
Yêu cầu 1: Bảo vệ các cổng VPN khỏi tình trạng
lưu lượng độc hại

Sử dụng IKE – giao thức điểm-điểm và SIP-giao
thức người dùng-mạng cho phép mạng điều
khiển biên dựa trên phiên nên chỉ các gói tin cho
các phiên được phép tới bên cạnh các gói tin
báo hiệu SIP.
Cơ chế kiểm soát đăng nhập giai đoạn 1 làm
giảm các cuộc tấn công hiệu quả nhờ các chức
năng IKE /IPsec.


ĐÁNH GIÁ


Yêu cầu 2: Tách các cổng VPN khỏi một bộ định tuyến
tường lửa biên

-

Việc đưa SIP vào cho phép một tường lửa doanh
nghiệp mở và đóng các lỗ nhỏ một cách tự động, nhận
ra sự thay đổi trạng thái của các phiên VPN.

-

Sự chỉ dẫn đích, như cổng VPN, được thực hiện bằng
cách sử dụng một SIP-URI trong một yêu cầu SIP, vì
vậy một cổng VPN không cần một địa chỉ IP toàn cầu.

-


Cơ chế điều khiển đăng nhập hai giai đoạn cho
phép các cổng VPN hạn chế các phiên đến nhờ báo
hiệu SIP trước khi nhận được các bản tin IKE.

-

Các thiết bị VPN ngang hàng có thể phát hiện các cuộc
tấn công bằng cách sử dụng chứng thực điểm – điểm.


ĐÁNH GIÁ



-

-

Yêu cầu 3: Đặt trước QoS
Phương pháp đề xuất cho phép mạng thực
hiện quản lý QoS dựa trên phiên nhờ nhận
ra QoS được yêu cầu từ các bản tin SIP.
Yêu cầu 4: Chuyển giao của phiên VPN
Đạt được chuyển giao của liên kết bảo mật
IPsec (SA) bằng cách cho phép một đầu cuối di
động thông báo cho các thực thể ngang hàng
của nó về sự thay đổi địa chỉ của nó sử
dụng các bản tin SIP.
Thủ tục chuyển giao cơ bản đạt được lộ trình tối
ưu hóa bằng cách tránh định tuyến tam giác.

Lược đồ sử dụng NAPT như MAP đạt được
chuyển giao nhanh cho một phiên VPN tải xa.


KẾT LUẬN


Bài báo trình bày một phương pháp VPN di
động sử dụng các khả năng của CSCF và RACF
trên nền NGN với nhiều ưu điểm có giá trị.



Những ưu điểm trên của phương pháp cho phép
đổi mới trong nhiều ứng dụng sử dụng truyền
thông VPN bằng cách tăng số lượng người dùng
thông thường và cho tự do hơn vị trí của các
cổng VPN.



Cần tiến hành công tác chuẩn hóa để phương
pháp làm việc với khả năng tương tác toàn cầu
của các hãng VPN.