Tải bản đầy đủ (.pdf) (55 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Lập trình

TIỂU LUẬN VỀ CHUYÊN ĐỀ Multiprotocol Label Switching – Virtual Private Network (MPLS-VPN)

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.01 MB, 55 trang )

Tiểu luận chuyên đề MPLS-VPN

BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG HV CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
TP.HỒ CHÍ MINH
KHOA ĐIỆN TỬ VIỄN THÔNG

TIỂU LUẬN VỀ CHUYÊN ĐỀ
Multiprotocol Label Switching – Virtual Private Network

(MPLS-VPN)

Page 1


Tiểu luận chuyên đề MPLS-VPN

Lời cảm ơn:
Chân thành cảm ơn thầy Nguyễn Xuân Khánh đã tạo điều kiện và giúp đỡ cho chúng
em hoàn thành bài tiểu luận này và cũng rất mong sự góp ý và chỉ bảo những điều sai
sót trong đề tài này để nó hoàn thiện hơn.
Vì đây là một bài tiểu luận nên chắc hẳn sẽ không chứa đựng tất cả những cấu trúc mà
một mạng MPLS-VPN có và có khả năng làm được chúng tôi đã cố gắng tìm hiểu và
cơ bản nêu lên những cái chính về một mạng VPN chạy giao thức MPLS. Do đó rất
mong nhận được sự góp ý từ các bạn, các bạn có thể liên lạc qua địa chỉ e-mail này
Chân thành cảm ơn

Nhóm SV thực hiện:
1. Trần Trọng Quốc
2. Võ Văn Tiến
3. Nguyễn Thị Tú Trinh


4. Nguyễn Bảo Lộc
5. Ôn Ngọc Kim Mai
6. Thạch Đăng Quang
7. Nguyễn Văn Trà
8. Cao Tiến Dũng
9. Lê Xuân Mỹ
10.Bành Quốc Cường

Page 2


Tiểu luận chuyên đề MPLS-VPN

Phần đánh giá về đề tài:
Về phần báo cáo:
Nhận Xét:

Về cách trình bài:

Nhận Xét:

Về cách trả lời câu hỏi:

Nhận Xét:

Tp HCM, ngày

tháng

năm


Thầy: Nguyễn Xuân Khánh

Page 3


Tiểu luận chuyên đề MPLS-VPN
Cấu trúc bài tiểu luận
Lời cảm ơn: .............................................................................................................................................. 2
Phần đánh giá về đề tài: ....................................................................................................................... 3
Phần 1: Giới thiệu về chuyển mạch nhãn đa giao thức MPLS ................................................ 6
A.Giới thiệu về MPLS. ............................................................................................................................. 6
1.Khả năng mở rộng đơn giản. ................................................................................................... 7
2.Một số ứng dụng của MPLS..................................................................................................... 7
B.Cấu trúc của một MPLS. .................................................................................................................... 8
1.Cấu trúc nhãn MPLS. .............................................................................................................. 8
a)Mặt phẳng chuyển tiếp (Forwarding Plane). .................................................................... 10
b)Mặt phẳng điều khiển (Control Plane). ............................................................................. 11
2.Lớp chuyển tiếp tương đương FEC(Forwarding Equivalence Classes)................................ 11
3.Đường chuyển mạch nhãn LSP (Label Switched Path). ........................................................ 12
4.Giao thức phân phối nhãn LDP (Label Distribution Protocol). ........................................... 12
5.Bộ định tuyến chuyển mạch nhãn LSR(Label Switched Router)............................................ 12
6.Topo mạng MPLS. ................................................................................................................. 13
Phần 2: Mạng riêng ảo VPN (Vitrual Private Networking) ................................................... 16
A.Giới thiệu cơ bản về mạng riêng ảo VPN................................................................................... 16
1.Các cơ chế an toàn của VPN. ................................................................................................ 16
2.Sự Phát Triển Của VPNs. ...................................................................................................... 17
3.Sự Thuận Lợi Và Bất Lợi Của VPNs : ................................................................................... 19
B.Giới thiệu các loại hình VPN: ....................................................................................................... 20
1.VPN cho các nhà doanh nghiệp. ............................................................................................ 20

a)Remote access VPN. .......................................................................................................... 20
b)VPN Site to Site.................................................................................................................. 22
2.VPN cho các nhà cung cấp dịch vụ: .............................................................................................. 25
a)Overlay VPN. ..................................................................................................................... 25
b)Peer-to-peer VPN. ............................................................................................................. 28
Phần 3: Giới thiệu về MPLS VPN:.................................................................................................... 33
A.Các thành phần trong MPLS-VPN: .............................................................................................. 34

Page 4


Tiểu luận chuyên đề MPLS-VPN
1.Chuyển tiếp định tuyến ảo VRF (Virtual Routing Forwarding). ........................................... 34
2.RD (Route Distinguishers). .................................................................................................... 36
3.RT (Route Targets.)................................................................................................................ 38
B.Kiến trúc và hoạt động của một MPLS VPN............................................................................. 41
Phần 4. Mô phỏng bằng GNS3. ......................................................................................................... 43
1.Các lệnh cấu hình. ............................................................................................................................ 44
a)Cấu hình router A1. ............................................................................................................... 44
b)Cấu hình router PE01............................................................................................................ 45
c)Cấu hình router P. ................................................................................................................. 46
d)Cấu hình router PE02............................................................................................................ 46
e)Cấu hình router A2. ............................................................................................................... 48
B.Kết quả: ............................................................................................................................................... 48

Page 5


Tiểu luận chuyên đề MPLS-VPN


Phần 1: Giới thiệu về chuyển mạch nhãn đa giao thức MPLS
A.Giới thiệu về MPLS.
MPLS là một công nghệ kết hợp đặc biệt tốt nhất giữa định tuyến lớp 3 và
chuyển mạch ở lớp 2 cho phép chuyển tải các gói rất nhanh trong mạng lõi core và
định tuyến tốt ở mạng biên edge bằng cách dựa vào nhãn label. MPLS là một phương
pháp cải tiến việc chuyển tiếp gói trên mạng bằng các nhãn được gắn với mỗi gói IP, tế
bào ATM hoặc khung lớp 2. Phương pháp chuyển mạch nhãn giúp các router và
MPLS-Enable ATM switch ra quyết định theo nội dung nhãn tốt hơn việc định tuyến
phức tạp theo địa chỉ Ip đích. MPLS kết nối tính thực thi và khả năng chuyển mạch và
khả năng chuyển mạch lớp 2 với định tuyến lớp 3. Cho phép các ISP có tính mềm dẻo
trong bất kì sự phối hợp với công nghệ lớp 2 nào nhờ vậy mà các ISP có thể giảm chi
phí, tăng lợi nhuận, cung cấp nhiều hiệu quả khác nhau và đạt được hiệu quả cạnh
tranh cao. Ý tưởng khi đưa ra MPLS là: “ Định tuyến ở biên, chuyển mạch ở lõi”

Hình 1.1: Mô hình cơ bản mạng MPLS

Page 6


Tiểu luận chuyên đề MPLS-VPN
1.Khả năng mở rộng đơn giản.
 Tăng chất lượng mạng, có thể triển khai các chức năng định tuyến mà các công
nghệ trước không thể thực hiện được như định tuyến hiện ( explicit routing),
điều khiển lặp.
 Tích hợp giữa IP và ATM cho phép tận dụng toàn bộ các thiết bị hiện tại trên
mạng. Tách biệt đơn vị điều khiển với đơn vị chuyển mạch cho phép MPLS hỗ
trợ đồng thời MPLS và B-ISDN. Việc bổ sung các chức năng mới sau khi triển
khai mạng MPLS chỉ cần thay đổi phần mềm điều khiển.

2.Một số ứng dụng của MPLS.

Internet có ba nhóm ứng dụng chính: voice, data, video với các yêu cầu khác nhau:
 Voice yêu cầu độ trễ thấp, cho phép thất thoát dữ liệu để tăng hiệu quả.
 Video cho phép thất thoát dữ liệu ở mức độ chấp nhận được, mang tính thời
gian thực (realtime).
 Data yêu cầu độ bảo mật và chính xác cao. MPLS giúp khai thác tài nguyên
mạng đạt hiệu quả cao.
Một số ứng dụng được triển khai là:
 MPLS VPN: nhà cung cấp dịch vụ sử dụng cơ sở hạ tầng mạng công cộng có
sẵn để thực thi các kết nối giữa các site khách hàng.
 MPLS Traggic Engineer: cung cấp khả năng thiết lập một hoặc nhiều đường đi
để điều khiển lưu lượng mạng và các đặc trưng thực thi cho một loại lưu
lượng.
 MPLS Quality of Service: dùng Qos các nhà cung cấp dịch vụ có thể cung cấp
nhiều loại dịch vụ với sự đảm bảo tối đa về Qos cho khách hàng.

Page 7


Tiểu luận chuyên đề MPLS-VPN
B.Cấu trúc của một MPLS.
1.Cấu trúc nhãn MPLS.
Nhãn là một thực thể có độ dài ngắn, cố định và không có cấu trúc bên trong.
Nhãn không trực tiếp mã hóa thông tin của mào đầu lớp mạng như địa chỉ lớp mạng.
nhãn được gán vào một gói tin cụ thể sẽ đại diện cho một FEC mà gói tin đó được ấn
định. Dạng của nhãn phụ thuộc vào phương tiện truyền tin được đóng gói. Ví dụ các
gói ATM (tế bào) sử dụng giá trị VPI/VCI như nhãn, Frame relay sử dụng DLCI làm
nhãn. Đối với các phương tiện gốc không có cấu trúc nhãn, một đoạn đệm được chèn
thêm để sử dụng cho nhãn. Khuôn dạng đoạn đệm 4 byte có cấu trúc như sau:

Hình 1.2: Cấu trúc mào đầu MPLS.

MPLS định nghĩa một tiêu đề có độ dài 32 bit và được tạo nên tại LSR vào. Nó phải
được đặt ngay sau tiêu đề lớp 2 bất kì và trước một tiêu đề lớp 3, ở đây là IP và được
sử dụng bởi LSR lối vào để xác định một FEC, lớp này sẽ được xét lại trong vấn đề tạo
nhãn. Sau đó các nhãn được xử lí bởi LSR chuyển tiếp.

Page 8


Tiểu luận chuyên đề MPLS-VPN

Hình 1.3: Nhãn MPLS
Khuôn dạng và tiêu đề MPLS được chia ra trong hình trên. Nó bao gồm các trường
sau:
 Nhãn : giá trị 20 bit, giá trị này chứa nhãn MPLS.
 EXP ( 3 bit): dành cho thực nghiệm, có thể dung các bit EXP tương tự
như các bit ưu tiên.
 S: bit ngăn xếp, sử dụng để sắp xếp đa nhãn.
 TLL: thời gian sống 8 bit, đạt ra một giới hạn mà các gói MPLS có thể đi
qua.
Đối với các khung PPP hay Ethernet giá trị nhận dạng giao thức P-ID ( hoặc Ethertype)
được chén thêm vào mào đầu khung tương ứng để thông báo khung là MPLS Unicast
hay Multicast.

Page 9


Tiểu luận chuyên đề MPLS-VPN
Một nút của MPLS có hai mặt phẳng: mặt phẳng chuyển tiếp MPLS và mặt phẳng điều
khiển MPLS. Nút MPLS có thể thực hiện định tuyến lớp 3 hoặc chuyển lớp 2.


Hình 1.4: Cấu trúc một nút MPLS.

a)Mặt phẳng chuyển tiếp (Forwarding Plane).
Mặt phẳng chuyển tiếp sử dụng một cơ sở thông tin chuyển tiếp nhãn (LFIBLabel Forwarding Information Base) để chuyển tiếp các gói. Mỗi nút MPLS có 2 bảng
liên quan đến việc chuyển tiếp là: cơ sở thông tin nhãn (LIB-Label Information Base)
và LFIB. LIB chứa tất cả các nhãn được nút MPLS cục bộ đánh dấu và ánh xạ của các
nhãn này đến các nhãn được nhận từ MPLS láng giềng của nó. LFIB sử dụng một tập
con các nhã chứa trong LIB để thực hiện chuyển tiếp gói.

Page 10


Tiểu luận chuyên đề MPLS-VPN
b)Mặt phẳng điều khiển (Control Plane).
Mặt phẳng điều khiển MPLS chịu trách nhiệm tạo ra và lưu trữ LFIB. Tất cả các
nút MPLS phải chạy một giao thức định tuyến IP để trao đổi thông tin định tuyến đến
các nút MPLS khác trong mạng. Các nút MPLS enble ATM sẽ dùng một bộ điều khiển
nhãn (LSC- Label Switch Controller) như router 7200, 7500 hoặc dùng một mô đun xử
lý tuyến (RMP- Route Processor Module) để tham gia xử lý định tuyến IP
Các nhãn được trao đổi giữa các nút MPLS kế cận để xây dựng nên LFIB. MPLS dùng
một mẫu chuyển tiếp dựa trên sự hoán đổi nhãn để kết nối với các mô đun điều khiển
khác nhau. Mỗi mô đun điều khiển chịu trách nhiệm đánh dấu và phân phối một tập
các nhãn cũng như lưu trữ các thông tin điều khiển có liên quan khác. Các giao tiếp
cổng nội (IGP-Inter Gateway Protocols) được dùng để xác nhận các khả năng đến
được, sự liên kết ánh xạ giữa các FEC và địa chỉ trạm kế (Next Hop Address)

2.Lớp chuyển tiếp tương đương FEC(Forwarding Equivalence Classes).
Là một nhóm các gói IP có cùng một đường đi trên mạng MPLS và xử lý giống
nhau tại bất kỳ LSR nào. Trong định tuyến truyền thống một gói được gán tới một FEC
tại mỗi hop. Còn trong MPLS chỉ gán một lần tại LSR ngõ vào. Trong MPLS các gói

tin đến với các prefix khác nhau có thể gộp chung một FEC, bởi vì quá trình chuyển
tiếp gói trong miền MPLS chỉ căn cứ vào LSR ngõ vào để gán tới FEC cho việc xác
định LSP, còn các LSR còn lại dựa vào nhãn để chuyển gói. Với định tuyến IP, gói
được chuyển dựa vào IP nên tại mỗi hop gói đều được gán tới một FEC để xác định
đường dẫn.

Page 11


Tiểu luận chuyên đề MPLS-VPN
3.Đường chuyển mạch nhãn LSP (Label Switched Path).
Là một kết nối được cấu hình giữa hai LSR, tuyến tạo ra từ đầu vào đến đầu ra
của mạng MPLS dùng để chuyển tiếp gói của một FEC nào đó sử dụng cơ chế chuyển
đổi nhãn (Label-Swapping Forwarding). Cơ sở dữ liệu nhãn LIB Là bảng kết nối trong
LSR có chứa các giá trị nhãn/FEC được gán vào cổng ra cũng nhờ thông tin về đóng
gói phương tiện truyền.

4.Giao thức phân phối nhãn LDP (Label Distribution Protocol).
Giao thức phân phối nhãn LDP là giao thức để trao đổi thông tin nhãn giữa các
LSR. Cung cấp kỹ thuật giúp cho các LSR có kết nối trực tiếp nhận ra nhau và thiết lập
liên kết cơ chế khám phá (discovery mechanism).
Có 4 loại bản tin:
 Bản tin Discovery: thông báo và duy trì sự có mặt của một LSR trong mạng.
 Bản tin Adjency: có nhiệm vụ khởi tạo, duy trì và kết thúc những phiên kết
nối giữa các LSR.
 Bản tin Label advertisement: thực hiện việc thông báo, đưa ra yêu cầu, hủy
b và giải phóng thông tin nhãn.
 Bản tin Notification: được sử dụng để thông báo lỗi.
 Thiết lập kết nối TCP để trao đổi các bản tin (ngoại trừ bản tin Discovery).
Các bản tin là tập hợp những thành phần có cấu trúc < type, length, value>.


5.Bộ định tuyến chuyển mạch nhãn LSR(Label Switched Router).
Giao thức này hoạt động trên kết nối UDP và có thể được xem là giai đoạn nhận
biết nhau của hai LSR trước khi chúng thiết lập kết nối TCP. Một LSR sẽ quảng bá bản
tin hello tới tất cả LSR kết nối trực tiếp với nó trên một cổng UDP mặc định theo một
chu kỳ nhất định. Tất cả các LSR đều lắng nghe bản tin hello này trên cổng UDP. Nhờ

Page 12


Tiểu luận chuyên đề MPLS-VPN
đó LSR biết được địa chỉ của tất cả các LSR kết nối trực tiếp với nó. Sau khi biết được
địa chỉ của một LSR nào đó, một kết nối TCP sẽ được thiết lập giữa hai LSR này.
Ngay cả khi không kết nối trực tiếp với nhau thì LSR vẫn có thể gửi định kỳ bản tin
hello đến cổng UDP mặc định của một địa chỉ IP xác định. Và LSR nhận cũng có thể
gửi lại bản tin hello cho LSR gửi để thiết lập kết nối TCP.

Hình 1.5: Quá trình khám phá láng giềng bằng LDP.

6.Topo mạng MPLS.
Miền MPLS là một “tập kế tiếp các nút hoạt động định tuyến và chuyển tiếp
MPLS”. Miền MPLS có thể chia thành Lõi MPLS (MPLS Core) và Biên MPLS
(MPLS Edge).

Page 13


Tiểu luận chuyên đề MPLS-VPN
Hình 1.6: Topo mạng MPLS.
Khi một gói tin IP đi qua miền MPLS, nó đi theo một tuyến được xác định phụ thuộc

vào FEC mà nó được ấn định khi đi vào miền. Tuyến này gọi là Đường chuyển mạch
nhãn LSP. LSP chỉ một chiều, tức là cần hai LSP cho một truyền thông song công. Các
nút có khả năng chạy giao thức MPLS và chuyển tiếp các gói tin gốc IP được gọi là bộ
định tuyến chuyển mạch nhãn LSR.
 LSR lối vào (Ingress LSR) xử lý lưu lượng đi vào miền MPLS.
 LSR chuyển tiếp (Transit LSR) xử lý lưu lượng bên trong miền MPLS.
 LSR lối ra (Egress LSR) xử lý lưu lượng rời kh i miền MPLS.
 LSR biên (Edge LSR) thường được sử dụng nhờ là tên chung cho cả LSR lối
vào và LSR lối ra.
Các thiết bị tham gia trong một mạng MPLS có thể được phân loại thành các bộ định
tuyến biên nhãn LER và các bộ định tuyến chuyển mạch nhãn LSR.
Thiết bị LSR: Thành phần quan trọng nhất của mạng MPLS là thiết bị định tuyến
chuyển mạch nhãn LSR. Thiết bị này thực hiện chức năng chuyển tiếp gói tin trong
phạm vi mạng MPLS bằng thủ tục phân phối nhãn.
Thiết bị LER: Là một thiết bị hoạt động tại biên của mạng truy nhập và mạng MPLS.
Các LER hỗ trợ các cổng được kết nối tới các mạng không giống nhau (nhờ Frame
Relay, ATM, và Ethernet ) và chuyển tiếp lưu lượng này vào mạng MPLS sau khi thiết
lập LSP, bằng việc sử dụng các giao thức báo hiệu nhãn tại lối vào và phân bổ lưu
lượng trở lại mạng truy nhập tại lối ra. LER đóng vai trò quan trọng trong việc chỉ định
và huỷ nhãn, khi lưu lượng vào trong hay ra kh i mạng MPLS. LER là nơi xảy ra việc
gán nhãn cho các gói tin trước khi vào mạng MPLS. Các thiết bị biên khác với các
thiết bị lõi ở chỗ là: ngoài việc phải chuyển tiếp lưu lượng nó còn phải thực hiện việc
giao tiếp với các mạng khác.

Page 14


Tiểu luận chuyên đề MPLS-VPN

Các kiểu phân phối nhãn

Trong một miền MPLS, một nhãn gán tới một địa chỉ đích được phân phối tới các láng
giềng ngược dòng sau khi thiết lập session. Việc kết nối giữa mạng cụ thể với nhãn cục
bộ và một nhãn trạm kế (nhận từ router xuôi dòng) được lưu trữ trong LFIB và LIB.
MPLS dùng các phương thức phân phối nhãn như sau:

Hình 1.7: Quá trình trao đổi thông tin nhãn trong LDP

Page 15


Tiểu luận chuyên đề MPLS-VPN

Phần 2: Mạng riêng ảo VPN (Vitrual Private Networking)
A.Giới thiệu cơ bản về mạng riêng ảo VPN.
VPN cho phép bạn mở rộng phạm vi mạng nội bộ bằng cách sử dụng lợi thế của
internet. Kỉ thuật VPN cho phép bạn kết nối với một host nằm xa hàng ngàn dặm với
mạng LAN của bạn và làm cho nó trở thành một node hay một PC nữa trong mạng
LAN. Một đặc điểm nữa của VPN là sự kết nối giữa clients và mạng ảo của bạn khá an
toàn như chính bạn đang ngồi trong cùng một mạng LAN.
Mục đích mong muốn của công nghệ VPN là việc sử dụng Internet và tính phổ
cập của nó. Tuy nhiên, do Internet là nguồn thông tin công cộng nên có thể được truy
cập từ bất kỳ ai, bất kỳ lúc nào, bất kỳ nơi đâu, việc trao đổi thông tin có thể bị nghe
trộm dễ dàng, sự truy cập bất hợp pháp và phá hoại dữ liệu khi trao đổi dữ liệu.
Mục đích chính của VPN là cung cấp bảo mật, tính hiệu quả và độ tin cậy trong mạng
trong khi vẫn đảm bảo cân bằng giá thành cho toàn bộ quá trình xây dựng mạng.
VPN được hiểu là phần mở rộng của một mạng Intranet được kết nối thông qua mạng
công cộng nhằm bảo đảm an toàn và tăng hiệu quả giá thành kết nối giữa hai đầu nối.
Cơ chế và độ giới hạng bảo mật tinh vi cũng được sử dụng để bảo đảm tính an toàn cho
việc trao đổi những dữ liệu dễ bị đánh cập thông qua một môi trường không an toàn.
1.Các cơ chế an toàn của VPN.

Encryption : Mã hoá dữ liệu là một quá trình xữ lý thay đổi dữ liệu theo một
chuẩn nhất định và dữ liệu chỉ có thể được đọc bởi người dùng mong muốn. Ðể đọc
được dữ liệu người nhận buộc phải có chính xác một khóa giải mã dữ liệu. Theo
phương pháp truyền thống, người nhận và gửi dữ liệu sẽ có cùng một khoá để có thể
giải mã và mã hoá dữ liệu. Lược đồ public-key sử dụng 2 khóa, một khóa được xem

Page 16


Tiểu luận chuyên đề MPLS-VPN
như một public-key (khóa công cộng) mà bất cứ ai cũng có thể dùng để mã hoá và giải
mã dữ liệu.
Authentication : Là một quá trình xữ lý bảo đảm chắc chắn dữ liệu sẽ được
chuyễn đến người nhận đồng thời cũng bảo đảm thông tin nhận được nguyên vẹn. Ở
hình thức cơ bản, Authentication đòi h i ít nhất phải nhập vào Username và Password
để có thể truy cập vào tài nguyên. Trong một số tình huống phức tạp, sẽ có thêm
secret-key hoặc public-key để mã hoá dữ liệu.
Authorization : Ðây là quá trình xữ lý cấp quyền truy cập hoặc ngăn cấm vào tài
nguyên trên mạng sau khi đã thực hiện Authentication.
2.Sự Phát Triển Của VPNs.
VPNs không phải là một công nghệ hoàn toàn mới, khái niệm về VPNs đã có từ
15 năm trước và trải qua nhiều quá trình phát triển, thay đổi cho đến nay đã tạo ra một
dạng mới nhất. VPNs đầu tiên đã được phát sinh bởi AT&T từ cuối những năm 80 và
được biết như Software Defined Networks (SDNs). Thế hệ thứ hai của VPNs ra đời từ
sự xuất hiện của công nghệ X.25 và mạng dịch vụ tích hợp kỹ thuật số (Integrated
Services Digital Network : ISDN) từ đầu những năm 90. Hai công nghệ này cho phép
truyền những dòng gói (package streams) dữ liệu qua các mạng chia sẽ chung.
Sau khi thế hệ thứ hai của VPNs ra đời, thị trường VPNs tạm thời lắng động và chậm
tiến triển, cho tới khi có sự nổi lên của hai công nghệ cell-based Frame Relay (FR)
Asynchronous Tranfer Mode (ATM). Thế hệ thứ ba của VPNs đã phát triển dựa theo 2

công nghệ này. Hai công nghệ này phát triển dựa trên khái niệm về Virtual Circuit
Switching, theo đó, các gói dữ liệu sẽ không chứa địa chỉ nguồn và đích. Thay vào đó,
chúng sẽ mang những con tr , tr đến các virtual curcuit nơi mà dữ liệu nguồn và đích
sẽ được giải quyết.

Page 17


Tiểu luận chuyên đề MPLS-VPN
Chú ý : Công nghệ Virtual Circuit switching có tốc độ truyền dữ liệu cao (160
Mbs hoặc cao hơn) hơn so với thế hệ trước-SDN, X.25, ISDN. Tuy nhiên việc đóng
gói IP lưu thông bên trong gói Frame Relay và ATM cells thì chậm. Ngoài ra, mạng
FR-based và ATM-based cũng không cung cấp phương pháp xác nhận packet-level
end-to-end và mã hóa cho những ứng dụng high-end chẳng hạn như multimedia.
Tunneling là một kỹ thuật đóng gói các gói dữ liệu trong tunneling protocol, như IP
Security (IPSec), Point-to-Point Tunneling Protocol (PPTP), hoặc Layer 2 Tunneling
Protocol (L2TP) và cuối cùng là đóng gói những gói đã được tunnel bên trong một gói
IP. Tổng hợp các gói dữ liệu sau đó route đến mạng đích bằng cách sử dụng lớp phủ
thông tin IP. Bởi vì gói dữ liệu nguyên bản có thể là bất cứ dạng nào nên tunneling có
thể hổ trợ đa giao thức gồm IP, ISDN, FR và ATM.

VPNs Tunneling Protocol :
Có 3 dạng giao thức tunneling nổi bật được sử dụng trong VPNs :
IP Security (IPSec) : Ðược phát triển bởi IETF, IPSec là một chuẩn mở đảm bảo chắc
chắn quá trình trao đổi dữ liệu được an toàn và phương thức xác nhận người dùng qua
mạng công cộng. Không giống với những kỹ thuật mã hoá khác, IPSec thực hiện ở
tầng thứ 7 trong mô hình OSI (Open System Interconnect), Vì thế, chúng có thể chạy
độc lập so với các ứng dụng chạy trên mạng. Và vì thế mạng của bạn sẽ được bảo mật
hơn mà không cần dùng bất kỳ chương trình bảo mật nào.
Point-to-Point Tunneling Protocol (PPTP) : Phát triển bởi Microsoft, 3COM, và

Ascend Communications, PPTP là một sự chọn lựa để thay thế cho IPSec. Tuy nhiên
IPSec vẫn còn được sử dụng nhiều trong một số Tunneling Protocol. PPTP thực hiện ở
tầng thứ 2 (Data Link Layer).
Layer 2 Tunneling Protocol (L2TP) : Ðược phát triển bởi Cisco System, L2TP được dự
định sẽ thay thế cho IPSec. Tuy nhiên IPSec vẫn chiếm ưu thế hơn so về bảo mật trên
Internet. L2TP là sự kết hợp giữa Layer 2 Forwarding (L2F) và PPTP và được dùng để

Page 18


Tiểu luận chuyên đề MPLS-VPN
đóng gói các frame sữ dụng giao thức Point-to-point để gởi qua các loại mạng như
X.25, FR, ATM.
Ghi chú : L2F là một protocol được đăng ký độc quyền bởi Cisco System để đảm bảo
việc vận chuyễn dữ liệu trên mạng Internet được an toàn.
3.Sự Thuận Lợi Và Bất Lợi Của VPNs :
Thuận lợi :
Giãm thiểu chi phí triển khai : Chi phí cho VPNs ít hơn đáng kể so với cách giải quyết
truyền thống
Giãm chi phí quản lý.
Cải thiện kết nối.
An toàn trong giao dịch.
Hiệu quả về băng thông.
Enhanced scalability.
Bất lợi :
§ Phụ thuộc trong môi trường Internet.
§ Thiếu sự hổ trợ cho một số giao thức kế thừa.
Những Ðiều Cần Quan Tâm Trong VPNs :
§ Tính an toàn.
§ Thao tác giữa các thiết bị của các nhà cung cấp khác nhau.

§ Quản lý tập trung.
§ Dễ triển khai.
§ Dễ sử dụng.
§ Scalability.
§ Hiệu xuất.
§ Quản lý băng thông.
§ Lựa chọn một nhà cung cấp dịch vụ (ISP).
Page 19


Tiểu luận chuyên đề MPLS-VPN
§ Bảo vệ mạng từ những dữ liệu gởi đi tự nhiên bên ngoài.

B.Giới thiệu các loại hình VPN:
1.VPN cho các nhà doanh nghiệp.
a)Remote access VPN.
VPN truy nhập từ xa cung cấp khả năng truy nhập từ xa cho người sự dụng.
VPN cung cấp cho các cá nhân, nhân viên di động hay chi nhánh văn phòng ở xa có
thể sự dụng truy nhập vào mạng nội bộ của công ty bằng hệ thống vô tuyến hay hữu
tuyến có kết nối mạng internet. VPN truy nhập từ xa mở rộng mạng công ty thông qua
cơ sở hạ tầng chia sẻ chung, mà không làm thay đổi chính sách mạng cùa công ty. Có
thể dùng để cung cấp truy nhập an toàn cho những nhân viên thường xuyên phải đi lại,
những chi nhánh hay các bạn hàng của công ty. Loại VPN này được sự dụng thông qua
cơ sở hạ tầng công cộng bằng cộng nghệ ISDN, quay số, IP di động, DSL hay công
nghệ cáp và thường yêu cầu một số phần mềm client chạy trên máy tính của người sự
dụng.
Do nhu cầu mạng không dây phát triển nên VPN không dây (wireless) càng
được phát huy tính năng, các cá thể nhân viên có thể truy nhập vào mạng nội bộ của họ
thông qua kết nối không dây vào một trạm không dây (wireless terminal) có kết nối về
mạng nội bộ này. Trong kết nối có dây hay không dây trong VPN truy nhập từ xa, phần

mềm client chạy trên máy PC cho phép khởi tạo các kết nối bảo mật gọi là đường
hầm. Việc thiết kế quá trình xác lập ban đầu để đạm bảo yêu cầu phải được xuất phát
từ một nguồn tin cậy. Thường thì giai đoạn ban đầu này dựa trên cùng một chính sách
về bảo mật của công ty.

Page 20


Tiểu luận chuyên đề MPLS-VPN

Hình 2.1: Mô hình Remote Access VPN.
Những ưu điểm của VPN truy nhập từ xa so với các phương pháp truyền thống là:
 VPN truy nhập từ xa không cần sự hỗ trợ của nhân viên mạng bởi vì quá trình
kết nối từ xa được các ISP thực hiện.
 Giảm được các chi phí cho kết nối từ khoảng cách xa bởi vì các kết nối khoảng
các xa được thay thế bởi các kết nối cục bộ thông qua internet.
 Cung cấp dịch vụ kết nối giá rẻ cho những người sự dụng ở xa.
 Do kết nối truy nhập là kết nối nội bộ nên các modem kết nối hoạt động ở tốc độ
cao hơn so với cách truy nhập khoảng cách xa.
 VPN cung cấp khả năng truy nhập tốt hơn đến các site của công ty bởi vì chúng
hỗ trợ mức thấp nhất của dịch vụ kết nối.
Mặc dù có các ưu điểm nhưng mang VPN truy nhập từ xa vẫn còn những nhược điểm
sau:
 VPN truy nhập từ xa không hỗ trợ các dich vụ đậm bảo QoS.

Page 21


Tiểu luận chuyên đề MPLS-VPN
 Nguy cơ bị mất dữ liệu cao do các gói có thể phân phát không đến nơi hoặc bị

mất.
 Do thuật toán mã hòa phức tạp nên tiêu đề giao thức tang một cách đáng kể.

b)VPN Site to Site.
Là giải pháp kết nối các hệ thống mạng ở những nơi khác nhau với mạng trung
tâm thông qua VPN. Trong trường hợp này, quá trình xác thực ban đầu cho người sự
dụng sẽ là quá trình xác thực giữa các thiết bị. Các thiết bị này hoạt động như cổng an
ninh (Security Gateway), truyền lưu lượng an toàn từ Site này tới Site kia. Các thiết bị
định tuyến hay tường lửa hỗ trợ VPN đều có khả năng thực hiện kết nối này. Hiện nay
nhiều thiết bị VPN có khả năng hoạt động theo hai cách remote access VPN và Site to
Site VPN. Site to site VPN được phân loại theo quản lý chính sách là VPN cục bộ hay
mở rộng. Nếu hạ tầng mạng có chung một nguồn quản lý thì được xem như là VPN
cục bộ. Ngược lại được coi là VPN mở rộng.
VPN cục bộ: Là một dạng cấu hình tiêu biểu cùa Site to Site VPN, được sử dụng để
bảo mật các kết nối giữa các địa điểm khác nhau của một công ty. Nó liên kết trụ sở
chính, các văn phòng, chi nhánh trên một cơ sở hạ tầng chung, các kết nối sử dụng
luôn được mã hóa bảo mật. Do đó cho phép tất cả các địa điểm có thể truy nhập an
toàn các nguồn dữ liệu được phép trong toàn nội bộ mạng của công ty.

Page 22


Tiểu luận chuyên đề MPLS-VPN

Hình 2.2: Mô hình VPN cục bộ.
Những ưu điểm của phương pháp VPN cục bộ:
 Các mạng cục bộ hay diện rộng có thể được thiết lập thông qua một hay nhiều
nhà cung cấp dịch vụ.
 Yêu cầu ít số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi xa.
 Có thể dễ dàng thiết lập them một liên kết ngang hàng mới, do kết nối trung

gian được thực hiện thông qua mạng internet.
 Tiết kiểm chi phí từ việc sử dụng đường hầm VPN thông qua internet kết hợp
với công nghệ chuyển mạch tốt độ cao.
Nhược điểm của giải pháp mạng cục bộ dựa trên VPN:
 Do dữ liệu được truyền “ngầm” qua mạng internet nên vẫn còn những môi đe
dọa về mức độ bảo mật dữ liệu và chất lượng dịch vụ (QoS).
 Khả năng mất các gói dữ liệu khi truyền dẫn vẫn còn cao.
 Chưa đảm bảo trong việc truyền khối lượng lớn dữ liệu như đa phương tiện với
yêu cầu tốc độ cao và đảm bảo thời gian thực trong môi trường Internet.

Page 23


Tiểu luận chuyên đề MPLS-VPN
VPN mở rộng: VPN mở rộng cung cấp đường hầm bảo mật giữa các khách hàng, nhà
cung cấp và đối tác thông qua một cơ sở hạ tầng công cộng. Giải pháp VPN này sử
dụng các kết nối luôn được bảo mật và không bị co lập với mạng bên ngoài như các
trường hợp VPN cục bộ hay Remote access VPN. VPN mở rộng cung cấp khả năng
điều khiển truy nhập tới những nguồn tài nguyên mạng cần thiết để mở rộng tới những
đối tượng kinh doanh.

Hình 2.3: Mô hình VPN mở rộng
Những ưu điểm của VPN mở rộng:
 Chi phí cho VPN mở rộng thấp hơn nhiều so với các giải pháp kết nối khác để
đạt được mục đích như vậy.
 Dễ dàng thiết lập, bảo trì và thay đổi đối với mạng đang hoạt động.
 Có nhiều cơ hội trong việc cung cấp dịch vụ và chọn lựa giải pháp phù hợp với
nhu cầu của từng công ty do VPN mở rộng được xây dựng dựa trên mạng
Internet.
 Giảm chi phí vận hành, bảo trì và số lượng nhân viên kỹ thuật hỗ trợ mạng do

các kết nối Internet được nhà cung cấp dịch vụ internet đạm nhiệm.

Page 24


Tiểu luận chuyên đề MPLS-VPN
Nhược điểm của giải pháp VPN mở rộng:
 Vấn đề bảo mật gặp khó khăn hơn trong môi trường mở rộng, từ đó làm tang
nguy cơ rủi ro đối với mạng nội bộ của công ty.
 Khả năng mất dữ liệu khi truyền qua mạng công cộng vẫn còn.
 Chưa giải quyết được vấn khó khan khi truyền lượng lớn dữ liệu với yêu cầu
tốc độ cao va thời gian thực
2.VPN cho các nhà cung cấp dịch vụ:
a)Overlay VPN.
Là VPN được cấu hình trên các thiết bị của khách hàng sử dụng các giao thức
đường hầm xuyên qua mạng công cộng. Nhà cung cấp dịch vụ sẽ bán các mạch ảo giữa
các site của khách hàng như là đường kết nối leased line. Mô hình overlay VPN ra đời
từ rất sớm và được triển khai dưới nhiều công nghệ khác nhau. Ban đầu Overlay VPN
được thực thi bởi SP để cung cấp các kết nối lớp1 (physicallayer) như Ghép kênh phân
chia theo thời gian (TDM), E1, E3,SONET, và đường kết nối SDH, hay mạch chuyển
vận lớp 2 (dữ liệu dạngframe hoặc cell) giữa các site khách hàng bằng cách sử dụng
các thiết bị Frame Relay hay ATM switch làm PE (ví dụ lớp 2 là kênh ảo được tạo bởi
X.25, ATM hoặc Frame Relay). Do đó nhà cung cấp dịch vụ không thể nhận biết được
việc định tuyến ở phía khách hàng.
Cho đến những năm 1990, Frame Relay được giới thiệu. Frame Relay được xem
như là một công nghệ VPN vì nó đáp ứng kết nối cho khách hàng như dịch vụ leased
line, chỉ khác ở chỗ là khách hàng không được cung cấp các đường dành riêng cho mỗi
khách hàng, mà khách hàng sử dụng một đường chung nhưng được chỉ định các mạch
ảo. Các mạch ảo này sẽ đảm bảo lưu lượng cho mỗi khách hàng là riêng biệt. Mạch ảo
được gọi là PVC (Permanent Virtual Circuit) hay SVC (Switched Virtual Circuit).

Cung cấp mạch ảo cho khách hàng nghĩa là nhà cung cấp dịch vụ đã xây dựng một

Page 25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×