đại học quốc gia hà nội
đại học công nghệ
Tr-ơng Hoài Nam
Nghiên cứu công nghệ mạng riêng ảo vpn/mpls và
triển khai ứng dụng tại
ngân hàng nhà n-ớc việt nam
luận văn thạc sỹ
Hà Nội - 2006
đại học quốc gia hà nội
đại học công nghệ
Tr-ơng Hoài Nam
Nghiên cứu công nghệ mạng riêng ảo vpn/mpls và
triển khai ứng dụng tại
ngân hàng nhà n-ớc việt nam
Ngành
: Công nghệ Điện tử Viễn thông
Chuyên Ngành : Kỹ thuật vô tuyến điện tử và thông tin liên lạc
Mã Số
: 2. 07. 00
luận văn thạc sỹ
Ng-ời h-ớng dẫn khoa học: psg. Ts. Nguyễn viết kính
Hà Nội - 2006
MỤC LỤC
MỤC LỤC...................................................................................................................................... 3
Danh mục các ký hiệu, các chữ viết tắt .................................................................. 5
Danh mục các hình vẽ .............................................................................................. 8
MỞ ĐẦU ...................................................................................................................................... 10
CHƢƠNG 1 TỔNG QUAN VỀ CÔNG NGHỆ MẠNG RIÊNG ẢO VPNERROR! BOOKMARK NOT DEFINED
1.1 Giới thiệu về VPN ............................................ Error! Bookmark not defined.
1.2 Các loại mạng VPN ......................................... Error! Bookmark not defined.
1.2.1 VPN truy cập từ xa (Remote access VPN) Error! Bookmark not defined.
1.2.2 Intranet VPN .............................................. Error! Bookmark not defined.
1.2.3 Extranet VPN ............................................. Error! Bookmark not defined.
1.3 Các thành phần trong mạng VPN .................... Error! Bookmark not defined.
1.4 Các giao thức tạo đường hầm trong VPN ........ Error! Bookmark not defined.
1.4.1 Giao thức PPTP (Point-To-Point Tunning Protocol) Error! Bookmark not
defined.
1.4.2 Giao thức L2TP (Layer 2 Tunneling Protocol) ........ Error! Bookmark not
defined.
1.4.3 Giao thức IPSec (IP Security Protocol) ..... Error! Bookmark not defined.
1.4.4 SSL VPN (Secure Socket Layer VPN) ..... Error! Bookmark not defined.
CHƢƠNG 2 BẢO MẬT TRONG VPN ............................ ERROR! BOOKMARK NOT DEFINED.
2.1 Các dịch vụ bảo mật ......................................... Error! Bookmark not defined.
2.1.1 Xác thực ..................................................... Error! Bookmark not defined.
2.1.2 Chữ ký điện tử ........................................... Error! Bookmark not defined.
2.1.3 Kiểm soát truy cập ..................................... Error! Bookmark not defined.
2.1.4 Tính bí mật dữ liệu .................................... Error! Bookmark not defined.
2.1.5 Tính toàn vẹn dữ liệu ................................. Error! Bookmark not defined.
2.2 Bảo mật trong giao thức PPTP ......................... Error! Bookmark not defined.
2.3 Bảo mật trong giao thức L2TP ......................... Error! Bookmark not defined.
2.4 Bảo mật trong giao thức IPSec......................... Error! Bookmark not defined.
2.4.1 Bảo mật trong AH...................................... Error! Bookmark not defined.
2.4.1.1 Thuật toán băm MD5 ................... Error! Bookmark not defined.
2.4.1.2 Thuật toán SHA1 ......................... Error! Bookmark not defined.
2.4.1.3 Thuật toán HMAC ....................... Error! Bookmark not defined.
2.4.2 Bảo mật trong ESP .................................... Error! Bookmark not defined.
2.4.3 Quản lý và trao đổi khoá............................ Error! Bookmark not defined.
CHƢƠNG 3 CÔNG NGHỆ CHUYỂN MẠCH NHÃN ĐA GIAO THỨC MPLSERROR! BOOKMARK NOT D
3.1 Giới thiệu về công nghệ MPLS ........................ Error! Bookmark not defined.
3.2 Chuẩn hoá MPLS ............................................. Error! Bookmark not defined.
3.3 Các thành phần, khái niệm trong MPLS .......... Error! Bookmark not defined.
3.4 Các chế độ hoạt động của MPLS ..................... Error! Bookmark not defined.
3.4.1 Chế độ hoạt động khung ............................ Error! Bookmark not defined.
3.4.2 Chế độ hoạt động tế bào ............................ Error! Bookmark not defined.
3.5 Các giao thức sử dụng trong mạng MPLS ....... Error! Bookmark not defined.
3.5.1 Giao thức phân phối nhãn LDP ................. Error! Bookmark not defined.
3.5.1.1 Các tính chất cơ bản của LDP ..... Error! Bookmark not defined.
3.5.1.2 Phát hiện LSR lân cận ................. Error! Bookmark not defined.
3.5.1.3 Các bản tin LDP ......................... Error! Bookmark not defined.
3.5.2 Giao thức định tuyến cưỡng bức CR-LDP Error! Bookmark not defined.
3.5.2.1 Khái niệm định tuyến cưỡng bức Error! Bookmark not defined.
3.5.2.2 Các phần tử định tuyến cưỡng bứcError! Bookmark not defined.
3.5.3 Giao thức báo hiệu RSVP .......................... Error! Bookmark not defined.
CHƢƠNG 4 ỨNG DỤNG MẠNG RIÊNG ẢO VPN TRÊN MẠNG MPLSERROR! BOOKMARK NOT DEFINE
4.1 Mô hình chồng lấn ........................................... Error! Bookmark not defined.
4.2 Mô hình ngang hàng......................................... Error! Bookmark not defined.
4.3 Các bộ định tuyến ảo trong MPLS VPN .......... Error! Bookmark not defined.
4.4 Kiến trúc MPLS VPN ...................................... Error! Bookmark not defined.
4.4.1 Gửi chuyển tiếp trong MPLS VPN............ Error! Bookmark not defined.
4.4.2 Nhận biết động bộ định tuyến lân cận trong MPLS VPNError! Bookmark
not defined.
4.4.3 DiffSer trong MPLS VPN ......................... Error! Bookmark not defined.
4.5 Vấn đề bảo mật trong MPLS VPN................... Error! Bookmark not defined.
4.5.1 Bảo mật định tuyến .................................... Error! Bookmark not defined.
4.5.2 Bảo mật dữ liệu .......................................... Error! Bookmark not defined.
4.5.3 Bảo mật mạng vật lý .................................. Error! Bookmark not defined.
4.6 Chất lượng dịch vụ trong MPLS VPN ............. Error! Bookmark not defined.
4.6.1 Mô hình “ống” hỗ trợ QoS ........................ Error! Bookmark not defined.
4.6.2 Mô hình “vòi” hỗ trợ QoS ......................... Error! Bookmark not defined.
4.6.3 Các tham số chất lượng ............................. Error! Bookmark not defined.
CHƢƠNG 5 TRIỂN KHAI VPN/MPLS THỰC TẾ ....... ERROR! BOOKMARK NOT DEFINED.
5.1 So sánh IPSec và MPLS .................................... Error! Bookmark not defined.
5.1.1 Vai trò của MPLS ...................................... Error! Bookmark not defined.
5.1.2 Vai trò của IPSec ....................................... Error! Bookmark not defined.
5.1.3 Tích hợp VPN IPSec và VPN MPLS ...... Error! Bookmark not defined.
5.2 Triển khai ứng dụng VPN tại Ngân hàng Nhà nước Việt Nam ................. Error!
Bookmark not defined.
5.2.1 Giải pháp VPN của Nokia Checkpoint .................................................... 104
5.2.2 Giải pháp VPN của Cisco ........................................................................ 109
5.2.3 Giải pháp VPN của Microsoft ................................................................. 110
KẾT LUẬN ................................................................... ERROR! BOOKMARK NOT DEFINED.
TÀI LIỆU THAM KHẢO .......................................................................................................... 12
Danh mục các ký hiệu, các chữ viết tắt
Viết tắt
AH
ATM
AS
BGP
CE
CHAP
CoS
Tiếng Anh
Tiếng Việt
Authentication Header
Xác thực tiêu đề
Asynchronous Transfer Mode
Phương thức truyền dẫn không
đồng bộ
Autonomous System
Hệ thống tự trị
Border Gateway Protocol
Giao thức biên
Customer Edge
Bộ định tuyến biên khách hàng
Challenge Handshake
Authentication Protocol
Giao thức xác thực bắt tay theo
yêu cầu
Class of Service
Lớp dịch vụ
CR-LDP Constraint Routing - LDP
Giao thức định tuyến cưỡng bức
CSPF
Constraint base Shortest Path First
Định tuyến cưỡng bức chọn đường
ngắn nhất
DES
Data Encryption Standard
Chuẩn mã hoá dữ liệu
DLCI
Data Link Connection Identifier
Nhận dạng kết nối liên kết dữ liệu
trong Frame Relay
ESP
Encapsulating Security Payload
Phương thức đóng gói bảo mật tải tin
FEC
Forwarding equivalence class
Nhóm chuyển tiếp tương đương
FIB
Forward Information Base
Cơ sở dữ liệu chuyển tiếp
FR
Frame Relay
Chuyển tiếp khung
IETF
Internet Engineering Task Force
Tổ chức chuyên trách về kỹ thuật
Internet
IGP
Interior Gateway Protocol
Giao thức định tuyến, giao thức
thông dụng nhất là RIP và OSPF
IKE
Internet Key Exchange
Phương thức trao đổi khoá Internet
Internet Protocol Security
Giao thức IP bảo mật
ISO
International Organization for
Standardization
Tổ chức quốc tế về tiêu chuẩn hoá
ISP
Internet Service Provider
Nhà cung cấp dịch vụ
L2TP
Layer 2 Tunnel Protocol
Giao thức đường hầm lớp 2
LAN
Local Area Network
Mạng nội bộ
LDP
Label Distribution Protocol
Giao thức phân phối nhãn
LER
Label Edge Router
Router chuyển mạch nhãn biên
LFIB
Label Forwarding Information Base Cơ sở dữ liệu nhãn chuyển tiếp
LIB
Label Information Base
Cơ sở dữ liệu nhãn
LSP
Label Switched Path
Đường chuyển mạch nhãn
LSR
Label Switching Router
Router chuyển mạch nhãn
MD5
Message-Digest Algorithm
Thuật toán mã hoá MD5
MPLS
Multiprotocol Label Switching
Chuyển mạch nhãn đa giao thức
MPPE
Microsoft Point to Point Encryption
Phương thức mật mã hoá điểm
điểm của Microsoft
NAS
Network Access Server
Máy phục vụ truy cập mạng
NAT
Network Address Traslation
Chuyển đổi địa chỉ mạng
OSPF
Open Shortest Path First
Giao thức tìm đường ngắn nhất
PAP
Password Authentication Protocol
Giao thức xác thực mật khẩu
PE
Provider Edge Router
Bộ định tuyến biên nhà cung cấp
PPP
Point to Point Protocol
Giao thức điểm điểm
PNA
Private Network Administrator
Nhà quản trị mạng riêng
IPSec
Giao thức đường hầm điểm điểm
PPTP
Point-to-Point Tunneling Protocol
PSTN
Public Switched Telephone Network Mạng điện thoại công cộng
Quality of Service
Chất lượng dịch vụ
Remote Authentication Dial – In
User Serviece
Dịch vụ xác thực người dùng
quay số từ xa
RAS
Remote Access Server
Máy chủ truy cập từ xa
RIP
Routing Information Protocol
Giao thức thông tin định tuyến - giao
thức định tuyến distance- vector
RSVP
Resource Reservation Protocol
Giao thức dành riêng tài nguyên
SHA
Secure Hash Algorithm
Thuật toán băm bảo mật
SPED
Service Provider Edge Device
Thiết bị biên nhà cung cấp dịch vụ
Terminal Access Controller Access
Control System
Hệ thống điều khiển truy cập bộ
điều khiển truy cập đầu cuối
TOS
Tunnel Origination Server
Máy nguồn đường hầm
VC
Vitual Circuit
Mạch ảo
Virtual Private Network
Mạng riêng ảo
VPNID
VPN Identifier
Giá trị định danh mạng VPN
VR
Vitual Router
Bộ định tuyến ảo
QoS
RADIUS
TACACS
VPN
Danh mục các hình vẽ
Hình 1.1 - Mạng riêng ảo VPN
Hình 1.2 – VPN truy cập từ xa
Hình 1.3 - Mô hình Remote Access VPN, Intranet và Extranet VPN
Hình 1.4 - Mô hình đường hầm Tunnel
Hình 1.5 - Kết nối PPP giữa máy khách và máy phục vụ truy cập mạng
Hình 1.6 - Kiến trúc của PPTP
Hình 1.7 - Kết nối điều khiển PPTP tới máy phục vụ PPTP qua PPP
Hình 1.8 - Đường hầm chủ động
Hình 1.9 - Đường hầm thụ động
Hình 1.10 - Quá trình chuyển gói tin đã được mã hoá qua đường hầm PPTP
Hình 1.11 - Kiến trúc của L2TP
Hình 1.12 - Quá trình chuyển gói tin qua đường hầm L2TP
Hình 1.13 - Kiến trúc của IPSec
Hình 2.1 - Máy chủ xác thực cấp quyền truy cập từ xa
Hình 2.2 - Chữ ký điện tử
Hình 2.3 - Chữ ký RSA
Hình 2.4 - Thuật toán băm
Hình 2.5 - Mã hoá theo chuỗi các khối liên tục (CBC)
Hình 2.6 - Trao đổi khoá Diffie Hellman
Hình 3.1- Các định dạng nhãn
Hình 3.2 - Mạng MPLS trong chế độ hoạt động khung.
Hình 3.3 - Cấu trúc của LSR biên
Hình 3.4 - Nhãn MPLS trong khung lớp 2
Hình 3.5 - Phân bổ nhãn trong mạng ATM-MPLS
Hình 3.6 - Trao đổi thông tin giữa các LSR cận kề
Hình 3.7 - Cơ chế thiết lập kênh ảo điều khiển MPLS
Hình 3.8 - Ví dụ về CSPF
Hình 3.9 - Các bản tin PATH, RESV
Hình 3.10 - Nhãn phân phối trong bảng tin RESV
Hình 4.1 - Mô hình chồng lấn
Hinh 4.2 - Mô hình ngang hàng
Hình 4.3 - Kiến trúc mạng MPLS VPN
Hình 4.4 - Dán nhãn tại bộ định tuyến PE
Hình 4.5 - Sử dụng tập nhãn hai mức.
Hình 4.6 - Miền định tuyến vật lý
Hình 4.7 - Miền định tuyến ảo
Hình 4.8 - Mô hình ống QoS
Hình 4.9 - Mô hình vòi QoS
Hình 5.1 - Vị trí của IPSec và MPLS
Hình 5.2 - Tích hợp IPSec và MPLS
Hình 5.3 - Thiết lập IPSec VPN giữa 2 Site với giải pháp Nokia Checkpoint
Hình 5.4 - Mô hình triển khai VPN của giải pháp Cisco
Hình 5.5 - Thiết lập VPN của giải pháp Microsoft
Hình 5.6 - Một số đặc tính của VPN PPTP được tạo ra
MỞ ĐẦU
Ngày nay, sự phát triển nhanh chóng của các công nghệ viễn thông tiên tiến như
ISDN, ATM, ASDL và đặc biệt là Internet trong các năm qua đã kéo theo sự phát triển
hàng loạt các dịch vụ mới đáp ứng các nhu cầu đa dạng của việc ứng dụng công nghệ
thông tin. Một trong các loại dịch vụ đó là công nghệ mạng riêng ảo – VPN (Virtual
Private Network).
Theo IETF, VPN là mạng diện rộng sử dụng các thiết bị, phương tiện truyền
thông của mạng công cộng cùng với các chức năng bảo mật như tạo đường hầm (tunnel),
mật mã hoá dữ liệu (encryption), xác thực (authentication) với mục đích đạt được tính
bảo mật như một mạng được thiết lập dùng riêng.
Trong xu hướng toàn cầu hoá, đặc biệt Việt Nam đã ra nhập Tổ chức thương mại thế
giới WTO, sẽ kéo theo sự phát triển của các công ty xuyên quốc gia, các chi nhánh hoặc các
văn phòng đại diện của các công ty lớn không phụ thuộc vào vị trí địa lý; nhu cầu truy cập từ
xa (làm việc tại nhà); xu hướng hội nhập và mở rộng dẫn đến sự phát triển của dịch vụ VPN
là tất yếu, là sự kết hợp hoàn hảo giữa Internet và các mạng dùng riêng.
Xã hội ngày càng phát triển, nhu cầu sử dụng các dịch vụ tác nghiệp trực tuyến
ngày càng cao, sự phát triển mạnh mẽ của nhiều nhà cung cấp dịch vụ với hệ thống kiến
trúc mạng khác nhau cùng các trang thiết bị, sản phẩm viễn thông đa dạng đã tạo ra
những thách thức, rào cản lớn đối với mạng dùng riêng trong việc kết nối các mạng này
với nhau, VPN chính là một giải pháp thích hợp trong trường hợp này.
Hơn nữa, chi phí cho việc thiết lập và quản trị một mạng diện rộng là rất lớn, trong
khi đó sử dụng VPN vừa tiết kiệm mà vẫn bảo đảm được tính an toàn và bảo mật, điều
này đặc biệt có ý nghĩa đối với các công ty lớn có chi nhánh ở các Tỉnh, Thành phố hay
các Quốc gia khác nhau.
Hai công nghệ nổi trội hơn cả để ứng dụng tạo ra các VPN đó là MPLS và IPSec.
Mỗi kỹ thuật có giá trị và vị trí riêng trong hệ thống mạng. VPN MPLS triển khai rất tốt
trong vùng lõi (core) của mạng các nhà cung cấp dịch vụ. Trong khi VPN IPSec rất phù
hợp với cấu hình bảo mật end-to-end. Việc thực thi mô hình mạng bao gồm cả VPN
MPLS và IPSec sẽ đem lại hiệu quả lợi ích tốt nhất.
Công nghệ MPLS cung cấp các công cụ cải thiện kỹ thuật lƣu lƣợng mạng IP
cho phép nhà cung cấp dịch vụ dễ dàng đo đạc, giám sát và đáp ứng các mức dịch
vụ khác nhau. MPLS đem đến nhiều ƣu điểm, tận dụng sự thông minh của bộ định
tuyến và tốc độ chuyển mạch, cung cấp phƣơng thức ánh xạ gói tin IP vào kết nối có
hƣớng nhƣ ATM hoặc FR. Nó cũng cung cấp cơ chế định nghĩa QoS trong tiêu đề
MPLS. MPLS sử dụng thông tin định tuyến lớp 3 để thiết lập bảng định tuyến và
định rõ tài nguyên, đồng thời sử dụng các giao thức lớp 2 (FR, ATM) để chuyển
mạch hoặc định hƣớng thông tin trên đƣờng dẫn tƣơng ứng. MPLS đƣợc coi là công
nghệ mạng tân tiến giải quyết đƣợc nhiều nhƣợc điểm của mạng IP, ATM. Vì thế
công nghệ MPLS là một trong những lựa chọn phù hợp cho mạng thế hệ sau NGN.
Vì những lý do trên, đề tài tập trung nghiên cứu các công nghệ mạng riêng ảo
VPN trên nền mạng công cộng như IPSec, MPLS…, đồng thời phân tích, thiết kế các
mô hình, kiến trúc mạng VPN/MPLS và đưa ra các cơ sở khoa học để ứng dụng triển
khai tại Ngân hàng Nhà nước Việt Nam. Nội dung luận văn được trình bày trong 5
chương:
Chƣơng 1: Trình bày tổng quan về mạng riêng ảo, những kiến thức cơ bản về các
thành phần trên mạng riêng ảo, các loại mạng riêng ảo và các giao thức.
Chƣơng 2: Nghiên cứu các cơ chế an ninh, bảo mật được sử dụng trong mạng
VPN: xác thức, mã hoá, chữ ký điện tử, tạo đường hầm, tiếp theo sẽ tìm hiểu các thuật
toán MD5, SHA, HMAC, Diffie Hellman …
Chƣơng 3: Đề cập đến công nghệ chuyển mạch nhãn đa giao thức MPLS, trong
đó đi sâu nghiên cứu cơ chế hoạt động của MPLS, các giao thức phân phối nhãn LDP,
giao thức định tuyến cưỡng bức CR LDP, giao thức báo hiệu RSVP…
Chƣơng 4: Trên cơ sở chương 3, sẽ triển khai ứng dụng mạng riêng ảo trên nền
MPLS: mô hình mạng ngang hàng, mô hình mạng chồng lấn, kiến trúc MPLS/VPN, sau
đó sẽ trình bày vấn đề bảo mật và chất lượng dịch vụ trong MPLS/VPN với mô hình
“ống”, mô hình “vòi”.
Chƣơng 5: Triển khai MPLS/VPN trong thực tế, so sánh hai công nghệ mạng
riêng ảo IPSec và MPLS, trên cơ sở đó triển khai ứng dụng mạng riêng ảo VPN tại
Ngân hàng Nhà nước Việt Nam với ba giải pháp của Nokia Checkpoint, Cisco và
Microsoft.
TÀI LIỆU THAM KHẢO
[1] - Brian Williams, Quality of Service Differentiated Services and Multiprotocol Label
Switching, White paper, Ericsson, Australia 2000.
[2] - Cisco Systems, Overview of Virtual Private Networks and IPSec Technologies.
[3] – Cisco VPN solution, www.cisco.com/go/vpn
[4] - Christopher Y.Metz, IP Switching Protocol and Architectures, McGraw-Hill,
NewYork 1998
[5] - Dave Kosiur - Building and Managing Virtual Private Network, USA, 1998
[6] - Harkins, D. and Carrel, D. (1998), “The Internet Key Exchange”, RFC 2409,
November 1998.
[7] - IETF Working Group, RFCxxxx />[7a] - IETF RFC 2637 “Point – to – Point Tunneling Protocol (PPTP)”
[7b] - IETF RFC 1701 “Generic Routing Encapsulation (GRE)”
[7c] - IETF RFC 2661 “Layer Two Tunneling Protocol (L2TP)"
[7d] - IETF RFC 2409 “ The Internet Key Exchange (IKE)”
[8] – International Business Machines Corporation - Using IPSec to Construct Secure
Virtual Private Networks, 1998
[9] - Ivan Pepelnjak and Jim Guichard, MPLS and VPN Architectures - A pratical guide
to understanding, designing and deploying MPLS and MPLS-VPN enabled VPNs, Cisco
Systems, IN-USA, 2001.
[10] - Paul Brittain, Adrian Farrel, MPLS Traffic Engineering: a choice of signalling
protocols, Data connection Ltd., UK 2000.
[11] - Peter Gutmann - Encryption and Security Tutorial, University of Auckland
[12] - R.C.Streijl - Analysis of Managed Virtual Private Network, 2000
[13] - RSA Security Inc - A Guide to Security Technologies, www.rsasecurity.com
[14] - Tổng hợp các tài liệu từ Internet.
[15] - Xipeng Xiao, Aln Hannan, Brook Bailey and Lionel M.Ni, Traffic Engineering
with MPLS in the Internet.