Tải bản đầy đủ (.pdf) (67 trang)
  1. Trang chủ
    2. >>
  2. Kỹ Thuật - Công Nghệ
    3. >>
  3. Kĩ thuật Viễn thông

Giải pháp mạng riêng ảo MPLS – VPN và ứng dụng trong hệ thống hạ tầng truyền thông ngành tài chính (Luận văn thạc sĩ)

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.47 MB, 67 trang )

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
---------------------------------------

Nguyễn Đình Thắng

GIẢI PHÁP MẠNG RIÊNG ẢO MPLS-VPN VÀ
ỨNG DỤNG TRONG HỆ THỐNG HẠ TẦNG TRUYỀN
THÔNG NGÀNH TÀI CHÍNH
8

LUẬN VĂN THẠC SĨ KỸ THUẬT
(Theo định hướng ứng dụng)

HÀ NỘI - 2018


2

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
---------------------------------------

Nguyễn Đình Thắng

GIẢI PHÁP MẠNG RIÊNG ẢO MPLS-VPN VÀ
ỨNG DỤNG TRONG HỆ THỐNG HẠ TẦNG TRUYỀN
THÔNG NGÀNH TÀI CHÍNH
CHUYÊN NGÀNH :

KỸ THUẬT VIỄN THÔNG

MÃ SỐ:



852.02.08 8

LUẬN VĂN THẠC SĨ KỸ THUẬT

NGƯỜI HƯỚNG DẪN KHOA HỌC
PGS TS. ĐẶNG HOÀI BẮC

HÀ NỘI - 2018


i

LỜI CAM ĐOAN
Tôi xin cam đoan đây là công trình nghiên cứu của riêng tôi với sự hƣớng dẫn
khoa học của thầy giáo PGS.TS Đặng Hoài Bắc.
Các số liệu, kết quả nêu trong luận văn là hoàn toàn trung thực, và chƣa từng
đƣợc ai công bố trong bất cứ tài liệu nào khác .
Tác giả luận văn

NGUYỄN ĐÌNH THẮNG


ii

LỜI CẢM ƠN
Em xin chân thành cảm ơn thầy Đặng Hoài Bắc đã hƣớng dẫn, nhiệt tình
giúp đỡ, tạo điều kiện tốt nhất cho em thực hiện đề tài. Thầy đã hƣớng dẫn, cung
cấp tài liệu và giải đáp các thắc mắc, chỉ ra những sai sót của em trong suốt thời
gian thực hiện.

Em cũng xin chân thành gửi lời cảm ơn đến tất cả những thầy cô khoa Sau
Đại học, Khoa Viễn thông – Học viên Công nghệ Bƣu chính Viễn thông đã chỉ bảo,
giảng dạy và đóng góp ý kiến cho em trong suốt quá trình học tập và thực hiện đề
tài.
Do phạm vi đề tài, phạm vi kiến thức lớn, thời gian thực hiện có hạn, ngoài
ra còn bận các công việc cơ quan, gia đình nên không tránh khỏi những thiếu sót.
Kính mong các thầy cô và Hội đồng góp ý, chỉ bảo và thông cảm cho em.
Em xin chân thành cảm ơn !
Hà nội, ngày 09 tháng 11 năm 2017
Học viên

Nguyễn Đình Thắng


iii

MỤC LỤC
LỜI CAM ĐOAN ....................................................................................................... i
LỜI CẢM ƠN ............................................................................................................ ii
MỤC LỤC ................................................................................................................. iii
DANH MỤC TỪ VIẾT TẮT .................................................................................... iv
DANH MỤC HÌNH VẼ ........................................................................................... vii
MỞ ĐẦU .....................................................................................................................1
CHƢƠNG 1 – TỔNG QUAN VỀ CÔNG NGHỆ MẠNG RIÊNG ẢO VPN............3
1.1.
Giới thiệu về công nghệ mạng riêng ảo .........................................................3
1.2.
Khái niệm VPN ..............................................................................................3
1.3.
Mô hình VPN .................................................................................................4

1.4.
Khái niệm đƣờng hầm ....................................................................................4
1.5.
Lợi ích VPN mang lại ....................................................................................5
1.6.
Các loại VPN .................................................................................................6
1.6.1. Truy cập VPN (VPN Remote Access) ........................................................... 6
1.6.2. Site – To – Site VPN ...................................................................................... 7
1.7.
VPN và các vấn đề an toàn bảo mật trên Internet ........................................12
1.8.
Kết luận - Đánh giá ......................................................................................13
CHƢƠNG 2 – MẠNG RIÊNG ẢO TRÊN NỀN CÔNG NGHỆ MPLS .................14
2.1.
2.1.1.
2.1.2.
2.1.3.
2.2.
2.2.1.
2.2.2.
2.2.3.
2.2.4.
2.3.
2.3.1.
2.3.2.
2.3.3.
2.4.
2.5.

Nguyên nhân ra đời của công nghệ MPLS VPN .........................................14

Tính khả chuyển ........................................................................................... 14
Điều khiển lƣu lƣợng ................................................................................... 15
Chất lƣợng dịch vụ (QoS) ............................................................................ 15
Chuyển mạch nhãn đa giao thức ..................................................................16
Khái niệm ..................................................................................................... 16
Đặc điểm mạng MPLS ................................................................................. 17
Cấu trúc mạng MPLS ................................................................................... 17
Phƣơng thức hoạt động của công nghệ MPLS............................................. 23
Công nghệ MPLS VPN ................................................................................26
VPN truyền thống ........................................................................................ 27
MPLS VPN .................................................................................................. 29
Các thành phần chính của kiến trúc MPLS – VPN...................................... 29
Mô hình mạng MPLS VPN ..........................................................................33
Kết luận ........................................................................................................33


iv

CHƢƠNG 3 – ỨNG DỤNG MPLS VPN VÀO HẠ TẦNG TRUYỀN THÔNG
NGÀNH TÀI CHÍNH ...............................................................................................35
3.1.
Bối cảnh chung.............................................................................................35
3.2.
Đánh giá ƣu nhƣợc điểm của hệ thống cơ sở hạ tầng hiện tại .....................35
3.2.1 Mô hình kết nối WAN và những vấn đề nảy sinh ....................................... 35
3.2.2 Mô hình kết nối Internet và những vẫn đề nảy sinh .................................... 37
3.3.
Giải pháp MPLS VPN trong việc cung cấp dịch vụ VPN ngành tài chính .38
3.3.1 Đề xuất cải tiến để đảm bảo tính dự phòng và an ninh cho hệ thống .......... 38
3.3.2 Giải pháp thiết kế hạ tầng truyền thông ngành Tài chính ........................... 40

3.3.3 Đánh giá về hệ thống đảm bảo an ninh ........................................................ 45
3.3.4 Triển khai MPLS VPN tại một số đơn vị quận/huyện ................................. 47
3.3.5 Kịch bản kiểm tra và đánh giá kết quả ......................................................... 51
3.4.
Kết luận ........................................................................................................54
Chƣơng 4 – KẾT LUẬN ...........................................................................................56

DANH MỤC TỪ VIẾT TẮT
Viết tắt
ASIC
ATM
AToM
BTC
BGP
CE
CEF
CoS
CQ
CR
DiffServ
FEC
FTP
GRE
HDLC
IGP
IP
LAN
LDP
LFIB


Tiếng Anh
Application Specific Intergrated
Circuits
Asynchnorous Tranfer Mode
Any Transport over MPLS

Tiếng Việt
Mạch tích hợp chuyên dụng

Truyền dẫn không đồng bộ
Truyền tải qua MPLS
Bộ Tài chính
Border Gateway Protocol
Giao thức cổng biên
Custome Edge
Biên phía Khách hàng
Cisco Express Forwarding
Chuyển tiếp nhanh của Cisco
Class of Service
Cấp độ dịch vụ
Custom Queue
Hàng đợi tùy ý
Constraint-based routing
Định tuyến ràng buộc
Differentiated Services
Dịch vụ khác biệt
Forwarding Equivalency Class
Lớp chuyển tiếp tƣơng đƣơng
File Tranfer Protocol
Giao thức truyền file

Generic Routing Encapsulation
Đóng gói định tuyến chung
High Data Link Control
Điều khiển kết nối dữ liệu tốc
độ cao
Interior Gateway Protocol
Giao thức định tuyến trong
phạm vi miền
Internet Protocol
Giao thức Internet
Local Area Network
Mạng địa phƣơng
Label Distribution Protocol
Giao thức phân phối nhãn
Cơ sở thông tin chuyển tiếp
Label Forwarding Information Base
nhãn


v

LIB
LSP

Label Information Base
Label Switch Path

LSR

Label Switch Router


MAC

Media Access Control

MPLS
OSPF
PE
PPP
PQ
PVC
QoS
SLA
SP

Multiprotool Label Switching
Open Shortest Path First
Provider Edge
Point-to-Point Protocol
Priority Queue
Permanent Virtual Circuit
Quanlity of Service
Service Level Agreements
Service Provider

Bảng cơ sở dữ liệu nhãn
Tuyến chuyển mạch nhãn
Bộ định tuyến chuyển mạch
nhãn
Điều khiển truy nhập môi

trƣờng
Chuyển mạch nhãn đa giao thức
Giao thức OSPF
Biên nhà cung cấp
Giao thức điểm - điểm
Hàng đợi ƣu tiên
Mạch ảo cố định
Chất lƣợng dịch vụ
Thỏa thuận cấp độ dịch vụ
Nhà cung cấp


vi

SVC
TCP
TDP
TE
TTL
UDP
UNI
VC
VCI
VoATM
VoIP
VP
VPI
VPN

Switch Virtual Connection

Tranmission Control Protocol
Tag Distribution Protocol
Traffic Engineering
Time To Live
User Datagram Protocol
User-to-Network Interface
Virtual Channel
Virtual Channel Identifier
Voice over ATM
Voice over IP
Virtual Path
Virtual Packet Indentifier
Virtual Pravite network

Chuyển mạch kết nối ảo
Giao thức điều khiển truyền dẫn
Giao thức phân phối tag
Kỹ thuật điều khiển lƣu lƣợng
Thời gian sống
Giao thức UDP
Giao diện ngƣời dùng tới mạng
Kênh ảo
Định danh kênh ảo
Thoại qua ATM
Thoại qua IP
Tuyến ảo
Định danh gói ảo
Mạng riêng ảo



vii

DANH MỤC HÌNH VẼ
Hình 1.1: Mạng riêng ảo VPN [4] ...................................................................................4
Hình 1.2: Đƣờng hầm VPN [4] .......................................................................................4
Hình 1.3: Site – to – site VPN [4] ...................................................................................8
Hình 1.4: Thiết lập Intranet sử dụng WAN backbone [4] ...............................................9
Hình 1.5: Thiếp lập Intranet dựa trên VPN [4] .............................................................10
Hình 1.6: Hình Extranet VPN [4] ..................................................................................10
Hình 1.7: Thiết lập mạng Extranet theo truyền thống [4] .............................................11
Hình 1.8: Thiết lập Extranet [4] ....................................................................................12
Hình 2.1: Full mesh với 6 kết nối ảo [1] .......................................................................14
Hình 2.2: Một ví dụ về mạng IP dựa trên mạng lõi ATM [3] .......................................15
Hình 2.3: Cấu trúc nhãn [4] ...........................................................................................18
Hình 2.4: Nhãn kiểu khung [2] ......................................................................................18
Hình 2.5: Nhãn kiểu tế bào [2] ......................................................................................19
Hình 2.6: Ngăn xếp nhãn [2] .........................................................................................20
Hình 2.7: Mô hình tham chiếu OSI [4]..........................................................................21
Hình 2.8: Giao thức MPLS [4] ......................................................................................21
Hình 2.9: Cấu trúc một nút MPLS [1] ...........................................................................22
Hình 2.10: Cấu trúc cơ bản của một nút MPLS [1].......................................................24
Hình 2.11: Tổng hợp các FEC [3] .................................................................................26
Hình 2.12: Mô hình mã hóa thông thƣờng [3] ..............................................................29
Hình 2.13: Mô hình phân tách dựa vào VRF trong MPLS VPN [3] .............................29
Hình 2.14: Chức năng của VRF [1]...............................................................................30
Hình 2.15: Ví dụ về RD [6] ...........................................................................................31
Hình 2.16: Chức năng của router PE [6] .......................................................................33
Hình 3. 1: Mô hình Overlay layer -2 – VPN tại mạng trục [2] .....................................36
Hình 3. 2: Mô hình Peer – to – Peer VPN tại TTM, TTT [2] .......................................36
Hình 3. 3: Mô hình kết nối Internet Ngành tài chính [4]...............................................38

Hình 3. 4: Kiến trúc hệ thống truyền thông Ngành tài chính [4] ..................................38
Hình 3. 5: Sơ đồ kết nối mạng trục Ngành tài chính [4] ...............................................39
Hình 3. 6: Các kết nối WAN giữa hai Trung tâm miền [4] ...........................................40
Hình 3. 7: Sơ đồ hệ thống mạng phân bố từ TTM xuống các TTT [4] .........................40
Hình 3. 8: Cấu trúc mạng trục với WAN truyền thống là MPLS VPN [4] ...................41
Hình 3. 9: Mô hình kết nối sử dụng dịch vụ MPLS VPN [6] .......................................41
Hình 3. 10: Khả năng định tuyến gói tin trong MPLS VPN [4]....................................41
Hình 3. 11: Mô hình các vùng MPLS VPN sẽ thuê của nhà cung cấp dịch vụ [4] .......42
Hình 3. 12: Mô hình kết nối sử dụng IPSec VPN thông qua Internet [6] .....................42
Hình 3. 13: Lớp mạng trục Ngành tài chính [4] ............................................................43
Hình 3. 14: Kết nối từ TTT lên TTM [4] ......................................................................44
Hình 3. 15: Lớp mạng phân phối Ngành tài chính [4] ..................................................44
Hình 3. 16: Các phân lớp mạng [4] ...............................................................................45
Hình 3. 17: Kiến trúc bảo mật đề xuất [5] .....................................................................46
Hình 3. 18: Mã hóa đƣờng truyền Lease – line giữa TTM – TTT [4] ..........................47
Hình 3. 19: Cấu hình interface đƣờng VNPT KBNN Ba Đồn [4] ................................48
Hình 3. 20: Cấu hình đƣa interface vào mạng riêng ảo kbnn [4] ..................................48
Hình 3. 21: Kiểm tra kênh truyền trong mạng riêng ảo kbnn [4] .................................48
Hình 3. 22: Cấu hình interface đƣờng Viettel KBNN Ba Đồn [4] ...............................49


viii
Hình 3. 23: Cấu hình đƣa interface vào mạng riêng ảo kbnn [4] .................................49
Hình 3. 24: Kiểm tra kênh truyền trong mạng riêng ảo kbnn [4] .................................49
Hình 3. 25: Cấu hình interface đƣờng VNPT CCHQ Tèn Tắn [4] ..............................50
Hình 3. 26: Cấu hình đƣa interface vào mạng riêng ảo haiquan [4] ............................50
Hình 3. 27: Kiểm tra kênh truyền trong mạng riêng ảo haiquan [4] ............................50
Hình 3. 28: Kênh truyền KBNN Khánh Hòa - Chi cục thuế TX Cam Ranh [4] ...........52
Hình 3. 29: Băng thông kênh truyền KBNN Khánh Hòa -Chi cục thuế TX Cam Ranh
[4]...................................................................................................................................52

Hình 3. 30: Kênh truyền KBNN Lâm Đồng - Chi cục thuế TP Đà Lạt [4] ..................52
Hình 3. 31 Băng thông kênh truyền KBNN Lâm Đồng – Chi Cục thuế TP Đà Lạt [4]53
Hình 3. 32: Kênh truyền KBNN Bình Thuận – Cục thuế Bình Thuận [4]....................53
Hình 3. 33: Băng thông kênh truyền KBNN Bình Thuận – Cục thuế Bình Thuận [4] .53
Hình 3. 34: Kênh truyền KBNN Khánh Sơn – KBNN Khánh Hòa [4] ........................53
Hình 3. 35: Băng thông kênh truyền KBNN Khánh Sơn – KBNN Khánh Hòa [4]......54


1

MỞ ĐẦU
Thế kỷ 20 đƣợc coi là kỷ nguyên của rất nhiều phát minh quan trọng, thúc đẩy sự
phát triển của xã hội. Một trong số đó không thể không kể đến sự phát triển vƣợt bậc
của NGÀNH TÀI CHÍNH - Một trong những thành phần vô cùng quan trọng cho sự
phát triển của một quốc gia, đáp ứng nhu cầu tài chính huyết mạch của nền kinh tế.
Ngày nay, khi nhà nhà, ngƣời ngƣời, các cơ sở, các công ty, các tổ chức, doanh
nghiệp trong và ngoài nƣớc đều có kết nối mạng Internet, hay một công ty, tổ chức,
doanh nghiệp có nhiều trụ sở ở các vị trí địa lý khác nhau cần liên lạc thông tin nội bộ
với nhau, khi đó nảy sinh yêu cầu làm sao để kết nối lại tất cả với nhau, nhƣng đảm
bảo yếu tố phải là hệ thống mạng riêng, đảm bảo an toàn an ninh thông tin, bảo mật
thông tin…
Lúc này, khái niệm hệ thống mạng riêng ảo (Virtual private network – VPN) đã
hình thành. VPN là những hệ thống mạng đƣợc triển khai dựa trên quy tắc: vẫn áp
dụng tiêu chuẩn bảo mật, quản lý chất lƣợng dịch vụ trong một hệ thống mạng công
cộng vào hệ thống mạng riêng tƣ. VPN cung cấp cho chúng ta một sự lựa chọn mới:
Xây dựng một hệ thống mạng riêng tƣ cho các thông tin liên lạc kiểu site – to – site
trên hệ thống mạng công cộng hay Internet, bởi vì nó hoạt động trên một hệ thống
mạng chung thay vì một mạng riêng tƣ cá nhân nên các công ty, tổ chức, doanh nghiệp
có thể mở rộng hệ thống mạng riêng tƣ của mình một cách dễ dàng và hiệu quả, những
Khách hàng di động hay những văn phòng xa xôi, khách hàng, đối tác, hay nhân viên

có thể làm việc và kết nối đến hệ thống mạng nội bộ công ty, tổ chức, doanh nghiệp
của mình một cách dễ dàng, ở bất kì nơi đâu, ở bất kì thời điểm nào.
Công nghệ MPLS ( Multi Protocol Label Switching) đƣợc tổ chức quốc tế
IETF chính thức đƣa ra vào cuối năm 1997, đã phát triển nhanh chóng trên toàn cầu.
Công nghệ mạng riêng ảo MPLS VPN đã đƣa ra một ý tƣởng khác biệt hoàn
toàn so với công nghệ truyền thống, đơn giản hóa quá trình tạo “đƣờng hầm” trong
mạng riêng ảo bằng cơ chế gán nhãn gói tin (Label) trên thiết bị mạng của nhà cung
cấp. Thay vì phải tự thiết lập, quản trị, và đầu tƣ những thiết bị đắt tiền, MPLS VPN sẽ
giúp doanh nghiệp giao trách nhiệm này cho nhà cung cấp – đơn vị có đầy đủ năng
lực, thiết bị và công nghệ bảo mật tốt hơn nhiều cho mạng của doanh nghiệp.
Theo đánh giá của Diễn đàn công nghệ Ovum năm 2005, MPLS VPN là công
nghệ nhiều tiềm năng, đang bƣớc vào giai đoạn phát triển mạnh mẽ nhờ những tính


2
năng ƣu việt hơn hẳn những công nghệ truyền thống. Từ cuối năm 2010, MPLS VPN
sẽ dần thay thế hoàn toàn các công nghệ mạng truyền thống đã lạc hậu và là tiền đề
tiến tới một hệ thống mạng băng rộng – Mạng thế hệ mới NGN (Next Generation
Network).
Mạng hạ tầng truyền thông NGÀNH TÀI CHÍNH hiện nay đang đƣợc triển khai
dựa trên công nghệ chuyển mạch nhãn MPLS, với tính năng nổi trội MPLS/VPN đảm
bảo an toàn thông tin, phục vụ ngày một tốt hơn cho nội bộ NGÀNH TÀI CHÍNH, tiếp
theo là nhằm cung cấp một cách đa dạng các loại dịch vụ cho ngƣời sử dụng.
Luận văn “Giải pháp mạng riêng ảo mpls-vpn và ứng dụng trong hệ thống hạ
tầng truyền thông ngành tài chính” đã nghiên cứu những kiến thức về công nghệ
mạng riêng ảo MPLS/VPN và ứng dụng MPLS/VPN trong hệ thống mạng NGÀNH
TÀI CHÍNH, phục vụ cho việc kết nối thông suốt và trao đổi dữ liệu cho các cơ quan
Tài chính địa phƣơng phủ khắp đất nƣớc Việt Nam và thực tế triển khai kênh truyền sử
dụng công nghệ MPLS trên hạ tầng truyền thông NGÀNH TÀI CHÍNH, từ đó đƣa ra
kịch bản và đánh giá kết quả kiểm tra chất lƣợng kênh truyền.

Luận văn gồm 04 chƣơng:
Chương 1: Tổng quan về công nghệ mạng riêng ảo VPN
Chương 2: Mạng riêng ảo trên nền công nghệ MPLS.
Chương 3: Ứng dụng MPLS – VPN vào hạ tầng truyền thông Ngành Tài
chính.
Chương 4: Kết luận.
Ngoài ra, luận văn còn có thêm các danh mục, các thuật ngữ, các từ viết tắt, danh
mục bảng biểu, hình vẽ và danh mục các tài liệu tham khảo để thuận tiện cho việc tìm
hiểu và tra cứu nội dung luận văn.


3

CHƢƠNG 1 – TỔNG QUAN VỀ CÔNG NGHỆ MẠNG RIÊNG
ẢO VPN
Trong chƣơng này, báo cáo luận văn sẽ giới thiệu tổng quan về mạng riêng ảo,
khái niệm VPN, khái niệm đƣờng hầm, phân loại VPN.

1.1.

Giới thiệu về công nghệ mạng riêng ảo

Mạng riêng ảo hay VPN (Virtual Private Network) là một mạng dành riêng để
kết nối các máy tính của các công ty, tập đoàn hay các tổ chức với nhau thông qua
mạng Internet công cộng.
VPN là một thuật ngữ quen thuộc hiện nay, nó là sự lựa chọn gần nhƣ tối ƣu
đối với một công ty, tổ chức, doanh nghiệp có nhiều hơn 1 chi nhánh và có nhu cầu kết
nối mạng với nhau, hoặc có nhu cầu thiết lập mối quan hệ thân thiết với các công ty, tổ
chức, doanh nghiệp khác, hoặc do đặc thù nên có nhiều cán bộ, nhân viên làm việc từ
xa.

VPN không còn là một thuật ngữ mới, nhƣng chƣa hẳn ai cũng biết VPN đã
đƣợc đề cập và xây dựng từ cuối thập kỷ 80 của thế kỷ trƣớc, và nó cũng trải qua
nhiều giai đoạn phát triển.
Thế hệ VPN thứ nhất do AT&T phát triển có tên là SDNs (Software Defined
Network)
Thế hệ thứ 2 là ISDN và X25
Thế hệ thứ 3 là FR và ATM
Thế hệ thứ 4 là VPN trên nền mạng IP
Và thế hệ hiện nay là VPN trên nền mạng MPLS.

1.2.

Khái niệm VPN

VPN là công nghệ cung cấp một phƣơng thức giao tiếp an toàn giữa các mạng
riêng dựa vào kỹ thuật đƣờng hầm để tạo ra một mạng riêng trên cơ sở hạ tầng mạng
dùng chung (mạng internet). Về bản chất đây là quá trình đặt toàn bộ gói tin vào trong
một lớp tiêu đề chứa thông tin định tuyến có thể truyền an toàn qua mạng công cộng.
VPN là một mạng riêng sử dụng để kết nối các mạng dây riêng lẻ hay nhiều
ngƣời sử dụng ở xa thông qua các kết nối ảo dẫn qua đƣờng truyền Internet thay cho


4
một kết nối thực, chuyên dụng nhƣ đƣờng leased line.

1.3.

Mô hình VPN

VPN bao gồm hai phần: mạng của Nhà cung cấp dịch vụ và mạng của Khách

hàng, trong đó mạng của Nhà cung cấp dịch vụ chạy dọc cơ sở hạ tầng mạng công
cộng, bao gồm các bộ định tuyến cung cấp dịch vụ mạng cho Khách hàng.

Hình 1.1: Mạng riêng ảo VPN [4]

1.4.

Khái niệm đường hầm

Đƣờng hầm là một cách thức mà ở đó dữ liệu có thể truyền đi giữa hai mạng
một cách an toàn. Toàn bộ dữ liệu truyền đi đƣợc phân mảnh thành các gói nhỏ hơn
hoặc thành các khung sau đó đƣợc đẩy vào trong đƣờng hầm. Các thức này khác với
cách vận chuyển dữ liệu thông thƣờng giữa các điểm. Ở đây các gói dữ liệu di chuyển
trong đƣờng hầm sẽ đƣợc đóng gói và mã hóa với thông tin định tuyến với một địa chỉ
xác định. Sau khi tới đƣợc địa chỉ mong muốn thì dữ liệu đƣợc khôi phục nhờ việc giải
mã.

Hình 1.2: Đường hầm VPN [4]

Một đƣờng hầm là một con đƣờng logic đƣợc thiết lập giữa điểm nguồn và
điểm đích của hai mạng. Các gói dữ liệu đƣợc đóng gói tại nguồn và mở gói tại điểm
đích. Đƣờng hầm logic giữa hai mạng này đƣợc duy trì trong suốt tiến trình gửi dữ


5
liệu. Đƣờng hầm dùng để vận chuyển dữ liệu cho mục đích riêng tƣ, thông thƣờng là
hệ thống mạng của một công ty, tổ chức, doanh nghiệp, tập đoàn… thông qua hệ thống
mạng công cộng. Với cách hiểu đó, các nút định tuyến trong hệ thống mạng công cộng
không biết rằng luồng vận chuyển đó là của hệ thống mạng riêng hay chung.
Có nhiều loại đƣờng hầm đƣợc thực thi trên các tầng khác nhau của mô hình

OSI. Ví dụ hai loại đƣờng hầm PPTP và L2TP thực thi trên tầng 2. Hai loại đƣờng
hầm này sẽ không kích hoạt tại các phiên làm việc nội mạng, trong trƣờng hợp có sự
kết nối hai mạng thì loại đƣờng hầm sẽ đƣợc xác định là PPTP hoặc L2TP. Sau khi lựa
chọn đƣợc loại đƣờng hầm thì các tham số nhƣ mã hóa, cách đăng ký địa chỉ, nén…
đƣợc cấu hình để đặt đƣợc sự an toàn ở mức cao nhất khi đi trên mạng Internet dựa
trên sự kết nối đƣờng hầm logic địa phƣơng. Kết nối đƣợc tạo ra, duy trì và kết thúc sử
dụng khi nhu cầu chấm dứt.
1.5.

Lợi ích VPN mang lại

VPN làm giảm chi phí thƣờng xuyên:

VPN cho phép tiết kiệm chi phí

đƣờngtruyền và giảm chi phí phát sinh cho nhân viên ở xa nhờ vào việc họ truy cập
vào hệthống nội bộ thông qua các điểm cung cấp dịch vụ ở địa phƣơng POP(Point
ofPresence), hạn chế thuê đƣờng truy cập của nhà cung cấp dẫ đến giá thành cho
việckết nối Lan-to-Lan giảm đi đáng kể so với việc thuê đƣờng Leased-LineGiảm chi phí quản lý và hỗ trợ: với việc sử dụng dịch vụ của nhà cung
cấp,chúng ta chỉ phải quản lý các kết nối đầu cuối tại các chi nhánh mạng không
phảiquản lý các thiết bị chuyển mạch trên mạng. Đồng thời tận dụng cơ sở hạ tầng
củamạng Internet và đội ngũ kỹ thuật của nhà cung cấp dịch vụ.
VPN đảm bảo an toàn thông tin, tính toàn vẹn và xác thực: dữ liệu truyền
trênmạng đƣợc mã hóa bằng các thuật toán, đồng thới đƣợc truyền trong các đƣờng
hầm(Tunnle) nên thông tin có độ an toàn cao.
VPN dễ dàng kết nối các chi nhánh thành một mạng cục bộ: việc tập trung
quảnlý thông tin tại tất cả các chi nhánh là cần thiết. VPN có thể dễ dàng kết nối hệ
thống mạng giữa các chi nhánh và văn phòng trung tâm thành một mạng LAN với chi
phíthấp.



6
VPN hỗ trợ các giáo thức mạng thông dụng nhất hiện nay nhƣ TCP/IP: bảo
mậtđịa chỉ IP: thông tin đƣợc gửi đi trên VPN đã đƣợc mã hóa do đó các địa chỉ
trênmạng riêng đƣợc che giấu và chỉ sử dụng các địa chỉ bên ngoài Internet.
1.6.

Các loại VPN

1.6.1. Truy cập VPN (VPN Remote Access)
Remote Access VPNs cho phép truy cập bất cứ lúc nào bằng Remote, mobile,
và các thiết bị truyền thông của nhân viên các chi nhánh kết nối đến tài nguyên mạng
của tổ chức.
Remote Access VPN mô tả công việc các ngƣời dùng ở xa sử dụng các phần
mềm VPN để truy cập vào mạng Intranet của công ty thông qua gateway hoặc VPN
concentrator (bản chất là một server). Vì lý do này, giải pháp này thƣờng đƣợc gọi là
client/server. Trong giải pháp này, các ngƣời dùng thƣờng sử dụng các công nghệ
WAN truyền thống để tạo lại các tunnel về mạng của họ.
Một hƣớng phát triển khá mới trong remote access VPN là dùng wireless VPN,
trong đó một nhân viên có thể truy cập về mạng của họ thông qua kết nối không dây.
Trong thiết kế này, các kết nối không dây cần phải kết nối về một trạm wireless
(Wireless terminal) và sau đó về mạng của công ty. Trong cả hai trƣờng hợp, phần
mềm client trên máy PC đều cho phép khởi tạo các kết nối bảo mật, còn đƣợc gọi là
tunnel.
Một phần quan trọng của thiết kế này là việc thiết kế quá trình xác thực ban đầu
nhằm để đảm bảo là yêu cầu đƣợc xuất phát từ một nguồn tin cậy. Thƣờng thì giai
đoạn ban đầu này dựa trên cùng một chính sách về bảo mật của công ty. Chính sách
này bao gồm: quy trình (Procedure), kỹ thuật, server (such as Remote Authentication
Dial-In User Service [RADIUS], Terminal Access Controller Access Control System
Plus [TACACS+] …).

1.6.2.1. Thuận lợi chính của Remote Access VPNs:
- Sự cần thiết của RAS và việc kết hợp với modem đƣợc loại trừ.
- Sự cần thiết hỗ trợ cho ngƣời dùng cá nhân đƣợc loại trừ bởi vì kết nối từ xa
đã đƣợc tạo điều kiện thuận lợi bởi ISP.


7
- Việc quay số từ những khoảng cách xa đƣợc loại trừ, thay vào đó, những kết
nối với khoảng cách xa sẽ đƣợc thay thế bởi các kết nối cục bộ.
- Giảm giá thành chi phí kết nối với khoảng cách xa.
- Do đây là một kết nối mang tính cục bộ, do vậy tố độ kết nối sẽ cao hơn so với
kết nối trực tiếp đến những khoảng cách xa.
- VPNs cung cấp khả năng truy cập đến trung tâm tốt hơn bởi vì nó hỗ trợ dịch
vụ truy cập ở mức độ tối thiểu nhật cho dù có sự tăng nhanh chóng các kết nối đồng
thời đến mạng.
1.6.2.2. Một số tồn tại của VPNs:
- Remote Access VPNs cũng không đảm bảo đƣợc chất lƣợng dịch vụ
- Khả năng mất dữ liệu là rất cao, thêm nữa là các phân đoạn của gói dữ liệu có
thể đi ra ngoài và bị thất thoát.
- Do độ phức tạp của thuật toán mã hoá, protocol overhead tăng đáng kể, điều
này gây khó khăn cho quá trính xác nhận. Thêm vào đó, việc nén dữ liệu IP và PPPbased diễn ra vô cùng chậm chạp và tồi tệ.
- Do phải truyền dữ liệu thông qua Internet, nên khi trao đổi các dữ liệu lớn nhƣ
các gói dữ liệu truyền thông, phim ảnh, âm thanh sẽ rất chậm.
1.6.2. Site – To – Site VPN
Site –to – site : Đƣợc áp dụng để cài đặt mạng từ một vị trí này kết nối tới mạng
của một vị trí khác thông qua VPN. Trong hoàn cảnh này thì việc chứng thực ban đầu
giữa các thiết bị mạng đƣợc giao cho ngƣời sử dụng. Nơi mà có một kết nối VPN đƣợc
thiết lập giữa chúng. Khi đó các thiết bị này đóng vài trò nhƣ là một gateway, và đảm
bảo rằng việc lƣu thông đã đƣợc dự tính trƣớc cho các site khác. Các Router và
Firewall tƣơng thích với VPN, và các bộ tập trung VPN chuyên dụng đều cung cấp

chức năng này.


8

Hình 1. 3: Site – to – site VPN [4]

Site – to –Site VPN có thể đƣợc xem nhƣ là Intranet VPN hoặc Extranet VPN.
Nếu chúng ta xem xét chúng dƣới góc độ chứng thực nó có thể đƣợc xem nhƣ là một
intranet VPN, ngƣợc lại chúng đƣợc xem nhƣ một extranet VPN. Tính chặt chẽ trong
việc truy cập giữa các site có thể đƣợc điều khiể bởi cả hai (Intranet và Extranet VPN)
theo các site tƣơng ứng của chúng. Giải pháp Site – To – Site VPN không phải là một
remote access VPN nhƣng nó đƣợc thêm vào đây vì tính chất hoàn thiện của nó.
Sự phân biệt giữa remote access VPN và Site – To – Site VPN chỉ đơnthuần
mang tính chất tƣợng trƣng và xa hơn là nó đƣợc cung cấp cho mục đích thảo luận. Ví
dụ nhƣ là các thiết bị VPN dựa trên phần cứng mới (Router Cisco 3002 chẳng hạn) ở
đây để phân loại đƣợc, chúng ta phải áp dụng cả hai cách, bởi vì harware-based client
có thể xuất hiện nếu một thiết bị đang truy cập vào mạng. Mặc dù một mạng có thể có
nhiều thiết bị VPN đang vận hành. Một ví dụ khác nhƣ là một chế độ mở rộng của giải
pháp Ez VPN bằng cách dùng Router 806 và 17xx.
Site –to –Site VPN là sự kết nối hai mạng riêng lẻ thông qua một đƣờng hầm
bảo mật, đƣờng hầm bảo mật này có thể sử dụng các giao thức PPTP, L2TP, hoặc
IPSec, mục đích của Site –to –Site VPN là kết nối hại mạng không có đƣờng nối lại
với nhau, không có việc thoả hiệp tích hợp, chứng thực, sự cẩn mật của dữ liệu, bạn có
thể thiết lập một Site – to –Site VPN thông qua sự kết hợp của các thiết bị VPN
concentrators, Router, và Firewalls.


9
Kết nối Site –to –Site VPN đƣợc thiết kế để tạo một kết nối mạng trực tiếp, hiệu

quả bất chấp khoảng cách vật lý giữa chúng. Có thể kết nối này luân chuyển thông qua
Internet hoặc một mạng không đƣợc tin cậy. Bạn phải đảm bảo vấn đề bảo mật bằng
cách sử dụng sự mã hoá dữ liệu trên tấ cả các gói dữ liệu đang luân chuyển giữa các
mạng đó.
1.6.2.1. Intranet

Hình 1. 4: Thiết lập Intranet sử dụng WAN backbone [4]

Intranet VPNs hay còn gọi là các VPN nội bộ sẽ kết nối các mạng của trụ sở
chính, văn phòng và các chi nhánh từ xa qua một cơ sở hạ tầng mạng dùng chung nhƣ
Internet thành một mạng riêng tƣ của một tập đoàn hay một tổ chức gồm nhiều công ty
và văn phòng làm việc mà các kết nối này luôn luôn đƣợc mã hoá thông tin
Intranet VPN đƣợc sử dụng để kết nối đến các chi nhánh văn phòng của tổ chức
đến Corporate Intranet (Backbone Router) sử dụng campus router
Theo mô hình bên trên sẽ rất tốn chi phí do phải sử dụng 2 Router để thiết lập
đƣợc mạng, thêm vào đó, việc triển khai, bảo trì và quản lý mạng Intranet Backbone sẽ
rất tốn kém còn tuỳ thuộnc vào lƣợng lƣu thông trên mạng đi trên nó và phạm vi địa lý
của toàn bộ mạng Intranet.


10
Để giải quyết vấn đề trên, sự tốn kém của WAN backbone đƣợc thay thế bởi
các kết nối Internet với chi phí thấp, điều này có thể một lƣợng chi phí đáng kể của
việc triển khai mạng Intranet

Hình 1. 5: Thiếp lập Intranet dựa trên VPN [4]

1.6.2.2. Extranet VPNs (VPN mở rộng)

Hình 1. 6: Hình Extranet VPN [4]



11
Extranet là sự mở rộng từ những Intranet liên kết các khách hàng, những nhà
cung cấp, những đối tác hay những nhân viên làm việc trong các Intranet qua cơ sở hạ
tầng dùng chung chia sẽ những kết nối
Không giốn nhƣ intranet và Remote Access –based, Extranet không an toàn
cách ly từ bên ngoài (outer-world), Extranet cho phép truy nhập những tài nguyên
mạng cần thiết kế của các đối tác kinh doanh, chẳng hạn nhƣ khách hang, nhà cung
cấp, đối tác những ngƣời giữ vài trò quan trọng trong tổ chức.

Hình 1. 7: Thiết lập mạng Extranet theo truyền thống [4]

Nhƣ hình trên, mạng Extranet rất tốn kém do có nhiều đoạn mạng riêng biệt
trên intranet kết hợp lại với nhau để tạo ra một Extranet. Điều này làm cho khó triển
khai và quản lý do có nhiều mạng, đồng thời cũng khó khăn cho cá nhân làm công việc
bảo trì và quản trị. Thêm nữa là mạng Extranet dễ mở rộng do điều này sẽ làm rối tung
toàn bộ mạng Intranet và có thể ảnh hƣởng đến các kết nối bên ngoài mạng. Sẽ có
những vấn đề bạn gặp phải bất thình lình khi kết nối một Intranet vào một mạng
Extranet. Triển khai và thiết kế một mạng Extranet có thể là một cơn ác mộng của các
nhà thiết kế và quản trị mạng.


12

Hình 1. 8: Thiết lập Extranet [4]

Một số thuận lợi của Extranet:
Do hoạt động trên môi trƣờng Internet, bạn có thể lựa chọn nhà phân phối khi
lựa chọn và đƣa ra phƣơng pháp giải quyết tuỳ theo nhu cầu của tổ chức. Bởi vì một

phần Internet-connectivity đƣợc bảo trì bởi nhà cung cấp ISP nên cũng giảm chi phí
bảo trì khi thuê nhân viên bảo trì. Dễ dàng triển khai, quản lý và chỉnh sữa thông tin.
Một số bất lợi:
- Sự đe doạ về tính an toàn, nhƣ bị tấn công bằng từ chối dịch vụ vẫn còn tồn tại
- Tăng thêm nguy hiểm sự xâm nhập đối với tổ chức trên Extranet.
- Do dựa trên Internet nên khi dữ liệu là các loại high-end data thì việc trao đổi
diễn ra chậm chạp.
- Do dựa trên Internet, QoS cũng không đƣợc bảo đảm thƣờng xuyên.
1.7.

VPN và các vấn đề an toàn bảo mật trên Internet

Nhƣ chúng ta đã biết, sự phát triển bùng nổ và mở rộng mạng toàn cầu Internet
ngày càng tăng, hàng tháng có khoảng 10.000 mạng mới kết nối vào Internet kèm theo
đó là vấn đề làm sao để có thể trao đổi thông tin dữ liệu một cách an toàn qua mạng
công cộng nhƣ Internet. Hàng năm sự rò rỉ và mất cắp thông tin dữ liêu đã gây thiệt
hại rất lớn về kinh tế trên toàn thế giới. Các tội phạm tin tặc “ hacker” luôn tìm mọi


13
cách để nghe trộm, đánh cắp thông tin dữ liệu nhạy cảm nhƣ: thẻ tín dụng, tài khoản
ngƣời dùng, các thông tin kinh tế nhạy cảm... của các tổ chức hay cá nhân.
Vậy giải pháp sử dụng mạng riêng ảo VPN sẽ giải quyết vấn đề an toàn và bảo
mật thông tin trên Internet nhƣ thế nào ?
Câu trả lời để các tổ chức, các doanh nghiệp, cá nhân cảm thấy yên tâmkhi trao
đổi thông tin dữ liệu qua mạng Internet là sử dụng công nghệ mạng riêng ảo VPN.
Thực chất công nghệ chính đƣợc sử dụng trong mạng riêng ảo VPN là tạo ra
một đƣờng hầm (tunnel) mã hoá và chứng thực dữ liệu giữa hai đầu kết nối. Các thông
tin dữ liệu sẽ đƣợc mã hoá và chứng thực trƣớc khi đƣợc lƣu chuyển trong một đƣờng
hầm riêng biệt, qua đó sẽ tránh đƣợc những cặp mắt tò mò muốn đánh cắp thông tin.


1.8.

Kết luận - Đánh giá

Ngày nay với sự phát triển bùng nổ, mạng Internet ngày càng đƣợc mở rộng,
khó kiểm soát và kèm theo đó là sự mất an toàn trong việc trao đổi thông tin trên
mạng, các thông tin dữ liệu trao đổi trên mạng có thể bị rò rỉ hoặc bị đánh cắp khiến
cho các tổ chức nhƣ: Các doanh nghiệp, Ngân hàng, Công ty …và các doanh nhân lo
ngại về vấn đề an toàn và bảo mật thông tin dữ liệu trong các mạng cục bộ của mình
(LAN) khi trao đổi thông tin qua mạng công cộng Internet.
VPN ( Virtual Private Network) là giải pháp đƣợc đƣa ra để cung cấp một giải
pháp an toàn cho các: Tổ chức, doanh nghiệp … và các doanh nhân trao đổi thông tin
từ mạng cục bộ của mình xuyên qua mạng Internet một cách an toàn và bảo mật. Hơn
thế nữa nó còn giúp cho các doanh nghiệp giảm thiểu đƣợc chi phí cho những liên kết
từ xa vì địa bàn rộng (trên toàn quốc hay toàn cầu).


14

CHƢƠNG 2 – MẠNG RIÊNG ẢO TRÊN NỀN CÔNG NGHỆ MPLS
Trong chƣơng này, báo cáo luận văn sẽ trình bày về công nghệ MPLS – là một
công nghệ đang đƣợc ứng dụng rộng rãi hiện nay, khái niệm MPLS, đặc điểm của
công nghệ MPLS, phƣơng thức hoạt động của MPLS và đi sâu vào ứng dụng MPLS
VPN

2.1.

Nguyên nhân ra đời của công nghệ MPLS VPN


Mạng Internet ra đời mở màn cho kỷ nguyên tiến bộ vƣợt bậc của nhân loại, nó
không ngừng phát triển về phạm vi cũng nhƣ chất lƣợng. Khi mạng Internet phát triển
và mở rộng, lƣu lƣợng Internet bùng nổ. Các nhà cung cấp dịch vụ xử lý bằng cách
tăng dung lƣợng kết nối và nâng cấp các Router nhƣng vẫn không tránh khỏi nghẽn
mạch. Lý do là các giao thức định tuyến thƣờng hƣớng lƣu lƣợng vào một số các kết
nối nhất định dẫn đến kết nối này bị quá tải trong khi một số tài nguyên khác không
đƣợc sử dụng. Đây chính là tình trạng phân bổ không hợp lý và sử dụng lãng phí tài
nguyên mạng Internet.
Vào thập niên 90, các nhà cung cấp dịch vụ phát triển mạng của họ theo mô
hình chồng lớp bằng cách đƣa ra giao thức IP over ATM. ATM là một công nghệ
hƣớng kết nối thiết lập các kênh ảo, tuyến ảo tạo thành một mạng logic nằm trên mạng
vật lý, giúp định tuyến, phân bổ tải đồng đều trên toàn mạng. Tuy nhiên IP và ATM là
hai công nghệ hoàn toàn khác nhau, đƣợc thiết kế cho những môi trƣờng mạng khác
nhau, khác nhau về giao thức, cách đánh địa chỉ, định tuyến, báo hiệu, phân bổ tài
nguyên… và khi các nhà cung cấp dịch vụ phát triển mạng theo hƣớng IP over ATM,
họ càng nhận rõ nhƣợc điểm của mô hình này

2.1.1. Tính khả chuyển
Một vấn đề mà nhà cung cấp dịch vụ gặp phải chính là tính khả chuyển. Tức là
để đảm bảo việc dự phòng và tối ƣu trong quá trình định tuyến thì mô hình full mesh
của các mạch ảo (VCs) phải đƣợc tạo ra mà kết quả có quá nhiều kết nối.

Hình 2.1: Full mesh với 6 kết nối ảo [1]


15
Và càng nhiều các địa điểm thêm vào mạng lõi, thì càng cần phải có nhiều kết
nối ảo (VCs) đƣợc tạo ra. Điều đó cũng có nghĩa là các Router sẽ phải trao đổi cập
nhật bảng thông tin định tuyến với nhiều Router liền kề, gây ra một sự lƣu thông lớn
trên mạng. Sự quá tải này cũng sẽ làm ảnh hƣởng đến hiệu suất của Router và làm

giảm tốc độ xử lý của chúng.

2.1.2. Điều khiển lưu lượng
Điều khiển lƣu lƣợng là quá trình xử lý mà lƣu lƣợng đƣợc vận chuyển một
cách tối ƣu theo yêu cầu. Mặc dù cả hai công nghệ IP và ATM đều có nhƣng rõ ràng
IP không thể sánh đƣợc với ATM về đặc tính này. ATM và IP là hai công nghệ hoàn
toàn tách biệt nhau nên thật khó để kết hợp triển khai điều khiển lƣu lƣợng đầu cuối.

2.1.3. Chất lượng dịch vụ (QoS)
Cả IP và ATM đều có khả năng đảm bảo chất lƣợng dịch vụ. Sự khác nhau giữa
chúng là IP là giao thức không kết nối (connectionless), còn ATM là giao thức có kết
nối (connection – oriented).
Vì vậy, vấn đề đặt ra ở đây chính là các Nhà cung cấp dịch vụ phải làm thế nào
để kết hợp đƣợc hai cách triển khai chất lƣợng dịch vụ thành một giải pháp duy nhất.
Chúng ta cũng có thể thấy rõ vấn đề bất cập tồn tại ở chuyển tiếp gói tin ở lớp
mạng truyền thống (ví dụ chuyển tiếp gói tin IP qua mạng Internet). Sự chuyển tiếp
gói tin dựa trên các thông tin đƣợc cung cấp bởi các giao thức định tuyến (ví dụ RIP,
OSPF, EIGRP, BGP…), hoặc định tuyến tĩnh để đƣa ra quyết định chuyển tiếp gói tin
tới bƣớc tiếp theo trong mạng. Sự chuyển tiếp này chỉ duy nhất dựa trên địa chỉ đích.
Tất cả các gói tin có cùng một đích đến sẽ đi theo cùng một con đƣờng. Thông thƣờng
là con đƣờng có giá nhỏ nhất, điều đó dễ dàng dẫn đến hiện tƣợng mất cân bằng tải.

Hình 2.2: Một ví dụ về mạng IP dựa trên mạng lõi ATM [3]

Để đảm bảo quá trình chuyển tiếp gói tin trong mạng là tối ƣu, một mạch ảo


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×