HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG

---------------------------------------

QCH NHƯ THẾ

NGHIÊN CỨU BẢO MẬT MẠNG RIÊNG ẢO TRÊN CÔNG NGHỆ
CHUYỂN MẠCH NHÃN ĐA GIAO THỨC
Chuyên ngành: Truyền dữ liệu và mạng máy tính
Mã số: 60.48.15
TĨM TẮT LUẬN VĂN THẠC SĨ KỸ THUẬT
NGƯỜI HƯỚNG DẪN KHOA HỌC :
PGS.TS NGUYỄN VĂN TAM

HÀ NỘI – 2012


1

MỞ ĐẦU
Mạng VPN là một trong những ứng dụng rất quan trọng
trong mạng MPLS. MPLS VPN đã đơn giản hóa quá trình tạo
“đường hầm” trong mạng riêng ảo bằng cơ chế gán nhãn gói tin
(Lable) trên thiết bị mạng nhà cung cấp. Thay vì phải tự thiết
lập, quản trị, và đầu tư những thiết bị đắt tiền, MPLS VPN sẽ
giúp doanh nghiệp giao trách nhiệm này cho nhà cung cấp –
đơn vị có đầy đủ năng lực, thiết bị và công nghệ bảo mật tốt
hơn cho mạng của doanh nghiệp.
Luận văn “ Nghiên cứu bảo mật mạng riêng ảo trên
công nghệ chuyển mạch nhãn đa giao thức” đã nghiên cứu
VPN trên mạng MPLS có kết hợp với IPSEC và mơ phỏng.

Luận văn được chia làm 3 chương:
Chương I: Tổng quan về mạng riêng ảo
Chương II: Giải pháp bảo mật VPN trên nền MPLS
Chương III: Mô phỏng


2

CHƯƠNG I: TỔNG QUAN VỀ MẠNG RIÊNG ẢO
1. Tổng quan về mạng riêng ảo
1.1 Giới thiệu về mạng riêng ảo
Khái niệm mạng riêng ảo.
Mạng riêng ảo là phương pháp làm cho một mạng công
cộng hoạt động như một mạng cục bộ kết hợp với các giải pháp
bảo mật trên đường truyền. VPN cho phép thành lập các kết nối
riêng với người dùng ở xa, các văn phòng chi nhánh của công
ty và các đối tác của công ty đang sử dụng chung một mạng
công cộng.
VPN = định đường hầm + bảo mật + các thoả thuận QoS
1.2 Ưu và nhược điểm của VPN
Ưu điểm:
Giảm chi phí đường truyền
Giảm chi phí đầu tư
Giảm chi phí quản lý và hỗ trợ
Truy cập mọi lúc mọi nơi
Cải thiện kết nối.
An toàn trong giao dịch.
Hiệu quả về băng thông.
Enhanced scalability
Nhược điểm:

Phụ thuộc trong môi trường Internet.
Thiếu sự hổ trợ cho một số giao thức kế thừa


3

1.3 Phân loại mạng và các mơ hình VPN
Các loại mạng VPN
Remote access VPN
Intranet VPN
Extranet VPN
1.4 Các thành phần trong mạng VPN
1.4.1 Mạng khách hàng (Customer Network)
Gồm các router tại các site khách hàng khác nhau. Các
router kết nối các site cá nhân với mạng của nhà cung cấp dịch
vụ được gọi là các router biên phía khách hàng (CE- Customer
Edge).
1.4.2 Mạng nhà cung cấp (Provider Network)
Được dùng để cung cấp các kết nối point-to-point qua
hạ tầng mạng của nhà cung cấp dịch vụ. Các thiết bị của nhà
cung cấp dịch vụ mà nối trực tiếp với CE router được gọi là
router biên phía nhà cung cấp (PE-Provider Edge). Mạng của
nhà cung cấp cịn có các thiết bị dùng để chuyển tiếp dữ liệu
trong mạng trục (SP backbone) được gọi là các router nhà cung
cấp (P- Provider)
VPN có thể chia thành hai loại mơ hình: Overlay và
Peer-to-Peer.


4


17

1.5 Các giao thức tạo đường hầm trong VPN
1.5.1 Giao thức PPTP(Point-To-Point Tunning

KẾT LUẬN

Protocol)
Giao thức PPTP (Point-to-Point Tunneling Protocol giao thức tạo đường hầm điểm nối điểm) ban đầu được phát
triển và được thiết kế để giải quyết vấn đề và duy trì các đường
hầm VPN trên các mạng public dựa vào TCP/IP bằng cách sử
dụng PPP. PPTP là kết quả của sự nỗ lực chung của Microsoft
và một loạt các nhà cung cấp sản phẩm bao gồm chẳng hạn
Ascend

Communications,

3Com/Primary

Access,

ECI

Telematics, và U.S. Robotics
1.5.2 Giao thức L2TP (Layer 2 Tunneling Protocol)
Giao thức L2TP sử dụng hai loại thông điệp, thông điệp
điều khiển (Control Message) và thông điệp dữ liệu (Data
Message). Thông điệp điều khiển được sử dụng trong việc thiết
lập và duy trì đường ống. Thơng điệp dữ liệu được sử dụng để

đóng gói PPP frame để chuyển qua đường ống.
1.5.3 Giao thức IPSec (IP Security Protocol)
IPSec là một giao thức bảo mật tích hợp với tầng IP,
cung cấp dịch vụ bảo mật mã hóa linh hoạt. Những dịch vụ này
là
1.5.3.1 Chứng thực nguồn gốc dữ liệu/Tính tồn vẹn
dữ liệu phi kết nối

Mạng riêng ảo VPN là một trong những ứng dụng rất
quan trọng trong mạng MPLS. Các công ty, doanh nghiệp đặc
biệt các cơng ty đa quốc gia có nhu cầu rất lớn về loại hình dịch
vụ này. Với VPN họ hồn tồn có thể sử dụng các dịch vụ viễn
thơng, truyền số liệu nội bộ với chi phí thấp, an ninh bảo đảm.
Đây là một ứng dụng rất quan trọng đáp ứng các yêu cầu của
các mạng riêng sử dụng hạ tầng cơ sở thông tin quốc gia với
những yêu cầu khác nhau về độ an toàn, bảo mật và chất lượng
dịch vụ. Bên cạnh đó là việc nghiên cứu các công nghệ bảo mật
trong MPLS VPN, nổi bật hiện nay chính là sử dụng IPSec.
Sau nghiên cứu đề tài đã tổng kết được các vấn đề sau:
Tổng quan VPN: Giới thiệu tổng quan VPN
Giải pháp bảo mật VPN trên nền MPLS, tìm hiểu IPsec
MPLS
Tìm hiểu phần mềm mơ phỏng GNS để mô phỏng vấn
đề bảo mật MPLS VPN


16

5


CHƯƠNG III: MÔ PHỎNG

1.5.3.2 Bảo vệ chống replay
1.5.3.3 Bảo mật

3.1 Thực hiện MPLS VPN, IPSEC

1.5.3.4 Encapsulating Security Payload (ESP)

3.1.1 Sơ đồ mạng – cấu hình các interface cơ bản

1.5.3.5 Tiêu đề chứng thực (AH)
1.5.3.6 Trao đổi khóa Internet (IKE)
1.5.3.7 Chế độ vận hành
1.5.3.8 Chế độ Tunnel
CHƯƠNG II: GIẢI PHÁP BẢO MẬT VPN TRÊN NỀN
MPLS
2.1 Công nghệ chuyển mạch MPLS
2.1.1 Tổng quan về MPLS
MPLS là một công nghệ kết hợp đặc điểm tốt nhất
giữa định tuyến lớp ba và chuyển mạch lớp hai cho phép
chuyển tải các gói rất nhanh trong mạng lõi (core) và định

3.1.2 Yêu cầu:
Tạo MPLS core.
Thực hiện MPLS VPN , IPSEC cho hai khách
hàng CE1và CE2

tuyến tốt mạng biên (edge) bằng cách dựa vào nhãn (label).
Đặc điểm mạng MPLS:

- Khơng có MPLS API, cũng khơng có thành phần giao
thức phía host.
- MPLS chỉ nằm trên các router.
- MPLS là giao thức độc lập nên có thể hoạt động
cùng với giao thức khác IP như IPX, ATM, Frame Relay,…
- MPLS giúp đơn giản hố q trình định tuyến và
làm tăng tính linh động của các tầng trung gian.


6

Phương thức hoạt động:
Thay thế cơ chế định tuyến lớp ba bằng cơ chế chuyển
mạch lớp hai. MPLS hoạt động trong lõi của mạng IP. Các
Router trong lõi phải enable MPLS trên từng giao tiếp. Nhãn
được gắn thêm vào gói IP khi gói đi vào mạng MPLS. Nhãn

15

IPsec tĩnh: trong mơ hình này, mỗi nút IPsec được cấu
hình tĩnh với tất cả IPsec đồng cấp của nó, thơng tin nhận thực
và chính sách bảo mật.
IPsec tĩnh được mơ tả trong RFC 2401, 2412. Nó có thể
được áp dụng trên CE-CE và PE-PE

được tách ra khi gói ra khỏi mạng MPLS. Nhãn (Label) được

IPsec động: trong môi trường hub- và-spoke, hub có thể

chèn vào giữa header lớp ba và header lớp hai. Sử dụng


được cấu hình mà khơng cần thơng tin đặc điểm của spoke; chỉ

nhãn trong q trình gửi gói sau khi đã thiết lập đường đi.

các spoke biết cách đến được hub, và một đường hầm IPsec

MPLS tập trung vào q trình hốn đổi nhãn (Label

được thiết lập chỉ khi nào spoke có thể xác thực được chính nó.

Swapping). Một trong những thế mạnh của kiến trúc MPLS là

IPsec truy cập từ xa sử dụng ý tưởng tương tự, nhưng xác thực

tự định nghĩa chồng nhãn (Label Stack).

thường được thực hiện trên máy chủ AAA. IPsec động có thể

2.1.2 Cấu trúc của nút MPLS
Một nút của MPLS có hai mặt phẳng: mặt phẳng
chuyển tiếp MPLS và mặt phẳng điều khiển MPLS. Nút
MPLS có thể thực hiện định tuyến lớp ba hoặc chuyển mạch
lớp hai.
2.1.2.1 Mặt phẳng chuyển tiếp (Forwarding plane):
Mặt phẳng chuyển tiếp có trách nhiệm chuyển tiếp
gói dựa trên giá trị chứa trong nhãn. Mặt phẳng chuyển tiếp
sử dụng một cơ sở thông tin chuyển tiếp nhãn LFIB để chuyển
tiếp các gói.


được sử dụng cho CE-CE cũng như PE-PE.


14

7

tương tự như trong bảo mật nhưng dễ thực thi hơn
nhiều, đặc biệt đối với khách hàng.

2.1.2.2 Mặt phẳng điều khiển (Control Plane):

Ngoại trừ trong trường hợp đặc biệt, IPsec PE-PE
hiện tại khơng được sử dụng nhiều vì lí do bảo mật.
Rõ ràng nó khơng là một giải pháp tổng thể cho bảo
mật VPN. Trong các trường hợp này nên sử dụng
IPsec CE-CE

và lưu trữ LFIB. Tất cả các nút MPLS phải chạy một giao thức

2.3.2.3 IPsec truy cập từ xa vào một mạng MPLS
VPN
Đường hầm IPsec từ người dùng từ xa được kết thúc
trên các bộ định tuyến PE, dựa trên sự nhận dạng
của người dùng, được ánh xạ vào VPN. Do đó, bộ
định tuyến PE thực hiện đầy đủ 2 nhiệm vụ: điểm
cuối truy cập từ xa IPsec và PE MPLS.
Trong ứng dụng này, IPsec phục vụ chủ yếu như
một phương pháp truy cập an toàn vào VPN của
người dùng, như các điểm truy cập không dây công

cộng hay mang internet.
2.3.3 IPsec trên MPLS

Mặt phẳng điều khiển MPLS chịu trách nhiệm tạo ra
định tuyến IP để trao đổi thông tin định tuyến IP với các nút
MPLS khác trong mạng.
Các mơđun điều khiển MPLS gồm:
•

Định tuyến Unicast (Unicast Routing)

•

Định tuyến Multicast (Multicast Routing)

•

Kỹ thuật lưu lượng (Traffic Engineer)

•

Mạng riêng ảo (VPN – Virtual private Network)

•

Chất lượng dịch vụ (QoS – Quality of Service)

2.1.3

Các phần tử chính của MPLS


2.1.3.1 LSR (label switch Router)
Có 3 loại LSR trong mạng MPLS:
o Ingress LSR – LSR vào nhận gói chưa có nhãn,
chèn nhãn (ngăn xếp) vào trước gói và truyền đi trên đường
kết nối dữ liệu.

Các mơ hình đã xem xét trong phần trước mô tả các

o Egress LSR – LSR ra nhận các gói được gán nhãn,

đường hầm IPsec đã được thiết lập (ví dụ PE-PE), nhưng khơng

tách nhãn và truyền chúng trên đường kết nối dữ liệu. LSR ra

xem xét cách thức thiết lập đường hầm, việc xem xét thiết kế

và LSR vào là các LSR biên.

thứ 2 khi triển khai mạng IPsec. Các lựa chọn chính để thiết lập
đường hầm IPsec:

o LSR trung gian (intermediate LSR) – các LSR
trung gian này sẽ nhận các gói có nhãn tới, thực hiện các
thao tác trên nó, chuyển mạch gói và truyền gói đến đường


8

kết nối dữ liệu đúng.

2.1.3.2 LSP (label switch Path)
Đường chuyển mạch nhãn là một tập hợp các LSR

13

2.3.2 Vị trí các điểm kết thúc của IPsec
Trong một môi trường MPLS VPN, IPsec có thể được
sử dụng tại các điểm khác nhau của mạng:

mà chuyển mạch một gói có nhãn qua mạng MPLS hoặc

Giữa các bộ định tuyến CE của VPN
Giữa một điểm trong VPN và PE
Giữa các bộ định tuyến PE trong lõi MPLS VPN

một phần của mạng MPLS. Về cơ bản, LSP là một đường
dẫn qua mạng MPLS hoặc một phần mạng mà gói đi qua. LSR
đầu tiên của LSP là một LSR vào, ngược lại LSR cuối cùng
của LSP là một LSR ra.
2.1.3.3 FEC (Forwarding Equivalence Class)
Lớp chuyển tiếp tương đương (FEC) là một nhóm hoặc

2.3.2.1 CE-CE IPsec
Nếu IPsec được sử dụng giữa các CE, toàn bộ đường
dẫn giữa các CE được bảo mật các đường truy cập (giữa CE và
PE), cũng như toàn bộ lõi MPLS bao gồm các PE, các P và các
đường dẫn

luồng các gói được chuyển tiếp dọc theo cùng một tuyến
và được xử lý theo cùng một cách chuyển tiếp. Tất cả các

gói cùng thuộc một FEC sẽ có nhãn giống nhau. Tuy nhiên,
khơng phải tất cả các gói có cùng nhãn đều thuộc cùng một

IPsec CE-CE không bảo vệ chống lại các mối đe dọa
sau đây:
Tấn công từ chối dịch vụ (DoS)
Các mối đe dọa trong khu vực đáng tin cậy

FEC, bởi vì giá trị EXP của chúng có thể khác nhau; phương
thức chuyển tiếp khác nhau và nó có thể phụ thuộc vào FEC
khác nhau.
2.1.4 Các giao thức sử dụng trong MPLS
2.1.4.1 Phân phối nhãn
•
•
•
•

Phân phối nhãn với LDP
Các tính chất cơ bản của giao thức phân phối
nhãn LDP
Thủ tục phát hiện LSR lân cận
Giao thức truyền tải tin cậy

Nhìn chung, CE-CE IPsec cung cấp một phương
tiện lý tưởng đảm bảo một MPLS VPN vượt quá
tiêu chuẩn an ninh của các mạng MPLS. Đây là kỹ
thuật của sự lựa chọn cho việc cung cấp an ninh bổ
sung, chẳng hạn như mã hóa lưu lượng truy cập đến
một MPLS VPN.

2.3.2.2 PE-PE IPsec
Thường, PE-PE IPsec được xem như một cách để
tránh khách hàng VPN phải thiết lập CE dựa trên
IPsec. Một vài vị trí tư vấn này là một cấu trúc


12

2.3.1.1 Tổng quan IPsec
IPsec là một kỹ thuật cung cấp các dịch vụ bảo mật qua

9

•
•

Các bản tin LDP
Các chế độ phân phối nhãn

2.1.4.2 Giao thức đặt trước tài nguyên

mạng IP:
Tính bảo mật thơng qua sử dụng mã hóa.
Tính xác thực thông qua việc sử dụng xác thực
đồng cấp và xác thực thơng điệp.
Tính tồn vẹn thơng qua việc sử dụng kiểm tra
tồn vẹn thơng điệp.
Chống lại việc phát lại, bằng cách sử dụng các
chuỗi số đã được xác thực để đảm bảo tính mới mẻ của thơng


2.2 Ứng dụng VPN trên mạng MPLS
2.2.1 Giới thiệu về MPLS trong VNP
2.2.4 Các bộ định tuyến ảo MPLS
Một bộ định tuyến ảo là một tập các chức năng, cả tĩnh
và động trong thiết bị định tuyến, nó cung cấp các dịch vụ định
tuyến và gửi chuyển tiếp giống các bộ định tuyến vật lý
Các đặc tính mà bộ định tuyến ảo cần có là:
Cấu hình của bất cứ sự kết hợp giữa các giao

điệp.
Một trong những lợi ích quan trọng của IPsec là các
dịch vụ bảo mật tất cả được áp dụng trên lớp 3 (lớp mạng) cũng
giống như với IP. Bằng cách này, các dịch vụ bảo mật vẫn độc
lập với cơ chế vận chuyển ưu tiên cũng như các giao thức và
các ứng dụng được dùng ở lớp trên của ngăn xếp.
Khi thiết kế một mạng dùng IPsec, cần xem xét 2 vấn
đề:
Vị trí các đường hầm IPsec nên được áp dụng.
Cách thức thiết lập các đường hầm IPsec.
Để giải quyết 2 vấn đề trên có nhiều cách. Trước hết, ta
sẽ xét vị trí điểm cuối IPsec; sau đó là cách các đường hầm
được thiết lập giữa các vị trí.

thức định tuyến.
Giám sát mạng
Xử lý sự cố
2.2.3 Kiến trúc MPLS VPN
2.2.3.1 Gửi chuyển tiếp trong MPLS VPN
a) Gửi chuyển tiếp
Để cung cấp việc gửi chuyển tiếp các gói tin IP dọc theo

các bộ định tuyến người ta sử dụng MPLS. Lý do mà MPLS
giúp chúng ta làm được điều này là vì nó tách riêng thơng tin sử
dụng cho việc gửi chuyển tiếp gói tin với thơng tin mang trong
tiêu đề IP. Do vậy, chúng ta có thể kết hợp LSP với các bộ định
tuyến VPN-IP và sau đó gửi chuyển tiếp các gói tin IP dọc theo
những bộ định tuyến đó sử dụng MPLS đóng vai trị cơ chế gửi
chuyển tiếp


10

11

b) Gửi chuyển tiếp trong MPLS VPN

2.2.3.3 DiffSer trong MPLS VPN

LSP riêng

Việc cấu hình các LSP riêng cho các VPN cho phép SP

LSP này được coi là tuỳ chọn trong các cơ sở VPN.

cung cấp DiffSer dành cho các khách hàng. Những LSP riêng

LSP này thường kết hợp với việc dự trữ trước băng thơng và

này có thể được kết hợp với bất cứ lớp QoS L2 nào có sẵn hoặc

với các dịch vụ khác nhau riêng biệt hoặc lớp QoS. Nếu LSP


với các điểm mã dịch vụ. Trong một VPN, nhiều LSP riêng với

này sẵn sàng, nó được sử dụng cho dữ liệu người sử dụng và

các lớp dịch vụ khác nhau có thể được cấu hình với các thông

cho việc gửi chuyển tiếp dữ liệu điều khiển cá nhân VPN.

tin luồng cho việc sắp xếp các gói tin trong các LSP. Đặc tính

LSP cơng cộng

này, cùng với khả năng thay đổi kích thước các bộ định tuyến

Các gói tin VPN được gửi chuyển tiếp sử dụng LSP này

ảo, cho phép SP cung cấp các dịch vụ hoàn toàn khác nhau tới

nếu LSP riêng với băng thông xác định và các đặc tính QoS

các khách hàng VPN.

hoặc khơng được cấu hình hoặc hiện tại khơng sẵn sàng. LSP

2.3 MPLS VPN kết hợp IPSEC

được sử dụng là một LSP được tính trước cho bộ định tuyến lối

2.3.1 IPSEC MPLS VPN


ra trong VPN0. VPNID trong tiêu đề chèn thêm được sử dụng

Ngày nay mạng MPLS VPN và IPsec VPN đã được

để phân các gói dữ liệu từ các VPN khác nhau tại bộ định tuyến

triển khai khá rộng, cho thấy rằng cả hai đều có những lợi ích

lối ra.

riêng. Các lợi ích của MPLS VPN chủ yếu bên phía nhà cung
2.2.3.2 Nhận biết đồng bộ định tuyến lân cận trong

cấp dịch vụ do kỹ thuật này cho phép các kiến trúc VPN có khả

MPLS VPN

năng mở rộng cao có tích hợp hỗ trợ QoS. Và các khách hàng

Các VR trong một VPN cho trước thuộc về một số các
SPED trong mạng. Những VR này cần phải nhận biết về các
VR khác và phải được kết nối với các VR khác. Một cách để
thực hiện điều này là yêu cầu thiết lập cấu hình của các VR lân
cận

VPN có lợi ích gián tiếp nhờ việc cung cấp các dịch vụ VPN có
giá cả thấp. Trong khi đó, IPsec VPN có lợi ích chính là bảo
mật mạng khách hàng: dữ liệu được mã hóa, chứng thực và tính
tồn vẹn.