Upload
vandu-hoang
View
559
Download
5
Embed Size (px)
Citation preview
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
ĐỒ ÁN
TỐT NGHIỆP ĐẠI HỌC
NGHIÊN CỨU CÁC GIẢI PHÁP VPN TRÊN NỀN CÔNG NGHỆ MPLS
Giáo viên hướng dẫn : Ths Hoàng Trọng Minh Sinh viên thực hiện : Nguyễn Mạnh Hùng
Lớp : D2004VT1
Hà Nội 11 - 2008
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNGKHOA VIỄN THÔNG 1
-------***-------
ĐỒ ÁN
TỐT NGHIỆP ĐẠI HỌC
Đề tài:
NGHIÊN CỨU CÁC GIẢI PHÁP VPN TRÊN NỀN CÔNG NGHỆ MPLS
Giáo viên hướng dẫn : Ths Hoàng Trọng Minh Sinh viên thực hiện : Nguyễn Mạnh Hùng
Lớp : D2004VT 1
Hà Nội 11 - 2008
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG CỘNG HOÀ XÃ HỘI CHỦ NGHĨA VIỆT NAM
KHOA VIỄN THÔNG 1 Độc lập - Tự do - Hạnh phúc --------o0o--------- --------o0o---------
ĐỀ TÀI ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC
Họ và tên : Nguyễn Mạnh HùngLớp : D2004-VT1Khoá : 2004 – 2009Ngành : Điện tử – Viễn thông
TÊN ĐỀ TÀI: "CÔNG NGHỆ MẠNG RIÊNG ẢO VPN TRÊN NỀN MPLS"
NỘI DUNG ĐỒ ÁN :
Phần I: Giới thiệu chung về công nghệ VPN và các giao thức đã đuợc sử dụng
đối với công nghệ VPN đó là: L2F, PPTP, L2TP, IPSec.
Phần II: Giới thiệu về công nghệ VPN trên nền MPLS.
Ngày giao đề tài: …………………
Ngày nộp đồ án: ………………….
Hà Nội, ngày tháng năm 2008
Giáo viên hướng dẫn
Hoàng Trọng Minh
NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN:
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
Điểm: (Bằng chữ: )
Hà Nội, Ngày tháng năm 2008
Giáo viên hướng dẫn
Hoàng Trọng Minh
NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN:
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
Điểm: (Bằng chữ: ) Ngày tháng năm 2008
Giáo viên phản biện
Đồ án tốt nghiệp Đại Học Lời nói đầu
LỜI NÓI ĐẦU
Ngày nay, với sự phát triển nhanh chóng của khoa học kỹ thuật đặc biệt là Công
nghệ thông tin và Viễn thông đã trở thành một động lực quan trọng trong sự phát triển
kinh tế thế giới.
Các tổ chức, doanh nghiệp có nhiều chi nhánh, các công ty đa quốc gia trong quá
trình hoạt động luôn phải trao đổi thông tin với khách hàng, đối tác, nhân viên của họ.
Chính vì vậy đòi hỏi phải luôn nắm bắt được thông tin mới nhất, chính xác nhất, đồng
thời phải đảm bảo độ tin cậy cao giữa các chi nhánh của mình trên khắp thế giới, cũng
như với các đối tác và khách hàng.
Để đáp ứng được những yêu cầu đó, trong quá khứ có hai loại hình dịch vụ Viễn
thông mà các tổ chức, doanh nghiệp có thể chọn lựa sử dụng cho kết nối đó là:
- Thứ nhất, thuê các đường thông tin riêng (Leased-line) của các nhà cung cấp
dịch vụ để kết nối tất cả các mạng con của công ty lại với nhau. Phương pháp
này rất tốn kém cho việc xây dựng ban đầu cũng như trong quá trình vận hành,
bảo dưỡng hay mở rộng sau này.
- Thứ hai, họ có thể sử dụng chung hạ tầng của nhà khai thác, giải pháp này có
nhiều bất cập khi không đáp ứng được các yêu cầu đặc thù của dịch vụ. Ví dụ
như chất lượng, độ tin cậy an toàn thông tin.
Sự ra đời của kỹ thuật mạng riêng ảo VPN đã dung hoà hai loại hình dịch vụ
trên, nó có thể xây dựng trên cơ sở hạ tầng sẵn có nhưng lại có được các tính chất của
một mạng cục bộ như khi sử dụng các đường Leased-line. Vì vậy, có thể nói VPN chính
là sự lựa chọn tối ưu cho các doanh nghiệp kinh tế. Với chi phí hợp lý, VPN có thể
giúp doanh nghiệp tiếp xúc toàn cầu nhanh chóng và hiệu quả hơn so với các giải pháp
mạng diện rộng WAN. Với VPN, ta có thể giảm chi phí xây dựng do tận dụng được cơ
sở hạ tầng công cộng sẵn có, giảm chi phí thường xuyên, mềm dẻo trong xây dựng.
Để tiếp cận các hướng công nghệ mới đang triển khai trong môi trường mạng
viễn thông hiện nay, tôi lựa chọn đề tài “Nghiên cứu các giải pháp VPN trên nền công
Nguyễn Mạnh Hùng, Lớp D04VT1 i
Đồ án tốt nghiệp Đại Học Lời nói đầu
nghệ MPLS”. Nhằm lĩnh hội các kiến thức và xác định điểm mấu chốt của giải pháp
hướng tới, làm chủ công nghệ.
Nội dung tìm hiểu của đồ án gồm 3 chương chia thành 2 phần lớn:
Phần I: Giới thiệu chung về công nghệ VPN và các giao thức đã đuợc sử dụng
đối với công nghệ VPN đó là: L2F, PPTP, L2TP, IPSec.
Phần II: Giới thiệu về công nghệ VPN trên nền MPLS.
Nội dung của mỗi chương cụ thể như sau:
Chương I: GIỚI THIỆU TỔNG QUAN VỀ VPN. Trong chương này chỉ ra các
khái niệm cơ bản về công nghệ mạng riêng ảo và các loại VPN đang được triển khai
hiện nay.
Chương II: CÁC GIAO THỨC HOẠT ĐỘNG TRONG VPN. Chương này giới
thiệu hai giao thức cơ bản là IPSec hỗ trợ cho bảo mật của VPN trên nền IP và giao
thức đường hầm lớp 2 là xu hướng phát triển mạnh mẽ như hiện nay. Đó cũng là những
quá trình tác động trực tiếp tới các mô hình VPN trên các hạ tầng lớp hai như
ATM/MPLS.
Chương III: MẠNG RIÊNG ẢO TRÊN NỀN MPLS. Với các đặc tính của hai
công nghệ đang được triển khai hiện nay, chương này chỉ ra các giải pháp cụ thể và
các phân tích nhằm thể hiện các ưu nhược điểm của công nghệ cũng như đánh giá sự
phát triển của công nghệ VPN/MPLS.
Do nhiều mặt còn hạn chế nên nội dung của đề tài khó tránh khỏi những sai sót.
Tác giả rất mong nhận được ý kiến đóng góp của các thầy cô và bạn đọc.
Em xin chân thành cảm ơn Ths Hoàng Trọng Minh đã tận tình hướng dẫn em
hoàn thành đề tài.
Hà nội, ngày tháng năm 2008
Sinh viên: Nguyễn Mạnh Hùng
Nguyễn Mạnh Hùng, Lớp D04VT1 ii
Đồ án tốt nghiệp Đại Học Mục lục
MỤC LỤC
PHẦN I...............................................................................................................................1CHƯƠNG I: GIỚI THIỆU TỔNG QUAN VỀ VPN..............................................................1
1.1 Khái niệm mạng riêng ảo..............................................................................................11.2 Những lợi ích do VPN đem lại......................................................................................31.3 Nhược điểm và một số vấn đề cần phải khắc phục.......................................................41.4 Phân loại VPN và ứng dụng.........................................................................................5
1.4.1 VPN truy nhập từ xa...............................................................................................51.4.2 VPN điểm tới điểm.................................................................................................7
1.4.2.1 VPN cục bộ......................................................................................................81.4.2.2. VPN mở rộng..................................................................................................9
1.5 Các loại mạng VPN....................................................................................................101.5.1 Người dùng truy nhập từ xa thông qua Internet (Access VPN)...........................101.5.2 Nối các mạng trên Internet (Intranet VPN).........................................................111.5.3 Nối các máy tính trên một Intranet (Extranet VPN)............................................12
1.6 Kết luận.......................................................................................................................132.1 Dạng thức hoạt động..................................................................................................14
2.1.1 Kết hợp bảo mật SA..............................................................................................142.1.2 Xác thực tiêu đề AH.............................................................................................152.1.3 Bọc gói bảo mật tải ESP......................................................................................172.1.4 Chế độ làm việc....................................................................................................19
2.2 Quản lý khóa...............................................................................................................212.2.1 Các chế độ của Oakley và các pha của ISAKMP................................................222.2.2 Đàm phán SA........................................................................................................26
2.3 Sử dụng IPSec.............................................................................................................262.3.1 Các cổng nối bảo mật..........................................................................................272.3.2 Các SA đại diện....................................................................................................272.3.3 Host từ xa.............................................................................................................282.3.4 Một ví dụ minh họa..............................................................................................29
2.4 Các vấn đề còn tồn đọng trong IPSec.........................................................................302.5 Các giao thức đường hầm...........................................................................................31
2.5.1 Giới thiệu về các giao thức đường hầm...............................................................312.5.2 Giao thức chuyển tiếp lớp 2 – L2F......................................................................32
2.5.2.1. Cấu trúc gói L2F..........................................................................................322.5.2.2 Hoạt động của L2F........................................................................................332.5.2.3 Ưu nhược điểm của L2F................................................................................35
2.5.3 Giao thức đường hầm điểm tới điểm – PPTP......................................................352.5.3.1 Khái quát về hoạt động của PPTP................................................................352.5.3.2 Duy trì đường hầm bằng kết nối điều khiển PPTP........................................372.5.3.3 Đóng gói dữ liệu đường hầm PPTP..............................................................372.5.3.4 Xử lý dữ liệu tại đầu cuối đường hầm PPTP................................................402.5.3.5 Triển khai VPN dựa trên PPTP.....................................................................402.5.3.6 Ưu nhược điểm và khả năng ứng dụng của PPTP........................................42
Nguyễn Mạnh Hùng, Lớp D04VT1 iii
Đồ án tốt nghiệp Đại Học Mục lục
2.5.4 Giao thức L2TP....................................................................................................432.5.4.1 Dạng thức của L2TP.....................................................................................442.5.4.2 Sử dụng L2TP................................................................................................532.5.4.3 Khả năng áp dụng của L2TP.........................................................................56
PHẦN II............................................................................................................................58CHƯƠNG III: MẠNG RIÊNG ẢO TRÊN NỀN MPLS.........................................................58
3.1 Các thành phần của MPLS – VPN..............................................................................583.1.1 Hệ thống cung cấp dịch vụ MPLS – VPN............................................................583.1.2 Bộ định tuyến biên của nhà cung cấp dịch vụ......................................................593.1.3 Bảng định tuyến và chuyển tiếp ảo......................................................................60
3.2 Các mô hình MPLS – VPN.........................................................................................623.2.1 Mô hình V3VPN...................................................................................................623.2.2 Mô hình L2VPN....................................................................................................63
3.3 Hoạt động của MPLS – VPN......................................................................................643.3.1 Truyền thông tin định tuyến.................................................................................643.3.2 Địa chỉ VPN – IP..................................................................................................663.3.3 Chuyển tiếp gói tin VPN.......................................................................................69
3.4 Bảo mật trong MPLS - VPN.......................................................................................733.5 Chất lượng dịch vụ trong MPLS – VPN.....................................................................74
3.5.1 Mô hình ống.........................................................................................................753.5.2 Mô hình vòi..........................................................................................................77
3.6 So sánh các đặc điểm của VPN trên nền IPSec và MPLS..........................................783.6.1 Các tiêu chí đánh giá...........................................................................................793.6.2 Các đặc điểm nổi bật của IPSec – VPN và MPLS – VPN....................................80
3.8 Kết chương..................................................................................................................83
BÀI TOÁN MÔ PHỎNG MẠNG MPLS – VPN.............................................841. ĐẶT VẤN ĐỀ................................................................................................................842. XÂY DỰNG BÀI TOÁN................................................................................................843. SỬ DỤNG CÔNG CỤ MÔ PHỎNG..........................................................................100
3.1 Phần mềm GNS3...................................................................................................1003.2 Phầm mềm NS2.....................................................................................................1003.3 Lựa chọn phần mềm mô phỏng.............................................................................102
4. KẾT QUẢ VÀ ĐÁNH GIÁ..........................................................................................102KẾT LUẬN..........................................................................................................................109TÀI LIỆU THAM KHẢO....................................................................................................111LỜI CẢM ƠN......................................................................................................................112
Nguyễn Mạnh Hùng, Lớp D04VT1 iv
Đồ án tốt nghiệp Đại Học Danh mục hình vẽ
DANH MỤC HÌNH VẼ
Hình 1.1: Mô hình VPN truy cập từ xa...................................................................................6Hình 1.2: Mô hình VPN cục bộ..............................................................................................8Hình 1.3: Mô hình VPN mở rộng...........................................................................................9Hình 1.4: Dùng VPN để kết nối client từ xa đến mạng LAN riêng......................................11Hình 1.5: Tổ chức truy nhập Ipass.......................................................................................11Hình 1.6: Dùng VPN để kết nối 2 vị trí từ xa.......................................................................12Hình 1.7: Dùng VPN để kết nối hai máy tính từ xa trong cùng một LAN............................13Hình 2.1: Khuôn dạng gói tin Ipv4 trước và sau khi xử lý AH.............................................16Hình 2.2: Khuôn dạng gói tin Ipv6 trước và sau khi xử lý AH.............................................16Hình 2.3: Bọc gói bảo mật tải..............................................................................................17Hình 2.4: So sánh xác thực bởi AH và ESP.........................................................................18Hình 2.5: Chế độ đường hầm AH.........................................................................................19Hình 2.6: Chế độ đường hầm ESP.......................................................................................20Hình 2.7: Các trường hợp của chế độ giao vận và đường hầm...........................................20Hình 2.8: Chế độ chính ISAKMP.........................................................................................23Hình 2.9: Chế độ năng động ISAKMP.................................................................................24Hình 2.10: Chế độ nhanh ISAKMP......................................................................................25Hình 2.11: Các thành phần của một Internet VPN..............................................................26Hình 2.12: IPSec và các chính sách bảo mật.......................................................................29Hình 2.13: Ví dụ về IPSec VPN............................................................................................30Hình 2.14: Khuôn dạng của gói L2F....................................................................................32Hình 2.15: Mô hình hệ thống sử dụng L2F..........................................................................33Hình 2.18: Sơ đồ đóng gói PPTP.........................................................................................39Hình 2.19: Các thành phần của hệ thống cung cấp VPN dựa trên PPTP...........................41Hình 2.20: Kiến trúc của L2TP............................................................................................44Hình 2.21: Các giao thức sử dụng trong một kết nối L2TP.................................................45Hình 2.22: Bọc gói L2TP......................................................................................................45Hình 2.23: Các đường hầm tự nguyện và bắt buộc..............................................................46Hình 2.24: Mã hóa gói cho đường hầm bắt buộc................................................................50Hình 2.26: Mã hóa gói cho đường hầm tự nguyện...............................................................51Hình 2.27: Đường hầm L2TP kết nối LAN – LAN...............................................................52Hình 2.28: Các thành phần cơ bản của L2TP......................................................................54Hình 2.29: Quay số L2TP trong VPN..................................................................................56Hình 3.1: Hệ thống cung cấp dịch vụ MPLS – VPN và các thành phần.............................59Hình 3.2: Bộ định tuyến PE và sơ đồ kết nối các site khách hàng.......................................60Hình 3.3: Mô hình MPLS L3VPN.........................................................................................62Hình 3.4: Mô hình MPLS L2VPN.........................................................................................64Hình 3.5: Địa chỉ VPN – Ipv4..............................................................................................66Hình 3.6: Khuôn dạng trường phân biệt tuyến....................................................................67Hình 3.7: Sử dụng nhãn để chuyển tiếp gói tin VPN............................................................70Hình 3.8: Sử dụng ngăn xếp nhãn để chuyển tiếp gói tin VPN............................................70Hình 3.9: Hoạt động chuyển tiếp dữ liệu VPN qua mạng MPLS.........................................72
Nguyễn Mạnh Hùng, Lớp D04VT1 v
Đồ án tốt nghiệp Đại Học Danh mục hình vẽ
Hình 3.10: Mô hình ống chất lượng dịch vụ trong MPLS – VPN........................................76Hình 3.11: Mô hình vòi chất lượng dịch vụ trong MPLS – VPN.........................................78
Nguyễn Mạnh Hùng, Lớp D04VT1 vi
Đồ án tốt nghiệp Đại Học Thuật ngữ viết tắt
THUẬT NGỮ VIẾT TẮT
VIẾT TẮT TIẾNG ANH TIẾNG VIỆT
A
AC Access Concentrator Bộ tập kết truy nhập
ATM Asynchronous Transfer Mode Phương thức truyền tải không
đồng bộ
ASN Autonomous System Number Số hệ tự trị
AN Assigned Number Số gán
B
BGP Border Gateway Protocol Giao thức cổng biên
BGPv4 Border Gateway Protocol version 4 Giao thức cổng biên phiên bản 4
C
CHAP Challenge Handshake Authentication
Protocol
Giao thức xác thực đòi hỏi bắt tay
E
ECR Egress Committed Rate Tốc độ cam kết đầu ra
EAP Extensible Authentication Protocol Giao thức xác thực mở rộng
ESP Encapsulating Security Payload Đóng gói bảo mật tải
F
FTP File Transfer Protocol Giao thức truyền file
FCS Frame Check Sequence Chuỗi kiểm tra khung
FR Frame Relay Chuyển tiếp khung
G
GRE Generic Routing Encapsulation Đóng gói định tuyến chung
H
HMAC Hashed-keyed Message
Authenticaiton Code
Mã nhận thực bản tin băm
I
IP Internet Protocol Giao thức Internet
ICR Ingress Committed Rate Tốc độ cam kết đầu vào
IS – IS Intermediate System to Intermediate
System
IPSec Internet Protocol Security Bảo mật giao thức Internet
Nguyễn Mạnh Hùng, Lớp D04VT1 vii
Đồ án tốt nghiệp Đại Học Thuật ngữ viết tắt
ISAKMP Internet Security Association and
Key Management Protocol
Giao thức kết hợp an ninh và
quản lí khóa qua Internet
IKE Internet Key Exchange Giao thức trao đổi khóa
ICMP Internet Control Message Protocol Giao thức bản tin điều khiển
Internet
IP – AH IP – Authentication Header Xác thực tiêu đề IP
ISDN Intergrated Service Digital Network Mạng số tích hợp đa dịch vụ
ISP Internet Service Provider Nhà cung cấp dịch vụ Internet
IMAP Internet Message Access Protocol Giao thức truy cập nhập thông tin
Internet
L
L2VPN Layer Two VPN Mạng riêng ảo lớp 2
L3VPN Layer Three VPN Mạng riêng ảo lớp 3
LCP Link Control Protocol Giao thức điều khiển đường
truyền
L2TP Layer Two Tunneling Protocol Giao thức đường hầm lớp 2
L2F Layer Two Forwarding Giao thức chuyển tiếp lớp 2
LAN Local Area Network Mạng cục bộ
M
MP - BGP Multiprotocol BGP Đa giao thức BGP
MPLS Multi Protocol Laber Switching Bộ định tuyến chuyển mạch nhãn
MD5 Message Digest 5 Thuật toán tóm tắt bản tin MD5N
NAT Network Address Translation Biên dịch địa chỉ mạng
NAS Network Access Server Máy chủ truy nhập mạng
O
OSPFOpen Shortest Path First (ATM)
Giao thức định tuyến OSPF
P
POP Point of Presence Điểm hiển diện
PPTP Point to Point Tunneling Protocol Giao thức đường hầm điểm tới
điểm
PKI Public Key Infrastructure Cơ sở hạ tầng khóa công cộng
PPP Point-to-Point Protocol Giao thức điểm tới điểm
Nguyễn Mạnh Hùng, Lớp D04VT1 viii
Đồ án tốt nghiệp Đại Học Thuật ngữ viết tắt
PAP Password Authentication Protocol
R
RAS Remote Access Server Máy chủ truy nhập từ xa
RADIUS Remote Authentication Dial-in User
Service
Dịch vụ nhận thực người dùng
quay số từ xa
S
SLA Service Level Agreements Các thỏa thuận mức dịch vụ
SA Security Association Liên kết an ninh
SPI Security Parameter Index Chỉ số thông số an ninh
SHA-1 Secure Hash Algorithm-1 Thuật toán băm SHA-1
SPE (Sonet) Synchronous Payload Envelop
Đường bao tải hiệu dụng đồng bộ
T
TACACS+ Terminal Access Controller Access
Control System Plus
Hệ thống điều khiển bộ điều
khiển truy nhập đầu cuối
TCP Transmission Control Protocol Giao thức điều khiển truyền tải
U
UDP User Datagram Protocol Giao thức Datagram của khách
hàng
V
VPN Virtual Private Network Mạng riêng ảo
VRF Virtual Routing and Forwording Bảng định tuyến chuyển tiếp ảo
W
WAN Wide Area Network Mạng diện rộng
WWW World Wide Web Trang tin toàn cầu
X
xDSL X-Type Digital Subscriber Line Đường dây thuê bao số loại
Nguyễn Mạnh Hùng, Lớp D04VT1 ix
Đồ án tốt nghiệp đại học Chương I: Giới thiệu tổng quan về VPN
PHẦN I
CHƯƠNG I: GIỚI THIỆU TỔNG QUAN VỀ VPNVPN có thể được hiểu như là mạng kết nối các site khách hàng đảm bảo an ninh
trên cơ sở hạ tầng mạng chung cùng với các chính sách điều khiển truy nhập và bảo mật
như một mạng riêng. Tuy được xây dựng trên cơ sở hạ tầng sẵn có của mạng công công
nhưng VPN lại có được các tính chất của một mạng cục bộ như khi sử dụng các đường
kênh thuê riêng. Trong phần giới thiệu này chúng ta sẽ xem xét đến những vấn đề cơ
bản về VPN, các loại hình VPN, những lợi ích mà nó đem lại, cùng với một số vấn đề
liên quan.
1.1 Khái niệm mạng riêng ảo
Mạng riêng ảo là phương pháp làm cho một mạng công cộng (ví dụ như mạng
Internet) hoạt động giống như một mạng cục bộ, có cùng các đặc tính như bảo mật và
tính ưu tiên mà người dùng từng ưa thích. VPN cho phép thành lập các kết nối riêng với
những người dùng ở xa, các văn phòng chi nhánh của công ty và đối tác của công ty
đang sử dụng chung một mạng công cộng. Mạng diện rộng WAN (Wide Area Network)
truyền thống yêu cầu công ty phải chi phí và duy trì nhiều loại đường dây riêng, song
song với việc đầu tư các thiết bị và đội ngũ cán bộ. Nhưng những vấn đề về chi phí làm
cho các công ty dù muốn hưởng những lợi ích mà việc mở rộng mạng đem lại nhưng
đôi khi họ không thực hiện nổi. Trong khi đó, VPN không bị những rào cản về chi phí
như các mạng WAN trên do được thực hiện qua một mạng công cộng.
Thực ra, khái niệm VPN không phải là một công nghệ mới, chúng đã từng được
sử dụng trong các mạng điện thoại (Telephone Networks) cách đây nhiều năm và trở
nên phổ biến do sự phát triển của mạng thông minh. Các mạng VPN chỉ trở nên thực sự
mới mẻ khi chúng chuyển thành các mạng IP (mạng sử dụng giao thức Internet) chẳng
hạn như mạng Internet. VPN sử dụng việc mã hóa dữ liệu để ngăn ngừa các người dùng
không được phép truy cập đến dữ liệu và bảo đảm dữ liệu không bị sửa đổi.
Định đường hầm (tunneling) là một cơ chế dùng cho việc đóng gói (encapsulate)
một giao thức vào trong một giao thức khác. Trong ngữ cảnh Internet, định đường hầm
cho phép các giao thức như IPX, AppleTalk và IP được mã hóa, sau đó đóng gói trong
Nguyễn Mạnh Hùng, Lớp D04VT1 1
Đồ án tốt nghiệp đại học Chương I: Giới thiệu tổng quan về VPN
IP. Tương tự, trong ngữ cảnh VPN, định đường hầm che giấu giao thức lớp mạng
nguyên thủy bằng cách mã hóa gói dữ liệu và chứa gói đã mã hóa vào trong một vỏ bọc
IP (IP envelope). Vỏ bọc IP này, thực ra là một gói IP, sau đó sẽ được chuyển đi một
cách bảo mật qua mạng Internet. Tại bên nhận, sau khi nhận được gói trên sẽ tiến hành
gỡ bỏ vỏ bọc bên ngoài và giải mã thông tin dữ liệu trong gói này và phân phối đến
thiết bị truy cập thích hợp, chẳng hạn như một bộ định tuyến.
VPN còn cung cấp các thỏa thuận về chất lượng dịch vụ (QoS), những thỏa thuận
này thường được định ra cho một giới hạn trên cho phép về độ trễ trung bình của gói tin
trong mạng. Ngoài ra, các thỏa thuận trên có thể kèm theo một sự chỉ định cho giới hạn
dưới của băng thông hiệu dụng cho mỗi người dùng. Các thỏa thuận này được phát triển
thông qua các thỏa thuận mức dịch vụ SLA (Service Level Agreements) với nhà cung
cấp dịch vụ.
Qua những vấn đề đã trình bày ở trên ta có thể định nghĩa VPN một cách ngắn
gọn qua công thức sau:
VPN = Định đường hầm + Bảo mật + Các thỏa thuận về QoS
Nhờ vào lợi thế của các ứng dụng quan trọng được triển khai trên mạng Intranet
và các mạng truy cập từ xa đã làm cho khách hàng thỏa mãn hơn trong công việc của
họ, các hoạt động kinh doanh của công ty trở nên hợp lý, hiệu quả và đạt tới những thị
trường rộng lớn hơn. Tuy nhiên các vấn đề về chi phí mạng (bao gồm chi phí thiết bị,
đường dây, chi phí cho việc bảo dưỡng…) cũng như việc quản lý mạng là những vấn đề
quan trọng đối với nhiều công ty, đặc biệt là những công ty muốn thu hồi vốn nhanh để
tái sản xuất. Do đó người ta đã đưa ra giải pháp xây dựng những mạng riêng ảo để giảm
thiểu chi phí mạng cho công ty, thay thế cho các giải pháp dùng đường truyền chuyên
biệt truyền thống như trước đây.
Nhờ vào việc nối mạng qua VPN tiết kiệm chi phí hơn hẳn giải pháp thuê bao
đường truyền, các doanh nghiệp có thể tự mình mở rộng tầm hoạt động của công ty ở
mức toàn cầu (thông qua mạng Internet) mà không cần đầu tư ở mức quy mô toàn cầu.
VPN có vai trò quan trọng trong doanh nghiệp nhờ vào việc giảm chi phí kết nối đối với
các nhân viên lưu động (mobile worker) – vì các công ty có nhiều chi nhánh trên thế
giới thì đội ngũ nhân viên của họ đông, nhiều người phải làm việc ở những quốc gia xa
trung tâm – mở rộng Intranet đến văn phòng chi nhánh, liên lạc với đối tác và khách
hàng chủ yếu thông qua mạng Extranet. Sau đây chúng ta sẽ đề cập đến một số lợi ích,
Nguyễn Mạnh Hùng, Lớp D04VT1 2
Đồ án tốt nghiệp đại học Chương I: Giới thiệu tổng quan về VPN
giá trị của VPN, các thuật ngữ liên quan đến VPN, cũng như trình bày tổng quát các
phương thức hoạt động hiện nay của các VPN, để tạo điều kiện cho việc lựa chọn
phương thức thích hợp, hiệu quả nhất để xây dựng một VPN.
1.2 Những lợi ích do VPN đem lạiVPN mang lại lợi ích thực sự và tức thời cho công ty. Có thể dùng VPN để đơn
giản hóa việc truy cập đối với các nhân viên làm việc và người dùng lưu động, mở rộng
Intranet đến từng văn phòng chi nhánh, thậm chí triển khai Extranet đến tận khách hàng
và các đối tác chủ chốt và điều quan trọng là những công việc trên đều có chi phí thấp
hơn nhiều so với việc mua thiết bị và đường dây cho mạng WAN riêng. VPN do một
nhà cung cấp dịch vụ làm chủ và quản lý, bằng quy mô kinh tế và các công nghệ tiên
tiến, họ có thể phục vụ nhiều tổ chức trên cùng một mạng, dùng các phần mềm hiện đại
để phân biệt lưu lượng dữ liệu của công ty này được tách riêng với các công ty khác. Có
thể dẫn chứng những ưu điểm của VPN như sau:
Giảm chi phí thường xuyên
VPN cho phép tiết kiệm đến 60% chi phí so với thuê đường truyền và giảm đáng
kể tiền cước gọi đến của các nhân viên làm việc ở xa. Giảm được cước phí đường dài
khi truy cập VPN cho các nhân viên di động và các nhân viên làm việc ở xa nhờ vào
việc họ truy cập vào mạng thông qua các điểm kết nối POP (Point of Presence) ở địa
phương, hạn chế gọi đường dài đến các modem tập trung.
Giảm chi phí đầu tư
Sẽ không tốn chi phí đầu tư cho máy chủ, bộ định tuyến cho mạng đường trục và
các bộ chuyển mạch phục vụ cho việc truy cập bởi vì các thiết bị này do các nhà cung
cấp dịch vụ quản lý và làm chủ. Công ty cũng không phải mua, thiết lập cấu hình hoặc
quản lý các nhóm modem phức tạp. Ngoài ra họ cũng có thể thuê với giá rẻ các thiết bị
phục vụ khách hàng, thường có sẵn ở các nhà cung cấp dịch vụ, hoặc từ các công ty
dịch vụ giá trị gia tăng, nhờ thế việc nâng cấp mạng cũng trở nên dễ dàng và ít tốn kém
hơn.
Giảm chi phí quản lý và hỗ trợ
Với quy mô kinh tế của mình, các nhà cung cấp dịch vụ có thể mang lại cho công
ty những khoản tiết kiệm có giá trị so với việc tự quản lý mạng, giảm hay loại trừ hẳn
yêu cầu nhân viên “tại nhà”. Hơn nữa, nhận được sự hỗ trợ và phục vụ 24/24 do những
nhân viên lành nghề luôn sẵn sàng đáp ứng mọi lúc, giải quyết nhanh chóng các sự cố.
Nguyễn Mạnh Hùng, Lớp D04VT1 3
Đồ án tốt nghiệp đại học Chương I: Giới thiệu tổng quan về VPN
Truy cập mọi lúc, mọi nơi
Khách hàng của VPN qua mạng mở rộng này, có quyền truy cập và khả năng
như nhau đối với các dịch vụ trung tâm bao gồm WWW, email, FTP… cũng như các
ứng dụng thiết thực khác, khi truy cập chúng thông qua những phương tiện khác nhau
như qua mạng cục bộ LAN (Local Area Network), modem, modem cáp, đường dây
thuê bao số xDSL… mà không cần quan tâm đến những phần phức tạp bên dưới.
Khả năng mở rộng
Do VPN xây dựng trên cơ sở hạ tầng mạng công cộng nên bất cứ ở nơi nào có
mạng công cộng (như Internet) đều có thể triển khai VPN. Ngày nay mạng Internet có
mặt ở khắp mọi nơi nên khả năng mở rộng của VPN rất dễ dàng. Khả năng mở rộng còn
thể hiện ở chỗ, khi một văn phòng hay một chi nhánh yêu cầu băng thông lớn hơn thì nó
có thể được nâng cấp dễ dàng. Ngoài ra, cũng có thể dàng gỡ bỏ VPN khi không có nhu
cầu.
1.3 Nhược điểm và một số vấn đề cần phải khắc phụcSự rủi ro an ninh
Một mạng riêng ảo thường rẻ và hiệu quả hơn so với giải pháp sử dụng thuê kênh
riêng. Tuy nhiên, nó cũng tiềm ẩn nhiền rủi ro an ninh khó lường trước. Mặc dù hầu hết
các nhà cung cấp dịch vụ quảng cáo rằng giải pháp của họ là đảm bảo an toàn, sự an
toàn đó không bao giờ là tuyệt đối. Cũng có thể làm cho VPN khó phá hoại hơn bằng
cách bảo vệ tham số của mạng một cách thích hợp, song điều này lại ảnh hưởng đến giá
thành của dịch vụ.
Độ tin cậy và sự thực thi
VPN sử dụng phương pháp mã hóa để bảo mật dữ liệu, và các hàm mật mã phức
tạp có thể dẫn đến lưu lượng tải trên các máy chủ là khá nặng. Nhiệm vụ của người
quản trị mạng là quản lí tải trên máy chủ bằng cách giới hạn số kết nối đồng thời để biết
máy chủ nào có thể điều khiển. Tuy nhiên, khi số người cố gắng kết nối tới VPN đột
nhiên tăng vọt và phá vỡ hết quá trình truyền tin, thì chính các nhân viên quản trị này
cũng không thể kết nối được vì tất cả các cổng của VPN đều bận. Điều đó chính là động
cơ thúc đẩy người quản trị tạo ra các khóa ứng dụng làm việc mà không đòi hỏi VPN.
Chẳng hạn thiết lập dịch vụ proxy hoặc dịch vụ Internet Message Access Protocol để
cho phép nhân viên truy nhập e-mail từ nhà hay trên đường.
Vấn đề lựa chọn giao thức
Nguyễn Mạnh Hùng, Lớp D04VT1 4
Đồ án tốt nghiệp đại học Chương I: Giới thiệu tổng quan về VPN
Việc lựa chọn giao thức giữa IPSec hay SSL/TLS là một vấn đề khó quyết định,
cũng như viễn cảnh sử dụng chúng như thế nào cũng khó có thể nói trước. Một điều cần
cân nhắc là SSL/TLS có thể làm việc thông qua một tường lửa dựa trên bảng biên dịch
địa chỉ NAT, còn IPSec thì không. Nhưng nếu cả hai giao thức làm việc qua tường lửa
thì sẽ không dịch được địa chỉ. IPSec mã hóa tất cả các lưu lượng IP truyền tải giữa hai
máy tính, còn SSL/TLS thì đặc tả một ứng dụng. SSL/TLS dùng các hàm mã hóa không
đối xứng để thiết lập kết nối và nó bảo vệ hiệu quả hơn so với dùng các hàm mã hóa
đối xứng.
Trong các ứng dụng trong thực tế, người quản trị có thể quyết định kết hợp và
ghép các giao thức để tạo ra sự cân bằng tốt nhất cho sự thực thi và độ an toàn của
mạng. Ví dụ, các client có thể kết nối tới một Web server thông qua tường lửa dùng
đường dẫn an toàn của SSL/TLS, Web server có thể kết nối tới một dịch vụ ứng dụng
dùng IPSec, và dịch vụ ứng dụng có thể kết nối tới một cơ sở dữ liệu thông qua các
tường lửa khác dùng SSL.
1.4 Phân loại VPN và ứng dụngMạng riêng ảo VPN cung cấp nhiều khả năng ứng dụng khác nhau. Yêu cầu cơ
bản đối với VPN là phải điều khiển được quyền truy nhập của khách hàng, các nhà
cung cấp dịch vụ cũng như các đối tượng bên ngoài khác. Dựa vào hình thức ứng dụng
và khả năng mà mạng riêng ảo mang lại, có thể phân chúng thành hai loại như sau:
VPN truy nhập từ xa (Remote Access VPN)
VPN điểm tới điểm (Site-to-Site VPN):
VPN cục bộ (Intranet VPN)
VPN mở rộng (Extranet VPN)
1.4.1 VPN truy nhập từ xaCác VPN truy nhập từ xa cung cấp khả năng truy nhập từ xa cho người sử dụng
(Hình 1.1). Tại mọi thời điểm, các nhân viên hay chi nhánh văn phòng di động có thể sử
dụng các phần mềm VPN để truy nhập vào mạng của công ty thông qua gateway hoặc
bộ tập trung VPN (bản chất là một server). Giải pháp này vì thế còn được gọi là giải
pháp client/server. VPN truy nhập từ xa là kiểu VPN điển hình nhất, bởi vì chúng có thế
được thiết lập vào bất kể thời điểm nào và từ bất cứ nơi nào có mạng Internet.
Nguyễn Mạnh Hùng, Lớp D04VT1 5
Đồ án tốt nghiệp đại học Chương I: Giới thiệu tổng quan về VPN
Hình 1.1: Mô hình VPN truy cập từ xa
VPN truy nhập từ xa mở rộng mạng công ty tới những người sử dụng thông qua
cơ sở hạ tầng chia sẻ chung, trong khi những chính sách mạng công ty vẫn duy trì.
Chúng có thể dùng để cung cấp truy cập an toàn cho những nhân viên thường xuyên
phải đi lại, những chi nhánh hay những bạn hàng của công ty. Những kiểu VPN này
được thực hiện thông qua cơ sở hạ tầng công cộng bằng cách sử dụng công nghệ ISDN,
quay số, IP di động, DSL hay công nghệ cáp và thường xuyên yêu cầu một vài kiểu
phần mềm client chạy trên máy tính của người sử dụng.
Một hướng phát triển khá mới trong VPN truy nhập từ xa là dùng VPN không
dây (Wireless), trong đó một nhân viên có thể truy nhập về mạng của họ thông qua kết
nối không dây. Trong thiết kế này, các kết nối không dây cần phải kết nối về một trạm
không dây (Wireless Terminal) và sau đó về mạng của công ty. Trong cả hai trường
hợp (có dây và không dây), phầm mềm client trên máy PC đều cho phép khởi tạo các
kết nối bảo mật, còn được gọi là đường hầm.
Một vấn đề quan trọng là việc thiết kế quá trình xác thực ban đầu để đảm bảo yêu
cầu được xuất phát từ một nguồn tin cậy. Thường thì giai đoạn ban đầu này dựa trên
cùng một chính sách về bảo mật của công ty. Chính sách này bao gồm một số qui trình
Nguyễn Mạnh Hùng, Lớp D04VT1 6
Đồ án tốt nghiệp đại học Chương I: Giới thiệu tổng quan về VPN
kỹ thuật và các ứng dụng chủ, ví dụ Remote Authentication Dial-In User Service
(RADIUS), Terminal Access Controller Access Control System Plus (TACACS+),…
Các ưu điểm của VPN truy nhập từ xa so với các phương pháp truy nhập từ xa
truyền thống:
- VPN truy nhập từ xa không cần sự hỗ trợ của nhân viên mạng bởi vì quá trình
kết nối từ xa được các ISP thực hiện.
- Giảm được các chi phí cho kết nối từ khoảng cách xa bởi vì các kết nối khoảng
cách xa được thay thế bởi các kết nối cục bộ thông qua mạng Internet.
- Cung cấp dịch vụ kết nối giá rẻ cho những người sử dụng ở xa.
- Do kết nối truy nhập là nội bộ nên các modem kết nối hoạt động ở tốc độ cao
hơn so với cách truy nhập khoảng cách xa.
- VPN cung cấp khả năng truy nhập tốt hơn đến các site của công ty bởi vì chúng
hỗ trợ mức thấp nhất của dịch vụ kết nối.
Mặc dù có nhiều ưu điểm nhưng mạng VPN truy nhập từ xa vẫn còn những
nhược điểm cố hữu đi cùng như:
- VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo QoS.
- Nguy cơ bị mất dữ liệu cao do các gói có thể phân phát không đến nơi hoặc bị
mất.
- Do thuật toán mã hóa phức tạp nên tiêu đề giao thức tăng một cách đáng kể.
1.4.2 VPN điểm tới điểmVPN điểm tới điểm (Site-to-Site hay LAN-to-LAN) là giải pháp kết nối các hệ
thống mạng ở những nơi khác nhau với mạng trung tâm thông qua VPN. Trong trường
hợp này, quá trình xác thực ban đầu cho người sử dụng sẽ là quá trình xác thực giữa các
thiết bị. Các thiết bị này hoạt động như cổng an ninh (Security Gateway), truyền lưu
lượng một cách an toàn từ Site này đến Site kia. Các thiết bị định tuyến hay tường lửa
với hỗ trợ VPN đều có khả năng thực hiện kết nối này. Sự khác nhau giữa VPN truy
nhập từ xa và VPN điểm tới điểm chỉ mang tính tượng trưng. Nhiều thiết bị VPN mới
có thể hoạt động theo cả hai cách này.
VPN điểm tới điểm có thể được xem như một VPN cục bộ hoặc mở rộng xét từ
quan điểm quản lý chính sách. Nếu hạ tầng mạng có chung một nguồn quản lý, nó có
thể được xem như VPN cục bộ. Ngược lại, nó có thể được coi là mở rộng. Vấn đề truy
nhập giữa các điểm phải được kiểm soát chặt chẽ bởi các thiết bị tương ứng.
Nguyễn Mạnh Hùng, Lớp D04VT1 7
Đồ án tốt nghiệp đại học Chương I: Giới thiệu tổng quan về VPN
1.4.2.1 VPN cục bộVPN cục bộ là một dạng cấu hình tiêu biểu của VPN điểm tới điểm, được sử
dụng để bảo mật các kết nối giữa các địa điểm khác nhau của một công ty (hình 1.2).
Nó liên kết trụ sở chính, các văn phòng, chi nhánh trên cơ sở hạ tầng chung sử dụng các
kết nối luôn được mã hóa bảo mật. Điều này cho phép tất cả các địa điểm có thể truy
nhập an toàn các nguồn dữ liệu được phép trong toàn bộ mạng của công ty.
Hình 1.2: Mô hình VPN cục bộ
VPN cục bộ cung cấp những đặc tính của mạng WAN như khả năng mở rộng,
tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phí thấp nhưng vẫn
đảm bảo tính mềm dẻo.
Những ưu điểm chính của giải pháp VPN cục bộ bao gồm:
- Các mạng cục bộ hay diện rộng có thể được thiết lập thông qua một hay nhiều
nhà cung cấp dịch vụ.
- Giảm được số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi xa.
- Do kết nối trung gian được thực hiện thông qua Internet, nên nó có thể dễ dàng
thiết lập thêm một liên kết ngang hàng mới.
- Tiết kiệm chi phí từ việc sử dụng đường hầm VPN thông qua Internet kết hợp
với các công nghệ chuyển mạch tốc độ cao.
Tuy nhiên giải pháp mạng cục bộ dựa trên VPN cũng có những nhược điểm đi
cùng như:
Nguyễn Mạnh Hùng, Lớp D04VT1 8
Đồ án tốt nghiệp đại học Chương I: Giới thiệu tổng quan về VPN
- Do dữ liệu được truyền “ngầm” qua mạng công cộng như Internet nên vẫn còn
những mối đe dọa về mức độ bảo mật dữ liệu và chất lượng dịch vụ (QoS).
- Khả năng các gói dữ liệu bị mất trong khi truyền dẫn vẫn còn khá cao.
- Trường hợp cần truyền khối lượng lớn dữ liệu như đa phương tiện với yêu cầu
tốc độ cao và đảm bảo thời gian thực là thách thức lớn trong môi trường Internet.
1.4.2.2. VPN mở rộngVPN mở rộng được cấu hình như một VPN điểm tới điểm, cung cấp đường hầm
bảo mật giữa các khách hàng, nhà cung cấp và đối tác thông qua một cơ sở hạ tầng
mạng công cộng (hình 1.3). Kiểu VPN này sử dụng các kết nối luôn được bảo mật và
nó không bị cô lập với thế giới bên ngoài như các trường hợp VPN cục bộ hay truy
nhập từ xa.
Hình 1.3: Mô hình VPN mở rộng
Giải pháp VPN mở rộng cung cấp khả năng điều khiển truy nhập tới những
nguồn tài nguyên mạng cần thiết để mở rộng tới những đối tượng kinh doanh. Sự khác
nhau giữa VPN cục bộ và VPN mở rộng là sự truy nhập mạng được công nhận ở một
trong hai đầu cuối của VPN
Những ưu điểm chính của mạng VPN mở rộng:
- Chi phí cho VPN mở rộng thấp hơn nhiều so với các giải pháp kết nối khác để
cùng đạt được mục đích như vậy.
- Dễ dàng thiết lập, bảo trì và thay đổi đối với mạng đang hoạt động.
Nguyễn Mạnh Hùng, Lớp D04VT1 9
Đồ án tốt nghiệp đại học Chương I: Giới thiệu tổng quan về VPN
- Do VPN mở rộng được xây dựng dựa trên mạng Internet nên có nhiều cơ hội
trong việc cung cấp dịch vụ và chọn lựa giải pháp phù hợp với các nhu cầu của
từng công ty.
- Các kết nối Internet được nhà cung cấp dịch vụ Internet bảo trì nên có thể giảm
được số lượng nhân viên kỹ thuật hỗ trợ mạng, và do vậy giảm chi phí vận hành
của toàn mạng.
Bên cạnh những ưu điểm, giải pháp VPN mở rộng cũng có những nhược điểm đi
cùng:
- Vấn đề bảo mật thông tin gặp khó khăn hơn trong môi trường mở rộng như vậy,
vấn đề này làm tăng nguy cơ rủi ro đối với mạng cục bộ của công ty.
- Khả năng mất dữ liệu trong khi truyền qua mạng công cộng vẫn còn tồn tại.
- Việc truyền khối lượng lớn dữ liệu với yêu cầu tốc độ cao và thời gian thực vẫn
còn là một thách thức lớn cần giải quyết.
1.5 Các loại mạng VPN
Có hai cách chủ yếu sử dụng các mạng riêng ảo VPN. Trước tiên các mạng VPN
có thể kết nối hai mạng với nhau. Điều này được biết đến như một mạng kết nối LAN-
LAN VPN hay một mạng site-to-site VPN. Thứ hai, một VPN truy nhập từ xa có thể
kết nối một người dùng từ xa với mạng.
1.5.1 Người dùng truy nhập từ xa thông qua Internet (Access VPN)Cung cấp các truy nhập từ xa đến một Intranet hay Extranet dựa trên cấu trúc hạ
tầng chia sẻ Access VPN, người dùng có khả năng truy cập đến các tài nguyên trong
VPN bất cứ khi nào, ở đâu mà nó cần. Đường truyền trong Access VPN có thể là tương
tự, quay số, ISDN, các đường thuê bao số (DSL), IP di động và cáp để nối các người
dùng di chuyển, máy tính từ xa hay các văn phòng lại với nhau. Ví dụ minh họa trên
hình 1.5
Nguyễn Mạnh Hùng, Lớp D04VT1 10
Đồ án tốt nghiệp đại học Chương I: Giới thiệu tổng quan về VPN
Hình 1.4: Dùng VPN để kết nối client từ xa đến mạng LAN riêng
Hình 1.5: Tổ chức truy nhập Ipass
1.5.2 Nối các mạng trên Internet (Intranet VPN)Có hai phương pháp sử dụng mạng VPN để kết nối các mạng cục bộ LAN (Local
Area Network) tại các điểm cuối ở xa:
- Dùng các đường thuê kênh riêng để nối một văn phòng chi nhánh đến mạng
LAN công ty: Các văn phòng chi nhánh và các bộ định tuyến có thể sử dụng một
Nguyễn Mạnh Hùng, Lớp D04VT1 11
Đồ án tốt nghiệp đại học Chương I: Giới thiệu tổng quan về VPN
mạng dành riêng cục bộ và ISP địa phương để kết nối đến Internet. Phần mềm
VPN sử dụng các cuộc nối ISP nội bộ và Internet công cộng để tạo một VPN
giữa các văn phòng chi nhánh và bộ định tuyến của các hub hợp nhất.
- Dùng đường dây quay số để kết nối một văn phòng chi nhánh đến LAN: Bộ định
tuyến ở văn phòng chi nhánh quay số đến ISP, phầm mềm VPN sử dụng cuộc nối
đến ISP để tạo một VPN giữa bộ định tuyến của văn phòng chi nhánh và bộ định
tuyến của hub thông qua Internet.
Chú ý: Trong cả hai trường hợp, cở sở hạ tầng để nối văn phòng chi nhánh và các
văn phòng liên kết đến Internet mang tính cục bộ. Cả VPN dạng client-server và server-
server sẽ tiết kiệm được chi phí rất lớn trong việc sử dụng phương pháp truy nhập quay
số. Các máy chủ VPN được nối đến ISP bằng một đường kênh thuê riêng (leased line)
và phải hoạt động 24/24 để nhận luồng dữ liệu đến.
Hình 1.6: Dùng VPN để kết nối 2 vị trí từ xa
1.5.3 Nối các máy tính trên một Intranet (Extranet VPN)Trong một số các liên kết mạng, một số người tiêu dùng trong LAN của một
phòng, ban nào đó không được kết nối bằng đường truyền vật lý thì sẽ nảy sinh vấn đề
về khả năng truy cập thông tin của người dùng đó.
VPN sẽ cho phép nhiều LAN được kết nối vật lý đến mạng hợp nhất và được
phân chia bởi một máy chủ VPN. Chú ý rằng, máy chủ VPN không hoạt động giống
như một bộ định tuyến giữa các mạng hợp nhất và các LAN. Một bộ định tuyến sẽ kết
nối đến hai mạng, cho phép quyền truy cập đến LAN. Bằng cách sử dụng một VPN,
người quản trị mạng có thể đảm bảo rằng chỉ có những người dùng đó trên các mạng
hợp nhất có các tiêu chuẩn phù hợp (dựa trên một chính sách của công ty) có thể thiết
lập một VPN với máy chủ VPN và truy cập được đến các tài nguyên được bảo vệ của
Nguyễn Mạnh Hùng, Lớp D04VT1 12
Đồ án tốt nghiệp đại học Chương I: Giới thiệu tổng quan về VPN
phòng ban đó. Thêm vào đó, tất cả dữ liệu trong VPN được đóng góp một cách tin cậy.
Người dùng nào đó không có các quyền thích hợp không thể truy cập vào LAN.
Hình 1.7: Dùng VPN để kết nối hai máy tính từ xa trong cùng một LAN
Tất cả hoạt động kinh doanh hoạt động ở cơ chế giống nhau như trong một mạng
riêng, bao gồm các vấn đề về bảo mật, chất lượng dịch vụ QoS, quản trị và độ tin cậy.
1.6 Kết luận
VPN được định nghĩa như là mạng kết nối các site khách hàng đảm bảo an ninh
trên cơ sở hạ tầng mạng chung cùng với các chính sách điều khiển truy nhập và bảo mật
như một mạng riêng. Tuy được xây dựng trên cơ sở hạ tầng sẵn có của một mạng công
cộng nhưng VPN lại có được các tính chất của mạng cục bộ như khi sử dụng các đường
kênh thuê riêng. Nó cho phép nối liền các chi nhánh của một công ty cũng như là với
đối tác, cung cấp khả năng điều khiển quyền truy nhập của khách hàng, các nhà cung
cấp dịch vụ hoặc các đối tượng bên ngoài khác.
Khả năng ứng dụng của VPN là rất lớn. Theo như dự đoán của nhiều hãng trên
thế giới thì VPN sẽ là dịch vụ phát triển mạnh trong tương lai.
Nguyễn Mạnh Hùng, Lớp D04VT1 13
Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN
CHƯƠNG II: IPSEC
Các giao thức nguyên thủy TCP/IP không bao gồm các đặc tính vốn có. Trong
giai đoạn đầu của Internet khi mà người dùng thuộc các trường đại học và các viện
nghiên cứu thì vấn đề bảo mật dữ liệu không phải là vấn đề quan trọng, nhưng bây giờ
khi mà các ứng dụng thương mại có mặt khắp nơi trên Internet.
Để thiết lập tính bảo mật trong IP ở cấp độ gói, IETF đã đưa ra họ giao thức
IPSec. Họ giao thức IPSec đầu tiên, cho mã hóa, xác thực các gói dữ liệu IP, được
chuẩn hóa thành các RFC từ 1825 đến 1829 vào năm 1995. Họ giao thức này mô tả
kiến trúc cơ bản của IPSec bao gồm hai loại tiêu đề được sử dụng trong gói IP. Gói IP
là đơn vị dữ liệu cơ sở trong mạng IP. IPSec định nghĩa hai loại tiêu đề cho các gói IP
để điều khiển quá trình xác thực và mã hóa: Một là xác thực tiêu đề IP-AH (IP
Authentication Header) điều khiển việc xác thực và hai là đóng gói bảo mật tải ESP
(Encapsulating Security Payload) cho mục đích mã hóa.
IPSec được phát triển nhằm vào họ giao thức IP kế tiếp là Ipv6 nhưng do việc
chấp nhận Ipv6 còn lâu và cần thiết cho việc bảo mật các gói IP nên IPSec đã được
thay đổi cho phù hợp với Ipv4. Việc hỗ trợ cho IPSec chỉ là tùy chọn của Ipv4 nhưng
đối với Ipv6 thì có sẵn IPSec.
2.1 Dạng thức hoạt độngHoạt động của IPSec ở mức độ cơ bản đòi hỏi phải có các phần chính đó là:
- Kết hợp bảo mật SA (Security Association).
- Xác thực tiêu đề AH (Authentication Header.)
- Đóng gói bảo mật tải ESP (Encapsulating Security Payload).
- Chế độ làm việc.
2.1.1 Kết hợp bảo mật SAĐể hai bên có thể truyền dữ liệu đã được bảo mật (dữ liệu đã được xác thực hoặc
được mã hóa hoặc cả hai) cả hai bên phải cùng thống nhất sử dụng giải thuật mã hóa,
làm cách nào để chuyển khóa và chuyển khóa nếu như cần. Cả hai bên cũng cần thỏa
thuận bao lâu thì sẽ thay đổi khóa một lần. Tất cả các thỏa thuận trên là do SA đảm
trách. Việc truyền thông giữa bên gửi và bên nhận đòi hỏi ít nhất một SA và có thể đòi
Nguyễn Mạnh Hùng, Lớp D04VT1 14
Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN
hỏi nhiều hơn vì mỗi giao thức IPSec đòi hỏi phải có một SA cho riêng nó. Do đó một
gói được xác thực đòi hỏi một SA, một gói được mã hóa cũng yêu cầu phải có một SA.
Thậm chí nếu cùng dùng chung một giải thuật cho xác thực và mã hóa thì cũng cần
phải có hai SA khác nhau do sử dụng những bộ khóa khác nhau.
Một IPSec SA mô tả các vấn đề sau:
- Giải thuật xác thực sử dụng cho AH và khóa của nó.
- Dạng thức và kích thước của bộ mật mã sử dụng trong giải thuật mã hóa.
- Giao thức, giải thuật, khóa sử dụng cho việc truyền thông.
- Giao thức, giải thuật mã hóa, khóa sử dụng cho việc truyền thông riêng.
- Bao lâu thì thay đổi khóa.
- Giải thuật xác thực, kiểu, chức năng sử dụng trong ESP và khóa được sử dụng
bởi giải thuật đó.
- Thời gian sống của khóa.
- Thời gian sống của SA.
Có thể xem SA như một kênh bảo mật thông qua một mạng công cộng đến một
người hay một nhóm làm việc cụ thể.
2.1.2 Xác thực tiêu đề AHTrong hệ thống IPSec, xác thực tiêu đề AH (Authentication Header) được sử
dụng cho các dịch vụ xác thực. AH được chèn vào giữa tiêu đề IP và nội dung phía sau
(hình 3.3), không làm thay đổi nội dung của gói dữ liệu
Xác thực tiêu đề gồm năm trường: Trường tiêu đề kế tiếp (Next Header Field),
chiều dài tải (Payload Length), chỉ số tham số bảo mật SPI (Security Parameter Index),
số tuần tự (Sequence Number), dữ liệu xác thực (Authentication Data). Hai khái niệm
mới trong AH đó là SPI mang ý nghĩa chỉ ra thiết bị nhận gói biết họ giao thức bảo mật
mà phải gửi dùng trong truyền thông, hai là dữ liệu xác thực mang thông tin về giải
thuật mã hóa được định nghĩa bởi SPI.
HMAC kết hợp với MD5, HMAC kết hợp với SHA-1 là giải thuật mã hóa được
chọn làm những phương thức mặc định cho việc tính toán tổng kiểm tra (checksum).
Các mặc định này là kết quả của những thay đổi IPSec để cải thiện cơ chế xác thực bởi
vì mặc định trước đó MD5 được phát hiện là không tránh được các tấn công đụng độ.
Thủ tục sử dụng cho các phương pháp này (HMAC-MD5 hay HMAC-SHA-1)
giống nhau. Tuy nhiên SHA-1 có chức năng băm hơn MD5. Trong cả hai trường hợp,
Nguyễn Mạnh Hùng, Lớp D04VT1 15
Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN
giải thuật hoạt động trên những khối dữ liệu 64 byte. Phương thức HMAC-MD5 sinh
ra bộ xác thực 128 bit trong khi HMAC-SAH-1 sinh ra bộ xác thực 160 bit. Bởi vì
chiều dài mặc định của xác thực được định nghĩa trong AH chỉ có 96 bit nên các giá trị
xác thực sinh ra phải được chia nhỏ trước khi lưu vào trường xác thực của AH.
Hình 2.1: Khuôn dạng gói tin Ipv4 trước và sau khi xử lý AH
Nguyễn Mạnh Hùng, Lớp D04VT1 16
Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN
Hình 2.2: Khuôn dạng gói tin Ipv6 trước và sau khi xử lý AH
Khi nhận gói dữ liệu, đầu nhận sẽ tính toán giá trị bộ xác thực của riêng nó là
128 bit hay 160 bit (tùy theo là sử dung loại nào), chia nhỏ nó ra tùy theo chiều dài
được chỉ định trong trường xác thực và so sánh giá trị của nó với giá trị xác thực nhận
được. Khi mà cả hai giống nhau thì dữ liệu không bị thay đổi trên đường truyền. Do đó
có thể có cuộc tấn công bằng cách chặn một loạt các gói và sau đó phát lại chúng vào
thời điểm sau khi AH cung cấp dịch vụ chống phát lại để ngăn các tấn công dựa trên
cách thức trên.
Cần chú ý là AH không giữ cho dữ liệu bí mật được. Nếu một kẻ tấn công chặn
các gói trên mạng lại và sử dụng một mật mã thích hợp thì cũng có thể đọc được nội
dung của dữ liệu mặc dù không thể thay đổi được nội dung dữ liệu. Để bảo mật dữ liệu
chống lại việc nghe trộm chúng ta cần phải sử dụng thành phần thứ hai của IPSec đó là
ESP.
2.1.3 Bọc gói bảo mật tải ESPBọc gói bảo mật tải ESP (Encapsulating Security Payload) được sử dụng cho
việc mã hóa dữ liệu. Giống như tiêu đề AH, tiêu đề ESP được chèn vào giữa tiêu đề IP
và nội dung tiếp theo của gói (Hình 2.3). Tuy nhiên ESP có nhiệm vụ mã hóa dữ liệu
nên nội dung của gói sẽ bị thay đổi.
Hình 2.3: Bọc gói bảo mật tải
Giống như tiêu đề AH, ESP gồm có SPI để chỉ cho bên nhận biết cơ chế bảo mật
thích hợp cho việc sử lý gói. Số tuần tự trong tiêu đề ESP là bộ đếm sẽ tăng mỗi khi
một gói được gửi đến cùng một địa chỉ và sử dụng cùng SPI. Số tuần tự chỉ ra có bao
nhiêu gói được gửi có cùng một nhóm các tham số. Số tuần tự giúp cho việc bảo mật
chống lại các vụ tấn công bằng cách chép các gói và gửi chúng sai thứ tự để làm rối
Nguyễn Mạnh Hùng, Lớp D04VT1 17
Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN
loạn quá trình truyền thông. Phần còn lại của gói (ngoại trừ xác thực dữ liệu) sẽ được
mã hóa trước khi gửi lên mạng.
ESP có thể hỗ trợ bất kỳ giao thức mã hóa nào. Người dùng có thể dùng những
giao thức khác nhau cho mỗi kết nối truyền thông. Tuy nhiên IPSec qui định mật mã
DES-CBC (DES with Cipher Block Chaining) là giá trị mặc định để bảo đảm tính hoạt
động liên mạng.
Sử dụng ESP yêu cầu khóa DES 56 bit. Để sử dụng một chuỗi các từ mã, một
vector 64 bit được khởi động và dữ liệu được xử lý theo từng khối 64 bit.
ESP cũng có thể sử dụng cho mục đích xác thực. Trường xác thực ESP, một
trường tùy chọn trong tiêu đề ESP, bao gồm tổng kiểm tra mã hóa. Độ dài của tổng
kiểm tra này thay đổi tùy theo giải thuật xác thực được sử dụng. Nó cũng có thể được
bỏ qua nếu như dịch vụ xác thực không được chọn trong ESP. Xác thực được tính toán
sau khi tiến trình mã hóa dữ liệu đã hoàn thành.
Dịch vụ xác thực cung cấp bởi AH khác so với ESP là dịch vụ xác thực trong
ESP không bảo mật tiêu đề IP đặt trước ESP mặc dù nó bảo mật tiêu đề IP đã đóng gói
trong chế độ đường hầm. Hình 2.4 minh họa sự khác biệt giữa chúng.
Hình 2.4: So sánh xác thực bởi AH và ESP
Nguyễn Mạnh Hùng, Lớp D04VT1 18
Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN
Nếu như AH được sử dụng với mục đích xác thực thì tại sao còn tùy chọn xác
thực trong ESP? AH chỉ sử dụng trong trường hợp khi xác thực gói là cần thiết. Mặt
khác khi xác thực và tính riêng tư được yêu cầu thì sử dung ESP với tùy chọn xác thực
sẽ tốt hơn. Sử dụng ESP cho mã hóa và xác thực, thay vì sử dụng AH và ESP không có
tùy chọn xác thực, sẽ giảm kích thước nên các gói sẽ được xử lý hiệu quả hơn.
2.1.4 Chế độ làm việcCó hai chế độ làm việc trong IPSec:
- Chế độ giao vận (Transport mode): Chỉ có đoạn lớp giao vận trong gói là được
xử lý.
- Chế độ đường hầm (Tunnel mode): Toàn bộ gói sẽ được xử lý cho mã hóa xác
thực.
Chế độ giao vận sử dụng cho cả cổng nối và host, cung cấp cơ chế bảo mật cho
các giao thức lớp trên. Trong chế độ giao vận, AH được chèn vào sau tiêu đề IP và
trước các giao thức lớp trên (TCP, UDP hay ICMP) hoặc trước bất kỳ tiêu đề IPSec đã
được chèn vào trong đó.
Trong chế độ đường hầm tiêu đề IP chứa địa chỉ nguồn và địa chỉ đích, trong khi
bộ xuất tiêu đề IP chứa các địa chỉ IP khác (chẳng hạn như địa chỉ của cổng nối). AH
bảo mật toàn bộ gói IP bao gồm cả bộ nhập tiêu đề IP (hình 2.5)
Hình 2.5: Chế độ đường hầm AH
Bởi vì AH chỉ bảo mật chống lại việc thay đổi nội dung dữ liệu nên cần phải có
phương tiện khác để đảm bảo tính riêng tư của dữ liệu. Trong chế độ đường hầm điều
đó được thực hiện bằng cách mở rộng bảo mật nội dung tiêu đề IP đặc biệt là địa chỉ
nguồn và địa chỉ đích. Mặc dù trong chế độ giao vận ESP bảo mật chống lại nghe trộm
Nguyễn Mạnh Hùng, Lớp D04VT1 19
Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN
một cách hiệu quả nhưng nó không bảo mật được toàn bộ lưu lượng. Một vụ tấn công
tinh vi vẫn có thể đọc được địa chỉ nguồn và địa chỉ đích sau đó sẽ phân tích lưu lượng
để biết được phương thức truyền thống.
Cấp quyềnESP
Tiêu đề IP mới ESP
Tiêu đề IP gốc
TCP Dữ liệu Phần đuôiESP
Được mã hóa
Được xác thực
IPv4 Cấp quyền ESP
Tiêu đềIP mới
Tiêu đề mớiMở rộng
ESP Tiêu đềIP gốc
Tiêu đề gốc mở rộng
TCP Dữ liệuPhần đuôi
ESPCấp quyền
ESPIPv6
Được mã hóa
Được xác thực
Hình 2.6: Chế độ đường hầm ESP
Hình 2.7: Các trường hợp của chế độ giao vận và đường hầm
Nguyễn Mạnh Hùng, Lớp D04VT1 20
Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN
Chế độ đường hầm ESP cung cấp thêm các cơ chế bảo mật cho các gói bằng
cách mã hóa toàn bộ gói (hình 2.6)
Sau khi toàn bộ nội dung dữ liệu (bao gồm tiêu đề gốc) đã được mã hóa, chế độ
đường hầm ESP sẽ tạo ra một tiêu đề IP mới để định tuyến cho các gói dữ liệu từ bên
gửi đến bên nhận.
Thậm chí trong chế độ đường hầm, ESP cũng không bảo đảm để chống lại được
tất cả các loại phân tích lưu lượng vì địa chỉ IP của bên gửi và của cổng nối nhận vẫn
có thể đọc được trong tiêu đề của gói. Điều này cho phép kẻ nghe trộm biết được có hai
đối tượng đang truyền thông với nhau nhưng lại không có chút manh mối nào để biết
hai đối tượng ấy là ai.
Để có thể áp dụng cả AH và ESP trong chế độ đường hầm hay chế độ giao vận,
IPSec yêu cầu phải hỗ trợ được cho tổ hợp của chế độ đường hầm và chế độ giao vận
(hình 2.7). Điều này được thực hiện bằng cách sử dụng chế độ đường hầm để mã hóa
và xác thực các gói và tiêu đề của nó rồi gắn AH, ESP hoặc dùng cả hai trong chế độ
giao vận để bảo mật cho tiêu đề mới được tạo ra.
Cần chú ý là AH và ESP không thể sử dụng chung trong chế độ đường hầm. Lý
do là ESP đã có riêng tùy chọn xác thực, tùy chọn này nên sử dụng trong chế độ đường
hầm khi các gói cần phải mã hóa và xác thực.
2.2 Quản lý khóaTrong truyền thông sử dụng giao thức IPSec đòi hỏi phải có chuyển giao khóa
do đó đòi hỏi phải có cơ chế quản lý khóa. Có hai phương thức để chuyển khóa đó là
chuyển khóa bằng tay và chuyển khóa Internet IKE (Internet Key Exchange). Cả hai
phương thức này không thể thiếu được trong IPSec. Một hệ thống IPSec phụ thuộc
phải hỗ trợ phương thức chuyển khóa bằng tay. Phương thức chìa khóa trao tay này
chẳng hạn như khóa thương mại ghi trên giấy, trên đĩa mềm hay thông qua gửi bưu
phẩm hoặc e-mail. Mặc dù phương thức chìa khóa trao tay thích hợp với một số lượng
nhỏ các site nhưng một phương thức quản lý tự động và kiểm soát được thì phù hợp
với yêu cầu tạo những SA. Giao thức quản lý chuyển giao khóa mặc định trong IPSec
là IKE là kết hợp giữa bảo mật Internet ISA (Internet Security Association) và giao
thức chuyển khóa (ISAKMP). IKE còn có một tên gọi khác là ISAKMP/Oakley.
IKE có các khả năng sau:
Nguyễn Mạnh Hùng, Lớp D04VT1 21
Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN
- Cung cấp các phương tiện cho hai bên thỏa thuận sử dụng các giao thức, giải
thuật và khóa.
- Đảm bảo ngay từ lúc bắt đầu chuyển khóa là truyền thông đúng đối tượng.
- Quản lý các khóa sau khi chúng được chấp nhận trong tiến trình thỏa thuận.
- Đảm bảo các khóa được chuyển một cách bí mật.
Chuyển khóa tương tự như quản lý kết hợp (Internet Association). Khi cần tạo
một SA cần phải chuyển khóa. Do đó cấu trúc của IKE đóng gói chúng lại với nhau và
chuyển chúng đi một gói tích hợp
2.2.1 Các chế độ của Oakley và các pha của ISAKMPTheo định nghĩa nguyên thủy trong ISAKMP thì IKE hoạt động hai giai đoạn.
Giai đoạn một thiết lập một đường hầm bảo mật cho các hoạt động ISAKMP diễn ra
trên đó. Giai đoạn hai là tiến trình đàm phán các mục đích SA.
Oakley đưa ra ba chế độ chuyển khóa và cài đặt các ISAKMP SA:
- Chế độ chính (Main mode): Hoàn thành giai đoạn một của SAKMP sau khi đã
thiết lập một kênh bảo mật
- Chế độ năng động (Aggressive mode): Một cách khác để hoàn thành giai đoạn
một của ISAKMP. Nó đơn giản hơn và nhanh hơn chế độ chính, nhưng không
bảo nhận dạng cho việc đàm phán giữa các node, bởi vì chúng truyền nhận dạng
của chúng trước khi đàm phán được một kênh bảo mật.
- Chế độ nhanh (Quick mode): Hoàn thành giai đoạn hai của ISAKM bằng cách
đàm phán một SA cho mục đích của việc truyền thông.
IKE cũng còn một chế độ khác đó là chế độ nhóm mới, chế độ này không thật sự
là của giai đoạn một hay giai đoạn hai. Chế độ nhóm mới theo sau đàm phán của giai
đoạn và đưa ra một cơ chế định nghĩa nhóm riêng cho chuyển giao Diffie-Hellman
Để thiết lập một bảo mật IKE cho một node, một host hay một cổng nối cần ít
nhất bốn yếu tố:
- Một giải thuật mã hóa để bảo mật dữ liệu.
- Một giải thuật băm để giảm dữ liệu cho báo hiệu.
- Một phương thức xác thực cho báo hiệu dữ liệu.
- Thông tin về nhóm làm việc qua tổng đài.
Yếu tố thức năm có thể được đưa ra trong SA, hàm giả ngẫu nhiên (pseudo-
random function) sử dụng để băm giá trị hiện tại xuống quá trình chuyển khóa cho mục
Nguyễn Mạnh Hùng, Lớp D04VT1 22
Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN
đích kiểm tra. Nếu trong SA không bao gồm nó thì HMAC của giải thuật băm (yếu tố
thứ hai) được sử dụng.
Chế độ chính:
Chế độ chính đưa ra cơ chế để thiết lập giai đoạn một của ISAKMP SA, bao
gồm các bước sau:
- Sử dụng chế độ chính để khởi động một ISAKMP SA cho kết nối tạm.
- Sử dụng chế độ nhanh để đàm phán một SA.
- Sử dụng SA được tạo ra ở trên để truyền thông cho đến khi nó hết hạn.
Hình 2.8: Chế độ chính ISAKMP
Bước thứ nhất, sử dụng chế độ chính để bảo mật một ISAKMP SA, diễn ra theo
ba bước trao đổi hai chiều giữa SA gửi và SA nhận (hình 2.8). Bước trao đổi đầu tiên
thỏa thuận về giải thuật băm. Bước trao đổi thứ hai chuyển giao khóa chung và các
nonce của nhau (là những con số ngẫu nhiên mà một bên ghi và trả lại để chứng minh
Nguyễn Mạnh Hùng, Lớp D04VT1 23
Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN
danh định của nó). Bước thứ ba, hai bên sẽ kiểm tra danh định của nhau và tiến trình
trao đổi hoàn tất.
Hai bên có thể sử dụng khóa dùng chung khi chúng nhận được. Hai bên phải
băm chúng ba lần: Đầu tiên tạo ra một khóa gốc (để sử dụng tạo khóa phụ trong chế độ
nhanh sau này), sau đó là khóa xác thực và cuối cùng là khóa mã để sử dụng cho
ISAKMP SA.
Chế độ chính bảo mật danh định của các đối tượng truyền thông. Nếu như không
cần việc bảo mật, để cho việc trao đổi nhanh hơn, thì chế độ năng động được sử dụng.
Chế độ năng động:
Chế độ năng động (Aggressive mode) đưa ra dịch vụ cũng tương tự như chế độ
chính là thiết lập một ISAKMP SA nguyên thủy. Chế độ năng động trông cũng giống
như chế độ chính ngoại trừ chỉ có hai bước trao đổi thay vì ba bước như chế độ chính.
Trong chế độ năng động khi bắt đầu chuyển đổi bên phát sẽ tạo ra một đôi
Diffie-Hellman, đưa ra một SA, chuyển đi giá trị Diffie-Hellman công cộng, gửi một
nonce cho đầu kia ghi nhận và gửi một gói ID để bên đáp ứng có thể sử dụng để kiểm
tra danh định. Phía đáp ứng có thể gửi trả về mọi thứ cần thiết để hoàn tất quá trình
chuyển đổi. Việc đáp ứng này tổ hợp ba bước đáp ứng trong chế độ chính thành một do
đó bên khởi đầu chỉ cần xác thực việc chuyển đổi (hình 2.9)
Hình 2.9: Chế độ năng động ISAKMP
Do chế độ năng động không đưa ra một cách bảo mật danh định cho các bên
tham gia truyền thông nên cần phải trao đổi thông tin danh định trước khi thiết lập một
Nguyễn Mạnh Hùng, Lớp D04VT1 24
Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN
SA bảo mật. Ai đó theo dõi việc chuyển đổi theo chế độ năng động có thể nhận diện ai
đã thiết lập một SA mới. Ưu điểm của chế độ năng động là tốc độ.
Chế độ nhanh:
Sau khi hai đối tượng đã thiết lập một ISAKMP SA bằng chế độ chính hay chế
độ năng động thì tiếp đến là sử dụng chế độ nhanh (Quick Mode).
Chế độ nhanh có hai mục đích là: Đàm phán về dịch vụ bảo mật IPSec và tạo ra
vật liệu khóa tươi (fresh keying material). Chế độ nhanh được coi là đơn giản hơn chế
độ chính và chế độ năng động. Bởi vì nó đã có sẵn một đường hầm bên trong (tất cả
các gói đều được mã hóa). Các gói chế độ nhanh đều được mã hóa và được khởi tạo
với một tải băm. Tải băm được tạo ra bằng cách dùng một hàm tạo giả ngẫu nhiên đã
được đồng ý trước và một khóa xác thực nhận được. Tải băm dùng để xác thực phần
còn lại của gói dữ liệu. Chế độ nhanh định nghĩa những phần nào của gói dữ liệu nằm
trong phần băm.
Khóa có thể được làm tươi bằng một trong hai cách: Nếu như không cần chuyển
tiếp một cách bí mật hoàn toàn thì chế độ nhanh chỉ làm tươi khóa trong chế độ chính
hay chế độ năng động với băm thêm. Hai đối tượng truyền thông có thể gửi các nonce
qua đường hầm bảo mật và dùng chúng để băm khóa đang tồn tại. Nếu như cần chuyển
tiếp một cách bí mật hoàn toàn thì có thể yêu cầu thêm một chuyển đổi Diffie-Hellman
thông qua SA đang tồn tại và đổi giá trị của khóa.
Hình 2.10: Chế độ nhanh ISAKMP
Nguyễn Mạnh Hùng, Lớp D04VT1 25
Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN
2.2.2 Đàm phán SAĐể thiết lập một SA bên khởi tạo gửi một thông báo chế độ nhanh thông qua yêu
cầu một SA mới của ISAKMP SA. Một đàm phán SA là kết quả của hai SA: Một
hướng về (inbound) đến bên khởi tạo và một hướng đi (outbound). Để tránh xung đột
về SPI, nút nhận phải luôn chọn SPI. Do đó trong chế độ nhanh bên phát thông báo cho
bên đáp ứng biết SPI sẽ được sử dụng và bên đáp ứng sẽ theo SPI đã được chọn. Mỗi
SPI, kết hợp với địa chỉ IP đích, chỉ định một IPSec SA đơn duy nhất. Tuy nhiên trên
thực tế những SA này luôn có hai hướng về và đi, chúng có danh định về tham số, giải
thuật, khóa, băm là một phần trong SPI.
2.3 Sử dụng IPSecHình 2.11 là một ví dụ về ứng dụng Internet VPN. Có ba nơi trang bị phần mềm
IPSec là: Cổng nối bảo mật, client di động (mobile client) và các host. Tuy nhiên,
không phải tất cả các thiết bị đều cần phải cài phần mềm IPSec mà tùy theo yêu cầu
thiết kế mạng. Ví dụ cần tạo kết nối LAN-LAN VPN thì cổng nối bảo mật IPSec là đủ.
Nếu cần cho các trạm làm việc từ xa quay số truy cập vào mạng thông qua các ISP thì
phần mềm client IPSec cần cài trên các máy tính của các đối tượng di động. Nếu muốn
tạo một VPN mà tất cả các máy tính có thể liên lạc với các máy tính thông qua giao
thức IPSec thì cần phải cài đặt phần mềm IPSec trên tất cả các máy.
Hình 2.11: Các thành phần của một Internet VPN
Nguyễn Mạnh Hùng, Lớp D04VT1 26
Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN
2.3.1 Các cổng nối bảo mậtCác cổng nối bảo mật (Security gateway) là một thiết bị mạng chẳng hạn như bộ
định tuyến hay tường lửa, chia cắt và bảo mật mạng bên trong chống lại xâm nhập
không được cho phép từ bên ngoài. Sử dụng IPSec trên cổng nối bảo mật làm cho lưu
lượng qua cổng nối bảo mật bị thắt nút cổ chai trước khi ra bên ngoài.
Khi xây dựng một VPN thì cần cài cổng nối bảo mật tại các văn phòng chính và
sau đó thiết lập liên kết bảo mật giữa các cổng nối bảo mật với nhau. Sử dụng cổng nối
bảo mật làm giảm độ phức tạp của việc quản lý các khóa vì chỉ cần gán một khóa duy
nhất cho cổng nối bảo mật. Cổng nối bảo mật có thể chuyển các gói dù là ở chế độ giao
vận hay chế độ đường hầm. Để cho độ bảo mật cao thì chế độ đường hầm thích hợp
hơn do nó giấu đi các địa chỉ IP thực sự của người gửi và người nhận và bảo mật chống
lại các tấn công cắt-dán tiêu đề (header cut-and-paste). Tuy nhiên chế độ đường hầm
đòi hỏi có tính toán ở cổng nối bảo mật và làm tăng kích thước gói nên sẽ làm giảm
tổng chi phí truyền thông nhưng nó không giấu địa chỉ IP nguồn và đích. Nếu như bảo
mật đại diện (wild card) không được sử dụng cho lưu lượng qua cổng nối bảo mật thì
cơ chế quản lý khóa sẽ thêm phức tạp hơn.
2.3.2 Các SA đại diệnBảo mật đại diện (wild card) làm cho việc truyền thông giữa các host được bảo
mật bởi cổng nối bảo mật trở nên đơn giản hơn. Thay vì kết hợp một SA với một địa
chỉ IP host duy nhất thì bảo mật đại diện kết hợp tất cả các host trên LAN được phục
vụ bởi cổng nối bảo mật.
Sau đây là một số đặc tính và khả năng mà một cổng bảo mật phải có:
- Hỗ trợ các kết nối mạng cho văn bản đơn giản hoặc văn bản đã được mã hóa.
- Chiều dài của từ khóa phải không phụ thuộc vào mật độ thông tin truyền trên lớp
liên kết dữ liệu.
- Phải hỗ trợ cả AH và ESP.
- Hỗ trợ tạo SA bằng tay, bao gồm cả bảo mật đại diện.
- Có cơ chế bảo mật khóa.
- Hệ thống thay đổi khóa một cách tự động và hệ thống quản lý khóa phải đơn
giản nhưng bảo mật.
- SA phải có các thông báo về lỗi.
Nguyễn Mạnh Hùng, Lớp D04VT1 27
Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN
2.3.3 Host từ xa.Khi dùng một máy tính quay số kết nối vào mạng VPN cần phải có một phần
mềm client IPSec cài trên đó. Với Ipv4 thì IPSec được chèn trong chồng giao thức
TCP/IP. Mã IPSec có thể được chèn vào giữa lớp giao vận và lớp mạng. IPSec cũng có
thể được chèn vào như miếng thêm giữa lớp liên kết dữ liệu và lớp mạng.
Với mã IPSec được chèn vào giữa lớp giao vận và lớp mạng rất mềm dẻo đối
với người dùng vì nó cho phép họ gán những SA khác nhau cho các phần mềm khác
nhau hay nói một cách khác một số lưu lượng có thể truyền đi mà không có IPSec do
nó không cần thiết, phần lưu lượng quan trọng còn lại truyền đi với bảo mật IPSec.
Miếng thêm (shim) có thể tiếp cận một cách dễ dàng hơn nhưng nó chỉ có hiệu lực bảo
mật ở mức địa chỉ IP còn không hiệu lực ở mức nhận dạng người dùng.
Các yêu cầu đối với phần mềm client IPSec:
- Tương thích với các công cụ IPSec khác (chẳng hạn như thích hợp với máy chủ
mã hóa của các site).
- Đưa ra một chỉ báo rõ ràng khi IPSec đang hoạt động.
- Hỗ trợ tải SA về
- Hàm băm xử lý được các địa chỉ IP động.
- Có cơ chế bảo mật khóa chống lại kẻ trộm (mã hóa khóa với mật khẩu).
- Có cơ chế chuyển đổi mã hóa một cách tự động và định kỳ.
- Chặn hoàn toàn các lưu lượng không-IPSec
Nguyễn Mạnh Hùng, Lớp D04VT1 28
Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN
Hình 2.12: IPSec và các chính sách bảo mật.
2.3.4 Một ví dụ minh họaĐể minh họa việc sử dụng IPSec để xây dựng VPN, hãy xem xét một thiết kế
đơn giản trong hình 2.13 gồm hai site: Một ở văn phòng chính và một ở văn phòng chi
nhánh. Mạng cũng cung cấp khả năng cho người dùng di động có thể quay số truy cập
vào VPN thông qua các ISP địa phương. Sử dụng bộ định tuyến mã hóa để làm cổng
nối bảo mật. Lượng truyền bên trong mạng dưới dạng văn bản đơn giản và dùng kỹ
thuật bảo mật chống lại sự tấn công từ bên ngoài là tường lửa hay danh sách điều khiển
truy cập trên máy chủ. Chỉ có lưu lượng giữa các site hay giữa các người di động và
các site là được bảo mật bởi IPSec.
Nguyễn Mạnh Hùng, Lớp D04VT1 29
Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN
Để bảo mật cho hệ thống, cần phải có cơ chế bảo mật vật lý để đảm bảo tất cả
các host trong phạm vi site có đúng các tham số vật lý và mọi ngõ ra bên ngoài đều
phải đi qua bộ định tuyến mã hóa. Tất cả các kết nối từ các site bên trong mạng và các
site ngoài mạng cần phải được khóa lại với đặc quyền truy cập. Nếu như số lượng site
trong mạng tăng lên thì cần phải có một trung tâm làm nhiệm vụ gán các SA và khóa.
Cổng bảo mật Cổng bảo mật
Khách hàng A di động(truy cập từ xa)
INTERNET
Văn phòng chính
Bình
An
ISP
Văn phòng chi nhánh
Hình 2.13: Ví dụ về IPSec VPN
2.4 Các vấn đề còn tồn đọng trong IPSecMặc dù IPSec đã đưa ra các đặc tính cần thiết cho việc bảo mật một VPN thông
qua Internet nhưng nó vẫn còn trong giai đoạn phát triển. Tất cả các gói được xử lý
theo IPSec sẽ làm tăng kích thước do thêm vào các tiêu đề IPSec làm cho thông lượng
của mạng giảm đi. Điều này có thể giải quyết bằng cách nén nội dung dữ liệu trước khi
mã hóa.
- IKE là một công nghệ chưa thực sự khẳng định được khả năng của mình.
Phương thức chuyển khóa thủ công lại không thích hợp cho mạng có số lượng
lớn các đối tượng di động.
- IPSec được thiết kế chỉ để hỗ trợ bảo mật cho lưu lượng IP, không hỗ trợ các
dung lượng khác.
- Việc tính toán nhiều giải thuật phức tạp vẫn còn là một vấn đề khó đối với các
trạm làm việc và máy PC năng lực yếu.
- Việc phân phối các phần cứng và phần mềm mật mã vẫn còn bị hạn chế đối với
chính phủ của một số quốc gia.
Nguyễn Mạnh Hùng, Lớp D04VT1 30
Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN
2.5 Các giao thức đường hầmĐường hầm là một trong những khái niệm nền tảng của VPN. Giao thức đường
hầm thực hiện việc đóng dữ liệu với các phần tiêu đề tương ứng để truyền qua Internet.
Trong chương này giới thiệu về các giao thức đường hầm phổ biến đang tồn tại và sử
dụng cho IP-VPN, bao gồm L2F, PPTP, L2TP.
2.5.1 Giới thiệu về các giao thức đường hầmCác giao thức đường hầm là nền tảng của công nghệ VPN. Có nhiều giao thức
đường hầm khác nhau, và việc sử dụng giao thức nào liên quan tới các phương pháp
xác thực và mật mã đi kèm. Các giao thức đường hầm phổ biến hiện nay là:
- Giao thức chuyển tiếp lớp 1 (L2F – Layer Two Forwarding).
- Giao thức đường hầm điểm tới điểm (PPTP – Point to Point Tunneling
Protocol).
- Giao thức đường hầm lớp 2 (L2TP – Layer Two Tunneling Protocol).
- Giao thức bảo mật IP (IPSec – Internet Protocol Security).
L2F và PPTP đều được phát triển dựa trên giao thức PPP (Point to Point
Protocol). PPP là một giao thức truyền thông nối tiếp lớp 2, có thể sử dụng để đóng gói
dữ liệu liên mạng IP và hỗ trợ đa giao thức lớp trên. Trên cơ sở L2F và PPTP, IETF đã
phát triển giao thức đường hầm L2TF. Hiện nay các giao thức PPTP và L2TF được sử
dụng phổ biến hơn L2F.
Trong các giao thức đường hầm nói trên, IPSec là giải pháp tối ưu về mặt an
ninh dữ liệu. Nó hỗ trợ các phương pháp xác thực và mật mã mạnh nhất. Ngoài ra,
IPSec còn có tính linh hoạt cao, không bị rằng buộc bởi bất cứ thuật toán xác thực hay
bảo mật mã nào. IPSec có thể sử dụng đồng thời cùng với các giao thức đường hầm
khác để tăng tính an toàn cho hệ thống.
Các giao thức PPTP và L2TP là các chuẩn đã được hoàn thiện, nên sản phẩm hỗ
trợ chúng tương đối phổ biến. PPTP có thể triển khai với một hệ thống mật khẩu đơn
giản mà không cần sử dụng PKI. Ngoài ra, PPTP và L2TP còn có một số ưu điểm khác
so với IPSec như khả năng hỗ trợ đa giao thức lớp trên. Vì vậy, trong khi IPSec còn
đang hoàn thiện thì PPTP và L2TP vẫn được sử dụng rộng rãi. Cụ thể PPTP và L2TP
thường được sử dụng trong các ứng dụng truy nhập từ xa.
Nguyễn Mạnh Hùng, Lớp D04VT1 31
Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN
2.5.2 Giao thức chuyển tiếp lớp 2 – L2FGiao thức L2F được phát triển sớm nhất, là phương pháp truyền thống để cho
những người sử dụng ở xa truy cập vào một mạng công ty thông qua thiết bị truy nhập
từ xa. L2F cung cấp giải pháp cho dịch vụ quay số ảo bằng cách thiết lập một đường
hầm bảo mật thông qua cơ sở hạ tầng công cộng như Internet. Nó cho phép đóng gói
các gói PPP trong khuôn dạng L2F và định đường hầm ở lớp liên kết dữ liệu.
2.5.2.1. Cấu trúc gói L2FKhuôn dạng gói tin L2F có cấu trúc như hình sau:
Hình 2.14: Khuôn dạng của gói L2F
Ý nghĩa các trường trong gói L2F như sau:
- F: Chỉ định trường “Offset” có mặt.
- K: Chỉ định trương “Key” có mặt.
- P (Priority): Thiết lập ưu tiên cho gói.
- S: Chỉ định trường “Sequence” có mặt.
- Reserved: Luôn được đặt là 00000000.
- Version: Phiên bản của L2F dùng để tạo gói.
- Protocol: Xác định giao thức đóng gói L2F.
- Sequence: Số chuỗi được đưa ra nếu trong tiêu đề L2F bit S bằng 1.
- Multiplex ID: Nhận dạng một kết nối riêng trong một đường hầm.
- Client ID: Giúp tách đường hầm tại những điểm cuối.
- Length: Chiều dài gói (tính bằng byte) không bao gồm phần checksum.
- Offset: xác định số byte cách tiêu đề L2F, tại đó dữ liệu tải tin được bắt đầu.
Trường này có mặt khi bit F bằng 1.
- Key: Là một phần của quá trình xác thực (có mặt khi bit K bằng 1).
Nguyễn Mạnh Hùng, Lớp D04VT1 32
Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN
- Checksum: Tổng kiểm tra của gói (có mặt khi bit C bằng 1).
2.5.2.2 Hoạt động của L2FL2F đóng gói dữ liệu lớp 2 (trong trường hợp này là PPP), sau đó truyền chúng
qua mạng. Hệ thống sử dụng L2F bao gồm thành phần sau (hình 2.15):
- Máy chủ truy nhập mạng NAS (Network Access Server): Hướng lưu lượng đến
và đi giữa máy khách ở xa (Remote Client) và Home Gateway. Một hệ thống
ERX có thể hoạt động như NAS.
- Đường hầm (Tunnel): Định hướng đường đi giữa NAS và Home Gateway. Một
đường hầm gồm một số kết nối.
- Home Gateway: Ngang hàng với NAS, là phần tử cửa ngõ thuộc mạng riêng.
- Kết nối (Connection): Là một kết nối PPP trong đường hầm. Trong CLI, một kết
nối L2F được xem như là một phiên.
- Điểm đích (Destination): Là điểm kết thúc ở đầu xa của đường hầm. Trong
trường hợp này thì Home Gateway là điểm đích.
Hình 2.15: Mô hình hệ thống sử dụng L2F
Các hoạt động của L2F bao gồm: Thiết lập kết nối, đường hầm và phiên làm
việc. Các bước thực hiện cụ thể như sau:
1) Một người sử dụng ở xa quay số tới hệ thống NAS và khởi đầu một kết nối PPP
tới ISP.
2) Hệ thống NAS và máy khách trao đổi các gói giao thức điều khiển liên kết LCP
(Link Control Protocol).
Nguyễn Mạnh Hùng, Lớp D04VT1 33
Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN
3) NAS sử dụng cơ sở dữ liệc cục bộ liên quan tới tên miền hay xác thực RADIUS
để quyết định xem người sử dụng có hay không yêu cầu dịch vụ L2F.
4) Nếu người sử dụng yêu cầu L2F thì quá trình tiếp tục, NAS thu nhận địa chỉ của
Gateway đích (Home Gateway).
5) Một đường hầm được thiết lập từ NAS đến Gateway đích nếu giữa chúng chưa
có đường hầm nào. Sự thành lập đường hầm bao gồm giai đoạn xác thực từ ISP
tới Gateway đích để chống lại tấn công bởi những kẻ thứ ba.
6) Một kết nối PPP mới được tạo ra trong đường hầm, điều này có tác động kéo
dài phiên PPP từ người sử dụng ở xa tới Home Gateway. Kết nối này được thiết
lập như sau: Home Gateway tiếp nhận các lựa chọn và tất cả thông tin xác thực
PAP/CHAP như đã thỏa thuận bởi đầu cuối người sử dụng và NAS. Home
Gateway chấp nhận kết nối hay thỏa thuận lại LCP và xác thực lại người sử
dụng.
7) Khi NAS tiếp nhận lưu lượng dữ liệu từ người sử dụng, nó đóng gói lưu lượng
vào trong các khung L2F và hướng chúng vào trong đường hầm.
8) Tại Home Gateway khung L2F được tách bỏ, và dữ liệu đóng gói được hướng
tới mạng công ty.
Khi hệ thống đã thiết lập điểm đích, đường hầm và những phiên kết nối, ta phải
điều khiển và quản lý lưu lượng L2F như sau:
- Ngăn cản tạo những điểm đích, đường hầm và phiên mới.
- Đóng và mở lại tất cả hay chọn lựa những điểm đích, đường hầm và phiên.
- Có khả năng kiểm tra tổng UDP.
- Thiết lập thời gian rỗi cho hệ thống và lưu giữ cơ sở dữ liệu vào của các đường
hầm và kết nối.
Sự thay đổi một điểm đích làm ảnh hưởng tới tất cả những đường hầm và phiên
tới điểm đích đó. Sự thay đổi đường hầm làm ảnh hưởng tới tất cả các phiên trong
đường hầm đó. Ví dụ, sự kết thúc ở điểm đích đóng tất cả các đường hầm và phiên tới
điểm đích đó.
L2F cung cấp một số lệnh để thực hiện các chức năng của nó, ví dụ:
- L2F checksum: Để kiểm tra toàn vẹn dữ liệu trong các khung L2F sử dụng để
kiểm tra tổng UDP, ví dụ host 1 (config)#l2f checksum.
- L2F destruct – timeout: Để thiết lập thời gian rỗi, giá trị thiết lập trong dải 10 -
3600 giây, ví dụ host1(config)#l2f destruct-timeout 1200.
Nguyễn Mạnh Hùng, Lớp D04VT1 34
Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN
2.5.2.3 Ưu nhược điểm của L2FGiao thức L2F có các ưu điểm sau đây:
- Cho phép thiết lập đường hầm đa giao thức.
- Được hỗ trợ bởi nhiều nhà cung cấp.
Các nhược điểm chính của L2F là:
- Không có mã hóa.
- Hạn chế trong việc xác thực người dùng.
- Không có điều khiển luồng cho đường hầm.
2.5.3 Giao thức đường hầm điểm tới điểm – PPTP Giao thức điểm tới điểm được đưa ra đầu tiên bởi một nhóm các công ty gọi là
PPTP Forum. Ý tưởng cơ sở của giao thức này là tách các chức năng chung và riêng
của truy nhập từ xa, lợi dụng cơ sở hạ tầng Internet sẵn có để tạo kết nối bảo mật giữa
người dùng ở xa (client) và mạng riêng. Người dùng ở xa chỉ việc quay số tới nhà cung
cấp dịch vụ Internet địa phương là có thể tạo đường hầm bảo mật tới mạng riêng của
họ.
Giao thức PPTP được xây dựng trên cơ sở chức năng của PPP, cung cấp khả
năng quay số truy nhập tạo ra một đường hầm bảo mật thông qua Internet đến các site
đích. PPTP sử dụng giao thức đóng gói định tuyến chung GRE được mô tả lại để đóng
và tách gói PPP. Giao thức này cho phép PPTP mềm dẻo để xử lý các giao thức khác
không phải IP như IPX, NETBEUI.
2.5.3.1 Khái quát về hoạt động của PPTPPPP trở thành giao thức truy nhập vào Internet và các mạng IP rất phổ biến hiện
nay. Làm việc ở lớp liên kết dữ liệu trong mô hình OSI, PPP bao gồm các phương thức
đóng, tách gói cho các loại gói dữ liệu khác nhau để truyền nối tiếp. PPP có thể đóng
các gói IP, IPX, NETBEUI và truyền đi trên kết nối điểm – điểm từ máy gửi đến máy
nhận.
PPTP đóng gói các khung dữ liệu của giao thức PPP vào các IP datagram để
truyền qua mạng IP (Internet hoặc Intranet). PPTP dùng một kết nối TCP (gọi là kết
nối điều khiển PPTP) để khởi tạo, duy trì, kết thúc đường hầm, và một phiên bản của
giao thức GRE để đóng gói các khung PPP. Phần tải tin của khung PPP có thể được
mật mã và /hoặc nén.
PPTP sử dụng PPP để thực hiện các chức năng:
Nguyễn Mạnh Hùng, Lớp D04VT1 35
Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN
- Thiết lập và kết thúc kết nối vật lý.
- Xác thực người dùng.
- Tạo các gói dữ liệu PPP.
PPTP giả định tồn tại một mạng IP giữa PPTP client (VPN client sử dụng PPTP)
và PPTP server (VPN server sử dụng PPTP). PPTP client có thể được nối trực tiếp
thông qua việc quay số tới máy chủ truy nhập mạng NAS để thiết lập kết nối IP. Khi
một kết nối PPP được thiết lập thì người dùng thường đã được xác thực. Đây là giai
đoạn tùy chọn trong PPP, tuy nhiên nó luôn luôn được cung cấp bởi các ISP.
Việc xác thực quá trình thiết lập kết nối dựa trên PPTP sử dụng cơ chế xác thực
của kết nối PPP. Các cơ chế xác thực đó có thể là:
- EAP (Extensible Authentication Protocol) – Giao thức xác thực mở rộng.
- CHAP (Challenge Handshake Authentication Protocol) – Giao thức xác thực đòi
hỏi bắt tay.
- PAP (Password Authentication Protocol ) – Giao thức xác thực mật khẩu.
Với PAP mật khẩu được gửi thông qua kết nối dưới dạng văn bản đơn giản và
không có bảo mật. CHAP là một giao thức xác thực mạnh hơn, sử dụng phương thức
bắt tay ba chiều. CHAP chống lại các vụ tấn công quay lại bằng cách sử dụng các giá
trị thách đố (Challenge Value) duy nhất và không thể đoán trước được.
PPTP cũng thừa hưởng việc mật mã và/hoặc nén phần tải tin của PPP. Để mật
mã phần tải tin PPP có thể sử dụng phương thức mã hóa điểm tới điểm MPPE
(Microsoft Point to Point Encryption). MPPE chỉ cung cấp mật mã mức truyền dẫn,
không cung cấp mật mã đầu cuối tới đầu cuối. Nếu cần sử dụng mật mã đầu cuối tới
đầu cuối thì có thể sử dụng IPSec để mật mã lưu lượng IP giữa các đầu cuối sau khi
đường hầm PPTP đã được thiết lập.
Sau khi PPTP thiết lập kết nối, PPTP sử dụng các quy luật đóng gói của PPP để
đóng các gói truyền dẫn trong đường hầm. Để tận dụng ưu điểm của kết nối tạo ra bởi
PPP, PPTP định nghĩa hai loại gói là điều khiển và dữ liệu, sau đó gắn chúng vào hai
kênh riêng là kênh điều khiển và kênh dữ liệu. PPTP phân tách các kênh điều khiển và
kênh dữ liệu thành luồng điều khiển với giao thức TCP và luồng dữ liệu với giao thức
IP. Kết nối TCP tạo giữa máy trạm PPTP (client) và máy chủ PPTP (server) được sử
dụng để truyền thông báo điều khiển.
Các gói dữ liệu là dữ liệu thông thường của người dùng. Các gói điều khiển
được gửi theo chu kỳ để lấy thông tin về trạng thái kết nối và quản lý báo hiệu giữa
Nguyễn Mạnh Hùng, Lớp D04VT1 36
Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN
ứng dụng khách PPTP và máy chủ PPTP. Các gói điều khiển cũng được dùng để gửi
các thông tin quản lý thiết bị, thông tin cấu hình giữa hai đầu đường hầm.
Kênh điều khiển được yêu cầu cho việc thiết lập một đường hầm giữa máy trạm
và máy chủ PPTP. Máy chủ PPTP là một server sử dụng giao thức PPTP với một giao
diện nối với Internet và một giao diện khác nối với Intranet, còn phần mềm client có
thể nằm ở máy người dùng từ xa hoặc tại máy chủ của ISP.
2.5.3.2 Duy trì đường hầm bằng kết nối điều khiển PPTPKết nối điều khiển PPTP là kết nối giữa địa chỉ IP của máy trạm PPTP (có cổng
TCP được cấp phát động) và địa chỉ IP của máy chủ PPTP (sử dụng cổng TCP dành
riêng 1723). Kết nối điều khiển PPTP mang các bản tin điều khiển và quản lý được sử
dụng để duy trì đường hầm PPTP. Các bản tin này bao gồm PPTP Echo – Request và
PPTP Echo – Reply định kỳ để phát hiện các lỗi kết nối giữa máy trạm và máy chủ
PPTP. Các gói của kết nối điều khiển PPTP bao gồm tiêu đề IP, tiêu đề TCP, bản tin
điều khiển PPTP và tiêu đề, phần đuôi của lớp liên kết dữ liệu (hình 2.16).
Hình 2.16: Gói dữ liệu kết nối điều khiển PPTP
2.5.3.3 Đóng gói dữ liệu đường hầm PPTPĐóng gói khung PPP và GRE
Dữ liệu đường hầm PPTP được đóng gói thông qua nhiều mức. Hình 2.17 là cấu
trúc dữ liệu đã được đóng gói.
Hình 2.17: Đóng gói dữ liệu đường hầm PPTP.
Phần tải của khung PPP ban đầu được mật mã và đóng gói với tiêu đề để tạo ra
khung PPP. Khung PPP sau đó được đóng gói với phần tiêu đề của phiên bản giao thức
GRE sửa đổi.
GRE là giao thức đóng gói chung, cung cấp cơ chế đóng gói dữ liệu để định
tuyến qua mạng IP. Đối với PPTP, phần tiêu đề của GRE được sửa đổi một số điểm
như
Nguyễn Mạnh Hùng, Lớp D04VT1 37
Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN
sau:
- Một trường xác nhận dài 32 bit được thêm vào.
- Một bit xác nhận được sử dụng để chỉ định sự có mặt của trường xác nhận 32
bit.
- Trường Key được thay thế bằng trường độ dài Payload 16 bit và trường chỉ số
cuộc gọi 16 bit. Trường chỉ số cuộc gọi được thiết lập bởi máy trạm PPTP trong
quá trình khởi tạo đường hầm PPTP.
Đóng gói IP
Phần tải PPP (đã được mật mã) và các tiêu đề GRE sau đó được đóng gói với
một tiêu đề IP chứa thông tin địa chỉ nguồn và đích thích hợp cho máy trạm và máy
chủ PPTP.
Đóng gói lớp liên kết dữ liệu.
Để có thể đóng gói truyền qua mạng LAN hoặc WAN, gói IP cuối cùng sẽ được
đóng gói với một tiêu đề và phần đuôi của lớp liên kết dữ liệu ở giao diện vật lý đầu ra.
Ví dụ, nếu gói IP được gửi qua giao diện Ethernet, nó sẽ được gói với phần tiêu đề và
đuôi Ethernet. Nếu gói IP được gửi qua đường truyền WAN điểm tới điểm (như đường
điện thoại tương tự hoặc ISDN), nó sẽ được đóng gói với phần tiêu đề và đuôi của giao
thức.
Sơ đồ đóng gói.
Hình 2.18 là ví dụ sơ đồ đóng gói PPTP từ một máy trạm qua kết nối truy nhập
VPN từ xa sử dụng modem tương tự.
Nguyễn Mạnh Hùng, Lớp D04VT1 38
Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN
Hình 2.18: Sơ đồ đóng gói PPTP
Quá trình đóng gói được mô tả cụ thể như sau:
- Các gói IP, IPX hoặc khung NETBEUI được đưa tới giao diện ảo đại diện cho
kết nối VPN bằng giao thức tương ứng sử dụng NDIS (Network Driver Interface
Specification).
- NDIS đưa gói dữ liệu tới NDISWAN, nơi thực hiện mật mã, nén dữ liệu và cung
cấp tiêu đề PPP. Phần tiêu đề PPP này chỉ gồm trường mã số giao thức PPP
(PPP Protocol ID Field), không có các trường Flags và FCS (Frame Check
Sequence). Giả định trường địa chỉ và điều khiển đã được thỏa thuận ở giao thức
điều khiển đường truyền LCP (Link Control Protocol) trong quá trình kết nối
PPP.
- NDISWAN gửi dữ liệu tới giao thức PPTP, nơi đóng gói khung PPP với phần
tiêu đề GRE. Trong tiêu đề GRE, trường chỉ số cuộc gọi được đặt giá trị thích
hợp để xác định đường hầm.
- Giao thức PPTP sau đó sẽ gửi gói vừa hình thành tới TCP/IP.
- TCP/IP đóng gói dữ liệu đường hầm PPTP với phần tiêu đề IP, sau đó gửi kết
quả đến giao diện đại diện cho kết nối quay số tới ISP cục bộ sử dụng NDIS.
Nguyễn Mạnh Hùng, Lớp D04VT1 39
Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN
- NDIS gửi gói tin tới NDISWAN, nơi cung cấp các phần tiêu đề và đuôi PPP.
- NDISWAN gửi khung PPP kết quả tới cổng WAN tương ứng đại diện cho phần
cứng quay số (ví dụ, cổng không đồng bộ cho kết nối modem).
2.5.3.4 Xử lý dữ liệu tại đầu cuối đường hầm PPTPKhi nhận được dữ liệu đường hầm PPTP, máy trạm và máy chủ PPTP sẽ thực
hiện các bước sau:
- Xử lý và loại bỏ phần tiêu đề và đuôi của lớp liên kết dữ liệu.
- Xử lý và loại bỏ tiêu đề IP.
- Xử lý và loại bỏ tiêu đề GRE và PPP.
- Giải mã và/hoặc giải nén phần tải PPP (nếu cần thiết).
- Xử lý phần tải tin để nhận hoặc chuyển tiếp.
2.5.3.5 Triển khai VPN dựa trên PPTPĐể triển khai VPN dựa trên giao thức PPTP yêu cầu hệ thống tối thiểu phải có
các thành phần thiết bị như chỉ ra trên hình 2.19, cụ thể bao gồm:
- Một máy chủ truy nhập mạng dùng cho phương thức quay số truy nhập bảo mật
vào VPN.
- Một máy chủ PPTP.
- Máy trạm PPTP với phần mềm client cần thiết.
Nguyễn Mạnh Hùng, Lớp D04VT1 40
Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN
Hình 2.19: Các thành phần của hệ thống cung cấp VPN dựa trên PPTP.
Các máy chủ PPTP có thể đặt tại mạng của công ty và do nhân viên trong công
ty quản lý.
Máy chủ PPTP
Máy chủ PPTP thực hiện hai chức năng chính: Đóng vai trò là điểm kết nối của
đường hầm PPTP và chuyển các gói đến từ đường hầm tới mạng LAN riêng. Máy chủ
PPTP chuyển các gói đến máy đích bằng cách xử lý các gói PPTP để có được địa chỉ
mạng của máy tính đích. Máy chủ PPTP cũng có khả năng lọc gói. Bằng cách sử dụng
cơ chế lọc gói PPTP máy chủ có thể ngăn cấm, chỉ cho phép truy nhập vào Internet,
mạng riêng hay cả hai.
Thiết lập máy chủ PPTP tại site mạng có một hạn chế nếu như máy chủ PPTP
nằm sau tường lửa. PPTP được thiết kế sao cho chỉ có một cổng TCP 1723 được sử
dụng để chuyển dữ liệu đi. Sự khiếm khuyết của cấu hình cổng này có thể làm cho
tường lửa dễ bị tấn công hơn. Nếu như tường lửa được cấu hình để lọc gói thì phải thiết
lập nó cho phép GRE đi qua.
Một thiết bị khác được khởi xướng năm 1998 bởi hãng 3Com có chức năng
tương tự máy chủ PPTP gọi là chuyển mạch đường hầm. Mục đích của chuyển mạch
đường hầm là mở rộng đường hầm từ một mạng đến một mạng khác, trải rộng đường
hầm từ mạng của ISP đến mạng riêng. Chuyển mạch đường hầm có thể sử dụng tại
tường lửa làm tăng khả năng quản lý truy nhập từ xa vào tài nguyên của mạng nội bộ.
Nó có thể kiểm tra các gói đến và về, giao thức của các khung PPP hoặc tên của người
dùng từ xa.
Phần mềm client PPTP
Nếu như các thiết bị của ISP đã hỗ trợ PPTP thì không cần phần cứng hay phần
mềm bổ sung nào cho các máy trạm, chỉ cần một kết nối PPP chuẩn. Nếu như các thiết
bị của ISP không hỗ trợ PPTP thì một phần mềm ứng dụng client vẫn có thể tạo kết nối
bảo mật bằng cách đầu tiên quay số kết nối tới ISP bằng PPP, sau đó quay số một lần
nữa thông qua cổng PPTP ảo được thiết lập ở máy trạm.
Phần mềm client PPTP đã có sẵn trong Windows , NT và các hệ điều hành sau
này. Khi chọn client PPTP cần phải so sánh các chức năng của nó với máy chủ PPTP
đã có. Không phải tất cả các phần mềm client PPTP đều hỗ trợ MS – CHAP, nếu thiếu
công cụ này thì không thể tận dụng được ưu điểm mã hóa trong RRAS.
Máy chủ truy nhập mạng
Nguyễn Mạnh Hùng, Lớp D04VT1 41
Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN
Máy chủ truy nhập mạng NAS còn có tên gọi khác là máy chủ truy nhập từ xa
(Remote Access Server) hay bộ tập trung truy nhập (Access Concentrator). NAS cung
cấp khả năng truy nhập đường dây dựa trên phần mềm, có khả năng tính cước và có
khả năng chịu đựng lỗi tại ISP POP. NAS của ISP được thiết kế cho phép một số lượng
lớn người dùng có thể quay số truy nhập vào cùng một lúc.
Nếu một ISP cung cấp dịch vụ PPTP thì cần phải cài một NAS cho phép PPTP
để hỗ trợ các client chạy trên các nền khác nhau như Unix, Windows, Macintosh, v.v…
Trong trường hợp này, máy chủ ISP đóng vai trò như một client PPTP kết nối với máy
chủ PPTP tại mạng riêng và máy chủ ISP trở thành một điểm cuối của đường hầm,
điểm cuối còn lại là máy chủ tại đầu mạng riêng.
2.5 .3.6 Ưu nhược điểm và khả năng ứng dụng của PPTP Ưu điểm của PPTP là được thiết kế để hoạt động ở lớp 2 (liên kết dữ liệu) trong
khi IPSec chạy ở lớp ba của mô hình OSI. Bằng cách hỗ trợ việc truyền dữ liệu ở lớp
hai, PPTP có thể truyền trong đường hầm bằng các giao thức khác IP trong khi IPSec
chỉ có thể truyền các gói IP trong đường hầm.
Tuy nhiên, PPTP là một giải pháp tạm thời vì hầu hết các nhà cung cấp đều có
kế hoạch thay thế PPTP bằng L2TP khi mà giao thức này đã được chuẩn hóa. PPTP
thích hợp cho quay số truy nhập với số lượng người dùng giới hạn hơn là cho VPN kết
nối LAN – LAN. Một vấn đề của PPTP là xử lý xác thực người dùng thông qua
Windows NT hay thông qua RADIUS. Máy chủ PPTP cũng quá tải với một số lượng
lớn người dùng quay số truy nhập hay một lưu lượng lớn dữ liệu truyền qua, mà điều
này là một yêu cầu của kết nối LAN – LAN.
Khi sử dụng VPN dựa trên PPTP mà có hỗ trợ thiết bị của ISP thì một số quyền
quản lý phải chia sẻ cho ISP. Tính bảo mật của PPTP không mạnh bằng IPSec. Tuy
nhiên, quản lý bảo mật trong PPTP lại đơn giản hơn.
2.5.4 Giao thức L2TPGiao thức định đường hầm lớp 2 L2TP (Layer 2 Tunneling Protocol) là sự kết
hợp giữa hai giao thức đó là PPTP và chuyển tiếp lớp 2 – L2F (Layer 2 Forwarding).
PPTP do Microsoft đưa ra còn L2F do Cisco khởi xướng. Hai công ty này đã hợp tác
cùng kết hợp hai giao thức lại và đăng ký chuẩn hóa tại IETF.
Giống như PPTP, L2F là giao thức đường hầm, nó sử dụng tiêu đề đóng gói
riêng cho việc truyền các gói ở lớp 2. Một điểm khác biệt chính giữa L2F và PPTP là
Nguyễn Mạnh Hùng, Lớp D04VT1 42
Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN
L2F không phụ thuộc vào IP và GRE, cho phép nó có thể làm việc ở môi trường vật lý
khác. Bởi vì GRE không sử dụng giao thức đóng gói, nên L2F định nghĩa riêng cách
thức các gói được điều khiển trong môi trường khác. Tương tự như PPTP, L2F tận
dụng PPP để xác thực người dùng quay số truy cập. Nhưng nó cũng hỗ trợ TACACS+
và RADIUS cho việc xác thực. Có hai mức xác thực người dùng: Đầu tiên ở ISP trước
khi thiết lập đường hầm, sau đó là ở cổng nối của mạng riêng sau khi kết nối được thiết
lập.
L2TP mang các đặc tính của PPTP và L2F. Tuy nhiên L2TP định nghĩa riêng
một giao thức đường hầm dựa trên hoạt động của L2F. Nó cho phép L2TP truyền
thông qua nhiều môi trường khác nhau như X.25, Frame Relay, ATM. Mặc dù nhiều
công cụ chủ yếu của L2TP tập trung cho UDP của mạng IP, nhưng có thể thiết lập một
hệ thống L2TP mà không cần phải sử dụng IP làm giao thức đường hầm. Một mạng
ATM hay Frame Relay có thể áp dụng cho đường hầm L2TP.
Do L2TP là giao thức ở lớp 2 nên nó cho phép người dùng sử dụng các giao
thức điều khiển một cách mềm dẻo không chỉ là IP mà có thể là IPX hoặc NETBEUI.
Cũng giống như PPTP, L2TP cũng có cơ chế xác thực PAT, CHAP hay RADIUS.
Mặc dù Microsoft đã làm cho PPTP trở nên cách chọn lựa phổ biến khi xây
dựng VPN bằng cách hỗ trợ giao thức này sẵn trong hệ điều hành Windows nhưng
công ty cũng có kế hoạch hỗ trợ thêm L2TP trong Windows NT 4.0 và Window 98 trở
lên.
2.5.4.1 Dạng thức của L2TP
Nguyễn Mạnh Hùng, Lớp D04VT1 43
Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN
Hình 2.20: Kiến trúc của L2TP
Những phần chính của L2TP bao gồm: Giao thức điểm – điểm, đường hầm và
hệ thống xác thực. Tuy nhiên để tăng thêm độ bảo mật thì L2TP.
2.5.4.1.1 PPP và L2TP PPP và L2TP dựa trên PPP để tạo kết nối quay số giữa client và máy chủ truy
cập mạng (NAS).
L2TP sử dụng PPP để tạo kết nối vật lý, tiến hành giai đoạn xác thực, tạo gói dữ
liệu PPP và đóng kết nối khi kết thúc phiên làm việc.
Sau khi PPP tạo kết nối xong, L2TP sẽ xác định NAS tại site chính có chấp nhận
người dùng và sẵn sàng đóng vai trò là điểm kết thúc đường hầm cho người dùng đó.
Sau khi đường hầm được tạo, L2TP sẽ đóng gói các gói PPP rồi truyền lên môi trường
mà ISP đã gắn cho đường hầm đó (Hình 2.21). L2TP tạo đường hầm giữa NAS của ISP
và máy chủ mạng của client, nó có thể gắn nhiều phiên làm việc cho đường hầm. L2TP
tạo ra các số nhận dạng cuộc gọi (Call ID) cho mỗi phiên làm việc và chèn Call ID vào
tiêu đề L2TP của mỗi gói để chỉ ra nó thuộc phiên làm việc nào.
Nguyễn Mạnh Hùng, Lớp D04VT1 44
Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN
Hình 2.21: Các giao thức sử dụng trong một kết nối L2TP
L2TP cũng có thể tạo ra nhiều đường hầm NAS của ISP và máy chủ truy cập
mạng client. Bằng việc chọn gán một phiên làm việc của người dùng cho một đường
hầm thay vì ghép nhiều phiên làm việc vào một đường hầm, cho phép gán các người
dùng khác nhau vào các môi trường đường hầm tùy theo chất lượng dịch vụ của họ.
Giống như PPTP, L2TP cũng định nghĩa hai loại thông báo đó là thông báo điều
khiển và thông báo dữ liệu. Tuy nhiên không giống như PPTP, L2TP truyền cả hai loại
thông báo chung trên một luồng. Nếu như đường hầm được dùng cho truyền trên mạng
IP thì cả hai loại thông báo đều được gửi trên cùng gói dữ liệu UDP.
Do L2TP làm việc ở lớp hai nên trong thông báo dữ liệu L2TP bao gồm tiêu đề
môi trường để chỉ ra đường hầm làm việc trong môi trường nào (hình 2.22). Tùy theo
nhà ISP mà môi trường có thể là Ethernet, X.25, Frame Relay, ATM hay liên kết PPP.
Hình 2.22: Bọc gói L2TP
L2TP cũng giúp đỡ làm giảm tải trên mạng, nó giúp máy chủ giải quyết tắc
nghẽn bằng cơ chế điều khiển luồng giữa NAS, theo thuật ngữ gọi là bộ tập trung truy
cập L2TP – LAC (L2TP Access Concerntrator) và máy chủ của mạng riêng, theo thuật
ngữ gọi là máy chủ mạng L2TP – LNS (L2TP Network Server). Thông báo điều khiển
Nguyễn Mạnh Hùng, Lớp D04VT1 45
Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN
cho biết tốc độ truyền và tham số của bộ đệm dùng để điều khiển luồng các gói PPP
trong một phiên làm việc.
2.5.4.1.2 Đường hầm L2TPL2TP sử dụng những lớp đường hầm tương tự như PPTP (các đường hầm tự
nguyện và bắt buộc) tùy theo người sử dụng client PPP hay client L2TP để khởi tạo kết
nối.
Đường hầm tự nguyện được tạo theo yêu cầu của người dùng cho mục đích sử
dụng cụ thể. Đường hầm bắt buộc được tạo tự động không cần bất kỳ hành động nào từ
phía người dùng và đặc biệt là không cho phép người dùng có sự lựa chọn nào.
Hình 2.23: Các đường hầm tự nguyện và bắt buộc.
Khi người dùng sử dụng đường hầm tự nguyện thì có thể đồng thời mở đường
hầm bảo mật thông qua Internet và vừa có thể truy cập vào một host bất kỳ trên
Internet theo giao thức TCP/IP bình thường. Điểm kết thúc đường hầm của đường hầm
tự nguyện nằm ở máy tính người dùng. Đường hầm tự nguyện thường được sử dụng để
Nguyễn Mạnh Hùng, Lớp D04VT1 46
Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN
cung cấp tính riêng tư và toàn vẹn dữ liệu cho lưu lượng Intranet được gửi thông qua
Internet.
Do đường hầm bắt buộc được tạo ra không thông qua người dùng nên nó trong
suốt đối với người dùng đầu cuối. Điểm kết thúc của đường hầm bắt buộc nằm ở LAC
của ISP. Tất cả dữ liệu truyền đi từ người dùng qua đường hầm L2TP thông qua LAC.
Truy cập vào những dịch vụ khác ngoài Intranet cần phải thông qua nhà quản lý mạng.
Cần lưu ý là L2TP cho phép đa kết nối cùng tải trên một đường hầm, điều này làm tăng
dung lượng cho L2TP.
Bởi vì đường hầm bắt buộc định trước điểm kết thúc và người dùng không thể
truy nhập phần còn lại của Internet nên nó điều khiển truy nhập tốt hơn là đường hầm
tự nguyện. Nếu như vì tính bảo mật mà không cho người dùng truy cập Internet công
cộng thì đường hầm bắt buộc ngăn chặn không cho họ truy nhập Internet công cộng
nhưng vẫn cho phép dùng Internet để truy cập VPN (nghĩa là chỉ truy nhập được các
site trong VPN mà thôi).
Một ưu điểm nữa của đường hầm bắt buộc là một đường hầm có thể tải nhiều
kết nối. Đặc tính này làm giảm yêu cầu băng thông mạng cho các ứng dụng đa phiên
làm việc. Một khuyết điểm của đường hầm bắt buộc là kết nối từ LAC đến người dùng
nằm ngoài đường hầm nên dễ bị tấn công. Điều này là một trong những lí do L2TP sử
dụng một số đặc điểm của IPSec để bảo mật lưu lượng.
Mặc dù ISP có thể chọn cách thiếp lập tĩnh để định nghĩa đường hầm cho người
dùng, nhưng điều này làm lãng phí tài nguyên mạng nếu như đường hầm tĩnh đó không
được sử dụng thường xuyên. Có cách khác mềm dẻo hơn đó là chọn đường hầm động
khi mà người dùng kết nối với RAS hay LAC, cho phép sử dụng tài nguyên của mạng
hiệu quả hơn. Những đường hầm động này được thiết lập trong L2TP bằng cách kết
nối hệ thống tới máy chủ RADIUS.
Sử dụng RADIUS để cung cấp đường hầm bắt buộc có một vài ưu điểm. Các
đường hầm có thể định nghĩa và kiểm tra dựa trên xác thực người dùng và tính cước có
thể dựa trên số điện thoại, hoặc các phương pháp xác thực khác, chẳng hạn như thẻ bài
hay card thông minh. Để RADIUS có thể điều khiển việc thiết lập một đường hầm, nó
cần phải lưu các thuộc tính của đường hầm. Các thuộc tính này bao gồm giao thức
đường hầm được sử dụng (PPTP hay L2TP), địa chỉ của máy chủ và môi trường truyền
dẫn trong đường hầm được sử dụng.
Nguyễn Mạnh Hùng, Lớp D04VT1 47
Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN
2.5.4.1.3 Xác thực và mã hóa trong L2TPViệc xác thực người dùng diễn ra trong ba giai đoạn: Giai đoạn một diễn ra tại
ISP, giai đoạn hai và giai đoạn ba (tùy chọn) diễn ra ở máy chủ của mạng riêng.
Trong giai đoạn đầu, ISP có thể sử dụng số điện thoại của người dùng hoặc tên
người dùng để xác định dịch vụ L2TP được yêu cầu và khởi tạo kết nối đường hầm đến
máy chủ của mạng riêng. Khi đường hầm được thiết lập, LAC của ISP phải chỉ định
một số nhận dạng cuộc gọi (Call ID) mới để định danh cho kết nối trong đường hầm
và khởi tạo phiên làm việc bằng cách chuyển thông tin xác thực đến máy chủ của mạng
riêng.
Máy chủ của mạng riêng sẽ tiến hành tiếp bước thứ hai là quyết định có chấp
nhận hay từ chối cuộc gọi. Cuộc gọi từ ISP chuyển đến có thể mang CHAP, PAP, EAP
hay bất kỳ thông tin nào, máy chủ sẽ dựa vào các thông tin này để quyết định chấp
nhận hay từ chối cuộc gọi này.
Sau khi cuộc gọi được chấp nhận thì máy chủ mạng có thể khởi động giai đoạn
thứ ba của việc xác thực tại lớp PPP. Bước này tương tự như máy chủ xác thực một
người dùng quay số truy cập vào thẳng máy chủ.
Mặc dù bai giai đoạn này cho phép người dùng, ISP và máy chủ của mạng riêng
xác định được tính chính xác của cuộc gọi nhưng vẫn chưa bảo mật cho dữ liệu tránh
khỏi sự can thiệp sửa đổi.
Giữa hai đầu của đường hầm xác thực luồng qua lại lẫn nhau trong suốt quá
trình thiết lập đường hầm. Cơ chế xác thực cũng tương tự như thuộc tính bảo mật của
CHAP bảo mật chống lại các vụ tấn công trong suốt tiến trình thiết lập đường hầm. Tuy
nhiên nó vẫn còn đơn giản cho kẻ tấn công xen vào và chiếm đường hầm ngay khi quá
trình xác thực đường hầm vừa mới hoàn tất.
Mặc dù xác thực L2TP cho phép xác thực qua lại lẫn nhau giữa LAC và LNS
trong suốt quá trình thiết lập đường hầm nhưng nó không bảo mật cho các luồng thông
báo điều khiển và thông báo dữ liệu. Sự khiếm khuyết này làm cho đường hầm dễ bị
tấn công bao gồm việc chèn gói dữ liệu vào để chiếm quyền điều khiển đường hầm hay
kết nối PPP, hoặc phá vỡ việc đàm phán PPP, lấy được mật khẩu người dùng…
Xác thực PPP từ client đến LNS nhưng nó không cung cấp xác thực cho gói,
không toàn vẹn dữ liệu, hoặc bảo mật. Mã hóa PPP là một yêu cầu tin cậy cho luồng
PPP nhưng nó không có xác thực địa chị, toàn vẹn dữ liệu, quản lý khóa nên làm cho
nó trở thành công cụ bảo mật yếu kém, không thể giúp cho bảo mật trong kênh L2TP.
Nguyễn Mạnh Hùng, Lớp D04VT1 48
Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN
Để xác thực trong L2TP được như mong muốn, cần phải phân phối khóa. Mặc
dù phân phối khóa bằng tay có thể khả thi trong một số trường hợp, nhưng yêu cầu phải
có một giao thức quản lý khóa cho mọi trường hợp.
Đối với đường hầm L2TP trên IP, bảo mật gói IP sử dụng IPSec cung cấp khả
năng bảo mật cao cho đường hầm. Việc bảo mật này không đòi hỏi phải sửa đổi giao
thức L2TP.
Cần chú ý là một vài loại tấn công được tiến hành trên kết nối PPP giữa client
quay số và NAS/LAC. L2TP sẽ là một giải pháp tốt cho VPN nếu như nó bảo mật dữ
liệu đầu cuối – đầu cuối. Điều này dẫn đến phải có kế hoạch sử dụng IPSec để mã hóa
các gói, tối thiểu là cho các đường hầm dựa trên IP.
Bởi vì các chức năng của ESP được định nghĩa trên tải IP nên tiêu đề IP không
cần thiết cho ESP. Do đó L2TP trên các mạng không phải IP có thể chuyển được các
gói ESP. Nhưng việc chuyển khóa và đàm phán SA lại là vấn đề khác. Đối với IKE,
các thông báo tải trên UDP, điều này làm cho các môi trường không phải là IP phải hỗ
trợ việc truyền gói dữ liệu UDP.
Hãy xem xét IPSec được thực thi như thế nào trong đường hầm tự nguyện và bắt
buộc. Trong trường hợp đường hầm bắt buộc, người dùng gửi những gói PPP đến LAC
mà không cần quan tâm đến đường hầm được tạo giữa LAC và LNS tại mạng riêng.
Một SA được thiết lập giữa LAC và LNS dựa trên yêu cầu và danh định của người
dùng và SA này chỉ được biết đến bởi LAC và LNS, người dùng không quan tâm đến.
Nguyễn Mạnh Hùng, Lớp D04VT1 49
Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN
Hình 2.24: Mã hóa gói cho đường hầm bắt buộc.
Do người dùng đầu cuối không quan tâm đến dịch vụ bảo mật dữ liệu nằm giữa
LAC và LNS, nên cách giải quyết tốt nhất cho người dùng đầu cuối là IPSec được thực
thi ngay tại máy của họ. Tuy nhiên không phải các điểm kết thúc đường hầm nào cũng
tương thích IPSec, điều này có thể giải quyết bằng cách đàm phán lại chỉ sử dụng mã
hóa PPP (Hình 2.25). Trong cả hai trường hợp LAC của ISP phải chèn IPSec AH vào
luồng dữ liệu nhưng lại để cho người dùng đầu cuối chọn là ESP cho đầu cuối tương
thích IPSec hay mã hóa PPP cho đầu cuối tương thích không IPSec.
Trong trường hợp đường hầm tự nguyện, người dùng đóng vai trò là điểm kết
thúc đường hầm, do đó có thể tiến hành đàm phán SA với LNS tại mạng riêng. Tuy
nhiên việc đàm phán lại phụ thuộc vào cả hai đầu có thương thích với IPSec hay không
(Hình 2.26). Do người dùng đóng vai trò là điểm kết thúc của đường hầm nên IPSec
AH được áp dụng ngay máy của họ chứ không phải trên thiết bị của ISP. Nếu như đích
đến không tương thích IPSec thì mã hóa ESP chỉ bảo mật dữ liệu cho đến khi nó đến
LNS của mạng riêng.
Nguyễn Mạnh Hùng, Lớp D04VT1 50
Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN
Hình 2.26: Mã hóa gói cho đường hầm tự nguyện
2.5.4.1.4 Đường hầm kết nối LAN – LAN Mặc dù chức năng chính của L2TP là cho quay số truy nhập VPN sử dụng client
PPP, nhưng nó cũng thích hợp cho kết nối LAN – LAN trong VPN.
Đường hầm kết nối LAN – LAN được thiết lập giữa hai máy chủ của L2TP với
ít nhất một trong hai máy chủ phải có kết nối quay số tới ISP để khởi tạo phiên làm
việc PPP. Thiết kế này thích hợp cho mạng LAN của văn phòng chi nhánh kết nối vào
văn phòng chính khi kết nối không cần phải duy trì thường xuyên.
Hai bên đóng vai trò vừa là LAC và LNS, khởi tạo và kết thúc đường hầm khi
cần thiết (hình 2.27).
Đối với LAN kết nối vào LAN thường xuyên thông qua Internet (sử dụng Frame
Relay, T1,…) cần tồn tại đường tắt trong tiến trình xác thực bởi vì RAS của ISP không
đóng vai trò là LAC.
Nguyễn Mạnh Hùng, Lớp D04VT1 51
Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN
Hình 2.27: Đường hầm L2TP kết nối LAN – LAN
2.5.4.1.5 Quản lý khóaKhi hai đối tượng muốn chuyển giao dữ liệu một cách bảo mật thì họ cần phải
chắc là cả hai bên xử lý dữ liệu như nhau. Cả hai bên phải cùng sử dụng chung giải
thuật mã hóa, cùng chiều dài từ khóa, cùng chung một khóa thì dữ liệu truyền mới
được bảo mật. Điều này được xử lý thông qua bảo mật kết hợp SA (Security
Association).
Một IPSec SA mô tả các vấn đề sau:
- Giải thuật xác thực sử dụng cho AH và khóa của nó.
- Giải thuật mã hóa ESP và khóa của nó.
- Dạng thức và kích thước của đồng bộ mật mã sử dụng trong giải thuật mã hóa.
- Giao thức, giải thuật, khóa sử dụng cho việc truyền thông.
- Giao thức, giải thuật mã hóa, khóa sử dụng cho việc truyền thông riêng.
- Bao lâu thì khóa được thay đổi.
- Giải thuật xác thực, kiểu, chức năng sử dụng trong ESP và khóa được sử dụng
bởi giải thuật đó.
- Thời gian sống của khóa.
- Thời gian sống của SA.
- Địa chỉ nguồn SA.
Mặc dù SA giúp hai đối tượng truyền thông định nghĩa phương thức mã hóa mà
họ sẽ thực hiện nhưng việc chuyển giao khóa lại do IKE đảm nhiệm. IKE có các khả
năng sau:
- Cung cấp các phương tiện cho hai bên thỏa thuận sử dụng các giao thức, giải
thuật và khóa.
- Đảm bảo ngay từ lúc bắt đầu chuyển khóa là truyền thông đúng đối tượng.
Nguyễn Mạnh Hùng, Lớp D04VT1 52
Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN
- Quản lý khóa sau khi chúng được chấp nhận trong tiến trình thỏa thuận.
- Đảm bảo các khóa được chuyển một cách bảo mật.
Chuyển khóa giống tương tự như quản lý SA. Khi cần tạo một SA cần phải
chuyển khóa. Do đó cấu trúc của IKE bọc chúng lại với nhau và chuyển chúng đi như
một gói tích hợp.
Bởi vì IKE dựa trên IP nên nó dễ dàng được ghép vào L2TP chạy trên mạng IP
hơn là trên mạng không phải là IP.
2.5.4.2 Sử dụng L2TPBởi vì chức năng chính của L2TP là cho quay số truy cập VPN thông qua
Internet nên các thành phần của L2TP cũng tương tự như PPTP. Thành phần quan
trọng nhất của L2TP là định nghĩa điểm kết thúc một đường hầm L2TP, LAC và LNS
(hình 2.28). Bởi vì các điểm này có thể nằm trên thiết bị ISP nên phần mềm cho client
di động có thể không cần thiết.
Mặc dù LNS có thể cài đặt ngay tại công ty và điều hành bởi một nhóm làm việc
của công ty, nhưng LAC nên được hỗ trợ dựa trên ISP. Thực ra nếu như trên máy client
từ xa có cài sẵn client L2TP thì ISP không cần phải hỗ trợ thêm L2TP.
Tại site của mạng riêng, máy chủ L2TP đóng vai trò như một cổng nối bảo mật,
nối kết xác thực với RADIUS hay các miền Windowns. Client L2TP tại máy tính xách
tay của người dùng có thể thực thi những chức năng giống như phần mềm client IPSec.
2.5.4.2.1 Các máy chủ mạng L2TPMột máy chủ L2TP có hai chức năng chính là: Nó đóng vai trò là điểm kết thúc
của đường hầm PPTP và chuyển các gói đến từ đường hầm đến mạng LAN riêng. Máy
chủ L2TP chuyển các gói đến các máy đích bằng cách xử lý gói L2TP để có được địa
chỉ mạng của máy tính đích.
Nguyễn Mạnh Hùng, Lớp D04VT1 53
Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN
Hình 2.28: Các thành phần cơ bản của L2TPKhông giống như PPTP, L2TP không có khả năng lọc các gói. Hệ thống để dành
nhiệm vụ đó cho tường lửa.
Khi có tích hợp giữa máy chủ mạng và tường lửa thì L2TP có ưu điểm hơn
PPTP. Trước hết, L2TP không đòi hỏi chỉ có một cổng duy nhất gán cho tường lửa như
PPTP (cổng mặc định cho L2TP là 1701). Chương trình quản lý có tùy chọn để cổng
gán cho tường lửa, điều này gây khó khăn cho kẻ tấn công vào một cổng đã biết trong
khi cổng đó có thể được đổi thành một số khác. Thứ hai là luồng dữ liệu và thông tin
điều khiển được truyền trên cùng một cổng UDP, việc thiết lập tường lửa sẽ đơn giản
hơn. Do một tường lửa tường lửa không có hỗ trợ GRE nên chúng tương thích với
L2TP hơn là với PPTP.
2.5.4.2.2 Phần mềm client L2TPNếu như các thiết bị của ISP đã hỗ trợ L2TP thì không cần phần cứng hay phần
mềm nào cho các client, chỉ cần kết nối chuẩn PPP là đủ. Nhưng chú ý là thiết lập trên
không sử dụng được mã hóa của IPSec, điều đó có nghĩa là nên sử dụng các client
tương thích L2TP cho L2TP VPN.
Sau đây là một số đặc điểm của phần mềm client L2TP:
Nguyễn Mạnh Hùng, Lớp D04VT1 54
Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN
- Tương thích với những thành phần khác của IPSec (như máy chủ mã hóa, giao
thức chuyển khóa, giải thuật mã hóa…).
- Đưa ra một chỉ báo rõ ràng khi IPSec đang hoạt động.
- Hỗ trợ tải SA về.
- Hàm băm xử lý được các địa chỉ IP động.
- Có cơ chế bảo mật khóa chống lại kể trộm (mã hóa khóa với mật khẩu).
- Có cơ chế chuyển đổi mã hóa một cách tự động và định kỳ.
- Chặn toàn bộ các lưu lượng không – IPSec.
2.5.4.2.3 Các bộ tập trung truy cập mạngKhông giống như IPSec VPN, trong một số trường hợp thiết kế của L2TP VPN
phụ thuộc vào giao thức hỗ trợ bởi ISP. Việc hỗ trợ đặc biệt quan trọng khi các client
từ xa không có client L2TP có thể sử dụng client PPP để truy cập.
Bởi vì các ISP có thể cung cấp các dịch vụ L2TP mà không cần phải thêm hỗ trợ
L2TP vào máy chủ truy cập của họ, điều này đòi hỏi tất cả người dùng phải có client
L2TP tại máy của họ. Điều này mang lại ưu điểm là người dùng có thể sử dụng dịch vụ
của nhiều ISP khi mà mô hình mạng của họ rộng lớn về mặt địa lý.
Một ISP cung cấp dịch vụ L2TP cần phải cài một NAS cho phép L2TP để hỗ trợ
cho các client L2TP chạy trên các nền khác nhau như Unix, Windows, Macintosh.
Trong các trường hợp như thế ISP ACS đóng vai trò như điểm cuối của đường hầm
L2TP bắt buộc điểm kết thúc còn lại là máy chủ tại đầu mạng riêng.
Việc lựa chọn một nhà ISP cung cấp dịch vụ L2TP VPN có thể thay đổi tùy theo
yêu cầu thiết kế mạng. Nếu thiết kế một VPN đòi hỏi mã hóa đầu cuối – đầu cuối thì
cần cài các client tương thích L2TP tại các host đầu xa và thỏa thuận với ISP là sẽ xử
lý mã hóa từ máy đầu xa đến tận máy chủ của mạng VPN. Nếu xây dựng một mạng ít
bảo mật hơn, khả năng chịu đựng lỗi cao hơn và chỉ muốn bảo mật dữ liệu khi nó đi
trong đường hầm trên Internet thì thỏa thuận với ISP để họ hỗ trợ LAC và mã hóa dữ
liệu chỉ từ đoạn LAC đến LNS của mạng riêng VPN.
2.5.4.2.4 Một số ví dụ minh họa ứng dụng L2TP trong VPNTrong ví dụ chỉ đề cập đến việc trao đổi dữ liệu giữa hai điểm cuối, không quan
tâm đến thông tin trong mạng được bảo mật như thế nào (sử dụng tường lửa chẳng
hạn). Các host được nối tới máy chủ L2TP và mọi ngõ đi ra ngoài đều phải thông qua
máy chủ L2TP kết hợp với tường lửa. Kết nối giữa site trong mạng và site bên ngoài
Nguyễn Mạnh Hùng, Lớp D04VT1 55
Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN
phải được khóa lại sao cho chỉ có người quản trị mạng mới truy cập tới được máy chủ
mã hóa.
Trong ví dụ hình 2.29, công ty A quyết định sử dụng dịch vụ VPN có hỗ trợ của
ISP. Điều này có nghĩa là ISP cung cấp kết nối Internet cho công ty A có máy chủ
proxy RADIUS và LAC. Ở tại công ty A vẫn có duy trì máy chủ RADIUS và LNS. Do
ISP có hỗ trợ L2TP nên các máy đầu xa không cần phải cài client L2TP.
Hình 2.29: Quay số L2TP trong VPN
2.5.4.3 Khả năng áp dụng của L2TPL2TP là một thế hệ giao thức quay số truy cập mới của VPN. Nó phối hợp
những đặc điểm tốt nhất của PPTP và L2F. Hầu hết các nhà cung cấp sản phẩm PPTP
đều đưa ra các sản phẩm tương thích L2TP hoặc sẽ giới thiệu sau này.
Mặc dù L2TP chủ yếu chạy trên mạng IP, nhưng khả năng chạy trên các mạng
khác như Frame Relay, ATM đã làm nó thêm phổ biến.
Nguyễn Mạnh Hùng, Lớp D04VT1 56
Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN
L2TP cho phép một số lượng lớn client từ xa được kết nối vào VPN hay cho các
kết nối LAN – LAN có dung lượng lớn. L2TP có cơ chế điều khiển luồng để làm giảm
đi tắc nghẽn trên đường hầm L2TP.
L2TP cho phép thiết lập nhiều đường hầm với cùng LAC và LNS. Mỗi đường hầm có thể được gán cho một người dùng xác định, hoặc một nhóm các người dùng và gán cho các môi trường khác nhau tùy theo thuộc tính chất lượng dịch vụ QoS của người dùng.
Nguyễn Mạnh Hùng, Lớp D04VT1 57
Đồ án tốt nghiệp Đại Học Chương III: Mạng riêng ảo trên nền MPLS
PHẦN II
CHƯƠNG III: MẠNG RIÊNG ẢO TRÊN NỀN MPLS
MPLS – VPN được coi là sự kết hợp các ưu điểm của cả hai mô hình mạng riêng
ảo chồng lấn và ngang hàng. Việc thiết lập các mạng riêng ảo trên nền MPLS cho phép
đảm bảo định tuyến tối ưu giữa các site khách hàng, phân biệt địa chỉ khách hàng thông
qua nhận dạng định tuyến và hỗ trợ xây dựng các mô hình VPN phức tạp trên cơ sở
đích định tuyến.
Trong phần này trình bày những vấn đề cơ bản về mạng riêng ảo trên nền MPLS,
nguyên lý hoạt động cũng như khả năng mà MPLS – VPN mang lại. Các đặc điểm
chính của hai loại hình mạng riêng ảo trên nền IPSec và MPLS cũng được so sánh để
qua đó làm nổi bật những ưu điểm của giải pháp VPN – MPLS.
3.1 Các thành phần của MPLS – VPN
3.1.1 Hệ thống cung cấp dịch vụ MPLS – VPNMột khái niệm quan trọng cần nhắc lại khi nghiên cứu về mạng riêng ảo trên nền
MPLS là các site. VPN là một tập hợp nhiều site chia sẻ cùng thông tin định tuyến
chung. Như vậy, một site có thể thuộc về nhiều hơn một VPN nếu nó nắm giữ các
quyền từ mỗi VPN riêng. Điều này cung cấp khả năng xây dựng các VPN cục bộ, mở
rộng cũng như các VPN truy nhập từ xa. Khi các site của VPN thuộc về một doanh
nghiệp thì VPN đó được coi là cục bộ, còn nếu các site của VPN thuộc về những doanh
nghiệp khác nhau thì VPN đó là VPN mở rộng.
Một cách khái quát, mô hình hệ thống cung cấp dịch vụ MPLS – VPN được thể
hiện trên hình 3.1
Nguyễn Mạnh Hùng, Lớp D04VT1 58
Đồ án tốt nghiệp Đại Học Chương III: Mạng riêng ảo trên nền MPLS
Hình 3.1: Hệ thống cung cấp dịch vụ MPLS – VPN và các thành phần.
Như trên hình vẽ ta có thể thấy, các thành phần cơ bản trong MPLS – VPN bao
gồm:
- Mạng lõi IP/MPLS được quản trị bởi nhà cung cấp dịch vụ.
- Bộ định tuyến lõi của mạng nhà cung cấp.
- Bộ định tuyến biên của mạng, cung cấp thông tin định tuyến của khách hàng và
thực hiện đáp ứng dịch vụ cho khách hàng từ phía nhà cung cấp.
- Bộ định tuyến biên của các hệ tự trị AS (Autonomous System), thực hiện vai trò
kết nối với các AS khác. Những AS này có thể có cùng hoặc khác nhà điều hành.
- Mạng khách hàng, được coi là mạng truy nhập tới vùng mạng lõi.
- Bộ định tuyến khách hàng, đóng vai trò là cầu nối giữa mạng khách hàng và
mạng của nhà cung cấp. Những bộ định tuyến này có thể được quản trị bởi khách
hàng hoặc nhà cung cấp dịch vụ.
3.1.2 Bộ định tuyến biên của nhà cung cấp dịch vụNhư đã giới thiệu ở trên, thành phần rất quan trọng và không thể thiếu khi triển
khai MPLS – VPN là các thiết bị định tuyến biên của nhà cung cấp dịch vụ. Các bộ
định tuyến biên PE trong MPLS – VPN có kiến trúc giống như kiến trúc VPN ngang
hàng dùng chung bộ định tuyến chia sẻ, chỉ có sự khác biệt là toàn bộ mọi thứ được tập
trung trong một thiết bị vật lý (hình 3.2)
Nguyễn Mạnh Hùng, Lớp D04VT1 59
Đồ án tốt nghiệp Đại Học Chương III: Mạng riêng ảo trên nền MPLS
Hình 3.2: Bộ định tuyến PE và sơ đồ kết nối các site khách hàng.
Như thể hiện trong hình vẽ, mỗi site khách hàng đăng kí một bảng định tuyến
độc lập gọi là bảng định tuyến ảo, tương ứng với một bộ định tuyến ảo như trong mô
hình VPN ngang hàng. Một bộ định tuyến ảo cho phép nhiều site của khách hàng cùng
kết nối tới nó. Việc định tuyến qua mạng của nhà cung cấp được thực hiện bởi một tiến
trình định tuyến khác, sử dụng bảng định tuyến toàn cục.
3.1.3 Bảng định tuyến và chuyển tiếp ảo.Sự kết hợp giữa bảng định tuyến và bảng chuyển tiếp VPN tạo thành một bảng
định tuyến chuyển tiếp ảo VRF (Vitual Routing and Forwarding). Mỗi VPN đều có một
bảng định tuyến và chuyển tiếp riêng của nó trong bộ định tuyến PE, và mỗi bộ định
tuyến PE duy trì một hoặc nhiều bảng VRF. Mỗi site mà có bộ định tuyến PE nối vào
đó sẽ liên kết với một trong các bảng này. Địa chỉ IP đích của một gói tin chỉ được kiểm
tra trong bảng VRF mà nó thuộc về nếu gói tin này đến trực tiếp từ site tương ứng với
bảng VRF đó. Một VRF đơn giản chỉ là một tập hợp các tuyến thích hợp cho một site
nào đó (hoặc một tập hợp gồm nhiều site) kết nối đến bộ định tuyến PE. Các tuyến này
có thể thuộc về một hoặc nhiều VPN.
Ví dụ, giả sử có ba bộ định tuyến PE là PE1, PE2, PE3, và ba bộ định tuyến CE
là CE1, CE2, CE3. Cũng giả sử rằng PE1 tiếp nhận từ CE1 các tuyến hợp lệ ở site CE1,
Nguyễn Mạnh Hùng, Lớp D04VT1 60
Đồ án tốt nghiệp Đại Học Chương III: Mạng riêng ảo trên nền MPLS
còn PE2 và PE3 tương ứng được nối tới các site CE2 và CE3. Cả ba site này đều thuộc
về cùng một VPN V. Khi đó PE1 sẽ sử dụng BGP để phân phối cho PE2 và PE3 các
tuyến mà nó học được từ các site CE1. PE2 và PE3 sử dụng các tuyến này để đưa vào
bảng chuyển tiếp dành cho site CE2 và CE3. Các tuyến từ những site không thuộc vào
VPN V sẽ không xuất hiện trong bảng chuyển tiếp này, có nghĩa là các gói tin CE2 và
CE3 không thể gửi đến những site không thuộc VPN V.
Nếu một site thuộc về nhiều VPN, bảng chuyển tiếp tương ứng với site đó có thể
có nhiều tuyến liên quan đến tất cả VPN mà nó phụ thuộc. PE chỉ duy trì một bảng VRF
cho nhiều site. Các site khác nhau có thể chia sẻ cùng một bảng VRF nếu sử dụng tập
hợp các tuyến một cách chính xác như trong bảng VRF đó. Nếu tất cả các site có thông
tin định tuyến giống nhau (điều này thường do các site đó cùng thuộc về tập hợp VPN)
thì chúng sẽ được phép liên lạc trực triếp với nhau, và nếu kết nối tới cùng một bộ định
tuyến PE thì chúng sẽ được đặt vào cùng một bảng VRF chung.
Giả sử bộ định tuyến PE nhận được gói tin từ một site nối trực tiếp với nó. Ta gọi
site này là site A nhưng địa chỉ đích của gói tin không có trong tất cả các thực thể của
bảng chuyển tiếp tương ứng với site A. Nếu nhà cung cấp dịch vụ không cung cấp khả
năng truy nhập Internet cho site A thì gói tin sẽ bị loại bỏ vì không thể phân phối được
tới đích. Nhưng nếu nhà cung cấp dịch vụ có hỗ trợ truy nhập Internet cho site A thì lúc
này địa chỉ đích của gói tin sẽ được tìm kiếm trong bảng định tuyến toàn cục. Do đó,
bất kỳ bộ định tuyến PE nào trong mạng MPLS – VPN cũng đều có nhiều bảng định
tuyến trên mỗi VRF và một bảng định tuyến toàn cục. Bảng định tuyến này được sử
dụng để tìm các bộ định tuyến khác trong mạng nhà cung cấp dịch vụ cũng như các
đích thuộc về mạng bên ngoài (ví dụ như Internet).
Tóm lại, VRF được sử dụng cho một site VPN hoặc nhiều site kết nối đến cùng
một bộ định tuyến PE miễn là những site này chia sẻ chính xác các yêu cầu kết nối
giống nhau. Do đó, cấu trúc của bảng VRF có thể bao gồm:
- Bảng định tuyến IP.
- Bảng chuyển tiếp.
- Tập hợp các quy tắc và các tham số giao thức định tuyến (gọi là Routing
Protocol Context).
- Danh sách các giao diện sử dụng trong VRF.
Nguyễn Mạnh Hùng, Lớp D04VT1 61
Đồ án tốt nghiệp Đại Học Chương III: Mạng riêng ảo trên nền MPLS
3.2 Các mô hình MPLS – VPNHiện nay có hai mô hình triển khai mạng riêng ảo trên nền MPLS phổ biến là
mạng riêng ảo lớp 3 (L3VPN) và mạng riêng ảo lớp 2 (L2VPN). Sau đây sẽ giới thiệu
những đặc điểm chính của hai mô hình này.
3.2.1 Mô hình V3VPNKiến trúc mạng riêng ảo L3VPN được chia thành hai lớp, tương ứng với các lớp
3 và lớp 2 trong mô hình OSI. L3VPN dựa trên RFC 2547 bits, mở rộng một số đặc tính
cơ bản của giao thức cổng biên BGP (Border Gateway Protocol) và tập trung vào hướng
đa giao thức của BGP nhằm phân bổ các thông tin định tuyến qua mạng lõi của nhà
cung cấp dịch vụ cũng như là chuyển tiếp các lưu lượng VPN qua mạng lõi.
Trong kiến trúc L3VPN, các bộ định tuyến khách hàng của nhà cung cấp được
coi là các phần tử ngang hàng. Bộ định tuyến biên khách hàng CE cung cấp thông tin
định tuyến tới bộ định tuyến biên nhà cung cấp PE. PE lưu các thông tin định tuyến
trong bảng định tuyến và chuyển tiếp ảo VRF. Mỗi khoản mục của VRF tương ứng với
một mạng khách hàng và hoàn toàn biệt lập với các mạng khách hàng khác. Người sử
dụng VPN chỉ được phép truy nhập tới các site hoặc máy chủ trong cùng một mạng
riêng này. Bộ định tuyến PE còn hỗ trợ các bảng định tuyến thông thường nhằm chuyển
tiếp lưu lượng của khách hàng qua mạng công cộng. Một cấu hình mạng L3VPN dựa
trên MPLS được chỉ ra trên hình 3.3.
Hình 3.3: Mô hình MPLS L3VPN
Nguyễn Mạnh Hùng, Lớp D04VT1 62
Đồ án tốt nghiệp Đại Học Chương III: Mạng riêng ảo trên nền MPLS
Các gói tin IP qua miền MPLS được gắn hai loại nhãn, bao gồm nhãn MPLS chỉ
thì đường dẫn chuyển mạch nhãn LSP và nhãn chỉ thị định tuyến/chuyển tiếp ảo VRF.
Ngăn xếp nhãn được thiếp lập để chứa các nhãn trên. Các bộ định tuyến P của nhà cung
cấp xử lý nhãn LSP để chuyển tiếp các gói tin qua miền MPLS. Nhãn VRF chỉ được xử
lý tại thiết bị định tuyến biên PE nối với bộ định tuyến khách hàng.
Mô hình L3VPN có ưu điểm là không gian địa chỉ khách hàng được quản lý bởi
nhà khai thác, và như vậy nó cho phép đơn giản hóa việc triển khai kết nối với nhà cung
cấp. Ngoài ra, L3VPN còn cung cấp khả năng định tuyến động để phân phối các thông
tin định tuyến với các bộ VPN. Tuy nhiên, L3VPN chỉ hỗ trợ các lưu lượng IP hoặc lưu
lượng đóng gói vào gói tin IP. Đồng thời, việc tồn tại hai bảng định tuyến tại các thiết
bị biên mạng cũng là một vấn đề phức tạp trong điều hành và ảnh hưởng tới khả năng
mở rộng các hệ thống thiết bị.
3.2.2 Mô hình L2VPNMô hình mạng riêng ảo lớp 2 được phát triển sau và các tiêu chuẩn vẫn trong giai
đoạn hoàn thiện. Cách tiếp cận L2VPN hướng tới việc thiết lập các đường hầm qua
mạng MPLS để xử lý các kiểu lưu lượng khác nhau như Ethernet, FR, ATM, và
PPP/HDLC.
Có hai dạng L2VPN cơ bản là:
- Điểm tới điểm: Tương tự như trong công nghệ ATM và FR, nhằm thiết lập các
đường dẫn chuyển mạch ảo qua mạng.
- Điểm tới đa điểm: Hỗ trợ các cấu hình mắt lưới và phân cấp.
Trong những năm gần đây, dịch vụ LAN ảo dựa trên mô hình L2VPN đa điểm sử
dụng công nghệ truy nhập Ethernet đã được triển khai rộng rãi. Giải pháp này cho phép
liên kết các mạng Ethernet qua hạ tầng MPLS trên cơ sở nhận dạng lớp hai, vì vậy giảm
được độ phức tạp của các bộ định tuyến lớp ba. Trong mô phòng L2VPN các bộ định
tuyến CE và PE không nhất thiết phải được coi là ngang hàng (hình 3.4). Thay vào đó,
chỉ cần tồn tại kết nối lớp hai giữa các bộ định tuyến này. Bộ định tuyến PE chuyển
mạch các luồng lưu lượng vào trong các đường hầm đã được cấu hình trước tới các bộ
định tuyến PE khác.
Nguyễn Mạnh Hùng, Lớp D04VT1 63
Đồ án tốt nghiệp Đại Học Chương III: Mạng riêng ảo trên nền MPLS
Hình 3.4: Mô hình MPLS L2VPN
L2VPN xác định khả năng tìm kiếm qua mặt phẳng dữ liệu bằng địa chỉ học
được từ các bộ định tuyến lân cận. L2VPN sử dụng ngăn xếp nhãn tương tự như trong
L3VPN. Nhãn MPLS bên ngoài được sử dụng để xác định đường dẫn cho lưu lượng
qua miền MPLS, còn nhãn kênh ảo VC nhận dạng các mạng LAN ảo, VPN hoặc kết nối
tại các điểm cuối. Một trường nhãn tùy chọn sử dụng để điều khiển đóng các kết nối lớp
hai được đặt trong cùng ngăn xếp sát với trường dữ liệu.
L2VPN có ưu điểm quan trọng nhất là cho phép các giao thức lớp cao được
truyền trong suốt đối với MPLS. Nó có thể hoạt động trên hầu hết các công nghệ lớp
hai gồm ATM, FR, Ethernet và mở ra khả năng tích hợp các mạng phi kết nối IP với
các mạng hướng kết nối. Ngoài ra, trong giải pháp này người sử dụng đầu cuối không
cần phải cấu hình định tuyến cho các bộ định tuyến khách hàng CE.
3.3 Hoạt động của MPLS – VPN.
3.3.1 Truyền thông tin định tuyếnCác bộ định tuyến PE cần phải trao đổi thông tin trong các bảng định tuyến ảo để
đảm bảo việc định tuyến dữ liệu giữa các site khách hàng nối với những bộ định tuyến
này. Bài toán đặt ra là phải có một giao thức định tuyến để truyền thông tin để tất cả các
tuyến khách hàng dọc theo mạng nhà cung cấp mà vẫn duy trì được không gian địa chỉ
độc lập giữa các khách hàng khác nhau.
Nguyễn Mạnh Hùng, Lớp D04VT1 64
Đồ án tốt nghiệp Đại Học Chương III: Mạng riêng ảo trên nền MPLS
Một giải pháp đã được đề xuất trên cơ sở sử dụng giao thức định tuyến riêng cho
mỗi khách hàng. Các bộ định tuyến PE có thể được kết nối thông qua các đường hầm
điểm – điểm (và giao thức định tuyến cho mỗi khách hàng sẽ hoạt động giữa các bộ
định tuyến PE) hoặc là bộ định tuyến P của nhà cung cấp có thể tham gia vào quá trình
định tuyến của khách hàng. Giải pháp này mặc dù thực hiện đơn giản nhưng lại không
có khả năng mở rộng và phải đối mặt với nhiều vấn đề khi có nhu cầu cung cấp dịch vụ
VPN cho số lượng lớn khách hàng. Những khó khăn này liên quan tới việc các bộ định
tuyến PE phải chạy một số lượng lớn giao thức định tuyến, còn bộ định tuyến P thì phải
lưu thông tin của tất cả các tuyến khách hàng.
Một giải pháp khác dựa trên việc triển khai một giao thức định tuyến để trao đổi
thông tin của tất cả các tuyến khách hàng dọc theo mạng nhà cung cấp dịch vụ. Rõ ràng
giải pháp này có ưu điểm hơn nhưng bộ định tuyến P vẫn phải tham gia vào định tuyến
khách hàng do đó vẫn không giải quyết được vấn đề mở rộng.
Để hiểu rõ hơn vấn đề mở rộng khi triển khai một giao thức định tuyến trên một
VPN, ta xem xét ví dụ sau đây:
Giả sử mạng đường trục của nhà cung cấp dịch vụ phải đảm bảo cho hơn 100
khách hàng VPN kết nối tới hai bộ định tuyến biên PE sử dụng giao thức định tuyến
OSPF. Bộ định tuyến PE trong mạng đường trục sẽ chạy hơn 100 bản copy tiến trình
định tuyến OSPF độc lập nhau, với mỗi bản copy phải gửi các gói tin hello và gói tin
làm tươi định kỳ qua mạng. Để chạy nhiều hơn một bản copy OSPF qua cùng một liên
kết, ta cần cấu hình subinterface cho một VPN trên liên kết giữa PE và CE, kết quả là sẽ
tạo ra một mô hình phức tạp. Ngoài ra, còn phải chạy 100 thuật toán SPE cũng như duy
trì cơ sở dữ liệu về các cấu hình riêng rẽ trong những bộ định tuyến P của mạng lõi.
Vì vậy, giải pháp tối ưu hơn là việc truyền thông tin định tuyến khách hàng sẽ do
một giao thức định tuyến giữa các bộ định tuyến PE điều hành, còn các bộ định tuyến P
không tham gia vào quá trình định tuyến này. Giải pháp này mang lại hiệu quả cao vì
nó có khả năng mở rộng do số lượng giao thức định tuyến giữa các bộ định tuyến PE
không tăng khi tăng số lượng khách hàng. Đồng thời bộ định tuyến P cũng không mang
thông tin về các tuyến của khách hàng.
Khi số lượng khách hàng lớn, giao thức định tuyến được lựa chọn để sử dụng là
BGP vì giao thức này có thể hỗ trợ số lượng lớn các tuyến. Cùng với BGP, các giao
thức EIGRP và IS – IS cũng có thể mang thông tin định tuyến cho nhiều lớp địa chỉ
Nguyễn Mạnh Hùng, Lớp D04VT1 65
Đồ án tốt nghiệp Đại Học Chương III: Mạng riêng ảo trên nền MPLS
khác nhau, nhưng IS – IS và EIGRP không có khả năng mở rộng do không mang được
một số lượng lớn các tuyến như BGP, BGP được thiết kế để trao đổi thông tin định
tuyến giữa các bộ định tuyến không kết nối trực tiếp, và đặc điểm này hỗ trợ việc lưu
giữ thông tin định tuyến tại các thiết bị biên mà không cần phải trao đổi với các bộ định
tuyến lõi của mạng nhà cung cấp. Giao thức BGP dùng trong MPLS – VPN được gọi là
Multiprotocol BGP (MP - BGP).
3.3.2 Địa chỉ VPN – IPVới việc triển khai giao thức định tuyến BGP để trao đổi tất cả các tuyến của
khách hàng giữa các bộ định tuyến PE đặt ra một vấn đề là làm thế nào mà BGP có thể
truyền những tiền tố xác định thuộc về các khách hàng khác nhau giữa các bộ định
tuyến PE. BGP sử dụng địa chỉ IP để chọn một đường đi giữa tất cả các đường có thể đi
đến đích. Do đó, BGP không thể làm việc đúng nếu khách hàng sử dụng cùng không
gian địa chỉ.
Chỉ có một giải pháp để giải quyết vấn đề này là mở rộng tiền tố địa chỉ IP của
khách hàng với mục đích làm cho địa chỉ này trở nên duy nhất ngay cả khi có sự trùng
lặp địa chỉ. Ngoài ra, phải đảm bảo rằng chính sách sử dụng để chọn một đường định
tuyến nào trong số các tuyến được BGP sử dụng chỉ có thể có ở trong một bảng VRF
duy nhất.
Việc mở rộng tiền tố địa chỉ IP của khách hàng VPN đã dẫn đến một khái niệm
mới là địa chỉ VPN – IP. Địa chỉ VPN – IP được tạo ra bằng cách ghép hai phần có độ
dài không đổi là trường phân biệt tuyến (Route Distinguisher) và địa chỉ IP cơ sở
( hình 3.5).
Hình 3.5: Địa chỉ VPN – Ipv4
Yếu tố phân biệt thuộc về trường địa phân biệt tuyến khi mạng khách hàng có
cùng địa chỉ IP. Trường này có cấu trúc cho phép mỗi nhà cung cấp dịch vụ VPN tự tạo
ra một giá trị nhận dạng cho tuyến mà không sợ bị trùng với giá trị tương tự sử dụng
Nguyễn Mạnh Hùng, Lớp D04VT1 66
Đồ án tốt nghiệp Đại Học Chương III: Mạng riêng ảo trên nền MPLS
bởi nhà cung cấp dịch vụ khác. Trường phân biệt tuyến bao gồm ba loại như chỉ ra trên
hình 3.6
Hình 3.6: Khuôn dạng trường phân biệt tuyến.
Trường số hệ tự trị ASN (Autonomous System Number) chứa giá trị số đại diện
cho hệ thống của nhà cung cấp dịch vụ VPN. Trường số gán (Assigned Nember) do
mỗi nhà cung cấp dịch vụ mạng VPN tự quản. Trong hầu hết các trường hợp, nhà cung
cấp dịch vụ ấn định một giá trị trường số gán cho một mạng VPN, tuy nhiên đôi khi
cũng có thể gán nhiều giá trị cho một mạng VPN. Hai mạng VPN do một nhà cung cấp
dịch vụ quản lý sẽ không sử dụng chung một số gán, và số hệ tự trị ASN cũng là duy
nhất trong mạng toàn cầu. Do đó sẽ không có hai mạng VPN nào có trường phân biệt
tuyến trùng nhau. Khi địa chỉ IP là duy nhất trong một mạng VPN thì cũng có nghĩa là
địa chỉ VPN – IP là duy nhất trong mạng toàn cầu.
Đối với giao thức BGP thì việc quản lý các tuyến ứng với địa chỉ VPN – IP
không khác gì việc quản lý tuyến ứng với địa chỉ IP cơ sở. Khả năng hỗ trợ đa giao thức
của MP – BGP làm cho nó có thể quản lý tuyến ứng với nhiều họ địa chỉ khác nhau.
Một điểm quan trọng cần lưu ý là cấu trúc địa chỉ VPN – IP cũng như cấu trúc của
trường phân biệt tuyến ứng với địa chỉ VPN – IP là hoàn toàn mờ đối với BGP. BGP
Nguyễn Mạnh Hùng, Lớp D04VT1 67
Đồ án tốt nghiệp Đại Học Chương III: Mạng riêng ảo trên nền MPLS
chỉ so sánh phần mào đầu của hai địa chỉ VPN – IP chứ nó không quan tâm đến cấu
trúc của chúng. Vì vậy trong trường hợp này, BGP không cần hỗ trợ thêm các giao thức
phụ mà chỉ sử dụng những đặc tính sẵn có. Các đặc tính mà giao thức BGP sử dụng cho
MPLS – VPN như: đặc tính cộng đồng (Community), định tuyến lọc dựa trên cộng
đồng hay sử dụng tuyến dự phòng. Các đặc tính trên được áp dụng đối với các tuyến
ứng với địa chỉ VPN – IP cũng giống như các tuyến ứng với địa chỉ IP thông thường.
Địa chỉ VPN – IP chỉ hoàn toàn giới hạn trong nhà cung cấp dịch vụ, và các
khách hàng VPN (cụ thể là các thiết bị của khách hàng) không có khái niệm gì về nó.
Địa chỉ VPN – IP chỉ được nhận biết và gán ở bộ định tuyến biên của nhà cung cấp PE.
Đối với mỗi kết nối VPN, bộ định tuyến PE được cấu hình ứng với một giá trị của
trường phân biệt tuyến. Khi PE nhận được một tuyến từ CE kết nối trực tiếp tới nó thì
nó cần xác định CE đó thuộc VPN nào trước khi chuyển thông tin về tuyến này cho
BGP của nhà cung cấp dịch vụ. Bộ định tuyến PE sẽ chuyển địa chỉ IP cơ sở của tuyến
thành địa chỉ VPN – IP bằng cách sử dụng trường phân biệt tuyến đã đặt cho VPN đó.
Một cách tương tự khi PE nhận một tuyến từ BGP của nhà cung cấp dịch vụ, nó sẽ
chuyển thông tin địa chỉ VPN – IP của tuyến thành thông tin địa chỉ IP cơ sở.
Sau đây chúng ta so sánh của trường phân biệt tuyến và các đặc tính cộng đồng
của BGP. Có hai vấn đề tách biệt nhau, và tương ứng với hai vấn đề này là hai cơ chế
riêng biệt. Thứ nhất là làm thế nào để giải quyết việc không duy nhất của địa chỉ IP
trong mạng toàn cầu. Để khắc phục vấn đề này, chúng ta đưa vào sử dụng một loại địa
chỉ mới là địa chỉ VPN – IP và sử dụng trường phân biệt tuyến để làm cho các địa chỉ
này là duy nhất trong mạng toàn cầu. Như vậy, trường phân biệt tuyến không thể sử
dụng cho định tuyến lọc. Thứ hai là cần giải quyết việc làm thế nào để kết nối tuân thủ
các điều kiện ràng buộc. Vấn đề ràng buộc thông tin định tuyến được thực hiện dựa trên
quá trình lọc các đặc tính cộng đồng của BGP. Song các đặc tính cộng đồng của BGP
lại không làm cho các địa chỉ IP trở thành duy nhất.
Lưu ý rằng trong khi một trường phân biệt tuyến không được sử dụng chung cho
các VPN khác nhau, thì một VPN lại có thể sử dụng nhiều trường phân biệt tuyến.
Tương tự như vậy, trong khi các mạng VPN không thể dùng chung một cộng đồng BGP
nhưng một mạng VPN lại có thể sử dụng nhiều cộng đồng của BGP. Vì vậy, trường
phân biệt tuyến cũng như đặc tính cộng đồng không thể sử dụng để xác định một VPN.
Nguyễn Mạnh Hùng, Lớp D04VT1 68
Đồ án tốt nghiệp Đại Học Chương III: Mạng riêng ảo trên nền MPLS
Điều này cũng phù hợp với định nghĩa mạng VPN là một tập hợp các chính sách để
điều khiển kết nối và quy định chất lượng dịch vụ giữa các site.
Như ta đã biết, BGPv4 hiện nay chỉ có thể thực hiện được với các địa chỉ Ipv4.
Khi đó, việc truyền thông tin tuyến của khách hàng dọc theo mạng MPLS – VPN sẽ
được thực hiện như sau:
- Bộ định tuyến CE gửi cập nhật định tuyến Ipv4 đến bộ định tuyến PE.
- Bộ định tuyến PE sau đó thêm trường phân biệt tuyến (64bit) vào trường địa chỉ
Ipv4 (32bit) mà nó đã nhận, kết quả là tạo ra địa chỉ VPN – IPv4 96bit duy nhất.
- Địa chỉ VPN – Ipv4 này được truyền thông qua phiên MP – iBGP đến các bộ
định tuyến PE khác.
- Bộ định tuyến PE nhận sẽ loại bỏ trường phân biệt tuyến từ địa chỉ VPN – Ipv4
để tạo thành địa chỉ Ipv4 như ban đầu mà CE đầu xa gửi.
- Địa chỉ Ipv4 này được chuyển tiếp đến bộ định tuyến CE khác trong bản cập nhật
định tuyến Ipv4.
Một điểm quan trọng cần nhấn mạnh là địa chỉ VPN – IP chỉ được sử lý trong
các giao thức định tuyến chứ không được tải trong phần mào đầu của gói IP. Vì vậy
VPN – IP không thể sử dụng một cách trực tiếp để chuyển tiếp gói. Nhiệm vụ chuyển
tiếp các gói được thực hiện dựa trên MPLS và sẽ trình bày ở phần sau.
3.3.3 Chuyển tiếp gói tin VPNCác yếu tố cần thiết để đảm bảo cho sự hoạt động của MPLS – VPN bao gồm
giao thức định tuyến và phương thức truyền gói tin qua mạng MPLS trong khi vẫn đảm
bảo được tính chất của VPN.
Với các tuyến khách hàng được truyền dọc theo mạng đường trục MPLS – VPN
lưu lượng giữa các bộ định tuyến CE và PE mặc định là lưu lượng của các gói tin IP.
Bộ định tuyến khách hàng CE hỗ trợ các giao thức định tuyến IP chuẩn và không tham
gia vào MPLS – VPN, bộ định tuyến PE chỉ phải chuyển gói tin IP nhận được từ bộ
định tuyến khách hàng đến các bộ định tuyến PE khác. Rõ ràng là giải pháp này rất khó
thực hiện bởi vì bộ định tuyến P không biết rõ về các tuyến của khách hàng, và vì thế
một số yêu cầu chất lượng dịch vụ sẽ khó có khả năng đáp ứng.
Phương pháp khác có vẻ khả quan hơn là sử dụng đường dẫn chuyển mạch nhãn
LSP giữa các bộ định tuyến PE để chuyển tiếp các gói tin IP theo giá trị nhãn gán vào
chúng (hình 3.7)
Nguyễn Mạnh Hùng, Lớp D04VT1 69
Đồ án tốt nghiệp Đại Học Chương III: Mạng riêng ảo trên nền MPLS
Hình 3.7: Sử dụng nhãn để chuyển tiếp gói tin VPN
Trong phương pháp này, gói tin IP của khách hàng được gán một nhãn đăng ký
cho bộ định tuyến PE đầu ra (Egress). Các bộ định tuyến lõi không cần biết địa chỉ IP
của khách hàng, và chỉ có gói tin nào được gán nhãn sẽ được chuyển đến bộ định tuyến
PE đầu ra. Các bộ định tuyến lõi chỉ thực hiện các hoạt động chuyển tiếp và phân phối
gói tin khách hàng đến bộ định tuyến PE đầu ra. Tuy nhiên, tại bộ định tuyến PE đầu ra,
gói tin IP của khách hàng không có thông tin nào về VPN hay là VRF để bộ định tuyến
có thể thực hiện kiểm tra VRF, do đó nó có thể bị mất.
Một phương pháp tối ưu hơn có thể được lựa chọn để chuyển tiếp các gói tin là
sử dụng ngăn xếp nhãn (Hình 3.8)
Hình 3.8: Sử dụng ngăn xếp nhãn để chuyển tiếp gói tin VPN
Ngăn xếp nhãn MPLS được sử dụng để chỉ thị cho bộ định tuyến PE đầu ra biết
phải làm gì với gói tin VPN. Ngăn xếp nhãn bao gồm hai nhãn xếp chồng lên nhau gọi
Nguyễn Mạnh Hùng, Lớp D04VT1 70
Đồ án tốt nghiệp Đại Học Chương III: Mạng riêng ảo trên nền MPLS
là nhãn bên trong (inner label) và nhãn bên ngoài (outer label). Khi gói tin vào mạng,
bộ định tuyến PE đầu vào gán hai loại nhãn này vào gói tin IP. Nhãn trên cùng trong
ngăn xếp là của đường dẫn chuyển mạch nhãn (còn gọi là LDP), đảm bảo cho gói tin
được truyền qua mạng MPLS – VPN đường trục đến bộ định tuyến PE đầu ra.
MPLS sử dụng ngăn nhãn ngoài để chuyển tiếp gói tin từ bộ định tuyến PE đầu
vào qua mạng lõi. Ở mỗi bộ định tuyến P nhãn này được sử dụng để chuyển tiếp gói tin,
nó chính là chỉ số trong bảng chuyển tiếp của bộ định tuyến. Các bộ định tuyến P
chuyển tiếp gói tin dọc theo LSP theo phương pháp hoán đổi nhãn và không bao giờ
kiểm tra nhãn bên trong hoặc địa chỉ đích IP của gói tin. Khi gói tin đến PE đầu ra, bộ
định tuyến này thực hiện tách bỏ nhãn ngoài rồi xử lý nhãn trong. Nhãn trong là nhãn
được bộ định tuyến PE đăng ký cho mỗi VRF, và PE sẽ sử dụng nó để quyết định VRF
nào mà gói tin thuộc về. Nói cách khác, nhãn trong quyết định CE nào gói tin sẽ được
gửi đến.
Theo mặc định, bộ định tuyến PE đầu ra thực hiện tìm kiếm trong bảng chuyển
tiếp VRF sử dụng địa chỉ IP đích của gói tin. Sau đó, nó chuyển tiếp gói IP không nhãn
đến site khách hàng thích hợp. Bản thân các nhãn bên trong được liên lạc giữa các PE
trong các bản tin cập nhật mở rộng MP – iBGP. Nhãn thứ hai trong ngăn xếp nhãn còn
được sử dụng để chỉ trực tiếp đến giao diện đầu ra tới khách hàng. Trong trường hợp
này, bộ định tuyến PE đầu ra chỉ thực hiện kiểm tra nhãn trên gói tin VPN. Tình huống
này thường được dùng khi bộ định tuyến CE là bước kế tiếp của tuyến VPN và nhãn
này có thể chỉ đến một VRF đơn nhất. Bộ định tuyến PE đầu ra thực hiện kiểm tra nhãn
trước để tìm được VRF đích, sau đó mới thực hiện kiểm tra địa chỉ IP trong VRF.
Để hiểu rõ hơn cơ chế hoạt động của quá trình chuyển tiếp gói tin VPN ta xem
một ví dụ trên hình 5.9. Trong ví dụ này PE1 là bộ định tuyến đầu vào, còn PE2 là bộ
định tuyến đầu ra. Bộ định tuyến PE đầu vào có hai nhãn liên quan tới tuyến VPN đầu
xa. Một nhãn dành cho BGP next – hop, được đăng ký bởi bộ định tuyến P kế tiếp
thông qua giao thức phân bổ nhãn LDP và được lấy từ bảng LIB cục bộ. Còn nhãn thứ
hai được đăng ký bởi bộ định tuyến PE đầu xa và được truyền đi thông qua các cập nhật
MP – iBGP. Cả hai nhãn này được kết hợp trong ngăn xếp nhãn và đưa vào bảng VRF.
Nguyễn Mạnh Hùng, Lớp D04VT1 71
Đồ án tốt nghiệp Đại Học Chương III: Mạng riêng ảo trên nền MPLS
Hình 3.9: Hoạt động chuyển tiếp dữ liệu VPN qua mạng MPLS
Giả sử đường dẫn chuyển mạch nhãn LSP đã được thiết lập giữa PE1 và PE2, và
Host 1 muốn gửi dữ liệu tới Host 2. Host 1 gửi gói tin đến bộ định tuyến CE1. CE1 sẽ
đóng gói gói tin và chuyển đến PE1. PE1 nhận gói tin, và dựa trên giao diện mà gói tin
đến, nó quyết định sử dụng bảng chuyển tiếp của VRF A để định tuyến gói tin. PE1
kiểm tra địa chỉ đích của Host 2 trong bảng chuyển tiếp của VRF A và tìm thấy có địa
chỉ trong đó. PE1 dán nhãn 16 vào gói tin. Đây là nhãn bên trong để nhận diện VRF
trên bộ định tuyến PE2. Nhãn 16 trước đó đã được chuyển từ PE2 đến PE1 thông qua
phiên làm việc MP – iBGP.
Tiếp theo, PE1 dán nhãn 21 vào gói tin và chuyển gói đã dán nhãn đến bộ định
tuyến P1. Nhãn 21 được đặt vào trong ngăn xếp sau nhãn 16. Như vậy, nhãn 21 là nhãn
bên ngoài và sẽ được thay đổi sau mỗi phân đoạn giữa hai bộ định tuyến LSR với nhau.
P1 nhận gói tin từ PE1 và lấy nhãn 21 ra để kiểm tra trong bảng chuyển tiếp. Nó quyết
định dán nhãn 19 thay cho nhãn 21 rồi chuyển tiếp gói tin đến P. P2 nhận gói tin và lấy
nhãn 19 ra để kiểm tra trong bảng chuyển tiếp. Kết quả kiểm tra chỉ thị rằng nó phải dán
nhãn 46 thay cho nhãn 19 rồi chuyển tiếp gói tin đến PE2.
Nguyễn Mạnh Hùng, Lớp D04VT1 72
Đồ án tốt nghiệp Đại Học Chương III: Mạng riêng ảo trên nền MPLS
PE2 nhận gói tin từ P2, kiểm tra nhãn 46. PE2 được nhận biết là bộ định tuyến
đầu ra của đường chuyển mạch nhãn LSP nên nó giải phóng nhãn 46. Sau đó nó kiểm
tra nhãn tiếp theo là 16 và xác định được gói tin sẽ đi đến VRF A. Địa chỉ IP của gói tin
được kiểm tra trong VRF A để xác định đích và giao diện đầu ra cho gói tin. PE2
chuyển tiếp gói tin đến CE6. CE6 nhận gói tin IP từ PE2 và kiểm tra địa chỉ đích Host
2. Tại đây việc định tuyến được thực hiện dựa trên các giao thức định tyến IGP thông
thường.
Mô hình hệ thống trên có hai mạng riêng ảo là VPN A và VPN B, VPN A gồm
có CE1, CE5 và CE6. VPN B gồm có CE2, CE3, CE4. CE1 có lưu lượng đến đích là
CE5 và CE6. Vì các site này cùng chung một VPN, nên PE1 sử dụng chung bảng
chuyến tiếp là VRF A. Nhãn bên trong xác định VRF đích và nó giống nhau trong tất cả
các gói tin thuộc về VPN đó, ngay cả nếu các gói tin này được chuyển tiếp đến các site
khác nhau. CE2 và CE3 có lưu lượng đến đích là CE4. Vì các bộ định tuyến này thuộc
về VPN B, PE1 sử dụng bảng chuyển tiếp khác cho VPN này là VRF B.Tuy nhiên, cả
hai VPN sử dụng cùng một đường chuyển mạch nhãn LSP vì chúng đều có cùng bộ
định tuyến vào PE1 và bộ định tuyến ra PE2.
3.4 Bảo mật trong MPLS - VPNBảo mật là một trong những yếu tố quan trọng nhất đối với tất cả các giải pháp
mạng VPN. Về khía cạnh bảo mật thì giải pháp VPN dựa trên BGP/MPLS có thể đạt
được ở mức độ tương đương với các giải pháp VPN xây dựng trên công nghệ ATM
hoặc Frame Relay.
Bảo mật cho VPN phải đảm bảo được sự cách ly về thông tin định tuyến cũng
như về không gian địa chỉ của mỗi VPN. Nghĩa là việc cấp địa chỉ của mỗi VPN là
hoàn toàn độc lập nhau. Thông tin định tuyến từ VPN này không được phép sang VPN
khác và ngược lại. Yêu cầu thứ hai là bảo mật phải đảm bảo được cấu trúc mạng lõi
hoàn toàn trong suốt với khách hàng sử dụng dịch vụ. Thứ ba, bảo mật phải đảm bảo
được việc tránh làm giả nhãn như việc làm giả địa chỉ IP và chống lại các cuộc tấn công
từ chối dịch vụ (Denial of Service) cũng như tấn công truy nhập dịch vụ (Instrusion).
Để thấy rõ việc bảo mật trong MPLS – VPN được thực hiện như thế nào, trước
hết cần hiểu rằng MPLS – VPN cho phép sử dụng cùng không gian địa chỉ giữa các
VPN nhưng vẫn đảm bảo được tính duy nhất của địa chỉ các site khách hàng nhờ vào
Nguyễn Mạnh Hùng, Lớp D04VT1 73
Đồ án tốt nghiệp Đại Học Chương III: Mạng riêng ảo trên nền MPLS
giá trị 64bit của trường phân biệt tuyến. Do đó, khách hàng sử dụng dịch vụ MPLS –
VPN không cần thay đổi địa chỉ hiện tại của mình.
Việc định tuyến trong mạng của nhà cung cấp dịch vụ VPN được thực hiện trên
chuyển mạch nhãn chứ không phải dựa trên địa chỉ IP truyền thống. Hơn nữa, mỗi LSP
tương ứng với một tuyến VPN – IP được bắt đầu và kết thúc tại các bộ định tuyến PE
chứ không phải bắt đầu và kết thúc ở một điểm trung gian nào trong mạng của nhà cung
cấp. Do đó mạng lõi bên trong hoàn toàn trong suốt đối với khách hàng. Mỗi bộ định
tuyến PE duy trì một bảng VRF riêng cho từng VPN, và VRF này chỉ phổ biến các
tuyến thuộc về VPN đó. Nhờ vậy đảm bảo được sự cách ly thông tin định tuyến giữa
các VPN với nhau.
Đối với giải pháp MPLS – VPN, thật khó có thể tấn công trực tiếp vào VPN. Chỉ
có thể tấn công vào mạng lõi MPLS, rồi từ đó tấn công vào VPN. Mạng lõi có thể tấn
công theo hai cách là trực tiếp vào bộ định tuyến PE hoặc vào cơ chế báo hiệu MPLS.
Tuy nhiên, để tấn công vào mạng, trước hết cần phải biết địa chỉ IP của nó. Nhưng
mạng lõi MPLS lại hoàn toàn trong suốt với bên ngoài, do đó kẻ tấn công không thể
biết địa chỉ IP của bất kỳ bộ định tuyến nào trong mạng lõi. Chúng có thể đoán địa chỉ
và gửi gói tin đến những địa chỉ này. Song trong mạng MPLS mỗi gói tin đi vào đều
được xem như là thuộc về không gian địa chỉ nào đó của khách hàng, do đó khó có thể
tìm được các bộ định tuyến bên trong ngay cả khi đoán được địa chỉ.
Có thể việc trao đổi thông tin định tuyến giữa các bộ định tuyến PE và CE sẽ là
điểm yếu trong mạng MPLS – VPN, nhưng trên bộ định tuyến PE có thể dùng ACL và
các phương pháp xác thực của giao thức định tuyến dùng trên kết nối đó sẽ đảm bảo
được vấn đề bảo mật. Việc làm giả nhãn cũng khó có thể xảy ra vì bộ định tuyến PE chỉ
chấp nhận những gói tin từ bộ định tuyến CE gửi đến không có nhãn. Nếu gói tin là có
nhãn thì nhãn đó phải do PE kiểm soát và quản lý.
Từ những vấn đề nêu trên, có thể thấy việc bảo mật trong MPLS – VPN được
đảm bảo ở mức độ rất cao và hoàn toàn có thể so sánh ngang bằng với việc bảo mật
trong các giải pháp dựa trên ATM hay Frame Relay.
3.5 Chất lượng dịch vụ trong MPLS – VPNChất lượng dịch vụ luôn là một vấn đề được quan tâm hàng đầu đối với các nhà
khai thác và quản trị mạng. Các cơ chế QoS được sử dụng phải đủ mềm dẻo để đáp ứng
những yêu cầu khác của khách hàng, đồng thời phải có khả năng mở rộng để có thể hỗ
Nguyễn Mạnh Hùng, Lớp D04VT1 74
Đồ án tốt nghiệp Đại Học Chương III: Mạng riêng ảo trên nền MPLS
trợ một số lượng lớn khách hàng VPN. Ví dụ như nhà cung cấp dịch vụ phải cung cấp
cho khách hàng VPN nhiều mức dịch vụ (CoS) khác nhau cho mỗi VPN, trong đó các
ứng dụng khác nhau trong cùng một VPN có thể nhận các CoS khác nhau. Theo cách
này, dịch vụ Email có thể có một CoS trong khi một số ứng dụng thời gian thực như
dịch vụ thoại lại có thể có CoS khác. Ngoài ra, CoS mà ứng dụng nhận được trong một
VPN có thể khác so với CoS mà ứng dụng này nhận được trong một VPN khác. Tức là
các cơ chế hỗ trợ QoS cho phép quyết định loại dữ liệu nào nhận CoS nào cho từng
VPN. Hơn nữa, không phải mọi VPN đều phải sử dụng tất cả các CoS mà một nhà cung
cấp dịch vụ đưa ra. Do đó, một tập các cơ chế hỗ trợ QoS cho phép quyết định loại CoS
nào được sử dụng để tạo cơ sở cho VPN.
Hai dạng mô hình chất lượng dịch vụ sử dụng cho mạng riêng ảo trên nền MPLS
là mô hình ống (pipe) và mô hình vòi (hose).
3.5.1 Mô hình ốngTrong mô hình ống, nhà cung cấp dịch vụ cung cấp cho khách hàng VPN mức
chất lượng dịch vụ QoS nhất định giữa các CE trong cùng một VPN. Về hình thức, có
thể hình dung mô hình này như một đường ống kết nối hai bộ định tuyến với nhau, và
lưu lượng giữa hai bộ định tuyến trong ống này được đảm bảo một mức QoS xác định.
Ví dụ về một hình thức đảm bảo QoS có thể cung cấp trong mô hình ống là đảm bảo giá
trị băng thông nhỏ nhất giữa hai Site.
Các bộ định tuyến biên phía nhà cung cấp PE tại hai đầu của ống sẽ thực hiện
quá trình lọc và loại bỏ các lưu lượng dư nhằm đảm bảo băng thông cho luồng lưu
lượng trong ống. Có thể cải tiến mô hình ống bằng việc chỉ cho phép một số loại lưu
lượng (ứng với một số ứng dụng) từ một CE tới các CE khác sử dụng đường ống. Quy
định lưu lượng nào có thể sử dụng đường ống được xác định tại bộ định tuyến PE phía
đầu ống.
Chú ý là mô hình ống khá giống với mô hình QoS mà các khách hàng VPN có
được với các giải pháp dựa trên Frame Relay hay ATM. Điểm khác nhau cơ bản là với
ATM hay Frame Relay thì các kết nối là song công, trong khi mô hình ống cung cấp
các kết nối đảm bảo theo một hướng. Đặc điểm một hướng này của mô hình ống cho
phép thiết lập các kết nối cho những ứng dụng sử dụng luồng lưu lượng không đối
xứng, trong đó lưu lượng từ một Site tới Site khác có thể khác với lưu lượng theo
hướng ngược lại.
Nguyễn Mạnh Hùng, Lớp D04VT1 75
Đồ án tốt nghiệp Đại Học Chương III: Mạng riêng ảo trên nền MPLS
Hình 3.10 minh họa một ví dụ về mô hình ống chất lượng dịch vụ. Như chỉ ra
trên hình vẽ, các nhà cung cấp dịch vụ cung cấp cho VPN A một đường ống đảm bảo
băng thông 7 Mb/s cho lưu lượng từ Site 3 đến Site 1 (cụ thể hơn là CE A3 đến CE A1)
và một đường ống khác đảm bảo băng thông 10 Mb/s cho lưu lượng từ Site 3 đến Site 2
(từ CE A3 đến CE A2). Như vậy, một bộ định tuyến CE có thể có nhiều hơn một ống
suất phát từ nó (ví dụ hai ống xuất phát từ Site 3). Tương tự, có thể có hơn một ống kết
thúc tại một Site.
Hình 3.10: Mô hình ống chất lượng dịch vụ trong MPLS – VPN
Một ưu điểm của mô hình ống là nó giống với mô hình QoS đang được khách
hàng VPN sử dụng với FR hay ATM, do đó khách hàng có thể dễ dàng ứng dụng. Tuy
nhiên mô hình ống cũng có một số nhược điểm. Ví dụ, nó đòi hỏi khách hàng VPN phải
kiểm soát toàn bộ ma trận lưu lượng giữa các Site. Điều này có nghĩa là, khách hàng
phải biết tổng lưu lượng đi từ một site tới tất các các Site khác. Thông thường thì thông
tin này không có sẵn, thậm chí là nếu có thì cũng bị lỗi thời.
Mô hình ống gần giống với mô hình tích hợp dịch vụ để cung cấp chất lượng
dịch vụ đảm bảo. MPLS – VPN cung cấp khả năng đảm bảo băng thông cho các LSP và
Nguyễn Mạnh Hùng, Lớp D04VT1 76
Đồ án tốt nghiệp Đại Học Chương III: Mạng riêng ảo trên nền MPLS
cho phép sử dụng mô hình ống này một cách đơn giản. Các LSP khởi tạo và kết cuối tại
các PE sẽ đảm bảo băng thông qua mạng lõi, còn thỏa thuận dịch vụ giữa PE và CE sẽ
đảm bảo QoS từ đầu cuối tới đầu cuối. Để đạt được hiệu quả tốt nhất đối với mô hình
ống, khách hàng VPN cần biết rõ yêu cầu sử dụng lưu lượng trong kế hoạch mạng.
3.5.2 Mô hình vòiTrong mô hình vòi, nhà cung cấp dịch vụ VPN cung cấp cho khách hàng một sự
đảm bảo QoS cho lưu lượng mà một bộ định tuyến CE của khách hàng gửi đi và nhận
về từ các bộ định tuyến CE khác trong cùng VPN. Trong trường hợp khác, khách hàng
phải chỉ định cách phân phối lưu lượng tới các bộ định tuyến CE trong mạng. Như vậy,
đối với khách hàng, mô hình vòi cung cấp chất lượng dịch vụ trong từng VPN và không
yêu cầu phải phân tích lưu lượng hoặc lập kế hoạch lưu lượng cho tới từng CE, nhờ đó
mà giảm bớt được gánh nặng cho các khách hàng sử dụng dịch vụ VPN.
Mô hình vòi sử dụng hai tham số tốc độ là tốc độ cam kết đầu vào ICR (Ingress
Committed Rate) và tốc độ cam kết đầu ra ECR (Egress Committed Rate). Trong đó
ICR là tốc độ liên quan tới lưu lượng mà CE đầu vào có thể gửi tới những CE khác, còn
ECR là tốc độ liên quan tới lưu lượng mà một CE có thể nhận từ các CE khác. Nói
cách khác, ECR đại diện cho tổng lưu lượng từ một CE cụ thể, trong khi ECR đại diện
cho tổng lưu lượng tới một CE cụ thể. Lưu ý là đối với một CE không nhất thiết ICR
phải bằng ECR.
Hình 3.11 minh họa ví dụ về mô hình vòi chất lượng dịch vụ. Ở đây nhà cung
cấp dịch vụ cung cấp cho VPN B sự đảm bảo băng thông 15Mbit/s cho lưu lượng từ
Site 2 tới các Site khác (ICR = 15Mb/s) mà không quan tâm đến việc lưu lượng này đi
tới Site 1 và Site 3. Tương tự, nhà cung cấp dịch vụ cung cấp cho VPN A sự đảm bảo
băng thông 7Mb/s cho lưu lượng từ Site 3 gửi tới các Site khác trong cùng VPN (ICR =
7Mb/s) mà không quan tâm tới việc lưu lượng tới các Site 1 và Site 2. Cũng như vậy,
nhà cung cấp dịch vụ cung cấp cho VPN B sự đảm bảo băng thông 15Mb/s cho lưu
lượng gửi tới Site 2 (ECR = 15Mb/s) mà không quan tâm tới việc lưu lượng suất phát từ
Site 1 hay Site 3.
Nguyễn Mạnh Hùng, Lớp D04VT1 77
Đồ án tốt nghiệp Đại Học Chương III: Mạng riêng ảo trên nền MPLS
Hình 3.11: Mô hình vòi chất lượng dịch vụ trong MPLS – VPN
Mô hình vòi hỗ trợ nhiều mức CoS ứng với các dịch vụ có nhiều tham số khác
nhau. Ví dụ, một dịch vụ có thể yêu cầu tham số về mất gói tin ít hơn so với dịch vụ
khác. Để hỗ trợ lớp dịch vụ ta phải đưa vào mô hình vòi, cho phép nhà cung cấp dịch vụ
sử dụng cơ chế phân biệt dịch vụ cùng với MPLS. Vì vậy, mô hình vòi là hướng tiếp
cận từ mô hình phân biệt dịch vụ Diffserv. Với các dịch vụ đòi hỏi phải có sự đảm bảo
chắc chắn (như về băng thông), thì mô hình ống phù hợp hơn.
Nhà cung cấp dịch vụ có thể cung cấp cho khách hàng VPN mô hình ống, mô
hình vòi hoặc tổ hợp của cả hai dạng mô hình trên nhằm đáp ứng các yêu cầu cụ thể về
QoS. Các bộ định tuyến biên PE của nhà cung cấp dịch vụ xác định lưu lượng được
nhận trong các lớp dịch vụ. Tùy thuộc vào giao diện đầu vào, địa chỉ nguồn, địa chỉ
đích, chỉ số cổng và các tham số chất lượng dịch vụ mà các gói sẽ được đánh dấu cho
phù hợp với yêu cầu về chất lượng dịch vụ.
3.6 So sánh các đặc điểm của VPN trên nền IPSec và MPLSKiến trúc mạng riêng ảo VPN L3 được rất nhiều công ty lựa chọn vì khả năng
kết nối diện rộng, khả năng mở rộng, các tùy chọn kết nối và khả năng phát triển nhiều
loại hình dịch vụ. Tuy nhiên, không có một giải pháp nào là toàn diện trong việc cung
Nguyễn Mạnh Hùng, Lớp D04VT1 78
Đồ án tốt nghiệp Đại Học Chương III: Mạng riêng ảo trên nền MPLS
cấp đa dịch vụ, và vấn đề lựa chọn kiến trúc VPN trên nền IPSec hay MPLS phụ thuộc
rất nhiều vào yêu cầu cụ thể của từng công ty. Trong phần này sẽ đưa ra một số so sánh
và phân tích các đặc điểm cơ bản của hai kiến trúc trên.
3.6.1 Các tiêu chí đánh giáTrước hết, chúng ta phân tích các điều kiện và tiêu chí để đánh giá kiến trúc
mạng VPN cho doanh nghiệp. Các tiêu chí đánh giá được tập trung vào độ khả dụng,
tính bảo mật, chất lượng dịch vụ, độ mềm dẻo và khả năng quản lý.
Độ khả dụng
Một mạng riêng ảo VPN cần dự đoán các dịch vụ có độ khả dụng cao cho người
dùng doanh nghiệp và các đối tác của họ. Khách hàng có thể vừa yêu cầu độ tin cậy của
mạng cao vừa yêu cầu độ dự phòng lớn. Một số nhà cung cấp dịch vụ đưa ra các thỏa
thuận mức chất lượng dịch vụ (SLA), trong đó định nghĩa các tham số mà mạng có thể
cung cấp cho khách hàng. SLA có thể tùy chọn các mức dịch vụ cho những kiểu lưu
lượng khác nhau nhằm tối ưu hóa lưu lượng và giá thành của mạng.
Tính bảo mật
Trên thực tế có rất nhiều công ty chia sẻ các nhà cung cấp dịch vụ qua một mạng
lõi, do đó vấn đề bảo mật luôn được đặt lên hàng đầu. Để hỗ trợ cho vấn đề này, các
nhà cung cấp dịch vụ có thể đưa ra những kỹ thuật đảm bảo an toàn thông tin như
đường hầm, đóng gói, mã hóa, phân bổ định tuyến ràng buộc, tách các bảng định tuyến,
tách lưu lượng, xác thực gói, xác thực người sử dụng và điều khiển truy nhập.
Chất lượng dịch vụ
Các tham số QoS như băng thông, độ trễ, biến động trễ hay tỉ lệ mất gói là những
yếu tố cơ bản cho phép đánh giá chất lượng của dịch vụ mà nhà cung cấp đưa ra cho
khách hàng. Một số mô hình chất lượng dịch vụ có thể được áp dụng vào VPN nhằm
mục đích phân lớp lưu lượng và xác định thứ tự ưu tiên cho các luồng lưu lượng khác
nhau của khách hàng.
Độ mềm dẻo
Băng thông và các tuyến kết nối trong mạng luôn thay đổi theo thời gian. Các
yêu cầu thay đổi băng thông đối với khách hàng VPN cũng không phải là ngoại lệ. Các
nhà cung cấp dịch vụ luôn quan tâm tới khả năng mở rộng và thay đổi yêu cầu băng
thông cảu khách hàng VPN để tối ưu hóa hệ thống và đáp ứng yêu cầu chất lượng dịch
vụ một cách mềm dẻo.
Nguyễn Mạnh Hùng, Lớp D04VT1 79
Đồ án tốt nghiệp Đại Học Chương III: Mạng riêng ảo trên nền MPLS
Khả năng quản lý
Việc quản lý VPN trải rộng từ Site trung tâm tới các chi nhánh phân tán ở nhiều
nơi, vì vậy các tính năng quản lý và giá thành quản lý có xu hướng tăng cùng chiều.
Các dịch vụ quản lý bao gồm:
- Cung cấp môi trường quản lý.
- Phân bổ và cài đặt phần mềm quản lý VPN
- Cài đặt bảo mật và chính sách QoS.
- Hỗ trợ thỏa thuận mức dịch vụ.
- Hỗ trợ các mạng khác qua VPN.
- Thực hiện quản lý hiệu năng mạng, định vị và sửa lỗi, hóa đơn, báo cáo,
thêm/loại bỏ hay thay đổi chức năng dịch vụ.
3.6.2 Các đặc điểm nổi bật của IPSec – VPN và MPLS – VPN IPSec – VPN
Để bảo mật dữ liệu qua mạng công cộng, giao thức IPSec hỗ trợ tổ hợp các chức
năng bảo mật như sau:
- Nhận dạng và mã hóa các gói tin trước khi truyền dẫn.
- Xác thực các gói nhằm đảm bảo tính toàn vẹn dữ liệu.
- Xác thực dữ liệu nguyên thủy của các nguồn gửi tin.
- Xác nhận và loại bỏ các gói quá hạn, gửi lặp và từ chối các gói lặp.
Giao thức IPSec cung cấp khả năng bảo vệ các gói tin IP theo thiết kế mạng để
chỉ ra các lưu lượng đặc biệt cần bảo vệ. IPSec định nghĩa cách thức bảo vệ lưu lượng
và điều khiển thiết bị nhận lưu lượng. VPN trên nền IPSec thay thế hoặc bổ xung các
mạng riêng dựa trên cơ sở hạ tầng WAN truyền thống như đường dây thuê riêng, Frame
Relay hoặc ATM. Ưu điểm nổi bật của IPSec là nó đáp ứng được các yêu cầu của
mạng về mặt giá thành.
Khi một doanh nghiệp sử dụng IPSec – VPN, nhà cung cấp dịch vụ thường cấu
hình IPSec trong cấu hình Hub – and – Spoke, nơi tất cả các nhóm Spoke duy trì kết nối
điểm – điểm với đầu cuối. IPSec phù hợp với cấu hình VPN điểm tới điểm và truy nhập
từ xa.
Một số đặc điểm khiến cho các doanh nghiệp lựa chọn giải pháp IPSec – VPN là:
- IPSec cung cấp hệ thống bảo mật rất tốt, hỗ trợ cho các doanh nghiệp cần bảo
mật bằng mã hóa dữ liệu và nhận dạng thiết bị.
Nguyễn Mạnh Hùng, Lớp D04VT1 80
Đồ án tốt nghiệp Đại Học Chương III: Mạng riêng ảo trên nền MPLS
- Giá thành triển khai mạng thấp do IPSec – VPN có thể thực hiện trên bất kỳ
mạng IP nào đã tồn tại.
- Khả năng triển khai các dịch vụ nhanh, kể cả việc bổ sung hoặc loại bỏ các Site
- Luồng lưu lượng rẽ nhánh theo Hub – and – Spoke.
Thông thường người sử dụng VPN dùng phần mềm VPN lựa chọn đích thích hợp
cho các thông tin cần gửi qua mạng. Một khi nhận dạng thành công và đường hầm
IPSec được thiết lập, người sử dụng có thể truy nhập từ xa tới các ứng dụng một cách
đơn giản mà không cần phải sửa đổi hàng loạt các tham số tại các Site.
Với các kết nối điêm – điểm qua IPSec – VPN, người sử dụng không cần phải có
phần mềm client trên máy tính của họ. Người sử dụng tại các nhánh khởi tạo ứng dụng
nếu nó tồn tại ở trong Site, hoặc trong một phiên với trung tâm. Sau khi phiên thỏa
thuận và nhận dạng thành công, một đường hầm đảm bảo giữa các nhánh và trung tâm
được thiết lập không phụ thuộc vào hoạt động của người dùng.
MPLS – VPN
MPLS cung cấp môi trường định tuyến thông minh và hiệu năng chuyển mạch
cao như đã trình bày ở trên. Ưu điểm nổi bật nhất của MPLS – VPN là khả năng mở
rộng nhiều VPN trên cùng một mạng lõi. Thêm vào đó là các đặc tính đảm bảo QoS,
sửa lỗi nhanh, bảo vệ đường dẫn và cung cấp nền tảng để phát triển các dịch vụ giá trị
gia tăng. Một số lí do để các doanh nghiệp lựa chọn MPLS – VPN là:
- Các công ty cần thỏa thuận mức độ chất lượng dịch vụ SLA.
- Bảo mật được hỗ trợ bởi việc tách các luồng lưu lượng tương tự như Frame –
Relay và ATM.
- Các mẫu lưu lượng phù hợp với cả cấu hình từng phần và đầy đủ.
- Các doanh nghiệp muốn hội tụ nhiều dịch vụ đa phương tiện trên cùng một
mạng.
- Các doanh nghiệp muốn phát triển những kết nối Multicast.
Khía cạnh an toàn mạng của MPLS dựa trên việc phân tích luồng lưu lượng giữa
các VPN trên cùng mạng lõi thông qua trường phân biệt tuyến. Các tuyến được phân
biệt đảm bảo tính riêng tư của MPLS – VPN tương tự như trong mạng diện rộng Frame
Relay hay ATM. Các nhà cung cấp có thể dễ dàng thiết kế và tối ưu hóa mạng do khách
hàng không cần biết kiến trúc mạng lõi, còn các bộ định tuyến lõi thì không cần biết
thông tin về mạng biên của khách hàng.
Nguyễn Mạnh Hùng, Lớp D04VT1 81
Đồ án tốt nghiệp Đại Học Chương III: Mạng riêng ảo trên nền MPLS
MPLS – VPN có độ mềm dẻo và linh hoạt cao, nó không yêu cầu cấu hình kết
nối đầy đủ hoặc ngang hàng đối với các kết cuối như các mô hình khác đòi hỏi. Mặt
khác MPLS – VPN cũng hỗ trợ tốt các thỏa thuận mức dịch vụ SLA. Đây là điều mà
khách hàng VPN quan tâm nhiều nhất, nó cho phép đáp ứng các yêu cầu về hiệu năng
và tính đàn hồi của mạng. Ngoài ra, MPLS – VPN còn hỗ trợ các kỹ thuật lưu lượng
nhằm đáp ứng yêu cầu QoS, hỗ trợ chính sách quản lý và phân bổ lưu lượng tối ưu hóa
cho mạng.
Bảng 3.1 dưới đây sẽ tổng kết các đặc điểm của hai giải pháp mạng riêng ảo trên
nền IPSec và MPLS
Bảng 3.1: So sánh IPSec – VPN và MPLS – VPN
Đặc điểm MPLS – VPN IPSec – VPN
Cấu hình Điểm tới điểm, Hub-and-Spoke,
cấu hình đầy đủ
Điểm tới điểm, Hub-and-
Spoke, cấu hình đầy đủ
Tính riêng tư Tách lưu lượng thành các luồng
riêng biệt
Sử dụng mã hóa và kỹ thuật
đường hầm thích hợp tại lớp
địa chỉ mạng.
Bảo mật/
Xác thực phiên
Thiết lập cách thành viên VPN
trong quá trình cung cấp dịch vụ,
định nghĩa truy nhập tới nhóm
dịch vụ trong khi cấu hình, từ chối
các truy nhập không hợp pháp
Xác thực qua chứng thực số
hoặc khóa xác định.
Loại bỏ gói không phù hợp với
chính sách bảo mật.
QoS và SLA Cho phép lập các SLA với nhiều
mức, có các kỹ thuật đảm bảo
QoS và kỹ thật lưu lượng.
Không chỉ ra các QoS và SLA
trực tiếp
Khả năng mở
rộng
Có khả năng mở rộng cao vì
không yêu cầu cấu hình đầy đủ
hoặc ngang hàng
Chấp nhận các kiểu mở rộng
theo kiểu Hub-and-Spoke. Khả
năng mở rộng kéo theo hàng
loạt các thách thức về kế
hoạch, phân phối các khóa,
quản lý khóa và cấu hình các
thiết bị ngang hàng.
Nguyễn Mạnh Hùng, Lớp D04VT1 82
Đồ án tốt nghiệp Đại Học Chương III: Mạng riêng ảo trên nền MPLS
Hỗ trợ điểm-điểm Có Có
Hỗ trợ truy nhập
từ xa
Có nếu được kết nối với IPSec Có
Cung cấp Cần một lần cung cấp các thiết bị
khách hàng và thiết bị biên mạng
Giảm chi phí điều hành qua
mạng
Dịch vụ Nhà cung cấp Phương pháp cung cấp tập
trung
Triển khai dịch
vụ
Yêu cầu các phần tử mạng MPLS
mở dịch vụ tại các thiết bị lõi và
biên của mạng nhà cung cấp
Có thể triển khai trên bất kỳ hạ
tầng mạng IP có sẵn.
Phần mềm Client
VPN
Không yêu cầu, người sử dụng
không cần phần mềm tương tác
với mạng.
Cần phải có để khởi tạo các
phần mềm chức năng.
3.8 Kết chương
Trong những năm gần đây, công nghệ chuyển mạch nhãn đa giao thức MPLS đã
được rất nhiều quốc gia lựa chọn để xây dựng và phát triển hệ thống mạng viễn thông
của mình. Một trong những ứng dụng điển hình của MPLS là dịch vụ mạng riêng ảo
MPLS – VPN. Dịch vụ này đã góp phần rất lớn vào sự phát triển nhanh chóng của
MPLS và mở ra nhiều khả năng ứng dụng mới.
Trong chương này đã trình bày về các thành phần cơ bản của MPLS – VPN, các
mô hình triển khai MPLS – VPN tại lớp hai và lớp ba, những kỹ thuật then chốt trong
MPLS – VPN như truyền thông tin định tuyến, địa chỉ VPN – IP và hoạt động chuyển
tiếp gói tin VPN. Ngoài ra, trong nội dung của chương này cũng đề cập đến một số vấn
đề liên quan đến khía cạnh bảo mật và chất lượng dịch vụ trong MPLS – VPN. Cuối
chương có đưa ra một số phân tích và so sánh các đặc điểm nổi bật của hai giải pháp
VPN dựa trên IPSec và MPLS. Có thể nói, việc triển khai công nghệ VPN trên nền
MPLS hứa hẹn nhiều thuận lợi mới và chắc chắn sẽ là giải pháp lí tưởng cho mạng
riêng ảo trong tương lai.
Nguyễn Mạnh Hùng, Lớp D04VT1 83
Đồ án tốt nghiệp Đại Học Bài toán mô phỏng mạng MPLS – VPN
BÀI TOÁN MÔ PHỎNG MẠNG MPLS – VPN
1. ĐẶT VẤN ĐỀ Để hiểu rõ vấn đề trong mạng MPLS – VPN, cũng như quá trình cấu hình thực tế
để sử dụng. Em đã xây dựng một mô hình mạng để kiểm tra hoạt động, khả năng kết
nối cổng, cấu hình bảng định tuyến của mạng riêng ảo trên nền MPLS.
2. XÂY DỰNG BÀI TOÁNMô hình mô phỏng mạng:
MPLS VPN virtual routing & forwarding VRF
- Như trên sơ đồ chúng ta thấy cần 7 router trong đó có 3 router lõi là PE-1, P, PE-
2 và 4 router khách hàng là CE-A1, CE-A2, CE-B1, CE-B2.
- Trong đó CE-A1 và CE-A2 thuộc về VPN A, CE-B1 và CE-B2 thuộc về VPN B.
Yêu cầu cấu hình để tạo ra hai mạng riêng ảo VPN A và VPN B.
- Muốn thực hiện điều này chúng ta cần:
+ Cấu hình MPLS domain giữa 3 router core PE-1, P, PE-2 sử dụng RIPv2.
+ Cấu hình BGP AS1 giữa PE-1 và PE-2.
+ Tạo VRF trên router PE ứng với các khách hàng A1 – A2 và B1 – B2.
Nguyễn Mạnh Hùng, Lớp D04VT1 84
Đồ án tốt nghiệp Đại Học Bài toán mô phỏng mạng MPLS – VPN
+ Giữa các khách hàng dùng định tuyến động EIGRP.
- Cấu hình các router để làm đuợc điều này cần có những bước để thực hiện
chúng. Các bước thực hiện :
Bước 1: Cấu hình cơ bản cho các thiết bị:Router(config)#hostname name //cấu hình tên router
Router(config)#no ip domain lookup //không tự động phân giải tên miền
Router(config)#line console 0Router(config-line)#exec-timeout 0 0
Router(config)#line vty 0 4Router(config-line)#previlege level 15Router(config-line)#no login
Bước 2: Cấu hình địa chỉ IP cho các routerRouter(config-if)#ip address IP_addressRouter(config-if)#no shutdown Router(config-if)#clock rate x //dùng cho interface seri@lRouter(config)#interface loopback 0
Bước 3: Cấu hình định tuyến cơ bản cho 3 router coreRouter(config)#router ripRouter(config-router)#version 2Router(config-router)#network network wildcardmaskRouter(config-router)#no auto-summary
Bước 4: Cấu hình MPLS cho router CoreRouter(config)#ip cefRouter(config-if)#mpls ipRouter(config-if)#mpls label protocol ldpRouter(config-if)#mpls mtu size
Kiểm tra các cấu hình trên:Router#show ip cef detailRouter#show mpls forwarding-tableRouter#show mpls ip bindingRouter#show mpls ldp neighborRouter#ping //ping mở rộngRouter#traceroute
Bước 5: Cấu hình bảng định tuyến VRF cho các khách hàng:Router(config)#ip vrf customer_nameRouter(config-vrf)#rd ASN:nnRouter(config-vrf)route-target import AS:nnRouter(config-vrf)route-target export AS:nn
Nguyễn Mạnh Hùng, Lớp D04VT1 85
Đồ án tốt nghiệp Đại Học Bài toán mô phỏng mạng MPLS – VPN
Bước 6: Cấu hình VRF forwarding cho interfaceRouter(config)#ip vrf forwarding customer_name
Bước 7: Cấu hình định tuyến VRF dùng EIGRPRouter(config)#router eigrp 100Router(config-router)#address-family ipv4 vrf customer_nameRouter(config-router-af)#network network wildcardmaskRouter(config-router-af)#autonomous-system ASRouter(config-router-af)#no auto-summaryRouter(config-router-af)#exit-address-family
Bước 8: Cấu hình định tuyến EIGRP cho router khách hàngRouter(config)#router eigrp asRouter(config-router)#network network wildcardmaskRouter(config-router)#no auto-summary
Bước 9: Cấu hình BGP giữa 2 router PERouter(config)#router bgp asRouter(config-router)#no synchronizationRouter(config-router)#bgp log-neighbor-changesRouter(config-router)#neighbor ip_address remote-as 1Router(config-router)#neighbor ip_address update-source loopback 0Router(config-router)#no auto-summary
Bước 10: Cấu hình vpnv4Router(config-router)#address-family vpnv4Router(config-router-af)#neighbor ip_address activateRouter(config-router-af)#neighbor ip_address send-community extendedRouter(config-router-af)#exit-address-family
Bước 11: Cấu hình bảng VRF cho BGPRouter(config-router)#address-family ipv4 vrf Customer_nameRouter(config-router-af)#no auto-summaryRouter(config-router-af)#no synchronizationRouter(config-router-af)#exit-address-family
Bước 12: Redistribute EIGRP vào BGPRouter(config-router)#address-family ipv4 vrf Customer_nameRouter(config-router-af)#redistribute eigrp AS
Bước 13: Redistribute BGP và EIGRPRouter(config)#router eigrp ASRouter(config-router)#address-family ipv4 vrf CustomerRouter(config-router-af)#redistribute bgp 1 metric 1000 100 100 100 100
Bước 14: Kiểm tra cấu hình bằng các lệnh sau:
Nguyễn Mạnh Hùng, Lớp D04VT1 86
Đồ án tốt nghiệp Đại Học Bài toán mô phỏng mạng MPLS – VPN
Router#show ip routeRouter#show ip route vrf Customer_nameRouter#show mpls forwarding-table //kiểm tra bảng LFIBRouter#show ip bgp summaryRouter#ping //ping mở rộngRouter#traceroute
- CẤU HÌNH CỤ THỂ TRÊN TỪNG ROUTERRouter CE-A1:
Current configuration : 916 bytes!version 12.3service timestamps debug datetimeservice timestamps log datetime msno service password-encryption!hostname A1!boot-start-markerboot-end-marker!!no aaa new-modelip subnet-zeroip cef!!!no ip domain lookupip audit po max-events 100!interface Loopback0ip address 1.1.1.1 255.255.255.0!interface FastEthernet0/0no ip addressshutdownduplex autospeed auto!interface Serial0/0ip address 10.0.1.2 255.255.255.0clock rate 64000!interface FastEthernet0/1no ip addressshutdownduplex auto
Nguyễn Mạnh Hùng, Lớp D04VT1 87
Đồ án tốt nghiệp Đại Học Bài toán mô phỏng mạng MPLS – VPN
speed auto!interface Serial0/1no ip addressshutdownclock rate 2000000!router eigrp 10network 1.1.1.0 0.0.0.255network 10.0.1.0 0.0.0.255no auto-summary!ip classless!ip http serverno ip http secure-server!line con 0exec-timeout 0 0line aux 0line vty 0 4privilege level 15no login!end
Router CE-B1:Current configuration : 916 bytes!version 12.3service timestamps debug datetime msecservice timestamps log datetime msecno service password-encryption!hostname B1!boot-start-markerboot-end-marker!no aaa new-modelip subnet-zeroip cef!no ip domain lookupip audit po max-events 100!interface Loopback0ip address 3.3.3.3 255.255.255.0
Nguyễn Mạnh Hùng, Lớp D04VT1 88
Đồ án tốt nghiệp Đại Học Bài toán mô phỏng mạng MPLS – VPN
!interface FastEthernet0/0no ip addressshutdownduplex autospeed auto!interface Serial0/0ip address 10.0.3.2 255.255.255.0clock rate 64000!interface FastEthernet0/1no ip addressshutdownduplex autospeed auto!interface Serial0/1no ip addressshutdownclock rate 2000000!router eigrp 30network 3.3.3.0 0.0.0.255network 10.0.3.0 0.0.0.255no auto-summary!ip classless!ip http serverno ip http secure-server!line con 0exec-timeout 0 0line aux 0line vty 0 4privilege level 15no login!End
Router PE-1:Current configuration : 2132 bytes!version 12.3service timestamps debug datetime msecservice timestamps log datetime msecno service password-encryption
Nguyễn Mạnh Hùng, Lớp D04VT1 89
Đồ án tốt nghiệp Đại Học Bài toán mô phỏng mạng MPLS – VPN
!hostname PE-1!boot-start-markerboot-end-marker!enable secret 5 $1$JG0r$cUJA5UZoSPdooIJqe3oEX1!no aaa new-modelip subnet-zeroip cef!!!ip vrf A1rd 1:100route-target export 1:100route-target import 1:100!ip vrf B1rd 1:200route-target export 1:200route-target import 1:200!ip audit po max-events 100!interface Loopback0ip address 5.5.5.5 255.255.255.0!interface FastEthernet0/0ip address 192.168.1.2 255.255.255.0duplex autospeed autotag-switching mtu 1512tag-switching ip!interface Serial0/0ip vrf forwarding A1ip address 10.0.1.1 255.255.255.0clock rate 64000!interface FastEthernet0/1no ip addressshutdownduplex autospeed auto!interface Serial0/1
Nguyễn Mạnh Hùng, Lớp D04VT1 90
Đồ án tốt nghiệp Đại Học Bài toán mô phỏng mạng MPLS – VPN
ip vrf forwarding B1ip address 10.0.3.1 255.255.255.0clock rate 64000!router eigrp 100auto-summary!address-family ipv4 vrf B1redistribute bgp 1 metric 1000 100 100 100 100network 10.0.3.0 0.0.0.255no auto-summaryautonomous-system 30exit-address-family!address-family ipv4 vrf A1redistribute bgp 1 metric 1000 100 100 100 100network 10.0.1.0 0.0.0.255no auto-summaryautonomous-system 10exit-address-family!router ripversion 2network 5.0.0.0network 192.168.1.0no auto-summary!router bgp 1bgp log-neighbor-changesneighbor 6.6.6.6 remote-as 1neighbor 6.6.6.6 update-source Loopback0!address-family ipv4neighbor 6.6.6.6 activateno auto-summaryno synchronizationexit-address-family!address-family vpnv4neighbor 6.6.6.6 activateneighbor 6.6.6.6 send-community extendedexit-address-family!address-family ipv4 vrf B1redistribute eigrp 30no auto-summaryno synchronizationexit-address-family
Nguyễn Mạnh Hùng, Lớp D04VT1 91
Đồ án tốt nghiệp Đại Học Bài toán mô phỏng mạng MPLS – VPN
!address-family ipv4 vrf A1redistribute eigrp 10no auto-summaryno synchronizationexit-address-family!ip classless!ip http serverno ip http secure-server!line con 0exec-timeout 0 0line aux 0line vty 0 4exec-timeout 0 0password ciscologin!End
Router P:
Current configuration : 906 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname P
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$FFLE$B9/ljnPAqne9Huc1MDgAQ1
!
no aaa new-model
ip subnet-zero
ip cef
!
Nguyễn Mạnh Hùng, Lớp D04VT1 92
Đồ án tốt nghiệp Đại Học Bài toán mô phỏng mạng MPLS – VPN
ip audit po max-events 100
!
interface Loopback0
no ip address
!
interface FastEthernet0/0
description link to PE-1
ip address 192.168.1.1 255.255.255.0
duplex auto
speed auto
tag-switching ip
!
interface FastEthernet0/1
description link to PE-2
ip address 192.168.2.1 255.255.255.0
duplex auto
speed auto
tag-switching ip
!
router rip
version 2
network 192.168.1.0
network 192.168.2.0
no auto-summary
!
ip classless
!
ip http server
no ip http secure-server
!
line con 0
exec-timeout 0 0
login
line aux 0
line vty 0 4
exec-timeout 0 0
password cisco
Nguyễn Mạnh Hùng, Lớp D04VT1 93
Đồ án tốt nghiệp Đại Học Bài toán mô phỏng mạng MPLS – VPN
login
!
End
Router PE -2:
Current configuration : 2105 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname PE-2
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
ip subnet-zero
ip cef
!
!
!
ip vrf A2
rd 1:100
route-target export 1:100
route-target import 1:100
!
ip vrf B2
rd 1:200
route-target export 1:200
route-target import 1:200
!
ip audit po max-events 100
!
interface Loopback0
ip address 6.6.6.6 255.255.255.0
Nguyễn Mạnh Hùng, Lớp D04VT1 94
Đồ án tốt nghiệp Đại Học Bài toán mô phỏng mạng MPLS – VPN
!
interface FastEthernet0/0
description link to P router
ip address 192.168.2.2 255.255.255.0
duplex auto
speed auto
tag-switching ip
!
interface Serial0/0
description link to Customer A2
ip vrf forwarding A2
ip address 10.0.2.1 255.255.255.0
clock rate 64000
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface Serial0/1
description link to Customer B2
ip vrf forwarding B2
ip address 10.0.4.1 255.255.255.0
clock rate 64000
!
router eigrp 100
auto-summary
!
address-family ipv4 vrf B2
redistribute bgp 1 metric 1000 100 100 100 100
network 10.0.4.0 0.0.0.255
no auto-summary
autonomous-system 40
exit-address-family
!
address-family ipv4 vrf A2
Nguyễn Mạnh Hùng, Lớp D04VT1 95
Đồ án tốt nghiệp Đại Học Bài toán mô phỏng mạng MPLS – VPN
redistribute bgp 1 metric 1000 100 100 100 100
network 10.0.2.0 0.0.0.255
no auto-summary
autonomous-system 20
exit-address-family
!
router rip
version 2
network 6.0.0.0
network 192.168.2.0
no auto-summary
!
router bgp 1
bgp log-neighbor-changes
neighbor 5.5.5.5 remote-as 1
neighbor 5.5.5.5 update-source Loopback0
!
address-family ipv4
neighbor 5.5.5.5 activate
no auto-summary
no synchronization
exit-address-family
!
address-family vpnv4
neighbor 5.5.5.5 activate
neighbor 5.5.5.5 send-community extended
exit-address-family
!
address-family ipv4 vrf B2
redistribute eigrp 40
no auto-summary
no synchronization
exit-address-family
!
address-family ipv4 vrf A2
redistribute eigrp 20
no auto-summary
Nguyễn Mạnh Hùng, Lớp D04VT1 96
Đồ án tốt nghiệp Đại Học Bài toán mô phỏng mạng MPLS – VPN
no synchronization
exit-address-family
!
ip classless
!
ip http server
no ip http secure-server
!
line con 0
line aux 0
line vty 0 4
login
!
End
Router CE-A2:Current configuration : 916 bytes!version 12.3service timestamps debug datetime msecservice timestamps log datetime msecno service password-encryption!hostname A2!boot-start-markerboot-end-marker!!no aaa new-modelip subnet-zeroip cef!no ip domain lookupip audit po max-events 100!interface Loopback0ip address 2.2.2.2 255.255.255.0!interface FastEthernet0/0no ip addressshutdownduplex autospeed auto
Nguyễn Mạnh Hùng, Lớp D04VT1 97
Đồ án tốt nghiệp Đại Học Bài toán mô phỏng mạng MPLS – VPN
!interface Serial0/0ip address 10.0.2.2 255.255.255.0clock rate 64000!interface FastEthernet0/1no ip addressshutdownduplex autospeed auto!interface Serial0/1no ip addressshutdownclock rate 2000000!router eigrp 20network 2.2.2.0 0.0.0.255network 10.0.2.0 0.0.0.255no auto-summary!ip classless!ip http serverno ip http secure-server!line con 0exec-timeout 0 0line aux 0line vty 0 4privilege level 15no login!End
Router CE-B2:Current configuration : 884 bytes!version 12.3service timestamps debug datetime msecservice timestamps log datetime msecno service password-encryption!hostname B2!boot-start-markerboot-end-marker!
Nguyễn Mạnh Hùng, Lớp D04VT1 98
Đồ án tốt nghiệp Đại Học Bài toán mô phỏng mạng MPLS – VPN
!no aaa new-modelip subnet-zeroip cef!ip audit po max-events 100!interface Loopback0ip address 4.4.4.4 255.255.255.0!interface FastEthernet0/0no ip addressshutdownduplex autospeed auto!interface Serial0/0no ip addressclock rate 64000!interface FastEthernet0/1no ip addressshutdownduplex autospeed auto!interface Serial0/1ip address 10.0.4.2 255.255.255.0clock rate 64000!router eigrp 40network 4.4.4.0 0.0.0.255network 10.0.4.0 0.0.0.255no auto-summary!ip classless!ip http serverno ip http secure-server!line con 0exec-timeout 0 0line aux 0line vty 0 4privilege level 15no login!end
Nguyễn Mạnh Hùng, Lớp D04VT1 99
Đồ án tốt nghiệp Đại Học Bài toán mô phỏng mạng MPLS – VPN
3. SỬ DỤNG CÔNG CỤ MÔ PHỎNGCó rất nhiều phần mềm được sử dụng để mô phỏng sơ đồ mạng MPLS – VPN.
Sau đây chúng ta sẽ tìm hiểu về một số phần mềm như GNS3, NS2, ….
3.1 Phần mềm GNS3GNS3 là một trình giả lập mạng có giao diện đồ họa (graphical network
simulator) cho phép bạn dễ dàng thiết kế các mô hình mạng và sau đó chạy giả lập trên chúng. Tại thời điểm hiện tại GNS3 hỗ trợ các IOS của Router, ATM/Frame Relay/Ethernet switch và hub. Bạn thậm chí có thể mở rộng mạng của mình bằng cách kết nối nó vào mạng ảo này.
Để làm được điều này, GNS3 đã dựa trên Dynamips và một phần Dynagen, nó phát triển bằng Python và thông qua PyQt và phần giao diện đồ họa thì sử dụng thư viện Qt, rất nổi tiếng về tính hữu dụng của nó trong dự án KDE. GNS3 cũng sử dụng kỹ thuật SVG (Scalable Vector Graphics) để cung cấp các biểu tượng chất lượng cao cho việc thiết kế mô hình mạng của bạn.
Giới thiệu về DynamipsDynamips là một trình mô phỏng router Cisco được viết bởi Christophe Fillot.
Nó mô phỏng các dòng 1700, 2600, 3600, và 7200, sử dụng các IOS image chuẩn. Phần mềm mô phỏng loại này có thể sử dụng cho:
- Được sử dụng như một công cụ để thực tập, với phần mềm sử dụng trong thế giới thực. Nó cho phép mọi người làm quen hơn với các thiết bị của Cisco, Cisco hiện đang là công hàng đầu trên thế giới về kỹ thuật mạng.
- Thử nghiệm và làm quen với các đặc tính của Cisco IOS.- Kiểm tra nhanh chóng các cấu hình để triển khai sau này trên các router thật.
Dĩ nhiên, phần mềm mô phỏng này không thể thay thế cho router thật, nó chỉ đơn giản là một công cụ bổ sung cho các bài lab thực tế của các nhà quản lý mạng Cisco hoặc những ai muốn vượt qua kỳ thi CCNA/CCNP/CCIE.
Giới thiệu về DynagenDynagen là một giao tiếp dựa trên nền văn bản (text-base) dành cho Dynamips,
cung cấp một bộ OOP API riêng được sử dụng bởi GNS3 để tương tác với Dynamips. GNS3 cũng sử dụng tập tin cấu hình tương tự INI cảu Dynagen và có tích hợp trình quản lý CLI của Dynagen cho phép người dùng kiệt kê các thiết bị, tạm ngưng và nạp lại các thể hiện (của các thiết bị - ND), xác định và quản lý các giá trị idle-pc, bắt gói tin,…
3.2 Phầm mềm NS2NS là bộ công cụ mô phỏng mạng điều khiển theo các sự kiện rời rạc, được xây
dựng và phát triển bởi trường đại học Berkekey - Mỹ, cho phép mô phỏng nhiều kiểu mạng IP khác nhau, mô phỏng các giao thức mạng: TCP, UDP cũng như các dạng nguồn lưu lượng: TFP, Telnet, Web, CBR, VBR, mô phỏng các hàng đợi trong các bộ định tuyến: DropTail, RED, CBQ, mô phỏng các giải thuật định tuyến. Ngoài ra NS còn
Nguyễn Mạnh Hùng, Lớp D04VT1 100
Đồ án tốt nghiệp Đại Học Bài toán mô phỏng mạng MPLS – VPN
cho phép thực hiện việc phát đa luồng và một số giao thức lớp MAC đối với mô phỏng mạng LAN.
NS được xây dựng bằng ngôn ngữ lập trình hệ thống C++ và ngôn ngữ mô phỏng Otcl. Otcl là dạng ngôn ngữ kịch bản Tcl được mở rộng theo mô hình hướng đối tượng
NS theo quan điểm người dùng
Theo quan điểm người dùng thuần túy, NS là một bộ thông dịch các kịch bản Tcl hướng đối tượng. NS gồm có các bộ định trình các sự kiện mô phỏng, các thư viện đối tượng thành phần mạng, thư viện các môdule tạo lập mạng (thực tế việc kết nối các module được thực hiện bằng các hàm thành viên của các đối tượng mô phỏng cơ bản).
Khi sử dụng NS, người dùng phải lập trình bằng ngôn ngữ kịch bản Tcl. Để tạo lập và triển khai một mạng mô phỏng, người dùng viết một kịch bản Tcl để khởi tạo một bộ định trình sự kiện, thiết lập topo mạng thông qua việc sử dụng các đối tượng thành phần mạng và các hành liên kết trong các thư viện của NS. Việc thiết lập một mạng là ghép nối các đường dữ liệu giữa các đối tượng mạng bằng cách đặt con trỏ của một đối tượng này tới địa chỉ của một đối tượng khác tương ứng. Khi muốn tạo một đối tượng mạng mới, thì người dùng có thể tạo ra đối tượng đó bằng cách xây dựng một đối tượng mới hoặc tổ hợp các đối tượng có sẵn trong các thư viện đối tượng của NS và tạo ra các đường liên kết dữ liệu giữa chúng.
Bốn lợi ích nhất của NS-2 mang lại:
- Khả năng kiểm tra tính ổn định của giao thức mạng đang tồn tại.
- Khả năng đánh giá các giao thức mạng mới trước khi đưa vào sử dụng.
- Khả năng thực thi những mô hình mạng lớn mà gần như ta không thể thực thi được trong thực tế.
- Khả năng mô phỏng nhiều loại mạng.
Nguyễn Mạnh Hùng, Lớp D04VT1 101
Đồ án tốt nghiệp Đại Học Bài toán mô phỏng mạng MPLS – VPN
3.3 Lựa chọn phần mềm mô phỏng
Với những phân tích về 2 loại phầm mềm như trên, chúng ta nhận thấy để mô phỏng bài toán MPLS – VPN dùng phần mềm GNS3 là tiện ích và dễ dàng sử dụng hơn. Chương trình mô phỏng thân thiện với người sử dụng hơn vì GNS3 được cài đặt trên nền hệ điều hành Windows XP, còn NS2 cài đặt trên hệ điều hành Linux dòi hỏi người sử dụng phải có kiến thức về hề điều hành Linux và cách thức sử dụng.
4. KẾT QUẢ VÀ ĐÁNH GIÁKẾT QUẢ
Với topo mạng đã có như đã trình bày ở phần trên, và mô phỏng trên phần mềm
GNS3. Chúng ta có giao diện như trên, các quá trình cấu hình cho từng router cũng đã
được thể hiện như trên. Kết quả tạo ra được hai mạng VPN riêng biệt là VPN A bao
gồm khách hàng CE-A1 và CE-A2, và VPN B bao gồm khách hàng CE-B1 và CE-B2.
Họat động của mạng được kiểm tra như sau:
KIỂM TRA CẤU HÌNH:
Kiem tra bang LFIB:
Nguyễn Mạnh Hùng, Lớp D04VT1 102
Đồ án tốt nghiệp Đại Học Bài toán mô phỏng mạng MPLS – VPN
PE-1:PE-1#show mpls forwarding-tableLocal Outgoing Prefix Bytes tag Outgoing Next Hoptag tag or VC or Tunnel Id switched interface16 Untagged 1.1.1.0/24[V] 0 Se0/0 point2point17 Aggregate 10.0.1.0/24[V] 168418 Untagged 3.3.3.0/24[V] 0 Se0/1 point2point19 Aggregate 10.0.3.0/24[V] 020 Pop tag 192.168.2.0/24 0 Fa0/0 192.168.1.121 17 6.6.6.0/24 0 Fa0/0 192.168.1.1
PE-2:PE-2#show mpls forwarding-tableLocal Outgoing Prefix Bytes tag Outgoing Next Hoptag tag or VC or Tunnel Id switched interface16 16 5.5.5.0/24 0 Fa0/0 192.168.2.117 Pop tag 192.168.1.0/24 0 Fa0/0 192.168.2.118 Aggregate 10.0.4.0/24[V] 019 Aggregate 10.0.2.0/24[V] 020 Untagged 2.2.2.0/24[V] 1144 Se0/0 point2point21 Untagged 4.4.4.0/24[V] 0 Se0/1 point2point
Kiem tra co che chuyen mach nhan:PE-1#traceroute vrf A1 2.2.2.2Type escape sequence to abort.Tracing the route to 2.2.2.21 192.168.1.1 [MPLS: Labels 17/20 Exp 0] 596 msec 976 msec 408 msec2 10.0.2.1 [MPLS: Label 20 Exp 0] 316 msec 484 msec 132 msec3 10.0.2.2 356 msec 436 msec *
PE-1#traceroute vrf B1 4.4.4.4Type escape sequence to abort.Tracing the route to 4.4.4.41 192.168.1.1 [MPLS: Labels 17/21 Exp 0] 444 msec 536 msec 596 msec2 10.0.4.1 [MPLS: Label 21 Exp 0] 272 msec 452 msec 680 msec3 10.0.4.2 692 msec 188 msec 444 msec
PE-2#traceroute vrf A2 1.1.1.1Type escape sequence to abort.Tracing the route to 1.1.1.11 192.168.2.1 [MPLS: Labels 16/16 Exp 0] 732 msec 684 msec 388 msec2 10.0.1.1 [MPLS: Label 16 Exp 0] 272 msec 252 msec 816 msec3 10.0.1.2 328 msec 1104 msec *
PE-2#traceroute vrf B2 3.3.3.3Type escape sequence to abort.Tracing the route to 3.3.3.31 192.168.2.1 [MPLS: Labels 16/18 Exp 0] 448 msec 340 msec 244 msec
Nguyễn Mạnh Hùng, Lớp D04VT1 103
Đồ án tốt nghiệp Đại Học Bài toán mô phỏng mạng MPLS – VPN
2 10.0.3.1 [MPLS: Label 18 Exp 0] 444 msec 328 msec 596 msec3 10.0.3.2 372 msec 944 msec 492 msec
Kiem tra hoat dong VPN:A1#ping 2.2.2.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 2.2.2.2, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 392/768/1720 ms
A1#ping 4.4.4.4Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 4.4.4.4, timeout is 2 seconds:.....Success rate is 0 percent (0/5)
A1#ping 3.3.3.3Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 3.3.3.3, timeout is 2 seconds:.....Success rate is 0 percent (0/5)
B1#ping 4.4.4.4Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 4.4.4.4, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 308/828/1524 ms
B1#ping 2.2.2.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 2.2.2.2, timeout is 2 seconds:.....Success rate is 0 percent (0/5)
Kiem tra bang dinh tuyen vrf:PE-1#show ip route vrf A1Routing Table: A1
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route
Gateway of last resort is not set
1.0.0.0/24 is subnetted, 1 subnets
Nguyễn Mạnh Hùng, Lớp D04VT1 104
Đồ án tốt nghiệp Đại Học Bài toán mô phỏng mạng MPLS – VPN
D 1.1.1.0 [90/2297856] via 10.0.1.2, 00:49:05, Serial0/0 2.0.0.0/24 is subnetted, 1 subnetsB 2.2.2.0 [200/2297856] via 6.6.6.6, 00:41:52 10.0.0.0/24 is subnetted, 2 subnetsB 10.0.2.0 [200/0] via 6.6.6.6, 00:42:08C 10.0.1.0 is directly connected, Serial0/0
PE-1#show ip route vrf B1Routing Table: B1Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route
Gateway of last resort is not set
3.0.0.0/24 is subnetted, 1 subnetsD 3.3.3.0 [90/2297856] via 10.0.3.2, 00:42:34, Serial0/1 4.0.0.0/24 is subnetted, 1 subnetsB 4.4.4.0 [200/2297856] via 6.6.6.6, 00:40:19 10.0.0.0/24 is subnetted, 2 subnetsC 10.0.3.0 is directly connected, Serial0/1B 10.0.4.0 [200/0] via 6.6.6.6, 00:41:25
PE-2#show ip route vrf A2Routing Table: A2Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route
Gateway of last resort is not set 1.0.0.0/24 is subnetted, 1 subnetsB 1.1.1.0 [200/2297856] via 5.5.5.5, 00:44:02 2.0.0.0/24 is subnetted, 1 subnetsD 2.2.2.0 [90/2297856] via 10.0.2.2, 00:40:34, Serial0/0 10.0.0.0/24 is subnetted, 2 subnetsC 10.0.2.0 is directly connected, Serial0/0B 10.0.1.0 [200/0] via 5.5.5.5, 00:44:03
PE-2#show ip route vrf B2Routing Table: B2
Nguyễn Mạnh Hùng, Lớp D04VT1 105
Đồ án tốt nghiệp Đại Học Bài toán mô phỏng mạng MPLS – VPN
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route
Gateway of last resort is not set
3.0.0.0/24 is subnetted, 1 subnetsB 3.3.3.0 [200/2297856] via 5.5.5.5, 00:43:05 4.0.0.0/24 is subnetted, 1 subnetsD 4.4.4.0 [90/2297856] via 10.0.4.2, 00:41:01, Serial0/1 10.0.0.0/24 is subnetted, 2 subnetsB 10.0.3.0 [200/0] via 5.5.5.5, 00:44:24C 10.0.4.0 is directly connected, Serial0/1
Kiem tra bang dinh tuyen cua khach hang:A1#show ip routeCodes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route
Gateway of last resort is not set
1.0.0.0/24 is subnetted, 1 subnetsC 1.1.1.0 is directly connected, Loopback0 2.0.0.0/24 is subnetted, 1 subnetsD EX 2.2.2.0 [170/3097600] via 10.0.1.1, 00:51:39, Serial0/0 10.0.0.0/24 is subnetted, 2 subnetsD EX 10.0.2.0 [170/3097600] via 10.0.1.1, 00:52:11, Serial0/0C 10.0.1.0 is directly connected, Serial0/0
B1#show ip routeCodes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route
Gateway of last resort is not set
Nguyễn Mạnh Hùng, Lớp D04VT1 106
Đồ án tốt nghiệp Đại Học Bài toán mô phỏng mạng MPLS – VPN
3.0.0.0/24 is subnetted, 1 subnetsC 3.3.3.0 is directly connected, Loopback0 4.0.0.0/24 is subnetted, 1 subnetsD EX 4.4.4.0 [170/3097600] via 10.0.3.1, 00:49:13, Serial0/0 10.0.0.0/24 is subnetted, 2 subnetsC 10.0.3.0 is directly connected, Serial0/0D EX 10.0.4.0 [170/3097600] via 10.0.3.1, 00:50:39, Serial0/0
A2#show ip routeCodes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route
Gateway of last resort is not set
1.0.0.0/24 is subnetted, 1 subnetsD EX 1.1.1.0 [170/3097600] via 10.0.2.1, 00:49:36, Serial0/0 2.0.0.0/24 is subnetted, 1 subnetsC 2.2.2.0 is directly connected, Loopback0 10.0.0.0/24 is subnetted, 2 subnetsC 10.0.2.0 is directly connected, Serial0/0D EX 10.0.1.0 [170/3097600] via 10.0.2.1, 00:49:36, Serial0/0
B2#show ip routeCodes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route
Gateway of last resort is not set
3.0.0.0/24 is subnetted, 1 subnetsD EX 3.3.3.0 [170/3097600] via 10.0.4.1, 00:50:14, Serial0/0 4.0.0.0/24 is subnetted, 1 subnetsC 4.4.4.0 is directly connected, Loopback0 10.0.0.0/24 is subnetted, 2 subnetsD EX 10.0.3.0 [170/3097600] via 10.0.4.1, 00:50:14, Serial0/0C 10.0.4.0 is directly connected, Serial0/0
Kiem tra hoat dong cua BGP:
Nguyễn Mạnh Hùng, Lớp D04VT1 107
Đồ án tốt nghiệp Đại Học Bài toán mô phỏng mạng MPLS – VPN
PE-1#show ip bgp summaryBGP router identifier 5.5.5.5, local AS number 1BGP table version is 1, main routing table version 1
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd6.6.6.6 4 1 67 59 1 0 0 00:48:13 0
PE-2#show ip bgp summaryBGP router identifier 6.6.6.6, local AS number 1BGP table version is 1, main routing table version 1
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd5.5.5.5 4 1 59 67 1 0 0 00:48:34 0
ĐÁNH GIÁ
Bài toán đã thực hiện được đúng mục tiêu đề ra, cấu hình các router lõi và router
mạng của khách hàng để tạo ra hai mạng riêng ảo là VPN A và VPN B. Các quá trình
kiểm tra bảng LFIB, kiểm tra cơ chế chuyển mạch nhãn, kiểm tra họat động VPN, kiểm
tra bảng định tuyến vrf, kiểm tra bảng định tuyến của khách hàng, kiểm tra họat động
BGP thành công đã chứng tỏ rằng mạng họat động tốt và các qua trình cấu hình hoàn
tất.
Nguyễn Mạnh Hùng, Lớp D04VT1 108
Đồ án tốt nghiệp Đại Học Kết luận
KẾT LUẬN
Công nghệ mạng riêng ảo VPN cho phép tận dụng cơ sở hạ tầng mạng công cộng
để xây dựng mạng WAN riêng, với những ưu điểm về mặt giá thành, phạm vi không hạn
chế, linh hoạt trong triển khai và mở rộng mạng. Ngày nay, VPN đã rất hữu ích và sẽ
càng hữu ích trong tương lai. Các chuẩn đã được thi hành, điều đó sẽ cải tiến khả năng
liên vận hành và quản lý. Chất lượng mạng trên các VPN cũng sẽ được cải thiện, cho
phép cung cấp các ứng dụng mới như hội nghị truyền hình, điện thoại IP, các dịch vụ
đa phương tiện.
Quyển đồ án này đã tìm hiểu một số vấn đề kỹ thuật liện quan đến việc thực hiện
VPN, nội dung gồm những vấn đề chính:
Các khái niệm cơ bản, đặc điểm của các giao thức đường hầm L2F, PPTP, L2TP
và IPSec. Nguyên tắc hoạt hoạt động của VPN dựa trên các giao thức đường hầm.
Trong số các giao thức đường hầm hiện có, IPSec đáp ứng được tốt các nhu cầu
cao về an toàn dữ liệu, là giải pháp chính cho bảo mật các VPN của các tổ chức, công
ty. Tuy nhiên, IPSec chỉ hỗ trợ luồng IP một chiều; nếu các gói dữ liệu IP một chiều
được đường hầm hoá, sau đó một kiểu đóng gói duy nhất được cung cấp bởi IPSec là
đủ và đơn giản để cấu hình và sửa chữa.
Để tạo đường hầm cho IP nhiều hướng ta có thể sử dụng L2TP, với luồng lưu
lượng mạng sử dụng mạng, thiết bị của Microsoft thì L2TP là sự lựa chọn tốt nhất.
L2TP cũng phù hợp với các VPN truy cập từ xa hỗ trợ đa giao thức. Tuy nhiên, L2TP
không hỗ trợ mã hoá dữ liệu và tính toàn vẹn dữ liệu vì thế sử dụng IPSec kết hợp với
L2TP là giải pháp toàn vẹn.
Một số vấn đề về bảo mật trong VPN, bảo mật dữ liệu chống lại các truy cập và
thay đổi trái phép. Bảo mật trong VPN phải thực hiện hai quá trình đó là: Xác thực và
mật mã. Phần này giới thiệu một số thuật toán xác thực, mật mã thường được sử dụng
trong mạng VPN như PAP, CHAP, MD, SHA, MAC…, DES, AES, RAS, DH. Hiện nay,
IETF và nhiều tổ chức uy tín đã đưa ra nhiều thuật toán xác thực và mã hoá để hoàn
thiện các chuẩn cho công nghệ này.
Nguyễn Mạnh Hùng, Lớp D04VT1 109
Đồ án tốt nghiệp Đại Học Kết luận
Các vấn đề về quản lý VPN, bao gồm: quản lý bảo mật, quản lý địa chỉ và quản
lý chất lượng.
Trong xu thế toàn cầu hoá, thương mại hoá các mạng IP được thiết kế để truyền
thông thống nhất xung quanh World Wide Web (WWW) và Extranet, để phù hợp với các
ứng dụng trong giao dịch thương mại, kinh doanh. Extranet thường được thiết lập giữa
các đối tác kinh doanh và được thúc đẩy bởi nhu cầu cho các ứng dụng kinh doanh chi
tiết, xử lý nhanh hơn điều khiển bộ kiểm toán tốt hơn còn VPN được phát triển với nhu
cầu để cung cấp liên lạc bảo mật trên Internet chung, bất kể loại lưu lượng nào mà
không cần quan tâm đến ứng dụng nên trong tương lai sẽ mở rộng các VPN đến
Extranet. Ta có thể xây dựng Extranet trên cơ sở của một VPN, các bước chính trong
việc mở rộng một VPN đến một Extranet là chuyển nhượng quyền truy cập các đối tác
Extranet đến các tài nguyên đặc biệt bên trong và bổ sung cơ sở dữ liệu về đối tác đến
các hệ thống xác thực.
Với nhiều nhà quản lý, Extranet có nhiều thuận lợi cho việc liên lạc giữa nhiều
đối tác kinh doanh đó là:
- Các Extranet thường được xây dựng dựa trên giao thức TCP/IP, mà giao thức
này thuận lợi cho việc liên kết các mạng con (riêng).
- Sử dụng Internet để liên kết các mạng với độ linh động cao hơn trong các thủ tục
và kết thúc các hoạt động ngắn hạn khi cần.
- Extranet được luân chuyển xung quanh WWW, điều này giúp cung cấp giao tiếp
người dùng chung tới nhiều ứng dụng qua các ranh giới công ty.
Trong đồ án đã trình bày về các thành phần cơ bản của MPLS – VPN, các mô
hình triển khai MPLS – VPN tại lớp hai và lớp ba, những kỹ thuật then chốt trong
MPLS – VPN như truyền thông tin định tuyến, địa chỉ VPN – IP và hoạt động chuyển
tiếp gói tin VPN. Ngoài ra, trong nội dung của chương này cũng đề cập đến một số vấn
đề liên quan đến khía cạnh bảo mật và chất lượng dịch vụ trong MPLS – VPN. Cuối
chương có đưa ra một số phân tích và so sánh các đặc điểm nổi bật của hai giải pháp
VPN dựa trên IPSec và MPLS. Có thể nói, việc triển khai công nghệ VPN trên nền
MPLS hứa hẹn nhiều thuận lợi mới và chắc chắn sẽ là giải pháp lí tưởng cho mạng
riêng ảo trong tương lai.
Nguyễn Mạnh Hùng, Lớp D04VT1 110
Đồ án tốt nghiệp Đại Học Tài liệu tham khảo
TÀI LIỆU THAM KHẢO
[1] Cisco Secure Virtual Private Networks (Volume 1,2) Copyright © 2001, Cisco System, Inc. [2] Security Protocols Overview Copyright ©1999, RSA Data Security, Inc. [3] Virtual Private Networking and Intranet Security Copyright © 1999, Microsoft Corperation, Inc. [4] Network Protocol Handbook Matthew G.Naugle, McGraw-Hill, Inc.1994. [5] Building and Managing Virtual Private networks Dave kosiur, USA, 1998. [6] VPN technologies: Definitions and Requirements Copyright © 2002, VPN Consortium. [7] Understanding Virtual Private networking Copyright © 2001, ADTRAN, Inc. [8] Next Generation Enterprise MPLS VPN-Based MAN Design and Implementation Guide © 2006 Cisco Systems, Inc. All rights reserved.
Các Websites chính
http:// www.vpnlabs.org http:// www.vpnc. org http:// www. ietf. Org http:// www.techguide.com http:// www.javvin.com http:// www.techRepublic.com
Các chuẩn RFCs
RFC 2403- Use of HMAC-MD5-96 winthin ESP and AH RFC 2402- IP Authentication Header (AH) RFC 2404- Encapsulation Security Payload (ESP) RFC 2341- layer 2 Forwarding Protocol (L2F) RFC 2647- Point-to-Point Tunneling Protocol (PPTP) RFC 2661- Layer 2 Tunnling Protocol (L2TP)
Nguyễn Mạnh Hùng, Lớp D04VT1 111
Đồ án tốt nghiệp Đại Học Lời cảm ơn
LỜI CẢM ƠN
Em xin trân thành cảm ơn các thầy cô giáo trong khoa viễn thông I và đặc biệt là
các thầy cô trong bộ môn khoa viễn thông. Em xin gửi đến thầy giáo Ths. Hoàng Trọng
Minh lời cảm ơn chân thành nhất, thầy đã tận tình hướng dẫn em hoàn thành đồ án và
cung cấp cũng như hướng dẫn lựa chọn những tài liệu thiết thực đối với lĩnh vực nghiên
cứu của đồ án. Xin cảm ơn gia đình tôi, những người luôn bên tôi trong lúc khó khăn
nhất, Cuối cùng xin cảm ơn bạn bè tôi những người bạn thật tốt, đã luôn cạnh tôi trong
suốt thời gian qua.
Nguyễn Mạnh Hùng, Lớp D04VT1 112