181
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC NGHIÊN CỨU CÁC GIẢI PHÁP VPN TRÊN NỀN CÔNG NGHỆ MPLS Giáo viên hướng dẫn : Ths Hoàng Trọng Minh Sinh viên thực hiện : Nguyễn Mạnh Hùng Lớp : D2004VT1

@@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Embed Size (px)

Citation preview

Page 1: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

ĐỒ ÁN

TỐT NGHIỆP ĐẠI HỌC

NGHIÊN CỨU CÁC GIẢI PHÁP VPN TRÊN NỀN CÔNG NGHỆ MPLS

Giáo viên hướng dẫn : Ths Hoàng Trọng Minh Sinh viên thực hiện : Nguyễn Mạnh Hùng

Lớp : D2004VT1

Page 2: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Hà Nội 11 - 2008

Page 3: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNGKHOA VIỄN THÔNG 1

-------***-------

ĐỒ ÁN

TỐT NGHIỆP ĐẠI HỌC

Đề tài:

NGHIÊN CỨU CÁC GIẢI PHÁP VPN TRÊN NỀN CÔNG NGHỆ MPLS

Giáo viên hướng dẫn : Ths Hoàng Trọng Minh Sinh viên thực hiện : Nguyễn Mạnh Hùng

Lớp : D2004VT 1

Page 4: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Hà Nội 11 - 2008

Page 5: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG CỘNG HOÀ XÃ HỘI CHỦ NGHĨA VIỆT NAM

KHOA VIỄN THÔNG 1 Độc lập - Tự do - Hạnh phúc --------o0o--------- --------o0o---------

ĐỀ TÀI ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC

Họ và tên : Nguyễn Mạnh HùngLớp : D2004-VT1Khoá : 2004 – 2009Ngành : Điện tử – Viễn thông

TÊN ĐỀ TÀI: "CÔNG NGHỆ MẠNG RIÊNG ẢO VPN TRÊN NỀN MPLS"

NỘI DUNG ĐỒ ÁN :

Phần I: Giới thiệu chung về công nghệ VPN và các giao thức đã đuợc sử dụng

đối với công nghệ VPN đó là: L2F, PPTP, L2TP, IPSec.

Phần II: Giới thiệu về công nghệ VPN trên nền MPLS.

Ngày giao đề tài: …………………

Ngày nộp đồ án: ………………….

Hà Nội, ngày tháng năm 2008

Giáo viên hướng dẫn

Hoàng Trọng Minh

Page 6: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN:

………………………………………………………………………………………

………………………………………………………………………………………

………………………………………………………………………………………

………………………………………………………………………………………

………………………………………………………………………………………

………………………………………………………………………………………

………………………………………………………………………………………

………………………………………………………………………………………

………………………………………………………………………………………

………………………………………………………………………………………

………………………………………………………………………………………

………………………………………………………………………………………

………………………………………………………………………………………

………………………………………………………………………………………

………………………………………………………………………………………

………………………………………………………………………………………

………………………………………………………………………………………

………………………………………………………………………………………

………………………………………………………………………………………

………………………………………………………………………………………

Điểm: (Bằng chữ: )

Hà Nội, Ngày tháng năm 2008

Giáo viên hướng dẫn

Hoàng Trọng Minh

Page 7: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN:

………………………………………………………………………………………

………………………………………………………………………………………

………………………………………………………………………………………

………………………………………………………………………………………

………………………………………………………………………………………

………………………………………………………………………………………

………………………………………………………………………………………

………………………………………………………………………………………

………………………………………………………………………………………

………………………………………………………………………………………

………………………………………………………………………………………

………………………………………………………………………………………

………………………………………………………………………………………

………………………………………………………………………………………

………………………………………………………………………………………

………………………………………………………………………………………

………………………………………………………………………………………

………………………………………………………………………………………

………………………………………………………………………………………

………………………………………………………………………………………

………………………………………………………………………………………

………………………………………………………………………………………

Điểm: (Bằng chữ: ) Ngày tháng năm 2008

Giáo viên phản biện

Page 8: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Lời nói đầu

LỜI NÓI ĐẦU

Ngày nay, với sự phát triển nhanh chóng của khoa học kỹ thuật đặc biệt là Công

nghệ thông tin và Viễn thông đã trở thành một động lực quan trọng trong sự phát triển

kinh tế thế giới.

Các tổ chức, doanh nghiệp có nhiều chi nhánh, các công ty đa quốc gia trong quá

trình hoạt động luôn phải trao đổi thông tin với khách hàng, đối tác, nhân viên của họ.

Chính vì vậy đòi hỏi phải luôn nắm bắt được thông tin mới nhất, chính xác nhất, đồng

thời phải đảm bảo độ tin cậy cao giữa các chi nhánh của mình trên khắp thế giới, cũng

như với các đối tác và khách hàng.

Để đáp ứng được những yêu cầu đó, trong quá khứ có hai loại hình dịch vụ Viễn

thông mà các tổ chức, doanh nghiệp có thể chọn lựa sử dụng cho kết nối đó là:

- Thứ nhất, thuê các đường thông tin riêng (Leased-line) của các nhà cung cấp

dịch vụ để kết nối tất cả các mạng con của công ty lại với nhau. Phương pháp

này rất tốn kém cho việc xây dựng ban đầu cũng như trong quá trình vận hành,

bảo dưỡng hay mở rộng sau này.

- Thứ hai, họ có thể sử dụng chung hạ tầng của nhà khai thác, giải pháp này có

nhiều bất cập khi không đáp ứng được các yêu cầu đặc thù của dịch vụ. Ví dụ

như chất lượng, độ tin cậy an toàn thông tin.

Sự ra đời của kỹ thuật mạng riêng ảo VPN đã dung hoà hai loại hình dịch vụ

trên, nó có thể xây dựng trên cơ sở hạ tầng sẵn có nhưng lại có được các tính chất của

một mạng cục bộ như khi sử dụng các đường Leased-line. Vì vậy, có thể nói VPN chính

là sự lựa chọn tối ưu cho các doanh nghiệp kinh tế. Với chi phí hợp lý, VPN có thể

giúp doanh nghiệp tiếp xúc toàn cầu nhanh chóng và hiệu quả hơn so với các giải pháp

mạng diện rộng WAN. Với VPN, ta có thể giảm chi phí xây dựng do tận dụng được cơ

sở hạ tầng công cộng sẵn có, giảm chi phí thường xuyên, mềm dẻo trong xây dựng.

Để tiếp cận các hướng công nghệ mới đang triển khai trong môi trường mạng

viễn thông hiện nay, tôi lựa chọn đề tài “Nghiên cứu các giải pháp VPN trên nền công

Nguyễn Mạnh Hùng, Lớp D04VT1 i

Page 9: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Lời nói đầu

nghệ MPLS”. Nhằm lĩnh hội các kiến thức và xác định điểm mấu chốt của giải pháp

hướng tới, làm chủ công nghệ.

Nội dung tìm hiểu của đồ án gồm 3 chương chia thành 2 phần lớn:

Phần I: Giới thiệu chung về công nghệ VPN và các giao thức đã đuợc sử dụng

đối với công nghệ VPN đó là: L2F, PPTP, L2TP, IPSec.

Phần II: Giới thiệu về công nghệ VPN trên nền MPLS.

Nội dung của mỗi chương cụ thể như sau:

Chương I: GIỚI THIỆU TỔNG QUAN VỀ VPN. Trong chương này chỉ ra các

khái niệm cơ bản về công nghệ mạng riêng ảo và các loại VPN đang được triển khai

hiện nay.

Chương II: CÁC GIAO THỨC HOẠT ĐỘNG TRONG VPN. Chương này giới

thiệu hai giao thức cơ bản là IPSec hỗ trợ cho bảo mật của VPN trên nền IP và giao

thức đường hầm lớp 2 là xu hướng phát triển mạnh mẽ như hiện nay. Đó cũng là những

quá trình tác động trực tiếp tới các mô hình VPN trên các hạ tầng lớp hai như

ATM/MPLS.

Chương III: MẠNG RIÊNG ẢO TRÊN NỀN MPLS. Với các đặc tính của hai

công nghệ đang được triển khai hiện nay, chương này chỉ ra các giải pháp cụ thể và

các phân tích nhằm thể hiện các ưu nhược điểm của công nghệ cũng như đánh giá sự

phát triển của công nghệ VPN/MPLS.

Do nhiều mặt còn hạn chế nên nội dung của đề tài khó tránh khỏi những sai sót.

Tác giả rất mong nhận được ý kiến đóng góp của các thầy cô và bạn đọc.

Em xin chân thành cảm ơn Ths Hoàng Trọng Minh đã tận tình hướng dẫn em

hoàn thành đề tài.

Hà nội, ngày tháng năm 2008

Sinh viên: Nguyễn Mạnh Hùng

Nguyễn Mạnh Hùng, Lớp D04VT1 ii

Page 10: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Mục lục

MỤC LỤC

PHẦN I...............................................................................................................................1CHƯƠNG I: GIỚI THIỆU TỔNG QUAN VỀ VPN..............................................................1

1.1 Khái niệm mạng riêng ảo..............................................................................................11.2 Những lợi ích do VPN đem lại......................................................................................31.3 Nhược điểm và một số vấn đề cần phải khắc phục.......................................................41.4 Phân loại VPN và ứng dụng.........................................................................................5

1.4.1 VPN truy nhập từ xa...............................................................................................51.4.2 VPN điểm tới điểm.................................................................................................7

1.4.2.1 VPN cục bộ......................................................................................................81.4.2.2. VPN mở rộng..................................................................................................9

1.5 Các loại mạng VPN....................................................................................................101.5.1 Người dùng truy nhập từ xa thông qua Internet (Access VPN)...........................101.5.2 Nối các mạng trên Internet (Intranet VPN).........................................................111.5.3 Nối các máy tính trên một Intranet (Extranet VPN)............................................12

1.6 Kết luận.......................................................................................................................132.1 Dạng thức hoạt động..................................................................................................14

2.1.1 Kết hợp bảo mật SA..............................................................................................142.1.2 Xác thực tiêu đề AH.............................................................................................152.1.3 Bọc gói bảo mật tải ESP......................................................................................172.1.4 Chế độ làm việc....................................................................................................19

2.2 Quản lý khóa...............................................................................................................212.2.1 Các chế độ của Oakley và các pha của ISAKMP................................................222.2.2 Đàm phán SA........................................................................................................26

2.3 Sử dụng IPSec.............................................................................................................262.3.1 Các cổng nối bảo mật..........................................................................................272.3.2 Các SA đại diện....................................................................................................272.3.3 Host từ xa.............................................................................................................282.3.4 Một ví dụ minh họa..............................................................................................29

2.4 Các vấn đề còn tồn đọng trong IPSec.........................................................................302.5 Các giao thức đường hầm...........................................................................................31

2.5.1 Giới thiệu về các giao thức đường hầm...............................................................312.5.2 Giao thức chuyển tiếp lớp 2 – L2F......................................................................32

2.5.2.1. Cấu trúc gói L2F..........................................................................................322.5.2.2 Hoạt động của L2F........................................................................................332.5.2.3 Ưu nhược điểm của L2F................................................................................35

2.5.3 Giao thức đường hầm điểm tới điểm – PPTP......................................................352.5.3.1 Khái quát về hoạt động của PPTP................................................................352.5.3.2 Duy trì đường hầm bằng kết nối điều khiển PPTP........................................372.5.3.3 Đóng gói dữ liệu đường hầm PPTP..............................................................372.5.3.4 Xử lý dữ liệu tại đầu cuối đường hầm PPTP................................................402.5.3.5 Triển khai VPN dựa trên PPTP.....................................................................402.5.3.6 Ưu nhược điểm và khả năng ứng dụng của PPTP........................................42

Nguyễn Mạnh Hùng, Lớp D04VT1 iii

Page 11: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Mục lục

2.5.4 Giao thức L2TP....................................................................................................432.5.4.1 Dạng thức của L2TP.....................................................................................442.5.4.2 Sử dụng L2TP................................................................................................532.5.4.3 Khả năng áp dụng của L2TP.........................................................................56

PHẦN II............................................................................................................................58CHƯƠNG III: MẠNG RIÊNG ẢO TRÊN NỀN MPLS.........................................................58

3.1 Các thành phần của MPLS – VPN..............................................................................583.1.1 Hệ thống cung cấp dịch vụ MPLS – VPN............................................................583.1.2 Bộ định tuyến biên của nhà cung cấp dịch vụ......................................................593.1.3 Bảng định tuyến và chuyển tiếp ảo......................................................................60

3.2 Các mô hình MPLS – VPN.........................................................................................623.2.1 Mô hình V3VPN...................................................................................................623.2.2 Mô hình L2VPN....................................................................................................63

3.3 Hoạt động của MPLS – VPN......................................................................................643.3.1 Truyền thông tin định tuyến.................................................................................643.3.2 Địa chỉ VPN – IP..................................................................................................663.3.3 Chuyển tiếp gói tin VPN.......................................................................................69

3.4 Bảo mật trong MPLS - VPN.......................................................................................733.5 Chất lượng dịch vụ trong MPLS – VPN.....................................................................74

3.5.1 Mô hình ống.........................................................................................................753.5.2 Mô hình vòi..........................................................................................................77

3.6 So sánh các đặc điểm của VPN trên nền IPSec và MPLS..........................................783.6.1 Các tiêu chí đánh giá...........................................................................................793.6.2 Các đặc điểm nổi bật của IPSec – VPN và MPLS – VPN....................................80

3.8 Kết chương..................................................................................................................83

BÀI TOÁN MÔ PHỎNG MẠNG MPLS – VPN.............................................841. ĐẶT VẤN ĐỀ................................................................................................................842. XÂY DỰNG BÀI TOÁN................................................................................................843. SỬ DỤNG CÔNG CỤ MÔ PHỎNG..........................................................................100

3.1 Phần mềm GNS3...................................................................................................1003.2 Phầm mềm NS2.....................................................................................................1003.3 Lựa chọn phần mềm mô phỏng.............................................................................102

4. KẾT QUẢ VÀ ĐÁNH GIÁ..........................................................................................102KẾT LUẬN..........................................................................................................................109TÀI LIỆU THAM KHẢO....................................................................................................111LỜI CẢM ƠN......................................................................................................................112

Nguyễn Mạnh Hùng, Lớp D04VT1 iv

Page 12: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Danh mục hình vẽ

DANH MỤC HÌNH VẼ

Hình 1.1: Mô hình VPN truy cập từ xa...................................................................................6Hình 1.2: Mô hình VPN cục bộ..............................................................................................8Hình 1.3: Mô hình VPN mở rộng...........................................................................................9Hình 1.4: Dùng VPN để kết nối client từ xa đến mạng LAN riêng......................................11Hình 1.5: Tổ chức truy nhập Ipass.......................................................................................11Hình 1.6: Dùng VPN để kết nối 2 vị trí từ xa.......................................................................12Hình 1.7: Dùng VPN để kết nối hai máy tính từ xa trong cùng một LAN............................13Hình 2.1: Khuôn dạng gói tin Ipv4 trước và sau khi xử lý AH.............................................16Hình 2.2: Khuôn dạng gói tin Ipv6 trước và sau khi xử lý AH.............................................16Hình 2.3: Bọc gói bảo mật tải..............................................................................................17Hình 2.4: So sánh xác thực bởi AH và ESP.........................................................................18Hình 2.5: Chế độ đường hầm AH.........................................................................................19Hình 2.6: Chế độ đường hầm ESP.......................................................................................20Hình 2.7: Các trường hợp của chế độ giao vận và đường hầm...........................................20Hình 2.8: Chế độ chính ISAKMP.........................................................................................23Hình 2.9: Chế độ năng động ISAKMP.................................................................................24Hình 2.10: Chế độ nhanh ISAKMP......................................................................................25Hình 2.11: Các thành phần của một Internet VPN..............................................................26Hình 2.12: IPSec và các chính sách bảo mật.......................................................................29Hình 2.13: Ví dụ về IPSec VPN............................................................................................30Hình 2.14: Khuôn dạng của gói L2F....................................................................................32Hình 2.15: Mô hình hệ thống sử dụng L2F..........................................................................33Hình 2.18: Sơ đồ đóng gói PPTP.........................................................................................39Hình 2.19: Các thành phần của hệ thống cung cấp VPN dựa trên PPTP...........................41Hình 2.20: Kiến trúc của L2TP............................................................................................44Hình 2.21: Các giao thức sử dụng trong một kết nối L2TP.................................................45Hình 2.22: Bọc gói L2TP......................................................................................................45Hình 2.23: Các đường hầm tự nguyện và bắt buộc..............................................................46Hình 2.24: Mã hóa gói cho đường hầm bắt buộc................................................................50Hình 2.26: Mã hóa gói cho đường hầm tự nguyện...............................................................51Hình 2.27: Đường hầm L2TP kết nối LAN – LAN...............................................................52Hình 2.28: Các thành phần cơ bản của L2TP......................................................................54Hình 2.29: Quay số L2TP trong VPN..................................................................................56Hình 3.1: Hệ thống cung cấp dịch vụ MPLS – VPN và các thành phần.............................59Hình 3.2: Bộ định tuyến PE và sơ đồ kết nối các site khách hàng.......................................60Hình 3.3: Mô hình MPLS L3VPN.........................................................................................62Hình 3.4: Mô hình MPLS L2VPN.........................................................................................64Hình 3.5: Địa chỉ VPN – Ipv4..............................................................................................66Hình 3.6: Khuôn dạng trường phân biệt tuyến....................................................................67Hình 3.7: Sử dụng nhãn để chuyển tiếp gói tin VPN............................................................70Hình 3.8: Sử dụng ngăn xếp nhãn để chuyển tiếp gói tin VPN............................................70Hình 3.9: Hoạt động chuyển tiếp dữ liệu VPN qua mạng MPLS.........................................72

Nguyễn Mạnh Hùng, Lớp D04VT1 v

Page 13: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Danh mục hình vẽ

Hình 3.10: Mô hình ống chất lượng dịch vụ trong MPLS – VPN........................................76Hình 3.11: Mô hình vòi chất lượng dịch vụ trong MPLS – VPN.........................................78

Nguyễn Mạnh Hùng, Lớp D04VT1 vi

Page 14: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Thuật ngữ viết tắt

THUẬT NGỮ VIẾT TẮT

VIẾT TẮT TIẾNG ANH TIẾNG VIỆT

A

AC Access Concentrator Bộ tập kết truy nhập

ATM Asynchronous Transfer Mode Phương thức truyền tải không

đồng bộ

ASN Autonomous System Number Số hệ tự trị

AN Assigned Number Số gán

B

BGP Border Gateway Protocol Giao thức cổng biên

BGPv4 Border Gateway Protocol version 4 Giao thức cổng biên phiên bản 4

C

CHAP Challenge Handshake Authentication

Protocol

Giao thức xác thực đòi hỏi bắt tay

E

ECR Egress Committed Rate Tốc độ cam kết đầu ra

EAP Extensible Authentication Protocol Giao thức xác thực mở rộng

ESP Encapsulating Security Payload Đóng gói bảo mật tải

F

FTP File Transfer Protocol Giao thức truyền file

FCS Frame Check Sequence Chuỗi kiểm tra khung

FR Frame Relay Chuyển tiếp khung

G

GRE Generic Routing Encapsulation Đóng gói định tuyến chung

H

HMAC Hashed-keyed Message

Authenticaiton Code

Mã nhận thực bản tin băm

I

IP Internet Protocol Giao thức Internet

ICR Ingress Committed Rate Tốc độ cam kết đầu vào

IS – IS Intermediate System to Intermediate

System

IPSec Internet Protocol Security Bảo mật giao thức Internet

Nguyễn Mạnh Hùng, Lớp D04VT1 vii

Page 15: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Thuật ngữ viết tắt

ISAKMP Internet Security Association and

Key Management Protocol

Giao thức kết hợp an ninh và

quản lí khóa qua Internet

IKE Internet Key Exchange Giao thức trao đổi khóa

ICMP Internet Control Message Protocol Giao thức bản tin điều khiển

Internet

IP – AH IP – Authentication Header Xác thực tiêu đề IP

ISDN Intergrated Service Digital Network Mạng số tích hợp đa dịch vụ

ISP Internet Service Provider Nhà cung cấp dịch vụ Internet

IMAP Internet Message Access Protocol Giao thức truy cập nhập thông tin

Internet

L

L2VPN Layer Two VPN Mạng riêng ảo lớp 2

L3VPN Layer Three VPN Mạng riêng ảo lớp 3

LCP Link Control Protocol Giao thức điều khiển đường

truyền

L2TP Layer Two Tunneling Protocol Giao thức đường hầm lớp 2

L2F Layer Two Forwarding Giao thức chuyển tiếp lớp 2

LAN Local Area Network Mạng cục bộ

M

MP - BGP Multiprotocol BGP Đa giao thức BGP

MPLS Multi Protocol Laber Switching Bộ định tuyến chuyển mạch nhãn

MD5 Message Digest 5 Thuật toán tóm tắt bản tin MD5N

NAT Network Address Translation Biên dịch địa chỉ mạng

NAS Network Access Server Máy chủ truy nhập mạng

O

OSPFOpen Shortest Path First (ATM)

Giao thức định tuyến OSPF

P

POP Point of Presence Điểm hiển diện

PPTP Point to Point Tunneling Protocol Giao thức đường hầm điểm tới

điểm

PKI Public Key Infrastructure Cơ sở hạ tầng khóa công cộng

PPP Point-to-Point Protocol Giao thức điểm tới điểm

Nguyễn Mạnh Hùng, Lớp D04VT1 viii

Page 16: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Thuật ngữ viết tắt

PAP Password Authentication Protocol

R

RAS Remote Access Server Máy chủ truy nhập từ xa

RADIUS Remote Authentication Dial-in User

Service

Dịch vụ nhận thực người dùng

quay số từ xa

S

SLA Service Level Agreements Các thỏa thuận mức dịch vụ

SA Security Association Liên kết an ninh

SPI Security Parameter Index Chỉ số thông số an ninh

SHA-1 Secure Hash Algorithm-1 Thuật toán băm SHA-1

SPE (Sonet) Synchronous Payload Envelop

Đường bao tải hiệu dụng đồng bộ

T

TACACS+ Terminal Access Controller Access

Control System Plus

Hệ thống điều khiển bộ điều

khiển truy nhập đầu cuối

TCP Transmission Control Protocol Giao thức điều khiển truyền tải

U

UDP User Datagram Protocol Giao thức Datagram của khách

hàng

V

VPN Virtual Private Network Mạng riêng ảo

VRF Virtual Routing and Forwording Bảng định tuyến chuyển tiếp ảo

W

WAN Wide Area Network Mạng diện rộng

WWW World Wide Web Trang tin toàn cầu

X

xDSL X-Type Digital Subscriber Line Đường dây thuê bao số loại

Nguyễn Mạnh Hùng, Lớp D04VT1 ix

Page 17: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp đại học Chương I: Giới thiệu tổng quan về VPN

PHẦN I

CHƯƠNG I: GIỚI THIỆU TỔNG QUAN VỀ VPNVPN có thể được hiểu như là mạng kết nối các site khách hàng đảm bảo an ninh

trên cơ sở hạ tầng mạng chung cùng với các chính sách điều khiển truy nhập và bảo mật

như một mạng riêng. Tuy được xây dựng trên cơ sở hạ tầng sẵn có của mạng công công

nhưng VPN lại có được các tính chất của một mạng cục bộ như khi sử dụng các đường

kênh thuê riêng. Trong phần giới thiệu này chúng ta sẽ xem xét đến những vấn đề cơ

bản về VPN, các loại hình VPN, những lợi ích mà nó đem lại, cùng với một số vấn đề

liên quan.

1.1 Khái niệm mạng riêng ảo

Mạng riêng ảo là phương pháp làm cho một mạng công cộng (ví dụ như mạng

Internet) hoạt động giống như một mạng cục bộ, có cùng các đặc tính như bảo mật và

tính ưu tiên mà người dùng từng ưa thích. VPN cho phép thành lập các kết nối riêng với

những người dùng ở xa, các văn phòng chi nhánh của công ty và đối tác của công ty

đang sử dụng chung một mạng công cộng. Mạng diện rộng WAN (Wide Area Network)

truyền thống yêu cầu công ty phải chi phí và duy trì nhiều loại đường dây riêng, song

song với việc đầu tư các thiết bị và đội ngũ cán bộ. Nhưng những vấn đề về chi phí làm

cho các công ty dù muốn hưởng những lợi ích mà việc mở rộng mạng đem lại nhưng

đôi khi họ không thực hiện nổi. Trong khi đó, VPN không bị những rào cản về chi phí

như các mạng WAN trên do được thực hiện qua một mạng công cộng.

Thực ra, khái niệm VPN không phải là một công nghệ mới, chúng đã từng được

sử dụng trong các mạng điện thoại (Telephone Networks) cách đây nhiều năm và trở

nên phổ biến do sự phát triển của mạng thông minh. Các mạng VPN chỉ trở nên thực sự

mới mẻ khi chúng chuyển thành các mạng IP (mạng sử dụng giao thức Internet) chẳng

hạn như mạng Internet. VPN sử dụng việc mã hóa dữ liệu để ngăn ngừa các người dùng

không được phép truy cập đến dữ liệu và bảo đảm dữ liệu không bị sửa đổi.

Định đường hầm (tunneling) là một cơ chế dùng cho việc đóng gói (encapsulate)

một giao thức vào trong một giao thức khác. Trong ngữ cảnh Internet, định đường hầm

cho phép các giao thức như IPX, AppleTalk và IP được mã hóa, sau đó đóng gói trong

Nguyễn Mạnh Hùng, Lớp D04VT1 1

Page 18: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp đại học Chương I: Giới thiệu tổng quan về VPN

IP. Tương tự, trong ngữ cảnh VPN, định đường hầm che giấu giao thức lớp mạng

nguyên thủy bằng cách mã hóa gói dữ liệu và chứa gói đã mã hóa vào trong một vỏ bọc

IP (IP envelope). Vỏ bọc IP này, thực ra là một gói IP, sau đó sẽ được chuyển đi một

cách bảo mật qua mạng Internet. Tại bên nhận, sau khi nhận được gói trên sẽ tiến hành

gỡ bỏ vỏ bọc bên ngoài và giải mã thông tin dữ liệu trong gói này và phân phối đến

thiết bị truy cập thích hợp, chẳng hạn như một bộ định tuyến.

VPN còn cung cấp các thỏa thuận về chất lượng dịch vụ (QoS), những thỏa thuận

này thường được định ra cho một giới hạn trên cho phép về độ trễ trung bình của gói tin

trong mạng. Ngoài ra, các thỏa thuận trên có thể kèm theo một sự chỉ định cho giới hạn

dưới của băng thông hiệu dụng cho mỗi người dùng. Các thỏa thuận này được phát triển

thông qua các thỏa thuận mức dịch vụ SLA (Service Level Agreements) với nhà cung

cấp dịch vụ.

Qua những vấn đề đã trình bày ở trên ta có thể định nghĩa VPN một cách ngắn

gọn qua công thức sau:

VPN = Định đường hầm + Bảo mật + Các thỏa thuận về QoS

Nhờ vào lợi thế của các ứng dụng quan trọng được triển khai trên mạng Intranet

và các mạng truy cập từ xa đã làm cho khách hàng thỏa mãn hơn trong công việc của

họ, các hoạt động kinh doanh của công ty trở nên hợp lý, hiệu quả và đạt tới những thị

trường rộng lớn hơn. Tuy nhiên các vấn đề về chi phí mạng (bao gồm chi phí thiết bị,

đường dây, chi phí cho việc bảo dưỡng…) cũng như việc quản lý mạng là những vấn đề

quan trọng đối với nhiều công ty, đặc biệt là những công ty muốn thu hồi vốn nhanh để

tái sản xuất. Do đó người ta đã đưa ra giải pháp xây dựng những mạng riêng ảo để giảm

thiểu chi phí mạng cho công ty, thay thế cho các giải pháp dùng đường truyền chuyên

biệt truyền thống như trước đây.

Nhờ vào việc nối mạng qua VPN tiết kiệm chi phí hơn hẳn giải pháp thuê bao

đường truyền, các doanh nghiệp có thể tự mình mở rộng tầm hoạt động của công ty ở

mức toàn cầu (thông qua mạng Internet) mà không cần đầu tư ở mức quy mô toàn cầu.

VPN có vai trò quan trọng trong doanh nghiệp nhờ vào việc giảm chi phí kết nối đối với

các nhân viên lưu động (mobile worker) – vì các công ty có nhiều chi nhánh trên thế

giới thì đội ngũ nhân viên của họ đông, nhiều người phải làm việc ở những quốc gia xa

trung tâm – mở rộng Intranet đến văn phòng chi nhánh, liên lạc với đối tác và khách

hàng chủ yếu thông qua mạng Extranet. Sau đây chúng ta sẽ đề cập đến một số lợi ích,

Nguyễn Mạnh Hùng, Lớp D04VT1 2

Page 19: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp đại học Chương I: Giới thiệu tổng quan về VPN

giá trị của VPN, các thuật ngữ liên quan đến VPN, cũng như trình bày tổng quát các

phương thức hoạt động hiện nay của các VPN, để tạo điều kiện cho việc lựa chọn

phương thức thích hợp, hiệu quả nhất để xây dựng một VPN.

1.2 Những lợi ích do VPN đem lạiVPN mang lại lợi ích thực sự và tức thời cho công ty. Có thể dùng VPN để đơn

giản hóa việc truy cập đối với các nhân viên làm việc và người dùng lưu động, mở rộng

Intranet đến từng văn phòng chi nhánh, thậm chí triển khai Extranet đến tận khách hàng

và các đối tác chủ chốt và điều quan trọng là những công việc trên đều có chi phí thấp

hơn nhiều so với việc mua thiết bị và đường dây cho mạng WAN riêng. VPN do một

nhà cung cấp dịch vụ làm chủ và quản lý, bằng quy mô kinh tế và các công nghệ tiên

tiến, họ có thể phục vụ nhiều tổ chức trên cùng một mạng, dùng các phần mềm hiện đại

để phân biệt lưu lượng dữ liệu của công ty này được tách riêng với các công ty khác. Có

thể dẫn chứng những ưu điểm của VPN như sau:

Giảm chi phí thường xuyên

VPN cho phép tiết kiệm đến 60% chi phí so với thuê đường truyền và giảm đáng

kể tiền cước gọi đến của các nhân viên làm việc ở xa. Giảm được cước phí đường dài

khi truy cập VPN cho các nhân viên di động và các nhân viên làm việc ở xa nhờ vào

việc họ truy cập vào mạng thông qua các điểm kết nối POP (Point of Presence) ở địa

phương, hạn chế gọi đường dài đến các modem tập trung.

Giảm chi phí đầu tư

Sẽ không tốn chi phí đầu tư cho máy chủ, bộ định tuyến cho mạng đường trục và

các bộ chuyển mạch phục vụ cho việc truy cập bởi vì các thiết bị này do các nhà cung

cấp dịch vụ quản lý và làm chủ. Công ty cũng không phải mua, thiết lập cấu hình hoặc

quản lý các nhóm modem phức tạp. Ngoài ra họ cũng có thể thuê với giá rẻ các thiết bị

phục vụ khách hàng, thường có sẵn ở các nhà cung cấp dịch vụ, hoặc từ các công ty

dịch vụ giá trị gia tăng, nhờ thế việc nâng cấp mạng cũng trở nên dễ dàng và ít tốn kém

hơn.

Giảm chi phí quản lý và hỗ trợ

Với quy mô kinh tế của mình, các nhà cung cấp dịch vụ có thể mang lại cho công

ty những khoản tiết kiệm có giá trị so với việc tự quản lý mạng, giảm hay loại trừ hẳn

yêu cầu nhân viên “tại nhà”. Hơn nữa, nhận được sự hỗ trợ và phục vụ 24/24 do những

nhân viên lành nghề luôn sẵn sàng đáp ứng mọi lúc, giải quyết nhanh chóng các sự cố.

Nguyễn Mạnh Hùng, Lớp D04VT1 3

Page 20: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp đại học Chương I: Giới thiệu tổng quan về VPN

Truy cập mọi lúc, mọi nơi

Khách hàng của VPN qua mạng mở rộng này, có quyền truy cập và khả năng

như nhau đối với các dịch vụ trung tâm bao gồm WWW, email, FTP… cũng như các

ứng dụng thiết thực khác, khi truy cập chúng thông qua những phương tiện khác nhau

như qua mạng cục bộ LAN (Local Area Network), modem, modem cáp, đường dây

thuê bao số xDSL… mà không cần quan tâm đến những phần phức tạp bên dưới.

Khả năng mở rộng

Do VPN xây dựng trên cơ sở hạ tầng mạng công cộng nên bất cứ ở nơi nào có

mạng công cộng (như Internet) đều có thể triển khai VPN. Ngày nay mạng Internet có

mặt ở khắp mọi nơi nên khả năng mở rộng của VPN rất dễ dàng. Khả năng mở rộng còn

thể hiện ở chỗ, khi một văn phòng hay một chi nhánh yêu cầu băng thông lớn hơn thì nó

có thể được nâng cấp dễ dàng. Ngoài ra, cũng có thể dàng gỡ bỏ VPN khi không có nhu

cầu.

1.3 Nhược điểm và một số vấn đề cần phải khắc phụcSự rủi ro an ninh

Một mạng riêng ảo thường rẻ và hiệu quả hơn so với giải pháp sử dụng thuê kênh

riêng. Tuy nhiên, nó cũng tiềm ẩn nhiền rủi ro an ninh khó lường trước. Mặc dù hầu hết

các nhà cung cấp dịch vụ quảng cáo rằng giải pháp của họ là đảm bảo an toàn, sự an

toàn đó không bao giờ là tuyệt đối. Cũng có thể làm cho VPN khó phá hoại hơn bằng

cách bảo vệ tham số của mạng một cách thích hợp, song điều này lại ảnh hưởng đến giá

thành của dịch vụ.

Độ tin cậy và sự thực thi

VPN sử dụng phương pháp mã hóa để bảo mật dữ liệu, và các hàm mật mã phức

tạp có thể dẫn đến lưu lượng tải trên các máy chủ là khá nặng. Nhiệm vụ của người

quản trị mạng là quản lí tải trên máy chủ bằng cách giới hạn số kết nối đồng thời để biết

máy chủ nào có thể điều khiển. Tuy nhiên, khi số người cố gắng kết nối tới VPN đột

nhiên tăng vọt và phá vỡ hết quá trình truyền tin, thì chính các nhân viên quản trị này

cũng không thể kết nối được vì tất cả các cổng của VPN đều bận. Điều đó chính là động

cơ thúc đẩy người quản trị tạo ra các khóa ứng dụng làm việc mà không đòi hỏi VPN.

Chẳng hạn thiết lập dịch vụ proxy hoặc dịch vụ Internet Message Access Protocol để

cho phép nhân viên truy nhập e-mail từ nhà hay trên đường.

Vấn đề lựa chọn giao thức

Nguyễn Mạnh Hùng, Lớp D04VT1 4

Page 21: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp đại học Chương I: Giới thiệu tổng quan về VPN

Việc lựa chọn giao thức giữa IPSec hay SSL/TLS là một vấn đề khó quyết định,

cũng như viễn cảnh sử dụng chúng như thế nào cũng khó có thể nói trước. Một điều cần

cân nhắc là SSL/TLS có thể làm việc thông qua một tường lửa dựa trên bảng biên dịch

địa chỉ NAT, còn IPSec thì không. Nhưng nếu cả hai giao thức làm việc qua tường lửa

thì sẽ không dịch được địa chỉ. IPSec mã hóa tất cả các lưu lượng IP truyền tải giữa hai

máy tính, còn SSL/TLS thì đặc tả một ứng dụng. SSL/TLS dùng các hàm mã hóa không

đối xứng để thiết lập kết nối và nó bảo vệ hiệu quả hơn so với dùng các hàm mã hóa

đối xứng.

Trong các ứng dụng trong thực tế, người quản trị có thể quyết định kết hợp và

ghép các giao thức để tạo ra sự cân bằng tốt nhất cho sự thực thi và độ an toàn của

mạng. Ví dụ, các client có thể kết nối tới một Web server thông qua tường lửa dùng

đường dẫn an toàn của SSL/TLS, Web server có thể kết nối tới một dịch vụ ứng dụng

dùng IPSec, và dịch vụ ứng dụng có thể kết nối tới một cơ sở dữ liệu thông qua các

tường lửa khác dùng SSL.

1.4 Phân loại VPN và ứng dụngMạng riêng ảo VPN cung cấp nhiều khả năng ứng dụng khác nhau. Yêu cầu cơ

bản đối với VPN là phải điều khiển được quyền truy nhập của khách hàng, các nhà

cung cấp dịch vụ cũng như các đối tượng bên ngoài khác. Dựa vào hình thức ứng dụng

và khả năng mà mạng riêng ảo mang lại, có thể phân chúng thành hai loại như sau:

VPN truy nhập từ xa (Remote Access VPN)

VPN điểm tới điểm (Site-to-Site VPN):

VPN cục bộ (Intranet VPN)

VPN mở rộng (Extranet VPN)

1.4.1 VPN truy nhập từ xaCác VPN truy nhập từ xa cung cấp khả năng truy nhập từ xa cho người sử dụng

(Hình 1.1). Tại mọi thời điểm, các nhân viên hay chi nhánh văn phòng di động có thể sử

dụng các phần mềm VPN để truy nhập vào mạng của công ty thông qua gateway hoặc

bộ tập trung VPN (bản chất là một server). Giải pháp này vì thế còn được gọi là giải

pháp client/server. VPN truy nhập từ xa là kiểu VPN điển hình nhất, bởi vì chúng có thế

được thiết lập vào bất kể thời điểm nào và từ bất cứ nơi nào có mạng Internet.

Nguyễn Mạnh Hùng, Lớp D04VT1 5

Page 22: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp đại học Chương I: Giới thiệu tổng quan về VPN

Hình 1.1: Mô hình VPN truy cập từ xa

VPN truy nhập từ xa mở rộng mạng công ty tới những người sử dụng thông qua

cơ sở hạ tầng chia sẻ chung, trong khi những chính sách mạng công ty vẫn duy trì.

Chúng có thể dùng để cung cấp truy cập an toàn cho những nhân viên thường xuyên

phải đi lại, những chi nhánh hay những bạn hàng của công ty. Những kiểu VPN này

được thực hiện thông qua cơ sở hạ tầng công cộng bằng cách sử dụng công nghệ ISDN,

quay số, IP di động, DSL hay công nghệ cáp và thường xuyên yêu cầu một vài kiểu

phần mềm client chạy trên máy tính của người sử dụng.

Một hướng phát triển khá mới trong VPN truy nhập từ xa là dùng VPN không

dây (Wireless), trong đó một nhân viên có thể truy nhập về mạng của họ thông qua kết

nối không dây. Trong thiết kế này, các kết nối không dây cần phải kết nối về một trạm

không dây (Wireless Terminal) và sau đó về mạng của công ty. Trong cả hai trường

hợp (có dây và không dây), phầm mềm client trên máy PC đều cho phép khởi tạo các

kết nối bảo mật, còn được gọi là đường hầm.

Một vấn đề quan trọng là việc thiết kế quá trình xác thực ban đầu để đảm bảo yêu

cầu được xuất phát từ một nguồn tin cậy. Thường thì giai đoạn ban đầu này dựa trên

cùng một chính sách về bảo mật của công ty. Chính sách này bao gồm một số qui trình

Nguyễn Mạnh Hùng, Lớp D04VT1 6

Page 23: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp đại học Chương I: Giới thiệu tổng quan về VPN

kỹ thuật và các ứng dụng chủ, ví dụ Remote Authentication Dial-In User Service

(RADIUS), Terminal Access Controller Access Control System Plus (TACACS+),…

Các ưu điểm của VPN truy nhập từ xa so với các phương pháp truy nhập từ xa

truyền thống:

- VPN truy nhập từ xa không cần sự hỗ trợ của nhân viên mạng bởi vì quá trình

kết nối từ xa được các ISP thực hiện.

- Giảm được các chi phí cho kết nối từ khoảng cách xa bởi vì các kết nối khoảng

cách xa được thay thế bởi các kết nối cục bộ thông qua mạng Internet.

- Cung cấp dịch vụ kết nối giá rẻ cho những người sử dụng ở xa.

- Do kết nối truy nhập là nội bộ nên các modem kết nối hoạt động ở tốc độ cao

hơn so với cách truy nhập khoảng cách xa.

- VPN cung cấp khả năng truy nhập tốt hơn đến các site của công ty bởi vì chúng

hỗ trợ mức thấp nhất của dịch vụ kết nối.

Mặc dù có nhiều ưu điểm nhưng mạng VPN truy nhập từ xa vẫn còn những

nhược điểm cố hữu đi cùng như:

- VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo QoS.

- Nguy cơ bị mất dữ liệu cao do các gói có thể phân phát không đến nơi hoặc bị

mất.

- Do thuật toán mã hóa phức tạp nên tiêu đề giao thức tăng một cách đáng kể.

1.4.2 VPN điểm tới điểmVPN điểm tới điểm (Site-to-Site hay LAN-to-LAN) là giải pháp kết nối các hệ

thống mạng ở những nơi khác nhau với mạng trung tâm thông qua VPN. Trong trường

hợp này, quá trình xác thực ban đầu cho người sử dụng sẽ là quá trình xác thực giữa các

thiết bị. Các thiết bị này hoạt động như cổng an ninh (Security Gateway), truyền lưu

lượng một cách an toàn từ Site này đến Site kia. Các thiết bị định tuyến hay tường lửa

với hỗ trợ VPN đều có khả năng thực hiện kết nối này. Sự khác nhau giữa VPN truy

nhập từ xa và VPN điểm tới điểm chỉ mang tính tượng trưng. Nhiều thiết bị VPN mới

có thể hoạt động theo cả hai cách này.

VPN điểm tới điểm có thể được xem như một VPN cục bộ hoặc mở rộng xét từ

quan điểm quản lý chính sách. Nếu hạ tầng mạng có chung một nguồn quản lý, nó có

thể được xem như VPN cục bộ. Ngược lại, nó có thể được coi là mở rộng. Vấn đề truy

nhập giữa các điểm phải được kiểm soát chặt chẽ bởi các thiết bị tương ứng.

Nguyễn Mạnh Hùng, Lớp D04VT1 7

Page 24: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp đại học Chương I: Giới thiệu tổng quan về VPN

1.4.2.1 VPN cục bộVPN cục bộ là một dạng cấu hình tiêu biểu của VPN điểm tới điểm, được sử

dụng để bảo mật các kết nối giữa các địa điểm khác nhau của một công ty (hình 1.2).

Nó liên kết trụ sở chính, các văn phòng, chi nhánh trên cơ sở hạ tầng chung sử dụng các

kết nối luôn được mã hóa bảo mật. Điều này cho phép tất cả các địa điểm có thể truy

nhập an toàn các nguồn dữ liệu được phép trong toàn bộ mạng của công ty.

Hình 1.2: Mô hình VPN cục bộ

VPN cục bộ cung cấp những đặc tính của mạng WAN như khả năng mở rộng,

tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phí thấp nhưng vẫn

đảm bảo tính mềm dẻo.

Những ưu điểm chính của giải pháp VPN cục bộ bao gồm:

- Các mạng cục bộ hay diện rộng có thể được thiết lập thông qua một hay nhiều

nhà cung cấp dịch vụ.

- Giảm được số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi xa.

- Do kết nối trung gian được thực hiện thông qua Internet, nên nó có thể dễ dàng

thiết lập thêm một liên kết ngang hàng mới.

- Tiết kiệm chi phí từ việc sử dụng đường hầm VPN thông qua Internet kết hợp

với các công nghệ chuyển mạch tốc độ cao.

Tuy nhiên giải pháp mạng cục bộ dựa trên VPN cũng có những nhược điểm đi

cùng như:

Nguyễn Mạnh Hùng, Lớp D04VT1 8

Page 25: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp đại học Chương I: Giới thiệu tổng quan về VPN

- Do dữ liệu được truyền “ngầm” qua mạng công cộng như Internet nên vẫn còn

những mối đe dọa về mức độ bảo mật dữ liệu và chất lượng dịch vụ (QoS).

- Khả năng các gói dữ liệu bị mất trong khi truyền dẫn vẫn còn khá cao.

- Trường hợp cần truyền khối lượng lớn dữ liệu như đa phương tiện với yêu cầu

tốc độ cao và đảm bảo thời gian thực là thách thức lớn trong môi trường Internet.

1.4.2.2. VPN mở rộngVPN mở rộng được cấu hình như một VPN điểm tới điểm, cung cấp đường hầm

bảo mật giữa các khách hàng, nhà cung cấp và đối tác thông qua một cơ sở hạ tầng

mạng công cộng (hình 1.3). Kiểu VPN này sử dụng các kết nối luôn được bảo mật và

nó không bị cô lập với thế giới bên ngoài như các trường hợp VPN cục bộ hay truy

nhập từ xa.

Hình 1.3: Mô hình VPN mở rộng

Giải pháp VPN mở rộng cung cấp khả năng điều khiển truy nhập tới những

nguồn tài nguyên mạng cần thiết để mở rộng tới những đối tượng kinh doanh. Sự khác

nhau giữa VPN cục bộ và VPN mở rộng là sự truy nhập mạng được công nhận ở một

trong hai đầu cuối của VPN

Những ưu điểm chính của mạng VPN mở rộng:

- Chi phí cho VPN mở rộng thấp hơn nhiều so với các giải pháp kết nối khác để

cùng đạt được mục đích như vậy.

- Dễ dàng thiết lập, bảo trì và thay đổi đối với mạng đang hoạt động.

Nguyễn Mạnh Hùng, Lớp D04VT1 9

Page 26: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp đại học Chương I: Giới thiệu tổng quan về VPN

- Do VPN mở rộng được xây dựng dựa trên mạng Internet nên có nhiều cơ hội

trong việc cung cấp dịch vụ và chọn lựa giải pháp phù hợp với các nhu cầu của

từng công ty.

- Các kết nối Internet được nhà cung cấp dịch vụ Internet bảo trì nên có thể giảm

được số lượng nhân viên kỹ thuật hỗ trợ mạng, và do vậy giảm chi phí vận hành

của toàn mạng.

Bên cạnh những ưu điểm, giải pháp VPN mở rộng cũng có những nhược điểm đi

cùng:

- Vấn đề bảo mật thông tin gặp khó khăn hơn trong môi trường mở rộng như vậy,

vấn đề này làm tăng nguy cơ rủi ro đối với mạng cục bộ của công ty.

- Khả năng mất dữ liệu trong khi truyền qua mạng công cộng vẫn còn tồn tại.

- Việc truyền khối lượng lớn dữ liệu với yêu cầu tốc độ cao và thời gian thực vẫn

còn là một thách thức lớn cần giải quyết.

1.5 Các loại mạng VPN

Có hai cách chủ yếu sử dụng các mạng riêng ảo VPN. Trước tiên các mạng VPN

có thể kết nối hai mạng với nhau. Điều này được biết đến như một mạng kết nối LAN-

LAN VPN hay một mạng site-to-site VPN. Thứ hai, một VPN truy nhập từ xa có thể

kết nối một người dùng từ xa với mạng.

1.5.1 Người dùng truy nhập từ xa thông qua Internet (Access VPN)Cung cấp các truy nhập từ xa đến một Intranet hay Extranet dựa trên cấu trúc hạ

tầng chia sẻ Access VPN, người dùng có khả năng truy cập đến các tài nguyên trong

VPN bất cứ khi nào, ở đâu mà nó cần. Đường truyền trong Access VPN có thể là tương

tự, quay số, ISDN, các đường thuê bao số (DSL), IP di động và cáp để nối các người

dùng di chuyển, máy tính từ xa hay các văn phòng lại với nhau. Ví dụ minh họa trên

hình 1.5

Nguyễn Mạnh Hùng, Lớp D04VT1 10

Page 27: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp đại học Chương I: Giới thiệu tổng quan về VPN

Hình 1.4: Dùng VPN để kết nối client từ xa đến mạng LAN riêng

Hình 1.5: Tổ chức truy nhập Ipass

1.5.2 Nối các mạng trên Internet (Intranet VPN)Có hai phương pháp sử dụng mạng VPN để kết nối các mạng cục bộ LAN (Local

Area Network) tại các điểm cuối ở xa:

- Dùng các đường thuê kênh riêng để nối một văn phòng chi nhánh đến mạng

LAN công ty: Các văn phòng chi nhánh và các bộ định tuyến có thể sử dụng một

Nguyễn Mạnh Hùng, Lớp D04VT1 11

Page 28: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp đại học Chương I: Giới thiệu tổng quan về VPN

mạng dành riêng cục bộ và ISP địa phương để kết nối đến Internet. Phần mềm

VPN sử dụng các cuộc nối ISP nội bộ và Internet công cộng để tạo một VPN

giữa các văn phòng chi nhánh và bộ định tuyến của các hub hợp nhất.

- Dùng đường dây quay số để kết nối một văn phòng chi nhánh đến LAN: Bộ định

tuyến ở văn phòng chi nhánh quay số đến ISP, phầm mềm VPN sử dụng cuộc nối

đến ISP để tạo một VPN giữa bộ định tuyến của văn phòng chi nhánh và bộ định

tuyến của hub thông qua Internet.

Chú ý: Trong cả hai trường hợp, cở sở hạ tầng để nối văn phòng chi nhánh và các

văn phòng liên kết đến Internet mang tính cục bộ. Cả VPN dạng client-server và server-

server sẽ tiết kiệm được chi phí rất lớn trong việc sử dụng phương pháp truy nhập quay

số. Các máy chủ VPN được nối đến ISP bằng một đường kênh thuê riêng (leased line)

và phải hoạt động 24/24 để nhận luồng dữ liệu đến.

Hình 1.6: Dùng VPN để kết nối 2 vị trí từ xa

1.5.3 Nối các máy tính trên một Intranet (Extranet VPN)Trong một số các liên kết mạng, một số người tiêu dùng trong LAN của một

phòng, ban nào đó không được kết nối bằng đường truyền vật lý thì sẽ nảy sinh vấn đề

về khả năng truy cập thông tin của người dùng đó.

VPN sẽ cho phép nhiều LAN được kết nối vật lý đến mạng hợp nhất và được

phân chia bởi một máy chủ VPN. Chú ý rằng, máy chủ VPN không hoạt động giống

như một bộ định tuyến giữa các mạng hợp nhất và các LAN. Một bộ định tuyến sẽ kết

nối đến hai mạng, cho phép quyền truy cập đến LAN. Bằng cách sử dụng một VPN,

người quản trị mạng có thể đảm bảo rằng chỉ có những người dùng đó trên các mạng

hợp nhất có các tiêu chuẩn phù hợp (dựa trên một chính sách của công ty) có thể thiết

lập một VPN với máy chủ VPN và truy cập được đến các tài nguyên được bảo vệ của

Nguyễn Mạnh Hùng, Lớp D04VT1 12

Page 29: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp đại học Chương I: Giới thiệu tổng quan về VPN

phòng ban đó. Thêm vào đó, tất cả dữ liệu trong VPN được đóng góp một cách tin cậy.

Người dùng nào đó không có các quyền thích hợp không thể truy cập vào LAN.

Hình 1.7: Dùng VPN để kết nối hai máy tính từ xa trong cùng một LAN

Tất cả hoạt động kinh doanh hoạt động ở cơ chế giống nhau như trong một mạng

riêng, bao gồm các vấn đề về bảo mật, chất lượng dịch vụ QoS, quản trị và độ tin cậy.

1.6 Kết luận

VPN được định nghĩa như là mạng kết nối các site khách hàng đảm bảo an ninh

trên cơ sở hạ tầng mạng chung cùng với các chính sách điều khiển truy nhập và bảo mật

như một mạng riêng. Tuy được xây dựng trên cơ sở hạ tầng sẵn có của một mạng công

cộng nhưng VPN lại có được các tính chất của mạng cục bộ như khi sử dụng các đường

kênh thuê riêng. Nó cho phép nối liền các chi nhánh của một công ty cũng như là với

đối tác, cung cấp khả năng điều khiển quyền truy nhập của khách hàng, các nhà cung

cấp dịch vụ hoặc các đối tượng bên ngoài khác.

Khả năng ứng dụng của VPN là rất lớn. Theo như dự đoán của nhiều hãng trên

thế giới thì VPN sẽ là dịch vụ phát triển mạnh trong tương lai.

Nguyễn Mạnh Hùng, Lớp D04VT1 13

Page 30: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN

CHƯƠNG II: IPSEC

Các giao thức nguyên thủy TCP/IP không bao gồm các đặc tính vốn có. Trong

giai đoạn đầu của Internet khi mà người dùng thuộc các trường đại học và các viện

nghiên cứu thì vấn đề bảo mật dữ liệu không phải là vấn đề quan trọng, nhưng bây giờ

khi mà các ứng dụng thương mại có mặt khắp nơi trên Internet.

Để thiết lập tính bảo mật trong IP ở cấp độ gói, IETF đã đưa ra họ giao thức

IPSec. Họ giao thức IPSec đầu tiên, cho mã hóa, xác thực các gói dữ liệu IP, được

chuẩn hóa thành các RFC từ 1825 đến 1829 vào năm 1995. Họ giao thức này mô tả

kiến trúc cơ bản của IPSec bao gồm hai loại tiêu đề được sử dụng trong gói IP. Gói IP

là đơn vị dữ liệu cơ sở trong mạng IP. IPSec định nghĩa hai loại tiêu đề cho các gói IP

để điều khiển quá trình xác thực và mã hóa: Một là xác thực tiêu đề IP-AH (IP

Authentication Header) điều khiển việc xác thực và hai là đóng gói bảo mật tải ESP

(Encapsulating Security Payload) cho mục đích mã hóa.

IPSec được phát triển nhằm vào họ giao thức IP kế tiếp là Ipv6 nhưng do việc

chấp nhận Ipv6 còn lâu và cần thiết cho việc bảo mật các gói IP nên IPSec đã được

thay đổi cho phù hợp với Ipv4. Việc hỗ trợ cho IPSec chỉ là tùy chọn của Ipv4 nhưng

đối với Ipv6 thì có sẵn IPSec.

2.1 Dạng thức hoạt độngHoạt động của IPSec ở mức độ cơ bản đòi hỏi phải có các phần chính đó là:

- Kết hợp bảo mật SA (Security Association).

- Xác thực tiêu đề AH (Authentication Header.)

- Đóng gói bảo mật tải ESP (Encapsulating Security Payload).

- Chế độ làm việc.

2.1.1 Kết hợp bảo mật SAĐể hai bên có thể truyền dữ liệu đã được bảo mật (dữ liệu đã được xác thực hoặc

được mã hóa hoặc cả hai) cả hai bên phải cùng thống nhất sử dụng giải thuật mã hóa,

làm cách nào để chuyển khóa và chuyển khóa nếu như cần. Cả hai bên cũng cần thỏa

thuận bao lâu thì sẽ thay đổi khóa một lần. Tất cả các thỏa thuận trên là do SA đảm

trách. Việc truyền thông giữa bên gửi và bên nhận đòi hỏi ít nhất một SA và có thể đòi

Nguyễn Mạnh Hùng, Lớp D04VT1 14

Page 31: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN

hỏi nhiều hơn vì mỗi giao thức IPSec đòi hỏi phải có một SA cho riêng nó. Do đó một

gói được xác thực đòi hỏi một SA, một gói được mã hóa cũng yêu cầu phải có một SA.

Thậm chí nếu cùng dùng chung một giải thuật cho xác thực và mã hóa thì cũng cần

phải có hai SA khác nhau do sử dụng những bộ khóa khác nhau.

Một IPSec SA mô tả các vấn đề sau:

- Giải thuật xác thực sử dụng cho AH và khóa của nó.

- Dạng thức và kích thước của bộ mật mã sử dụng trong giải thuật mã hóa.

- Giao thức, giải thuật, khóa sử dụng cho việc truyền thông.

- Giao thức, giải thuật mã hóa, khóa sử dụng cho việc truyền thông riêng.

- Bao lâu thì thay đổi khóa.

- Giải thuật xác thực, kiểu, chức năng sử dụng trong ESP và khóa được sử dụng

bởi giải thuật đó.

- Thời gian sống của khóa.

- Thời gian sống của SA.

Có thể xem SA như một kênh bảo mật thông qua một mạng công cộng đến một

người hay một nhóm làm việc cụ thể.

2.1.2 Xác thực tiêu đề AHTrong hệ thống IPSec, xác thực tiêu đề AH (Authentication Header) được sử

dụng cho các dịch vụ xác thực. AH được chèn vào giữa tiêu đề IP và nội dung phía sau

(hình 3.3), không làm thay đổi nội dung của gói dữ liệu

Xác thực tiêu đề gồm năm trường: Trường tiêu đề kế tiếp (Next Header Field),

chiều dài tải (Payload Length), chỉ số tham số bảo mật SPI (Security Parameter Index),

số tuần tự (Sequence Number), dữ liệu xác thực (Authentication Data). Hai khái niệm

mới trong AH đó là SPI mang ý nghĩa chỉ ra thiết bị nhận gói biết họ giao thức bảo mật

mà phải gửi dùng trong truyền thông, hai là dữ liệu xác thực mang thông tin về giải

thuật mã hóa được định nghĩa bởi SPI.

HMAC kết hợp với MD5, HMAC kết hợp với SHA-1 là giải thuật mã hóa được

chọn làm những phương thức mặc định cho việc tính toán tổng kiểm tra (checksum).

Các mặc định này là kết quả của những thay đổi IPSec để cải thiện cơ chế xác thực bởi

vì mặc định trước đó MD5 được phát hiện là không tránh được các tấn công đụng độ.

Thủ tục sử dụng cho các phương pháp này (HMAC-MD5 hay HMAC-SHA-1)

giống nhau. Tuy nhiên SHA-1 có chức năng băm hơn MD5. Trong cả hai trường hợp,

Nguyễn Mạnh Hùng, Lớp D04VT1 15

Page 32: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN

giải thuật hoạt động trên những khối dữ liệu 64 byte. Phương thức HMAC-MD5 sinh

ra bộ xác thực 128 bit trong khi HMAC-SAH-1 sinh ra bộ xác thực 160 bit. Bởi vì

chiều dài mặc định của xác thực được định nghĩa trong AH chỉ có 96 bit nên các giá trị

xác thực sinh ra phải được chia nhỏ trước khi lưu vào trường xác thực của AH.

Hình 2.1: Khuôn dạng gói tin Ipv4 trước và sau khi xử lý AH

Nguyễn Mạnh Hùng, Lớp D04VT1 16

Page 33: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN

Hình 2.2: Khuôn dạng gói tin Ipv6 trước và sau khi xử lý AH

Khi nhận gói dữ liệu, đầu nhận sẽ tính toán giá trị bộ xác thực của riêng nó là

128 bit hay 160 bit (tùy theo là sử dung loại nào), chia nhỏ nó ra tùy theo chiều dài

được chỉ định trong trường xác thực và so sánh giá trị của nó với giá trị xác thực nhận

được. Khi mà cả hai giống nhau thì dữ liệu không bị thay đổi trên đường truyền. Do đó

có thể có cuộc tấn công bằng cách chặn một loạt các gói và sau đó phát lại chúng vào

thời điểm sau khi AH cung cấp dịch vụ chống phát lại để ngăn các tấn công dựa trên

cách thức trên.

Cần chú ý là AH không giữ cho dữ liệu bí mật được. Nếu một kẻ tấn công chặn

các gói trên mạng lại và sử dụng một mật mã thích hợp thì cũng có thể đọc được nội

dung của dữ liệu mặc dù không thể thay đổi được nội dung dữ liệu. Để bảo mật dữ liệu

chống lại việc nghe trộm chúng ta cần phải sử dụng thành phần thứ hai của IPSec đó là

ESP.

2.1.3 Bọc gói bảo mật tải ESPBọc gói bảo mật tải ESP (Encapsulating Security Payload) được sử dụng cho

việc mã hóa dữ liệu. Giống như tiêu đề AH, tiêu đề ESP được chèn vào giữa tiêu đề IP

và nội dung tiếp theo của gói (Hình 2.3). Tuy nhiên ESP có nhiệm vụ mã hóa dữ liệu

nên nội dung của gói sẽ bị thay đổi.

Hình 2.3: Bọc gói bảo mật tải

Giống như tiêu đề AH, ESP gồm có SPI để chỉ cho bên nhận biết cơ chế bảo mật

thích hợp cho việc sử lý gói. Số tuần tự trong tiêu đề ESP là bộ đếm sẽ tăng mỗi khi

một gói được gửi đến cùng một địa chỉ và sử dụng cùng SPI. Số tuần tự chỉ ra có bao

nhiêu gói được gửi có cùng một nhóm các tham số. Số tuần tự giúp cho việc bảo mật

chống lại các vụ tấn công bằng cách chép các gói và gửi chúng sai thứ tự để làm rối

Nguyễn Mạnh Hùng, Lớp D04VT1 17

Page 34: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN

loạn quá trình truyền thông. Phần còn lại của gói (ngoại trừ xác thực dữ liệu) sẽ được

mã hóa trước khi gửi lên mạng.

ESP có thể hỗ trợ bất kỳ giao thức mã hóa nào. Người dùng có thể dùng những

giao thức khác nhau cho mỗi kết nối truyền thông. Tuy nhiên IPSec qui định mật mã

DES-CBC (DES with Cipher Block Chaining) là giá trị mặc định để bảo đảm tính hoạt

động liên mạng.

Sử dụng ESP yêu cầu khóa DES 56 bit. Để sử dụng một chuỗi các từ mã, một

vector 64 bit được khởi động và dữ liệu được xử lý theo từng khối 64 bit.

ESP cũng có thể sử dụng cho mục đích xác thực. Trường xác thực ESP, một

trường tùy chọn trong tiêu đề ESP, bao gồm tổng kiểm tra mã hóa. Độ dài của tổng

kiểm tra này thay đổi tùy theo giải thuật xác thực được sử dụng. Nó cũng có thể được

bỏ qua nếu như dịch vụ xác thực không được chọn trong ESP. Xác thực được tính toán

sau khi tiến trình mã hóa dữ liệu đã hoàn thành.

Dịch vụ xác thực cung cấp bởi AH khác so với ESP là dịch vụ xác thực trong

ESP không bảo mật tiêu đề IP đặt trước ESP mặc dù nó bảo mật tiêu đề IP đã đóng gói

trong chế độ đường hầm. Hình 2.4 minh họa sự khác biệt giữa chúng.

Hình 2.4: So sánh xác thực bởi AH và ESP

Nguyễn Mạnh Hùng, Lớp D04VT1 18

Page 35: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN

Nếu như AH được sử dụng với mục đích xác thực thì tại sao còn tùy chọn xác

thực trong ESP? AH chỉ sử dụng trong trường hợp khi xác thực gói là cần thiết. Mặt

khác khi xác thực và tính riêng tư được yêu cầu thì sử dung ESP với tùy chọn xác thực

sẽ tốt hơn. Sử dụng ESP cho mã hóa và xác thực, thay vì sử dụng AH và ESP không có

tùy chọn xác thực, sẽ giảm kích thước nên các gói sẽ được xử lý hiệu quả hơn.

2.1.4 Chế độ làm việcCó hai chế độ làm việc trong IPSec:

- Chế độ giao vận (Transport mode): Chỉ có đoạn lớp giao vận trong gói là được

xử lý.

- Chế độ đường hầm (Tunnel mode): Toàn bộ gói sẽ được xử lý cho mã hóa xác

thực.

Chế độ giao vận sử dụng cho cả cổng nối và host, cung cấp cơ chế bảo mật cho

các giao thức lớp trên. Trong chế độ giao vận, AH được chèn vào sau tiêu đề IP và

trước các giao thức lớp trên (TCP, UDP hay ICMP) hoặc trước bất kỳ tiêu đề IPSec đã

được chèn vào trong đó.

Trong chế độ đường hầm tiêu đề IP chứa địa chỉ nguồn và địa chỉ đích, trong khi

bộ xuất tiêu đề IP chứa các địa chỉ IP khác (chẳng hạn như địa chỉ của cổng nối). AH

bảo mật toàn bộ gói IP bao gồm cả bộ nhập tiêu đề IP (hình 2.5)

Hình 2.5: Chế độ đường hầm AH

Bởi vì AH chỉ bảo mật chống lại việc thay đổi nội dung dữ liệu nên cần phải có

phương tiện khác để đảm bảo tính riêng tư của dữ liệu. Trong chế độ đường hầm điều

đó được thực hiện bằng cách mở rộng bảo mật nội dung tiêu đề IP đặc biệt là địa chỉ

nguồn và địa chỉ đích. Mặc dù trong chế độ giao vận ESP bảo mật chống lại nghe trộm

Nguyễn Mạnh Hùng, Lớp D04VT1 19

Page 36: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN

một cách hiệu quả nhưng nó không bảo mật được toàn bộ lưu lượng. Một vụ tấn công

tinh vi vẫn có thể đọc được địa chỉ nguồn và địa chỉ đích sau đó sẽ phân tích lưu lượng

để biết được phương thức truyền thống.

Cấp quyềnESP

Tiêu đề IP mới ESP

Tiêu đề IP gốc

TCP Dữ liệu Phần đuôiESP

Được mã hóa

Được xác thực

IPv4 Cấp quyền ESP

Tiêu đềIP mới

Tiêu đề mớiMở rộng

ESP Tiêu đềIP gốc

Tiêu đề gốc mở rộng

TCP Dữ liệuPhần đuôi

ESPCấp quyền

ESPIPv6

Được mã hóa

Được xác thực

Hình 2.6: Chế độ đường hầm ESP

Hình 2.7: Các trường hợp của chế độ giao vận và đường hầm

Nguyễn Mạnh Hùng, Lớp D04VT1 20

Page 37: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN

Chế độ đường hầm ESP cung cấp thêm các cơ chế bảo mật cho các gói bằng

cách mã hóa toàn bộ gói (hình 2.6)

Sau khi toàn bộ nội dung dữ liệu (bao gồm tiêu đề gốc) đã được mã hóa, chế độ

đường hầm ESP sẽ tạo ra một tiêu đề IP mới để định tuyến cho các gói dữ liệu từ bên

gửi đến bên nhận.

Thậm chí trong chế độ đường hầm, ESP cũng không bảo đảm để chống lại được

tất cả các loại phân tích lưu lượng vì địa chỉ IP của bên gửi và của cổng nối nhận vẫn

có thể đọc được trong tiêu đề của gói. Điều này cho phép kẻ nghe trộm biết được có hai

đối tượng đang truyền thông với nhau nhưng lại không có chút manh mối nào để biết

hai đối tượng ấy là ai.

Để có thể áp dụng cả AH và ESP trong chế độ đường hầm hay chế độ giao vận,

IPSec yêu cầu phải hỗ trợ được cho tổ hợp của chế độ đường hầm và chế độ giao vận

(hình 2.7). Điều này được thực hiện bằng cách sử dụng chế độ đường hầm để mã hóa

và xác thực các gói và tiêu đề của nó rồi gắn AH, ESP hoặc dùng cả hai trong chế độ

giao vận để bảo mật cho tiêu đề mới được tạo ra.

Cần chú ý là AH và ESP không thể sử dụng chung trong chế độ đường hầm. Lý

do là ESP đã có riêng tùy chọn xác thực, tùy chọn này nên sử dụng trong chế độ đường

hầm khi các gói cần phải mã hóa và xác thực.

2.2 Quản lý khóaTrong truyền thông sử dụng giao thức IPSec đòi hỏi phải có chuyển giao khóa

do đó đòi hỏi phải có cơ chế quản lý khóa. Có hai phương thức để chuyển khóa đó là

chuyển khóa bằng tay và chuyển khóa Internet IKE (Internet Key Exchange). Cả hai

phương thức này không thể thiếu được trong IPSec. Một hệ thống IPSec phụ thuộc

phải hỗ trợ phương thức chuyển khóa bằng tay. Phương thức chìa khóa trao tay này

chẳng hạn như khóa thương mại ghi trên giấy, trên đĩa mềm hay thông qua gửi bưu

phẩm hoặc e-mail. Mặc dù phương thức chìa khóa trao tay thích hợp với một số lượng

nhỏ các site nhưng một phương thức quản lý tự động và kiểm soát được thì phù hợp

với yêu cầu tạo những SA. Giao thức quản lý chuyển giao khóa mặc định trong IPSec

là IKE là kết hợp giữa bảo mật Internet ISA (Internet Security Association) và giao

thức chuyển khóa (ISAKMP). IKE còn có một tên gọi khác là ISAKMP/Oakley.

IKE có các khả năng sau:

Nguyễn Mạnh Hùng, Lớp D04VT1 21

Page 38: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN

- Cung cấp các phương tiện cho hai bên thỏa thuận sử dụng các giao thức, giải

thuật và khóa.

- Đảm bảo ngay từ lúc bắt đầu chuyển khóa là truyền thông đúng đối tượng.

- Quản lý các khóa sau khi chúng được chấp nhận trong tiến trình thỏa thuận.

- Đảm bảo các khóa được chuyển một cách bí mật.

Chuyển khóa tương tự như quản lý kết hợp (Internet Association). Khi cần tạo

một SA cần phải chuyển khóa. Do đó cấu trúc của IKE đóng gói chúng lại với nhau và

chuyển chúng đi một gói tích hợp

2.2.1 Các chế độ của Oakley và các pha của ISAKMPTheo định nghĩa nguyên thủy trong ISAKMP thì IKE hoạt động hai giai đoạn.

Giai đoạn một thiết lập một đường hầm bảo mật cho các hoạt động ISAKMP diễn ra

trên đó. Giai đoạn hai là tiến trình đàm phán các mục đích SA.

Oakley đưa ra ba chế độ chuyển khóa và cài đặt các ISAKMP SA:

- Chế độ chính (Main mode): Hoàn thành giai đoạn một của SAKMP sau khi đã

thiết lập một kênh bảo mật

- Chế độ năng động (Aggressive mode): Một cách khác để hoàn thành giai đoạn

một của ISAKMP. Nó đơn giản hơn và nhanh hơn chế độ chính, nhưng không

bảo nhận dạng cho việc đàm phán giữa các node, bởi vì chúng truyền nhận dạng

của chúng trước khi đàm phán được một kênh bảo mật.

- Chế độ nhanh (Quick mode): Hoàn thành giai đoạn hai của ISAKM bằng cách

đàm phán một SA cho mục đích của việc truyền thông.

IKE cũng còn một chế độ khác đó là chế độ nhóm mới, chế độ này không thật sự

là của giai đoạn một hay giai đoạn hai. Chế độ nhóm mới theo sau đàm phán của giai

đoạn và đưa ra một cơ chế định nghĩa nhóm riêng cho chuyển giao Diffie-Hellman

Để thiết lập một bảo mật IKE cho một node, một host hay một cổng nối cần ít

nhất bốn yếu tố:

- Một giải thuật mã hóa để bảo mật dữ liệu.

- Một giải thuật băm để giảm dữ liệu cho báo hiệu.

- Một phương thức xác thực cho báo hiệu dữ liệu.

- Thông tin về nhóm làm việc qua tổng đài.

Yếu tố thức năm có thể được đưa ra trong SA, hàm giả ngẫu nhiên (pseudo-

random function) sử dụng để băm giá trị hiện tại xuống quá trình chuyển khóa cho mục

Nguyễn Mạnh Hùng, Lớp D04VT1 22

Page 39: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN

đích kiểm tra. Nếu trong SA không bao gồm nó thì HMAC của giải thuật băm (yếu tố

thứ hai) được sử dụng.

Chế độ chính:

Chế độ chính đưa ra cơ chế để thiết lập giai đoạn một của ISAKMP SA, bao

gồm các bước sau:

- Sử dụng chế độ chính để khởi động một ISAKMP SA cho kết nối tạm.

- Sử dụng chế độ nhanh để đàm phán một SA.

- Sử dụng SA được tạo ra ở trên để truyền thông cho đến khi nó hết hạn.

Hình 2.8: Chế độ chính ISAKMP

Bước thứ nhất, sử dụng chế độ chính để bảo mật một ISAKMP SA, diễn ra theo

ba bước trao đổi hai chiều giữa SA gửi và SA nhận (hình 2.8). Bước trao đổi đầu tiên

thỏa thuận về giải thuật băm. Bước trao đổi thứ hai chuyển giao khóa chung và các

nonce của nhau (là những con số ngẫu nhiên mà một bên ghi và trả lại để chứng minh

Nguyễn Mạnh Hùng, Lớp D04VT1 23

Page 40: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN

danh định của nó). Bước thứ ba, hai bên sẽ kiểm tra danh định của nhau và tiến trình

trao đổi hoàn tất.

Hai bên có thể sử dụng khóa dùng chung khi chúng nhận được. Hai bên phải

băm chúng ba lần: Đầu tiên tạo ra một khóa gốc (để sử dụng tạo khóa phụ trong chế độ

nhanh sau này), sau đó là khóa xác thực và cuối cùng là khóa mã để sử dụng cho

ISAKMP SA.

Chế độ chính bảo mật danh định của các đối tượng truyền thông. Nếu như không

cần việc bảo mật, để cho việc trao đổi nhanh hơn, thì chế độ năng động được sử dụng.

Chế độ năng động:

Chế độ năng động (Aggressive mode) đưa ra dịch vụ cũng tương tự như chế độ

chính là thiết lập một ISAKMP SA nguyên thủy. Chế độ năng động trông cũng giống

như chế độ chính ngoại trừ chỉ có hai bước trao đổi thay vì ba bước như chế độ chính.

Trong chế độ năng động khi bắt đầu chuyển đổi bên phát sẽ tạo ra một đôi

Diffie-Hellman, đưa ra một SA, chuyển đi giá trị Diffie-Hellman công cộng, gửi một

nonce cho đầu kia ghi nhận và gửi một gói ID để bên đáp ứng có thể sử dụng để kiểm

tra danh định. Phía đáp ứng có thể gửi trả về mọi thứ cần thiết để hoàn tất quá trình

chuyển đổi. Việc đáp ứng này tổ hợp ba bước đáp ứng trong chế độ chính thành một do

đó bên khởi đầu chỉ cần xác thực việc chuyển đổi (hình 2.9)

Hình 2.9: Chế độ năng động ISAKMP

Do chế độ năng động không đưa ra một cách bảo mật danh định cho các bên

tham gia truyền thông nên cần phải trao đổi thông tin danh định trước khi thiết lập một

Nguyễn Mạnh Hùng, Lớp D04VT1 24

Page 41: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN

SA bảo mật. Ai đó theo dõi việc chuyển đổi theo chế độ năng động có thể nhận diện ai

đã thiết lập một SA mới. Ưu điểm của chế độ năng động là tốc độ.

Chế độ nhanh:

Sau khi hai đối tượng đã thiết lập một ISAKMP SA bằng chế độ chính hay chế

độ năng động thì tiếp đến là sử dụng chế độ nhanh (Quick Mode).

Chế độ nhanh có hai mục đích là: Đàm phán về dịch vụ bảo mật IPSec và tạo ra

vật liệu khóa tươi (fresh keying material). Chế độ nhanh được coi là đơn giản hơn chế

độ chính và chế độ năng động. Bởi vì nó đã có sẵn một đường hầm bên trong (tất cả

các gói đều được mã hóa). Các gói chế độ nhanh đều được mã hóa và được khởi tạo

với một tải băm. Tải băm được tạo ra bằng cách dùng một hàm tạo giả ngẫu nhiên đã

được đồng ý trước và một khóa xác thực nhận được. Tải băm dùng để xác thực phần

còn lại của gói dữ liệu. Chế độ nhanh định nghĩa những phần nào của gói dữ liệu nằm

trong phần băm.

Khóa có thể được làm tươi bằng một trong hai cách: Nếu như không cần chuyển

tiếp một cách bí mật hoàn toàn thì chế độ nhanh chỉ làm tươi khóa trong chế độ chính

hay chế độ năng động với băm thêm. Hai đối tượng truyền thông có thể gửi các nonce

qua đường hầm bảo mật và dùng chúng để băm khóa đang tồn tại. Nếu như cần chuyển

tiếp một cách bí mật hoàn toàn thì có thể yêu cầu thêm một chuyển đổi Diffie-Hellman

thông qua SA đang tồn tại và đổi giá trị của khóa.

Hình 2.10: Chế độ nhanh ISAKMP

Nguyễn Mạnh Hùng, Lớp D04VT1 25

Page 42: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN

2.2.2 Đàm phán SAĐể thiết lập một SA bên khởi tạo gửi một thông báo chế độ nhanh thông qua yêu

cầu một SA mới của ISAKMP SA. Một đàm phán SA là kết quả của hai SA: Một

hướng về (inbound) đến bên khởi tạo và một hướng đi (outbound). Để tránh xung đột

về SPI, nút nhận phải luôn chọn SPI. Do đó trong chế độ nhanh bên phát thông báo cho

bên đáp ứng biết SPI sẽ được sử dụng và bên đáp ứng sẽ theo SPI đã được chọn. Mỗi

SPI, kết hợp với địa chỉ IP đích, chỉ định một IPSec SA đơn duy nhất. Tuy nhiên trên

thực tế những SA này luôn có hai hướng về và đi, chúng có danh định về tham số, giải

thuật, khóa, băm là một phần trong SPI.

2.3 Sử dụng IPSecHình 2.11 là một ví dụ về ứng dụng Internet VPN. Có ba nơi trang bị phần mềm

IPSec là: Cổng nối bảo mật, client di động (mobile client) và các host. Tuy nhiên,

không phải tất cả các thiết bị đều cần phải cài phần mềm IPSec mà tùy theo yêu cầu

thiết kế mạng. Ví dụ cần tạo kết nối LAN-LAN VPN thì cổng nối bảo mật IPSec là đủ.

Nếu cần cho các trạm làm việc từ xa quay số truy cập vào mạng thông qua các ISP thì

phần mềm client IPSec cần cài trên các máy tính của các đối tượng di động. Nếu muốn

tạo một VPN mà tất cả các máy tính có thể liên lạc với các máy tính thông qua giao

thức IPSec thì cần phải cài đặt phần mềm IPSec trên tất cả các máy.

Hình 2.11: Các thành phần của một Internet VPN

Nguyễn Mạnh Hùng, Lớp D04VT1 26

Page 43: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN

2.3.1 Các cổng nối bảo mậtCác cổng nối bảo mật (Security gateway) là một thiết bị mạng chẳng hạn như bộ

định tuyến hay tường lửa, chia cắt và bảo mật mạng bên trong chống lại xâm nhập

không được cho phép từ bên ngoài. Sử dụng IPSec trên cổng nối bảo mật làm cho lưu

lượng qua cổng nối bảo mật bị thắt nút cổ chai trước khi ra bên ngoài.

Khi xây dựng một VPN thì cần cài cổng nối bảo mật tại các văn phòng chính và

sau đó thiết lập liên kết bảo mật giữa các cổng nối bảo mật với nhau. Sử dụng cổng nối

bảo mật làm giảm độ phức tạp của việc quản lý các khóa vì chỉ cần gán một khóa duy

nhất cho cổng nối bảo mật. Cổng nối bảo mật có thể chuyển các gói dù là ở chế độ giao

vận hay chế độ đường hầm. Để cho độ bảo mật cao thì chế độ đường hầm thích hợp

hơn do nó giấu đi các địa chỉ IP thực sự của người gửi và người nhận và bảo mật chống

lại các tấn công cắt-dán tiêu đề (header cut-and-paste). Tuy nhiên chế độ đường hầm

đòi hỏi có tính toán ở cổng nối bảo mật và làm tăng kích thước gói nên sẽ làm giảm

tổng chi phí truyền thông nhưng nó không giấu địa chỉ IP nguồn và đích. Nếu như bảo

mật đại diện (wild card) không được sử dụng cho lưu lượng qua cổng nối bảo mật thì

cơ chế quản lý khóa sẽ thêm phức tạp hơn.

2.3.2 Các SA đại diệnBảo mật đại diện (wild card) làm cho việc truyền thông giữa các host được bảo

mật bởi cổng nối bảo mật trở nên đơn giản hơn. Thay vì kết hợp một SA với một địa

chỉ IP host duy nhất thì bảo mật đại diện kết hợp tất cả các host trên LAN được phục

vụ bởi cổng nối bảo mật.

Sau đây là một số đặc tính và khả năng mà một cổng bảo mật phải có:

- Hỗ trợ các kết nối mạng cho văn bản đơn giản hoặc văn bản đã được mã hóa.

- Chiều dài của từ khóa phải không phụ thuộc vào mật độ thông tin truyền trên lớp

liên kết dữ liệu.

- Phải hỗ trợ cả AH và ESP.

- Hỗ trợ tạo SA bằng tay, bao gồm cả bảo mật đại diện.

- Có cơ chế bảo mật khóa.

- Hệ thống thay đổi khóa một cách tự động và hệ thống quản lý khóa phải đơn

giản nhưng bảo mật.

- SA phải có các thông báo về lỗi.

Nguyễn Mạnh Hùng, Lớp D04VT1 27

Page 44: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN

2.3.3 Host từ xa.Khi dùng một máy tính quay số kết nối vào mạng VPN cần phải có một phần

mềm client IPSec cài trên đó. Với Ipv4 thì IPSec được chèn trong chồng giao thức

TCP/IP. Mã IPSec có thể được chèn vào giữa lớp giao vận và lớp mạng. IPSec cũng có

thể được chèn vào như miếng thêm giữa lớp liên kết dữ liệu và lớp mạng.

Với mã IPSec được chèn vào giữa lớp giao vận và lớp mạng rất mềm dẻo đối

với người dùng vì nó cho phép họ gán những SA khác nhau cho các phần mềm khác

nhau hay nói một cách khác một số lưu lượng có thể truyền đi mà không có IPSec do

nó không cần thiết, phần lưu lượng quan trọng còn lại truyền đi với bảo mật IPSec.

Miếng thêm (shim) có thể tiếp cận một cách dễ dàng hơn nhưng nó chỉ có hiệu lực bảo

mật ở mức địa chỉ IP còn không hiệu lực ở mức nhận dạng người dùng.

Các yêu cầu đối với phần mềm client IPSec:

- Tương thích với các công cụ IPSec khác (chẳng hạn như thích hợp với máy chủ

mã hóa của các site).

- Đưa ra một chỉ báo rõ ràng khi IPSec đang hoạt động.

- Hỗ trợ tải SA về

- Hàm băm xử lý được các địa chỉ IP động.

- Có cơ chế bảo mật khóa chống lại kẻ trộm (mã hóa khóa với mật khẩu).

- Có cơ chế chuyển đổi mã hóa một cách tự động và định kỳ.

- Chặn hoàn toàn các lưu lượng không-IPSec

Nguyễn Mạnh Hùng, Lớp D04VT1 28

Page 45: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN

Hình 2.12: IPSec và các chính sách bảo mật.

2.3.4 Một ví dụ minh họaĐể minh họa việc sử dụng IPSec để xây dựng VPN, hãy xem xét một thiết kế

đơn giản trong hình 2.13 gồm hai site: Một ở văn phòng chính và một ở văn phòng chi

nhánh. Mạng cũng cung cấp khả năng cho người dùng di động có thể quay số truy cập

vào VPN thông qua các ISP địa phương. Sử dụng bộ định tuyến mã hóa để làm cổng

nối bảo mật. Lượng truyền bên trong mạng dưới dạng văn bản đơn giản và dùng kỹ

thuật bảo mật chống lại sự tấn công từ bên ngoài là tường lửa hay danh sách điều khiển

truy cập trên máy chủ. Chỉ có lưu lượng giữa các site hay giữa các người di động và

các site là được bảo mật bởi IPSec.

Nguyễn Mạnh Hùng, Lớp D04VT1 29

Page 46: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN

Để bảo mật cho hệ thống, cần phải có cơ chế bảo mật vật lý để đảm bảo tất cả

các host trong phạm vi site có đúng các tham số vật lý và mọi ngõ ra bên ngoài đều

phải đi qua bộ định tuyến mã hóa. Tất cả các kết nối từ các site bên trong mạng và các

site ngoài mạng cần phải được khóa lại với đặc quyền truy cập. Nếu như số lượng site

trong mạng tăng lên thì cần phải có một trung tâm làm nhiệm vụ gán các SA và khóa.

Cổng bảo mật Cổng bảo mật

Khách hàng A di động(truy cập từ xa)

INTERNET

Văn phòng chính

Bình

An

ISP

Văn phòng chi nhánh

Hình 2.13: Ví dụ về IPSec VPN

2.4 Các vấn đề còn tồn đọng trong IPSecMặc dù IPSec đã đưa ra các đặc tính cần thiết cho việc bảo mật một VPN thông

qua Internet nhưng nó vẫn còn trong giai đoạn phát triển. Tất cả các gói được xử lý

theo IPSec sẽ làm tăng kích thước do thêm vào các tiêu đề IPSec làm cho thông lượng

của mạng giảm đi. Điều này có thể giải quyết bằng cách nén nội dung dữ liệu trước khi

mã hóa.

- IKE là một công nghệ chưa thực sự khẳng định được khả năng của mình.

Phương thức chuyển khóa thủ công lại không thích hợp cho mạng có số lượng

lớn các đối tượng di động.

- IPSec được thiết kế chỉ để hỗ trợ bảo mật cho lưu lượng IP, không hỗ trợ các

dung lượng khác.

- Việc tính toán nhiều giải thuật phức tạp vẫn còn là một vấn đề khó đối với các

trạm làm việc và máy PC năng lực yếu.

- Việc phân phối các phần cứng và phần mềm mật mã vẫn còn bị hạn chế đối với

chính phủ của một số quốc gia.

Nguyễn Mạnh Hùng, Lớp D04VT1 30

Page 47: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN

2.5 Các giao thức đường hầmĐường hầm là một trong những khái niệm nền tảng của VPN. Giao thức đường

hầm thực hiện việc đóng dữ liệu với các phần tiêu đề tương ứng để truyền qua Internet.

Trong chương này giới thiệu về các giao thức đường hầm phổ biến đang tồn tại và sử

dụng cho IP-VPN, bao gồm L2F, PPTP, L2TP.

2.5.1 Giới thiệu về các giao thức đường hầmCác giao thức đường hầm là nền tảng của công nghệ VPN. Có nhiều giao thức

đường hầm khác nhau, và việc sử dụng giao thức nào liên quan tới các phương pháp

xác thực và mật mã đi kèm. Các giao thức đường hầm phổ biến hiện nay là:

- Giao thức chuyển tiếp lớp 1 (L2F – Layer Two Forwarding).

- Giao thức đường hầm điểm tới điểm (PPTP – Point to Point Tunneling

Protocol).

- Giao thức đường hầm lớp 2 (L2TP – Layer Two Tunneling Protocol).

- Giao thức bảo mật IP (IPSec – Internet Protocol Security).

L2F và PPTP đều được phát triển dựa trên giao thức PPP (Point to Point

Protocol). PPP là một giao thức truyền thông nối tiếp lớp 2, có thể sử dụng để đóng gói

dữ liệu liên mạng IP và hỗ trợ đa giao thức lớp trên. Trên cơ sở L2F và PPTP, IETF đã

phát triển giao thức đường hầm L2TF. Hiện nay các giao thức PPTP và L2TF được sử

dụng phổ biến hơn L2F.

Trong các giao thức đường hầm nói trên, IPSec là giải pháp tối ưu về mặt an

ninh dữ liệu. Nó hỗ trợ các phương pháp xác thực và mật mã mạnh nhất. Ngoài ra,

IPSec còn có tính linh hoạt cao, không bị rằng buộc bởi bất cứ thuật toán xác thực hay

bảo mật mã nào. IPSec có thể sử dụng đồng thời cùng với các giao thức đường hầm

khác để tăng tính an toàn cho hệ thống.

Các giao thức PPTP và L2TP là các chuẩn đã được hoàn thiện, nên sản phẩm hỗ

trợ chúng tương đối phổ biến. PPTP có thể triển khai với một hệ thống mật khẩu đơn

giản mà không cần sử dụng PKI. Ngoài ra, PPTP và L2TP còn có một số ưu điểm khác

so với IPSec như khả năng hỗ trợ đa giao thức lớp trên. Vì vậy, trong khi IPSec còn

đang hoàn thiện thì PPTP và L2TP vẫn được sử dụng rộng rãi. Cụ thể PPTP và L2TP

thường được sử dụng trong các ứng dụng truy nhập từ xa.

Nguyễn Mạnh Hùng, Lớp D04VT1 31

Page 48: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN

2.5.2 Giao thức chuyển tiếp lớp 2 – L2FGiao thức L2F được phát triển sớm nhất, là phương pháp truyền thống để cho

những người sử dụng ở xa truy cập vào một mạng công ty thông qua thiết bị truy nhập

từ xa. L2F cung cấp giải pháp cho dịch vụ quay số ảo bằng cách thiết lập một đường

hầm bảo mật thông qua cơ sở hạ tầng công cộng như Internet. Nó cho phép đóng gói

các gói PPP trong khuôn dạng L2F và định đường hầm ở lớp liên kết dữ liệu.

2.5.2.1. Cấu trúc gói L2FKhuôn dạng gói tin L2F có cấu trúc như hình sau:

Hình 2.14: Khuôn dạng của gói L2F

Ý nghĩa các trường trong gói L2F như sau:

- F: Chỉ định trường “Offset” có mặt.

- K: Chỉ định trương “Key” có mặt.

- P (Priority): Thiết lập ưu tiên cho gói.

- S: Chỉ định trường “Sequence” có mặt.

- Reserved: Luôn được đặt là 00000000.

- Version: Phiên bản của L2F dùng để tạo gói.

- Protocol: Xác định giao thức đóng gói L2F.

- Sequence: Số chuỗi được đưa ra nếu trong tiêu đề L2F bit S bằng 1.

- Multiplex ID: Nhận dạng một kết nối riêng trong một đường hầm.

- Client ID: Giúp tách đường hầm tại những điểm cuối.

- Length: Chiều dài gói (tính bằng byte) không bao gồm phần checksum.

- Offset: xác định số byte cách tiêu đề L2F, tại đó dữ liệu tải tin được bắt đầu.

Trường này có mặt khi bit F bằng 1.

- Key: Là một phần của quá trình xác thực (có mặt khi bit K bằng 1).

Nguyễn Mạnh Hùng, Lớp D04VT1 32

Page 49: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN

- Checksum: Tổng kiểm tra của gói (có mặt khi bit C bằng 1).

2.5.2.2 Hoạt động của L2FL2F đóng gói dữ liệu lớp 2 (trong trường hợp này là PPP), sau đó truyền chúng

qua mạng. Hệ thống sử dụng L2F bao gồm thành phần sau (hình 2.15):

- Máy chủ truy nhập mạng NAS (Network Access Server): Hướng lưu lượng đến

và đi giữa máy khách ở xa (Remote Client) và Home Gateway. Một hệ thống

ERX có thể hoạt động như NAS.

- Đường hầm (Tunnel): Định hướng đường đi giữa NAS và Home Gateway. Một

đường hầm gồm một số kết nối.

- Home Gateway: Ngang hàng với NAS, là phần tử cửa ngõ thuộc mạng riêng.

- Kết nối (Connection): Là một kết nối PPP trong đường hầm. Trong CLI, một kết

nối L2F được xem như là một phiên.

- Điểm đích (Destination): Là điểm kết thúc ở đầu xa của đường hầm. Trong

trường hợp này thì Home Gateway là điểm đích.

Hình 2.15: Mô hình hệ thống sử dụng L2F

Các hoạt động của L2F bao gồm: Thiết lập kết nối, đường hầm và phiên làm

việc. Các bước thực hiện cụ thể như sau:

1) Một người sử dụng ở xa quay số tới hệ thống NAS và khởi đầu một kết nối PPP

tới ISP.

2) Hệ thống NAS và máy khách trao đổi các gói giao thức điều khiển liên kết LCP

(Link Control Protocol).

Nguyễn Mạnh Hùng, Lớp D04VT1 33

Page 50: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN

3) NAS sử dụng cơ sở dữ liệc cục bộ liên quan tới tên miền hay xác thực RADIUS

để quyết định xem người sử dụng có hay không yêu cầu dịch vụ L2F.

4) Nếu người sử dụng yêu cầu L2F thì quá trình tiếp tục, NAS thu nhận địa chỉ của

Gateway đích (Home Gateway).

5) Một đường hầm được thiết lập từ NAS đến Gateway đích nếu giữa chúng chưa

có đường hầm nào. Sự thành lập đường hầm bao gồm giai đoạn xác thực từ ISP

tới Gateway đích để chống lại tấn công bởi những kẻ thứ ba.

6) Một kết nối PPP mới được tạo ra trong đường hầm, điều này có tác động kéo

dài phiên PPP từ người sử dụng ở xa tới Home Gateway. Kết nối này được thiết

lập như sau: Home Gateway tiếp nhận các lựa chọn và tất cả thông tin xác thực

PAP/CHAP như đã thỏa thuận bởi đầu cuối người sử dụng và NAS. Home

Gateway chấp nhận kết nối hay thỏa thuận lại LCP và xác thực lại người sử

dụng.

7) Khi NAS tiếp nhận lưu lượng dữ liệu từ người sử dụng, nó đóng gói lưu lượng

vào trong các khung L2F và hướng chúng vào trong đường hầm.

8) Tại Home Gateway khung L2F được tách bỏ, và dữ liệu đóng gói được hướng

tới mạng công ty.

Khi hệ thống đã thiết lập điểm đích, đường hầm và những phiên kết nối, ta phải

điều khiển và quản lý lưu lượng L2F như sau:

- Ngăn cản tạo những điểm đích, đường hầm và phiên mới.

- Đóng và mở lại tất cả hay chọn lựa những điểm đích, đường hầm và phiên.

- Có khả năng kiểm tra tổng UDP.

- Thiết lập thời gian rỗi cho hệ thống và lưu giữ cơ sở dữ liệu vào của các đường

hầm và kết nối.

Sự thay đổi một điểm đích làm ảnh hưởng tới tất cả những đường hầm và phiên

tới điểm đích đó. Sự thay đổi đường hầm làm ảnh hưởng tới tất cả các phiên trong

đường hầm đó. Ví dụ, sự kết thúc ở điểm đích đóng tất cả các đường hầm và phiên tới

điểm đích đó.

L2F cung cấp một số lệnh để thực hiện các chức năng của nó, ví dụ:

- L2F checksum: Để kiểm tra toàn vẹn dữ liệu trong các khung L2F sử dụng để

kiểm tra tổng UDP, ví dụ host 1 (config)#l2f checksum.

- L2F destruct – timeout: Để thiết lập thời gian rỗi, giá trị thiết lập trong dải 10 -

3600 giây, ví dụ host1(config)#l2f destruct-timeout 1200.

Nguyễn Mạnh Hùng, Lớp D04VT1 34

Page 51: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN

2.5.2.3 Ưu nhược điểm của L2FGiao thức L2F có các ưu điểm sau đây:

- Cho phép thiết lập đường hầm đa giao thức.

- Được hỗ trợ bởi nhiều nhà cung cấp.

Các nhược điểm chính của L2F là:

- Không có mã hóa.

- Hạn chế trong việc xác thực người dùng.

- Không có điều khiển luồng cho đường hầm.

2.5.3 Giao thức đường hầm điểm tới điểm – PPTP Giao thức điểm tới điểm được đưa ra đầu tiên bởi một nhóm các công ty gọi là

PPTP Forum. Ý tưởng cơ sở của giao thức này là tách các chức năng chung và riêng

của truy nhập từ xa, lợi dụng cơ sở hạ tầng Internet sẵn có để tạo kết nối bảo mật giữa

người dùng ở xa (client) và mạng riêng. Người dùng ở xa chỉ việc quay số tới nhà cung

cấp dịch vụ Internet địa phương là có thể tạo đường hầm bảo mật tới mạng riêng của

họ.

Giao thức PPTP được xây dựng trên cơ sở chức năng của PPP, cung cấp khả

năng quay số truy nhập tạo ra một đường hầm bảo mật thông qua Internet đến các site

đích. PPTP sử dụng giao thức đóng gói định tuyến chung GRE được mô tả lại để đóng

và tách gói PPP. Giao thức này cho phép PPTP mềm dẻo để xử lý các giao thức khác

không phải IP như IPX, NETBEUI.

2.5.3.1 Khái quát về hoạt động của PPTPPPP trở thành giao thức truy nhập vào Internet và các mạng IP rất phổ biến hiện

nay. Làm việc ở lớp liên kết dữ liệu trong mô hình OSI, PPP bao gồm các phương thức

đóng, tách gói cho các loại gói dữ liệu khác nhau để truyền nối tiếp. PPP có thể đóng

các gói IP, IPX, NETBEUI và truyền đi trên kết nối điểm – điểm từ máy gửi đến máy

nhận.

PPTP đóng gói các khung dữ liệu của giao thức PPP vào các IP datagram để

truyền qua mạng IP (Internet hoặc Intranet). PPTP dùng một kết nối TCP (gọi là kết

nối điều khiển PPTP) để khởi tạo, duy trì, kết thúc đường hầm, và một phiên bản của

giao thức GRE để đóng gói các khung PPP. Phần tải tin của khung PPP có thể được

mật mã và /hoặc nén.

PPTP sử dụng PPP để thực hiện các chức năng:

Nguyễn Mạnh Hùng, Lớp D04VT1 35

Page 52: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN

- Thiết lập và kết thúc kết nối vật lý.

- Xác thực người dùng.

- Tạo các gói dữ liệu PPP.

PPTP giả định tồn tại một mạng IP giữa PPTP client (VPN client sử dụng PPTP)

và PPTP server (VPN server sử dụng PPTP). PPTP client có thể được nối trực tiếp

thông qua việc quay số tới máy chủ truy nhập mạng NAS để thiết lập kết nối IP. Khi

một kết nối PPP được thiết lập thì người dùng thường đã được xác thực. Đây là giai

đoạn tùy chọn trong PPP, tuy nhiên nó luôn luôn được cung cấp bởi các ISP.

Việc xác thực quá trình thiết lập kết nối dựa trên PPTP sử dụng cơ chế xác thực

của kết nối PPP. Các cơ chế xác thực đó có thể là:

- EAP (Extensible Authentication Protocol) – Giao thức xác thực mở rộng.

- CHAP (Challenge Handshake Authentication Protocol) – Giao thức xác thực đòi

hỏi bắt tay.

- PAP (Password Authentication Protocol ) – Giao thức xác thực mật khẩu.

Với PAP mật khẩu được gửi thông qua kết nối dưới dạng văn bản đơn giản và

không có bảo mật. CHAP là một giao thức xác thực mạnh hơn, sử dụng phương thức

bắt tay ba chiều. CHAP chống lại các vụ tấn công quay lại bằng cách sử dụng các giá

trị thách đố (Challenge Value) duy nhất và không thể đoán trước được.

PPTP cũng thừa hưởng việc mật mã và/hoặc nén phần tải tin của PPP. Để mật

mã phần tải tin PPP có thể sử dụng phương thức mã hóa điểm tới điểm MPPE

(Microsoft Point to Point Encryption). MPPE chỉ cung cấp mật mã mức truyền dẫn,

không cung cấp mật mã đầu cuối tới đầu cuối. Nếu cần sử dụng mật mã đầu cuối tới

đầu cuối thì có thể sử dụng IPSec để mật mã lưu lượng IP giữa các đầu cuối sau khi

đường hầm PPTP đã được thiết lập.

Sau khi PPTP thiết lập kết nối, PPTP sử dụng các quy luật đóng gói của PPP để

đóng các gói truyền dẫn trong đường hầm. Để tận dụng ưu điểm của kết nối tạo ra bởi

PPP, PPTP định nghĩa hai loại gói là điều khiển và dữ liệu, sau đó gắn chúng vào hai

kênh riêng là kênh điều khiển và kênh dữ liệu. PPTP phân tách các kênh điều khiển và

kênh dữ liệu thành luồng điều khiển với giao thức TCP và luồng dữ liệu với giao thức

IP. Kết nối TCP tạo giữa máy trạm PPTP (client) và máy chủ PPTP (server) được sử

dụng để truyền thông báo điều khiển.

Các gói dữ liệu là dữ liệu thông thường của người dùng. Các gói điều khiển

được gửi theo chu kỳ để lấy thông tin về trạng thái kết nối và quản lý báo hiệu giữa

Nguyễn Mạnh Hùng, Lớp D04VT1 36

Page 53: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN

ứng dụng khách PPTP và máy chủ PPTP. Các gói điều khiển cũng được dùng để gửi

các thông tin quản lý thiết bị, thông tin cấu hình giữa hai đầu đường hầm.

Kênh điều khiển được yêu cầu cho việc thiết lập một đường hầm giữa máy trạm

và máy chủ PPTP. Máy chủ PPTP là một server sử dụng giao thức PPTP với một giao

diện nối với Internet và một giao diện khác nối với Intranet, còn phần mềm client có

thể nằm ở máy người dùng từ xa hoặc tại máy chủ của ISP.

2.5.3.2 Duy trì đường hầm bằng kết nối điều khiển PPTPKết nối điều khiển PPTP là kết nối giữa địa chỉ IP của máy trạm PPTP (có cổng

TCP được cấp phát động) và địa chỉ IP của máy chủ PPTP (sử dụng cổng TCP dành

riêng 1723). Kết nối điều khiển PPTP mang các bản tin điều khiển và quản lý được sử

dụng để duy trì đường hầm PPTP. Các bản tin này bao gồm PPTP Echo – Request và

PPTP Echo – Reply định kỳ để phát hiện các lỗi kết nối giữa máy trạm và máy chủ

PPTP. Các gói của kết nối điều khiển PPTP bao gồm tiêu đề IP, tiêu đề TCP, bản tin

điều khiển PPTP và tiêu đề, phần đuôi của lớp liên kết dữ liệu (hình 2.16).

Hình 2.16: Gói dữ liệu kết nối điều khiển PPTP

2.5.3.3 Đóng gói dữ liệu đường hầm PPTPĐóng gói khung PPP và GRE

Dữ liệu đường hầm PPTP được đóng gói thông qua nhiều mức. Hình 2.17 là cấu

trúc dữ liệu đã được đóng gói.

Hình 2.17: Đóng gói dữ liệu đường hầm PPTP.

Phần tải của khung PPP ban đầu được mật mã và đóng gói với tiêu đề để tạo ra

khung PPP. Khung PPP sau đó được đóng gói với phần tiêu đề của phiên bản giao thức

GRE sửa đổi.

GRE là giao thức đóng gói chung, cung cấp cơ chế đóng gói dữ liệu để định

tuyến qua mạng IP. Đối với PPTP, phần tiêu đề của GRE được sửa đổi một số điểm

như

Nguyễn Mạnh Hùng, Lớp D04VT1 37

Page 54: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN

sau:

- Một trường xác nhận dài 32 bit được thêm vào.

- Một bit xác nhận được sử dụng để chỉ định sự có mặt của trường xác nhận 32

bit.

- Trường Key được thay thế bằng trường độ dài Payload 16 bit và trường chỉ số

cuộc gọi 16 bit. Trường chỉ số cuộc gọi được thiết lập bởi máy trạm PPTP trong

quá trình khởi tạo đường hầm PPTP.

Đóng gói IP

Phần tải PPP (đã được mật mã) và các tiêu đề GRE sau đó được đóng gói với

một tiêu đề IP chứa thông tin địa chỉ nguồn và đích thích hợp cho máy trạm và máy

chủ PPTP.

Đóng gói lớp liên kết dữ liệu.

Để có thể đóng gói truyền qua mạng LAN hoặc WAN, gói IP cuối cùng sẽ được

đóng gói với một tiêu đề và phần đuôi của lớp liên kết dữ liệu ở giao diện vật lý đầu ra.

Ví dụ, nếu gói IP được gửi qua giao diện Ethernet, nó sẽ được gói với phần tiêu đề và

đuôi Ethernet. Nếu gói IP được gửi qua đường truyền WAN điểm tới điểm (như đường

điện thoại tương tự hoặc ISDN), nó sẽ được đóng gói với phần tiêu đề và đuôi của giao

thức.

Sơ đồ đóng gói.

Hình 2.18 là ví dụ sơ đồ đóng gói PPTP từ một máy trạm qua kết nối truy nhập

VPN từ xa sử dụng modem tương tự.

Nguyễn Mạnh Hùng, Lớp D04VT1 38

Page 55: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN

Hình 2.18: Sơ đồ đóng gói PPTP

Quá trình đóng gói được mô tả cụ thể như sau:

- Các gói IP, IPX hoặc khung NETBEUI được đưa tới giao diện ảo đại diện cho

kết nối VPN bằng giao thức tương ứng sử dụng NDIS (Network Driver Interface

Specification).

- NDIS đưa gói dữ liệu tới NDISWAN, nơi thực hiện mật mã, nén dữ liệu và cung

cấp tiêu đề PPP. Phần tiêu đề PPP này chỉ gồm trường mã số giao thức PPP

(PPP Protocol ID Field), không có các trường Flags và FCS (Frame Check

Sequence). Giả định trường địa chỉ và điều khiển đã được thỏa thuận ở giao thức

điều khiển đường truyền LCP (Link Control Protocol) trong quá trình kết nối

PPP.

- NDISWAN gửi dữ liệu tới giao thức PPTP, nơi đóng gói khung PPP với phần

tiêu đề GRE. Trong tiêu đề GRE, trường chỉ số cuộc gọi được đặt giá trị thích

hợp để xác định đường hầm.

- Giao thức PPTP sau đó sẽ gửi gói vừa hình thành tới TCP/IP.

- TCP/IP đóng gói dữ liệu đường hầm PPTP với phần tiêu đề IP, sau đó gửi kết

quả đến giao diện đại diện cho kết nối quay số tới ISP cục bộ sử dụng NDIS.

Nguyễn Mạnh Hùng, Lớp D04VT1 39

Page 56: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN

- NDIS gửi gói tin tới NDISWAN, nơi cung cấp các phần tiêu đề và đuôi PPP.

- NDISWAN gửi khung PPP kết quả tới cổng WAN tương ứng đại diện cho phần

cứng quay số (ví dụ, cổng không đồng bộ cho kết nối modem).

2.5.3.4 Xử lý dữ liệu tại đầu cuối đường hầm PPTPKhi nhận được dữ liệu đường hầm PPTP, máy trạm và máy chủ PPTP sẽ thực

hiện các bước sau:

- Xử lý và loại bỏ phần tiêu đề và đuôi của lớp liên kết dữ liệu.

- Xử lý và loại bỏ tiêu đề IP.

- Xử lý và loại bỏ tiêu đề GRE và PPP.

- Giải mã và/hoặc giải nén phần tải PPP (nếu cần thiết).

- Xử lý phần tải tin để nhận hoặc chuyển tiếp.

2.5.3.5 Triển khai VPN dựa trên PPTPĐể triển khai VPN dựa trên giao thức PPTP yêu cầu hệ thống tối thiểu phải có

các thành phần thiết bị như chỉ ra trên hình 2.19, cụ thể bao gồm:

- Một máy chủ truy nhập mạng dùng cho phương thức quay số truy nhập bảo mật

vào VPN.

- Một máy chủ PPTP.

- Máy trạm PPTP với phần mềm client cần thiết.

Nguyễn Mạnh Hùng, Lớp D04VT1 40

Page 57: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN

Hình 2.19: Các thành phần của hệ thống cung cấp VPN dựa trên PPTP.

Các máy chủ PPTP có thể đặt tại mạng của công ty và do nhân viên trong công

ty quản lý.

Máy chủ PPTP

Máy chủ PPTP thực hiện hai chức năng chính: Đóng vai trò là điểm kết nối của

đường hầm PPTP và chuyển các gói đến từ đường hầm tới mạng LAN riêng. Máy chủ

PPTP chuyển các gói đến máy đích bằng cách xử lý các gói PPTP để có được địa chỉ

mạng của máy tính đích. Máy chủ PPTP cũng có khả năng lọc gói. Bằng cách sử dụng

cơ chế lọc gói PPTP máy chủ có thể ngăn cấm, chỉ cho phép truy nhập vào Internet,

mạng riêng hay cả hai.

Thiết lập máy chủ PPTP tại site mạng có một hạn chế nếu như máy chủ PPTP

nằm sau tường lửa. PPTP được thiết kế sao cho chỉ có một cổng TCP 1723 được sử

dụng để chuyển dữ liệu đi. Sự khiếm khuyết của cấu hình cổng này có thể làm cho

tường lửa dễ bị tấn công hơn. Nếu như tường lửa được cấu hình để lọc gói thì phải thiết

lập nó cho phép GRE đi qua.

Một thiết bị khác được khởi xướng năm 1998 bởi hãng 3Com có chức năng

tương tự máy chủ PPTP gọi là chuyển mạch đường hầm. Mục đích của chuyển mạch

đường hầm là mở rộng đường hầm từ một mạng đến một mạng khác, trải rộng đường

hầm từ mạng của ISP đến mạng riêng. Chuyển mạch đường hầm có thể sử dụng tại

tường lửa làm tăng khả năng quản lý truy nhập từ xa vào tài nguyên của mạng nội bộ.

Nó có thể kiểm tra các gói đến và về, giao thức của các khung PPP hoặc tên của người

dùng từ xa.

Phần mềm client PPTP

Nếu như các thiết bị của ISP đã hỗ trợ PPTP thì không cần phần cứng hay phần

mềm bổ sung nào cho các máy trạm, chỉ cần một kết nối PPP chuẩn. Nếu như các thiết

bị của ISP không hỗ trợ PPTP thì một phần mềm ứng dụng client vẫn có thể tạo kết nối

bảo mật bằng cách đầu tiên quay số kết nối tới ISP bằng PPP, sau đó quay số một lần

nữa thông qua cổng PPTP ảo được thiết lập ở máy trạm.

Phần mềm client PPTP đã có sẵn trong Windows , NT và các hệ điều hành sau

này. Khi chọn client PPTP cần phải so sánh các chức năng của nó với máy chủ PPTP

đã có. Không phải tất cả các phần mềm client PPTP đều hỗ trợ MS – CHAP, nếu thiếu

công cụ này thì không thể tận dụng được ưu điểm mã hóa trong RRAS.

Máy chủ truy nhập mạng

Nguyễn Mạnh Hùng, Lớp D04VT1 41

Page 58: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN

Máy chủ truy nhập mạng NAS còn có tên gọi khác là máy chủ truy nhập từ xa

(Remote Access Server) hay bộ tập trung truy nhập (Access Concentrator). NAS cung

cấp khả năng truy nhập đường dây dựa trên phần mềm, có khả năng tính cước và có

khả năng chịu đựng lỗi tại ISP POP. NAS của ISP được thiết kế cho phép một số lượng

lớn người dùng có thể quay số truy nhập vào cùng một lúc.

Nếu một ISP cung cấp dịch vụ PPTP thì cần phải cài một NAS cho phép PPTP

để hỗ trợ các client chạy trên các nền khác nhau như Unix, Windows, Macintosh, v.v…

Trong trường hợp này, máy chủ ISP đóng vai trò như một client PPTP kết nối với máy

chủ PPTP tại mạng riêng và máy chủ ISP trở thành một điểm cuối của đường hầm,

điểm cuối còn lại là máy chủ tại đầu mạng riêng.

2.5 .3.6 Ưu nhược điểm và khả năng ứng dụng của PPTP Ưu điểm của PPTP là được thiết kế để hoạt động ở lớp 2 (liên kết dữ liệu) trong

khi IPSec chạy ở lớp ba của mô hình OSI. Bằng cách hỗ trợ việc truyền dữ liệu ở lớp

hai, PPTP có thể truyền trong đường hầm bằng các giao thức khác IP trong khi IPSec

chỉ có thể truyền các gói IP trong đường hầm.

Tuy nhiên, PPTP là một giải pháp tạm thời vì hầu hết các nhà cung cấp đều có

kế hoạch thay thế PPTP bằng L2TP khi mà giao thức này đã được chuẩn hóa. PPTP

thích hợp cho quay số truy nhập với số lượng người dùng giới hạn hơn là cho VPN kết

nối LAN – LAN. Một vấn đề của PPTP là xử lý xác thực người dùng thông qua

Windows NT hay thông qua RADIUS. Máy chủ PPTP cũng quá tải với một số lượng

lớn người dùng quay số truy nhập hay một lưu lượng lớn dữ liệu truyền qua, mà điều

này là một yêu cầu của kết nối LAN – LAN.

Khi sử dụng VPN dựa trên PPTP mà có hỗ trợ thiết bị của ISP thì một số quyền

quản lý phải chia sẻ cho ISP. Tính bảo mật của PPTP không mạnh bằng IPSec. Tuy

nhiên, quản lý bảo mật trong PPTP lại đơn giản hơn.

2.5.4 Giao thức L2TPGiao thức định đường hầm lớp 2 L2TP (Layer 2 Tunneling Protocol) là sự kết

hợp giữa hai giao thức đó là PPTP và chuyển tiếp lớp 2 – L2F (Layer 2 Forwarding).

PPTP do Microsoft đưa ra còn L2F do Cisco khởi xướng. Hai công ty này đã hợp tác

cùng kết hợp hai giao thức lại và đăng ký chuẩn hóa tại IETF.

Giống như PPTP, L2F là giao thức đường hầm, nó sử dụng tiêu đề đóng gói

riêng cho việc truyền các gói ở lớp 2. Một điểm khác biệt chính giữa L2F và PPTP là

Nguyễn Mạnh Hùng, Lớp D04VT1 42

Page 59: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN

L2F không phụ thuộc vào IP và GRE, cho phép nó có thể làm việc ở môi trường vật lý

khác. Bởi vì GRE không sử dụng giao thức đóng gói, nên L2F định nghĩa riêng cách

thức các gói được điều khiển trong môi trường khác. Tương tự như PPTP, L2F tận

dụng PPP để xác thực người dùng quay số truy cập. Nhưng nó cũng hỗ trợ TACACS+

và RADIUS cho việc xác thực. Có hai mức xác thực người dùng: Đầu tiên ở ISP trước

khi thiết lập đường hầm, sau đó là ở cổng nối của mạng riêng sau khi kết nối được thiết

lập.

L2TP mang các đặc tính của PPTP và L2F. Tuy nhiên L2TP định nghĩa riêng

một giao thức đường hầm dựa trên hoạt động của L2F. Nó cho phép L2TP truyền

thông qua nhiều môi trường khác nhau như X.25, Frame Relay, ATM. Mặc dù nhiều

công cụ chủ yếu của L2TP tập trung cho UDP của mạng IP, nhưng có thể thiết lập một

hệ thống L2TP mà không cần phải sử dụng IP làm giao thức đường hầm. Một mạng

ATM hay Frame Relay có thể áp dụng cho đường hầm L2TP.

Do L2TP là giao thức ở lớp 2 nên nó cho phép người dùng sử dụng các giao

thức điều khiển một cách mềm dẻo không chỉ là IP mà có thể là IPX hoặc NETBEUI.

Cũng giống như PPTP, L2TP cũng có cơ chế xác thực PAT, CHAP hay RADIUS.

Mặc dù Microsoft đã làm cho PPTP trở nên cách chọn lựa phổ biến khi xây

dựng VPN bằng cách hỗ trợ giao thức này sẵn trong hệ điều hành Windows nhưng

công ty cũng có kế hoạch hỗ trợ thêm L2TP trong Windows NT 4.0 và Window 98 trở

lên.

2.5.4.1 Dạng thức của L2TP

Nguyễn Mạnh Hùng, Lớp D04VT1 43

Page 60: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN

Hình 2.20: Kiến trúc của L2TP

Những phần chính của L2TP bao gồm: Giao thức điểm – điểm, đường hầm và

hệ thống xác thực. Tuy nhiên để tăng thêm độ bảo mật thì L2TP.

2.5.4.1.1 PPP và L2TP PPP và L2TP dựa trên PPP để tạo kết nối quay số giữa client và máy chủ truy

cập mạng (NAS).

L2TP sử dụng PPP để tạo kết nối vật lý, tiến hành giai đoạn xác thực, tạo gói dữ

liệu PPP và đóng kết nối khi kết thúc phiên làm việc.

Sau khi PPP tạo kết nối xong, L2TP sẽ xác định NAS tại site chính có chấp nhận

người dùng và sẵn sàng đóng vai trò là điểm kết thúc đường hầm cho người dùng đó.

Sau khi đường hầm được tạo, L2TP sẽ đóng gói các gói PPP rồi truyền lên môi trường

mà ISP đã gắn cho đường hầm đó (Hình 2.21). L2TP tạo đường hầm giữa NAS của ISP

và máy chủ mạng của client, nó có thể gắn nhiều phiên làm việc cho đường hầm. L2TP

tạo ra các số nhận dạng cuộc gọi (Call ID) cho mỗi phiên làm việc và chèn Call ID vào

tiêu đề L2TP của mỗi gói để chỉ ra nó thuộc phiên làm việc nào.

Nguyễn Mạnh Hùng, Lớp D04VT1 44

Page 61: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN

Hình 2.21: Các giao thức sử dụng trong một kết nối L2TP

L2TP cũng có thể tạo ra nhiều đường hầm NAS của ISP và máy chủ truy cập

mạng client. Bằng việc chọn gán một phiên làm việc của người dùng cho một đường

hầm thay vì ghép nhiều phiên làm việc vào một đường hầm, cho phép gán các người

dùng khác nhau vào các môi trường đường hầm tùy theo chất lượng dịch vụ của họ.

Giống như PPTP, L2TP cũng định nghĩa hai loại thông báo đó là thông báo điều

khiển và thông báo dữ liệu. Tuy nhiên không giống như PPTP, L2TP truyền cả hai loại

thông báo chung trên một luồng. Nếu như đường hầm được dùng cho truyền trên mạng

IP thì cả hai loại thông báo đều được gửi trên cùng gói dữ liệu UDP.

Do L2TP làm việc ở lớp hai nên trong thông báo dữ liệu L2TP bao gồm tiêu đề

môi trường để chỉ ra đường hầm làm việc trong môi trường nào (hình 2.22). Tùy theo

nhà ISP mà môi trường có thể là Ethernet, X.25, Frame Relay, ATM hay liên kết PPP.

Hình 2.22: Bọc gói L2TP

L2TP cũng giúp đỡ làm giảm tải trên mạng, nó giúp máy chủ giải quyết tắc

nghẽn bằng cơ chế điều khiển luồng giữa NAS, theo thuật ngữ gọi là bộ tập trung truy

cập L2TP – LAC (L2TP Access Concerntrator) và máy chủ của mạng riêng, theo thuật

ngữ gọi là máy chủ mạng L2TP – LNS (L2TP Network Server). Thông báo điều khiển

Nguyễn Mạnh Hùng, Lớp D04VT1 45

Page 62: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN

cho biết tốc độ truyền và tham số của bộ đệm dùng để điều khiển luồng các gói PPP

trong một phiên làm việc.

2.5.4.1.2 Đường hầm L2TPL2TP sử dụng những lớp đường hầm tương tự như PPTP (các đường hầm tự

nguyện và bắt buộc) tùy theo người sử dụng client PPP hay client L2TP để khởi tạo kết

nối.

Đường hầm tự nguyện được tạo theo yêu cầu của người dùng cho mục đích sử

dụng cụ thể. Đường hầm bắt buộc được tạo tự động không cần bất kỳ hành động nào từ

phía người dùng và đặc biệt là không cho phép người dùng có sự lựa chọn nào.

Hình 2.23: Các đường hầm tự nguyện và bắt buộc.

Khi người dùng sử dụng đường hầm tự nguyện thì có thể đồng thời mở đường

hầm bảo mật thông qua Internet và vừa có thể truy cập vào một host bất kỳ trên

Internet theo giao thức TCP/IP bình thường. Điểm kết thúc đường hầm của đường hầm

tự nguyện nằm ở máy tính người dùng. Đường hầm tự nguyện thường được sử dụng để

Nguyễn Mạnh Hùng, Lớp D04VT1 46

Page 63: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN

cung cấp tính riêng tư và toàn vẹn dữ liệu cho lưu lượng Intranet được gửi thông qua

Internet.

Do đường hầm bắt buộc được tạo ra không thông qua người dùng nên nó trong

suốt đối với người dùng đầu cuối. Điểm kết thúc của đường hầm bắt buộc nằm ở LAC

của ISP. Tất cả dữ liệu truyền đi từ người dùng qua đường hầm L2TP thông qua LAC.

Truy cập vào những dịch vụ khác ngoài Intranet cần phải thông qua nhà quản lý mạng.

Cần lưu ý là L2TP cho phép đa kết nối cùng tải trên một đường hầm, điều này làm tăng

dung lượng cho L2TP.

Bởi vì đường hầm bắt buộc định trước điểm kết thúc và người dùng không thể

truy nhập phần còn lại của Internet nên nó điều khiển truy nhập tốt hơn là đường hầm

tự nguyện. Nếu như vì tính bảo mật mà không cho người dùng truy cập Internet công

cộng thì đường hầm bắt buộc ngăn chặn không cho họ truy nhập Internet công cộng

nhưng vẫn cho phép dùng Internet để truy cập VPN (nghĩa là chỉ truy nhập được các

site trong VPN mà thôi).

Một ưu điểm nữa của đường hầm bắt buộc là một đường hầm có thể tải nhiều

kết nối. Đặc tính này làm giảm yêu cầu băng thông mạng cho các ứng dụng đa phiên

làm việc. Một khuyết điểm của đường hầm bắt buộc là kết nối từ LAC đến người dùng

nằm ngoài đường hầm nên dễ bị tấn công. Điều này là một trong những lí do L2TP sử

dụng một số đặc điểm của IPSec để bảo mật lưu lượng.

Mặc dù ISP có thể chọn cách thiếp lập tĩnh để định nghĩa đường hầm cho người

dùng, nhưng điều này làm lãng phí tài nguyên mạng nếu như đường hầm tĩnh đó không

được sử dụng thường xuyên. Có cách khác mềm dẻo hơn đó là chọn đường hầm động

khi mà người dùng kết nối với RAS hay LAC, cho phép sử dụng tài nguyên của mạng

hiệu quả hơn. Những đường hầm động này được thiết lập trong L2TP bằng cách kết

nối hệ thống tới máy chủ RADIUS.

Sử dụng RADIUS để cung cấp đường hầm bắt buộc có một vài ưu điểm. Các

đường hầm có thể định nghĩa và kiểm tra dựa trên xác thực người dùng và tính cước có

thể dựa trên số điện thoại, hoặc các phương pháp xác thực khác, chẳng hạn như thẻ bài

hay card thông minh. Để RADIUS có thể điều khiển việc thiết lập một đường hầm, nó

cần phải lưu các thuộc tính của đường hầm. Các thuộc tính này bao gồm giao thức

đường hầm được sử dụng (PPTP hay L2TP), địa chỉ của máy chủ và môi trường truyền

dẫn trong đường hầm được sử dụng.

Nguyễn Mạnh Hùng, Lớp D04VT1 47

Page 64: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN

2.5.4.1.3 Xác thực và mã hóa trong L2TPViệc xác thực người dùng diễn ra trong ba giai đoạn: Giai đoạn một diễn ra tại

ISP, giai đoạn hai và giai đoạn ba (tùy chọn) diễn ra ở máy chủ của mạng riêng.

Trong giai đoạn đầu, ISP có thể sử dụng số điện thoại của người dùng hoặc tên

người dùng để xác định dịch vụ L2TP được yêu cầu và khởi tạo kết nối đường hầm đến

máy chủ của mạng riêng. Khi đường hầm được thiết lập, LAC của ISP phải chỉ định

một số nhận dạng cuộc gọi (Call ID) mới để định danh cho kết nối trong đường hầm

và khởi tạo phiên làm việc bằng cách chuyển thông tin xác thực đến máy chủ của mạng

riêng.

Máy chủ của mạng riêng sẽ tiến hành tiếp bước thứ hai là quyết định có chấp

nhận hay từ chối cuộc gọi. Cuộc gọi từ ISP chuyển đến có thể mang CHAP, PAP, EAP

hay bất kỳ thông tin nào, máy chủ sẽ dựa vào các thông tin này để quyết định chấp

nhận hay từ chối cuộc gọi này.

Sau khi cuộc gọi được chấp nhận thì máy chủ mạng có thể khởi động giai đoạn

thứ ba của việc xác thực tại lớp PPP. Bước này tương tự như máy chủ xác thực một

người dùng quay số truy cập vào thẳng máy chủ.

Mặc dù bai giai đoạn này cho phép người dùng, ISP và máy chủ của mạng riêng

xác định được tính chính xác của cuộc gọi nhưng vẫn chưa bảo mật cho dữ liệu tránh

khỏi sự can thiệp sửa đổi.

Giữa hai đầu của đường hầm xác thực luồng qua lại lẫn nhau trong suốt quá

trình thiết lập đường hầm. Cơ chế xác thực cũng tương tự như thuộc tính bảo mật của

CHAP bảo mật chống lại các vụ tấn công trong suốt tiến trình thiết lập đường hầm. Tuy

nhiên nó vẫn còn đơn giản cho kẻ tấn công xen vào và chiếm đường hầm ngay khi quá

trình xác thực đường hầm vừa mới hoàn tất.

Mặc dù xác thực L2TP cho phép xác thực qua lại lẫn nhau giữa LAC và LNS

trong suốt quá trình thiết lập đường hầm nhưng nó không bảo mật cho các luồng thông

báo điều khiển và thông báo dữ liệu. Sự khiếm khuyết này làm cho đường hầm dễ bị

tấn công bao gồm việc chèn gói dữ liệu vào để chiếm quyền điều khiển đường hầm hay

kết nối PPP, hoặc phá vỡ việc đàm phán PPP, lấy được mật khẩu người dùng…

Xác thực PPP từ client đến LNS nhưng nó không cung cấp xác thực cho gói,

không toàn vẹn dữ liệu, hoặc bảo mật. Mã hóa PPP là một yêu cầu tin cậy cho luồng

PPP nhưng nó không có xác thực địa chị, toàn vẹn dữ liệu, quản lý khóa nên làm cho

nó trở thành công cụ bảo mật yếu kém, không thể giúp cho bảo mật trong kênh L2TP.

Nguyễn Mạnh Hùng, Lớp D04VT1 48

Page 65: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN

Để xác thực trong L2TP được như mong muốn, cần phải phân phối khóa. Mặc

dù phân phối khóa bằng tay có thể khả thi trong một số trường hợp, nhưng yêu cầu phải

có một giao thức quản lý khóa cho mọi trường hợp.

Đối với đường hầm L2TP trên IP, bảo mật gói IP sử dụng IPSec cung cấp khả

năng bảo mật cao cho đường hầm. Việc bảo mật này không đòi hỏi phải sửa đổi giao

thức L2TP.

Cần chú ý là một vài loại tấn công được tiến hành trên kết nối PPP giữa client

quay số và NAS/LAC. L2TP sẽ là một giải pháp tốt cho VPN nếu như nó bảo mật dữ

liệu đầu cuối – đầu cuối. Điều này dẫn đến phải có kế hoạch sử dụng IPSec để mã hóa

các gói, tối thiểu là cho các đường hầm dựa trên IP.

Bởi vì các chức năng của ESP được định nghĩa trên tải IP nên tiêu đề IP không

cần thiết cho ESP. Do đó L2TP trên các mạng không phải IP có thể chuyển được các

gói ESP. Nhưng việc chuyển khóa và đàm phán SA lại là vấn đề khác. Đối với IKE,

các thông báo tải trên UDP, điều này làm cho các môi trường không phải là IP phải hỗ

trợ việc truyền gói dữ liệu UDP.

Hãy xem xét IPSec được thực thi như thế nào trong đường hầm tự nguyện và bắt

buộc. Trong trường hợp đường hầm bắt buộc, người dùng gửi những gói PPP đến LAC

mà không cần quan tâm đến đường hầm được tạo giữa LAC và LNS tại mạng riêng.

Một SA được thiết lập giữa LAC và LNS dựa trên yêu cầu và danh định của người

dùng và SA này chỉ được biết đến bởi LAC và LNS, người dùng không quan tâm đến.

Nguyễn Mạnh Hùng, Lớp D04VT1 49

Page 66: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN

Hình 2.24: Mã hóa gói cho đường hầm bắt buộc.

Do người dùng đầu cuối không quan tâm đến dịch vụ bảo mật dữ liệu nằm giữa

LAC và LNS, nên cách giải quyết tốt nhất cho người dùng đầu cuối là IPSec được thực

thi ngay tại máy của họ. Tuy nhiên không phải các điểm kết thúc đường hầm nào cũng

tương thích IPSec, điều này có thể giải quyết bằng cách đàm phán lại chỉ sử dụng mã

hóa PPP (Hình 2.25). Trong cả hai trường hợp LAC của ISP phải chèn IPSec AH vào

luồng dữ liệu nhưng lại để cho người dùng đầu cuối chọn là ESP cho đầu cuối tương

thích IPSec hay mã hóa PPP cho đầu cuối tương thích không IPSec.

Trong trường hợp đường hầm tự nguyện, người dùng đóng vai trò là điểm kết

thúc đường hầm, do đó có thể tiến hành đàm phán SA với LNS tại mạng riêng. Tuy

nhiên việc đàm phán lại phụ thuộc vào cả hai đầu có thương thích với IPSec hay không

(Hình 2.26). Do người dùng đóng vai trò là điểm kết thúc của đường hầm nên IPSec

AH được áp dụng ngay máy của họ chứ không phải trên thiết bị của ISP. Nếu như đích

đến không tương thích IPSec thì mã hóa ESP chỉ bảo mật dữ liệu cho đến khi nó đến

LNS của mạng riêng.

Nguyễn Mạnh Hùng, Lớp D04VT1 50

Page 67: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN

Hình 2.26: Mã hóa gói cho đường hầm tự nguyện

2.5.4.1.4 Đường hầm kết nối LAN – LAN Mặc dù chức năng chính của L2TP là cho quay số truy nhập VPN sử dụng client

PPP, nhưng nó cũng thích hợp cho kết nối LAN – LAN trong VPN.

Đường hầm kết nối LAN – LAN được thiết lập giữa hai máy chủ của L2TP với

ít nhất một trong hai máy chủ phải có kết nối quay số tới ISP để khởi tạo phiên làm

việc PPP. Thiết kế này thích hợp cho mạng LAN của văn phòng chi nhánh kết nối vào

văn phòng chính khi kết nối không cần phải duy trì thường xuyên.

Hai bên đóng vai trò vừa là LAC và LNS, khởi tạo và kết thúc đường hầm khi

cần thiết (hình 2.27).

Đối với LAN kết nối vào LAN thường xuyên thông qua Internet (sử dụng Frame

Relay, T1,…) cần tồn tại đường tắt trong tiến trình xác thực bởi vì RAS của ISP không

đóng vai trò là LAC.

Nguyễn Mạnh Hùng, Lớp D04VT1 51

Page 68: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN

Hình 2.27: Đường hầm L2TP kết nối LAN – LAN

2.5.4.1.5 Quản lý khóaKhi hai đối tượng muốn chuyển giao dữ liệu một cách bảo mật thì họ cần phải

chắc là cả hai bên xử lý dữ liệu như nhau. Cả hai bên phải cùng sử dụng chung giải

thuật mã hóa, cùng chiều dài từ khóa, cùng chung một khóa thì dữ liệu truyền mới

được bảo mật. Điều này được xử lý thông qua bảo mật kết hợp SA (Security

Association).

Một IPSec SA mô tả các vấn đề sau:

- Giải thuật xác thực sử dụng cho AH và khóa của nó.

- Giải thuật mã hóa ESP và khóa của nó.

- Dạng thức và kích thước của đồng bộ mật mã sử dụng trong giải thuật mã hóa.

- Giao thức, giải thuật, khóa sử dụng cho việc truyền thông.

- Giao thức, giải thuật mã hóa, khóa sử dụng cho việc truyền thông riêng.

- Bao lâu thì khóa được thay đổi.

- Giải thuật xác thực, kiểu, chức năng sử dụng trong ESP và khóa được sử dụng

bởi giải thuật đó.

- Thời gian sống của khóa.

- Thời gian sống của SA.

- Địa chỉ nguồn SA.

Mặc dù SA giúp hai đối tượng truyền thông định nghĩa phương thức mã hóa mà

họ sẽ thực hiện nhưng việc chuyển giao khóa lại do IKE đảm nhiệm. IKE có các khả

năng sau:

- Cung cấp các phương tiện cho hai bên thỏa thuận sử dụng các giao thức, giải

thuật và khóa.

- Đảm bảo ngay từ lúc bắt đầu chuyển khóa là truyền thông đúng đối tượng.

Nguyễn Mạnh Hùng, Lớp D04VT1 52

Page 69: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN

- Quản lý khóa sau khi chúng được chấp nhận trong tiến trình thỏa thuận.

- Đảm bảo các khóa được chuyển một cách bảo mật.

Chuyển khóa giống tương tự như quản lý SA. Khi cần tạo một SA cần phải

chuyển khóa. Do đó cấu trúc của IKE bọc chúng lại với nhau và chuyển chúng đi như

một gói tích hợp.

Bởi vì IKE dựa trên IP nên nó dễ dàng được ghép vào L2TP chạy trên mạng IP

hơn là trên mạng không phải là IP.

2.5.4.2 Sử dụng L2TPBởi vì chức năng chính của L2TP là cho quay số truy cập VPN thông qua

Internet nên các thành phần của L2TP cũng tương tự như PPTP. Thành phần quan

trọng nhất của L2TP là định nghĩa điểm kết thúc một đường hầm L2TP, LAC và LNS

(hình 2.28). Bởi vì các điểm này có thể nằm trên thiết bị ISP nên phần mềm cho client

di động có thể không cần thiết.

Mặc dù LNS có thể cài đặt ngay tại công ty và điều hành bởi một nhóm làm việc

của công ty, nhưng LAC nên được hỗ trợ dựa trên ISP. Thực ra nếu như trên máy client

từ xa có cài sẵn client L2TP thì ISP không cần phải hỗ trợ thêm L2TP.

Tại site của mạng riêng, máy chủ L2TP đóng vai trò như một cổng nối bảo mật,

nối kết xác thực với RADIUS hay các miền Windowns. Client L2TP tại máy tính xách

tay của người dùng có thể thực thi những chức năng giống như phần mềm client IPSec.

2.5.4.2.1 Các máy chủ mạng L2TPMột máy chủ L2TP có hai chức năng chính là: Nó đóng vai trò là điểm kết thúc

của đường hầm PPTP và chuyển các gói đến từ đường hầm đến mạng LAN riêng. Máy

chủ L2TP chuyển các gói đến các máy đích bằng cách xử lý gói L2TP để có được địa

chỉ mạng của máy tính đích.

Nguyễn Mạnh Hùng, Lớp D04VT1 53

Page 70: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN

Hình 2.28: Các thành phần cơ bản của L2TPKhông giống như PPTP, L2TP không có khả năng lọc các gói. Hệ thống để dành

nhiệm vụ đó cho tường lửa.

Khi có tích hợp giữa máy chủ mạng và tường lửa thì L2TP có ưu điểm hơn

PPTP. Trước hết, L2TP không đòi hỏi chỉ có một cổng duy nhất gán cho tường lửa như

PPTP (cổng mặc định cho L2TP là 1701). Chương trình quản lý có tùy chọn để cổng

gán cho tường lửa, điều này gây khó khăn cho kẻ tấn công vào một cổng đã biết trong

khi cổng đó có thể được đổi thành một số khác. Thứ hai là luồng dữ liệu và thông tin

điều khiển được truyền trên cùng một cổng UDP, việc thiết lập tường lửa sẽ đơn giản

hơn. Do một tường lửa tường lửa không có hỗ trợ GRE nên chúng tương thích với

L2TP hơn là với PPTP.

2.5.4.2.2 Phần mềm client L2TPNếu như các thiết bị của ISP đã hỗ trợ L2TP thì không cần phần cứng hay phần

mềm nào cho các client, chỉ cần kết nối chuẩn PPP là đủ. Nhưng chú ý là thiết lập trên

không sử dụng được mã hóa của IPSec, điều đó có nghĩa là nên sử dụng các client

tương thích L2TP cho L2TP VPN.

Sau đây là một số đặc điểm của phần mềm client L2TP:

Nguyễn Mạnh Hùng, Lớp D04VT1 54

Page 71: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN

- Tương thích với những thành phần khác của IPSec (như máy chủ mã hóa, giao

thức chuyển khóa, giải thuật mã hóa…).

- Đưa ra một chỉ báo rõ ràng khi IPSec đang hoạt động.

- Hỗ trợ tải SA về.

- Hàm băm xử lý được các địa chỉ IP động.

- Có cơ chế bảo mật khóa chống lại kể trộm (mã hóa khóa với mật khẩu).

- Có cơ chế chuyển đổi mã hóa một cách tự động và định kỳ.

- Chặn toàn bộ các lưu lượng không – IPSec.

2.5.4.2.3 Các bộ tập trung truy cập mạngKhông giống như IPSec VPN, trong một số trường hợp thiết kế của L2TP VPN

phụ thuộc vào giao thức hỗ trợ bởi ISP. Việc hỗ trợ đặc biệt quan trọng khi các client

từ xa không có client L2TP có thể sử dụng client PPP để truy cập.

Bởi vì các ISP có thể cung cấp các dịch vụ L2TP mà không cần phải thêm hỗ trợ

L2TP vào máy chủ truy cập của họ, điều này đòi hỏi tất cả người dùng phải có client

L2TP tại máy của họ. Điều này mang lại ưu điểm là người dùng có thể sử dụng dịch vụ

của nhiều ISP khi mà mô hình mạng của họ rộng lớn về mặt địa lý.

Một ISP cung cấp dịch vụ L2TP cần phải cài một NAS cho phép L2TP để hỗ trợ

cho các client L2TP chạy trên các nền khác nhau như Unix, Windows, Macintosh.

Trong các trường hợp như thế ISP ACS đóng vai trò như điểm cuối của đường hầm

L2TP bắt buộc điểm kết thúc còn lại là máy chủ tại đầu mạng riêng.

Việc lựa chọn một nhà ISP cung cấp dịch vụ L2TP VPN có thể thay đổi tùy theo

yêu cầu thiết kế mạng. Nếu thiết kế một VPN đòi hỏi mã hóa đầu cuối – đầu cuối thì

cần cài các client tương thích L2TP tại các host đầu xa và thỏa thuận với ISP là sẽ xử

lý mã hóa từ máy đầu xa đến tận máy chủ của mạng VPN. Nếu xây dựng một mạng ít

bảo mật hơn, khả năng chịu đựng lỗi cao hơn và chỉ muốn bảo mật dữ liệu khi nó đi

trong đường hầm trên Internet thì thỏa thuận với ISP để họ hỗ trợ LAC và mã hóa dữ

liệu chỉ từ đoạn LAC đến LNS của mạng riêng VPN.

2.5.4.2.4 Một số ví dụ minh họa ứng dụng L2TP trong VPNTrong ví dụ chỉ đề cập đến việc trao đổi dữ liệu giữa hai điểm cuối, không quan

tâm đến thông tin trong mạng được bảo mật như thế nào (sử dụng tường lửa chẳng

hạn). Các host được nối tới máy chủ L2TP và mọi ngõ đi ra ngoài đều phải thông qua

máy chủ L2TP kết hợp với tường lửa. Kết nối giữa site trong mạng và site bên ngoài

Nguyễn Mạnh Hùng, Lớp D04VT1 55

Page 72: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN

phải được khóa lại sao cho chỉ có người quản trị mạng mới truy cập tới được máy chủ

mã hóa.

Trong ví dụ hình 2.29, công ty A quyết định sử dụng dịch vụ VPN có hỗ trợ của

ISP. Điều này có nghĩa là ISP cung cấp kết nối Internet cho công ty A có máy chủ

proxy RADIUS và LAC. Ở tại công ty A vẫn có duy trì máy chủ RADIUS và LNS. Do

ISP có hỗ trợ L2TP nên các máy đầu xa không cần phải cài client L2TP.

Hình 2.29: Quay số L2TP trong VPN

2.5.4.3 Khả năng áp dụng của L2TPL2TP là một thế hệ giao thức quay số truy cập mới của VPN. Nó phối hợp

những đặc điểm tốt nhất của PPTP và L2F. Hầu hết các nhà cung cấp sản phẩm PPTP

đều đưa ra các sản phẩm tương thích L2TP hoặc sẽ giới thiệu sau này.

Mặc dù L2TP chủ yếu chạy trên mạng IP, nhưng khả năng chạy trên các mạng

khác như Frame Relay, ATM đã làm nó thêm phổ biến.

Nguyễn Mạnh Hùng, Lớp D04VT1 56

Page 73: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương II: Các giao thức hoạt động trong VPN

L2TP cho phép một số lượng lớn client từ xa được kết nối vào VPN hay cho các

kết nối LAN – LAN có dung lượng lớn. L2TP có cơ chế điều khiển luồng để làm giảm

đi tắc nghẽn trên đường hầm L2TP.

L2TP cho phép thiết lập nhiều đường hầm với cùng LAC và LNS. Mỗi đường hầm có thể được gán cho một người dùng xác định, hoặc một nhóm các người dùng và gán cho các môi trường khác nhau tùy theo thuộc tính chất lượng dịch vụ QoS của người dùng.

Nguyễn Mạnh Hùng, Lớp D04VT1 57

Page 74: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương III: Mạng riêng ảo trên nền MPLS

PHẦN II

CHƯƠNG III: MẠNG RIÊNG ẢO TRÊN NỀN MPLS

MPLS – VPN được coi là sự kết hợp các ưu điểm của cả hai mô hình mạng riêng

ảo chồng lấn và ngang hàng. Việc thiết lập các mạng riêng ảo trên nền MPLS cho phép

đảm bảo định tuyến tối ưu giữa các site khách hàng, phân biệt địa chỉ khách hàng thông

qua nhận dạng định tuyến và hỗ trợ xây dựng các mô hình VPN phức tạp trên cơ sở

đích định tuyến.

Trong phần này trình bày những vấn đề cơ bản về mạng riêng ảo trên nền MPLS,

nguyên lý hoạt động cũng như khả năng mà MPLS – VPN mang lại. Các đặc điểm

chính của hai loại hình mạng riêng ảo trên nền IPSec và MPLS cũng được so sánh để

qua đó làm nổi bật những ưu điểm của giải pháp VPN – MPLS.

3.1 Các thành phần của MPLS – VPN

3.1.1 Hệ thống cung cấp dịch vụ MPLS – VPNMột khái niệm quan trọng cần nhắc lại khi nghiên cứu về mạng riêng ảo trên nền

MPLS là các site. VPN là một tập hợp nhiều site chia sẻ cùng thông tin định tuyến

chung. Như vậy, một site có thể thuộc về nhiều hơn một VPN nếu nó nắm giữ các

quyền từ mỗi VPN riêng. Điều này cung cấp khả năng xây dựng các VPN cục bộ, mở

rộng cũng như các VPN truy nhập từ xa. Khi các site của VPN thuộc về một doanh

nghiệp thì VPN đó được coi là cục bộ, còn nếu các site của VPN thuộc về những doanh

nghiệp khác nhau thì VPN đó là VPN mở rộng.

Một cách khái quát, mô hình hệ thống cung cấp dịch vụ MPLS – VPN được thể

hiện trên hình 3.1

Nguyễn Mạnh Hùng, Lớp D04VT1 58

Page 75: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương III: Mạng riêng ảo trên nền MPLS

Hình 3.1: Hệ thống cung cấp dịch vụ MPLS – VPN và các thành phần.

Như trên hình vẽ ta có thể thấy, các thành phần cơ bản trong MPLS – VPN bao

gồm:

- Mạng lõi IP/MPLS được quản trị bởi nhà cung cấp dịch vụ.

- Bộ định tuyến lõi của mạng nhà cung cấp.

- Bộ định tuyến biên của mạng, cung cấp thông tin định tuyến của khách hàng và

thực hiện đáp ứng dịch vụ cho khách hàng từ phía nhà cung cấp.

- Bộ định tuyến biên của các hệ tự trị AS (Autonomous System), thực hiện vai trò

kết nối với các AS khác. Những AS này có thể có cùng hoặc khác nhà điều hành.

- Mạng khách hàng, được coi là mạng truy nhập tới vùng mạng lõi.

- Bộ định tuyến khách hàng, đóng vai trò là cầu nối giữa mạng khách hàng và

mạng của nhà cung cấp. Những bộ định tuyến này có thể được quản trị bởi khách

hàng hoặc nhà cung cấp dịch vụ.

3.1.2 Bộ định tuyến biên của nhà cung cấp dịch vụNhư đã giới thiệu ở trên, thành phần rất quan trọng và không thể thiếu khi triển

khai MPLS – VPN là các thiết bị định tuyến biên của nhà cung cấp dịch vụ. Các bộ

định tuyến biên PE trong MPLS – VPN có kiến trúc giống như kiến trúc VPN ngang

hàng dùng chung bộ định tuyến chia sẻ, chỉ có sự khác biệt là toàn bộ mọi thứ được tập

trung trong một thiết bị vật lý (hình 3.2)

Nguyễn Mạnh Hùng, Lớp D04VT1 59

Page 76: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương III: Mạng riêng ảo trên nền MPLS

Hình 3.2: Bộ định tuyến PE và sơ đồ kết nối các site khách hàng.

Như thể hiện trong hình vẽ, mỗi site khách hàng đăng kí một bảng định tuyến

độc lập gọi là bảng định tuyến ảo, tương ứng với một bộ định tuyến ảo như trong mô

hình VPN ngang hàng. Một bộ định tuyến ảo cho phép nhiều site của khách hàng cùng

kết nối tới nó. Việc định tuyến qua mạng của nhà cung cấp được thực hiện bởi một tiến

trình định tuyến khác, sử dụng bảng định tuyến toàn cục.

3.1.3 Bảng định tuyến và chuyển tiếp ảo.Sự kết hợp giữa bảng định tuyến và bảng chuyển tiếp VPN tạo thành một bảng

định tuyến chuyển tiếp ảo VRF (Vitual Routing and Forwarding). Mỗi VPN đều có một

bảng định tuyến và chuyển tiếp riêng của nó trong bộ định tuyến PE, và mỗi bộ định

tuyến PE duy trì một hoặc nhiều bảng VRF. Mỗi site mà có bộ định tuyến PE nối vào

đó sẽ liên kết với một trong các bảng này. Địa chỉ IP đích của một gói tin chỉ được kiểm

tra trong bảng VRF mà nó thuộc về nếu gói tin này đến trực tiếp từ site tương ứng với

bảng VRF đó. Một VRF đơn giản chỉ là một tập hợp các tuyến thích hợp cho một site

nào đó (hoặc một tập hợp gồm nhiều site) kết nối đến bộ định tuyến PE. Các tuyến này

có thể thuộc về một hoặc nhiều VPN.

Ví dụ, giả sử có ba bộ định tuyến PE là PE1, PE2, PE3, và ba bộ định tuyến CE

là CE1, CE2, CE3. Cũng giả sử rằng PE1 tiếp nhận từ CE1 các tuyến hợp lệ ở site CE1,

Nguyễn Mạnh Hùng, Lớp D04VT1 60

Page 77: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương III: Mạng riêng ảo trên nền MPLS

còn PE2 và PE3 tương ứng được nối tới các site CE2 và CE3. Cả ba site này đều thuộc

về cùng một VPN V. Khi đó PE1 sẽ sử dụng BGP để phân phối cho PE2 và PE3 các

tuyến mà nó học được từ các site CE1. PE2 và PE3 sử dụng các tuyến này để đưa vào

bảng chuyển tiếp dành cho site CE2 và CE3. Các tuyến từ những site không thuộc vào

VPN V sẽ không xuất hiện trong bảng chuyển tiếp này, có nghĩa là các gói tin CE2 và

CE3 không thể gửi đến những site không thuộc VPN V.

Nếu một site thuộc về nhiều VPN, bảng chuyển tiếp tương ứng với site đó có thể

có nhiều tuyến liên quan đến tất cả VPN mà nó phụ thuộc. PE chỉ duy trì một bảng VRF

cho nhiều site. Các site khác nhau có thể chia sẻ cùng một bảng VRF nếu sử dụng tập

hợp các tuyến một cách chính xác như trong bảng VRF đó. Nếu tất cả các site có thông

tin định tuyến giống nhau (điều này thường do các site đó cùng thuộc về tập hợp VPN)

thì chúng sẽ được phép liên lạc trực triếp với nhau, và nếu kết nối tới cùng một bộ định

tuyến PE thì chúng sẽ được đặt vào cùng một bảng VRF chung.

Giả sử bộ định tuyến PE nhận được gói tin từ một site nối trực tiếp với nó. Ta gọi

site này là site A nhưng địa chỉ đích của gói tin không có trong tất cả các thực thể của

bảng chuyển tiếp tương ứng với site A. Nếu nhà cung cấp dịch vụ không cung cấp khả

năng truy nhập Internet cho site A thì gói tin sẽ bị loại bỏ vì không thể phân phối được

tới đích. Nhưng nếu nhà cung cấp dịch vụ có hỗ trợ truy nhập Internet cho site A thì lúc

này địa chỉ đích của gói tin sẽ được tìm kiếm trong bảng định tuyến toàn cục. Do đó,

bất kỳ bộ định tuyến PE nào trong mạng MPLS – VPN cũng đều có nhiều bảng định

tuyến trên mỗi VRF và một bảng định tuyến toàn cục. Bảng định tuyến này được sử

dụng để tìm các bộ định tuyến khác trong mạng nhà cung cấp dịch vụ cũng như các

đích thuộc về mạng bên ngoài (ví dụ như Internet).

Tóm lại, VRF được sử dụng cho một site VPN hoặc nhiều site kết nối đến cùng

một bộ định tuyến PE miễn là những site này chia sẻ chính xác các yêu cầu kết nối

giống nhau. Do đó, cấu trúc của bảng VRF có thể bao gồm:

- Bảng định tuyến IP.

- Bảng chuyển tiếp.

- Tập hợp các quy tắc và các tham số giao thức định tuyến (gọi là Routing

Protocol Context).

- Danh sách các giao diện sử dụng trong VRF.

Nguyễn Mạnh Hùng, Lớp D04VT1 61

Page 78: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương III: Mạng riêng ảo trên nền MPLS

3.2 Các mô hình MPLS – VPNHiện nay có hai mô hình triển khai mạng riêng ảo trên nền MPLS phổ biến là

mạng riêng ảo lớp 3 (L3VPN) và mạng riêng ảo lớp 2 (L2VPN). Sau đây sẽ giới thiệu

những đặc điểm chính của hai mô hình này.

3.2.1 Mô hình V3VPNKiến trúc mạng riêng ảo L3VPN được chia thành hai lớp, tương ứng với các lớp

3 và lớp 2 trong mô hình OSI. L3VPN dựa trên RFC 2547 bits, mở rộng một số đặc tính

cơ bản của giao thức cổng biên BGP (Border Gateway Protocol) và tập trung vào hướng

đa giao thức của BGP nhằm phân bổ các thông tin định tuyến qua mạng lõi của nhà

cung cấp dịch vụ cũng như là chuyển tiếp các lưu lượng VPN qua mạng lõi.

Trong kiến trúc L3VPN, các bộ định tuyến khách hàng của nhà cung cấp được

coi là các phần tử ngang hàng. Bộ định tuyến biên khách hàng CE cung cấp thông tin

định tuyến tới bộ định tuyến biên nhà cung cấp PE. PE lưu các thông tin định tuyến

trong bảng định tuyến và chuyển tiếp ảo VRF. Mỗi khoản mục của VRF tương ứng với

một mạng khách hàng và hoàn toàn biệt lập với các mạng khách hàng khác. Người sử

dụng VPN chỉ được phép truy nhập tới các site hoặc máy chủ trong cùng một mạng

riêng này. Bộ định tuyến PE còn hỗ trợ các bảng định tuyến thông thường nhằm chuyển

tiếp lưu lượng của khách hàng qua mạng công cộng. Một cấu hình mạng L3VPN dựa

trên MPLS được chỉ ra trên hình 3.3.

Hình 3.3: Mô hình MPLS L3VPN

Nguyễn Mạnh Hùng, Lớp D04VT1 62

Page 79: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương III: Mạng riêng ảo trên nền MPLS

Các gói tin IP qua miền MPLS được gắn hai loại nhãn, bao gồm nhãn MPLS chỉ

thì đường dẫn chuyển mạch nhãn LSP và nhãn chỉ thị định tuyến/chuyển tiếp ảo VRF.

Ngăn xếp nhãn được thiếp lập để chứa các nhãn trên. Các bộ định tuyến P của nhà cung

cấp xử lý nhãn LSP để chuyển tiếp các gói tin qua miền MPLS. Nhãn VRF chỉ được xử

lý tại thiết bị định tuyến biên PE nối với bộ định tuyến khách hàng.

Mô hình L3VPN có ưu điểm là không gian địa chỉ khách hàng được quản lý bởi

nhà khai thác, và như vậy nó cho phép đơn giản hóa việc triển khai kết nối với nhà cung

cấp. Ngoài ra, L3VPN còn cung cấp khả năng định tuyến động để phân phối các thông

tin định tuyến với các bộ VPN. Tuy nhiên, L3VPN chỉ hỗ trợ các lưu lượng IP hoặc lưu

lượng đóng gói vào gói tin IP. Đồng thời, việc tồn tại hai bảng định tuyến tại các thiết

bị biên mạng cũng là một vấn đề phức tạp trong điều hành và ảnh hưởng tới khả năng

mở rộng các hệ thống thiết bị.

3.2.2 Mô hình L2VPNMô hình mạng riêng ảo lớp 2 được phát triển sau và các tiêu chuẩn vẫn trong giai

đoạn hoàn thiện. Cách tiếp cận L2VPN hướng tới việc thiết lập các đường hầm qua

mạng MPLS để xử lý các kiểu lưu lượng khác nhau như Ethernet, FR, ATM, và

PPP/HDLC.

Có hai dạng L2VPN cơ bản là:

- Điểm tới điểm: Tương tự như trong công nghệ ATM và FR, nhằm thiết lập các

đường dẫn chuyển mạch ảo qua mạng.

- Điểm tới đa điểm: Hỗ trợ các cấu hình mắt lưới và phân cấp.

Trong những năm gần đây, dịch vụ LAN ảo dựa trên mô hình L2VPN đa điểm sử

dụng công nghệ truy nhập Ethernet đã được triển khai rộng rãi. Giải pháp này cho phép

liên kết các mạng Ethernet qua hạ tầng MPLS trên cơ sở nhận dạng lớp hai, vì vậy giảm

được độ phức tạp của các bộ định tuyến lớp ba. Trong mô phòng L2VPN các bộ định

tuyến CE và PE không nhất thiết phải được coi là ngang hàng (hình 3.4). Thay vào đó,

chỉ cần tồn tại kết nối lớp hai giữa các bộ định tuyến này. Bộ định tuyến PE chuyển

mạch các luồng lưu lượng vào trong các đường hầm đã được cấu hình trước tới các bộ

định tuyến PE khác.

Nguyễn Mạnh Hùng, Lớp D04VT1 63

Page 80: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương III: Mạng riêng ảo trên nền MPLS

Hình 3.4: Mô hình MPLS L2VPN

L2VPN xác định khả năng tìm kiếm qua mặt phẳng dữ liệu bằng địa chỉ học

được từ các bộ định tuyến lân cận. L2VPN sử dụng ngăn xếp nhãn tương tự như trong

L3VPN. Nhãn MPLS bên ngoài được sử dụng để xác định đường dẫn cho lưu lượng

qua miền MPLS, còn nhãn kênh ảo VC nhận dạng các mạng LAN ảo, VPN hoặc kết nối

tại các điểm cuối. Một trường nhãn tùy chọn sử dụng để điều khiển đóng các kết nối lớp

hai được đặt trong cùng ngăn xếp sát với trường dữ liệu.

L2VPN có ưu điểm quan trọng nhất là cho phép các giao thức lớp cao được

truyền trong suốt đối với MPLS. Nó có thể hoạt động trên hầu hết các công nghệ lớp

hai gồm ATM, FR, Ethernet và mở ra khả năng tích hợp các mạng phi kết nối IP với

các mạng hướng kết nối. Ngoài ra, trong giải pháp này người sử dụng đầu cuối không

cần phải cấu hình định tuyến cho các bộ định tuyến khách hàng CE.

3.3 Hoạt động của MPLS – VPN.

3.3.1 Truyền thông tin định tuyếnCác bộ định tuyến PE cần phải trao đổi thông tin trong các bảng định tuyến ảo để

đảm bảo việc định tuyến dữ liệu giữa các site khách hàng nối với những bộ định tuyến

này. Bài toán đặt ra là phải có một giao thức định tuyến để truyền thông tin để tất cả các

tuyến khách hàng dọc theo mạng nhà cung cấp mà vẫn duy trì được không gian địa chỉ

độc lập giữa các khách hàng khác nhau.

Nguyễn Mạnh Hùng, Lớp D04VT1 64

Page 81: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương III: Mạng riêng ảo trên nền MPLS

Một giải pháp đã được đề xuất trên cơ sở sử dụng giao thức định tuyến riêng cho

mỗi khách hàng. Các bộ định tuyến PE có thể được kết nối thông qua các đường hầm

điểm – điểm (và giao thức định tuyến cho mỗi khách hàng sẽ hoạt động giữa các bộ

định tuyến PE) hoặc là bộ định tuyến P của nhà cung cấp có thể tham gia vào quá trình

định tuyến của khách hàng. Giải pháp này mặc dù thực hiện đơn giản nhưng lại không

có khả năng mở rộng và phải đối mặt với nhiều vấn đề khi có nhu cầu cung cấp dịch vụ

VPN cho số lượng lớn khách hàng. Những khó khăn này liên quan tới việc các bộ định

tuyến PE phải chạy một số lượng lớn giao thức định tuyến, còn bộ định tuyến P thì phải

lưu thông tin của tất cả các tuyến khách hàng.

Một giải pháp khác dựa trên việc triển khai một giao thức định tuyến để trao đổi

thông tin của tất cả các tuyến khách hàng dọc theo mạng nhà cung cấp dịch vụ. Rõ ràng

giải pháp này có ưu điểm hơn nhưng bộ định tuyến P vẫn phải tham gia vào định tuyến

khách hàng do đó vẫn không giải quyết được vấn đề mở rộng.

Để hiểu rõ hơn vấn đề mở rộng khi triển khai một giao thức định tuyến trên một

VPN, ta xem xét ví dụ sau đây:

Giả sử mạng đường trục của nhà cung cấp dịch vụ phải đảm bảo cho hơn 100

khách hàng VPN kết nối tới hai bộ định tuyến biên PE sử dụng giao thức định tuyến

OSPF. Bộ định tuyến PE trong mạng đường trục sẽ chạy hơn 100 bản copy tiến trình

định tuyến OSPF độc lập nhau, với mỗi bản copy phải gửi các gói tin hello và gói tin

làm tươi định kỳ qua mạng. Để chạy nhiều hơn một bản copy OSPF qua cùng một liên

kết, ta cần cấu hình subinterface cho một VPN trên liên kết giữa PE và CE, kết quả là sẽ

tạo ra một mô hình phức tạp. Ngoài ra, còn phải chạy 100 thuật toán SPE cũng như duy

trì cơ sở dữ liệu về các cấu hình riêng rẽ trong những bộ định tuyến P của mạng lõi.

Vì vậy, giải pháp tối ưu hơn là việc truyền thông tin định tuyến khách hàng sẽ do

một giao thức định tuyến giữa các bộ định tuyến PE điều hành, còn các bộ định tuyến P

không tham gia vào quá trình định tuyến này. Giải pháp này mang lại hiệu quả cao vì

nó có khả năng mở rộng do số lượng giao thức định tuyến giữa các bộ định tuyến PE

không tăng khi tăng số lượng khách hàng. Đồng thời bộ định tuyến P cũng không mang

thông tin về các tuyến của khách hàng.

Khi số lượng khách hàng lớn, giao thức định tuyến được lựa chọn để sử dụng là

BGP vì giao thức này có thể hỗ trợ số lượng lớn các tuyến. Cùng với BGP, các giao

thức EIGRP và IS – IS cũng có thể mang thông tin định tuyến cho nhiều lớp địa chỉ

Nguyễn Mạnh Hùng, Lớp D04VT1 65

Page 82: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương III: Mạng riêng ảo trên nền MPLS

khác nhau, nhưng IS – IS và EIGRP không có khả năng mở rộng do không mang được

một số lượng lớn các tuyến như BGP, BGP được thiết kế để trao đổi thông tin định

tuyến giữa các bộ định tuyến không kết nối trực tiếp, và đặc điểm này hỗ trợ việc lưu

giữ thông tin định tuyến tại các thiết bị biên mà không cần phải trao đổi với các bộ định

tuyến lõi của mạng nhà cung cấp. Giao thức BGP dùng trong MPLS – VPN được gọi là

Multiprotocol BGP (MP - BGP).

3.3.2 Địa chỉ VPN – IPVới việc triển khai giao thức định tuyến BGP để trao đổi tất cả các tuyến của

khách hàng giữa các bộ định tuyến PE đặt ra một vấn đề là làm thế nào mà BGP có thể

truyền những tiền tố xác định thuộc về các khách hàng khác nhau giữa các bộ định

tuyến PE. BGP sử dụng địa chỉ IP để chọn một đường đi giữa tất cả các đường có thể đi

đến đích. Do đó, BGP không thể làm việc đúng nếu khách hàng sử dụng cùng không

gian địa chỉ.

Chỉ có một giải pháp để giải quyết vấn đề này là mở rộng tiền tố địa chỉ IP của

khách hàng với mục đích làm cho địa chỉ này trở nên duy nhất ngay cả khi có sự trùng

lặp địa chỉ. Ngoài ra, phải đảm bảo rằng chính sách sử dụng để chọn một đường định

tuyến nào trong số các tuyến được BGP sử dụng chỉ có thể có ở trong một bảng VRF

duy nhất.

Việc mở rộng tiền tố địa chỉ IP của khách hàng VPN đã dẫn đến một khái niệm

mới là địa chỉ VPN – IP. Địa chỉ VPN – IP được tạo ra bằng cách ghép hai phần có độ

dài không đổi là trường phân biệt tuyến (Route Distinguisher) và địa chỉ IP cơ sở

( hình 3.5).

Hình 3.5: Địa chỉ VPN – Ipv4

Yếu tố phân biệt thuộc về trường địa phân biệt tuyến khi mạng khách hàng có

cùng địa chỉ IP. Trường này có cấu trúc cho phép mỗi nhà cung cấp dịch vụ VPN tự tạo

ra một giá trị nhận dạng cho tuyến mà không sợ bị trùng với giá trị tương tự sử dụng

Nguyễn Mạnh Hùng, Lớp D04VT1 66

Page 83: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương III: Mạng riêng ảo trên nền MPLS

bởi nhà cung cấp dịch vụ khác. Trường phân biệt tuyến bao gồm ba loại như chỉ ra trên

hình 3.6

Hình 3.6: Khuôn dạng trường phân biệt tuyến.

Trường số hệ tự trị ASN (Autonomous System Number) chứa giá trị số đại diện

cho hệ thống của nhà cung cấp dịch vụ VPN. Trường số gán (Assigned Nember) do

mỗi nhà cung cấp dịch vụ mạng VPN tự quản. Trong hầu hết các trường hợp, nhà cung

cấp dịch vụ ấn định một giá trị trường số gán cho một mạng VPN, tuy nhiên đôi khi

cũng có thể gán nhiều giá trị cho một mạng VPN. Hai mạng VPN do một nhà cung cấp

dịch vụ quản lý sẽ không sử dụng chung một số gán, và số hệ tự trị ASN cũng là duy

nhất trong mạng toàn cầu. Do đó sẽ không có hai mạng VPN nào có trường phân biệt

tuyến trùng nhau. Khi địa chỉ IP là duy nhất trong một mạng VPN thì cũng có nghĩa là

địa chỉ VPN – IP là duy nhất trong mạng toàn cầu.

Đối với giao thức BGP thì việc quản lý các tuyến ứng với địa chỉ VPN – IP

không khác gì việc quản lý tuyến ứng với địa chỉ IP cơ sở. Khả năng hỗ trợ đa giao thức

của MP – BGP làm cho nó có thể quản lý tuyến ứng với nhiều họ địa chỉ khác nhau.

Một điểm quan trọng cần lưu ý là cấu trúc địa chỉ VPN – IP cũng như cấu trúc của

trường phân biệt tuyến ứng với địa chỉ VPN – IP là hoàn toàn mờ đối với BGP. BGP

Nguyễn Mạnh Hùng, Lớp D04VT1 67

Page 84: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương III: Mạng riêng ảo trên nền MPLS

chỉ so sánh phần mào đầu của hai địa chỉ VPN – IP chứ nó không quan tâm đến cấu

trúc của chúng. Vì vậy trong trường hợp này, BGP không cần hỗ trợ thêm các giao thức

phụ mà chỉ sử dụng những đặc tính sẵn có. Các đặc tính mà giao thức BGP sử dụng cho

MPLS – VPN như: đặc tính cộng đồng (Community), định tuyến lọc dựa trên cộng

đồng hay sử dụng tuyến dự phòng. Các đặc tính trên được áp dụng đối với các tuyến

ứng với địa chỉ VPN – IP cũng giống như các tuyến ứng với địa chỉ IP thông thường.

Địa chỉ VPN – IP chỉ hoàn toàn giới hạn trong nhà cung cấp dịch vụ, và các

khách hàng VPN (cụ thể là các thiết bị của khách hàng) không có khái niệm gì về nó.

Địa chỉ VPN – IP chỉ được nhận biết và gán ở bộ định tuyến biên của nhà cung cấp PE.

Đối với mỗi kết nối VPN, bộ định tuyến PE được cấu hình ứng với một giá trị của

trường phân biệt tuyến. Khi PE nhận được một tuyến từ CE kết nối trực tiếp tới nó thì

nó cần xác định CE đó thuộc VPN nào trước khi chuyển thông tin về tuyến này cho

BGP của nhà cung cấp dịch vụ. Bộ định tuyến PE sẽ chuyển địa chỉ IP cơ sở của tuyến

thành địa chỉ VPN – IP bằng cách sử dụng trường phân biệt tuyến đã đặt cho VPN đó.

Một cách tương tự khi PE nhận một tuyến từ BGP của nhà cung cấp dịch vụ, nó sẽ

chuyển thông tin địa chỉ VPN – IP của tuyến thành thông tin địa chỉ IP cơ sở.

Sau đây chúng ta so sánh của trường phân biệt tuyến và các đặc tính cộng đồng

của BGP. Có hai vấn đề tách biệt nhau, và tương ứng với hai vấn đề này là hai cơ chế

riêng biệt. Thứ nhất là làm thế nào để giải quyết việc không duy nhất của địa chỉ IP

trong mạng toàn cầu. Để khắc phục vấn đề này, chúng ta đưa vào sử dụng một loại địa

chỉ mới là địa chỉ VPN – IP và sử dụng trường phân biệt tuyến để làm cho các địa chỉ

này là duy nhất trong mạng toàn cầu. Như vậy, trường phân biệt tuyến không thể sử

dụng cho định tuyến lọc. Thứ hai là cần giải quyết việc làm thế nào để kết nối tuân thủ

các điều kiện ràng buộc. Vấn đề ràng buộc thông tin định tuyến được thực hiện dựa trên

quá trình lọc các đặc tính cộng đồng của BGP. Song các đặc tính cộng đồng của BGP

lại không làm cho các địa chỉ IP trở thành duy nhất.

Lưu ý rằng trong khi một trường phân biệt tuyến không được sử dụng chung cho

các VPN khác nhau, thì một VPN lại có thể sử dụng nhiều trường phân biệt tuyến.

Tương tự như vậy, trong khi các mạng VPN không thể dùng chung một cộng đồng BGP

nhưng một mạng VPN lại có thể sử dụng nhiều cộng đồng của BGP. Vì vậy, trường

phân biệt tuyến cũng như đặc tính cộng đồng không thể sử dụng để xác định một VPN.

Nguyễn Mạnh Hùng, Lớp D04VT1 68

Page 85: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương III: Mạng riêng ảo trên nền MPLS

Điều này cũng phù hợp với định nghĩa mạng VPN là một tập hợp các chính sách để

điều khiển kết nối và quy định chất lượng dịch vụ giữa các site.

Như ta đã biết, BGPv4 hiện nay chỉ có thể thực hiện được với các địa chỉ Ipv4.

Khi đó, việc truyền thông tin tuyến của khách hàng dọc theo mạng MPLS – VPN sẽ

được thực hiện như sau:

- Bộ định tuyến CE gửi cập nhật định tuyến Ipv4 đến bộ định tuyến PE.

- Bộ định tuyến PE sau đó thêm trường phân biệt tuyến (64bit) vào trường địa chỉ

Ipv4 (32bit) mà nó đã nhận, kết quả là tạo ra địa chỉ VPN – IPv4 96bit duy nhất.

- Địa chỉ VPN – Ipv4 này được truyền thông qua phiên MP – iBGP đến các bộ

định tuyến PE khác.

- Bộ định tuyến PE nhận sẽ loại bỏ trường phân biệt tuyến từ địa chỉ VPN – Ipv4

để tạo thành địa chỉ Ipv4 như ban đầu mà CE đầu xa gửi.

- Địa chỉ Ipv4 này được chuyển tiếp đến bộ định tuyến CE khác trong bản cập nhật

định tuyến Ipv4.

Một điểm quan trọng cần nhấn mạnh là địa chỉ VPN – IP chỉ được sử lý trong

các giao thức định tuyến chứ không được tải trong phần mào đầu của gói IP. Vì vậy

VPN – IP không thể sử dụng một cách trực tiếp để chuyển tiếp gói. Nhiệm vụ chuyển

tiếp các gói được thực hiện dựa trên MPLS và sẽ trình bày ở phần sau.

3.3.3 Chuyển tiếp gói tin VPNCác yếu tố cần thiết để đảm bảo cho sự hoạt động của MPLS – VPN bao gồm

giao thức định tuyến và phương thức truyền gói tin qua mạng MPLS trong khi vẫn đảm

bảo được tính chất của VPN.

Với các tuyến khách hàng được truyền dọc theo mạng đường trục MPLS – VPN

lưu lượng giữa các bộ định tuyến CE và PE mặc định là lưu lượng của các gói tin IP.

Bộ định tuyến khách hàng CE hỗ trợ các giao thức định tuyến IP chuẩn và không tham

gia vào MPLS – VPN, bộ định tuyến PE chỉ phải chuyển gói tin IP nhận được từ bộ

định tuyến khách hàng đến các bộ định tuyến PE khác. Rõ ràng là giải pháp này rất khó

thực hiện bởi vì bộ định tuyến P không biết rõ về các tuyến của khách hàng, và vì thế

một số yêu cầu chất lượng dịch vụ sẽ khó có khả năng đáp ứng.

Phương pháp khác có vẻ khả quan hơn là sử dụng đường dẫn chuyển mạch nhãn

LSP giữa các bộ định tuyến PE để chuyển tiếp các gói tin IP theo giá trị nhãn gán vào

chúng (hình 3.7)

Nguyễn Mạnh Hùng, Lớp D04VT1 69

Page 86: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương III: Mạng riêng ảo trên nền MPLS

Hình 3.7: Sử dụng nhãn để chuyển tiếp gói tin VPN

Trong phương pháp này, gói tin IP của khách hàng được gán một nhãn đăng ký

cho bộ định tuyến PE đầu ra (Egress). Các bộ định tuyến lõi không cần biết địa chỉ IP

của khách hàng, và chỉ có gói tin nào được gán nhãn sẽ được chuyển đến bộ định tuyến

PE đầu ra. Các bộ định tuyến lõi chỉ thực hiện các hoạt động chuyển tiếp và phân phối

gói tin khách hàng đến bộ định tuyến PE đầu ra. Tuy nhiên, tại bộ định tuyến PE đầu ra,

gói tin IP của khách hàng không có thông tin nào về VPN hay là VRF để bộ định tuyến

có thể thực hiện kiểm tra VRF, do đó nó có thể bị mất.

Một phương pháp tối ưu hơn có thể được lựa chọn để chuyển tiếp các gói tin là

sử dụng ngăn xếp nhãn (Hình 3.8)

Hình 3.8: Sử dụng ngăn xếp nhãn để chuyển tiếp gói tin VPN

Ngăn xếp nhãn MPLS được sử dụng để chỉ thị cho bộ định tuyến PE đầu ra biết

phải làm gì với gói tin VPN. Ngăn xếp nhãn bao gồm hai nhãn xếp chồng lên nhau gọi

Nguyễn Mạnh Hùng, Lớp D04VT1 70

Page 87: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương III: Mạng riêng ảo trên nền MPLS

là nhãn bên trong (inner label) và nhãn bên ngoài (outer label). Khi gói tin vào mạng,

bộ định tuyến PE đầu vào gán hai loại nhãn này vào gói tin IP. Nhãn trên cùng trong

ngăn xếp là của đường dẫn chuyển mạch nhãn (còn gọi là LDP), đảm bảo cho gói tin

được truyền qua mạng MPLS – VPN đường trục đến bộ định tuyến PE đầu ra.

MPLS sử dụng ngăn nhãn ngoài để chuyển tiếp gói tin từ bộ định tuyến PE đầu

vào qua mạng lõi. Ở mỗi bộ định tuyến P nhãn này được sử dụng để chuyển tiếp gói tin,

nó chính là chỉ số trong bảng chuyển tiếp của bộ định tuyến. Các bộ định tuyến P

chuyển tiếp gói tin dọc theo LSP theo phương pháp hoán đổi nhãn và không bao giờ

kiểm tra nhãn bên trong hoặc địa chỉ đích IP của gói tin. Khi gói tin đến PE đầu ra, bộ

định tuyến này thực hiện tách bỏ nhãn ngoài rồi xử lý nhãn trong. Nhãn trong là nhãn

được bộ định tuyến PE đăng ký cho mỗi VRF, và PE sẽ sử dụng nó để quyết định VRF

nào mà gói tin thuộc về. Nói cách khác, nhãn trong quyết định CE nào gói tin sẽ được

gửi đến.

Theo mặc định, bộ định tuyến PE đầu ra thực hiện tìm kiếm trong bảng chuyển

tiếp VRF sử dụng địa chỉ IP đích của gói tin. Sau đó, nó chuyển tiếp gói IP không nhãn

đến site khách hàng thích hợp. Bản thân các nhãn bên trong được liên lạc giữa các PE

trong các bản tin cập nhật mở rộng MP – iBGP. Nhãn thứ hai trong ngăn xếp nhãn còn

được sử dụng để chỉ trực tiếp đến giao diện đầu ra tới khách hàng. Trong trường hợp

này, bộ định tuyến PE đầu ra chỉ thực hiện kiểm tra nhãn trên gói tin VPN. Tình huống

này thường được dùng khi bộ định tuyến CE là bước kế tiếp của tuyến VPN và nhãn

này có thể chỉ đến một VRF đơn nhất. Bộ định tuyến PE đầu ra thực hiện kiểm tra nhãn

trước để tìm được VRF đích, sau đó mới thực hiện kiểm tra địa chỉ IP trong VRF.

Để hiểu rõ hơn cơ chế hoạt động của quá trình chuyển tiếp gói tin VPN ta xem

một ví dụ trên hình 5.9. Trong ví dụ này PE1 là bộ định tuyến đầu vào, còn PE2 là bộ

định tuyến đầu ra. Bộ định tuyến PE đầu vào có hai nhãn liên quan tới tuyến VPN đầu

xa. Một nhãn dành cho BGP next – hop, được đăng ký bởi bộ định tuyến P kế tiếp

thông qua giao thức phân bổ nhãn LDP và được lấy từ bảng LIB cục bộ. Còn nhãn thứ

hai được đăng ký bởi bộ định tuyến PE đầu xa và được truyền đi thông qua các cập nhật

MP – iBGP. Cả hai nhãn này được kết hợp trong ngăn xếp nhãn và đưa vào bảng VRF.

Nguyễn Mạnh Hùng, Lớp D04VT1 71

Page 88: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương III: Mạng riêng ảo trên nền MPLS

Hình 3.9: Hoạt động chuyển tiếp dữ liệu VPN qua mạng MPLS

Giả sử đường dẫn chuyển mạch nhãn LSP đã được thiết lập giữa PE1 và PE2, và

Host 1 muốn gửi dữ liệu tới Host 2. Host 1 gửi gói tin đến bộ định tuyến CE1. CE1 sẽ

đóng gói gói tin và chuyển đến PE1. PE1 nhận gói tin, và dựa trên giao diện mà gói tin

đến, nó quyết định sử dụng bảng chuyển tiếp của VRF A để định tuyến gói tin. PE1

kiểm tra địa chỉ đích của Host 2 trong bảng chuyển tiếp của VRF A và tìm thấy có địa

chỉ trong đó. PE1 dán nhãn 16 vào gói tin. Đây là nhãn bên trong để nhận diện VRF

trên bộ định tuyến PE2. Nhãn 16 trước đó đã được chuyển từ PE2 đến PE1 thông qua

phiên làm việc MP – iBGP.

Tiếp theo, PE1 dán nhãn 21 vào gói tin và chuyển gói đã dán nhãn đến bộ định

tuyến P1. Nhãn 21 được đặt vào trong ngăn xếp sau nhãn 16. Như vậy, nhãn 21 là nhãn

bên ngoài và sẽ được thay đổi sau mỗi phân đoạn giữa hai bộ định tuyến LSR với nhau.

P1 nhận gói tin từ PE1 và lấy nhãn 21 ra để kiểm tra trong bảng chuyển tiếp. Nó quyết

định dán nhãn 19 thay cho nhãn 21 rồi chuyển tiếp gói tin đến P. P2 nhận gói tin và lấy

nhãn 19 ra để kiểm tra trong bảng chuyển tiếp. Kết quả kiểm tra chỉ thị rằng nó phải dán

nhãn 46 thay cho nhãn 19 rồi chuyển tiếp gói tin đến PE2.

Nguyễn Mạnh Hùng, Lớp D04VT1 72

Page 89: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương III: Mạng riêng ảo trên nền MPLS

PE2 nhận gói tin từ P2, kiểm tra nhãn 46. PE2 được nhận biết là bộ định tuyến

đầu ra của đường chuyển mạch nhãn LSP nên nó giải phóng nhãn 46. Sau đó nó kiểm

tra nhãn tiếp theo là 16 và xác định được gói tin sẽ đi đến VRF A. Địa chỉ IP của gói tin

được kiểm tra trong VRF A để xác định đích và giao diện đầu ra cho gói tin. PE2

chuyển tiếp gói tin đến CE6. CE6 nhận gói tin IP từ PE2 và kiểm tra địa chỉ đích Host

2. Tại đây việc định tuyến được thực hiện dựa trên các giao thức định tyến IGP thông

thường.

Mô hình hệ thống trên có hai mạng riêng ảo là VPN A và VPN B, VPN A gồm

có CE1, CE5 và CE6. VPN B gồm có CE2, CE3, CE4. CE1 có lưu lượng đến đích là

CE5 và CE6. Vì các site này cùng chung một VPN, nên PE1 sử dụng chung bảng

chuyến tiếp là VRF A. Nhãn bên trong xác định VRF đích và nó giống nhau trong tất cả

các gói tin thuộc về VPN đó, ngay cả nếu các gói tin này được chuyển tiếp đến các site

khác nhau. CE2 và CE3 có lưu lượng đến đích là CE4. Vì các bộ định tuyến này thuộc

về VPN B, PE1 sử dụng bảng chuyển tiếp khác cho VPN này là VRF B.Tuy nhiên, cả

hai VPN sử dụng cùng một đường chuyển mạch nhãn LSP vì chúng đều có cùng bộ

định tuyến vào PE1 và bộ định tuyến ra PE2.

3.4 Bảo mật trong MPLS - VPNBảo mật là một trong những yếu tố quan trọng nhất đối với tất cả các giải pháp

mạng VPN. Về khía cạnh bảo mật thì giải pháp VPN dựa trên BGP/MPLS có thể đạt

được ở mức độ tương đương với các giải pháp VPN xây dựng trên công nghệ ATM

hoặc Frame Relay.

Bảo mật cho VPN phải đảm bảo được sự cách ly về thông tin định tuyến cũng

như về không gian địa chỉ của mỗi VPN. Nghĩa là việc cấp địa chỉ của mỗi VPN là

hoàn toàn độc lập nhau. Thông tin định tuyến từ VPN này không được phép sang VPN

khác và ngược lại. Yêu cầu thứ hai là bảo mật phải đảm bảo được cấu trúc mạng lõi

hoàn toàn trong suốt với khách hàng sử dụng dịch vụ. Thứ ba, bảo mật phải đảm bảo

được việc tránh làm giả nhãn như việc làm giả địa chỉ IP và chống lại các cuộc tấn công

từ chối dịch vụ (Denial of Service) cũng như tấn công truy nhập dịch vụ (Instrusion).

Để thấy rõ việc bảo mật trong MPLS – VPN được thực hiện như thế nào, trước

hết cần hiểu rằng MPLS – VPN cho phép sử dụng cùng không gian địa chỉ giữa các

VPN nhưng vẫn đảm bảo được tính duy nhất của địa chỉ các site khách hàng nhờ vào

Nguyễn Mạnh Hùng, Lớp D04VT1 73

Page 90: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương III: Mạng riêng ảo trên nền MPLS

giá trị 64bit của trường phân biệt tuyến. Do đó, khách hàng sử dụng dịch vụ MPLS –

VPN không cần thay đổi địa chỉ hiện tại của mình.

Việc định tuyến trong mạng của nhà cung cấp dịch vụ VPN được thực hiện trên

chuyển mạch nhãn chứ không phải dựa trên địa chỉ IP truyền thống. Hơn nữa, mỗi LSP

tương ứng với một tuyến VPN – IP được bắt đầu và kết thúc tại các bộ định tuyến PE

chứ không phải bắt đầu và kết thúc ở một điểm trung gian nào trong mạng của nhà cung

cấp. Do đó mạng lõi bên trong hoàn toàn trong suốt đối với khách hàng. Mỗi bộ định

tuyến PE duy trì một bảng VRF riêng cho từng VPN, và VRF này chỉ phổ biến các

tuyến thuộc về VPN đó. Nhờ vậy đảm bảo được sự cách ly thông tin định tuyến giữa

các VPN với nhau.

Đối với giải pháp MPLS – VPN, thật khó có thể tấn công trực tiếp vào VPN. Chỉ

có thể tấn công vào mạng lõi MPLS, rồi từ đó tấn công vào VPN. Mạng lõi có thể tấn

công theo hai cách là trực tiếp vào bộ định tuyến PE hoặc vào cơ chế báo hiệu MPLS.

Tuy nhiên, để tấn công vào mạng, trước hết cần phải biết địa chỉ IP của nó. Nhưng

mạng lõi MPLS lại hoàn toàn trong suốt với bên ngoài, do đó kẻ tấn công không thể

biết địa chỉ IP của bất kỳ bộ định tuyến nào trong mạng lõi. Chúng có thể đoán địa chỉ

và gửi gói tin đến những địa chỉ này. Song trong mạng MPLS mỗi gói tin đi vào đều

được xem như là thuộc về không gian địa chỉ nào đó của khách hàng, do đó khó có thể

tìm được các bộ định tuyến bên trong ngay cả khi đoán được địa chỉ.

Có thể việc trao đổi thông tin định tuyến giữa các bộ định tuyến PE và CE sẽ là

điểm yếu trong mạng MPLS – VPN, nhưng trên bộ định tuyến PE có thể dùng ACL và

các phương pháp xác thực của giao thức định tuyến dùng trên kết nối đó sẽ đảm bảo

được vấn đề bảo mật. Việc làm giả nhãn cũng khó có thể xảy ra vì bộ định tuyến PE chỉ

chấp nhận những gói tin từ bộ định tuyến CE gửi đến không có nhãn. Nếu gói tin là có

nhãn thì nhãn đó phải do PE kiểm soát và quản lý.

Từ những vấn đề nêu trên, có thể thấy việc bảo mật trong MPLS – VPN được

đảm bảo ở mức độ rất cao và hoàn toàn có thể so sánh ngang bằng với việc bảo mật

trong các giải pháp dựa trên ATM hay Frame Relay.

3.5 Chất lượng dịch vụ trong MPLS – VPNChất lượng dịch vụ luôn là một vấn đề được quan tâm hàng đầu đối với các nhà

khai thác và quản trị mạng. Các cơ chế QoS được sử dụng phải đủ mềm dẻo để đáp ứng

những yêu cầu khác của khách hàng, đồng thời phải có khả năng mở rộng để có thể hỗ

Nguyễn Mạnh Hùng, Lớp D04VT1 74

Page 91: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương III: Mạng riêng ảo trên nền MPLS

trợ một số lượng lớn khách hàng VPN. Ví dụ như nhà cung cấp dịch vụ phải cung cấp

cho khách hàng VPN nhiều mức dịch vụ (CoS) khác nhau cho mỗi VPN, trong đó các

ứng dụng khác nhau trong cùng một VPN có thể nhận các CoS khác nhau. Theo cách

này, dịch vụ Email có thể có một CoS trong khi một số ứng dụng thời gian thực như

dịch vụ thoại lại có thể có CoS khác. Ngoài ra, CoS mà ứng dụng nhận được trong một

VPN có thể khác so với CoS mà ứng dụng này nhận được trong một VPN khác. Tức là

các cơ chế hỗ trợ QoS cho phép quyết định loại dữ liệu nào nhận CoS nào cho từng

VPN. Hơn nữa, không phải mọi VPN đều phải sử dụng tất cả các CoS mà một nhà cung

cấp dịch vụ đưa ra. Do đó, một tập các cơ chế hỗ trợ QoS cho phép quyết định loại CoS

nào được sử dụng để tạo cơ sở cho VPN.

Hai dạng mô hình chất lượng dịch vụ sử dụng cho mạng riêng ảo trên nền MPLS

là mô hình ống (pipe) và mô hình vòi (hose).

3.5.1 Mô hình ốngTrong mô hình ống, nhà cung cấp dịch vụ cung cấp cho khách hàng VPN mức

chất lượng dịch vụ QoS nhất định giữa các CE trong cùng một VPN. Về hình thức, có

thể hình dung mô hình này như một đường ống kết nối hai bộ định tuyến với nhau, và

lưu lượng giữa hai bộ định tuyến trong ống này được đảm bảo một mức QoS xác định.

Ví dụ về một hình thức đảm bảo QoS có thể cung cấp trong mô hình ống là đảm bảo giá

trị băng thông nhỏ nhất giữa hai Site.

Các bộ định tuyến biên phía nhà cung cấp PE tại hai đầu của ống sẽ thực hiện

quá trình lọc và loại bỏ các lưu lượng dư nhằm đảm bảo băng thông cho luồng lưu

lượng trong ống. Có thể cải tiến mô hình ống bằng việc chỉ cho phép một số loại lưu

lượng (ứng với một số ứng dụng) từ một CE tới các CE khác sử dụng đường ống. Quy

định lưu lượng nào có thể sử dụng đường ống được xác định tại bộ định tuyến PE phía

đầu ống.

Chú ý là mô hình ống khá giống với mô hình QoS mà các khách hàng VPN có

được với các giải pháp dựa trên Frame Relay hay ATM. Điểm khác nhau cơ bản là với

ATM hay Frame Relay thì các kết nối là song công, trong khi mô hình ống cung cấp

các kết nối đảm bảo theo một hướng. Đặc điểm một hướng này của mô hình ống cho

phép thiết lập các kết nối cho những ứng dụng sử dụng luồng lưu lượng không đối

xứng, trong đó lưu lượng từ một Site tới Site khác có thể khác với lưu lượng theo

hướng ngược lại.

Nguyễn Mạnh Hùng, Lớp D04VT1 75

Page 92: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương III: Mạng riêng ảo trên nền MPLS

Hình 3.10 minh họa một ví dụ về mô hình ống chất lượng dịch vụ. Như chỉ ra

trên hình vẽ, các nhà cung cấp dịch vụ cung cấp cho VPN A một đường ống đảm bảo

băng thông 7 Mb/s cho lưu lượng từ Site 3 đến Site 1 (cụ thể hơn là CE A3 đến CE A1)

và một đường ống khác đảm bảo băng thông 10 Mb/s cho lưu lượng từ Site 3 đến Site 2

(từ CE A3 đến CE A2). Như vậy, một bộ định tuyến CE có thể có nhiều hơn một ống

suất phát từ nó (ví dụ hai ống xuất phát từ Site 3). Tương tự, có thể có hơn một ống kết

thúc tại một Site.

Hình 3.10: Mô hình ống chất lượng dịch vụ trong MPLS – VPN

Một ưu điểm của mô hình ống là nó giống với mô hình QoS đang được khách

hàng VPN sử dụng với FR hay ATM, do đó khách hàng có thể dễ dàng ứng dụng. Tuy

nhiên mô hình ống cũng có một số nhược điểm. Ví dụ, nó đòi hỏi khách hàng VPN phải

kiểm soát toàn bộ ma trận lưu lượng giữa các Site. Điều này có nghĩa là, khách hàng

phải biết tổng lưu lượng đi từ một site tới tất các các Site khác. Thông thường thì thông

tin này không có sẵn, thậm chí là nếu có thì cũng bị lỗi thời.

Mô hình ống gần giống với mô hình tích hợp dịch vụ để cung cấp chất lượng

dịch vụ đảm bảo. MPLS – VPN cung cấp khả năng đảm bảo băng thông cho các LSP và

Nguyễn Mạnh Hùng, Lớp D04VT1 76

Page 93: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương III: Mạng riêng ảo trên nền MPLS

cho phép sử dụng mô hình ống này một cách đơn giản. Các LSP khởi tạo và kết cuối tại

các PE sẽ đảm bảo băng thông qua mạng lõi, còn thỏa thuận dịch vụ giữa PE và CE sẽ

đảm bảo QoS từ đầu cuối tới đầu cuối. Để đạt được hiệu quả tốt nhất đối với mô hình

ống, khách hàng VPN cần biết rõ yêu cầu sử dụng lưu lượng trong kế hoạch mạng.

3.5.2 Mô hình vòiTrong mô hình vòi, nhà cung cấp dịch vụ VPN cung cấp cho khách hàng một sự

đảm bảo QoS cho lưu lượng mà một bộ định tuyến CE của khách hàng gửi đi và nhận

về từ các bộ định tuyến CE khác trong cùng VPN. Trong trường hợp khác, khách hàng

phải chỉ định cách phân phối lưu lượng tới các bộ định tuyến CE trong mạng. Như vậy,

đối với khách hàng, mô hình vòi cung cấp chất lượng dịch vụ trong từng VPN và không

yêu cầu phải phân tích lưu lượng hoặc lập kế hoạch lưu lượng cho tới từng CE, nhờ đó

mà giảm bớt được gánh nặng cho các khách hàng sử dụng dịch vụ VPN.

Mô hình vòi sử dụng hai tham số tốc độ là tốc độ cam kết đầu vào ICR (Ingress

Committed Rate) và tốc độ cam kết đầu ra ECR (Egress Committed Rate). Trong đó

ICR là tốc độ liên quan tới lưu lượng mà CE đầu vào có thể gửi tới những CE khác, còn

ECR là tốc độ liên quan tới lưu lượng mà một CE có thể nhận từ các CE khác. Nói

cách khác, ECR đại diện cho tổng lưu lượng từ một CE cụ thể, trong khi ECR đại diện

cho tổng lưu lượng tới một CE cụ thể. Lưu ý là đối với một CE không nhất thiết ICR

phải bằng ECR.

Hình 3.11 minh họa ví dụ về mô hình vòi chất lượng dịch vụ. Ở đây nhà cung

cấp dịch vụ cung cấp cho VPN B sự đảm bảo băng thông 15Mbit/s cho lưu lượng từ

Site 2 tới các Site khác (ICR = 15Mb/s) mà không quan tâm đến việc lưu lượng này đi

tới Site 1 và Site 3. Tương tự, nhà cung cấp dịch vụ cung cấp cho VPN A sự đảm bảo

băng thông 7Mb/s cho lưu lượng từ Site 3 gửi tới các Site khác trong cùng VPN (ICR =

7Mb/s) mà không quan tâm tới việc lưu lượng tới các Site 1 và Site 2. Cũng như vậy,

nhà cung cấp dịch vụ cung cấp cho VPN B sự đảm bảo băng thông 15Mb/s cho lưu

lượng gửi tới Site 2 (ECR = 15Mb/s) mà không quan tâm tới việc lưu lượng suất phát từ

Site 1 hay Site 3.

Nguyễn Mạnh Hùng, Lớp D04VT1 77

Page 94: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương III: Mạng riêng ảo trên nền MPLS

Hình 3.11: Mô hình vòi chất lượng dịch vụ trong MPLS – VPN

Mô hình vòi hỗ trợ nhiều mức CoS ứng với các dịch vụ có nhiều tham số khác

nhau. Ví dụ, một dịch vụ có thể yêu cầu tham số về mất gói tin ít hơn so với dịch vụ

khác. Để hỗ trợ lớp dịch vụ ta phải đưa vào mô hình vòi, cho phép nhà cung cấp dịch vụ

sử dụng cơ chế phân biệt dịch vụ cùng với MPLS. Vì vậy, mô hình vòi là hướng tiếp

cận từ mô hình phân biệt dịch vụ Diffserv. Với các dịch vụ đòi hỏi phải có sự đảm bảo

chắc chắn (như về băng thông), thì mô hình ống phù hợp hơn.

Nhà cung cấp dịch vụ có thể cung cấp cho khách hàng VPN mô hình ống, mô

hình vòi hoặc tổ hợp của cả hai dạng mô hình trên nhằm đáp ứng các yêu cầu cụ thể về

QoS. Các bộ định tuyến biên PE của nhà cung cấp dịch vụ xác định lưu lượng được

nhận trong các lớp dịch vụ. Tùy thuộc vào giao diện đầu vào, địa chỉ nguồn, địa chỉ

đích, chỉ số cổng và các tham số chất lượng dịch vụ mà các gói sẽ được đánh dấu cho

phù hợp với yêu cầu về chất lượng dịch vụ.

3.6 So sánh các đặc điểm của VPN trên nền IPSec và MPLSKiến trúc mạng riêng ảo VPN L3 được rất nhiều công ty lựa chọn vì khả năng

kết nối diện rộng, khả năng mở rộng, các tùy chọn kết nối và khả năng phát triển nhiều

loại hình dịch vụ. Tuy nhiên, không có một giải pháp nào là toàn diện trong việc cung

Nguyễn Mạnh Hùng, Lớp D04VT1 78

Page 95: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương III: Mạng riêng ảo trên nền MPLS

cấp đa dịch vụ, và vấn đề lựa chọn kiến trúc VPN trên nền IPSec hay MPLS phụ thuộc

rất nhiều vào yêu cầu cụ thể của từng công ty. Trong phần này sẽ đưa ra một số so sánh

và phân tích các đặc điểm cơ bản của hai kiến trúc trên.

3.6.1 Các tiêu chí đánh giáTrước hết, chúng ta phân tích các điều kiện và tiêu chí để đánh giá kiến trúc

mạng VPN cho doanh nghiệp. Các tiêu chí đánh giá được tập trung vào độ khả dụng,

tính bảo mật, chất lượng dịch vụ, độ mềm dẻo và khả năng quản lý.

Độ khả dụng

Một mạng riêng ảo VPN cần dự đoán các dịch vụ có độ khả dụng cao cho người

dùng doanh nghiệp và các đối tác của họ. Khách hàng có thể vừa yêu cầu độ tin cậy của

mạng cao vừa yêu cầu độ dự phòng lớn. Một số nhà cung cấp dịch vụ đưa ra các thỏa

thuận mức chất lượng dịch vụ (SLA), trong đó định nghĩa các tham số mà mạng có thể

cung cấp cho khách hàng. SLA có thể tùy chọn các mức dịch vụ cho những kiểu lưu

lượng khác nhau nhằm tối ưu hóa lưu lượng và giá thành của mạng.

Tính bảo mật

Trên thực tế có rất nhiều công ty chia sẻ các nhà cung cấp dịch vụ qua một mạng

lõi, do đó vấn đề bảo mật luôn được đặt lên hàng đầu. Để hỗ trợ cho vấn đề này, các

nhà cung cấp dịch vụ có thể đưa ra những kỹ thuật đảm bảo an toàn thông tin như

đường hầm, đóng gói, mã hóa, phân bổ định tuyến ràng buộc, tách các bảng định tuyến,

tách lưu lượng, xác thực gói, xác thực người sử dụng và điều khiển truy nhập.

Chất lượng dịch vụ

Các tham số QoS như băng thông, độ trễ, biến động trễ hay tỉ lệ mất gói là những

yếu tố cơ bản cho phép đánh giá chất lượng của dịch vụ mà nhà cung cấp đưa ra cho

khách hàng. Một số mô hình chất lượng dịch vụ có thể được áp dụng vào VPN nhằm

mục đích phân lớp lưu lượng và xác định thứ tự ưu tiên cho các luồng lưu lượng khác

nhau của khách hàng.

Độ mềm dẻo

Băng thông và các tuyến kết nối trong mạng luôn thay đổi theo thời gian. Các

yêu cầu thay đổi băng thông đối với khách hàng VPN cũng không phải là ngoại lệ. Các

nhà cung cấp dịch vụ luôn quan tâm tới khả năng mở rộng và thay đổi yêu cầu băng

thông cảu khách hàng VPN để tối ưu hóa hệ thống và đáp ứng yêu cầu chất lượng dịch

vụ một cách mềm dẻo.

Nguyễn Mạnh Hùng, Lớp D04VT1 79

Page 96: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương III: Mạng riêng ảo trên nền MPLS

Khả năng quản lý

Việc quản lý VPN trải rộng từ Site trung tâm tới các chi nhánh phân tán ở nhiều

nơi, vì vậy các tính năng quản lý và giá thành quản lý có xu hướng tăng cùng chiều.

Các dịch vụ quản lý bao gồm:

- Cung cấp môi trường quản lý.

- Phân bổ và cài đặt phần mềm quản lý VPN

- Cài đặt bảo mật và chính sách QoS.

- Hỗ trợ thỏa thuận mức dịch vụ.

- Hỗ trợ các mạng khác qua VPN.

- Thực hiện quản lý hiệu năng mạng, định vị và sửa lỗi, hóa đơn, báo cáo,

thêm/loại bỏ hay thay đổi chức năng dịch vụ.

3.6.2 Các đặc điểm nổi bật của IPSec – VPN và MPLS – VPN IPSec – VPN

Để bảo mật dữ liệu qua mạng công cộng, giao thức IPSec hỗ trợ tổ hợp các chức

năng bảo mật như sau:

- Nhận dạng và mã hóa các gói tin trước khi truyền dẫn.

- Xác thực các gói nhằm đảm bảo tính toàn vẹn dữ liệu.

- Xác thực dữ liệu nguyên thủy của các nguồn gửi tin.

- Xác nhận và loại bỏ các gói quá hạn, gửi lặp và từ chối các gói lặp.

Giao thức IPSec cung cấp khả năng bảo vệ các gói tin IP theo thiết kế mạng để

chỉ ra các lưu lượng đặc biệt cần bảo vệ. IPSec định nghĩa cách thức bảo vệ lưu lượng

và điều khiển thiết bị nhận lưu lượng. VPN trên nền IPSec thay thế hoặc bổ xung các

mạng riêng dựa trên cơ sở hạ tầng WAN truyền thống như đường dây thuê riêng, Frame

Relay hoặc ATM. Ưu điểm nổi bật của IPSec là nó đáp ứng được các yêu cầu của

mạng về mặt giá thành.

Khi một doanh nghiệp sử dụng IPSec – VPN, nhà cung cấp dịch vụ thường cấu

hình IPSec trong cấu hình Hub – and – Spoke, nơi tất cả các nhóm Spoke duy trì kết nối

điểm – điểm với đầu cuối. IPSec phù hợp với cấu hình VPN điểm tới điểm và truy nhập

từ xa.

Một số đặc điểm khiến cho các doanh nghiệp lựa chọn giải pháp IPSec – VPN là:

- IPSec cung cấp hệ thống bảo mật rất tốt, hỗ trợ cho các doanh nghiệp cần bảo

mật bằng mã hóa dữ liệu và nhận dạng thiết bị.

Nguyễn Mạnh Hùng, Lớp D04VT1 80

Page 97: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương III: Mạng riêng ảo trên nền MPLS

- Giá thành triển khai mạng thấp do IPSec – VPN có thể thực hiện trên bất kỳ

mạng IP nào đã tồn tại.

- Khả năng triển khai các dịch vụ nhanh, kể cả việc bổ sung hoặc loại bỏ các Site

- Luồng lưu lượng rẽ nhánh theo Hub – and – Spoke.

Thông thường người sử dụng VPN dùng phần mềm VPN lựa chọn đích thích hợp

cho các thông tin cần gửi qua mạng. Một khi nhận dạng thành công và đường hầm

IPSec được thiết lập, người sử dụng có thể truy nhập từ xa tới các ứng dụng một cách

đơn giản mà không cần phải sửa đổi hàng loạt các tham số tại các Site.

Với các kết nối điêm – điểm qua IPSec – VPN, người sử dụng không cần phải có

phần mềm client trên máy tính của họ. Người sử dụng tại các nhánh khởi tạo ứng dụng

nếu nó tồn tại ở trong Site, hoặc trong một phiên với trung tâm. Sau khi phiên thỏa

thuận và nhận dạng thành công, một đường hầm đảm bảo giữa các nhánh và trung tâm

được thiết lập không phụ thuộc vào hoạt động của người dùng.

MPLS – VPN

MPLS cung cấp môi trường định tuyến thông minh và hiệu năng chuyển mạch

cao như đã trình bày ở trên. Ưu điểm nổi bật nhất của MPLS – VPN là khả năng mở

rộng nhiều VPN trên cùng một mạng lõi. Thêm vào đó là các đặc tính đảm bảo QoS,

sửa lỗi nhanh, bảo vệ đường dẫn và cung cấp nền tảng để phát triển các dịch vụ giá trị

gia tăng. Một số lí do để các doanh nghiệp lựa chọn MPLS – VPN là:

- Các công ty cần thỏa thuận mức độ chất lượng dịch vụ SLA.

- Bảo mật được hỗ trợ bởi việc tách các luồng lưu lượng tương tự như Frame –

Relay và ATM.

- Các mẫu lưu lượng phù hợp với cả cấu hình từng phần và đầy đủ.

- Các doanh nghiệp muốn hội tụ nhiều dịch vụ đa phương tiện trên cùng một

mạng.

- Các doanh nghiệp muốn phát triển những kết nối Multicast.

Khía cạnh an toàn mạng của MPLS dựa trên việc phân tích luồng lưu lượng giữa

các VPN trên cùng mạng lõi thông qua trường phân biệt tuyến. Các tuyến được phân

biệt đảm bảo tính riêng tư của MPLS – VPN tương tự như trong mạng diện rộng Frame

Relay hay ATM. Các nhà cung cấp có thể dễ dàng thiết kế và tối ưu hóa mạng do khách

hàng không cần biết kiến trúc mạng lõi, còn các bộ định tuyến lõi thì không cần biết

thông tin về mạng biên của khách hàng.

Nguyễn Mạnh Hùng, Lớp D04VT1 81

Page 98: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương III: Mạng riêng ảo trên nền MPLS

MPLS – VPN có độ mềm dẻo và linh hoạt cao, nó không yêu cầu cấu hình kết

nối đầy đủ hoặc ngang hàng đối với các kết cuối như các mô hình khác đòi hỏi. Mặt

khác MPLS – VPN cũng hỗ trợ tốt các thỏa thuận mức dịch vụ SLA. Đây là điều mà

khách hàng VPN quan tâm nhiều nhất, nó cho phép đáp ứng các yêu cầu về hiệu năng

và tính đàn hồi của mạng. Ngoài ra, MPLS – VPN còn hỗ trợ các kỹ thuật lưu lượng

nhằm đáp ứng yêu cầu QoS, hỗ trợ chính sách quản lý và phân bổ lưu lượng tối ưu hóa

cho mạng.

Bảng 3.1 dưới đây sẽ tổng kết các đặc điểm của hai giải pháp mạng riêng ảo trên

nền IPSec và MPLS

Bảng 3.1: So sánh IPSec – VPN và MPLS – VPN

Đặc điểm MPLS – VPN IPSec – VPN

Cấu hình Điểm tới điểm, Hub-and-Spoke,

cấu hình đầy đủ

Điểm tới điểm, Hub-and-

Spoke, cấu hình đầy đủ

Tính riêng tư Tách lưu lượng thành các luồng

riêng biệt

Sử dụng mã hóa và kỹ thuật

đường hầm thích hợp tại lớp

địa chỉ mạng.

Bảo mật/

Xác thực phiên

Thiết lập cách thành viên VPN

trong quá trình cung cấp dịch vụ,

định nghĩa truy nhập tới nhóm

dịch vụ trong khi cấu hình, từ chối

các truy nhập không hợp pháp

Xác thực qua chứng thực số

hoặc khóa xác định.

Loại bỏ gói không phù hợp với

chính sách bảo mật.

QoS và SLA Cho phép lập các SLA với nhiều

mức, có các kỹ thuật đảm bảo

QoS và kỹ thật lưu lượng.

Không chỉ ra các QoS và SLA

trực tiếp

Khả năng mở

rộng

Có khả năng mở rộng cao vì

không yêu cầu cấu hình đầy đủ

hoặc ngang hàng

Chấp nhận các kiểu mở rộng

theo kiểu Hub-and-Spoke. Khả

năng mở rộng kéo theo hàng

loạt các thách thức về kế

hoạch, phân phối các khóa,

quản lý khóa và cấu hình các

thiết bị ngang hàng.

Nguyễn Mạnh Hùng, Lớp D04VT1 82

Page 99: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Chương III: Mạng riêng ảo trên nền MPLS

Hỗ trợ điểm-điểm Có Có

Hỗ trợ truy nhập

từ xa

Có nếu được kết nối với IPSec Có

Cung cấp Cần một lần cung cấp các thiết bị

khách hàng và thiết bị biên mạng

Giảm chi phí điều hành qua

mạng

Dịch vụ Nhà cung cấp Phương pháp cung cấp tập

trung

Triển khai dịch

vụ

Yêu cầu các phần tử mạng MPLS

mở dịch vụ tại các thiết bị lõi và

biên của mạng nhà cung cấp

Có thể triển khai trên bất kỳ hạ

tầng mạng IP có sẵn.

Phần mềm Client

VPN

Không yêu cầu, người sử dụng

không cần phần mềm tương tác

với mạng.

Cần phải có để khởi tạo các

phần mềm chức năng.

3.8 Kết chương

Trong những năm gần đây, công nghệ chuyển mạch nhãn đa giao thức MPLS đã

được rất nhiều quốc gia lựa chọn để xây dựng và phát triển hệ thống mạng viễn thông

của mình. Một trong những ứng dụng điển hình của MPLS là dịch vụ mạng riêng ảo

MPLS – VPN. Dịch vụ này đã góp phần rất lớn vào sự phát triển nhanh chóng của

MPLS và mở ra nhiều khả năng ứng dụng mới.

Trong chương này đã trình bày về các thành phần cơ bản của MPLS – VPN, các

mô hình triển khai MPLS – VPN tại lớp hai và lớp ba, những kỹ thuật then chốt trong

MPLS – VPN như truyền thông tin định tuyến, địa chỉ VPN – IP và hoạt động chuyển

tiếp gói tin VPN. Ngoài ra, trong nội dung của chương này cũng đề cập đến một số vấn

đề liên quan đến khía cạnh bảo mật và chất lượng dịch vụ trong MPLS – VPN. Cuối

chương có đưa ra một số phân tích và so sánh các đặc điểm nổi bật của hai giải pháp

VPN dựa trên IPSec và MPLS. Có thể nói, việc triển khai công nghệ VPN trên nền

MPLS hứa hẹn nhiều thuận lợi mới và chắc chắn sẽ là giải pháp lí tưởng cho mạng

riêng ảo trong tương lai.

Nguyễn Mạnh Hùng, Lớp D04VT1 83

Page 100: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Bài toán mô phỏng mạng MPLS – VPN

BÀI TOÁN MÔ PHỎNG MẠNG MPLS – VPN

1. ĐẶT VẤN ĐỀ Để hiểu rõ vấn đề trong mạng MPLS – VPN, cũng như quá trình cấu hình thực tế

để sử dụng. Em đã xây dựng một mô hình mạng để kiểm tra hoạt động, khả năng kết

nối cổng, cấu hình bảng định tuyến của mạng riêng ảo trên nền MPLS.

2. XÂY DỰNG BÀI TOÁNMô hình mô phỏng mạng:

MPLS VPN virtual routing & forwarding VRF

- Như trên sơ đồ chúng ta thấy cần 7 router trong đó có 3 router lõi là PE-1, P, PE-

2 và 4 router khách hàng là CE-A1, CE-A2, CE-B1, CE-B2.

- Trong đó CE-A1 và CE-A2 thuộc về VPN A, CE-B1 và CE-B2 thuộc về VPN B.

Yêu cầu cấu hình để tạo ra hai mạng riêng ảo VPN A và VPN B.

- Muốn thực hiện điều này chúng ta cần:

+ Cấu hình MPLS domain giữa 3 router core PE-1, P, PE-2 sử dụng RIPv2.

+ Cấu hình BGP AS1 giữa PE-1 và PE-2.

+ Tạo VRF trên router PE ứng với các khách hàng A1 – A2 và B1 – B2.

Nguyễn Mạnh Hùng, Lớp D04VT1 84

Page 101: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Bài toán mô phỏng mạng MPLS – VPN

+ Giữa các khách hàng dùng định tuyến động EIGRP.

- Cấu hình các router để làm đuợc điều này cần có những bước để thực hiện

chúng. Các bước thực hiện :

Bước 1: Cấu hình cơ bản cho các thiết bị:Router(config)#hostname name //cấu hình tên router

Router(config)#no ip domain lookup //không tự động phân giải tên miền

Router(config)#line console 0Router(config-line)#exec-timeout 0 0

Router(config)#line vty 0 4Router(config-line)#previlege level 15Router(config-line)#no login

Bước 2: Cấu hình địa chỉ IP cho các routerRouter(config-if)#ip address IP_addressRouter(config-if)#no shutdown Router(config-if)#clock rate x //dùng cho interface seri@lRouter(config)#interface loopback 0

Bước 3: Cấu hình định tuyến cơ bản cho 3 router coreRouter(config)#router ripRouter(config-router)#version 2Router(config-router)#network network wildcardmaskRouter(config-router)#no auto-summary

Bước 4: Cấu hình MPLS cho router CoreRouter(config)#ip cefRouter(config-if)#mpls ipRouter(config-if)#mpls label protocol ldpRouter(config-if)#mpls mtu size

Kiểm tra các cấu hình trên:Router#show ip cef detailRouter#show mpls forwarding-tableRouter#show mpls ip bindingRouter#show mpls ldp neighborRouter#ping //ping mở rộngRouter#traceroute

Bước 5: Cấu hình bảng định tuyến VRF cho các khách hàng:Router(config)#ip vrf customer_nameRouter(config-vrf)#rd ASN:nnRouter(config-vrf)route-target import AS:nnRouter(config-vrf)route-target export AS:nn

Nguyễn Mạnh Hùng, Lớp D04VT1 85

Page 102: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Bài toán mô phỏng mạng MPLS – VPN

Bước 6: Cấu hình VRF forwarding cho interfaceRouter(config)#ip vrf forwarding customer_name

Bước 7: Cấu hình định tuyến VRF dùng EIGRPRouter(config)#router eigrp 100Router(config-router)#address-family ipv4 vrf customer_nameRouter(config-router-af)#network network wildcardmaskRouter(config-router-af)#autonomous-system ASRouter(config-router-af)#no auto-summaryRouter(config-router-af)#exit-address-family

Bước 8: Cấu hình định tuyến EIGRP cho router khách hàngRouter(config)#router eigrp asRouter(config-router)#network network wildcardmaskRouter(config-router)#no auto-summary

Bước 9: Cấu hình BGP giữa 2 router PERouter(config)#router bgp asRouter(config-router)#no synchronizationRouter(config-router)#bgp log-neighbor-changesRouter(config-router)#neighbor ip_address remote-as 1Router(config-router)#neighbor ip_address update-source loopback 0Router(config-router)#no auto-summary

Bước 10: Cấu hình vpnv4Router(config-router)#address-family vpnv4Router(config-router-af)#neighbor ip_address activateRouter(config-router-af)#neighbor ip_address send-community extendedRouter(config-router-af)#exit-address-family

Bước 11: Cấu hình bảng VRF cho BGPRouter(config-router)#address-family ipv4 vrf Customer_nameRouter(config-router-af)#no auto-summaryRouter(config-router-af)#no synchronizationRouter(config-router-af)#exit-address-family

Bước 12: Redistribute EIGRP vào BGPRouter(config-router)#address-family ipv4 vrf Customer_nameRouter(config-router-af)#redistribute eigrp AS

Bước 13: Redistribute BGP và EIGRPRouter(config)#router eigrp ASRouter(config-router)#address-family ipv4 vrf CustomerRouter(config-router-af)#redistribute bgp 1 metric 1000 100 100 100 100

Bước 14: Kiểm tra cấu hình bằng các lệnh sau:

Nguyễn Mạnh Hùng, Lớp D04VT1 86

Page 103: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Bài toán mô phỏng mạng MPLS – VPN

Router#show ip routeRouter#show ip route vrf Customer_nameRouter#show mpls forwarding-table //kiểm tra bảng LFIBRouter#show ip bgp summaryRouter#ping //ping mở rộngRouter#traceroute

- CẤU HÌNH CỤ THỂ TRÊN TỪNG ROUTERRouter CE-A1:

Current configuration : 916 bytes!version 12.3service timestamps debug datetimeservice timestamps log datetime msno service password-encryption!hostname A1!boot-start-markerboot-end-marker!!no aaa new-modelip subnet-zeroip cef!!!no ip domain lookupip audit po max-events 100!interface Loopback0ip address 1.1.1.1 255.255.255.0!interface FastEthernet0/0no ip addressshutdownduplex autospeed auto!interface Serial0/0ip address 10.0.1.2 255.255.255.0clock rate 64000!interface FastEthernet0/1no ip addressshutdownduplex auto

Nguyễn Mạnh Hùng, Lớp D04VT1 87

Page 104: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Bài toán mô phỏng mạng MPLS – VPN

speed auto!interface Serial0/1no ip addressshutdownclock rate 2000000!router eigrp 10network 1.1.1.0 0.0.0.255network 10.0.1.0 0.0.0.255no auto-summary!ip classless!ip http serverno ip http secure-server!line con 0exec-timeout 0 0line aux 0line vty 0 4privilege level 15no login!end

Router CE-B1:Current configuration : 916 bytes!version 12.3service timestamps debug datetime msecservice timestamps log datetime msecno service password-encryption!hostname B1!boot-start-markerboot-end-marker!no aaa new-modelip subnet-zeroip cef!no ip domain lookupip audit po max-events 100!interface Loopback0ip address 3.3.3.3 255.255.255.0

Nguyễn Mạnh Hùng, Lớp D04VT1 88

Page 105: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Bài toán mô phỏng mạng MPLS – VPN

!interface FastEthernet0/0no ip addressshutdownduplex autospeed auto!interface Serial0/0ip address 10.0.3.2 255.255.255.0clock rate 64000!interface FastEthernet0/1no ip addressshutdownduplex autospeed auto!interface Serial0/1no ip addressshutdownclock rate 2000000!router eigrp 30network 3.3.3.0 0.0.0.255network 10.0.3.0 0.0.0.255no auto-summary!ip classless!ip http serverno ip http secure-server!line con 0exec-timeout 0 0line aux 0line vty 0 4privilege level 15no login!End

Router PE-1:Current configuration : 2132 bytes!version 12.3service timestamps debug datetime msecservice timestamps log datetime msecno service password-encryption

Nguyễn Mạnh Hùng, Lớp D04VT1 89

Page 106: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Bài toán mô phỏng mạng MPLS – VPN

!hostname PE-1!boot-start-markerboot-end-marker!enable secret 5 $1$JG0r$cUJA5UZoSPdooIJqe3oEX1!no aaa new-modelip subnet-zeroip cef!!!ip vrf A1rd 1:100route-target export 1:100route-target import 1:100!ip vrf B1rd 1:200route-target export 1:200route-target import 1:200!ip audit po max-events 100!interface Loopback0ip address 5.5.5.5 255.255.255.0!interface FastEthernet0/0ip address 192.168.1.2 255.255.255.0duplex autospeed autotag-switching mtu 1512tag-switching ip!interface Serial0/0ip vrf forwarding A1ip address 10.0.1.1 255.255.255.0clock rate 64000!interface FastEthernet0/1no ip addressshutdownduplex autospeed auto!interface Serial0/1

Nguyễn Mạnh Hùng, Lớp D04VT1 90

Page 107: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Bài toán mô phỏng mạng MPLS – VPN

ip vrf forwarding B1ip address 10.0.3.1 255.255.255.0clock rate 64000!router eigrp 100auto-summary!address-family ipv4 vrf B1redistribute bgp 1 metric 1000 100 100 100 100network 10.0.3.0 0.0.0.255no auto-summaryautonomous-system 30exit-address-family!address-family ipv4 vrf A1redistribute bgp 1 metric 1000 100 100 100 100network 10.0.1.0 0.0.0.255no auto-summaryautonomous-system 10exit-address-family!router ripversion 2network 5.0.0.0network 192.168.1.0no auto-summary!router bgp 1bgp log-neighbor-changesneighbor 6.6.6.6 remote-as 1neighbor 6.6.6.6 update-source Loopback0!address-family ipv4neighbor 6.6.6.6 activateno auto-summaryno synchronizationexit-address-family!address-family vpnv4neighbor 6.6.6.6 activateneighbor 6.6.6.6 send-community extendedexit-address-family!address-family ipv4 vrf B1redistribute eigrp 30no auto-summaryno synchronizationexit-address-family

Nguyễn Mạnh Hùng, Lớp D04VT1 91

Page 108: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Bài toán mô phỏng mạng MPLS – VPN

!address-family ipv4 vrf A1redistribute eigrp 10no auto-summaryno synchronizationexit-address-family!ip classless!ip http serverno ip http secure-server!line con 0exec-timeout 0 0line aux 0line vty 0 4exec-timeout 0 0password ciscologin!End

Router P:

Current configuration : 906 bytes

!

version 12.3

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

!

hostname P

!

boot-start-marker

boot-end-marker

!

enable secret 5 $1$FFLE$B9/ljnPAqne9Huc1MDgAQ1

!

no aaa new-model

ip subnet-zero

ip cef

!

Nguyễn Mạnh Hùng, Lớp D04VT1 92

Page 109: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Bài toán mô phỏng mạng MPLS – VPN

ip audit po max-events 100

!

interface Loopback0

no ip address

!

interface FastEthernet0/0

description link to PE-1

ip address 192.168.1.1 255.255.255.0

duplex auto

speed auto

tag-switching ip

!

interface FastEthernet0/1

description link to PE-2

ip address 192.168.2.1 255.255.255.0

duplex auto

speed auto

tag-switching ip

!

router rip

version 2

network 192.168.1.0

network 192.168.2.0

no auto-summary

!

ip classless

!

ip http server

no ip http secure-server

!

line con 0

exec-timeout 0 0

login

line aux 0

line vty 0 4

exec-timeout 0 0

password cisco

Nguyễn Mạnh Hùng, Lớp D04VT1 93

Page 110: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Bài toán mô phỏng mạng MPLS – VPN

login

!

End

Router PE -2:

Current configuration : 2105 bytes

!

version 12.3

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

!

hostname PE-2

!

boot-start-marker

boot-end-marker

!

!

no aaa new-model

ip subnet-zero

ip cef

!

!

!

ip vrf A2

rd 1:100

route-target export 1:100

route-target import 1:100

!

ip vrf B2

rd 1:200

route-target export 1:200

route-target import 1:200

!

ip audit po max-events 100

!

interface Loopback0

ip address 6.6.6.6 255.255.255.0

Nguyễn Mạnh Hùng, Lớp D04VT1 94

Page 111: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Bài toán mô phỏng mạng MPLS – VPN

!

interface FastEthernet0/0

description link to P router

ip address 192.168.2.2 255.255.255.0

duplex auto

speed auto

tag-switching ip

!

interface Serial0/0

description link to Customer A2

ip vrf forwarding A2

ip address 10.0.2.1 255.255.255.0

clock rate 64000

!

interface FastEthernet0/1

no ip address

shutdown

duplex auto

speed auto

!

interface Serial0/1

description link to Customer B2

ip vrf forwarding B2

ip address 10.0.4.1 255.255.255.0

clock rate 64000

!

router eigrp 100

auto-summary

!

address-family ipv4 vrf B2

redistribute bgp 1 metric 1000 100 100 100 100

network 10.0.4.0 0.0.0.255

no auto-summary

autonomous-system 40

exit-address-family

!

address-family ipv4 vrf A2

Nguyễn Mạnh Hùng, Lớp D04VT1 95

Page 112: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Bài toán mô phỏng mạng MPLS – VPN

redistribute bgp 1 metric 1000 100 100 100 100

network 10.0.2.0 0.0.0.255

no auto-summary

autonomous-system 20

exit-address-family

!

router rip

version 2

network 6.0.0.0

network 192.168.2.0

no auto-summary

!

router bgp 1

bgp log-neighbor-changes

neighbor 5.5.5.5 remote-as 1

neighbor 5.5.5.5 update-source Loopback0

!

address-family ipv4

neighbor 5.5.5.5 activate

no auto-summary

no synchronization

exit-address-family

!

address-family vpnv4

neighbor 5.5.5.5 activate

neighbor 5.5.5.5 send-community extended

exit-address-family

!

address-family ipv4 vrf B2

redistribute eigrp 40

no auto-summary

no synchronization

exit-address-family

!

address-family ipv4 vrf A2

redistribute eigrp 20

no auto-summary

Nguyễn Mạnh Hùng, Lớp D04VT1 96

Page 113: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Bài toán mô phỏng mạng MPLS – VPN

no synchronization

exit-address-family

!

ip classless

!

ip http server

no ip http secure-server

!

line con 0

line aux 0

line vty 0 4

login

!

End

Router CE-A2:Current configuration : 916 bytes!version 12.3service timestamps debug datetime msecservice timestamps log datetime msecno service password-encryption!hostname A2!boot-start-markerboot-end-marker!!no aaa new-modelip subnet-zeroip cef!no ip domain lookupip audit po max-events 100!interface Loopback0ip address 2.2.2.2 255.255.255.0!interface FastEthernet0/0no ip addressshutdownduplex autospeed auto

Nguyễn Mạnh Hùng, Lớp D04VT1 97

Page 114: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Bài toán mô phỏng mạng MPLS – VPN

!interface Serial0/0ip address 10.0.2.2 255.255.255.0clock rate 64000!interface FastEthernet0/1no ip addressshutdownduplex autospeed auto!interface Serial0/1no ip addressshutdownclock rate 2000000!router eigrp 20network 2.2.2.0 0.0.0.255network 10.0.2.0 0.0.0.255no auto-summary!ip classless!ip http serverno ip http secure-server!line con 0exec-timeout 0 0line aux 0line vty 0 4privilege level 15no login!End

Router CE-B2:Current configuration : 884 bytes!version 12.3service timestamps debug datetime msecservice timestamps log datetime msecno service password-encryption!hostname B2!boot-start-markerboot-end-marker!

Nguyễn Mạnh Hùng, Lớp D04VT1 98

Page 115: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Bài toán mô phỏng mạng MPLS – VPN

!no aaa new-modelip subnet-zeroip cef!ip audit po max-events 100!interface Loopback0ip address 4.4.4.4 255.255.255.0!interface FastEthernet0/0no ip addressshutdownduplex autospeed auto!interface Serial0/0no ip addressclock rate 64000!interface FastEthernet0/1no ip addressshutdownduplex autospeed auto!interface Serial0/1ip address 10.0.4.2 255.255.255.0clock rate 64000!router eigrp 40network 4.4.4.0 0.0.0.255network 10.0.4.0 0.0.0.255no auto-summary!ip classless!ip http serverno ip http secure-server!line con 0exec-timeout 0 0line aux 0line vty 0 4privilege level 15no login!end

Nguyễn Mạnh Hùng, Lớp D04VT1 99

Page 116: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Bài toán mô phỏng mạng MPLS – VPN

3. SỬ DỤNG CÔNG CỤ MÔ PHỎNGCó rất nhiều phần mềm được sử dụng để mô phỏng sơ đồ mạng MPLS – VPN.

Sau đây chúng ta sẽ tìm hiểu về một số phần mềm như GNS3, NS2, ….

3.1 Phần mềm GNS3GNS3 là một trình giả lập mạng có giao diện đồ họa (graphical network

simulator) cho phép bạn dễ dàng thiết kế các mô hình mạng và sau đó chạy giả lập trên chúng. Tại thời điểm hiện tại GNS3 hỗ trợ các IOS của Router, ATM/Frame Relay/Ethernet switch và hub. Bạn thậm chí có thể mở rộng mạng của mình bằng cách kết nối nó vào mạng ảo này.

Để làm được điều này, GNS3 đã dựa trên Dynamips và một phần Dynagen, nó phát triển bằng Python và thông qua PyQt và phần giao diện đồ họa thì sử dụng thư viện Qt, rất nổi tiếng về tính hữu dụng của nó trong dự án KDE. GNS3 cũng sử dụng kỹ thuật SVG (Scalable Vector Graphics) để cung cấp các biểu tượng chất lượng cao cho việc thiết kế mô hình mạng của bạn.

Giới thiệu về DynamipsDynamips là một trình mô phỏng router Cisco được viết bởi Christophe Fillot.

Nó mô phỏng các dòng 1700, 2600, 3600, và 7200, sử dụng các IOS image chuẩn. Phần mềm mô phỏng loại này có thể sử dụng cho:

- Được sử dụng như một công cụ để thực tập, với phần mềm sử dụng trong thế giới thực. Nó cho phép mọi người làm quen hơn với các thiết bị của Cisco, Cisco hiện đang là công hàng đầu trên thế giới về kỹ thuật mạng.

- Thử nghiệm và làm quen với các đặc tính của Cisco IOS.- Kiểm tra nhanh chóng các cấu hình để triển khai sau này trên các router thật.

Dĩ nhiên, phần mềm mô phỏng này không thể thay thế cho router thật, nó chỉ đơn giản là một công cụ bổ sung cho các bài lab thực tế của các nhà quản lý mạng Cisco hoặc những ai muốn vượt qua kỳ thi CCNA/CCNP/CCIE.

Giới thiệu về DynagenDynagen là một giao tiếp dựa trên nền văn bản (text-base) dành cho Dynamips,

cung cấp một bộ OOP API riêng được sử dụng bởi GNS3 để tương tác với Dynamips. GNS3 cũng sử dụng tập tin cấu hình tương tự INI cảu Dynagen và có tích hợp trình quản lý CLI của Dynagen cho phép người dùng kiệt kê các thiết bị, tạm ngưng và nạp lại các thể hiện (của các thiết bị - ND), xác định và quản lý các giá trị idle-pc, bắt gói tin,…

3.2 Phầm mềm NS2NS là bộ công cụ mô phỏng mạng điều khiển theo các sự kiện rời rạc, được xây

dựng và phát triển bởi trường đại học Berkekey - Mỹ, cho phép mô phỏng nhiều kiểu mạng IP khác nhau, mô phỏng các giao thức mạng: TCP, UDP cũng như các dạng nguồn lưu lượng: TFP, Telnet, Web, CBR, VBR, mô phỏng các hàng đợi trong các bộ định tuyến: DropTail, RED, CBQ, mô phỏng các giải thuật định tuyến. Ngoài ra NS còn

Nguyễn Mạnh Hùng, Lớp D04VT1 100

Page 117: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Bài toán mô phỏng mạng MPLS – VPN

cho phép thực hiện việc phát đa luồng và một số giao thức lớp MAC đối với mô phỏng mạng LAN.

NS được xây dựng bằng ngôn ngữ lập trình hệ thống C++ và ngôn ngữ mô phỏng Otcl. Otcl là dạng ngôn ngữ kịch bản Tcl được mở rộng theo mô hình hướng đối tượng

NS theo quan điểm người dùng

Theo quan điểm người dùng thuần túy, NS là một bộ thông dịch các kịch bản Tcl hướng đối tượng. NS gồm có các bộ định trình các sự kiện mô phỏng, các thư viện đối tượng thành phần mạng, thư viện các môdule tạo lập mạng (thực tế việc kết nối các module được thực hiện bằng các hàm thành viên của các đối tượng mô phỏng cơ bản).

Khi sử dụng NS, người dùng phải lập trình bằng ngôn ngữ kịch bản Tcl. Để tạo lập và triển khai một mạng mô phỏng, người dùng viết một kịch bản Tcl để khởi tạo một bộ định trình sự kiện, thiết lập topo mạng thông qua việc sử dụng các đối tượng thành phần mạng và các hành liên kết trong các thư viện của NS. Việc thiết lập một mạng là ghép nối các đường dữ liệu giữa các đối tượng mạng bằng cách đặt con trỏ của một đối tượng này tới địa chỉ của một đối tượng khác tương ứng. Khi muốn tạo một đối tượng mạng mới, thì người dùng có thể tạo ra đối tượng đó bằng cách xây dựng một đối tượng mới hoặc tổ hợp các đối tượng có sẵn trong các thư viện đối tượng của NS và tạo ra các đường liên kết dữ liệu giữa chúng.

Bốn lợi ích nhất của NS-2 mang lại:

- Khả năng kiểm tra tính ổn định của giao thức mạng đang tồn tại.

- Khả năng đánh giá các giao thức mạng mới trước khi đưa vào sử dụng.

- Khả năng thực thi những mô hình mạng lớn mà gần như ta không thể thực thi được trong thực tế.

- Khả năng mô phỏng nhiều loại mạng.

Nguyễn Mạnh Hùng, Lớp D04VT1 101

Page 118: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Bài toán mô phỏng mạng MPLS – VPN

3.3 Lựa chọn phần mềm mô phỏng

Với những phân tích về 2 loại phầm mềm như trên, chúng ta nhận thấy để mô phỏng bài toán MPLS – VPN dùng phần mềm GNS3 là tiện ích và dễ dàng sử dụng hơn. Chương trình mô phỏng thân thiện với người sử dụng hơn vì GNS3 được cài đặt trên nền hệ điều hành Windows XP, còn NS2 cài đặt trên hệ điều hành Linux dòi hỏi người sử dụng phải có kiến thức về hề điều hành Linux và cách thức sử dụng.

4. KẾT QUẢ VÀ ĐÁNH GIÁKẾT QUẢ

Với topo mạng đã có như đã trình bày ở phần trên, và mô phỏng trên phần mềm

GNS3. Chúng ta có giao diện như trên, các quá trình cấu hình cho từng router cũng đã

được thể hiện như trên. Kết quả tạo ra được hai mạng VPN riêng biệt là VPN A bao

gồm khách hàng CE-A1 và CE-A2, và VPN B bao gồm khách hàng CE-B1 và CE-B2.

Họat động của mạng được kiểm tra như sau:

KIỂM TRA CẤU HÌNH:

Kiem tra bang LFIB:

Nguyễn Mạnh Hùng, Lớp D04VT1 102

Page 119: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Bài toán mô phỏng mạng MPLS – VPN

PE-1:PE-1#show mpls forwarding-tableLocal Outgoing Prefix Bytes tag Outgoing Next Hoptag tag or VC or Tunnel Id switched interface16 Untagged 1.1.1.0/24[V] 0 Se0/0 point2point17 Aggregate 10.0.1.0/24[V] 168418 Untagged 3.3.3.0/24[V] 0 Se0/1 point2point19 Aggregate 10.0.3.0/24[V] 020 Pop tag 192.168.2.0/24 0 Fa0/0 192.168.1.121 17 6.6.6.0/24 0 Fa0/0 192.168.1.1

PE-2:PE-2#show mpls forwarding-tableLocal Outgoing Prefix Bytes tag Outgoing Next Hoptag tag or VC or Tunnel Id switched interface16 16 5.5.5.0/24 0 Fa0/0 192.168.2.117 Pop tag 192.168.1.0/24 0 Fa0/0 192.168.2.118 Aggregate 10.0.4.0/24[V] 019 Aggregate 10.0.2.0/24[V] 020 Untagged 2.2.2.0/24[V] 1144 Se0/0 point2point21 Untagged 4.4.4.0/24[V] 0 Se0/1 point2point

Kiem tra co che chuyen mach nhan:PE-1#traceroute vrf A1 2.2.2.2Type escape sequence to abort.Tracing the route to 2.2.2.21 192.168.1.1 [MPLS: Labels 17/20 Exp 0] 596 msec 976 msec 408 msec2 10.0.2.1 [MPLS: Label 20 Exp 0] 316 msec 484 msec 132 msec3 10.0.2.2 356 msec 436 msec *

PE-1#traceroute vrf B1 4.4.4.4Type escape sequence to abort.Tracing the route to 4.4.4.41 192.168.1.1 [MPLS: Labels 17/21 Exp 0] 444 msec 536 msec 596 msec2 10.0.4.1 [MPLS: Label 21 Exp 0] 272 msec 452 msec 680 msec3 10.0.4.2 692 msec 188 msec 444 msec

PE-2#traceroute vrf A2 1.1.1.1Type escape sequence to abort.Tracing the route to 1.1.1.11 192.168.2.1 [MPLS: Labels 16/16 Exp 0] 732 msec 684 msec 388 msec2 10.0.1.1 [MPLS: Label 16 Exp 0] 272 msec 252 msec 816 msec3 10.0.1.2 328 msec 1104 msec *

PE-2#traceroute vrf B2 3.3.3.3Type escape sequence to abort.Tracing the route to 3.3.3.31 192.168.2.1 [MPLS: Labels 16/18 Exp 0] 448 msec 340 msec 244 msec

Nguyễn Mạnh Hùng, Lớp D04VT1 103

Page 120: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Bài toán mô phỏng mạng MPLS – VPN

2 10.0.3.1 [MPLS: Label 18 Exp 0] 444 msec 328 msec 596 msec3 10.0.3.2 372 msec 944 msec 492 msec

Kiem tra hoat dong VPN:A1#ping 2.2.2.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 2.2.2.2, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 392/768/1720 ms

A1#ping 4.4.4.4Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 4.4.4.4, timeout is 2 seconds:.....Success rate is 0 percent (0/5)

A1#ping 3.3.3.3Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 3.3.3.3, timeout is 2 seconds:.....Success rate is 0 percent (0/5)

B1#ping 4.4.4.4Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 4.4.4.4, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 308/828/1524 ms

B1#ping 2.2.2.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 2.2.2.2, timeout is 2 seconds:.....Success rate is 0 percent (0/5)

Kiem tra bang dinh tuyen vrf:PE-1#show ip route vrf A1Routing Table: A1

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

1.0.0.0/24 is subnetted, 1 subnets

Nguyễn Mạnh Hùng, Lớp D04VT1 104

Page 121: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Bài toán mô phỏng mạng MPLS – VPN

D 1.1.1.0 [90/2297856] via 10.0.1.2, 00:49:05, Serial0/0 2.0.0.0/24 is subnetted, 1 subnetsB 2.2.2.0 [200/2297856] via 6.6.6.6, 00:41:52 10.0.0.0/24 is subnetted, 2 subnetsB 10.0.2.0 [200/0] via 6.6.6.6, 00:42:08C 10.0.1.0 is directly connected, Serial0/0

PE-1#show ip route vrf B1Routing Table: B1Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

3.0.0.0/24 is subnetted, 1 subnetsD 3.3.3.0 [90/2297856] via 10.0.3.2, 00:42:34, Serial0/1 4.0.0.0/24 is subnetted, 1 subnetsB 4.4.4.0 [200/2297856] via 6.6.6.6, 00:40:19 10.0.0.0/24 is subnetted, 2 subnetsC 10.0.3.0 is directly connected, Serial0/1B 10.0.4.0 [200/0] via 6.6.6.6, 00:41:25

PE-2#show ip route vrf A2Routing Table: A2Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route

Gateway of last resort is not set 1.0.0.0/24 is subnetted, 1 subnetsB 1.1.1.0 [200/2297856] via 5.5.5.5, 00:44:02 2.0.0.0/24 is subnetted, 1 subnetsD 2.2.2.0 [90/2297856] via 10.0.2.2, 00:40:34, Serial0/0 10.0.0.0/24 is subnetted, 2 subnetsC 10.0.2.0 is directly connected, Serial0/0B 10.0.1.0 [200/0] via 5.5.5.5, 00:44:03

PE-2#show ip route vrf B2Routing Table: B2

Nguyễn Mạnh Hùng, Lớp D04VT1 105

Page 122: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Bài toán mô phỏng mạng MPLS – VPN

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

3.0.0.0/24 is subnetted, 1 subnetsB 3.3.3.0 [200/2297856] via 5.5.5.5, 00:43:05 4.0.0.0/24 is subnetted, 1 subnetsD 4.4.4.0 [90/2297856] via 10.0.4.2, 00:41:01, Serial0/1 10.0.0.0/24 is subnetted, 2 subnetsB 10.0.3.0 [200/0] via 5.5.5.5, 00:44:24C 10.0.4.0 is directly connected, Serial0/1

Kiem tra bang dinh tuyen cua khach hang:A1#show ip routeCodes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

1.0.0.0/24 is subnetted, 1 subnetsC 1.1.1.0 is directly connected, Loopback0 2.0.0.0/24 is subnetted, 1 subnetsD EX 2.2.2.0 [170/3097600] via 10.0.1.1, 00:51:39, Serial0/0 10.0.0.0/24 is subnetted, 2 subnetsD EX 10.0.2.0 [170/3097600] via 10.0.1.1, 00:52:11, Serial0/0C 10.0.1.0 is directly connected, Serial0/0

B1#show ip routeCodes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

Nguyễn Mạnh Hùng, Lớp D04VT1 106

Page 123: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Bài toán mô phỏng mạng MPLS – VPN

3.0.0.0/24 is subnetted, 1 subnetsC 3.3.3.0 is directly connected, Loopback0 4.0.0.0/24 is subnetted, 1 subnetsD EX 4.4.4.0 [170/3097600] via 10.0.3.1, 00:49:13, Serial0/0 10.0.0.0/24 is subnetted, 2 subnetsC 10.0.3.0 is directly connected, Serial0/0D EX 10.0.4.0 [170/3097600] via 10.0.3.1, 00:50:39, Serial0/0

A2#show ip routeCodes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

1.0.0.0/24 is subnetted, 1 subnetsD EX 1.1.1.0 [170/3097600] via 10.0.2.1, 00:49:36, Serial0/0 2.0.0.0/24 is subnetted, 1 subnetsC 2.2.2.0 is directly connected, Loopback0 10.0.0.0/24 is subnetted, 2 subnetsC 10.0.2.0 is directly connected, Serial0/0D EX 10.0.1.0 [170/3097600] via 10.0.2.1, 00:49:36, Serial0/0

B2#show ip routeCodes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

3.0.0.0/24 is subnetted, 1 subnetsD EX 3.3.3.0 [170/3097600] via 10.0.4.1, 00:50:14, Serial0/0 4.0.0.0/24 is subnetted, 1 subnetsC 4.4.4.0 is directly connected, Loopback0 10.0.0.0/24 is subnetted, 2 subnetsD EX 10.0.3.0 [170/3097600] via 10.0.4.1, 00:50:14, Serial0/0C 10.0.4.0 is directly connected, Serial0/0

Kiem tra hoat dong cua BGP:

Nguyễn Mạnh Hùng, Lớp D04VT1 107

Page 124: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Bài toán mô phỏng mạng MPLS – VPN

PE-1#show ip bgp summaryBGP router identifier 5.5.5.5, local AS number 1BGP table version is 1, main routing table version 1

Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd6.6.6.6 4 1 67 59 1 0 0 00:48:13 0

PE-2#show ip bgp summaryBGP router identifier 6.6.6.6, local AS number 1BGP table version is 1, main routing table version 1

Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd5.5.5.5 4 1 59 67 1 0 0 00:48:34 0

ĐÁNH GIÁ

Bài toán đã thực hiện được đúng mục tiêu đề ra, cấu hình các router lõi và router

mạng của khách hàng để tạo ra hai mạng riêng ảo là VPN A và VPN B. Các quá trình

kiểm tra bảng LFIB, kiểm tra cơ chế chuyển mạch nhãn, kiểm tra họat động VPN, kiểm

tra bảng định tuyến vrf, kiểm tra bảng định tuyến của khách hàng, kiểm tra họat động

BGP thành công đã chứng tỏ rằng mạng họat động tốt và các qua trình cấu hình hoàn

tất.

Nguyễn Mạnh Hùng, Lớp D04VT1 108

Page 125: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Kết luận

KẾT LUẬN

Công nghệ mạng riêng ảo VPN cho phép tận dụng cơ sở hạ tầng mạng công cộng

để xây dựng mạng WAN riêng, với những ưu điểm về mặt giá thành, phạm vi không hạn

chế, linh hoạt trong triển khai và mở rộng mạng. Ngày nay, VPN đã rất hữu ích và sẽ

càng hữu ích trong tương lai. Các chuẩn đã được thi hành, điều đó sẽ cải tiến khả năng

liên vận hành và quản lý. Chất lượng mạng trên các VPN cũng sẽ được cải thiện, cho

phép cung cấp các ứng dụng mới như hội nghị truyền hình, điện thoại IP, các dịch vụ

đa phương tiện.

Quyển đồ án này đã tìm hiểu một số vấn đề kỹ thuật liện quan đến việc thực hiện

VPN, nội dung gồm những vấn đề chính:

Các khái niệm cơ bản, đặc điểm của các giao thức đường hầm L2F, PPTP, L2TP

và IPSec. Nguyên tắc hoạt hoạt động của VPN dựa trên các giao thức đường hầm.

Trong số các giao thức đường hầm hiện có, IPSec đáp ứng được tốt các nhu cầu

cao về an toàn dữ liệu, là giải pháp chính cho bảo mật các VPN của các tổ chức, công

ty. Tuy nhiên, IPSec chỉ hỗ trợ luồng IP một chiều; nếu các gói dữ liệu IP một chiều

được đường hầm hoá, sau đó một kiểu đóng gói duy nhất được cung cấp bởi IPSec là

đủ và đơn giản để cấu hình và sửa chữa.

Để tạo đường hầm cho IP nhiều hướng ta có thể sử dụng L2TP, với luồng lưu

lượng mạng sử dụng mạng, thiết bị của Microsoft thì L2TP là sự lựa chọn tốt nhất.

L2TP cũng phù hợp với các VPN truy cập từ xa hỗ trợ đa giao thức. Tuy nhiên, L2TP

không hỗ trợ mã hoá dữ liệu và tính toàn vẹn dữ liệu vì thế sử dụng IPSec kết hợp với

L2TP là giải pháp toàn vẹn.

Một số vấn đề về bảo mật trong VPN, bảo mật dữ liệu chống lại các truy cập và

thay đổi trái phép. Bảo mật trong VPN phải thực hiện hai quá trình đó là: Xác thực và

mật mã. Phần này giới thiệu một số thuật toán xác thực, mật mã thường được sử dụng

trong mạng VPN như PAP, CHAP, MD, SHA, MAC…, DES, AES, RAS, DH. Hiện nay,

IETF và nhiều tổ chức uy tín đã đưa ra nhiều thuật toán xác thực và mã hoá để hoàn

thiện các chuẩn cho công nghệ này.

Nguyễn Mạnh Hùng, Lớp D04VT1 109

Page 126: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Kết luận

Các vấn đề về quản lý VPN, bao gồm: quản lý bảo mật, quản lý địa chỉ và quản

lý chất lượng.

Trong xu thế toàn cầu hoá, thương mại hoá các mạng IP được thiết kế để truyền

thông thống nhất xung quanh World Wide Web (WWW) và Extranet, để phù hợp với các

ứng dụng trong giao dịch thương mại, kinh doanh. Extranet thường được thiết lập giữa

các đối tác kinh doanh và được thúc đẩy bởi nhu cầu cho các ứng dụng kinh doanh chi

tiết, xử lý nhanh hơn điều khiển bộ kiểm toán tốt hơn còn VPN được phát triển với nhu

cầu để cung cấp liên lạc bảo mật trên Internet chung, bất kể loại lưu lượng nào mà

không cần quan tâm đến ứng dụng nên trong tương lai sẽ mở rộng các VPN đến

Extranet. Ta có thể xây dựng Extranet trên cơ sở của một VPN, các bước chính trong

việc mở rộng một VPN đến một Extranet là chuyển nhượng quyền truy cập các đối tác

Extranet đến các tài nguyên đặc biệt bên trong và bổ sung cơ sở dữ liệu về đối tác đến

các hệ thống xác thực.

Với nhiều nhà quản lý, Extranet có nhiều thuận lợi cho việc liên lạc giữa nhiều

đối tác kinh doanh đó là:

- Các Extranet thường được xây dựng dựa trên giao thức TCP/IP, mà giao thức

này thuận lợi cho việc liên kết các mạng con (riêng).

- Sử dụng Internet để liên kết các mạng với độ linh động cao hơn trong các thủ tục

và kết thúc các hoạt động ngắn hạn khi cần.

- Extranet được luân chuyển xung quanh WWW, điều này giúp cung cấp giao tiếp

người dùng chung tới nhiều ứng dụng qua các ranh giới công ty.

Trong đồ án đã trình bày về các thành phần cơ bản của MPLS – VPN, các mô

hình triển khai MPLS – VPN tại lớp hai và lớp ba, những kỹ thuật then chốt trong

MPLS – VPN như truyền thông tin định tuyến, địa chỉ VPN – IP và hoạt động chuyển

tiếp gói tin VPN. Ngoài ra, trong nội dung của chương này cũng đề cập đến một số vấn

đề liên quan đến khía cạnh bảo mật và chất lượng dịch vụ trong MPLS – VPN. Cuối

chương có đưa ra một số phân tích và so sánh các đặc điểm nổi bật của hai giải pháp

VPN dựa trên IPSec và MPLS. Có thể nói, việc triển khai công nghệ VPN trên nền

MPLS hứa hẹn nhiều thuận lợi mới và chắc chắn sẽ là giải pháp lí tưởng cho mạng

riêng ảo trong tương lai.

Nguyễn Mạnh Hùng, Lớp D04VT1 110

Page 127: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Tài liệu tham khảo

TÀI LIỆU THAM KHẢO

[1] Cisco Secure Virtual Private Networks (Volume 1,2) Copyright © 2001, Cisco System, Inc. [2] Security Protocols Overview Copyright ©1999, RSA Data Security, Inc. [3] Virtual Private Networking and Intranet Security Copyright © 1999, Microsoft Corperation, Inc. [4] Network Protocol Handbook Matthew G.Naugle, McGraw-Hill, Inc.1994. [5] Building and Managing Virtual Private networks Dave kosiur, USA, 1998. [6] VPN technologies: Definitions and Requirements Copyright © 2002, VPN Consortium. [7] Understanding Virtual Private networking Copyright © 2001, ADTRAN, Inc. [8] Next Generation Enterprise MPLS VPN-Based MAN Design and Implementation Guide © 2006 Cisco Systems, Inc. All rights reserved.

Các Websites chính

http:// www.vpnlabs.org http:// www.vpnc. org http:// www. ietf. Org http:// www.techguide.com http:// www.javvin.com http:// www.techRepublic.com

Các chuẩn RFCs

RFC 2403- Use of HMAC-MD5-96 winthin ESP and AH RFC 2402- IP Authentication Header (AH) RFC 2404- Encapsulation Security Payload (ESP) RFC 2341- layer 2 Forwarding Protocol (L2F) RFC 2647- Point-to-Point Tunneling Protocol (PPTP) RFC 2661- Layer 2 Tunnling Protocol (L2TP)

Nguyễn Mạnh Hùng, Lớp D04VT1 111

Page 128: @@@@@@Nguyen Manh Hung Lop D04VT1 - Nghien Cuu Cac Giai Phap Mang Tren Nen Cong Nghe MPLS

Đồ án tốt nghiệp Đại Học Lời cảm ơn

LỜI CẢM ƠN

Em xin trân thành cảm ơn các thầy cô giáo trong khoa viễn thông I và đặc biệt là

các thầy cô trong bộ môn khoa viễn thông. Em xin gửi đến thầy giáo Ths. Hoàng Trọng

Minh lời cảm ơn chân thành nhất, thầy đã tận tình hướng dẫn em hoàn thành đồ án và

cung cấp cũng như hướng dẫn lựa chọn những tài liệu thiết thực đối với lĩnh vực nghiên

cứu của đồ án. Xin cảm ơn gia đình tôi, những người luôn bên tôi trong lúc khó khăn

nhất, Cuối cùng xin cảm ơn bạn bè tôi những người bạn thật tốt, đã luôn cạnh tôi trong

suốt thời gian qua.

Nguyễn Mạnh Hùng, Lớp D04VT1 112