Giải pháp IP multicast ứng dụng vào mạng riêng ảo VPN

Giải pháp IP Multicast ứng dụng vào mạng riêng ảo VPN

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THONG

TRUNG TÂM CÔNG NGHỆ THÔNG TIN

BAO CAO

THUC TAP TOT NGHIEP

Nội dung: Gidai phap IP Multicast

ung dung vao mang riéng ao VPN

Noi thuc tap: Trung tam CNTT-CDIT

Người hướng dẫn: Cô Lê Thị Hà

Sinh viên thực hiện: Lê Thị Huê

Hà Nội 11/2011

LOI CAM ON

Em xin chân thành cảm ơn trung tâm công nghệ thông tin, Trường Học Viện Công Nghệ Bưu Chính Viễn Thông đã tạo điều kiện cho tốt cho em thực hiện báo cáo tốt nghiệp này

Em xin chân thành cảm ơn cô giáo Lê Thị Hà đã tận tình hướng dẫn, chỉ bảo cho em trong suốt thời gian thực hiện đề tài

Chúng em xin chân thành cảm ơn quý thầy cô trong khoa đã tận tình giảng dạy, trang

bị cho chúng em những kiến thức quý báu trong những năm học vừa qua

Xin chân thành cảm ơn gia đình, anh chị, bạn bè đã ủng hộ giúp đỡ động viên em trong suốt thời gian học tập và nghiên cứu

Mặc dù em đã có gắng hoàn thành báo cáo trong phạm vi và khả năng cho phép nhưng

chắc chắn sẽ không tránh khỏi những sai sót rất mong quý thầy cô và các bạn thông

cảm Em kính mong nhận được những ý kiến đóng góp quý báu của quý thầy cô và các

bạn!

Sinh v

MUC LUC PHAN A GIOI THIEU DON VI THUC TAP c.cccccccccsscesscsseessessessessesseees 5

TL CHUC NANG ieee ceccccsscsscsscescssesscsecssssessvssvssesessucsussessssessssensutsacsesessssenseees 5

II TÔ CHỨCC 52 1S E2 1211211211 1171112112112111111111112111111.1 11c re 5

II CÁC LĨNH VỰC HOẠT ĐỘNG

PHAN B NỘI DUNG THỰC TẬP

L GIỚI THIỆU CHUNG -2- 2-52 SE EE2EEE212211211271711271 71112112 ce 6 I0 9090) 011157 7

CHUONG 1 TÔNG QUAN VẺ IP MUL TICAST sc555cccc5cxccsscxes 7

1.1 Khái niệm c 2c 1211221112 11191112 1110 111 1119 11kg cờ 7 1.2 ChứỨc năng - ch nnnHHnH n nHnH T nH T TH Hnngniệt 7 1.3 Các ưu nhược điỂm St tt E1 1118111111 1111 1111111 sree 7

hàn ae 7 1.3.2 Nhược điểm ccnnnnnhHh re 8

1.4 Dia chi IP Multicast 0.00 cccccccccssscccessscccesseccseseeceesseeecesseeesesseeeensseesees 8

1.5 Giao thite trong Multicast 2.0 cceccceeceeceeeeceeceeceeeeecneeeeeneeeeeeeseeeeaee 9 1.5.1 Giao thirc PIM Dense Mode wu ee ccecceceeeneeteeseeeeteeteeeeeeeneeneeaeeeeee 9

1.5.2 Giao thức định tuyén IGMP o c.ccsscsccsscesecsesssessessessessessesssessesseease 9

1.5.3 Giao thức định tuyến PIM-SM 25ccckccEc2EeEEerkerxerree 10

1.6 Truyền dẫn Multicast -+-©5c 2t 2E E221 E2122112211711211 27121 xe 11 1.6.1 Truyén dan Unicast ccccccccccccsseessessesssessessessessssssessessessessesasesseeses 11 1.6.2 Truyén dan Broadcast c cccccssssssessesssessessesssessesssessessesssessessseseeeses 12

1.6.3 Mô hình truyền dẫn Multicast . -2-5252252+E+xezxererxeresree 13

CHUONG 2 GIỚI THIỆU MẠNG RIÊNG AO VPN 13

2.2 chức năng ch Tnhh TT ng TH HT HH kh 14

2.2.1 Tinh xac thue cccccccccccccseccsscesseccsseceseecssecesseseseecseseseecsseeeseeenseeees 14

2.2.2 Tính toàn vẹn

"N0 1 .Ả 14 2.3 Các ưu nhược điểm của VPN -:- 2:22 22x2Exerxrerkrerrrerrrerrrre 14 2.3.1 Ưu điểm -2Sc22Sc 22x21 2212212712711 ctree 14 2.3.2 Nhược điểm ¿222222 22x21 2212712712712 221 crkrrrev 14

2.4 Phan loại mạng VPPN - ng TH ng nh ngư 15 2.4.1 Remote Access VPÌN cL LH HH SH HH TH ng kg kg 15

2.4.2 Site-to-Site VPN u22 H2 H222 reo 17

2.4.3, EXITADC( LH TH TH TT tk tk kh 17

2.5 Giao thức bảo mật IPSEC : 2¿- ++22++22x+22Eerxrerxrsrxrsrrrrrrrrrs 19

2.5.1 Xác thực tiêu đề AH 5c tt EEEEE121121121111 11011111111 xe 19

2.5.2 Encapsulating Security Payload (ESP) -sccsccsscsscrses 19

2.5.3 Chế độ mã hóa - 5:51 11 1EE1EE1E11011211211111 1111011 1111 19 2.5.4 Trao đổi mã khóa IKE (Internet Key Exchange) - 20

CHUONG 3 MO HINH UNG DUNG CUA IP MULTICAST TREN VPN .20 NT ae dẢA 20

3.2 Mục đích -ccc 1 1 1111 111v v 1g v ST vn kg kg kg 21

na nann Ô 21 3.4 Cach san .Ả ÔỎ 21 3.5 Định tuyến IP Multicast trên GNS3 5cctcctcrerrrrererke 22 sàn n ,Ỏ 22

3.5.2 Các bước thực hiỆN: - 2c S 112011121112 1118112 1118111111 erxe 23 3.5.3 Cài đặt chương trÌnh: . -c + St vs vs rerrrirsrrerrrsee 23 3.5.4 Demo chương trÌnhh - - - + 2c SE **EESEEEEEsrkrsirsresrrrke 27 3.6 Ung dung của ip muÌtiCast - 2-55 t‡EEEEE2EEEEEEEEEEEEerkrerkervee 31

PHAN A GIOI THIEU DON VI THUC TAP

I CHỨC NẴNG

Trung tâm Công Nghệ Thông Tin CDIT có nhiệm vụ: Nghiên cứu, phát triển, triển khai sản phẩm, chuyển giao công nghệ và đào tạo trong lĩnh vực Công Nghệ Thông Tin phục vụ ngành Bưu Chính Viễn Thông và xã hội

Phòng Phỏng Phòng

Tổng hợp Kế hoạch- Phát trên Phát triển Phát triễn

` Tải chính Mang và Dich vu Ứng dụng

KHOI QUAN LY KHI NGHIÊN CỨU

Phòng Nghiên cứu Phát triển Dịch vụ Bưu chính Viễn thông

Chức năng, nhiệm vụ

Phòng Nghiên cứu Phát triển Dịch vụ Bưu chính Viễn thông là đơn vị nghiên cứu phát trién cua Trung tâm có chức năng:

© Nghiên cứu đề xuất, phát triển và triển khai các giải pháp và ứng dụng trên

mạng viễn thông, bưu chính

e_ Thực hiện các dich vụ kỹ thuật trên mạng truyền thông

e_ Chủ trì việc quản trị phòng LAB và cơ sở hạ tầng truyền thông của Trung tâm

©_ Hợp tác nghiên cứu khoa học, tiếp nhận và chuyển giao công nghệ trong lĩnh

vực bưu chính, viễn thông, công nghệ thông tin

se Tổ chức, tham gia đào tạo, bồi dưỡng theo nhu cầu của Trung tâm, Học viện và

Tập đoàn

e - Tham gia công tác bảo trì, hỗ trợ kỹ thuật và thực hiện các hoạt động khác trong lĩnh vực công nghệ thông tin và truyền thông theo định hướng của Trung tâm, Học viện và Tập đoàn

HI CÁC LĨNH VỰC HOẠT ĐỘNG

Trung tâm Công Nghệ Thông Tin hoạt động trên 5 lĩnh vực chính:

e Nghiên cứu khoa học công nghệ

e_ Phát triển, triển khai công nghệ và sản phẩm

©_ Sản xuất phần mềm và thiết bị

e_ Tiếp nhận và chuyền giao công nghệ

e_ Đào tạo và bồi đưỡng nhân lực

PHAN B NOI DUNG THUC TAP

I GIỚI THIỆU CHUNG

Hiện nay, trong môi trường kinh doanh có một lượng rất lớn các thông tin cần phải chuyến tiếp đến nhiều nơi trong cùng một thời gian Cùng thời điểm đó, các doanh nhân và các nhà nghiên cứu cần lấy một lượng lớn thông tin và thống kê trong cùng một ngày IP multicast chính là kĩ thuật giúp cho mạng tiết kiệm được băng thông IP Multicast là một sự thay thế tốt cho quá trình truyền unicast khi mà các công ty cần chuyển thông tin đến nhiều khách hàng trong cùng một thời điểm Sử dụng IP Multicast co thể giảm tải cho mạng

VPN là một mạng riêng ảo của người dùng dựa trên các cơ sở hạ tầng của mạng công cộng Chúng có thể được tạo ra bằng cách sử dụng phần mền, phần cứng hoặc cả hai phan nay dé tao ra một kết nối bảo mật giữa hai mạng riêng đi qua mạng công cộng

hiện nay mạng VPN được sử dụng hệ thống mạng công cộng sẵn có như internet để kết

nỗi các văn phòng cũng như nhân viên ở xa

Thay vì sử dụng kết nối chuyên biệt và trực tiếp giữa các văn phòng như kênh thuê riêng leased lines, một VPN sử dụng các kết nối ảo được thiết lập trong môi trường internet từ mạng riêng của công ty tới các văn phòng và nhân viên cách xa về địa lí với

sự phát triển đó thì các địch vụ mới lại được thêm vào đề phục vụ tốt hơn cho nhu cầu

sử dụng

Cùng với sự phát triển của của Internet, thông tin trở thành một vũ khí quan trọng trong hoạt động của cá nhân, doanh nghiệp và cả chính phủ Vì vậy việc chuyên tiếp thông tin tới nhiều nơi trong cùng một thời gian là rất quan trọng, hơn nữa vấn đề bảo mật thông tin cũng là vấn đề vấn đề được đặt lên hàng đầu với các cơ quan, doanh nghiệp Thấy được tầm quan trọng của IP Multicast và mạng riêng ảo VPN vì thế e đã lựa chọn

đề tài "Giái pháp IP Multicast ứng dụng vào mạng riêng áo VPN® với mong muốn

được đi sâu nghiên cứu nó và tìm hiểu thêm được những ứng dụng mới thiết thực nhất của IP Multicast trên mạng riêng ảo VPN

II NOI DUNG

CHUONG 1 TONG QUAN VE IP MULTICAST

1.1 Khái niệm

IP Multicast là một trong những công nghệ và tiêu chuẩn tiêu biểu cho phép truyền dan

đa điểm — đa điểm như các hội nghị truyền hình, quảnng bá âm thanh, hình ảnh trên Internet

1.2 Chức năng

e Chức năng chính của IP Multticast là cung cấp khá năng kết nối mạng con thành liên kết mạng để truyền đữ liệu

e_ Truyền dẫn các gói đữ liệu từ một nguồn tới nhiều đích

1.3 Các ưu nhược điểm

1.3.1 Ưu điểm

e_ Tối ưu băng thông đường truyền

e_ Giảm sô kết nôi tới server

e Tang bang thông cho hệ thống

1.3.2 Nhược điểm

Bên cạnh những ưu điểm rất nỗi bật thì IP Multicast gặp rất nhiều khó khăn trong vấn

đề bảo mật

e_ Thiếu hỗ trợ về quản lí lưu lượng

e Độ tin cậy và bảo mật không cao

1.4 Dia chi IP Multicast

Một địa chi IP multicast 1a một địa chỉ IP lớp mạng D trong phạm vi từ 224.0.0.0 đến 239.255.255.255 Một số các địa chỉ này được dành riêng cho mục đích đặc biệt

1} 1 | 1 | 0 | Multicast Group ID

Hình I Mô hình địa chỉ lớp D

Một số địa chỉ dành riêng cho IP Multicast:

Bảng I các địa chỉ dành riêng cho IP Multicast và chức năng của chúng

Dia chi multicast Chức năng

244.0.0.0 Địa chỉ cơ sở

224.0.0.1 Tất cả các hệ thống trên mạng con này

224.0.0 2 Tất cả các Roufer trên mạng con này

224.0.0 5 Cac DR trong OSPF

224.0.1 9 Nhóm địa chỉ RIPv2

224.0.1 24 Nhóm địa chỉ WINS server

1.5 Giao thức trong Multicast

1.5.1 Giao thức PIM Dense Mode

PIM (Protocol Independent Multicast) 1a giao thtrc multicast hoat dong ddc lap voi giao thức định tuyến IP unicast Nó sử dụng thông tin từ bảng định tuyén unicast dé thực hiện quá trình kiểm tra Reverse Path Forwarding (RPF) từ đó đưa ra quyết định gửi dữ liệu PIM có thể cấu hình để hoạt động theo hai cơ chế là dense mode và sparse mode bao gồm các quá trình cơ bản như: tìm kiếm hàng xóm, cắt bỏ và ghép nhánh trên cây phân phối multicast, cơ chế xác nhận

Ngườn cá hiểu: (S,G) 192.1.1.1 $= Ngmền

J G= Nhóm

hw brome 224.1.1.1

| 18.222 ] 192 33.3 aan =e) mm im J

Hình 2 Mô hình giao thức PLM Dense Mode 1.5.2 Giao thức định tuyến IGMP (Internet group menbership protocol)

Giao thức IGMP phát triển từ giao thức Host Membership Protocol IGMP phát triển từ

IGMPvI (RFC 1112) đến IGMPv2 (RFC 2236) và phiên bản cuối cùng IGMPv3 (RFC

3376) Các thông điệp IGMP được đóng gói trong IP datapram với trường protocol number bang 2, trong đó trường TTL (Time To Live) có giá trị bằng 1 Các gói IGMP chỉ được truyền trong LAN và không được tiếp tục chuyên sang LAN khác đo giá trị TTL của nó Hai mục đích quan trọng nhất của IGMP là:

e Thông báo cho router multicast biết rằng có một máy muốn nhận dữ liệu từ

một nhóm multicast

© Thong bao cho router biét cé mét may muén rdi nhém multicast

Giao thức IGMP cho phép các trạm có thê đăng kí tham gia hay rời bỏ một nhóm

Hình 3 Giao thức định tuyến IGMP

1.5.3 Giao thire dinh tuyén PIM-SM (Protocol independent multicast - Sparse Mode)

PIM Sparse Mode (PIM-SM) ding m6t giải pháp khác Cây Multicast không mở rộng đến router cho đến khi nào một host đã tham gia vào một nhóm Cây Multicast được xây dựng bằng các thành viên ở các nút lá và mở rộng ngược về gốc

e_ Các hoạt động của PIM-SM xoay quanh một cây chia sẻ một chiều

e_ Giao thức PIM-SM người dùng có thể nhận đữ liệu multicast thông qua cây đường đi ngắn nhất SPT

e PIM chi str dung mét théng điệp đơn Join/Prune cho chức năng làm sáng tỏ quá

trình tham gia hay cắt bỏ nhánh

e PIM-SM hỗ trợ khả năng cho phép router DR ở chặng cuối (là router kết nối trực tiếp với các máy nhận đữ liệu) có thể chuyến từ cây chia sé sang cay SPT cho một nguồn multicast

10

1.6 Truyén dan Multicast

IP Multicast ding dé truyền dẫn các gói đữ liệu IP từ một nguồn đến nhiều dich trong một mạng LAN hay WAN Các host tham gia vào một nhóm Multicast và các ứng dụng chỉ gửi một bản sao của thông tin cho một địa chỉ nhóm Thông tin này chỉ gửi đến những điểm muốn nhận được lưu lượng đó Việc gửi bản tin Unicast và Broadcast

là các trường hợp đặc biệt của phương pháp Multicast Truyền Multicast cải thiện đáng

kế về hiệu suất, thường sử đụng băng thông nhỏ hơn truyền đơn trên mạng

1.6.1 Truyền dẫn Unicast

Truyền dẫn Unicast là truyền dẫn điểm - điểm Nhiều host muốn nhận thông tin từ

một bên gửi thì bên gửi đó phải truyền nhiều gói tin đến các bên nhận Điều này sẽ

dẫn đến gia tăng băng thông khi có quá nhiều bên nhận và không hiệu quả về nguồn

và bộ đệm

11

——

+ Packets for Host D

Packets for Host E

Hình 5 Mô hình truyền dẫn Unicast

1.6.2 Truyền dẫn Broadcast

Kiéu truyền dẫn này cho phép truyền gói tin từ một địa điểm tới tất cá các host trên

một mạng con mà không quan tâm đến việc một số host không có nhu cầu nhận nó

Kiéu truyền dẫn này được coi là một sát thủ băng thông do việc sử đụng tài nguyên băng thông không hề hiệu quả

——————+ Packets for all the network

Hình 6 Mô hình truyền dẫn broadcast

12

1.6.3 Mô hình truyền dẫn Multicast

Đây là phương pháp truyền dẫn đa điểm, trong đó chỉ các host có nhu cầu nhận dữ

liệu mới tham gia vào nhóm Điều này hạn chế tối đa sự lãng phí băng thông trên mạng, hơn nữa còn nhờ cơ chế gửi gói đữ liệu Multicast mà băng thông được tiết

kiệm triệt đề

Host B

—————+ Packets far the mutticast group

Hinh 7 M6 hinh truyén dan Multicast

CHUONG 2 GIỚI THIỆU MẠNG RIÊNG ẢO VPN

2.1 Khái niệm

Mạng riêng ảo (VPN) là một kết nối mạng triển khai trên cơ sở hạ tầng mạng công cộng với chính sách quản lí và báo mật giống như mạng cục bộ Mạng riêng áo mở rộng phạm vi của các mạng LAN mà không bị hạn chế về mặt địa lý Các hãng thương mại có thê dùng VPN để cung cấp quyền truy nhập mạng cho người dùng di động và từ

xa, kết nói các chỉ nhánh phân tán thành một mạng duy nhất và cho phép sử dụng từ xa các trình ứng dụng dựa trên các dịch vụ trong công ty

VPN = tunnelling + data private (encryption, hashing )

13

2.2 chire nang

VPN cung cấp ba chức năng chính đó là:

2.2.1 Tính xác thực

Đề thiết lập một kết nối VPN thì trước hết cả hai phía phải xác thực 14n nhau dé khang

định rằng mình đang trao đổi thông tin với người mình mong muốn chứ không phải là một người khác

Tính linh hoạt không những được thể hiện trong quá trình vận hành và khai thác

mà nó còn thực sự mềm đẻo đối với yêu cầu sử dụng

Khả năng mở rộng và phát triển do VPN được xây dựng dựa trên cơ sở hạ tầng mạng công cộng nên bất cứ ở nơi nào có mạng công cộng (như Internet) đều có thể triển khai VPN Dễ dàng mở rộng băng thông hay gỡ bỏ VPN khi không có nhu cầu Khả năng ứng dụng của VPN là rất lớn và sẽ phát triển rất mạnh trong tương lai Ngoài ra VPN còn một số ưu điểm như giảm thiểu các hỗ trợ kĩ thuật

và yêu cầu về thiết bị

Nhược điểm

Vấn đề an ninh VPN tiềm ấn nhiều rủi ro an ninh khó lường trước và do đó sự

an toàn sẽ không là tuyệt đối

14

¢ D6 tin cay va su thyc thi VPN sir dung phuong phap ma hoa dé bao mit dit liéu Trong VPN có các khoá ứng dung làm việc ma không đòi hỏi VPN

e Mã hóa và thuật toán phức tạp do mã hóa và thuật toán phức tạp dẫn tới tốc độ

xử lí máy chủ chậm gây tắc nghẽn và mắt thông tin

2.4 Phan loai mang VPN

Dựa trên nhu cầu cơ bản hiện nay thì mạng VPN thường được phân chia làm 3 loại

sau:

2.4.1 Remote Access VPN

Remote Access còn được gọi là Dial-up riêng ảo (VPDN) là một kết nối người dùng- đến-LAN, thường là nhu cầu của một tổ chức có nhiều nhân viên cần liên hệ với mạng riêng của mình từ rất nhiều địa điểm ở xa Ví dụ như công ty muốn thiết lập một VPN lớn đến một nhà cung cấp dịch vụ đoanh nghiệp (ESP) Doanh nghiệp này tạo ra một máy chủ truy cập mạng (NAS) và cung cấp cho những người sử dụng ở xa một phần mềm máy khách cho máy tính của họ Sau đó, người sử dụng có thể gọi một số miễn

phí để liên hệ với NAS và dùng phần mềm VPN máy khách để truy cập vào mạng

riêng của công ty Loại VPN này cho phép các kết nối an toàn, có mật mã

Nhãn viên di động

Hinh 8 Remote Acess VPN

15

Quay số kết nối đến trung tâm, điều này sẽ làm giảm chỉ phí cho một số

yêu cầu ở khá xa so với trung tâm

hỗ trợ cho những người có nhiệm vụ cấu hình, bao tri va quan ly RAS va

hỗ trợ truy cập từ xa bởi người dùng

những người dùng từ xa chỉ cần đặt một kết nói cục bộ đến nhà cung cấp

dich vụ ISP hoặc ISP°s POP và kết nối đến tài nguyên thông qua internet

e Thuan lợi của Remote Acess VPN

v

v

Sự cần thiết hỗ trợ cho người dùng cá nhân được loại trừ bởi vì kết nối từ

xa đã được tạo điều kiện thuận lợi bởi ISP

Việc quay số nhanh từ những khoảng cách xa được loại trừ, thay vào đó

sẽ là các kết nối cục bộ

Giảm giá thành chi phí cho các kết nối với khoảng cách xa

tốc độ kết nối sẽ cao hơn so với kết nói trực tiếp đến những khoảng cách

xa

VPNs cung cấp khả năng truy cập đến trung tâm tốt hơn bởi vì nó hỗ trợ dich vụ truy cập ở mức độ tối thiêu nhất cho dù có sự tăng nhanh chóng các kết nói đồng thời đến mạng

e_ Một số bất loi cua VPNs:

v

v

v

Remote Access VPNs không đảm bảo được chất lượng phục vụ

khả năng mắt dữ liệu và bị thất thoát là rất cao

Gây khó khăn cho quá trình xác nhận và nén dữ liệu IP chậm (Do độ phức tạp của thuật toán mã hóa, protocol overhead tăng đáng kể)

Do phải truyền đữ liệu thông qua internet, nên khi trao đổi các đữ liệu lớn thì sẽ rất chậm

16

Hinh 9 Site To Site VPN

e LAN-to-LAN VPN 1a su két néi hai mang riéng lé thong qua mét duong ham bao mat Duong ham bao mật này có thể sử dụng các giao thức PPTP, L2TP, hoặc IPsec Mục đích chính của LAN-to-LAN là kết nối hai mạng không có đường nối lại với nhau, không có việc thỏa hiệp tích hợp, chứng thực, sự cần mật của dữ liệu

Kết nối Lan-to-Lan được thiết kế để tạo một kết nối mạng trực tiếp, hiệu quả bất