TÍCH HỢP KÊNH TRUYỀN MPLS LAYER 3 VPN VỚI AMAZON WEB SERVICES TRONG MẠNG DOANH NGHIỆP

ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC CHUYÊN NGÀNH ĐIỆN TỬ TRUYỀN THÔNG HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG TP.HCM | KHÓA D18 NIÊN KHÓA 2018 2023. Hiện nay, sự phát triển lớn mạnh của Internet vạn vật (IoT), tự động hóa và trí tuệ nhân tạo, cùng với dữ liệu lớn (Big data) và phân tích dữ liệu (Analytics), đã tạo tiền đề cho cách mạng công nghiệp lần thứ tư cuộc cách mạng công nghiệp 4.0. Cuộc cách mạng này đã đem lại nhiều sự phát triển xuyên suốt cho mọi lĩnh vực, cho dù làm việc tại lĩnh vực nào thì công nghệ Cloud vẫn đóng một vai trò rất quan trọng trong việc thúc đẩy cuộc cách mạng công nghiệp này, bằng cách cung cấp nền tảng cho doanh nghiệp đổi mới và phát triển ...

GIỚI THIỆU CHUNG VỀ KÊNH TRUYỀN MPLS LAYER 3 VPN

Mạng riêng ảo MPLS VPN

1.1.1 Tổng quan về MPLS và VPN

MPLS là một giao thức đóng gói được sử dụng rộng rãi bởi nhiều nhà cung cấp dịch vụ và mạng doanh nghiệp quy mô lớn Thay vì dựa vào tra cứu IP để xác định next-hop tại từng bộ định tuyến như trong mạng IP truyền thống, MPLS gắn nhãn lên gói tin và chuyển mạch dựa trên nhãn đó Mạng MPLS xác định trước đường đi và sử dụng các thao tác push, pop và swap nhãn để điều hướng lưu lượng đến đích Quá trình định tuyến vẫn dựa trên địa chỉ IP và các giao thức định tuyến, nhưng các router trong mạng MPLS cần nắm được sự thay đổi nhãn khi gói tin được chuyển tiếp qua từng nút Do đó, các router MPLS phải hiểu và vận hành các giao thức phân phối nhãn như LDP để thiết lập và duy trì nhãn cho lưu lượng.

VPN được giới thiệu để cho phép các nhà cung cấp dịch vụ sử dụng cơ sở hạ tầng công cộng có sẵn để thực thi các kết nối point-to-point giữa các site khách hàng Một mạng khách hàng được triển khai với bất kỳ công nghệ VPN nào sẽ nằm trong vùng điều khiển của khách hàng và các site này được kết nối với nhau qua mạng của nhà cung cấp dịch vụ (SP) Trong các mạng dựa trên bộ định tuyến truyền thống, các site khác nhau của cùng một khách hàng được liên kết bằng các kết nối point-to-point chuyên dụng như leased line hoặc Frame Relay, và chi phí thực hiện phụ thuộc vào số lượng site khách hàng Các kết nối dạng full mesh sẽ làm tăng chi phí theo cấp số nhân Frame Relay và ATM là những công nghệ đi đầu và thích hợp cho triển khai VPN, bởi vì các mạng này có thể tích hợp các thiết bị thuộc về khách hàng hoặc nhà cung cấp dịch vụ, tạo thành các thành phần của giải pháp VPN [2].

Mạng khách hàng gồm các router được đặt tại các site khách hàng khác nhau, chịu trách nhiệm kết nối từng site với mạng của nhà cung cấp Các router này được gọi là router biên phía khách hàng (CE – Customer Edge).

Mạng nhà cung cấp được dùng để cung cấp các kết nối point-to-point qua hạ tầng mạng của nhà cung cấp dịch vụ Các thiết bị của nhà cung cấp kết nối trực tiếp với CE router được gọi là router biên phía nhà cung cấp (PE – Provider Edge) Mạng của nhà cung cấp còn có các thiết bị dùng để chuyển tiếp dữ liệu trong mạng trục (SP backbone) được gọi là các router nhà cung cấp (P – Provider) Dựa trên sự tham gia của nhà cung cấp dịch vụ trong việc định tuyến cho khách hàng, VPN có thể chia thành hai loại mô hình: Overlay và Peer-to-peer.

Mô hình Overlay là cách Frame Relay và ATM cung cấp mạng riêng cho khách hàng, trong đó nhà cung cấp không tham gia vào việc định tuyến lưu lượng của khách hàng mà chỉ vận chuyển dữ liệu qua các kết nối point-to-point ảo Như vậy, nhà cung cấp chỉ cung cấp cho khách hàng một kết nối ảo tại lớp 2, tách biệt hoạt động định tuyến của khách hàng với hạ tầng mạng và cho phép khách hàng tự kiểm soát đường đi và chính sách định tuyến của riêng mình.

Mô hình Peer-to-peer (P2P) hay mô hình ngang cấp được thiết kế để khắc phục nhược điểm của mô hình Overlay và cung cấp cơ chế vận chuyển tối ưu qua SP backbone cho khách hàng Do đó, nhà cung cấp dịch vụ có thể tham gia trực tiếp vào quá trình định tuyến của khách hàng Trong mô hình này, thông tin định tuyến được trao đổi giữa các router khách hàng (CE) và các router của nhà cung cấp (P và PE), trong khi dữ liệu của khách hàng được vận chuyển qua mạng lõi của nhà cung cấp Nhờ sự trao đổi thông tin định tuyến giữa mạng của nhà cung cấp và mạng khách hàng, đường đi được tối ưu hóa và đảm bảo tính liên tục cho dịch vụ.

CHƯƠNG I: GIỚI THIỆU CHUNG VỀ KÊNH TRUYỀN MPLS LAYER 3 VPN

SVTH: VÕ ANH DUY LỚP: D18CQVT01-N Trang 3

Hình 1.1: Sơ đồ tổng quan về MPLS VPN

Trong kiến trúc mạng MPLS VPN, các router biên mang thông tin định tuyến của khách hàng và cung cấp định tuyến tối ưu cho lưu lượng giữa các site của khách hàng Mô hình MPLS-based VPN cho phép khách hàng sử dụng không gian địa chỉ trùng lặp (overlapping address spaces), khác với mô hình peer-to-peer truyền thống, nơi việc định tuyến lưu lượng yêu cầu nhà cung cấp phải gán địa chỉ IP riêng cho mỗi khách hàng hoặc khách hàng phải thực hiện NAT để tránh trùng lặp không gian địa chỉ.

MPLS VPN là một dạng thực thi đầy đủ của mô hình peer-to-peer, trong đó backbone MPLS VPN và các site khách hàng trao đổi thông tin định tuyến lớp 3 Dữ liệu được chuyển tiếp giữa các site khách hàng thông qua backbone IP được MPLS hóa của nhà cung cấp dịch vụ.

MPLS VPN là một dạng VPN liên kết giữa mạng của khách hàng và mạng của nhà cung cấp, giống với VPN truyền thống Mô hình MPLS VPN tương tự như cấu hình PE router dành riêng cho từng khách hàng trong các triển khai VPN peer-to-peer Tuy nhiên, thay vì triển khai PE router riêng cho mỗi khách hàng, lưu lượng của khách hàng được tách riêng trên cùng một PE router, cho phép kết nối đến mạng của nhà cung cấp cho nhiều khách hàng cùng lúc [2]

1.1.2.1 Các thành phần chính của kiến trúc MPLS VPN

Mạng khách hàng là miền điều khiển của khách hàng, bao gồm các thiết bị và các router trải rộng trên nhiều site thuộc cùng một khách hàng Các router CE (Customer Edge) là những thiết bị giao tiếp giữa mạng khách hàng và mạng của nhà cung cấp Trong hình trên, mạng khách hàng của Customer A gồm các thiết bị ở Site 1 và Site 2 cùng với các router CE1-A và CE2-A; còn các router CE của Customer B là CE1-B và CE2-B.

Mạng của nhà cung cấp – miền thuộc điều khiển của nhà cung cấp gồm các router biên

Trong một hạ tầng mạng chia sẻ, phần edge và phần lõi đảm nhiệm việc kết nối các site của khách hàng Các router PE (provider edge) là cầu nối giữa mạng của nhà cung cấp và router biên của khách hàng; trong khi các router P (provider core) là các router lõi giao tiếp với các router lõi khác hoặc với router biên của nhà cung cấp Trong sơ đồ mạng của nhà cung cấp, gồm các router PE1, PE2 và các router lõi P1, P2, P3, P4 PE1 và PE2 là các router biên của nhà cung cấp trong miền MPLS VPN cho khách hàng A và B, còn P1, P2, P3 và P4 là các provider routers ở lõi mạng.

1.1.2.2 Mô hình định tuyến MPLS VPN

MPLS VPN giống như mô hình mạng ngang cấp với router dành riêng Từ một router

CE chỉ cập nhật IPv4 và dữ liệu được chuyển tiếp tới router PE CE không cần bất kỳ cấu hình riêng biệt nào để tham gia vào mạng MPLS VPN Yêu cầu duy nhất trên CE là một giao thức định tuyến (hoặc tuyến tĩnh hoặc định tuyến mặc định) cho phép trao đổi thông tin định tuyến IPv4 với các router PE Trong mô hình MPLS VPN, router PE thực hiện nhiều chức năng Trước tiên, nó phân tách lưu lượng khách hàng nếu có nhiều hơn một khách hàng kết nối tới nó Vì thế mỗi khách hàng được gắn với một bảng định tuyến độc lập Định tuyến qua SP backbone được thực hiện bằng một tiến trình định tuyến trong bảng định tuyến toàn cục [2].

Router P thực hiện chuyển mạch nhãn giữa các router biên của nhà cung cấp và không biết đến các tuyến VPN Các router CE trong mạng khách hàng không nhận biết được các router biên của nhà cung cấp.

P và do đó cấu trúc mạng nội bộ của mạng SP trong suốt đối với khách hàng Hình sau mô tả chức năng của router PE [2]

Hình 1.2: Chức năng của router PE

1.1.3 Virtual Routing and Forwarding Table – VRF

Khách hàng được phân biệt trên router PE bằng các bảng định tuyến ảo (VRF - Virtual Routing and Forwarding) hay các instance, cho phép duy trì nhiều bảng định tuyến riêng biệt như thể có nhiều router độc lập kết nối vào mạng của nhà cung cấp VRF hoạt động như một bảng định tuyến toàn cục nhưng chỉ chứa các tuyến liên quan đến một VPN cụ thể; đồng thời nó đi kèm với một VRF-specific CEF forwarding table riêng cho từng VRF, tương ứng với bảng CEF toàn cục và xác định các tuyến và giao thức cho mỗi site khách hàng kết nối trên một router PE VRF xác định bối cảnh (context) của các giao thức định tuyến tham gia vào một VPN cụ thể cũng như các giao tiếp trên router PE tham gia vào VPN, tức là sử dụng VRF Giao tiếp tham gia vào VRF phải hỗ trợ chuyển mạch CEF Một VRF có thể gồm một giao tiếp (logical hay physical) hoặc nhiều giao tiếp trên cùng một router.

VRF (Virtual Routing and Forwarding) cung cấp một bảng định tuyến IP riêng biệt tương ứng với bảng định tuyến IP toàn cục, kèm theo một bảng CEF, danh sách các giao tiếp tham gia vào VRF và tập hợp các nguyên tắc xác định giao thức định tuyến trao đổi với các router CE (routing protocol contexts) VRF còn lưu trữ các VPN identifier, bao gồm thông tin thành viên VPN như RD và RT Hình 1.3 mô tả chức năng của VRF trên router PE, thực hiện tách tuyến cho khách hàng.

CHƯƠNG I: GIỚI THIỆU CHUNG VỀ KÊNH TRUYỀN MPLS LAYER 3 VPN

Hình 1.3: VRF trên một router PE

TỔNG QUAN VỀ AWS NETWORKING SERVICES

AWS Regions

AWS định nghĩa Regions là các vị trí địa lý trên toàn cầu nơi tập trung các trung tâm dữ liệu Mỗi Region được cấu thành từ nhiều Availability Zones (AZ) – các khu vực dữ liệu logic độc lập, cách ly về mặt vật lý Mỗi Region chứa các AZ riêng biệt nằm trong cùng một khu vực địa lý, giúp tăng tính sẵn sàng và khả năng phục hồi cho dịch vụ của khách hàng Không giống với một số nhà cung cấp đám mây coi Region là một trung tâm dữ liệu đơn lẻ, AWS thiết kế Region với nhiều AZ, mang lại độ tin cậy cao hơn và tối ưu hóa hiệu suất mạng lưới cho người dùng.

AZ (Availability Zone) của AWS có nguồn điện, làm mát và bảo mật vật lý độc lập và được kết nối bằng mạng dự phòng có độ trễ cực thấp, giúp tăng độ sẵn sàng và khả năng phục hồi cho hệ thống Khách hàng AWS có yêu cầu về độ sẵn sàng cao có thể thiết kế ứng dụng chạy trên nhiều AZ để đạt được khả năng chịu lỗi cao Cơ sở hạ tầng của các Regions của AWS được xây dựng để đáp ứng mức độ bảo mật, tuân thủ và bảo vệ dữ liệu ở mức cao nhất.

AWS có phạm vi toàn cầu rộng lớn hơn bất kỳ nhà cung cấp đám mây nào khác, đảm bảo khách hàng được phục vụ ở khắp nơi trên thế giới Để hỗ trợ phạm vi này và duy trì khả năng tiếp cận toàn cầu, AWS liên tục mở các Region mới AWS hiện vận hành nhiều Region trải rộng trên các khu vực khác nhau, bao gồm Bắc Mỹ, Nam Mỹ, Châu Âu, Trung Quốc, Châu Á Thái Bình Dương, Nam Phi và Trung Đông Việc mở các Region mới nhanh chóng giúp giảm độ trễ, tăng tính sẵn sàng và tối ưu hóa trải nghiệm của người dùng ở nhiều thị trường Điều này phản ánh cam kết của AWS về hỗ trợ doanh nghiệp và người dùng trên toàn cầu.

Trong Hình 2.1, đám mây AWS đã mở rộng lên 87 Availability Zones (AZ) tại 27 Regions trên toàn cầu, cho thấy phạm vi triển khai rộng và khả năng kết nối đa khu vực cho các ứng dụng AWS cũng công bố kế hoạch bổ sung thêm 21 AZ và 7 Regions mới tại các thị trường Australia, Canada, Ấn Độ, Israel và New Zealand, nhằm tăng độ tin cậy, tối ưu hóa độ trễ và phục vụ người dùng ở các khu vực này tốt hơn.

Zealand, Tây Ban Nha và Thụy Sĩ

Availability Zones

Availability Zones (AZ) là một hoặc nhiều trung tâm dữ liệu riêng biệt nằm trong một AWS Region, mỗi AZ có nguồn điện dự phòng, mạng và kết nối riêng để vận hành các ứng dụng và cơ sở dữ liệu sản xuất với tính sẵn sàng và dung sai cao cùng khả năng mở rộng quy mô lớn hơn so với chỉ một trung tâm dữ liệu duy nhất Tất cả AZ trong một Region được kết nối bằng mạng băng thông cao, độ trễ thấp và có dự phòng đầy đủ thông qua hệ thống cáp sợi metro chuyên dụng, đảm bảo kết nối mạng giữa các AZ có hiệu suất tối ưu và tin cậy Mọi lưu lượng truy cập giữa các AZ được định tuyến qua mạng nội bộ có băng thông cao và độ trễ thấp, giúp tăng khả năng chịu lỗi và phục hồi nhanh cho hệ thống.

SVTH: VÕ ANH DUY LỚP: D18CQVT01-N Trang 16 giữa các AZ đều được mã hóa Hiệu suất mạng đủ để thực hiện sao chép đồng bộ giữa các AZ

AZ cho phép phân vùng ứng dụng để đạt độ sẵn sàng cao một cách dễ dàng hơn bằng cách cô lập các thành phần ở nhiều AZ khác nhau Khi một ứng dụng được phân vùng trên các AZ, doanh nghiệp sẽ được cô lập và bảo vệ tốt hơn trước những rủi ro như mất điện, sét đánh, lốc xoáy, động đất và nhiều thảm họa khác Các AZ được bố trí tách biệt về mặt vật lý với khoảng cách chưa đến 100 km (60 dặm) giữa chúng.

TÍCH HỢP MPLS LAYER 3 VPN VỚI AMAZON WEB SERVICES

Sử dụng AWS Direct Connect

Hình 3.1: AWS với MPLS và Direct Connect

Các doanh nghiệp có nhiều văn phòng và chi nhánh có thể thiết lập kết nối MPLS và Direct Connect vào môi trường AWS của mình, với kiến trúc được minh họa trong hình 3.1 Giải pháp này tối ưu hóa hiệu suất mạng, tăng cường bảo mật và quản lý lưu lượng giữa mạng nội bộ và hạ tầng AWS.

AWS Direct Connect là một dịch vụ mạng cung cấp lựa chọn thay thế cho việc kết nối tới AWS qua Internet, bằng cách thiết lập một đường kết nối mạng riêng giữa cơ sở của doanh nghiệp và AWS Khi sử dụng AWS Direct Connect, dữ liệu trước đây truyền qua Internet nay sẽ được truyền qua mạng riêng này, giúp giảm chi phí, tăng băng thông và mang lại trải nghiệm mạng ổn định hơn so với kết nối dựa trên Internet.

Organizations can access the full suite of AWS services—EC2, VPC, S3, and DynamoDB—through AWS Direct Connect This dedicated connection provides secure, high-bandwidth access to AWS, helping enterprises optimize cloud workloads and data transfers.

Những lợi ích mà AWS Direct Connect mang lại như [12]:

Giảm chi phí băng thông cho doanh nghiệp có khối lượng công việc lớn khi kết nối với AWS bằng Direct Connect AWS Direct Connect cho phép truyền dữ liệu trực tiếp đến và đi từ AWS, từ đó có thể giảm phí cam kết băng thông với nhà cung cấp dịch vụ Internet Hơn nữa, toàn bộ dữ liệu qua kết nối chuyên biệt của khách hàng được tính theo tốc độ truyền dữ liệu của AWS Direct Connect thay vì theo tốc độ truyền dữ liệu Internet, giúp tối ưu chi phí mạng vào ra khỏi AWS.

Hiệu năng mạng nhất quán là yếu tố then chốt vì độ trễ mạng qua Internet có thể dao động do cách thức truyền dữ liệu giữa điểm A và điểm B Với AWS Direct Connect, bạn có thể sử dụng kết nối chuyên biệt và định tuyến dữ liệu tối ưu, giúp giảm biến động độ trễ và mang đến trải nghiệm mạng ổn định hơn so với các kết nối dựa trên Internet.

Compatible with all AWS services: AWS Direct Connect is a networking service that works with every AWS service accessible over the Internet, including Amazon Simple Storage Service (S3), Amazon Elastic Compute Cloud (EC2), and Amazon Virtual Private Cloud (VPC).

Linh hoạt: AWS Direct Connect cho phép dễ dàng thay đổi quy mô kết nối để đáp ứng nhu cầu ngày càng cao, với các kết nối 1 Gbps và 10 Gbps và khả năng cung cấp nhiều kết nối bổ sung khi cần thêm dung lượng Bên cạnh đó, có thể sử dụng AWS Direct Connect thay vì thiết lập kết nối VPN qua Internet tới Amazon VPC, giúp tránh phải dùng phần cứng VPN vốn thường không thể hỗ trợ tốc độ truyền dữ liệu cao hơn 4 Gbps Những trường hợp doanh nghiệp nên sử dụng AWS Direct Connect [12] bao gồm các tổ chức cần kết nối ổn định, lưu lượng dữ liệu lớn và yêu cầu tốc độ cao giữa cơ sở của họ và VPC trên AWS.

 Doanh nghiệp có nhu cầu truyền dữ liệu lớn đi vào và ra khỏi AWS: Với AWS Direct

Với AWS Direct Connect, doanh nghiệp có thể truyền dữ liệu quan trọng từ trung tâm dữ liệu, văn phòng hoặc các vị trí hoạt động trực tiếp tới AWS và ngược lại, bỏ qua nhà cung cấp dịch vụ Internet và hạn chế tắc nghẽn mạng Định giá của AWS Direct Connect được thiết kế đơn giản: không có cam kết tối thiểu và chỉ trả tiền cho các cổng mạng doanh nghiệp đang sử dụng và dữ liệu được truyền qua kết nối, giúp giảm đáng kể chi phí mạng của doanh nghiệp.

Doanh nghiệp yêu cầu tốc độ cao và độ trễ thấp cho dữ liệu thời gian thực, vì các ứng dụng thoại và video cần mạng ổn định để hoạt động tốt; độ trễ vượt mức hoặc biến động có thể làm giảm chất lượng trải nghiệm người dùng Độ trễ trên Internet có thể thay đổi liên tục do cách dữ liệu di chuyển từ điểm A đến điểm B, khiến kết nối mạng khó duy trì tính nhất quán Với AWS Direct Connect, doanh nghiệp có thể kiểm soát cách dữ liệu được định tuyến, từ đó cung cấp trải nghiệm mạng nhất quán hơn và giảm biến động so với các kết nối dựa trên Internet.

Doanh nghiệp triển khai mô hình Hybrid Cloud có thể sử dụng AWS Direct Connect để có một đường truyền an toàn và tin cậy từ hệ thống nội bộ đến các tài nguyên và dịch vụ của AWS, bằng cách tận dụng mạng lưới của nhà cung cấp AWS Direct Connect giúp xây dựng môi trường Hybrid đáp ứng các yêu cầu về kết nối riêng, đồng thời kết hợp khả năng co giãn và lợi ích kinh tế của AWS với việc tận dụng hạ tầng hiện có mà doanh nghiệp sở hữu và vận hành.

CHƯƠNG III: TÍCH HỢP MPLS LAYER 3 VPN VỚI AMAZON WEB SERVICES

Thiết kế hệ thống cơ bản sử dụng Direct Connect cho phép doanh nghiệp kết nối tới một EC2 Instance nằm trong Private Subnet của Amazon VPC mà không phải qua Internet Khi doanh nghiệp cần giao tiếp an toàn, có độ trễ thấp và băng thông ổn định giữa mạng công ty và hạ tầng AWS, Direct Connect trở thành giải pháp tối ưu Ví dụ, một doanh nghiệp có một EC2 Instance ở Private Subnet (thuộc Amazon VPC) và mong muốn kết nối tới nó mà không qua Internet công khai, Direct Connect cung cấp đường kết nối trực tiếp giữa mạng doanh nghiệp và AWS, tối ưu hóa an toàn và hiệu suất cho lưu lượng dữ liệu.

Hình 3.2: Thiết kế hệ thống cơ bản sử dụng Direct Connect

 Đầu tiên cần xác định vị trí (Location) cho AWS Direct Connect, đây là nơi các dịch vụ

DX được AWS hỗ trợ, danh sách có thể xem dưới đây: https://aws.amazon.com/directconnect/features/#AWS_Direct_Connect_Locations

Doanh nghiệp có thể kết nối tới mọi AWS Region từ bất kỳ địa điểm nào thuộc danh sách AWS Direct Connect được nêu ở trên, ngoại trừ Trung Quốc.

 Ngoài Router của doanh nghiệp được đặt ở Data Center / văn phòng, doanh nghiệp sẽ cần Router đặt tại Direct Connect Location mà doanh nghiệp lựa chọn Ở trong Location

AWS Direct Connect includes a component known as the Direct Connect Endpoint Enterprises set up a connection from their router to this endpoint and use 802.1q VLANs to carry traffic, enabling private, low-latency access to AWS services via a dedicated network path.

The enterprise creates a VPN within its VPC and connects the VPC’s Private Virtual Interface to the AWS Direct Connect Endpoint, thereby establishing a direct, secure link between the enterprise’s services and AWS.

Trong trường hợp mạng của doanh nghiệp không ở cùng vị trí với AWS Direct Connect Location, doanh nghiệp có thể liên hệ với các Partner thuộc AWS Partner Network (APN) để được hỗ trợ triển khai và tối ưu hóa kết nối APN là mạng lưới đối tác của AWS cung cấp các dịch vụ liên quan đến Direct Connect và các giải pháp tích hợp nhằm cải thiện hiệu suất và chi phí kết nối Để tìm danh sách APN tại Việt Nam, hãy truy cập https://partners.amazonaws.com/search/partners/?loc=Vietnam.

MÔ PHỎNG

Mô phỏng kênh truyền MPLS Layer 3 VPN

Bài lab này trình diễn cách một nhà cung cấp dịch vụ thiết lập các kết nối cho khách hàng qua mạng trục MPLS bằng công nghệ MPLS L3VPN, nhằm bảo đảm tính riêng tư và bảo mật dữ liệu khi truyền tải qua hệ thống của nhà cung cấp Nội dung tập trung vào việc cấu hình toàn bộ mô hình mạng từ phía khách hàng đến phía nhà cung cấp dịch vụ, bao gồm các thành phần, liên kết và quy trình quản trị VPN trên nền MPLS, nhằm tối ưu hiệu suất, cô lập lưu lượng và quản lý truy cập Qua bài lab, người học nắm được cách triển khai MPLS L3VPN cho môi trường doanh nghiệp, đảm bảo sự an toàn và riêng tư cho các khách hàng khi kết nối qua mạng MPLS của nhà cung cấp.

 R1A và R5A là 2 Router của cùng 1 khách hàng A (Customer A)

 R1B và R5B là 2 Router của cùng 1 khách hàng B (Customer B)

 R2 R3 R4 là 3 Router của nhà cung cấp dịch vụ mạng (ISP)

 Kỹ thuật định tuyến giữa PE – CE là Static Route cho khách hàng A và RIPv2 cho khách hàng B

 Kỹ thuật định tuyến trong mạng lõi của nhà cung cấp dịch vụ giữa PE – P là OSPF

Router R2 và R4 đóng vai trò là PE Router, còn Router R3 đóng vai trò là P Router Các Router R1A, R1B, R5A, R5B là các CE Router

Hình 4.1: Sơ đồ mô phỏng kênh truyền MPLS L3VPN

4.1.1 Cấu hình MPLS trong mạng lõi của ISP

Hình 4.2: Các bước cấu hình frame-mode MPLS cơ bản Bước 1: Cho phép CEF

CEF (Cisco Express Forwarding) là thành phần thiết yếu của chuyển mạch nhãn (label switching), đảm nhiệm sắp xếp và gán nhãn MPLS cho các gói tin trong mạng Để triển khai CEF ở chế độ toàn cục trên các router R1, R2, R3 và R4, người quản trị thực hiện cấu hình CEF toàn cục bằng các lệnh tương ứng trên từng thiết bị nhằm tối ưu hóa quá trình định tuyến và tăng hiệu suất chuyển tiếp nhãn.

Chắc chắn rằng CEF được cho phép trên Interface Nếu không được thì có thể cho phép CEF trên Interface bằng cách dùng lệnh:

Router(config-if)#ip route-cache cef

Ở Bước 2, ta tiến hành cấu hình giao thức định tuyến nội bộ IGP và chọn OSPF làm giao thức chính Mục tiêu là cho phép các giao diện trên các Router tham gia vào mạng của nhà cung cấp bằng cách kích hoạt OSPF và khai báo các mạng cần có trong các khu vực (Area) phù hợp Quá trình cấu hình gồm thiết lập Router-ID để nhận diện thiết bị, khởi tạo quá trình OSPF, thêm các mạng bằng lệnh network theo địa chỉ và subnet vào đúng Area, và có thể bật xác thực để tăng cường bảo mật bảng định tuyến Nhờ đó các Router sẽ trao đổi thông tin định tuyến một cách đồng bộ, đảm bảo tính liên tục và tối ưu hóa đường đi trong mạng cung cấp dịch vụ.

Router(config)#router ospf process-id

Router(config-router)#network ip-address wild-card mask area area-id

Cho phép giao thức phân phối nhãn là một bước tùy chọn Ngầm định, LDP là giao thức phân phối nhãn Lệnh mpls label protocol {ldp | tdp} chỉ được dùng nếu LDP không phải là giao thức ngầm định hoặc nếu muốn chuyển đổi qua lại giữa LDP và TDP Lệnh này nên cấu hình trong chế độ toàn cục ( Router(config)# ) tốt hơn trên Interface ( Router(config-if)# ) Tuy nhiên lệnh cấu hình trên Interface sẽ ghi đè lên lệnh cấu hình toàn cục

Bước 3: Gán LDP router ID

LDP sử dụng địa chỉ IP cao nhất trên một Interface Loopback như là một LDP Router ID Nếu không có địa chỉ Loopback thì địa chỉ IP cao nhất trên Router sẽ trở thành LDP Router ID Muốn buộc một Interface trở thành LDP Router ID dùng lệnh:

Router(config)#mpls ldp router-id {interface | ip-address}

Interface Loopback được khuyến khích vì chúng luôn hoạt động

Bước 4: Cho phép Ipv4 MPLS hay chuyển tiếp nhãn trên Interface

Router(config-if)#mpls ip

Kiểm tra hoạt động của frame-mode MPLS cơ bản:

 Kiểm tra sự cho phép CEF trên Router:

 Xác định chuyển tiếp MPLS được cho phép trên Interface :

Để xem trạng thái tiến trình khám phá LDP, hãy kiểm tra trạng thái của tiến trình khám phá LDP và theo dõi các thông tin liên quan đến quá trình này Thông tin hiển thị bao gồm thông tin khám phá LDP của láng giềng và danh sách các Interface mà tiến trình khám phá LDP đang chạy, giúp quản trị viên nắm bắt được hoạt động, trạng thái kết nối và phạm vi khám phá trên mạng của bạn Việc xem chi tiết khám phá LDP cho láng giềng và cho các Interface cho phép phát hiện sự cố sớm, tối ưu hiệu suất và đảm bảo quá trình trao đổi thông tin giữa các nút trong mạng LDP được duy trì liên tục.

Router#show mpls ldp discovery

Trường xmit/recv thể hiện Interface đang truyền và nhận các gói LDP discovery Hello

 Xác định trạng thái các phiên làm việc với láng giềng LDP:

Router#show mpls ldp neighbor

4.1.2.1 Cấu hình định tuyến BGP PE-PE trên router PE

Cấu hình định tuyến BGP PE-PE là bước tiếp theo trong triển khai MPLS VPN, nhằm đảm bảo các tuyến VPNv4 có thể được định tuyến qua mạng lõi của nhà cung cấp bằng MP-iBGP giữa các PE Router P được đặt ở chế độ trong suốt với tiến trình này và không mang bất kỳ tuyến đường của khách hàng nào Các bước cấu hình BGP PE-PE giữa các PE được thực hiện theo sơ đồ mạng đã trình bày.

Hình 4.3: Các bước cấu hình định tuyến BGP trên PE

 Cho phép BGP và xác định AS trên Router PE (R2 và R4):

RouterPE(config)#router bgp as-number

 Cấu hình láng giềng cho MP-iBGP:

RouterPE(config-router)#neighbor {ip-address | peer-group-name} remote-as as-number

 Cấu hình họ địa chỉ VPNv4 (VPNv4 address family):

Trong quá trình cấu hình BGP, địa chỉ VPNv4 được nhận diện và hoạt động như các láng giềng (neighbors), cho phép quản lý và định tuyến VPNv4 hiệu quả hơn Kích hoạt các láng giềng iBGP sẽ chuyển vận địa chỉ VPNv4 qua mạng trục (backbone) của nhà cung cấp dịch vụ, đảm bảo thông tin định tuyến VPNv4 được lan truyền nhanh chóng và ổn định giữa các router trong AS và xuyên backbone của nhà cung cấp.

RouterPE(config-router)#address-family vpnv4

RouterPE(config-router-af)#neighbor {ip-address | peer-group-name | ipv6-address} activate

RouterPE(config-router-af)#neighbor {ip-address | peer-group-name | ipv6-address} send- community extended

Cấu hình địa chỉ IPv4 và thực hiện redistribution các tuyến static và RIP vào MP-BGP nhằm các tuyến này được phân phối tới đầu kia của khách hàng Quá trình nhập các tuyến tĩnh và RIP vào MP-BGP cho phép lan truyền định tuyến một cách nhất quán giữa các mạng của khách hàng, từ đó tối ưu hóa khả năng định tuyến và mở rộng hệ thống Nhờ MP-BGP, các tuyến được redistributed sẽ được kết nối một cách linh hoạt và tin cậy giữa hai phía của khách hàng.

RouterPE(config-router)#address-family ipv4 vrf CustomerA

RouterPE(config-router-af)# redistribute {static | rip}

RouterPE(config-router-af)# exit-address-family

 Kiểm chứng và giám sát định tuyến BGP PE-PE trên Router PE:

Router#show ip bgp summary

4.1.2.2 Cấu hình VRF trên PE

Hình 4.4: Các bước cấu hình MPLS L3VPN

 Cấu hình VRF Customer A và B trên PE (R2 và R4) để tạo bảng định tuyến VRF và bảng CEF cho Customer A và B

RouterPE(config)#ip vrf {CustomerA | CustomerB}

RD được dùng để tạo bảng chuyển tiếp và định tuyến cho mạng VPN Bằng cách thêm RD vào đầu địa chỉ IPv4 của khách hàng, các địa chỉ IPv4 của khách hàng được chuyển đổi thành VPNv4 duy nhất, giúp phân biệt giữa các khách hàng và ngăn chặn sự trùng lặp địa chỉ trên mạng VPN Để triển khai, cần cấu hình thông số RD cho VRF, xác định cách RD được gắn với mỗi khách hàng và cách RD kết hợp với các thuộc tính định tuyến của VRF để duy trì bảng định tuyến VPN an toàn và hiệu quả.

RouterPE(config-vrf)#rd route-distinguisher

RD có thể được dùng theo các dạng sau: o Chỉ số AS-16 bit : chỉ số 32 bit (ví dụ: 1:100)

SVTH: VÕ ANH DUY LỚP: D18CQVT01-N Trang 33 o Địa chỉ IP 32 bit : chỉ số 16 bit (ví dụ: 10.10.10.101:1)

RD chỉ thay đổi khi xóa VRF đi RD là duy nhất cho một VRF cụ thể Không có hai VRF trên một Router mà cùng giá trị RD

 Cấu hình chính sách nhập (import) và xuất (export)

Cấu hình chính sách nhập và xuất cho các community mở rộng của MP-BGP Chính sách này dùng để lọc tuyến cho RT cụ thể

RouterPE(config-vrf)#route-target {import | export | both}

 Kết hợp VRF với Interface

Nếu trên Interface cấu hình sẵn địa chỉ IP thì việc kết hợp này sẽ làm mất địa chỉ IP trên Interface đó nên phải cấu hình lại

RouterPE(config-if)#ip address 192.168.12.2 255.255.255.0

RouterPE(config-if)#ip vrf forwarding CustomerA

% Interface Serial2/1 IP address 192.168.12.2 removed due to enabling VRF CustomerA RouterPE(config-if)#ip address 192.168.12.2 255.255.255.0

 Kiểm chứng cấu hình VRF trên PE: o Kiểm tra sự tồn tại của VRF trên Interface:

Router#show ip vrf o Liệt kê các Interface hoạt động trong một VRF cụ thể:

Router#show ip vrf interfaces

4.1.2.3 Cấu hình định tuyến giữa CE – PE a Khách hàng A (Customer A)

 Cấu hình Static Route với khách hàng A

R2(config)#ip route vrf CustomerA 1.1.1.0 255.255.255.0 192.168.12.1

R4(config)#ip route vrf CustomerA 5.5.5.0 255.255.255.0 192.168.45.5

 Trên các Router của khách hàng A, thực hiện các Static Route chỉ đến các mạng 1.1.1.0/24 và 5.5.5.0/24:

 Kiểm tra bảng định tuyến VRF và ping giữa PE – CE:

R2#show ip route vrf CustomerA

R4#show ip route vrf CustomerA

 Kiểm tra trên các Router PE rằng đã nhận được các Route Static từ đầu còn lại: R2#show ip bgp vpnv4 vrf CustomerA

R4#show ip bgp vpnv4 vrf CustomerA

 Kiểm tra bảng định tuyến của các Router khách hàng và thực hiện ping đảm bảo 2 đầu khách hàng thấy được nhau:

R5A#ping 1.1.1.1 source 5.5.5.5 b Khách hàng B (Customer B)

 Cấu hình RIPv2 với khách hàng B

R2(config-router)# address-family ipv4 vrf CustomerB

R2(config-router-af)# no auto-summary

R4(config-router-af)# no auto-summary

 Trên các Router của khách hàng B cũng thực hiện cấu hình RIPv2

R1B(config-router)# no auto-summary

R5B(config-router)# no auto-summary

 Kiểm tra bảng định tuyến VRF và ping giữa PE – CE:

R2#show ip route vrf CustomerB

R4#show ip route vrf CustomerB

 Kiểm tra trên các Router PE rằng đã nhận được các Route RIP từ đầu còn lại: R2#show ip bgp vpnv4 vrf CustomerB

R4#show ip bgp vpnv4 vrf CustomerB

 Trên các Router PE thực hiện redistribute các Route BGP nhận được vào RIP:

R2(config-router-af)#redistribute bgp 234 metric 5

R4(config-router-af)#redistribute bgp 234 metric 5

 Kiểm tra bảng định tuyến của các Router khách hàng và thực hiện ping đảm bảo 2 đầu khách hàng thấy được nhau:

Với kết quả mô phỏng trên đã chứng minh rằng:

 Trễ trong mạng MPLS được giữ ở mức thấp nhất do các gói tin lưu chuyển trong mạng không phải thông qua các hoạt động đóng gói và mã hóa

 MPLS L3VPN đảm bảo tính riêng biệt và bảo mật, nó giữ thông tin định tuyến riêng biệt cho các VPN khách hàng

 MPLS L3VPN có cách đánh địa chỉ linh hoạt, các khách hàng có thể trùng địa chỉ với nhau

Cơ chế xử lý thông tin của MPLS VPN được thực thi hoàn toàn trong mạng của ISP, nên độc lập với khách hàng và không yêu cầu thiết bị hỗ trợ MPLS ở phía khách hàng Điều này giúp giảm sự phức tạp cho khách hàng, giảm chi phí triển khai và đảm bảo quản lý, bảo mật được thực hiện tại mạng ISP, đồng thời duy trì tính liên tục và hiệu suất cao của mạng riêng ảo MPLS VPN.

Trong các dịch vụ VPN dựa trên IP, số lượng Router trong mạng tăng nhanh theo số lượng VPN được triển khai, khiến bảng định tuyến ngày càng lớn MPLS L3VPN sử dụng một tập các BGP ngang hàng giữa các LSR biên, cho phép số lượng VPN không hạn chế và dễ dàng tạo thêm VPN hoặc Site mới, và chỉ cần cấu hình tại các Router biên.

Tích hợp MPLS Layer 3 VPN với Amazon Web Services

4.2.1 Triển khai hạ tầng AWS VPC

Hạ tầng AWS theo kiến trúc đa VPC và hướng phát triển theo mô hình đa tài khoản AWS giúp cô lập môi trường, tăng bảo mật và tối ưu chi phí vận hành Bài mô phỏng trình bày cách xây dựng mô hình kết nối từ trung tâm dữ liệu nội bộ lên các trung tâm dữ liệu trên AWS bằng AWS VPN, đảm bảo kết nối an toàn giữa môi trường on-premises và đám mây Theo quy định hiện hành, AWS Direct Connect phải được thiết lập thông qua các đối tác của AWS Direct Connect như Viettel, CMC, FPT, nên giải pháp của chúng ta sẽ tận dụng VPN hoặc kết nối qua các đối tác để truy cập AWS.

During infrastructure deployment, you configure two VPCs with their subnets and route tables, attach an Internet Gateway, and apply Security Groups to manage traffic, then launch three EC2 instances running Amazon Linux 2 and verify that the VPCs are healthy and ready to operate in the AWS Management Console.

 VPC ASG VPN CIDR: 10.11.0.0/16 (10.11.0.0 đến 10.11.255.255)

Hình 4.5: Triển khai hạ tầng AWS VPC

Hình 4.6: Tổng 2 VPC được tạo thành công

Hình 4.7: Tổng 5 Subnet được tạo thành công

Hình 4.8: Tổng 2 Internet Gateway được tạo thành công

Hình 4.9: NAT Gateway được tạo thành công

Hình 4.10: Route table-Public được tạo thành công

Hình 4.11: Route table - Private được tạo thành công

Hình 4.12: Route table VPN - Public được tạo thành công

Hình 4.13: Public subnet - SG được tạo thành công

Hình 4.14: Private subnet - SG được tạo thành công

Hình 4.15: VPN Public - SG được tạo thành công

4.2.1.7 Triển khai máy chủ EC2

Hình 4.16: EC2 Public với Platform Amazon Linux được tạo thành công

Hình 4.17: EC2 Private với Platform Amazon Linux được tạo thành công

Hình 4.18: Customer Gateway với Platform Amazon Linux được tạo thành công

4.2.2 Triển khai AWS VPN Site-to-Site

4.2.2.1 Triển khai Virtual Private Gateway

Hình 4.19: VPN Gateway được tạo thành công

Hình 4.20: Customer Gateway được tạo thành công

4.2.2.3 Triển khai kết nối VPN

Hình 4.21: Site-to-Site VPN Connections được tạo thành công

4.2.2.4 Cấu hình Site-to-Site VPN Connection trong EC2 Customer Gateway a Truy cập vào VPC:

 Chọn Site-to-Site VPN Connection

 Chọn VPN Connection đã tạo

 Chọn Download Configuration b Trong hộp thoại Download Configuration, lựa chọn appliance phù hợp: Trong mô phỏng này, chúng ta sẽ sử dụng OpenSwan:

Trong Hình 4.22, hướng dẫn trình bày cách tải xuống file cấu hình Site-to-Site VPN Connection và cách SSH vào EC2 Customer Gateway Dựa trên cấu hình được cung cấp, người dùng sẽ thay đổi các thông tin phù hợp để cấu hình cho thiết bị của mình, nhằm thiết lập một đường hầm Site-to-Site VPN an toàn giữa mạng nội bộ và hạ tầng AWS Quá trình chỉnh sửa tham số bao gồm cập nhật địa chỉ IP, các tham số mạng và bảo mật theo yêu cầu của cấu hình, sau đó áp dụng chúng lên thiết bị để thiết lập và duy trì kết nối VPN ổn định.

 Cài đặt OpenSwan: sudo su yum install openswan –y

 Cấu hình file /etc/sysctl.conf nano /etc/sysctl.conf

Configure IPsec by creating two tunnels in /etc/ipsec.d/aws.conf using the VPN Connection details you downloaded earlier, and before applying the config, ensure the IP addresses and network prefixes are correctly adjusted for your environment On Amazon Linux, remove the auth=esp line from the original configuration, and since there is only one public IP address for the Customer Gateway, add overlapip=yes Set leftid to the on-premises public IP address (the public IP of the EC2 Customer Gateway in the ASG VPN VPC), set right to the AWS VPN Tunnel public IP address, leftsubnet to the CIDR of your local network, and rightsubnet to the CIDR of the AWS private subnet Edit the file with nano /etc/ipsec.d/aws.conf.

 Cấu hình file etc/ipsec.d/aws.secrets Đoạn cấu hình này ở bước 5 của IPSEC Tunnel #1 và IPSEC Tunnel #2 trong file cấu hình nano /etc/ipsec.d/aws.secrets

 Khởi động lại Network service & IPSEC service service network restart chkconfig ipsec on service ipsec start service ipsec status d Kiểm tra kết nối

Hình 4.23: 2 Tunnel đã hoạt động

 Thực hiện lệnh ping từ phía máy chủ Customer Gateway tới máy chủ EC2 Private ping 10.10.4.36 -c 5

 Thực hiện lệnh ping từ phía máy chủ EC2 Private tới máy chủ Customer Gateway ping 10.11.1.131 -c 5

 Thực hiện lệnh ping từ phía máy chủ EC2 Public tới máy chủ Customer Gateway ping 10.11.1.131 -c 5

4.2.3 Triển khai AWS Client VPN

4.2.3.1 Triển khai kết nối VPN

Hình 4.24: Client VPN endpoints được tạo thành công

Hình 4.25: Client VPN Target network associations vào Private subnet 2

Hình 4.26: Client VPN Security groups vào Private subnet - SG

Hình 4.27: Client VPN Authorization rules

Hình 4.28: Client VPN Route table

4.2.3.2 Triển khai VPN trên Client a Truy cập vào VPC:

 Chọn VPN endpoints đã tạo

Hình 4.29: Tải xuống file cấu hình Client VPN b Mở file cấu hình trong Notepad:

 Tìm đến vị trí chứa Client Certificate và Key đã được tạo trong kho lưu trữ easy-rsa

OpenVPN khi cài đặt OpenVPN, chi tiết tại link: https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/cvpn-getting-started.html

 Thêm Client Certificate và Key vào file cấu hình trên và lưu lại

Hình 4.30: Thêm Client Certificate và Key vào file cấu hình

SVTH: VÕ ANH DUY LỚP: D18CQVT01-N Trang 54 c Nhập file cấu hình vào OpenVPN:

 Sau đó tìm đến file cấu hình đã nhập trong OpenVPN

 Bấm Connect để kết nối VPN trên Client

Hình 4.31: Nhập file cấu hình vào OpenVPN

Hình 4.32: Tiến hành kết nối VPN trên Client

SVTH: VÕ ANH DUY LỚP: D18CQVT01-N Trang 55 d Kiểm tra kết nối:

 Kiểm tra IP VPN được cấp trong OpenVPN và Command Prompt

Hình 4.33: Kiểm tra IP VPN trong Command Prompt

Hình 4.34: Kiểm tra IP VPN trong OpenVPN

 Kiểm tra trạng thái kết nối trên AWS

Hình 4.35: Trạng thái kết nối là Active với Client IP là 30.0.0.34

 Kiểm tra ping từ Client lên máy chủ EC2 Private

Hình 4.36: Ping từ Client lên máy chủ EC2 Private thành công

 Kiểm tra ping từ Client lên máy chủ EC2 Public

Hình 4.37: Ping từ Client lên máy chủ EC2 Public thành công

 Kiểm tra ping từ Client lên máy chủ Customer Gateway

Hình 4.38: Ping từ Client lên máy chủ Customer Gateway thành công

4.2.4 Giám sát các kết nối VPN bằng AWS CloudWatch

Amazon CloudWatch là dịch vụ theo dõi và quản lý do AWS cung cấp, thu thập dữ liệu và thông tin định hướng hành động cho tài nguyên cơ sở hạ tầng và ứng dụng trên nền tảng AWS, ứng dụng lai và tại chỗ Doanh nghiệp có thể thu thập và truy cập mọi dữ liệu hiệu suất và hoạt động ở một nền tảng duy nhất dưới dạng nhật ký và số liệu, thay vì bị phân mảnh ở các silo như máy chủ, mạng hoặc cơ sở dữ liệu CloudWatch cho phép theo dõi toàn diện từ ứng dụng đến cơ sở hạ tầng và dịch vụ, đồng thời tận dụng cảnh báo, nhật ký và dữ liệu sự kiện để tự động hành động và giảm MTTR Dịch vụ này giúp giải phóng nguồn lực và tập trung vào việc xây dựng ứng dụng và tăng giá trị doanh nghiệp.

CloudWatch cung cấp thông tin định hướng hành động, hỗ trợ việc tối ưu hóa hiệu năng ứng dụng, quản lý sử dụng tài nguyên và hiểu rõ tình trạng hoạt động của toàn hệ thống; nó hiển thị dữ liệu số liệu và nhật ký chi tiết đến từng giây, duy trì dữ liệu trong 15 tháng và cho phép tính toán trên dữ liệu đó, đồng thời phân tích dữ liệu lịch sử nhằm tối ưu chi phí và thu thập thông tin trong thời gian thực để tối ưu hóa ứng dụng và tài nguyên cơ sở hạ tầng Doanh nghiệp có thể sử dụng CloudWatch Container Insights để theo dõi, khắc phục sự cố và cảnh báo cho ứng dụng và vi dịch vụ trong bộ chứa của họ CloudWatch thu thập, tổng hợp và tóm tắt thông tin sử dụng điện toán (như CPU, bộ nhớ, ổ đĩa và dữ liệu mạng) cùng thông tin chẩn đoán (như lỗi khi khởi động lại container) nhằm giúp kỹ sư DevOps cô lập và giải quyết sự cố nhanh chóng Container Insights cung cấp thông tin chi tiết từ các dịch vụ quản lý bộ chứa như Amazon Elastic Kubernetes Service (EKS), Amazon Elastic Container Service (ECS), AWS Fargate và Kubernetes (k8s) độc lập.

4.2.4.1 Giám sát Site-to-Site VPN

Doanh nghiệp có thể giám sát VPN Tunnels bằng CloudWatch, nơi dữ liệu thô từ dịch vụ VPN được xử lý thành các số liệu gần thời gian thực để dễ đọc và phân tích Các số liệu này được lưu trữ trong 15 tháng, cho phép tra cứu thông tin lịch sử và có cái nhìn tổng thể về cách hoạt động của ứng dụng hoặc dịch vụ web Dữ liệu chỉ số VPN được tự động gửi tới CloudWatch khi có sẵn [16].

Các số liệu sau đây có sẵn cho các VPN Tunnels:

Trong kết nối VPN từ Customer Gateway tới AWS, các byte nhận được ở phía AWS được ghi nhận qua các VPN Tunnels Mỗi điểm dữ liệu biểu thị số byte nhận được kể từ điểm dữ liệu trước đó, cho phép theo dõi lưu lượng dữ liệu theo thời gian Để có cái nhìn tổng quan, sử dụng hàm Sum để hiển thị tổng số byte nhận được trong một khoảng thời gian nhất định, từ đó đánh giá băng thông và hiệu suất của kết nối giữa khách hàng và AWS.

 Số liệu này đếm dữ liệu sau khi giải mã

Dữ liệu byte được gửi từ phía AWS của kết nối thông qua VPN Tunnels đến Customer Gateway Mỗi điểm dữ liệu thể hiện số byte đã được gửi kể từ điểm dữ liệu trước đó, giúp theo dõi lưu lượng dữ liệu theo thời gian Để tổng hợp và đánh giá lưu lượng, sử dụng thống kê tổng hợp (tổng số byte đã truyền).

(Sum) để hiển thị tổng số byte được gửi trong khoảng thời gian

 Số liệu này đếm dữ liệu trước khi mã hóa

 Trạng thái của Tunnels Đối với VPN tĩnh,

0 biểu thị DOWN và 1 biểu thị UP

 Đối với BGP VPNs, 1 biểu thị ESTABLISHED và 0 được sử dụng cho tất cả các trạng thái khác

 Đối với cả hai loại VPN, các giá trị từ 0 đến 1 cho biết ít nhất một đường hầm không UP

 Đơn vị: Giá trị phân số từ 0 đến 1

Hình 4.39: Giám sát Site-to-Site VPN Tunnels bằng CloudWatch

AWS Client VPN xuất các chỉ số sau lên Amazon CloudWatch cho các Client VPN endpoints Số liệu được xuất lên Amazon CloudWatch cứ sau 5 phút [17]

 Số lượng kết nối đang hoạt động với Client VPN endpoint

 Số lần xác thực không thành công cho Client VPN endpoint

 Số ngày cho đến khi Certificate Revocation List (CRL) được định cấu hình trên Client VPN endpoint hết hạn

EgressBytes  Số byte được gửi từ Client VPN endpoint

 Số lượng gói được gửi từ Client VPN endpoint

 Số byte mà Client VPN endpoint nhận được

 Số lượng gói mà Client VPN endpoint nhận được

Hình 4.40: Giám sát Client VPN bằng CloudWatch

Tiêu đề	Tích hợp Kênh Truyền MPLS Layer 3 VPN Với Amazon Web Services Trong Mạng Doanh Nghiệp
Tác giả	Võ Anh Duy
Người hướng dẫn	ThS. Trần Đình Thuần
Trường học	Học viện Công nghệ Bưu chính Viễn thông
Chuyên ngành	Điện tử - Truyền thông
Thể loại	Đồ án tốt nghiệp
Năm xuất bản	2022
Thành phố	TP.Hồ Chí Minh

Định dạng
Số trang	73
Dung lượng	4,14 MB