Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/Tên đề tài: Nâng cao khả năng bảo mật của hệ thống thông tin bằng giải pháp tích hợp mạng riêng ảo MPLS-VPN và IPSec CHƯƠNG I: M
Trang 1Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
ĐẠI HỌC THÁI NGUYÊN TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG
NGUYỄN XUÂN DUẨN
NÂNG CAO KHẢ NĂNG BẢO MẬT CỦA HỆ THỐNG THÔNG TIN BẰNG GIẢI PHÁP TÍCH HỢP MẠNG RIÊNG ẢO
MPLS-VPN VÀ IPSEC
LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN
Chuyên ngành: Khoa học máy tính
Mã số: 60480101
NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS, TS NGUYỄN VĂN TAM
Thái Nguyên - 2013
Trang 2Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
LỜI CẢM ƠN
Trước hết, tôi xin gửi lời cảm ơn chân thành nhất tới PGS.TS Nguyễn Văn Tam, người thầy đã cho tôi những định hướng và những ý kiến rất quý báu về công nghệ VPN cũng như cách để triển khai ứng dụng trên nó
Tôi cũng xin tỏ lòng biết ơn sâu sắc tới thầy cô, bạn bè cùng khoá đã quan tâm, giúp đỡ tôi tiến bộ trong suốt thời gian qua Tôi xin cảm ơn trường Đại học Thái Nguyên cũng như trường Đại học Kinh Doanh và Công nghệ
Hà Nội đã hết sức tạo điều kiện cho tôi trong quá trình học và làm luận văn này
Luận văn được hoàn thành trong thời gian rất hạn hẹp, và chắc chắn còn nhiều khiếm khuyết cần bổ sung thêm Tôi xin cảm ơn các thầy cô, bạn
bè và người thân đã và sẽ có những góp ý chân tình cho nội dung của luận văn này, để tôi có thể tiếp tục đi sâu tìm hiểu về VPN Security và hy vọng có thể đưa vào ứng dụng thức tiễn công tác
Nguyễn Xuân Duẩn
Trang 3Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
LỜI CAM ĐOAN
Tôi xin cam đoan luận văn là kết quả nghiên cứu của tôi, không sao chép của
ai Nội dung luận văn có tham khảo và sử dụng các tài liệu liên quan, các thông tin trong tài liệu được đăng tải trên các tạp chí và các trang website theo danh mục tài liệu của luận văn
Trang 4Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
MỤC LỤC
CHƯƠNG I: MẠNG RIÊNG ẢO VÀ NHU CẦU TÍCH HỢP 8
1.1 Giới thiệu về mạng VPN 8
1.2Phân loại mạng và các mô hình VPN 12
1.2.1 Công nghệ mạng riêng ảo an toàn (Secure VPN) 12
1.2.2Công nghệ mạng riêng ảo tin cậy (Trusted VPN) 12
1.3.1 Giải pháp tích hợp VPN trong cùng nhóm công nghệ 13
1.3.2 Giải pháp tích hợp VPN không cùng nhóm công nghệ 15
CHƯƠNG II: GIẢI PHÁP TÍCH HỢP MẠNG RIÊNG ẢO MPLS-VPN và IPSEC 18
2.1 Mạng riêng ảo MPLS-VPN 18
2.1.1 Công nghệ chuyển mạch MPLS 18
2.1.2 Ứng dụng VPN trên mạng MPLS 25
2.2 Mạng riêng ảo IPSec 34
2.2.1 Kiến trúc IPSec 34
2.2.2 Mạng riêng ảo IPSec 41
2.3 MPLS- VPN kết hợp IPSec 43
2.3.1 Vị trí các điểm kết thúc của IPSec 43
2.3.2 IPsec trên MPLS 51
CHƯƠNG III: TRIỂN KHAI VÀ CÀI ĐẶT 53
3.1Điều kiện triển khai Ipsec VPN và MPLS-VPN: 53
3.2 Cấu hình Ipsec VPN trên mạng lưới (Giải pháp dùng cho các điểm triển khai kết nối cố định đòi hỏi tính liên tục trong kết nối như 2 cơ sở): 54
3.3.Kết quả thực nghiệm : 56
KẾT LUẬN 61
Trang 5Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
BẢNG PHỤ LỤC
I CÁC THUẬT NGỮ VIẾT TẮT THUẬT NGỮ, VIẾT TẮT MÔ TẢ Ý NGHĨA
LAN Local Area Network
PPTP Program Performance Test Procedure
IPSec Internet Protocol Security
PPTP Program Performance Test Procedure
IPX Packet Exchange/Sequenced Packet Exchange
NHLFE Next Hop Label Forwarding Entry
IETF Internet Engineering Task Force
Trang 6Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
9 Hình 2.6 Dùng OSPF để quảng cáo các mạng 34
10 Hình 2.7 Trao đổi nhãn bằng giao thức TDP 34
15 Hình 2 12: Đóng gói IPsec trong bảo mật PE-PE 48
16 Hình 2.13: Truy cập từ xa IPsec vào MPLS VPN 50
17 Hình 3.1: Sơ đồ mạng Đại học Kinh Doanh và Công Nghệ
Hà Nội
53
20 Hình 3.2.3: Đưa SRV-1 (VPN Server) vào domain 55
21 Hình 3.2.4: Cài đặt VPN Server trên SRV-1 55
15 Hình 3.2.5: Thiết lập VPN Client kết nối đến VPN Server 55
16 Hình 3.2.6: Yêu cầu cấp phát chứng chỉ điện tử 56
18 Hình 3.2.8: Các gói tin trong VPN khi không sử dụng IPSEC 57
19 Hình 3.2.9: Gói tin khi dùng Follow TCP Stream trong
Trang 7Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
Tuy nhiên, do Internet có phạm vi toàn cầu và không một tổ chức, chính phủ
cụ thể nào quản lý nên rất khó khăn trong việc bảo mật và an toàn dữ liệu cũng như trong việc quản lý các dịch vụ Từ đó người ta đã đưa ra một mô hình mạng mới nhằm thoả mãn những yêu cầu trên mà vẫn có thể tận dụng lại những cơ sở hạ tầng hiện có của Internet, đó chính là mô hình mạng riêng ảo (Virtual Private Network - VPN) Với mô hình mới này, người ta không phải đầu tư thêm nhiều về cơ sở hạ tầng mà các tính năng như bảo mật, độ tin cậy vẫn đảm bảo, đồng thời có thể quản
lý riêng được sự hoạt động của mạng này VPN cho phép người sử dụng làm việc tại các nơi khác nhau có thể kết nối an toàn đến máy chủ của tổ chức mình bằng cơ
sở hạ tầng được cung cấp bởi mạng công cộng Nó có thể đảm bảo an toàn thông tin giữa các đại lý, người cung cấp, và các đối tác kinh doanh với nhau trong môi trường truyền thông rộng lớn
Mạng VPN là một trong những ứng dụng rất quan trọng trong mạng MPLS MPLS-VPN đã đơn giản hóa quá trình tạo “đường hầm” trong mạng riêng ảo bằng
cơ chế gán nhãn gói tin (Label) trên thiết bị mạng của nhà cung cấp Để nâng cao tính bảo mật của thông tin các nhà công nghệ đã và đang nghiên cứu triển khai MPLS-VPN kết hợp với IPSEC
Trong khuôn khổ kiến thức có được qua quá trình được đào tạo tại trường và công việc thực tế, tôi chọn hướng nghiên cứu đề tài này mong muốn đóng góp, xây dựng thử nghiệm vào một mô hình cụ thể và qua đó đánh giá khả năng triển khai trong thực tế hệ thống quản trị mạng có độ an ninh cao
Trang 8Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
Tên đề tài: Nâng cao khả năng bảo mật của hệ thống thông tin bằng giải pháp tích hợp mạng riêng ảo MPLS-VPN và IPSec
CHƯƠNG I: MẠNG RIÊNG ẢO VÀ NHU CẦU TÍCH HỢP 1.1 Giới thiệu về mạng VPN
VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là
Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao
số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa
Hình 1.1: Mô hình mạng VPN
Về cơ bản, VPN là một mạng riêng sử dụng hệ thống mạng công cộng
(thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa
Các loại VPN
Có hai loại phổ biến hiện nay là VPN truy cập từ xa (Remote-Access ) và VPN điểm-nối-điểm (site-to-site)
VPN truy cập từ xa còn được gọi là mạng Dial-up riêng ảo (VPDN), là một
kết nối người dùng-đến-LAN, thường là nhu cầu của một tổ chức có nhiều nhân viên cần liên hệ với mạng riêng của mình từ rất nhiều địa điểm ở xa Ví dụ như
Trang 9Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
công ty muốn thiết lập một VPN lớn phải cần đến một nhà cung cấp dịch vụ doanh nghiệp (ESP) ESP này tạo ra một máy chủ truy cập mạng (NAS) và cung cấp cho những người sử dụng từ xa một phần mềm máy khách cho máy tính của họ Sau
đó, người sử dụng có thể gọi một số miễn phí để liên hệ với NAS và dùng phần mềm VPN máy khách để truy cập vào mạng riêng của công ty Loại VPN này cho phép các kết nối an toàn, có mật mã
Hình minh họa cho thấy kết nối giữa Văn phòng chính và "Văn phòng" tại gia hoặc nhân viên di động là loại VPN truy cập từ xa)
VPN điểm-nối-điểm là việc sử dụng mật mã dành cho nhiều người để kết nối nhiều
điểm cố định với nhau thông qua một mạng công cộng như Internet Loại này có thể dựa trên Intranet hoặc Extranet Loại dựa trên Intranet: Nếu một công ty có vài địa điểm
từ xa muốn tham gia vào một mạng riêng duy nhất, họ có thể tạo ra một VPN intranet (VPN nội bộ) để nối LAN với LAN Loại dựa trên Extranet: Khi một công ty có mối quan hệ mật thiết với một công ty khác (ví dụ như đối tác cung cấp, khách hàng ), họ
có thể xây dựng một VPN extranet (VPN mở rộng) kết nối LAN với LAN để nhiều tổ chức khác nhau có thể làm việc trên một môi trường chung
Trong hình minh họa trên, kết nối giữa Văn phòng chính và Văn phòng từ xa
là loại VPN Intranet, kết nối giữa Văn phòng chính với Đối tác kinh doanh là VPN Extranet
Bảo mật trong VPN
Tường lửa (firewall) là rào chắn vững chắc giữa mạng riêng và Internet Bạn
có thể thiết lập các tường lửa để hạn chế số lượng cổng mở, loại gói tin và giao thức được chuyển qua Một số sản phẩm dùng cho VPN như router 1700 của Cisco
có thể nâng cấp để gộp những tính năng của tường lửa bằng cách chạy hệ điều hành Internet Cisco IOS thích hợp Tốt nhất là hãy cài tường lửa thật tốt trước khi thiết lập VPN
Mật mã truy cập là khi một máy tính mã hóa dữ liệu và gửi nó tới một máy
tính khác thì chỉ có máy đó mới giải mã được Có hai loại là mật mã riêng và mật
mã chung
Trang 10Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
Mật mã riêng (Symmetric-Key Encryption): Mỗi máy tính đều có một mã bí mật để mã hóa gói tin trước khi gửi tới máy tính khác trong mạng Mã riêng yêu cầu bạn phải biết mình đang liên hệ với những máy tính nào để có thể cài mã lên
đó, để máy tính của người nhận có thể giải mã được
Mật mã chung (Public-Key Encryption) kết hợp mã riêng và một mã công cộng Mã riêng này chỉ có máy của bạn nhận biết, còn mã chung thì do máy của bạn cấp cho bất kỳ máy nào muốn liên hệ (một cách an toàn) với nó Để giải mã một message, máy tính phải dùng mã chung được máy tính nguồn cung cấp, đồng thời cần đến mã riêng của nó nữa Có một ứng dụng loại này được dùng rất phổ biến là Pretty Good Privacy (PGP), cho phép bạn mã hóa hầu như bất cứ thứ gì
Giao thức bảo mật giao thức Internet (IPSec) cung cấp những tính năng an ninh
cao cấp như các thuật toán mã hóa tốt hơn, quá trình thẩm định quyền đăng nhập toàn diện hơn
IPSec có hai cơ chế mã hóa là Tunnel và Transport Tunnel mã hóa tiêu đề (header) và kích thước của mỗi gói tin còn Transport chỉ mã hóa kích thước Chỉ những hệ thống nào hỗ trợ IPSec mới có thể tận dụng được giao thức này Ngoài
ra, tất cả các thiết bị phải sử dụng một mã khóa chung và các tường lửa trên mỗi hệ thống phải có các thiết lập bảo mật giống nhau IPSec có thể mã hóa dữ liệu giữa nhiều thiết bị khác nhau như router với router, firewall với router, PC với router,
PC với máy chủ
Máy chủ AAA
AAA là viết tắt của ba chữ Authentication (thẩm định quyền truy cập),
Authorization (cho phép) và Accounting (kiểm soát) Các server này được dùng để đảm bảo truy cập an toàn hơn Khi yêu cầu thiết lập một kết nối được gửi tới từ máy khách, nó sẽ phải qua máy chủ AAA để kiểm tra Các thông tin về những hoạt động của người sử dụng là hết sức cần thiết để theo dõi vì mục đích an toàn
Sản phẩm công nghệ dành cho VPN
Tùy vào loại VPN (truy cập từ xa hay điểm-nối-điểm), bạn sẽ cần phải cài đặt những bộ phận hợp thành nào đó để thiết lập mạng riêng ảo Đó có thể là:
Trang 11Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
- Phần mềm cho desktop của máy khách dành cho người sử dụng từ xa
- Phần cứng cao cấp như bộ xử lý trung tâm VPN hoặc firewall bảo mật PIX
- Server VPN cao cấp dành cho dịch vụ Dial-up
- NAS (máy chủ truy cập mạng) do nhà cung cấp sử dụng để phục vụ người sử dụng từ xa
- Mạng VPN và trung tâm quản lý
Bộ xử lý trung tâm VPN
Có nhiều loại máy xử lý VPN của các hãng khác nhau, nhưng sản phẩm của Cisco tỏ ra vượt trội ở một số tính năng Tích hợp các kỹ thuật mã hóa và thẩm định quyền truy cập cao cấp nhất hiện nay, máy xử lý VPN được thiết kế chuyên biệt cho loại mạng này Chúng chứa các module xử lý mã hóa SEP, cho phép người sử dụng dễ dàng tăng dung lượng và số lượng gói tin truyền tải Dòng sản phẩm có các model thích hợp cho các mô hình doanh nghiệp từ nhỏ đến lớn (từ100 cho đến 10.000 điểm kết nối từ xa truy cập cùng lúc)
Hình 1 2: Bộ xử lý trung tâm VPN số hiệu
3000 của hãng Cisco
Router dùng cho VPN
Thiết bị này cung cấp các tính năng truyền dẫn, bảo mật Dựa trên hệ điều hành Internet IOS của mình, hãng Cisco phát triển loại router thích hợp cho mọi trường hợp, từ truy cập nhà-tới-văn phòng cho đến nhu cầu của các doanh nghiệp quy mô lớn
Tường lửa PIX của Cisco
Trang 12Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
Firewall trao đổi Internet riêng (Private Internet Exchange) bao gồm một cơ chế dịch địa chỉ mạng rất mạnh, máy chủ proxy, bộ lọc gói tin, các tính năng VPN
và chặn truy cập bất hợp pháp
1.2 Phân loại mạng và các mô hình VPN
1.2.1 Công nghệ mạng riêng ảo an toàn (Secure VPN)
- Dựa trên môi trường truyền thông công cộng
Mạng riêng ảo an toàn là các mạng riêng ảo có sử dụng mật mã để bảo mật dữ liệu Dữ liệu ở đầu ra của một mạng được mật mã rồi chuyển vào mạng công cộng (ví dụ: mạng Internet) như các dữ liệu khác để truyền tới đích và sau đó được giải
mã dữ liệu tại phía thu
- Sử dụng kỹ thuật mã hoá, xác thực
Dữ liệu đã mật mã có thể coi như được truyền trong một đường hầm (tunnel) bảo mật từ nguồn tới đích Cho dù một kẻ tấn công có thể nhìn thấy dữ liệu đó trên đường truyền thì cũng không có khả năng đọc được vì dữ liệu đã được mật
mã.Mạng riêng ảo xây dựng dựa trên Internet là mạng riêng ảo kiểu an toàn, sử dụng cơ sở hạ tầng mở và phân tán của Internet cho việc truyền dữ liệu giữa các site của các công ty Khi nói đến mạng riêng ảo VPN phải hiểu là mạng riêng ảo dựa trên Internet
- Ví dụ: PPTP, L2TP, IPSec
1.2.2 Công nghệ mạng riêng ảo tin cậy (Trusted VPN)
- Sử dụng kênh riêng (ảo), tin cậy của nhà cung cấp dịch vụ:
Mạng riêng ảo kiểu tin tưởng được xem như một số mạch thuê của một nhà cung cấp dịch vụ viễn thông Mỗi mạch thuê riêng hoạt động như một đường dây trong một mạng cục bộ Tính riêng tư của trusted VPN thể hiện ở chỗ nhà cung cấp dịch vụ sẽ đảm bảo không có một ai sử dụng cùng mạch thuê riêng đó Khách hàng của mạng riêng ảo loại này tin tưởng vào nhà cung cấp dịch vụ để duy trì tính toàn vẹn và bảo mật của dữ liệu truyền trên mạng Các mạng riêng xây dựng trên các đường dây thuê thuộc dạng “trusted VPN”
- Ví dụ: MPLS
Trang 13Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
1.3 Các giải pháp tích hợp VPN trong công nghệ
1.3.1 Giải pháp tích hợp VPN trong cùng nhóm công nghệ
Hầu hết các VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo ra một mạng riêng trên nền Internet Về bản chất, đây là quá trình đặt toàn bộ gói tin vào trong một lớp header (tiêu đề) chứa thông tin định tuyến có thể truyền qua hệ thống mạng trung gian theo những "đường ống" riêng (tunnel)
Khi gói tin được truyền đến đích, chúng được tách lớp header và chuyển đến các máy trạm cuối cùng cần nhận dữ liệu Để thiết lập kết nối Tunnel, máy khách
và máy chủ phải sử dụng chung một giao thức (tunnel protocol)
Giao thức của gói tin bọc ngoài được cả mạng và hai điểm đầu cuối nhận biết Hai điểm đầu cuối này được gọi là giao diện Tunnel (tunnel interface), nơi gói tin
đi vào và đi ra trong mạng
Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau:
- Giao thức truyền tải (Carrier Protocol) là giao thức được sử dụng bởi mạng
có thông tin đang đi qua
- Giao thức mã hóa dữ liệu (Encapsulating Protocol) là giao thức (như GRE, IPSec, L2F, PPTP, L2TP) được bọc quanh gói dữ liệu gốc
- Giao thức gói tin (Passenger Protocol) là giao thức của dữ liệu gốc được truyền đi (như IPX, NetBeui, IP)
Người dùng có thể đặt một gói tin sử dụng giao thức không được hỗ trợ trên Internet (như NetBeui) bên trong một gói IP và gửi nó an toàn qua Internet Hoặc, họ có thể đặt một gói tin dùng địa chỉ IP riêng (không định tuyến) bên trong một gói khác dùng địa chỉ IP chung (định tuyến) để mở rộng một mạng riêng trên Internet
Kỹ thuật Tunneling trong mạng VPN điểm-nối điểm
Trong VPN loại này, giao thức mã hóa định tuyến GRE (Generic Routing Encapsulation) cung cấp cơ cấu "đóng gói" giao thức gói tin (Passenger Protocol)
để truyền đi trên giao thức truyền tải (Carier Protocol) Nó bao gồm thông tin về loại gói tin mà bạn đnag mã hóa và thông tin về kết nối giữa máy chủ với máy khách Nhưng IPSec trong cơ chế Tunnel, thay vì dùng GRE, đôi khi lại đóng vai
Trang 14Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
trò là giao thức mã hóa IPSec hoạt động tốt trên cả hai loại mạng VPN truy cập từ
xa và điểm- nối-điểm Tất nhiên, nó phải được hỗ trợ ở cả hai giao diện Tunnel
Hình 1.3: Trong mô hình này, gói tin được chuyển từ một máy tính ở
văn phòng chính qua máy chủ truy cập, tới router (tại đây giao thức
mã hóa GRE diễn ra), qua Tunnel để tới máy tính của văn phòng từ xa
Kỹ thuật Tunneling trong mạng VPN truy cập từ xa
Với loại VPN này, Tunneling thường dùng giao thức điểm-nối-điểm PPP to-Point Protocol) Là một phần của TCP/IP, PPP đóng vai trò truyền tải cho các giao thức IP khác khi liên hệ trên mạng giữa máy chủ và máy truy cập từ xa Nói tóm lại,
(Point-kỹ thuật Tunneling cho mạng VPN truy cập từ xa phụ thuộc vào PPP
Các giao thức dưới đây được thiết lập dựa trên cấu trúc cơ bản của PPP và dùng trong mạng VPN truy cập từ xa
L2F (Layer 2 Forwarding) được Cisco phát triển L2 F dùng bất kỳ cơ chế
thẩm định quyền truy cập nào được PPP hỗ trợ
PPTP (Point-to-Point Tunneling Protocol) được tập đoàn PPTP Forum phát
triển Giao thức này hỗ trợ mã hóa 40 bit và 128 bit, dùng bất kỳ cơ chế thẩm định quyền truy cập nào được PPP hỗ trợ
L2TP (Layer 2 Tunneling Protocol) là sản phẩm của sự hợp tác giữa các thành
viên PPTP Forum, Cisco và IETF Kết hợp các tính năng của cả PPTP và L2F, L2TP cũng hỗ trợ đầy đủ IPSec L2TP có thể được sử dụng làm giao thức
Trang 15Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
Tunneling cho mạng VPN điểm-nối-điểm và VPN truy cập từ xa Trên thực tế, L2TP có thể tạo ra một tunnel giữa máy khách và router, NAS và router, router và router So với PPTP thì L2TP có nhiều đặc tính mạnh và an toàn hơn
1.3.2 Giải pháp tích hợp VPN không cùng nhóm công nghệ
IPSec VPN
Các mạng VPN tuyền thống sử dụng 3 chức năng bảo mật như: tạo đường hầm (Tunneling), mã hóa dữ liệu (Encryption) và chứng thực (Authentication) Hạn chế đầu tiên và cũng là dễ nhận thấy nhất ở IPSec đó là làm giảm hiệu năng của mạng Khi xét đường đi giữa hai máy tính A và B ở hai chi nhánh khác nhau Khi A gởi gói tin cho B, gói tin sẽ được gởi đến VPN Server ở chi nhánh A, VPN Server này sẽ kiểm tra gói tin xem liệu nó có cần thiết để chuyển đến VPN Server bên kia không Trong một môi trường mạng không có VPN thì gói tin sẽ được truyền ngay qua VPN Server bên kia Tuy nhiên, với giao thức IPSec, đầu tiên, gói tin phải được mã hóa, sau đó đóng gói vào các gói IP, hoạt động này tiêu tốn thời gian và gây trễ cho gói tin Khi gói tin đến được VPN Server bên kia, nó lại phải được mở gói và giải mã, sau đó mới được chuyển đến máy B bằng gói IP, điều này một lần nữa lại làm tăng thêm độ trễ của mạng Để cải thiện điều này, nhiều thiết
bị phần cứng có tốc độ xử lý gói tin rất lớn được ra đời nhưng lại tỉ lệ thuận với giá thành, điều này làm cho chi phí triển khai IPSec VPN rất lớn
Lại nói về chi phí, một điểm chúng ta cần cân nhắc khi triển khai các mạng VPN đó là các VPN Server – Customer Premise Equipment (CPE) Mỗi một CPE phải đóng vai trò như là một Router và có khả năng hỗ trợ Tunneling Những CPE với chức năng này có giá thành rất cao, điều này lần nữa làm nổi bật yêu cầu chi phí khi xây dựng mạng IPSec VPN Để khắc phục điều này, cách duy nhất là tải các phần mềm IPSec Client vào tất cả các PC, cách này giảm thiểu được chi phí nhưng ngược lại đòi hỏi sự hỗ trợ người dùng, khó khăn trong quản lý mạng và hiệu năng thì không cao
Khai thác và bảo dưỡng cũng là một vấn đề nữa của các mạng IPSec VPN vì mỗi một đường hầm IPSec đều phải được thiết lập bằng tay Cấu hình cho một
Trang 16Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
đường hầm IPSec đơn lẻ không phải là vấn đề thế nhưng thời gian để thiết lập và duy trì một mạng VPN với nhiều site sẽ tăng lên đáng kể khi kích thước mạng được mở rộng đặc biệt là với mạng VPN có cấu hình “full mesh” thì các nhà cung cấp dịch vụ sẽ gặp nhiều khó khăn trong hỗ trợ và xử lý sự cố kỹ thuật
Vấn đề bảo mật cũng cần được quan tâm trong các mạng VPN Mỗi CPE có thể truy nhập vào mạng Internet công cộng nhưng tin tức vẫn cần được bảo mật trong quá trình truyền giữa các site Vì vậy, mỗi thiết bị CPE phải có biện pháp bảo mật nhất định (như Firewall) Và sự quản lý các firewall này sẽ trở nên rất khó khăn nhất là khi kích thước của mạng rất lớn Với một mạng VPN khoảng 100 nút mạng, sẽ cần 100 firewall và mỗi khi cần một sự thay đổi nhỏ trong chính sách (policy) của firewall, chúng ta phải tiếp cận cả 100 firewall này trong mạng Rõ ràng đây là một điểm hạn chế lớn của các mạng IPSec VPN về khía cạnh bảo mật
MPLS VPN
Trễ trong mạng được giữ ở mức thấp nhất vì các gói tin lưu chuyển trong mạng không phải thông qua các hoạt động như đóng gói và mã hóa Sở dĩ không cần chức năng mã hóa là vì MPLS VPN tạo nên một mạng riêng Phương pháp bảo mật này gần giống như bảo mật trong mạng Frame Relay Ngoài ra, cơ chế chuyển mạch dựa vào thông tin nhãn giúp MPLS VPN cải thiện tốc độ chuyển mạch và cũng giảm độ trễ gói tin trong mạng so mới IPSec VPN
Toàn bộ thông tin định tuyến giữa các chi nhánh của khách hàng được ISP quản lý trên các PE Router thông qua các bảng VRF Đó là một trong những ưu điểm lớn nhất của MPLS VPN, không đòi hỏi các thiết bị CPE thông minh bởi vì toàn bộ các chức năng VPN được thực hiện ở phía trong mạng lõi của nhà cung cấp dịch vụ và hoàn toàn “trong suốt” đối với các CPE Các CPE không đòi hỏi chức năng VPN và hỗ trợ IPSec điều này có nghĩa là khách hàng không phải chi phí quá cao cho các thiết bị CPE
Việc tạo một mạng đầy đủ (full mesh) VPN, hay sâu hơn là khả khả năng mở rộng của mạng MPLS VPN hoàn toàn đơn giản vì các MPLS VPN không sử dụng
cơ chế tạo đường hầm Vì vậy, cấu hình mặc định cho các mạng MPLS VPN là full
Trang 17Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
mesh, chỉ cần một kết nối duy nhất cho mỗi remote site trong đó các site được nối trực tiếp với PE vì vậy các site bất kỳ có thể trao đổi thông tin với nhau trong VPN Và thậm chí, nếu site trung tâm gặp trục trặc, các site khác vẫn có thể liên lạc với nhau
Hoạt động khai thác và bảo dưỡng cũng đơn giản hơn trong mạng VPN Hoạt động này chỉ cần thực hiện tại các thiết bị bên trong mạng core mà không cần phải tiếp xúc đến các CPE Một khi một site đã được cấu hình xong, ta không cần đụng chạm đến nó nữa cho dù nếu muốn thêm một site mới vào mạng vì những thay đổi về cấu hình lúc này chỉ cần thực hiện tại PE mà nó nối tới
Vấn đề bảo mật thậm chí còn đơn giản hơn nhiều khi triển khai trong các mạng MPLS VPN vì một VPN hoàn toàn dựa trên mạng CORE của ISP khép kín bản thân nó đã đạt được sự an toàn thông tin do không có kết nối với mạng Internet công cộng Nếu có nhu cầu truy nhập Internet, một tuyến sẽ được thiết lập để cung cấp khả năng truy nhập Lúc này, một firewall sẽ được sử dụng trên tuyến này để đảm bảo một kết nối bảo mật cho toàn bộ mạng VPN Cơ chế hoạt động này rõ ràng dễ dàng hơn nhiều cho hoạt động quản lý mạng vì chỉ cần duy trì các chính sách bảo mật cho một firewall duy nhất mà vẫn đảm bảo an toàn cho toàn bộ VPN
Trang 18Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
CHƯƠNG II: GIẢI PHÁP TÍCH HỢP MẠNG RIÊNG ẢO MPLS-VPN và
IPSEC 2.1 Mạng riêng ảo MPLS-VPN
2.1.1 Công nghệ chuyển mạch MPLS
TỔNG QUAN VỀ MPLS
1) Sơ lược lịch sử
Khi mạng Internet phát triển và mở rộng, lưu lượng Internet bùng nổ Các ISP
xử lý bằng cách tăng dung lượng các kết nối và nâng cấp bộ định tuyến (router) nhưng vẫn không tránh khỏi nghẽn mạch Lý do là các giao thức định tuyến thường hướng lưu lượng vào cùng một số các kết nối nhất định dẫn đến kết nối này
bị quá tải trong khi một số tài nguyên khác không được sử dụng Đây là tình trạng phân bố tải không đồng đều và sử dụng lãng phí tài nguyên mạng Internet Vào thập niên 90, các ISP phát triển mạng của họ theo mô hình chồng lớp (overlay) bằng cách đưa ra giao thức IP ứng dụng trong ATM (IP over ATM) ATM là công nghệ định hướng kết nối (connection-oriented), thiết lập các kênh ảo (Virtual Circuit), tuyến ảo (Virtual Path) tạo thành một mạng logic nằm trên mạng vật lý giúp định tuyến, phân bố tải đồng đều trên toàn mạng
Tuy nhiên, IP và ATM là hai công nghệ hoàn toàn khác nhau, được thiết kế cho những môi trường mạng khác nhau, khác nhau về giao thức, cách đánh địa chỉ, định tuyến, báo hiệu, phân bổ tài nguyên Khi các ISP càng mở rộng mạng theo hướng IP over ATM, họ càng nhận rõ nhược điểm của mô hình này, đó là sự phức tạp của mạng lưới do phải duy trì hoạt động của hai hệ thống thiết bị
Sự bùng nổ của mạng Internet dẫn tới xu hướng hội tụ các mạng viễn thông khác như mạng thoại, truyền hình dựa trên Internet, giao thức IP trở thành giao thức chủ đạo trong lĩnh vực mạng
Xu hướng của các ISP là thiết kế và sử dụng các bộ định tuyến chuyên dụng, dung lượng chuyển tải lớn, hỗ trợ các giải pháp tích hợp, chuyển mạch đa lớp cho mạng trục Internet Nhu cầu cấp thiết trong bối cảnh này là phải ra đời một công
Trang 19Số hĩa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
nghệ cĩ khả năng kết hợp những đặc điểm tốt của chuyển mạch kênh ATM và chuyển mạch gĩi IP
Cơng nghệ MPLS (Multiprotocol Label Switching) ra đời trong bối cảnh này đáp ứng được nhu cầu của thị trường đúng theo tiêu chí phát triển của Internet đã mang lại những lợi ích thiết thực, đánh dấu một bước phát triển mới của mạng Internet trước xu thế tích hợp cơng nghệ thơng tin và viễn thơng (ICT - Information Communication Technology) trong thời kỳ mới
2) MPLS và mơ hình tham chiếu OSI
MPLS được xem như là một cơng nghệ lớp đệm (shim layer), nĩ nằm trên lớp
2 nhưng dưới lớp 3, vì vậy đơi khi người ta cịn gọi nĩ là lớp 2,5
Nguyên lý của MPLS được thể hiện ở hình 1.2 Tất cả các gĩi IP sẽ được gắn nhãn (label) và chuyển tiếp theo một đường dẫn LSP (Label Switched Path) Các bộ định tuyến (router) trên đường dẫn chỉ căn cứ vào nội dung của nhãn để thực hiện quyết định chuyển tiếp gĩi mà khơng cần phải kiểm tra phần đầu (header) của IP
3) Các khái niệm trong MPLS
• LDP (Label Distribution Protocol): Giao thức phân bố nhãn
• LSP (Label Switched Path): Đường dẫn chuyển mạch nhãn
• FEC (Forwarding Equivalence Class): Lớp chuyển tiếp tương đương
• LSR (Label Switching Router) Bộ định tuyến chuyển mạch nhãn
• LER (Label Edge Router): Bộ định tuyến nhãn biên
• NHLFE (Next Hop Label Forwarding Entry): Mục chuyển tiếp chặng tiếp theo
• FTN (FEC to NHLFE): Aùnh xạ FEC sang NHLFE
• LIB (Label Information Base): Cơ sở thơng tin nhãn
Miền MPLS (MPLS Domain)
Miền MPLS được chia thành hai phần: phần mạng lõi (core) và phần mạng biên (edge) Các nút thuộc miền MPLS được gọi là bộ định tuyến (router) chuyển mạch nhãn LSR (Label Switch Router) Các nút ở phần mạng lõi được gọi là LSR chuyển tiếp (transit-LSR) hay LSR lõi (core-LSR) (thường được gọi tắt là LSR) Các nút ở biên được gọi là bộ định tuyến nhãn biên LER (Label Edge Router) Nếu
Trang 20Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
một LER là nút đầu tiên trên đường đi của một gói xuyên qua miền MPLS thì nó được gọi là LER lối vào (ingress-LER), còn nếu là nút cuối cùng thì nó được gọi là LER lối ra (egress-LER) Lưu ý là các thuật ngữ này được áp dụng tuỳ theo chiều của luồng lưu lượng trong mạng, do vậy một LER có thể là LER lối vào vừa là LER lối ra tuỳ theo các luồng lưu lượng đang xét
Lớp chuyển tiếp tương đương FEC
Lớp chuyển tiếp tương đương FEC (Forwarding Equivalence Class) là một tập hợp các gói được đối xử như nhau bởi một LSR Như vậy, FEC là một nhóm các gói
IP được chuyển tiếp trên cùng một đường chuyển mạch nhãn LSP, được đối xử theo cùng một cách thức và có thể ánh xạ vào một nhãn bởi một LSR cho dù chúng có thể khác nhau về thông tin đầu (header) lớp mạng Hình 1.4 cho thấy cách xử lý này
Hoán đổi nhãn (Label Swapping)
Hoán đổi nhãn là cách dùng các thủ tục để chuyển tiếp gói Để chuyển tiếp gói
có nhãn, LSR kiểm tra nhãn trên đỉnh ngăn xếp và dùng ánh xạ ILM (Incoming Label Map) để ánh xạ nhãn này tới một mục chuyển tiếp nhãn NHLFE (Next Hop Label Forwarding Entry) Sử dụng thông tin trong NHLFE, LSR xác định ra nơi để chuyển tiếp gói và thực hiện một tác vụ trên ngăn xếp nhãn Rồi nó mã hoá ngăn xếp nhãn mới vào gói và chuyển gói đi
Chuyển tiếp gói chưa có nhãn cũng tương tự nhưng xảy ra ở LER lối vào (ingress-LER) LER phải phân tích đầu (header) lớp mạng để xác định FEC rồi sử dụng ánh xạ FTN (FEC-to-NHLFE) để ánh xạ FEC vào một NHLFE
Đường chuyển mạch nhãn LSP là một đường nối giữa bộ định tuyến ngõ vào và bộ định tuyến ngõ ra, được thiết lập bởi các nút MPLS để chuyển các gói đi xuyên qua mạng Đường dẫn của một LSP qua mạng được định nghĩa bởi sự chuyển đổi các giá trị nhãn ở các LSR dọc theo LSP bằng cách dùng thủ tục hoán đổi nhãn
4) Hoạt động của MPLS
Chuyển gói qua miền MPLS
Hình dưới đây là một ví dụ đơn giản minh hoạ quá trình truyền gói IP đi qua miền MPLS Gói tin IP khi đi từ ngoài mạng vào trong miền MPLS được bộ định
Trang 21Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
tuyến (router) A đóng vai trò là một LER ngõ vào sẽ gán nhãn có giá trị là 6 cho gói IP rồi chuyển tiếp đến bộ định tuyến B Bộ định tuyến B dựa vào bảng hoán đổi nhãn để kiểm tra nhãn của gói tin Nó thay giá trị nhãn mới là 3 và chuyển tiếp đến router C Tại C, việc kiểm tra cũng tương tự như ở B và sẽ hoán đổi nhãn, gán cho gói tin một nhãn mới là 9 và tiếp tục được đưa đến bộ định tuyến D
Bộ định tuyến D đóng vai trò LER ngõ ra sẽ kiểm tra trong bảng hoán đổi nhãn và
gỡ bỏ nhãn 9 ra khỏi gói tin rồi định tuyến gói IP một cách bình thường đi ra khỏi miền MPLS Với kiểu làm việc này thì các LSR trung gian như bộ định tuyến B và
C sẽ không phải thực hiện kiểm tra toàn bộ phần đầu (header) IP của gói tin mà nó chỉ việc kiểm tra các giá trị của nhãn, so sánh trong bảng và chuyển tiếp Vì vậy tốc độ xử lý trong miền MPLS sẽ nhanh hơn nhiều so với định tuyến IP truyền thống Đường đi từ bộ định tuyến A đến bộ định tuyến D được gọi là đường
chuyển mạch nhãn LSP (Label Switched Path)
Cấu trúc MPLS
Cấu trúc của một nút MPLS bao gồm 2 mặt thành phần:thành phần chuyển tiếp (hay còn được gọi là mặt phẳng dữ liệu) và thành phần điều khiển (còn được gọi là mặt phẳng điều khiển) Thành phần chuyển tiếp sử dụng một cơ sở dữ liệu chuyển tiếp nhãn để chuyển tiếp dữ liệu dựa trên các nhãn đi kèm với gói tin Thành phần điều khiển chịu trách nhiệm tạo và duy trì các thông tin chuyển tiếp nhãn (còn được gọi là bindings ) giữa nhóm các chuyển mạch nhãn với nhau Tất cả các nút MPLS phải chạy một hoặc nhiều giao thức định tuyến IP (hoặc dựa trên định tuyến tĩnh) để có thể trao đổi thông tin định tuyến với các nút MPLS khác trên mạng Theo đó, mỗi một nút MPLS (bao gồm cả chuyển mạch ATM) là một router trên mặt phẳng điều khiển
Trang 22Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
mặt phẳng điều khiển
Hình 2- 1 Cấu trúc một nút MPLS Tương tự như các router truyền thống, các giao thức định tuyến IP sẽ dùng
để xây dựng nên bảng định tuyến Bảng định tuyến IP được sử dụng để forward gói tin Tại một nút MPLS, bảng định tuyến được sử dụng để xác định việc trao đổi thông tin nhãn chuyển tiếp, nơi mà các nút MPLS kề cận với nó trao đổi các nhãn cho các mạng con subnets) cụ thể được chứa trong bảng định tuyến Các quá trình Điều khiển định tuyến MPLS IP (MPLS IP Routing Control) sử dụng các nhãn để trao đổi với các nút MPLS cạnh nó để tạo ra Bảng chuyển tiếp nhãn (Label
Forwarding Table), bảng này là vùng cơ sở dữ liệu được sử dụng để chuyển tiếp các gói được gán nhãn qua mạng MPLS
Các phần tử chính của MPLS
LSR (label switch Router)
Thành phần cơbản của mạng MPLS là thiết bị định tuyến chuyển mạch nhãn LSR Thiết bịnày thực hiện chức năng chuyển tiếp gói thông tin trong phạm vi mạng MPLS bằng thủtục phân phối nhãn Đó là khảnăng cần thiết đểhiểu được
Trang 23Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
nhãn MPLS, nhận và truyền gói được gán nhãn trên đường liên kết dữliệu Có 3 loại LSR trong mạng MPLS:
o Ingress LSR – LSR vào nhận gói chưa có nhãn, chèn nhãn (ngăn xếp) vào trước gói và truyền đi trên đường kết nối dữliệu
o Egress LSR – LSR ra nhận các gói được gán nhãn, tách nhãn và truyền chúng trên đường kết nối dữliệu LSR ra và LSR vào là các LSR biên
o LSR trung gian (intermediate LSR) – các LSR trung gian này sẽ nhận các gói có nhãn tới, thực hiện các thao tác trên nó, chuyển mạch gói và truyền gói đến đường kết nối dữ liệu đúng
Bảng sau mô tảcác hoạt động của nhãn:
LSR phải có khảnăng lấy ra một hoặc nhiều nhãn (tách một hoặc nhiều nhãn từphía trên của ngăn xếp nhãn) trước khi chuyển mạch gói ra ngoài Một LSR cũng phải có khảnăng gắn một hoặc nhiều nhãn vào gói nhận được Nếu gói nhận được
đã có sẵn nhãn, LSR đẩy một hoặc một vài nhãn lên trên ngăn xếp nhãn và chuyển mạch gói ra ngoài Nếu gói chưa có nhãn, LSR tạo một ngăn xếp nhãn và gán nhãn lên gói Một LSR phải có khảnăng trao đổi nhãn Nó có ý nghĩa rất đơn giản khi nó nhận được gói đã gán nhãn, nhãn trên cùng của ngăn xếp nhãn được trao đổi với nhãn mới và gói được chuyển mạch trên đường kết nối dữliệu ra LSR mà gắn
nhãn lên trên gói đầu tiên được gọi là LSR imposing (gắn) bởi vì nó là LSR đầu tiên đặt nhãn lên trên gói Đây là một việc bắt buộc đối với một LSR vào Một
Trang 24Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
LSR mà tách tất cảcác nhãn từgói có dán nhãn trước khi chuyển mạch gói là một LSR Disposing (tách) hay là một LSR ra
Trong MPLS VPN, các LSR ra và vào được biết đến nhưmột bộ định tuyến cung cấp biên (PE) LSR trung gian được biết đến nhưlà bộ định tuyến của nhà cung cấp Bộ định tuyến PE và P trởlên phổbiến đến nỗi nó thường xuyên được sửdụng khi mạng MPLS không chạy MPLS VPN
LER (label edge Router)
Bộ định tuyến nhãn ởbiên mạng (LER) là thiết bịhoạt động ởranh giới giữa mạng MPLS và mạng truy cập LER hỗtrợnhiều cổng nối đến các mạng khác nhau nhưATM, Frame Relay, Ethernet đểchuyển tiếp các lưu lượng
vào trong mạng MPLS và phân phối lưu lượng này trởlại các mạng truy cập ở đầu ra
LSP (label switch Path)
Đường chuyển mạch nhãn là một tập hợp các LSR mà chuyển mạch một gói có nhãn qua mạng MPLS hoặc một phần của mạng MPLS Vềcơbản, LSP là một đường dẫn qua mạng MPLS hoặc một phần mạng mà gói đi qua LSR đầu tiên của LSP là một LSR vào, ngược lại LSR cuối cùng của LSP là một LSR ra Tất cảcác LSR ởgiữa LSR vào và ra chính là các LSR trung gian Trong hình 2-5 dưới đây, mũi tên ởtrên cùng chỉhường bởi vì đường chuyển mạch nhãn là đường theo một phương hướng duy nhất Luồng của các gói có nhãn trong một hướng khác –
từphải sang trái – giữa cùng các LSR biên sẽlà một LSP khác
đã thực sự được dán nhãn LSR vào của LSP nested (ghép) sau đó gán một nhãn
Trang 25Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
thứhai lên trên gói Ngăn xếp nhãn của gói trên LSP thứhai bây giờ đã có 2 nhãn
Nhãn trên cùng sẽphụthuộc vào LSP nested (ghép), và nhãn dưới cùng sẽphụthuộc vào LSP mà trải rộng hết toàn bộmạng MPLS Đường hầm điều khiển lưu lượng
dựphòng là một ví dụ cho
Hình 2.2: LSP nested (ghép)
2.1.2 Ứng dụng VPN trên mạng MPLS
- Giới thiệu về MPLS trong VPN
MPLS là một công nghệ kết hợp đặc điểm tốt nhất giữa định tuyến lớp ba
và chuyển mạch lớp hai cho phép chuyển tải các gói rất nhanh trong mạng lõi
(core) và định tuyến tốt mạng biên (edge) bằng cách dựa vào nhãn (label)
MPLS là một phương pháp cải tiến việc chuyển tiếp gói trên mạng bằng cách
gắn nhãn vào mỗi gói IP, tế bào ATM, hoặc frame lớp hai Phương pháp
chuyển mạch nhãn giúp các Router và các bộ chuyển mạch MPLS-enable
ATM quyết định theo nội dung nhãn tốt hơn việc định tuyến phức tạp theo địa
chỉIP đích MPLS cho phép các ISP cung cấp nhiều dịch vụkhác nhau mà
không cần phải bỏ đi cơ sở hạ tầng sẵn có Cấu trúc MPLS có tính mềm dẻo
trong bất kỳ sự phối hợp với công nghệ lớp hai nào
MPLS hỗ trợ mọi giao thức lớp hai, triển khai hiệu quả các dịch vụ IP trên
một mạng chuyển mạch IP MPLS hỗ trợ việc tạo ra các tuyến khác nhau
giữa nguồn và đích trên một đường trục Internet Bằng việc tích hợp MPLS
vào kiến trúc mạng, các ISP có thểgiảm chi phí, tăng lợi nhuận, cung cấp
Trang 26Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
nhiều hiệu quả khác nhau và đạt được hiệu quả cạnh tranh cao
Đặc điểm mạng MPLS:
- Không có MPLS API, cũng không có thành phần giao thức phía host
- MPLS chỉ nằm trên các router
- MPLS là giao thức độc lập nên có thểhoạt động cùng với giao thức
khác IP nhưIPX, ATM, Frame Relay,…
- MPLS giúp đơn giản hoá quá trình định tuyến và làm tăng tính linh
động của các tầng trung gian
Phương thức hoạt động:
Thay thế cơ chế định tuyến lớp ba bằng cơ chế chuyển mạch lớp hai.MPLS hoạt động trong lõi của mạng IP Các Router trong lõi phải enable MPLS trên từng giao tiếp Nhãn được gắn thêm vào gói IP khi gói đi vào mạng MPLS Nhãn được tách ra khi gói ra khỏi mạng MPLS Nhãn (Label) được chèn vào giữa header lớp ba và header lớp hai Sử dụng nhãn trong quá trình gửi gói sau khi đã thiết lập đường đi MPLS tập trung vào quá trình hoán đổi nhãn (Label Swapping) Một trong những thế mạnh của kiến trúc MPLS là tự định nghĩa chồng nhãn (Label Stack)
Kỹ thuật chuyển mạch nhãn không phải là kỹ thuật mới Frame relay và
ATM cũng sử dụng công nghệ này để chuyển các khung (frame) hoặc các cell qua mạng Trong Frame relay, các khung có độdài bất kỳ, đối với ATM độ dài của cell là cố định bao gồm phần mào đầu 5 byte và tải tin là 48 byte Phần mào đầu của cell ATM và khung của Frame Relay tham chiếu tới các kênh ảo mà cell hoặc khung này nằm trên đó Sự tương quan giữa Frame relay
và ATM là tại mỗi bước nhảy qua mạng, giá trị“nhãn” trong phần mào đầu bị thay đổi Đây chính là sự khác nhau trong chuyển tiếp của gói IP Khi một route chuyển tiếp một gói IP, nó sẽ không thay đổi giá trị mà gắn liền với đích đến của gói; hay nói cách khác nó không thay đổi địa chỉ IP đích của gói Thực tế là các nhãn MPLS thường được sử dụng để chuyển tiếp các gói và địa chỉ IP đích không còn phổ biến trong MPLS nữa
Trang 27Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
Các lợi ích của MPLS
Phần này sẽ giới thiệu một cách ngắn gọn những lợi ích của việc sử dụng MPLS trong mạng Những lợi ích này bao gồm:
o Việc sửdụng hạtầng mạng thống nhất
o Ưu điểm vượt trội so với mô hình IP over ATM
o Giao thức cổng biên (BGP) – lõi tựdo
o Mô hình peer to peer cho MPLS VPN
o Chuyển lưu lượng quang
o Điều khiển lưu lượng
Ta sẽxem xét vềlý do không có thực đểchạy MPLS Đây là lý do mà được xem hợp lý đầu tiên trong việc sửdụng MPLS nhưng nó không phải là
lý do tốt đểtriển khai MPLS
• Lợi ích không có thực (lợi ích về tốc độ):
Một trong những lý do đầu tiên đưa ra của giao thức trao đổi nhãn đó là sự cần thiết cải thiện tốc độ Chuyển mạch gói IP trên CPU được xem như chậm hơn so với chuyển mạch gói gán nhãn do chuyển mạch gói gán nhãn chỉ tìm kiếm nhãn trên cùng của gói Một bộ định tuyến chuyển tiếp gói IP bằng việc tìm kiếm địa chỉIP đích trong phần mào đầu IP và tìm kiếm kết nối tốt nhất trong bảng định tuyến Việc tìm kiếm này phụthuộc vào sựthực hiện của từng nhà cung cấp của bộ định tuyến đó Tuy nhiên, bởi vì địa chỉIP có thể là đơn hướng hoặc đa hướng (unicast hoặc multicast) và có 4 octet (1 octet = 1 ô 8 bit) nên việc tìm kiếm có thểrất phức tạp Việc tìm kiếm phức tạp cũng có nghĩa là quyết định chuyển tiếp gói IP mất một thời gian Thời gian gần đây, các đường kết nối trên những bộ định tuyến có thểcó băng thông lên tới 40 Gbps Một bộ định tuyến mà có một vài
đường link tốc độcao không có khảnăng chuyển mạch tất cảnhững gói IP mà chỉ sử dụng CPU để đưa ra quyết định chuyển tiếp CPU tồn tại chủyếu đểsửdụng (điều khiển) bảng điều khiển
Trang 28Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
Mặt phẳng điều khiển là một tập các giao thức đểthiết lập một mặt phẳng
dữliệu hoặc mặt phẳng chuyển tiếp Các thành phần chính của mặt phẳng điều khiển bao gồm giao thức định tuyến, bảng định tuyến và chức năng điều khiển khác hoặc giao thức báo hiệu được sửdụng đểcung cấp mặt phẳng dữ liệu Mặt phẳng dữ liệu là một đường chuyển tiếp gói qua bộ định tuyến hoặc bộ chuyển mạch Sựchuyển mạch của các gói – hay mặt phẳng chuyển tiếp – hiện nay được thực hiện trên phần cứng được xây dựng riêng, hoặc thực hiện trên mạch tích hợp chuyên dụng (ASIC – Application specific intergrated circuits) Việc dùng ASIC trong mặt phẳng chuyển tiếp của bộ định tuyến dẫn đến những gói IP được chuyển mạch nhanh nhưcác gói được dán nhãn Do đó, nếu lý do duy nhất để đưa MPLS vào mạng là đểtiếp tục thực hiện việc chuyển mạch các gói nhanh hơn qua mạng,
đó chính là lý do ảo
Sử dụng hạ tầng mạng đơn hợp nhất Với MPLS, ý tưởng là gán nhãn cho gói
đi vào mạng dựa trên địa chỉ đích của nó hoặc tiêu chuẩn trước cấu hình khác và chuyển mạch tất cả lưu lượng qua hạ tầng chung Đây là một ưu điểm vượt trội của MPLS Một trong những lý do mà IP trở thành giao thức duy nhất ảnh hưởng lớn tới mạng trên toàn thế giới là bởi vì rất nhiều kỹthuật có thể được chuyển qua nó Không chỉlà dữ liệu (sốliệu) chuyển qua IP mà còn cảthoại Bằng việc sửdụng MPLS với IP, ta có thểmởrộng khảnăng truyền loại dữ liệu Việc gắn nhãn vào gói cho phép ta mang nhiều giao thức khác hơn là chỉcó IP qua mạng trục IP lớp 3 MPLS-enabled, tương tựvới những khả năng thực hiện được với mạng Frame Relay hoặc ATM lớp 2 MPLS có thể truyền IPv4, IPv6, Ethernet, điều khiển kết nối dữliệu tốc độcao (HDLC), PPP, và những kỹ thuật lớp 2 khác Chức năng mà tại đó bất kỳ khung lớp 2 được mang qua mạng đường trục MPLS được gọi là Any Transport over MPLS (AToM) Những bộ định tuyến đang chuyển lưu lượng AToM không cần thiết phải biết tải MPLS; nó chỉ cần có khả năng chuyển mạch lưu lượng được dán nhãn bằng việc tìm kiếm nhãn trên đầu của tải Vềbản chất, chuyển mạch nhãn MPLS là một công thức đơn giản của chuyển mạch đa giao
Trang 29Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
thức trong một mạng Ta cần phải có bảng chuyển tiếp bao gồm các nhãn đến đểtrao đổi với nhãn ra và bước tiếp theo
Các bộ định tuyến ảo MPLS-VPN
Một bộ định tuyến ảo là một tập các chức năng, cả tĩnh và động trong thiết bị định tuyến, nó cung cấp các dịch vụ định tuyến và gửi chuyển tiếp giống các bộ định tuyến vật lý Một bộ định tuyến ảo không nhất thiết là một tiến trình hệ thống vận hành riêng rẽ (mặc dầu nó có thể là như vậy) Một bộ định tuyến ảo, giống như bản sao vật lý của nó, là một thành phần trong một miền định tuyến Các bộ định tuyến khác trong miền này có thể là các bộ định tuyến vật lý hay ảo Với giả thiết
bộ định tuyến ảo kết nối vào một miền định tuyến xác định và bộ định tuyến vật lý
có thể hỗ trợ nhiều bộ định tuyến ảo, sẽ xảy ra hiện tượng một bộ định tuyến vật lý
hỗ trợ nhiều miền định tuyến
Từ quan điểm của khách hàng VPN, đòi hỏi một bộ định tuyến ảo phải tương đương với một bộ định tuyến vật lý Nói cách khác, với rất ít ngoại lệ , bộ định tuyến ảo nên thiết kế cho nhiều mục đích (cấu hình, quản lý, giám sát, xử lý sự cố) giống như các bộ định tuyến vật lý Động cơ chính đằng sau những đòi hỏi này là
để tránh việc nâng cấp hoặc cấu hình lại những cơ sở đã được cài đặt của các bộ định tuyến và để tránh phải đào tạo lại các nhà quản lý mạng
Kiến trúc MPLS- VPN
Trang 30Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
· IGP – không khác gì với IGP trong mạng chỉ dùng IP Trong mạng MPLS khi dùng quản lý lưu lượng, IGP phải là giao thức trạng liên kết (link-state protocol): OSPF hay IS-IS
· Giao thức phân phối nhãn – LDP (Label Distribution Protocol), TDP (Tag
Distribution Protocol), RSVP
RSVP dùng cho quản lý lưu lượng TDP và LDP là hai phiên bản khác nhau; TDP
cũ hơn, LDP được tiêu chuẩn hóa
Ghép nhãn là sự kết hợp của một nhãn và tiền tố LDP hoạt động kết hợp với IGP
để phân phối thông tin ghép nhãn cho tất cả tuyến tới láng giềng của nó Các láng giềng LDP được thiết lập qua các liên kết chạy LDP
Trang 31Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
· BGP – ở đây có điểm khác nhau giữa mạng MPLS và mạng phi MPLS Thay vì cần BGP ở mỗi router, BGP chỉ cần ở các biên mạng BGP không cần trong mạng lõi vì LER vào biết chặng kế cho tất cả các tuyến học từ BGP
Tại biên mạng, các router PE đóng gói IP bằng một tiêu đề MPLS (nhãn) 32-bit Tiêu đề MPLS, còn gọi là tiêu đề chèn (shim header), được đặt giữa tiêu đề lớp 2
và gói lớp 3 Ví dụ, frame relay – trong môi trường IP over frame relay truyền thống, gói lớp 3 sẽ theo sau là tiêu đề frame relay trong khung lớp 2 Với MPLS, một tiêu đề mới sẽ được đặt vào giữa tiêu đề frame relay và gói lớp 3
Hình 2.4: Vị trí nhãn MPLS trong khung lớp 2
Tiêu đề MPLS là kết hợp của nhãn 20 bit, 3 bit trường experimental dùng để mang thông tin lớp dịch vụ (tương tự trường ToS trong một gói IP), trường 1 bit (gọi là bit S) dùng để chỉ thị nhãn cuối chồng, và một trường TTL 8 bit dùng để tránh lặp – tương tự với TTL trong IP
Hình 2.5 Định dạng nhãn MPLS kiểu khung
Khi nhãn MPLS được chèn giữa tiêu đề lớp 2 và gói lớp 3, router nhận phải có cách để xác định khung vào là gói nhãn MPLS hay là gói IP thông thường Để đạt được điều này, IETF đã định nghĩa loại giao thức mới nhận biết các gói MPLS trong các giao thức lớp 2 khác nhau Trong ví dụ của frame relay, tiêu đề snap được dùng với giá trị trường ethertype là 0x8847
Phân phối nhãn
Các gói IP được gắn nhãn ở biên mạng và nhãn đó được dùng qua vùng để chuyển gói Làm cách nào để router biên biết được phải gắn nhãn nào cho gói, và bằng
Trang 32Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
cách nào router bên trong biết cách chuyển tiếp gói dựa trên nhãn? Câu trả lời là thông qua thông tin ghép nhãn được tạo bằng các giao thức ghép nhãn
Cisco thực hiện hai giao thức ghép nhãn để ghép các tiền tố IP với các nhãn
MPLS: Giao thức phân phân phối nhãn TDP, là giao thức của Cisco và giao thức phân phối nhãn LDP, là chuẩn của IETF
LDP hay TDP hoạt động giữa các router chạy MPLS để phân phối thông tin ghép nhãn Khi một router cấu hình MPLS, cấu trúc cơ sở thông tin nhãn (LIB) được tạo ra trong router Lúc này, mỗi tiền tố IP trong bảng định tuyến được gán một nhãn MPLS và thông tin liên kết được lưu trong LIB LDP hay TDP dùng để phân phối thông tin ghép nhãn/tiền tố IP tới tất cả các router MPLS láng giềng
Các router láng giềng lưu trữ thông tin ghép nhãn trong LFIB (cơ sở thông tin chuyển tiếp nhãn) nếu thông tin ghép nhãn từ láng giềng xuôi dòng, nghĩa là
thông tin này đến từ láng giềng được dùng như là chặng kế IGP để đến đích
Thông tin ghép nhãn từ router chặng kế và ghép nhãn cục bộ được đưa vào LFIB Nếu không có thông tin ghép nhãn từ router chặng kế, trong LFIB đánh dấu tiền tố
đó là không gắn nhãn, Router sẽ chuyển tiếp gói không dùng nhãn Nếu mạng kết nối trực tiếp với router, LFIB gán nhãn null cho tiền tố; điều này cho router biết rằng cần thiết phải chuyển tiếp IP cho gói
Một ví dụ cụ thể để xem xét cách hoạt động của quá trình phân phối nhãn:
1 RouterA quảng cáo mạng 192.1.1.0 bằng OSPF RouterD biết rằng để đến được mạng 192.1.1.0 nó phải chuyển tiếp gói tới chặng kế là 195.1.1.1 RouterC biết rằng để đến 192.1.1.0 nó phải chuyển tiếp gói ra serial 0 tới chặng kế 194.1.1.1 RouterB muốn tới 192.1.1.0, nó phải chuyển tiếp gói ra Serial 1 tới chặng kế 193.1.1.1 RouterA biết rằng 192.1.1.0 nối trực tiếp với interface E0 (Hình 1)
2 MPLS được bật và LDP (hay TDP) được cấu hình trên mỗi router
3 Khi MPLS được bật, router xây dựng LIB gắn một nhãn cho mỗi tiền tố trong bảng IGP Để đơn giản chỉ xem xét ghép nhãn cho tiền tố 192.1.1.0 (Hình 2)
