Nghiên cứu bảo mật mạng riêng Ảo trên công nghệ chuyển mạch nhãn Đa giao thức (tt)

Mạng riêng ảo là phương pháp làm cho một mạng công cộng hoạt động như một mạng cục bộ kết hợp với các giải pháp bảo mật trên đường truyền, VPN cho phép thành lập các kết nỗi riêng với n

QUACH NHU THE

NGHIEN CUU BAO MAT MANG RIENG AO TREN CONG NGHE

CHUYỂN MẠCH NHÃN ĐA GIAO THỨC

Chuyên ngành: Truyền đữ liệu và mạng máy tính

Mã số: 60.48.15

TÓM TẮT LUẬN VĂN THẠC SĨ KỸ THUẬT

NGƯỜI HƯỚNG DẪN KHOA HỌC :

PGS.TS NGUYÊN VĂN TAM

HA NOI- 2012

MG DAU

Mang VPN là một trona những tĩng dụng rất quan trọng

trong mang MPLS MPLS VPN đã đơn giản hóa quá trình tạo

“đường hằm” trong mạng riêng ảo bằng cơ chế pán nhãn gói tin (Lable) trên thiết bị mạng nhà cung cấp Thay vì phải tự thiết lập, quản trị, và đầu tư những thiết bị đất tiên, MPLS VPN sẽ

giúp doanh nghiệp giao trách nhiệm này cho nhà cung cấp

đơn vị có đầy đủ năng lực, thiết bị và công nghệ bảo mật tối

hơn cho mạng của doanh nghiệp

Tuận văn “ NghiÊn cửu hấu mật mạng riêng do trên

công nghệ chuyển mạch nhãn da gian thức” đã nghiền cứu

VPN trén mang MPLS có kết hợp với IPSEC và mô phỏng

Luận văn được chia làm 3 chương:

Chương T: Tổng quan về mạng riêng ão

Chương II: Giải pháp bảo mật VPN trên nên MPLS

Chương TTI: Mé phéng

CHUONG I: TONG QUAN VE MANG RIENG 40

1 Téng quan vẻ mạng riêng ảo

1.1 Giới thiệu về mạng,

ng âu

>_ Khái niệm mang riêng áo

Mạng riêng ảo là phương pháp làm cho một mạng công

cộng hoạt động như một mạng cục bộ kết hợp với các giải pháp bảo mật trên đường truyền, VPN cho phép thành lập các kết nỗi

riêng với người dùng ở xa, các văn phòng chỉ nhánh của công,

ty và các đổi tác của công ty đang sử dụng chưng một mạng công công

VPN = định đường hằm + bảo mật + các thoâ thuận QoS

1.2 Ưu và nhược điểm của VPN

>

v

QATAR KREK

Ưu điểm:

Giảm chỉ phí đường truyền

Giảm chỉ phí đầu tư

Giảm chỉ phí quản lý và hỗ trợ

Truy cập mọi lúc mọi nơi

Cải thiện kết nói

An toàn trong giao dịch

Hiệu quả về băng thông

Enhanced scalability Nhược điểm:

Phụ thuộc trong mỗi trường Internet

Thiếu sự hỗ trợ cho một số giao thíc kế thừa.

mang vA cae mô hình VPN

1.4 Các thành phan trong mang VPN

1.41 Mạng khách hàng (Customer Network)

Gồm

ác router lai cae site khách hàng khác nhau Các

router kết nỗi các site cá nhân với mạng của nhà cung cấp dịch

vụ được gọi là các router biên phía khách hàng (CH- Customer

Edge)

1.4.2 Mạng nhà cung cấp (Provider Network)

Dược dùng để cung cấp các kết nổi poini-to-point qua

hạ lâng mạng của nhà cung cấp địch vụ Các thiết bị của nhà

cũng cấp dịch vụ mà nổi trục tiếp với CE router được gọi là

ronter biên phía nhà cung cấp (PH-Irovider Hdge) Mang của

nhà cung cấp cồn có các thiết bị dùng để chuyên tiếp dữ liệu

trong mạng trục (SP backbone) được gọi là các router nhà cung

cap (P- Provider)

VPN cé thé chia thinh húi loại mô hình: Ovcrlay và

Peer-to-Peer.

tương tự như trung bảu mật nhưng dễ thực thỉ hơn

nhiều, đặc biệt đối với khích hàng

Ngoại trừ trong trường hợp đặc biệt, IPsec PE-PE

hiện tại không được sử dụng nhiều vì lí do bảo mật

Rõ ràng nó không là một giải pháp tổng thê cho bảo

mật VPN Trong các trường hợp này nên sử dung IPsec CECH

2.3.2.3 IPser truy cập tử xa và mội mạng MPLS

VPN

Đường hầm TPsec từ người dùng tử xa được kết thúc

trên uác bộ định tuyến PE, dựa trên sự nhận dạng, củu người dùng, được ánh xạ vàu VPN Do đó, bộ đình tuyến PE thực hiện đầy đủ 2 nhiệm vụ: điểm cuỗi truy cập từ xa IPsec và PE MPLS

Trong ứng dụng này, IPsec phục vụ chủ yếu như

một phương pháp truy cập an toàn vào VPN của người dùng, như các điểm truy cập không đây công công hay mang inlernel

2.3.3 IPsec trén MPLS

Các mô hình đã xem xét trong phản trước mô tả các

đường hầm IPscc đã được thiết lập (ví dụ PE-PF), nhưng không

xem xét cách thức thiết lập dường hảm, việc xem xét thiết kế

thứ 2 khi triển khai mạng IPsec Các lựa chọn chính để thiết lập

đường hầm IPsec:

2.1.2.2 Mat phang diéu khién (Control Plane}:

Mặt phẳng diễu khiển MPLS chịu trách nhiệm tạo ra

và lưu trữ LIB Tắt cả các nút MPLS phai chạy một giao thức

định tuyên TP để trao đổi thông lin định tuyên TP với các nút

MPLS khác trong mạng

Cúc môdun điều khiêu MPLS gỗm:

+ Định tuyển Unicast (Unicast Routing) + Dinh tuyến Multicast (Multieast Routing)

+ Kỹ thuật lưn lượng (Iraffie Engineer) + Mạng riêng äo (VPN ~ Virtual private Network) + Chit luong dich vu (QoS — Quality of Service)

o Rgrens LSR — LSR ra nhận các gối được gán nhãn,

tách nhãn vä truyền chúng trên đường kết nỗi dữ liệu, LSR ra

và LSR vào là các LSR biên

© TSR trung gian (intermediate LSR) — cde TSR

trung gian này sẽ nhận các gói có nhãn tởi, thực hiện các

thao tác trên nó, chuyển mạch gói và truyền gói đến đường

IPsec là một kỹ thuật cung cấp các dịch vụ bao mat qua

mang, LP:

¥ Tính bảo một (hông qua sử dụng mã hóa

v“ Tính xác thực thông qua việc sử dụng xác thực

đồng cấp và xác thực thông điệp

x Tinh toàn vẹn thông qua việc sử dụng kiểm tra

toàn vẹn thông điệp

vˆ Chống lại việc phát lại, bằng cách sử dụng các

chuỗi số đã được xúc thực để đảm bảo tính mới mẻ của thông

điệp

Một trong những lợi íh quan trọng của IPsec là các

địch vụ bảo mật tất cả được ấp dụng trên lớp 3 (lớp mạng) cũng,

ng như với IP Bằng cách này, các dịch vụ bảo mnật vẫn độc

Tập với cơ chế vận chuyển ưu tiền cũng như các giao (hứu và

các ứng dụng được dùng ở lớp trên của ngăn xắp

Khi thiết kế một mạng ding IPsec, cin xem xét 2 vấn

¥ Vị trí các đường hầm IPsec nên được ấp dụng

“ Cách thức thiết lập các đường hâm IPsec

+ ¡ quyết 2 vẫn để trên có nhiêu cách Trước hỏi, tụ

sẽ xét vị trí điểm cuối IPsec; sau đó là cách các đường hầm

được thiết lập giữa các vị trí

2.1.4.2 Giao thức đặt trước tài nguyêu

2.2 Ứng dụng VEN trên mạng MIPLS

2.2.1 Giới thiệu về MPLS trong VNP

tiêu đẻ IP Do vậy, chủng ta có thể kết hợp LSP với các bộ dịnh

tuyên VPN-IP và sau đó gửi chuyển tiếp các gói tin IP doc theo

những bộ định tuyến đó sứ đụng MPLS đóng vai trò cơ chế gửi chuyển tiếp

CHUONG III: MO PHONG

1.5.3.6 Trao đôi khóa Internet (IKE)

- MPLS giúp đơn giản hoá quá trình định tuyển và

làm tăng tính linh động của các tầng trung gian.

mang vA cae mô hình VPN

1.4 Các thành phan trong mang VPN

1.41 Mạng khách hàng (Customer Network)

Gồm

ác router lai cae site khách hàng khác nhau Các

router kết nỗi các site cá nhân với mạng của nhà cung cấp dịch

vụ được gọi là các router biên phía khách hàng (CH- Customer

Edge)

1.4.2 Mạng nhà cung cấp (Provider Network)

Dược dùng để cung cấp các kết nổi poini-to-point qua

hạ lâng mạng của nhà cung cấp địch vụ Các thiết bị của nhà

cũng cấp dịch vụ mà nổi trục tiếp với CE router được gọi là

ronter biên phía nhà cung cấp (PH-Irovider Hdge) Mang của

nhà cung cấp cồn có các thiết bị dùng để chuyên tiếp dữ liệu

trong mạng trục (SP backbone) được gọi là các router nhà cung

cap (P- Provider)

VPN cé thé chia thinh húi loại mô hình: Ovcrlay và

Peer-to-Peer.

IPsec là một kỹ thuật cung cấp các dịch vụ bao mat qua

mang, LP:

¥ Tính bảo một (hông qua sử dụng mã hóa

v“ Tính xác thực thông qua việc sử dụng xác thực

đồng cấp và xác thực thông điệp

x Tinh toàn vẹn thông qua việc sử dụng kiểm tra

toàn vẹn thông điệp

vˆ Chống lại việc phát lại, bằng cách sử dụng các

chuỗi số đã được xúc thực để đảm bảo tính mới mẻ của thông

điệp

Một trong những lợi íh quan trọng của IPsec là các

địch vụ bảo mật tất cả được ấp dụng trên lớp 3 (lớp mạng) cũng,

ng như với IP Bằng cách này, các dịch vụ bảo mnật vẫn độc

Tập với cơ chế vận chuyển ưu tiền cũng như các giao (hứu và

các ứng dụng được dùng ở lớp trên của ngăn xắp

Khi thiết kế một mạng ding IPsec, cin xem xét 2 vấn

¥ Vị trí các đường hầm IPsec nên được ấp dụng

“ Cách thức thiết lập các đường hâm IPsec

+ ¡ quyết 2 vẫn để trên có nhiêu cách Trước hỏi, tụ

sẽ xét vị trí điểm cuối IPsec; sau đó là cách các đường hầm

được thiết lập giữa các vị trí

« Các chế độ phân phối nhãn

2.1.4.2 Giao thức đặt trước tài nguyêu

2.2 Ứng dụng VEN trên mạng MIPLS

2.2.1 Giới thiệu về MPLS trong VNP

tiêu đẻ IP Do vậy, chủng ta có thể kết hợp LSP với các bộ dịnh

tuyên VPN-IP và sau đó gửi chuyển tiếp các gói tin IP doc theo

những bộ định tuyến đó sứ đụng MPLS đóng vai trò cơ chế gửi chuyển tiếp

tương tự như trung bảu mật nhưng dễ thực thỉ hơn

nhiều, đặc biệt đối với khích hàng

Ngoại trừ trong trường hợp đặc biệt, IPsec PE-PE

hiện tại không được sử dụng nhiều vì lí do bảo mật

Rõ ràng nó không là một giải pháp tổng thê cho bảo

mật VPN Trong các trường hợp này nên sử dung IPsec CECH

2.3.2.3 IPser truy cập tử xa và mội mạng MPLS

VPN

Đường hầm TPsec từ người dùng tử xa được kết thúc

trên uác bộ định tuyến PE, dựa trên sự nhận dạng, củu người dùng, được ánh xạ vàu VPN Do đó, bộ đình tuyến PE thực hiện đầy đủ 2 nhiệm vụ: điểm cuỗi truy cập từ xa IPsec và PE MPLS

Trong ứng dụng này, IPsec phục vụ chủ yếu như

một phương pháp truy cập an toàn vào VPN của người dùng, như các điểm truy cập không đây công công hay mang inlernel

2.3.3 IPsec trén MPLS

Các mô hình đã xem xét trong phản trước mô tả các

đường hầm IPscc đã được thiết lập (ví dụ PE-PF), nhưng không

xem xét cách thức thiết lập dường hảm, việc xem xét thiết kế

thứ 2 khi triển khai mạng IPsec Các lựa chọn chính để thiết lập

đường hầm IPsec:

2.1.2.2 Mat phang diéu khién (Control Plane}:

Mặt phẳng diễu khiển MPLS chịu trách nhiệm tạo ra

và lưu trữ LIB Tắt cả các nút MPLS phai chạy một giao thức

định tuyên TP để trao đổi thông lin định tuyên TP với các nút

MPLS khác trong mạng

Cúc môdun điều khiêu MPLS gỗm:

+ Định tuyển Unicast (Unicast Routing) + Dinh tuyến Multicast (Multieast Routing)

+ Kỹ thuật lưn lượng (Iraffie Engineer) + Mạng riêng äo (VPN ~ Virtual private Network) + Chit luong dich vu (QoS — Quality of Service)

o Rgrens LSR — LSR ra nhận các gối được gán nhãn,

tách nhãn vä truyền chúng trên đường kết nỗi dữ liệu, LSR ra

và LSR vào là các LSR biên

© TSR trung gian (intermediate LSR) — cde TSR

trung gian này sẽ nhận các gói có nhãn tởi, thực hiện các

thao tác trên nó, chuyển mạch gói và truyền gói đến đường

thương thức hoạt động:

Thay thể cơ chế định tuyên lớp ba bằng cơ chế chuyên

mạch lớp hai MPLS hoạt động trong lõi của mạng IP Các

Rouler trong lõi phải enable MPLS trên lừng giao tiếp Nhãn

được gắn thêm vào gói IP khi gói đi vào mang MPLS Nhãn

được tách ra khi gới ra khỏi mang MPLS Nhãn (Label) được

chin vào giữa headcr lớp ba và headcr lớp hai Sử dụng

nhãn trong quá trình gửi gói sau khi đã thiết lập đường đi

MPLS tập trung vào quá trình hơán đổi nhãn (Label

Swapping) Một trong những thế mạnh của kiến trúc MPL là

tự định nghĩa chồng nhăn (Label Stack)

2.1.2.1 Mặt phẳng chuyến tiếp (Forwarding plane):

Mặt phẳng chuyỂn tiếp có trách nhiệm chuyển tiếp

gối dựa trên giá trị chứa trong nhãn Mặt phẳng chuyến tiếp

sử dựng mệt cơ sở thông tin chuyển tiếp nhãn LI:LB để chuyển

tiếp các gói

TPsec tinh: trong mô hình này, mỗi nút TPsec được câu

hình ữnh với tắt cả TPeoc đồng cấp của nó, thông tin nhận thực

các spoke biết cách đến được hnh, và một đường hằm IIsec

dược thiết lập chỉ khi nào spoke có thỂ xúc thực dược chính nó IPsec truy cập từ xa sử dụng ý rướng tương tự, nhưng xác thực thường được thực hiện trên máy chủ AAA IPsec đờng có thể được sử dụng cho CE-CE cũng như PE-PE

mang vA cae mô hình VPN

1.4 Các thành phan trong mang VPN

1.41 Mạng khách hàng (Customer Network)

Gồm

ác router lai cae site khách hàng khác nhau Các

router kết nỗi các site cá nhân với mạng của nhà cung cấp dịch

vụ được gọi là các router biên phía khách hàng (CH- Customer

Edge)

1.4.2 Mạng nhà cung cấp (Provider Network)

Dược dùng để cung cấp các kết nổi poini-to-point qua

hạ lâng mạng của nhà cung cấp địch vụ Các thiết bị của nhà

cũng cấp dịch vụ mà nổi trục tiếp với CE router được gọi là

ronter biên phía nhà cung cấp (PH-Irovider Hdge) Mang của

nhà cung cấp cồn có các thiết bị dùng để chuyên tiếp dữ liệu

trong mạng trục (SP backbone) được gọi là các router nhà cung

cap (P- Provider)

VPN cé thé chia thinh húi loại mô hình: Ovcrlay và

Peer-to-Peer.

1.5 Các giao thúc tạo đường hẳm trong VPN

15.1 Giao thức PPTPŒointTo-Point Tnnning

Protocol)

Giao thức PPTP (Point-to-Point Tunneling Protocol -

giao thức tạo đường him diém néi điểm) ban đâu được phát

triển và được thiết kế để giải quyết

hâm VPN trên các mạng public dựa vào TCP/IP bằng cách sử

để và duy trì các đường

dựng PPP PPIP là kết quả của sự nỗ lực chung của Microsoft

và một loạt các nhà cung cấn sản phẩm bao gồm chẳng hạn

Ascend Communications, 3Cam/Primary Accew, ECT

Telematics, va U.S Robotics

1.8.2 Giao thie L2TP (Layer 2 Tunneling Protocol)

Giao thức L2TP sử dụng hai loại thông điệp, thông diệp

điểu khiển (Control Message) và thông điệp di

su (Data

Mexsape) Thông điệp điều khiển được sử dụng trong vige thiết

lập và duy tì đường óng Thông điệp dữ liệu được sử dụng để

đóng gói PPP trame để chuyển qua đường ông

1.5.3 Giao thúc TPSec (TT Securlty Pratncol)

IPSec là một piao thúc bảo mật tích hợp với tẳng TP,

cung cấp dịch vụ bảo mật mã hóa linh hoạt Những dịch vụ này

là

1.5.3.1 Chứng hực nguần gic dif liéu/Tinh toan vẹn

đỡ liện phi kết nỗi

KẾT LUẬN

Mạng riêng do VPN là một Irong những ứng dụng rất

quan trọng trong mang MPLS Các công ty, doanh nghiệp đặc

biệt các công ty đa quốc gia có nhu cầu rất lớn về loại hình dịch

vụ nay Voi VPN họ hoàn toàn có thê sử dụng các dịch vụ viễn

thông, truyền số liệu nội bộ với chỉ phí thắp, an ninh bảo đâm

Đây là một ứng đụng rất quan trọng đấp ứng các yêu cầu của

các mạng riêng sử dụng hạ lang co sé thing tin quốc gia với

những yêu cân khác nhan vẻ độ an toàn, bảo mặt và chất lượng

dich vu liên cạnh đó là việc nghiên cứu các công nghệ báo mật

trong MPLS VPN, nỗi bật

jan nay chính lä sử dụng IPScc

Sau nghiên cứu để tài đã tổng kết được các vẫn để

> Tổng quan VPN: Giới thiệu tổng quan VEN

»~_ Giải pháp bảo mật VPN trên nén MPLS, tìm hiểu IPsec

MPLS

> Tim hiéu phần mềm mô phỏng GNS để mô phỏng van

dé bao mat MPLS VPN

tương tự như trung bảu mật nhưng dễ thực thỉ hơn

nhiều, đặc biệt đối với khích hàng

Ngoại trừ trong trường hợp đặc biệt, IPsec PE-PE

hiện tại không được sử dụng nhiều vì lí do bảo mật

Rõ ràng nó không là một giải pháp tổng thê cho bảo

mật VPN Trong các trường hợp này nên sử dung IPsec CECH

2.3.2.3 IPser truy cập tử xa và mội mạng MPLS

VPN

Đường hầm TPsec từ người dùng tử xa được kết thúc

trên uác bộ định tuyến PE, dựa trên sự nhận dạng, củu người dùng, được ánh xạ vàu VPN Do đó, bộ đình tuyến PE thực hiện đầy đủ 2 nhiệm vụ: điểm cuỗi truy cập từ xa IPsec và PE MPLS

Trong ứng dụng này, IPsec phục vụ chủ yếu như

một phương pháp truy cập an toàn vào VPN của người dùng, như các điểm truy cập không đây công công hay mang inlernel

2.3.3 IPsec trén MPLS

Các mô hình đã xem xét trong phản trước mô tả các

đường hầm IPscc đã được thiết lập (ví dụ PE-PF), nhưng không

xem xét cách thức thiết lập dường hảm, việc xem xét thiết kế

thứ 2 khi triển khai mạng IPsec Các lựa chọn chính để thiết lập

đường hầm IPsec:

2.1.2.2 Mat phang diéu khién (Control Plane}:

Mặt phẳng diễu khiển MPLS chịu trách nhiệm tạo ra

và lưu trữ LIB Tắt cả các nút MPLS phai chạy một giao thức

định tuyên TP để trao đổi thông lin định tuyên TP với các nút

MPLS khác trong mạng

Cúc môdun điều khiêu MPLS gỗm:

+ Định tuyển Unicast (Unicast Routing) + Dinh tuyến Multicast (Multieast Routing)

+ Kỹ thuật lưn lượng (Iraffie Engineer) + Mạng riêng äo (VPN ~ Virtual private Network) + Chit luong dich vu (QoS — Quality of Service)

o Rgrens LSR — LSR ra nhận các gối được gán nhãn,

tách nhãn vä truyền chúng trên đường kết nỗi dữ liệu, LSR ra

và LSR vào là các LSR biên

© TSR trung gian (intermediate LSR) — cde TSR

trung gian này sẽ nhận các gói có nhãn tởi, thực hiện các

thao tác trên nó, chuyển mạch gói và truyền gói đến đường

mang vA cae mô hình VPN

1.4 Các thành phan trong mang VPN

1.41 Mạng khách hàng (Customer Network)

Gồm

ác router lai cae site khách hàng khác nhau Các

router kết nỗi các site cá nhân với mạng của nhà cung cấp dịch

vụ được gọi là các router biên phía khách hàng (CH- Customer

Edge)

1.4.2 Mạng nhà cung cấp (Provider Network)

Dược dùng để cung cấp các kết nổi poini-to-point qua

hạ lâng mạng của nhà cung cấp địch vụ Các thiết bị của nhà

cũng cấp dịch vụ mà nổi trục tiếp với CE router được gọi là

ronter biên phía nhà cung cấp (PH-Irovider Hdge) Mang của

nhà cung cấp cồn có các thiết bị dùng để chuyên tiếp dữ liệu

trong mạng trục (SP backbone) được gọi là các router nhà cung

cap (P- Provider)

VPN cé thé chia thinh húi loại mô hình: Ovcrlay và

Peer-to-Peer.

1.5 Các giao thúc tạo đường hẳm trong VPN

15.1 Giao thức PPTPŒointTo-Point Tnnning

Protocol)

Giao thức PPTP (Point-to-Point Tunneling Protocol -

giao thức tạo đường him diém néi điểm) ban đâu được phát

triển và được thiết kế để giải quyết

hâm VPN trên các mạng public dựa vào TCP/IP bằng cách sử

để và duy trì các đường

dựng PPP PPIP là kết quả của sự nỗ lực chung của Microsoft

và một loạt các nhà cung cấn sản phẩm bao gồm chẳng hạn

Ascend Communications, 3Cam/Primary Accew, ECT

Telematics, va U.S Robotics

1.8.2 Giao thie L2TP (Layer 2 Tunneling Protocol)

Giao thức L2TP sử dụng hai loại thông điệp, thông diệp

điểu khiển (Control Message) và thông điệp di

su (Data

Mexsape) Thông điệp điều khiển được sử dụng trong vige thiết

lập và duy tì đường óng Thông điệp dữ liệu được sử dụng để

đóng gói PPP trame để chuyển qua đường ông

1.5.3 Giao thúc TPSec (TT Securlty Pratncol)

IPSec là một piao thúc bảo mật tích hợp với tẳng TP,

cung cấp dịch vụ bảo mật mã hóa linh hoạt Những dịch vụ này

là

1.5.3.1 Chứng hực nguần gic dif liéu/Tinh toan vẹn

đỡ liện phi kết nỗi

KẾT LUẬN

Mạng riêng do VPN là một Irong những ứng dụng rất

quan trọng trong mang MPLS Các công ty, doanh nghiệp đặc

biệt các công ty đa quốc gia có nhu cầu rất lớn về loại hình dịch

vụ nay Voi VPN họ hoàn toàn có thê sử dụng các dịch vụ viễn

thông, truyền số liệu nội bộ với chỉ phí thắp, an ninh bảo đâm

Đây là một ứng đụng rất quan trọng đấp ứng các yêu cầu của

các mạng riêng sử dụng hạ lang co sé thing tin quốc gia với

những yêu cân khác nhan vẻ độ an toàn, bảo mặt và chất lượng

dich vu liên cạnh đó là việc nghiên cứu các công nghệ báo mật

trong MPLS VPN, nỗi bật

jan nay chính lä sử dụng IPScc

Sau nghiên cứu để tài đã tổng kết được các vẫn để

> Tổng quan VPN: Giới thiệu tổng quan VEN

»~_ Giải pháp bảo mật VPN trên nén MPLS, tìm hiểu IPsec

MPLS

> Tim hiéu phần mềm mô phỏng GNS để mô phỏng van

dé bao mat MPLS VPN

1.5 Các giao thúc tạo đường hẳm trong VPN

15.1 Giao thức PPTPŒointTo-Point Tnnning

Protocol)

Giao thức PPTP (Point-to-Point Tunneling Protocol -

giao thức tạo đường him diém néi điểm) ban đâu được phát

triển và được thiết kế để giải quyết

hâm VPN trên các mạng public dựa vào TCP/IP bằng cách sử

để và duy trì các đường

dựng PPP PPIP là kết quả của sự nỗ lực chung của Microsoft

và một loạt các nhà cung cấn sản phẩm bao gồm chẳng hạn

Ascend Communications, 3Cam/Primary Accew, ECT

Telematics, va U.S Robotics

1.8.2 Giao thie L2TP (Layer 2 Tunneling Protocol)

Giao thức L2TP sử dụng hai loại thông điệp, thông diệp

điểu khiển (Control Message) và thông điệp di

su (Data

Mexsape) Thông điệp điều khiển được sử dụng trong vige thiết

lập và duy tì đường óng Thông điệp dữ liệu được sử dụng để

đóng gói PPP trame để chuyển qua đường ông

1.5.3 Giao thúc TPSec (TT Securlty Pratncol)

IPSec là một piao thúc bảo mật tích hợp với tẳng TP,

cung cấp dịch vụ bảo mật mã hóa linh hoạt Những dịch vụ này

là

1.5.3.1 Chứng hực nguần gic dif liéu/Tinh toan vẹn

đỡ liện phi kết nỗi

KẾT LUẬN

Mạng riêng do VPN là một Irong những ứng dụng rất

quan trọng trong mang MPLS Các công ty, doanh nghiệp đặc

biệt các công ty đa quốc gia có nhu cầu rất lớn về loại hình dịch

vụ nay Voi VPN họ hoàn toàn có thê sử dụng các dịch vụ viễn

thông, truyền số liệu nội bộ với chỉ phí thắp, an ninh bảo đâm

Đây là một ứng đụng rất quan trọng đấp ứng các yêu cầu của

các mạng riêng sử dụng hạ lang co sé thing tin quốc gia với

những yêu cân khác nhan vẻ độ an toàn, bảo mặt và chất lượng

dich vu liên cạnh đó là việc nghiên cứu các công nghệ báo mật

trong MPLS VPN, nỗi bật

jan nay chính lä sử dụng IPScc

Sau nghiên cứu để tài đã tổng kết được các vẫn để

> Tổng quan VPN: Giới thiệu tổng quan VEN

»~_ Giải pháp bảo mật VPN trên nén MPLS, tìm hiểu IPsec

MPLS

> Tim hiéu phần mềm mô phỏng GNS để mô phỏng van

dé bao mat MPLS VPN

kết nổi dữ liệu đúng

2.1.3.2 LSP (label switch Path)

Dudng chnyén mach nhan 1a mét tập hợp các LSR

mà chuyển mạch một gdi có nhãn qua mang MPLS hoje

một phần của mạng MPLS Về cơ bản, LSP là một đường

dẫn qua mạng MPLS hoặc một phần mang ma goi di qua LSR

dầu tiên của LSP la một LSR vao, nguge Jai LSR cudi cing

của LSP là một LSR ra

2.1.3.3 FEC (Forwarding Equivalence Class)

Lớp chuyển tiếp Lương đương (FEC) là một nhóm hoặc:

luồng các gói được chuyển tiếp đọc theo cùng một tuyển

và được xử lý theo cùng một cách chuyển tiếp TẤI cả các

aói cũng thuộc một FEC sẽ có nhãn giống nhau Tuy nhiên,

không phải

FRC, hởi vì giá trị EXP của chúng có thể khác nhau; phương

tất cả các gới cú cùng nhãn đều thuộc cùng một

thúc chuyên tiếp khác nhau và nó có thế phụ thuộc vào FEC

khác nhan

2.1.4 Các giao thức sử đụng trong MIPIS

2.1.4.1 Phân phối nhãn

« _ Phân phối nhãn với LDP

* Cée tính chất cơ bản của giao thức phân phổi

nhãn LDP

“ _ Thủ tục phát hiện LSR lân cận

~ _ Giao thức truyền tải tin cay

2.3.2 Vi trí các điểm kết thúc cia IPsec

Trong một môi trường MPLS VPN, IPsec có thẻ dược

sử dụng tại các điểm khác nhau của mang:

v“- Giữa các bộ định tuyến CE của VPN'

+⁄_ Giữa một diễm trong VPN vi PE

*⁄_ Giữa các bộ định tuyến PE trong lõi MPLS VPN 2.3.2.1 CE-CE IPsec

Tếu TPsec được sử dụng giữa các CF, toàn bộ đường

dẫn giữa các CE dược bảo mật các dường truy cập (giita CE và PE), cũng như toàn bộ lõi MPLS bao gồm các PE, các P và các đường dẫn

IPsec CL-CL kh6ng bảo vệ chống lại các mỗi đe dọa

sau đầy:

¥ Tin céng tu chdi dich va (DoS)

Y Cae mdi de doa trong khu vục đáng tin cậy

Nhin chung, CR-CE IPsec cung cap mét phuong

tiện lý lưởng dim bao mol MPLS VPN vugl qué

tiêu chuẩn zn ninh của các mạng MPLS Đây là kỹ thuật của sự lựa chọn cho việc cung cấp an ninh bố sung, chẳng bạn như mã hóa lưu lượng truy cập đến

một MPLS VPN

2.3.2.2 PE-PE IPsec

Thuong, PE-PE IPsce duge xem như một cách dé

tránh khách hàng VPN phải thiết lập CE dựa trên

TPsec Một vài vị trí tư vẫn này là

ột cầu trúc

tương tự như trung bảu mật nhưng dễ thực thỉ hơn

nhiều, đặc biệt đối với khích hàng

Ngoại trừ trong trường hợp đặc biệt, IPsec PE-PE

hiện tại không được sử dụng nhiều vì lí do bảo mật

Rõ ràng nó không là một giải pháp tổng thê cho bảo

mật VPN Trong các trường hợp này nên sử dung IPsec CECH

2.3.2.3 IPser truy cập tử xa và mội mạng MPLS

VPN

Đường hầm TPsec từ người dùng tử xa được kết thúc

trên uác bộ định tuyến PE, dựa trên sự nhận dạng, củu người dùng, được ánh xạ vàu VPN Do đó, bộ đình tuyến PE thực hiện đầy đủ 2 nhiệm vụ: điểm cuỗi truy cập từ xa IPsec và PE MPLS

Trong ứng dụng này, IPsec phục vụ chủ yếu như

một phương pháp truy cập an toàn vào VPN của người dùng, như các điểm truy cập không đây công công hay mang inlernel

2.3.3 IPsec trén MPLS

Các mô hình đã xem xét trong phản trước mô tả các

đường hầm IPscc đã được thiết lập (ví dụ PE-PF), nhưng không

xem xét cách thức thiết lập dường hảm, việc xem xét thiết kế

thứ 2 khi triển khai mạng IPsec Các lựa chọn chính để thiết lập

đường hầm IPsec:

2.1.2.2 Mat phang diéu khién (Control Plane}:

Mặt phẳng diễu khiển MPLS chịu trách nhiệm tạo ra

và lưu trữ LIB Tắt cả các nút MPLS phai chạy một giao thức

định tuyên TP để trao đổi thông lin định tuyên TP với các nút

MPLS khác trong mạng

Cúc môdun điều khiêu MPLS gỗm:

+ Định tuyển Unicast (Unicast Routing) + Dinh tuyến Multicast (Multieast Routing)

+ Kỹ thuật lưn lượng (Iraffie Engineer) + Mạng riêng äo (VPN ~ Virtual private Network) + Chit luong dich vu (QoS — Quality of Service)

o Rgrens LSR — LSR ra nhận các gối được gán nhãn,

tách nhãn vä truyền chúng trên đường kết nỗi dữ liệu, LSR ra

và LSR vào là các LSR biên

© TSR trung gian (intermediate LSR) — cde TSR

trung gian này sẽ nhận các gói có nhãn tởi, thực hiện các

thao tác trên nó, chuyển mạch gói và truyền gói đến đường

tương tự như trung bảu mật nhưng dễ thực thỉ hơn

nhiều, đặc biệt đối với khích hàng

Ngoại trừ trong trường hợp đặc biệt, IPsec PE-PE

hiện tại không được sử dụng nhiều vì lí do bảo mật

Rõ ràng nó không là một giải pháp tổng thê cho bảo

mật VPN Trong các trường hợp này nên sử dung IPsec CECH

2.3.2.3 IPser truy cập tử xa và mội mạng MPLS

VPN

Đường hầm TPsec từ người dùng tử xa được kết thúc

trên uác bộ định tuyến PE, dựa trên sự nhận dạng, củu người dùng, được ánh xạ vàu VPN Do đó, bộ đình tuyến PE thực hiện đầy đủ 2 nhiệm vụ: điểm cuỗi truy cập từ xa IPsec và PE MPLS

Trong ứng dụng này, IPsec phục vụ chủ yếu như

một phương pháp truy cập an toàn vào VPN của người dùng, như các điểm truy cập không đây công công hay mang inlernel

2.3.3 IPsec trén MPLS

Các mô hình đã xem xét trong phản trước mô tả các

đường hầm IPscc đã được thiết lập (ví dụ PE-PF), nhưng không

xem xét cách thức thiết lập dường hảm, việc xem xét thiết kế

thứ 2 khi triển khai mạng IPsec Các lựa chọn chính để thiết lập

đường hầm IPsec:

2.1.2.2 Mat phang diéu khién (Control Plane}:

Mặt phẳng diễu khiển MPLS chịu trách nhiệm tạo ra

và lưu trữ LIB Tắt cả các nút MPLS phai chạy một giao thức

định tuyên TP để trao đổi thông lin định tuyên TP với các nút

MPLS khác trong mạng

Cúc môdun điều khiêu MPLS gỗm:

+ Định tuyển Unicast (Unicast Routing) + Dinh tuyến Multicast (Multieast Routing)

+ Kỹ thuật lưn lượng (Iraffie Engineer) + Mạng riêng äo (VPN ~ Virtual private Network) + Chit luong dich vu (QoS — Quality of Service)

o Rgrens LSR — LSR ra nhận các gối được gán nhãn,

tách nhãn vä truyền chúng trên đường kết nỗi dữ liệu, LSR ra

và LSR vào là các LSR biên

© TSR trung gian (intermediate LSR) — cde TSR

trung gian này sẽ nhận các gói có nhãn tởi, thực hiện các

thao tác trên nó, chuyển mạch gói và truyền gói đến đường

CHUONG III: MO PHONG

1.5.3.6 Trao đôi khóa Internet (IKE)

- MPLS giúp đơn giản hoá quá trình định tuyển và

làm tăng tính linh động của các tầng trung gian.

thương thức hoạt động:

Thay thể cơ chế định tuyên lớp ba bằng cơ chế chuyên

mạch lớp hai MPLS hoạt động trong lõi của mạng IP Các

Rouler trong lõi phải enable MPLS trên lừng giao tiếp Nhãn

được gắn thêm vào gói IP khi gói đi vào mang MPLS Nhãn

được tách ra khi gới ra khỏi mang MPLS Nhãn (Label) được

chin vào giữa headcr lớp ba và headcr lớp hai Sử dụng

nhãn trong quá trình gửi gói sau khi đã thiết lập đường đi

MPLS tập trung vào quá trình hơán đổi nhãn (Label

Swapping) Một trong những thế mạnh của kiến trúc MPL là

tự định nghĩa chồng nhăn (Label Stack)

2.1.2.1 Mặt phẳng chuyến tiếp (Forwarding plane):

Mặt phẳng chuyỂn tiếp có trách nhiệm chuyển tiếp

gối dựa trên giá trị chứa trong nhãn Mặt phẳng chuyến tiếp

sử dựng mệt cơ sở thông tin chuyển tiếp nhãn LI:LB để chuyển

tiếp các gói

TPsec tinh: trong mô hình này, mỗi nút TPsec được câu

hình ữnh với tắt cả TPeoc đồng cấp của nó, thông tin nhận thực

các spoke biết cách đến được hnh, và một đường hằm IIsec

dược thiết lập chỉ khi nào spoke có thỂ xúc thực dược chính nó IPsec truy cập từ xa sử dụng ý rướng tương tự, nhưng xác thực thường được thực hiện trên máy chủ AAA IPsec đờng có thể được sử dụng cho CE-CE cũng như PE-PE

thương thức hoạt động:

Thay thể cơ chế định tuyên lớp ba bằng cơ chế chuyên

mạch lớp hai MPLS hoạt động trong lõi của mạng IP Các

Rouler trong lõi phải enable MPLS trên lừng giao tiếp Nhãn

được gắn thêm vào gói IP khi gói đi vào mang MPLS Nhãn

được tách ra khi gới ra khỏi mang MPLS Nhãn (Label) được

chin vào giữa headcr lớp ba và headcr lớp hai Sử dụng

nhãn trong quá trình gửi gói sau khi đã thiết lập đường đi

MPLS tập trung vào quá trình hơán đổi nhãn (Label

Swapping) Một trong những thế mạnh của kiến trúc MPL là

tự định nghĩa chồng nhăn (Label Stack)

2.1.2.1 Mặt phẳng chuyến tiếp (Forwarding plane):

Mặt phẳng chuyỂn tiếp có trách nhiệm chuyển tiếp

gối dựa trên giá trị chứa trong nhãn Mặt phẳng chuyến tiếp

sử dựng mệt cơ sở thông tin chuyển tiếp nhãn LI:LB để chuyển

tiếp các gói

TPsec tinh: trong mô hình này, mỗi nút TPsec được câu

hình ữnh với tắt cả TPeoc đồng cấp của nó, thông tin nhận thực

các spoke biết cách đến được hnh, và một đường hằm IIsec

dược thiết lập chỉ khi nào spoke có thỂ xúc thực dược chính nó IPsec truy cập từ xa sử dụng ý rướng tương tự, nhưng xác thực thường được thực hiện trên máy chủ AAA IPsec đờng có thể được sử dụng cho CE-CE cũng như PE-PE

tương tự như trung bảu mật nhưng dễ thực thỉ hơn

nhiều, đặc biệt đối với khích hàng

Ngoại trừ trong trường hợp đặc biệt, IPsec PE-PE

hiện tại không được sử dụng nhiều vì lí do bảo mật

Rõ ràng nó không là một giải pháp tổng thê cho bảo

mật VPN Trong các trường hợp này nên sử dung IPsec CECH

2.3.2.3 IPser truy cập tử xa và mội mạng MPLS

VPN

Đường hầm TPsec từ người dùng tử xa được kết thúc

trên uác bộ định tuyến PE, dựa trên sự nhận dạng, củu người dùng, được ánh xạ vàu VPN Do đó, bộ đình tuyến PE thực hiện đầy đủ 2 nhiệm vụ: điểm cuỗi truy cập từ xa IPsec và PE MPLS

Trong ứng dụng này, IPsec phục vụ chủ yếu như

một phương pháp truy cập an toàn vào VPN của người dùng, như các điểm truy cập không đây công công hay mang inlernel

2.3.3 IPsec trén MPLS

Các mô hình đã xem xét trong phản trước mô tả các

đường hầm IPscc đã được thiết lập (ví dụ PE-PF), nhưng không

xem xét cách thức thiết lập dường hảm, việc xem xét thiết kế

thứ 2 khi triển khai mạng IPsec Các lựa chọn chính để thiết lập

đường hầm IPsec:

2.1.2.2 Mat phang diéu khién (Control Plane}:

Mặt phẳng diễu khiển MPLS chịu trách nhiệm tạo ra

và lưu trữ LIB Tắt cả các nút MPLS phai chạy một giao thức

định tuyên TP để trao đổi thông lin định tuyên TP với các nút

MPLS khác trong mạng

Cúc môdun điều khiêu MPLS gỗm:

+ Định tuyển Unicast (Unicast Routing) + Dinh tuyến Multicast (Multieast Routing)

+ Kỹ thuật lưn lượng (Iraffie Engineer) + Mạng riêng äo (VPN ~ Virtual private Network) + Chit luong dich vu (QoS — Quality of Service)

o Rgrens LSR — LSR ra nhận các gối được gán nhãn,

tách nhãn vä truyền chúng trên đường kết nỗi dữ liệu, LSR ra

và LSR vào là các LSR biên

© TSR trung gian (intermediate LSR) — cde TSR

trung gian này sẽ nhận các gói có nhãn tởi, thực hiện các

thao tác trên nó, chuyển mạch gói và truyền gói đến đường

1.5 Các giao thúc tạo đường hẳm trong VPN

15.1 Giao thức PPTPŒointTo-Point Tnnning

Protocol)

Giao thức PPTP (Point-to-Point Tunneling Protocol -

giao thức tạo đường him diém néi điểm) ban đâu được phát

triển và được thiết kế để giải quyết

hâm VPN trên các mạng public dựa vào TCP/IP bằng cách sử

để và duy trì các đường

dựng PPP PPIP là kết quả của sự nỗ lực chung của Microsoft

và một loạt các nhà cung cấn sản phẩm bao gồm chẳng hạn

Ascend Communications, 3Cam/Primary Accew, ECT

Telematics, va U.S Robotics

1.8.2 Giao thie L2TP (Layer 2 Tunneling Protocol)

Giao thức L2TP sử dụng hai loại thông điệp, thông diệp

điểu khiển (Control Message) và thông điệp di

su (Data

Mexsape) Thông điệp điều khiển được sử dụng trong vige thiết

lập và duy tì đường óng Thông điệp dữ liệu được sử dụng để

đóng gói PPP trame để chuyển qua đường ông

1.5.3 Giao thúc TPSec (TT Securlty Pratncol)

IPSec là một piao thúc bảo mật tích hợp với tẳng TP,

cung cấp dịch vụ bảo mật mã hóa linh hoạt Những dịch vụ này

là

1.5.3.1 Chứng hực nguần gic dif liéu/Tinh toan vẹn

đỡ liện phi kết nỗi

KẾT LUẬN

Mạng riêng do VPN là một Irong những ứng dụng rất

quan trọng trong mang MPLS Các công ty, doanh nghiệp đặc

biệt các công ty đa quốc gia có nhu cầu rất lớn về loại hình dịch

vụ nay Voi VPN họ hoàn toàn có thê sử dụng các dịch vụ viễn

thông, truyền số liệu nội bộ với chỉ phí thắp, an ninh bảo đâm

Đây là một ứng đụng rất quan trọng đấp ứng các yêu cầu của

các mạng riêng sử dụng hạ lang co sé thing tin quốc gia với

những yêu cân khác nhan vẻ độ an toàn, bảo mặt và chất lượng

dich vu liên cạnh đó là việc nghiên cứu các công nghệ báo mật

trong MPLS VPN, nỗi bật

jan nay chính lä sử dụng IPScc

Sau nghiên cứu để tài đã tổng kết được các vẫn để

> Tổng quan VPN: Giới thiệu tổng quan VEN

»~_ Giải pháp bảo mật VPN trên nén MPLS, tìm hiểu IPsec

MPLS

> Tim hiéu phần mềm mô phỏng GNS để mô phỏng van

dé bao mat MPLS VPN

thương thức hoạt động:

Thay thể cơ chế định tuyên lớp ba bằng cơ chế chuyên

mạch lớp hai MPLS hoạt động trong lõi của mạng IP Các

Rouler trong lõi phải enable MPLS trên lừng giao tiếp Nhãn

được gắn thêm vào gói IP khi gói đi vào mang MPLS Nhãn

được tách ra khi gới ra khỏi mang MPLS Nhãn (Label) được

chin vào giữa headcr lớp ba và headcr lớp hai Sử dụng

nhãn trong quá trình gửi gói sau khi đã thiết lập đường đi

MPLS tập trung vào quá trình hơán đổi nhãn (Label

Swapping) Một trong những thế mạnh của kiến trúc MPL là

tự định nghĩa chồng nhăn (Label Stack)

2.1.2.1 Mặt phẳng chuyến tiếp (Forwarding plane):

Mặt phẳng chuyỂn tiếp có trách nhiệm chuyển tiếp

gối dựa trên giá trị chứa trong nhãn Mặt phẳng chuyến tiếp

sử dựng mệt cơ sở thông tin chuyển tiếp nhãn LI:LB để chuyển

tiếp các gói

TPsec tinh: trong mô hình này, mỗi nút TPsec được câu

hình ữnh với tắt cả TPeoc đồng cấp của nó, thông tin nhận thực

các spoke biết cách đến được hnh, và một đường hằm IIsec

dược thiết lập chỉ khi nào spoke có thỂ xúc thực dược chính nó IPsec truy cập từ xa sử dụng ý rướng tương tự, nhưng xác thực thường được thực hiện trên máy chủ AAA IPsec đờng có thể được sử dụng cho CE-CE cũng như PE-PE

IPsec là một kỹ thuật cung cấp các dịch vụ bao mat qua

mang, LP:

¥ Tính bảo một (hông qua sử dụng mã hóa

v“ Tính xác thực thông qua việc sử dụng xác thực

đồng cấp và xác thực thông điệp

x Tinh toàn vẹn thông qua việc sử dụng kiểm tra

toàn vẹn thông điệp

vˆ Chống lại việc phát lại, bằng cách sử dụng các

chuỗi số đã được xúc thực để đảm bảo tính mới mẻ của thông

điệp

Một trong những lợi íh quan trọng của IPsec là các

địch vụ bảo mật tất cả được ấp dụng trên lớp 3 (lớp mạng) cũng,

ng như với IP Bằng cách này, các dịch vụ bảo mnật vẫn độc

Tập với cơ chế vận chuyển ưu tiền cũng như các giao (hứu và

các ứng dụng được dùng ở lớp trên của ngăn xắp

Khi thiết kế một mạng ding IPsec, cin xem xét 2 vấn

¥ Vị trí các đường hầm IPsec nên được ấp dụng

“ Cách thức thiết lập các đường hâm IPsec

+ ¡ quyết 2 vẫn để trên có nhiêu cách Trước hỏi, tụ

sẽ xét vị trí điểm cuối IPsec; sau đó là cách các đường hầm

được thiết lập giữa các vị trí

« Các chế độ phân phối nhãn

2.1.4.2 Giao thức đặt trước tài nguyêu

2.2 Ứng dụng VEN trên mạng MIPLS

2.2.1 Giới thiệu về MPLS trong VNP

tiêu đẻ IP Do vậy, chủng ta có thể kết hợp LSP với các bộ dịnh

tuyên VPN-IP và sau đó gửi chuyển tiếp các gói tin IP doc theo

những bộ định tuyến đó sứ đụng MPLS đóng vai trò cơ chế gửi chuyển tiếp

tương tự như trung bảu mật nhưng dễ thực thỉ hơn

nhiều, đặc biệt đối với khích hàng

Ngoại trừ trong trường hợp đặc biệt, IPsec PE-PE

hiện tại không được sử dụng nhiều vì lí do bảo mật

Rõ ràng nó không là một giải pháp tổng thê cho bảo

mật VPN Trong các trường hợp này nên sử dung IPsec CECH

2.3.2.3 IPser truy cập tử xa và mội mạng MPLS

VPN

Đường hầm TPsec từ người dùng tử xa được kết thúc

trên uác bộ định tuyến PE, dựa trên sự nhận dạng, củu người dùng, được ánh xạ vàu VPN Do đó, bộ đình tuyến PE thực hiện đầy đủ 2 nhiệm vụ: điểm cuỗi truy cập từ xa IPsec và PE MPLS

Trong ứng dụng này, IPsec phục vụ chủ yếu như

một phương pháp truy cập an toàn vào VPN của người dùng, như các điểm truy cập không đây công công hay mang inlernel

2.3.3 IPsec trén MPLS

Các mô hình đã xem xét trong phản trước mô tả các

đường hầm IPscc đã được thiết lập (ví dụ PE-PF), nhưng không

xem xét cách thức thiết lập dường hảm, việc xem xét thiết kế

thứ 2 khi triển khai mạng IPsec Các lựa chọn chính để thiết lập

đường hầm IPsec:

2.1.2.2 Mat phang diéu khién (Control Plane}:

Mặt phẳng diễu khiển MPLS chịu trách nhiệm tạo ra

và lưu trữ LIB Tắt cả các nút MPLS phai chạy một giao thức

định tuyên TP để trao đổi thông lin định tuyên TP với các nút

MPLS khác trong mạng

Cúc môdun điều khiêu MPLS gỗm:

+ Định tuyển Unicast (Unicast Routing) + Dinh tuyến Multicast (Multieast Routing)

+ Kỹ thuật lưn lượng (Iraffie Engineer) + Mạng riêng äo (VPN ~ Virtual private Network) + Chit luong dich vu (QoS — Quality of Service)

o Rgrens LSR — LSR ra nhận các gối được gán nhãn,

tách nhãn vä truyền chúng trên đường kết nỗi dữ liệu, LSR ra

và LSR vào là các LSR biên

© TSR trung gian (intermediate LSR) — cde TSR

trung gian này sẽ nhận các gói có nhãn tởi, thực hiện các

thao tác trên nó, chuyển mạch gói và truyền gói đến đường

1.5 Các giao thúc tạo đường hẳm trong VPN

15.1 Giao thức PPTPŒointTo-Point Tnnning

Protocol)

Giao thức PPTP (Point-to-Point Tunneling Protocol -

giao thức tạo đường him diém néi điểm) ban đâu được phát

triển và được thiết kế để giải quyết

hâm VPN trên các mạng public dựa vào TCP/IP bằng cách sử

để và duy trì các đường

dựng PPP PPIP là kết quả của sự nỗ lực chung của Microsoft

và một loạt các nhà cung cấn sản phẩm bao gồm chẳng hạn

Ascend Communications, 3Cam/Primary Accew, ECT

Telematics, va U.S Robotics

1.8.2 Giao thie L2TP (Layer 2 Tunneling Protocol)

Giao thức L2TP sử dụng hai loại thông điệp, thông diệp

điểu khiển (Control Message) và thông điệp di

su (Data

Mexsape) Thông điệp điều khiển được sử dụng trong vige thiết

lập và duy tì đường óng Thông điệp dữ liệu được sử dụng để

đóng gói PPP trame để chuyển qua đường ông

1.5.3 Giao thúc TPSec (TT Securlty Pratncol)

IPSec là một piao thúc bảo mật tích hợp với tẳng TP,

cung cấp dịch vụ bảo mật mã hóa linh hoạt Những dịch vụ này

là

1.5.3.1 Chứng hực nguần gic dif liéu/Tinh toan vẹn

đỡ liện phi kết nỗi

KẾT LUẬN

Mạng riêng do VPN là một Irong những ứng dụng rất

quan trọng trong mang MPLS Các công ty, doanh nghiệp đặc

biệt các công ty đa quốc gia có nhu cầu rất lớn về loại hình dịch

vụ nay Voi VPN họ hoàn toàn có thê sử dụng các dịch vụ viễn

thông, truyền số liệu nội bộ với chỉ phí thắp, an ninh bảo đâm

Đây là một ứng đụng rất quan trọng đấp ứng các yêu cầu của

các mạng riêng sử dụng hạ lang co sé thing tin quốc gia với

những yêu cân khác nhan vẻ độ an toàn, bảo mặt và chất lượng

dich vu liên cạnh đó là việc nghiên cứu các công nghệ báo mật

trong MPLS VPN, nỗi bật

jan nay chính lä sử dụng IPScc

Sau nghiên cứu để tài đã tổng kết được các vẫn để

> Tổng quan VPN: Giới thiệu tổng quan VEN

»~_ Giải pháp bảo mật VPN trên nén MPLS, tìm hiểu IPsec

MPLS

> Tim hiéu phần mềm mô phỏng GNS để mô phỏng van

dé bao mat MPLS VPN

thương thức hoạt động:

Thay thể cơ chế định tuyên lớp ba bằng cơ chế chuyên

mạch lớp hai MPLS hoạt động trong lõi của mạng IP Các

Rouler trong lõi phải enable MPLS trên lừng giao tiếp Nhãn

được gắn thêm vào gói IP khi gói đi vào mang MPLS Nhãn

được tách ra khi gới ra khỏi mang MPLS Nhãn (Label) được

chin vào giữa headcr lớp ba và headcr lớp hai Sử dụng

nhãn trong quá trình gửi gói sau khi đã thiết lập đường đi

MPLS tập trung vào quá trình hơán đổi nhãn (Label

Swapping) Một trong những thế mạnh của kiến trúc MPL là

tự định nghĩa chồng nhăn (Label Stack)

2.1.2.1 Mặt phẳng chuyến tiếp (Forwarding plane):

Mặt phẳng chuyỂn tiếp có trách nhiệm chuyển tiếp

gối dựa trên giá trị chứa trong nhãn Mặt phẳng chuyến tiếp

sử dựng mệt cơ sở thông tin chuyển tiếp nhãn LI:LB để chuyển

tiếp các gói

TPsec tinh: trong mô hình này, mỗi nút TPsec được câu

hình ữnh với tắt cả TPeoc đồng cấp của nó, thông tin nhận thực

các spoke biết cách đến được hnh, và một đường hằm IIsec

dược thiết lập chỉ khi nào spoke có thỂ xúc thực dược chính nó IPsec truy cập từ xa sử dụng ý rướng tương tự, nhưng xác thực thường được thực hiện trên máy chủ AAA IPsec đờng có thể được sử dụng cho CE-CE cũng như PE-PE

CHUONG III: MO PHONG

1.5.3.6 Trao đôi khóa Internet (IKE)

- MPLS giúp đơn giản hoá quá trình định tuyển và

làm tăng tính linh động của các tầng trung gian.

thương thức hoạt động:

Thay thể cơ chế định tuyên lớp ba bằng cơ chế chuyên

mạch lớp hai MPLS hoạt động trong lõi của mạng IP Các

Rouler trong lõi phải enable MPLS trên lừng giao tiếp Nhãn

được gắn thêm vào gói IP khi gói đi vào mang MPLS Nhãn

được tách ra khi gới ra khỏi mang MPLS Nhãn (Label) được

chin vào giữa headcr lớp ba và headcr lớp hai Sử dụng

nhãn trong quá trình gửi gói sau khi đã thiết lập đường đi

MPLS tập trung vào quá trình hơán đổi nhãn (Label

Swapping) Một trong những thế mạnh của kiến trúc MPL là

tự định nghĩa chồng nhăn (Label Stack)

2.1.2.1 Mặt phẳng chuyến tiếp (Forwarding plane):

Mặt phẳng chuyỂn tiếp có trách nhiệm chuyển tiếp

gối dựa trên giá trị chứa trong nhãn Mặt phẳng chuyến tiếp

sử dựng mệt cơ sở thông tin chuyển tiếp nhãn LI:LB để chuyển

tiếp các gói

TPsec tinh: trong mô hình này, mỗi nút TPsec được câu

hình ữnh với tắt cả TPeoc đồng cấp của nó, thông tin nhận thực

các spoke biết cách đến được hnh, và một đường hằm IIsec

dược thiết lập chỉ khi nào spoke có thỂ xúc thực dược chính nó IPsec truy cập từ xa sử dụng ý rướng tương tự, nhưng xác thực thường được thực hiện trên máy chủ AAA IPsec đờng có thể được sử dụng cho CE-CE cũng như PE-PE

tương tự như trung bảu mật nhưng dễ thực thỉ hơn

nhiều, đặc biệt đối với khích hàng

Ngoại trừ trong trường hợp đặc biệt, IPsec PE-PE

hiện tại không được sử dụng nhiều vì lí do bảo mật

Rõ ràng nó không là một giải pháp tổng thê cho bảo

mật VPN Trong các trường hợp này nên sử dung IPsec CECH

2.3.2.3 IPser truy cập tử xa và mội mạng MPLS

VPN

Đường hầm TPsec từ người dùng tử xa được kết thúc

trên uác bộ định tuyến PE, dựa trên sự nhận dạng, củu người dùng, được ánh xạ vàu VPN Do đó, bộ đình tuyến PE thực hiện đầy đủ 2 nhiệm vụ: điểm cuỗi truy cập từ xa IPsec và PE MPLS

Trong ứng dụng này, IPsec phục vụ chủ yếu như

một phương pháp truy cập an toàn vào VPN của người dùng, như các điểm truy cập không đây công công hay mang inlernel

2.3.3 IPsec trén MPLS

Các mô hình đã xem xét trong phản trước mô tả các

đường hầm IPscc đã được thiết lập (ví dụ PE-PF), nhưng không

xem xét cách thức thiết lập dường hảm, việc xem xét thiết kế

thứ 2 khi triển khai mạng IPsec Các lựa chọn chính để thiết lập

đường hầm IPsec:

2.1.2.2 Mat phang diéu khién (Control Plane}:

Mặt phẳng diễu khiển MPLS chịu trách nhiệm tạo ra

và lưu trữ LIB Tắt cả các nút MPLS phai chạy một giao thức

định tuyên TP để trao đổi thông lin định tuyên TP với các nút

MPLS khác trong mạng

Cúc môdun điều khiêu MPLS gỗm:

+ Định tuyển Unicast (Unicast Routing) + Dinh tuyến Multicast (Multieast Routing)

+ Kỹ thuật lưn lượng (Iraffie Engineer) + Mạng riêng äo (VPN ~ Virtual private Network) + Chit luong dich vu (QoS — Quality of Service)

o Rgrens LSR — LSR ra nhận các gối được gán nhãn,

tách nhãn vä truyền chúng trên đường kết nỗi dữ liệu, LSR ra

và LSR vào là các LSR biên

© TSR trung gian (intermediate LSR) — cde TSR

trung gian này sẽ nhận các gói có nhãn tởi, thực hiện các

thao tác trên nó, chuyển mạch gói và truyền gói đến đường

kết nổi dữ liệu đúng

2.1.3.2 LSP (label switch Path)

Dudng chnyén mach nhan 1a mét tập hợp các LSR

mà chuyển mạch một gdi có nhãn qua mang MPLS hoje

một phần của mạng MPLS Về cơ bản, LSP là một đường

dẫn qua mạng MPLS hoặc một phần mang ma goi di qua LSR

dầu tiên của LSP la một LSR vao, nguge Jai LSR cudi cing

của LSP là một LSR ra

2.1.3.3 FEC (Forwarding Equivalence Class)

Lớp chuyển tiếp Lương đương (FEC) là một nhóm hoặc:

luồng các gói được chuyển tiếp đọc theo cùng một tuyển

và được xử lý theo cùng một cách chuyển tiếp TẤI cả các

aói cũng thuộc một FEC sẽ có nhãn giống nhau Tuy nhiên,

không phải

FRC, hởi vì giá trị EXP của chúng có thể khác nhau; phương

tất cả các gới cú cùng nhãn đều thuộc cùng một

thúc chuyên tiếp khác nhau và nó có thế phụ thuộc vào FEC

khác nhan

2.1.4 Các giao thức sử đụng trong MIPIS

2.1.4.1 Phân phối nhãn

« _ Phân phối nhãn với LDP

* Cée tính chất cơ bản của giao thức phân phổi

nhãn LDP

“ _ Thủ tục phát hiện LSR lân cận

~ _ Giao thức truyền tải tin cay

2.3.2 Vi trí các điểm kết thúc cia IPsec

Trong một môi trường MPLS VPN, IPsec có thẻ dược

sử dụng tại các điểm khác nhau của mang:

v“- Giữa các bộ định tuyến CE của VPN'

+⁄_ Giữa một diễm trong VPN vi PE

*⁄_ Giữa các bộ định tuyến PE trong lõi MPLS VPN 2.3.2.1 CE-CE IPsec

Tếu TPsec được sử dụng giữa các CF, toàn bộ đường

dẫn giữa các CE dược bảo mật các dường truy cập (giita CE và PE), cũng như toàn bộ lõi MPLS bao gồm các PE, các P và các đường dẫn

IPsec CL-CL kh6ng bảo vệ chống lại các mỗi đe dọa

sau đầy:

¥ Tin céng tu chdi dich va (DoS)

Y Cae mdi de doa trong khu vục đáng tin cậy

Nhin chung, CR-CE IPsec cung cap mét phuong

tiện lý lưởng dim bao mol MPLS VPN vugl qué

tiêu chuẩn zn ninh của các mạng MPLS Đây là kỹ thuật của sự lựa chọn cho việc cung cấp an ninh bố sung, chẳng bạn như mã hóa lưu lượng truy cập đến

một MPLS VPN

2.3.2.2 PE-PE IPsec

Thuong, PE-PE IPsce duge xem như một cách dé

tránh khách hàng VPN phải thiết lập CE dựa trên

TPsec Một vài vị trí tư vẫn này là

ột cầu trúc

kết nổi dữ liệu đúng

2.1.3.2 LSP (label switch Path)

Dudng chnyén mach nhan 1a mét tập hợp các LSR

mà chuyển mạch một gdi có nhãn qua mang MPLS hoje

một phần của mạng MPLS Về cơ bản, LSP là một đường

dẫn qua mạng MPLS hoặc một phần mang ma goi di qua LSR

dầu tiên của LSP la một LSR vao, nguge Jai LSR cudi cing

của LSP là một LSR ra

2.1.3.3 FEC (Forwarding Equivalence Class)

Lớp chuyển tiếp Lương đương (FEC) là một nhóm hoặc:

luồng các gói được chuyển tiếp đọc theo cùng một tuyển

và được xử lý theo cùng một cách chuyển tiếp TẤI cả các

aói cũng thuộc một FEC sẽ có nhãn giống nhau Tuy nhiên,

không phải

FRC, hởi vì giá trị EXP của chúng có thể khác nhau; phương

tất cả các gới cú cùng nhãn đều thuộc cùng một

thúc chuyên tiếp khác nhau và nó có thế phụ thuộc vào FEC

khác nhan

2.1.4 Các giao thức sử đụng trong MIPIS

2.1.4.1 Phân phối nhãn

« _ Phân phối nhãn với LDP

* Cée tính chất cơ bản của giao thức phân phổi

nhãn LDP

“ _ Thủ tục phát hiện LSR lân cận

~ _ Giao thức truyền tải tin cay

2.3.2 Vi trí các điểm kết thúc cia IPsec

Trong một môi trường MPLS VPN, IPsec có thẻ dược

sử dụng tại các điểm khác nhau của mang:

v“- Giữa các bộ định tuyến CE của VPN'

+⁄_ Giữa một diễm trong VPN vi PE

*⁄_ Giữa các bộ định tuyến PE trong lõi MPLS VPN 2.3.2.1 CE-CE IPsec

Tếu TPsec được sử dụng giữa các CF, toàn bộ đường

dẫn giữa các CE dược bảo mật các dường truy cập (giita CE và PE), cũng như toàn bộ lõi MPLS bao gồm các PE, các P và các đường dẫn

IPsec CL-CL kh6ng bảo vệ chống lại các mỗi đe dọa

sau đầy:

¥ Tin céng tu chdi dich va (DoS)

Y Cae mdi de doa trong khu vục đáng tin cậy

Nhin chung, CR-CE IPsec cung cap mét phuong

tiện lý lưởng dim bao mol MPLS VPN vugl qué

tiêu chuẩn zn ninh của các mạng MPLS Đây là kỹ thuật của sự lựa chọn cho việc cung cấp an ninh bố sung, chẳng bạn như mã hóa lưu lượng truy cập đến

một MPLS VPN

2.3.2.2 PE-PE IPsec

Thuong, PE-PE IPsce duge xem như một cách dé

tránh khách hàng VPN phải thiết lập CE dựa trên

TPsec Một vài vị trí tư vẫn này là

ột cầu trúc

IPsec là một kỹ thuật cung cấp các dịch vụ bao mat qua

mang, LP:

¥ Tính bảo một (hông qua sử dụng mã hóa

v“ Tính xác thực thông qua việc sử dụng xác thực

đồng cấp và xác thực thông điệp

x Tinh toàn vẹn thông qua việc sử dụng kiểm tra

toàn vẹn thông điệp

vˆ Chống lại việc phát lại, bằng cách sử dụng các

chuỗi số đã được xúc thực để đảm bảo tính mới mẻ của thông

điệp

Một trong những lợi íh quan trọng của IPsec là các

địch vụ bảo mật tất cả được ấp dụng trên lớp 3 (lớp mạng) cũng,

ng như với IP Bằng cách này, các dịch vụ bảo mnật vẫn độc

Tập với cơ chế vận chuyển ưu tiền cũng như các giao (hứu và

các ứng dụng được dùng ở lớp trên của ngăn xắp

Khi thiết kế một mạng ding IPsec, cin xem xét 2 vấn

¥ Vị trí các đường hầm IPsec nên được ấp dụng

“ Cách thức thiết lập các đường hâm IPsec

+ ¡ quyết 2 vẫn để trên có nhiêu cách Trước hỏi, tụ

sẽ xét vị trí điểm cuối IPsec; sau đó là cách các đường hầm

được thiết lập giữa các vị trí

2.1.4.2 Giao thức đặt trước tài nguyêu

2.2 Ứng dụng VEN trên mạng MIPLS

2.2.1 Giới thiệu về MPLS trong VNP

tiêu đẻ IP Do vậy, chủng ta có thể kết hợp LSP với các bộ dịnh

tuyên VPN-IP và sau đó gửi chuyển tiếp các gói tin IP doc theo

những bộ định tuyến đó sứ đụng MPLS đóng vai trò cơ chế gửi chuyển tiếp

CHUONG III: MO PHONG

1.5.3.6 Trao đôi khóa Internet (IKE)

- MPLS giúp đơn giản hoá quá trình định tuyển và

làm tăng tính linh động của các tầng trung gian.