Lời cảm ơn: 2 Phần đánh giá về đề tài: 3 Phần 1: Giới thiệu về chuyển mạch nhãn đa giao thức MPLS 6 A.Giới thiệu về MPLS. 6 1.Khả năng mở rộng đơn giản. 7 2.Một số ứng dụng của MPLS. 7 B.Cấu trúc của một MPLS. 8 1.Cấu trúc nhãn MPLS. 8 a) Cấu trúc bài tiểu luận Mặt phẳng chuyển tiếp (Forwarding Plane). 10 b)Mặt phẳng điều khiển (Control Plane). 11 2.Lớp chuyển tiếp tương đương FEC(Forwarding Equivalence Classes). 11 3.Đường chuyển mạch nhãn LSP (Label Switched Path). 11 4.Giao thức phân phối nhãn LDP (Label Distribution Protocol). 12 5.Bộ định tuyến chuyển mạch nhãn LSR(Label Switched Router). 12 6.Topo mạng MPLS. 13 Phần 2: Mạng riêng ảo VPN (Vitrual Private Networking) 16 A.Giới thiệu cơ bản về mạng riêng ảo VPN. 16 1.Các cơ chế an toàn của VPN. 16 2.Sự Phát Triển Của VPNs. 17 3.Sự Thuận Lợi Và Bất Lợi Của VPNs : 19 B.Giới thiệu các loại hình VPN: 20 1.VPN cho các nhà doanh nghiệp. 20 a)Remote access VPN. 20 b)VPN Site to Site. 22 2.VPN cho các nhà cung cấp dịch vụ: 25 a)Overlay VPN. 25 b)Peer-to-peer VPN. 28 Phần 3: Giới thiệu về MPLS VPN: 33 A.Các thành phần trong MPLS-VPN: 35 1.Chuyển tiếp định tuyến ảo VRF (Virtual Routing Forwarding). 35 2.RD (Route Distinguishers). 36 3.RT (Route Targets.) 38 B.Kiến trúc và hoạt động của một MPLS VPN. 41 Phần 4. Mô phỏng bằng GNS3. 43 1.Các lệnh cấu hình. 44 a)Cấu hình router A1. 44 b)Cấu hình router PE01. 45 c)Cấu hình router P. 46 d)Cấu hình router PE02. 46 e)Cấu hình router A2. 48 B.Kết quả: 48
Trang 1BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG HV CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
TP.HỒ CHÍ MINH KHOA ĐIỆN TỬ VIỄN THÔNG
TIỂU LUẬN VỀ CHUYÊN ĐỀ
Multiprotocol Label Switching – Virtual Private Network
(MPLS-VPN)
Trang 2L i c m n: ời cảm ơn: ảm ơn: ơn:
Chân thành cảm ơn thầy Nguyễn Xuân Khánh đã tạo điều kiện và giúp đỡ cho chúng
em hoàn thành bài tiểu luận này và cũng rất mong sự góp ý và chỉ bảo những điều saisót trong đề tài này để nó hoàn thiện hơn
Vì đây là một bài tiểu luận nên chắc hẳn sẽ không chứa đựng tất cả những cấu trúc màmột mạng MPLS-VPN có và có khả năng làm được chúng tôi đã cố gắng tìm hiểu và
cơ bản nêu lên những cái chính về một mạng VPN chạy giao thức MPLS Do đó rấtmong nhận được sự góp ý từ các bạn, các bạn có thể liên lạc qua địa chỉ e-mail nàytrantrongquoc@gmail.com Chân thành cảm ơn
Trang 3Ph n đánh giá v đ tài: ần đánh giá về đề tài: ề đề tài: ề đề tài:
Trang 4C u trúc bài ti u lu n ấu trúc bài tiểu luận ểu luận ận
L i c m n: ời cảm ơn: ảm ơn: ơn: 2
Ph n đánh giá v đ tài: ần đánh giá về đề tài: ề đề tài: ề đề tài: 3
Ph n 1: Gi i thi u v chuy n m ch nhãn đa giao th c MPLS ần 1: Giới thiệu về chuyển mạch nhãn đa giao thức MPLS ới thiệu về chuyển mạch nhãn đa giao thức MPLS ệu về chuyển mạch nhãn đa giao thức MPLS ề chuyển mạch nhãn đa giao thức MPLS ểu luận ạch nhãn đa giao thức MPLS ức MPLS 6
A.Gi i thi u v MPLS ới thiệu về MPLS ệu về MPLS ề đề tài: 6
1.Khả năng mở rộng đơn giản 7
2.Một số ứng dụng của MPLS 7
B.C u trúc c a m t MPLS ấu trúc của một MPLS ủa một MPLS ột MPLS. 8
1.Cấu trúc nhãn MPLS 8
a)Mặt phẳng chuyển tiếp (Forwarding Plane) 10
b)Mặt phẳng điều khiển (Control Plane) 11
2.Lớp chuyển tiếp tương đương FEC(Forwarding Equivalence Classes) 11
3.Đường chuyển mạch nhãn LSP (Label Switched Path) 11
4.Giao thức phân phối nhãn LDP (Label Distribution Protocol) 12
5.Bộ định tuyến chuyển mạch nhãn LSR(Label Switched Router) 12
6.Topo mạng MPLS 13
Ph n 2: M ng riêng o VPN (Vitrual Private Networking) ần 1: Giới thiệu về chuyển mạch nhãn đa giao thức MPLS ạch nhãn đa giao thức MPLS ảo VPN (Vitrual Private Networking) 16
A.Gi i thi u c b n v m ng riêng o VPN ới thiệu về MPLS ệu về MPLS ơn: ảm ơn: ề đề tài: ạng riêng ảo VPN ảm ơn: 16
1.Các cơ chế an toàn của VPN 16
2.Sự Phát Triển Của VPNs 17
3.Sự Thuận Lợi Và Bất Lợi Của VPNs : 19
B.Gi i thi u các lo i hình VPN: ới thiệu về chuyển mạch nhãn đa giao thức MPLS ệu về chuyển mạch nhãn đa giao thức MPLS ạch nhãn đa giao thức MPLS 20
1.VPN cho các nhà doanh nghiệp 20
a)Remote access VPN 20
b)VPN Site to Site 22
2.VPN cho các nhà cung c p d ch v : ấu trúc của một MPLS ịch vụ: ụ: 25
a)Overlay VPN 25
b)Peer-to-peer VPN 28
Ph n 3: Gi i thi u v MPLS VPN: ần 1: Giới thiệu về chuyển mạch nhãn đa giao thức MPLS ới thiệu về chuyển mạch nhãn đa giao thức MPLS ệu về chuyển mạch nhãn đa giao thức MPLS ề chuyển mạch nhãn đa giao thức MPLS 33
A.Các thành ph n trong MPLS-VPN: ần 1: Giới thiệu về chuyển mạch nhãn đa giao thức MPLS 35
1.Chuyển tiếp định tuyến ảo VRF (Virtual Routing Forwarding) 35
Trang 52.RD (Route Distinguishers) 36
3.RT (Route Targets.) 38
B.Ki n trúc và ho t đ ng c a m t MPLS VPN ến trúc và hoạt động của một MPLS VPN ạch nhãn đa giao thức MPLS ộng của một MPLS VPN ủa một MPLS VPN ộng của một MPLS VPN .41
Ph n 4 Mô ph ng b ng GNS3 ần 1: Giới thiệu về chuyển mạch nhãn đa giao thức MPLS ỏng bằng GNS3 ằng GNS3 43
1.Các l nh c u hình ệu về chuyển mạch nhãn đa giao thức MPLS ấu trúc bài tiểu luận 44
a)Cấu hình router A1 44
b)Cấu hình router PE01 45
c)Cấu hình router P 46
d)Cấu hình router PE02 46
e)Cấu hình router A2 48
B.K t qu : ến trúc và hoạt động của một MPLS VPN ảo VPN (Vitrual Private Networking) 48
Trang 6Ph n 1: Gi i thi u v chuy n m ch nhãn đa giao th c MPLS ần 1: Giới thiệu về chuyển mạch nhãn đa giao thức MPLS ới thiệu về chuyển mạch nhãn đa giao thức MPLS ệu về chuyển mạch nhãn đa giao thức MPLS ề chuyển mạch nhãn đa giao thức MPLS ểu luận ạch nhãn đa giao thức MPLS ức MPLS
A.Gi i thi u v MPLS ới thiệu về MPLS ệu về MPLS ề đề tài:
MPLS là một công nghệ kết hợp đặc biệt tốt nhất giữa định tuyến lớp 3 vàchuyển mạch ở lớp 2 cho phép chuyển tải các gói rất nhanh trong mạng lõi core vàđịnh tuyến tốt ở mạng biên edge bằng cách dựa vào nhãn label MPLS là một phươngpháp cải tiến việc chuyển tiếp gói trên mạng bằng các nhãn được gắn với mỗi gói IP, tếbào ATM hoặc khung lớp 2 Phương pháp chuyển mạch nhãn giúp các router vàMPLS-Enable ATM switch ra quyết định theo nội dung nhãn tốt hơn việc định tuyếnphức tạp theo địa chỉ Ip đích MPLS kết nối tính thực thi và khả năng chuyển mạch vàkhả năng chuyển mạch lớp 2 với định tuyến lớp 3 Cho phép các ISP có tính mềm dẻotrong bất kì sự phối hợp với công nghệ lớp 2 nào nhờ vậy mà các ISP có thể giảm chiphí, tăng lợi nhuận, cung cấp nhiều hiệu quả khác nhau và đạt được hiệu quả cạnhtranh cao Ý tưởng khi đưa ra MPLS là: “ Định tuyến ở biên, chuyển mạch ở lõi”
Hình 1.1: Mô hình c b n m ng MPLS ơn: ảm ơn: ạng MPLS
Trang 71.Kh năng m r ng đ n gi n ảm ơn: ở rộng đơn giản ột MPLS ơn: ảm ơn:
Tăng chất lượng mạng, có thể triển khai các chức năng định tuyến mà các côngnghệ trước không thể thực hiện được như định tuyến hiện ( explicit routing),điều khiển lặp
Tích hợp giữa IP và ATM cho phép tận dụng toàn bộ các thiết bị hiện tại trênmạng Tách biệt đơn vị điều khiển với đơn vị chuyển mạch cho phép MPLS hỗtrợ đồng thời MPLS và B-ISDN Việc bổ sung các chức năng mới sau khi triểnkhai mạng MPLS chỉ cần thay đổi phần mềm điều khiển
2.M t s ng d ng c a MPLS ột MPLS ố ứng dụng của MPLS ứng dụng của MPLS ụ: ủa một MPLS.
Internet có ba nhóm ứng dụng chính: voice, data, video với các yêu cầu khác nhau:
Voice yêu cầu độ trễ thấp, cho phép thất thoát dữ liệu để tăng hiệu quả
Video cho phép thất thoát dữ liệu ở mức độ chấp nhận được, mang tính thờigian thực (realtime)
Data yêu cầu độ bảo mật và chính xác cao MPLS giúp khai thác tài nguyênmạng đạt hiệu quả cao
Một số ứng dụng được triển khai là:
MPLS VPN: nhà cung cấp dịch vụ sử dụng cơ sở hạ tầng mạng công cộng có
sẵn để thực thi các kết nối giữa các site khách hàng
MPLS Traggic Engineer: cung cấp khả năng thiết lập một hoặc nhiều đường đi
để điều khiển lưu lượng mạng và các đặc trưng thực thi cho một loại lưulượng
MPLS Quality of Service: dùng Qos các nhà cung cấp dịch vụ có thể cung cấp
nhiều loại dịch vụ với sự đảm bảo tối đa về Qos cho khách hàng
Trang 8B.C u trúc c a m t MPLS ấu trúc của một MPLS ủa một MPLS ột MPLS.
1.C u trúc nhãn MPLS ấu trúc của một MPLS.
Nhãn là một thực thể có độ dài ngắn, cố định và không có cấu trúc bên trong.Nhãn không trực tiếp mã hóa thông tin của mào đầu lớp mạng như địa chỉ lớp mạng.nhãn được gán vào một gói tin cụ thể sẽ đại diện cho một FEC mà gói tin đó được ấnđịnh Dạng của nhãn phụ thuộc vào phương tiện truyền tin được đóng gói Ví dụ cácgói ATM (tế bào) sử dụng giá trị VPI/VCI như nhãn, Frame relay sử dụng DLCI làmnhãn Đối với các phương tiện gốc không có cấu trúc nhãn, một đoạn đệm được chènthêm để sử dụng cho nhãn Khuôn dạng đoạn đệm 4 byte có cấu trúc như sau:
Hình 1.2: C u trúc mào đ u MPLS ấu trúc mào đầu MPLS ần đánh giá về đề tài:
MPLS định nghĩa một tiêu đề có độ dài 32 bit và được tạo nên tại LSR vào Nó phảiđược đặt ngay sau tiêu đề lớp 2 bất kì và trước một tiêu đề lớp 3, ở đây là IP và được
sử dụng bởi LSR lối vào để xác định một FEC, lớp này sẽ được xét lại trong vấn đề tạonhãn Sau đó các nhãn được xử lí bởi LSR chuyển tiếp
Trang 9Hình 1.3: Nhãn MPLS
Khuôn dạng và tiêu đề MPLS được chia ra trong hình trên Nó bao gồm các trườngsau:
Nhãn : giá trị 20 bit, giá trị này chứa nhãn MPLS
EXP ( 3 bit): dành cho thực nghiệm, có thể dung các bit EXP tương tựnhư các bit ưu tiên
S: bit ngăn xếp, sử dụng để sắp xếp đa nhãn
TLL: thời gian sống 8 bit, đạt ra một giới hạn mà các gói MPLS có thể điqua
Đối với các khung PPP hay Ethernet giá trị nhận dạng giao thức P-ID ( hoặc Ethertype)được chén thêm vào mào đầu khung tương ứng để thông báo khung là MPLS Unicasthay Multicast
Trang 10Một nút của MPLS có hai mặt phẳng: mặt phẳng chuyển tiếp MPLS và mặt phẳng điềukhiển MPLS Nút MPLS có thể thực hiện định tuyến lớp 3 hoặc chuyển lớp 2.
Hình 1.4: C u trúc m t nút MPLS ấu trúc mào đầu MPLS ột nút MPLS.
a)M t ph ng chuy n ti p (Forwarding Plane) ặt phẳng chuyển tiếp (Forwarding Plane) ẳng chuyển tiếp (Forwarding Plane) ển tiếp (Forwarding Plane) ếp (Forwarding Plane).
Mặt phẳng chuyển tiếp sử dụng một cơ sở thông tin chuyển tiếp nhãn
(LFIB-Label Forwarding Information Base) để chuyển tiếp các gói Mỗi nút MPLS có 2 bảng
liên quan đến việc chuyển tiếp là: cơ sở thông tin nhãn (LIB-Label Information Base)
và LFIB LIB chứa tất cả các nhãn được nút MPLS cục bộ đánh dấu và ánh xạ của cácnhãn này đến các nhãn được nhận từ MPLS láng giềng của nó LFIB sử dụng một tậpcon các nhã chứa trong LIB để thực hiện chuyển tiếp gói
Trang 11b)M t ph ng đi u khi n (Control Plane) ặt phẳng chuyển tiếp (Forwarding Plane) ẳng chuyển tiếp (Forwarding Plane) ề đề tài: ển tiếp (Forwarding Plane).
Mặt phẳng điều khiển MPLS chịu trách nhiệm tạo ra và lưu trữ LFIB Tất cả cácnút MPLS phải chạy một giao thức định tuyến IP để trao đổi thông tin định tuyến đếncác nút MPLS khác trong mạng Các nút MPLS enble ATM sẽ dùng một bộ điều khiển
nhãn (LSC- Label Switch Controller) như router 7200, 7500 hoặc dùng một mô đun xử
lý tuyến (RMP- Route Processor Module) để tham gia xử lý định tuyến IP
Các nhãn được trao đổi giữa các nút MPLS kế cận để xây dựng nên LFIB MPLS dùngmột mẫu chuyển tiếp dựa trên sự hoán đổi nhãn để kết nối với các mô đun điều khiểnkhác nhau Mỗi mô đun điều khiển chịu trách nhiệm đánh dấu và phân phối một tậpcác nhãn cũng như lưu trữ các thông tin điều khiển có liên quan khác Các giao tiếp
cổng nội (IGP-Inter Gateway Protocols) được dùng để xác nhận các khả năng đến được, sự liên kết ánh xạ giữa các FEC và địa chỉ trạm kế (Next Hop Address)
2.Lới thiệu về MPLS.p chuyển ti p t ếp tương đương ươn: ng đ ươn: ng FEC(Forwarding Equivalence Classes).
Là một nhóm các gói IP có cùng một đường đi trên mạng MPLS và xử lý giốngnhau tại bất kỳ LSR nào Trong định tuyến truyền thống một gói được gán tới một FECtại mỗi hop Còn trong MPLS chỉ gán một lần tại LSR ngõ vào Trong MPLS các góitin đến với các prefix khác nhau có thể gộp chung một FEC, bởi vì quá trình chuyểntiếp gói trong miền MPLS chỉ căn cứ vào LSR ngõ vào để gán tới FEC cho việc xácđịnh LSP, còn các LSR còn lại dựa vào nhãn để chuyển gói Với định tuyến IP, góiđược chuyển dựa vào IP nên tại mỗi hop gói đều được gán tới một FEC để xác địnhđường dẫn
Trang 123.Đười cảm ơn:ng chuyển m ch nhãn LSP (Label Switched Path) ạng riêng ảo VPN.
Là một kết nối được cấu hình giữa hai LSR, tuyến tạo ra từ đầu vào đến đầu racủa mạng MPLS dùng để chuyển tiếp gói của một FEC nào đó sử dụng cơ chế chuyển
đổi nhãn (Label-Swapping Forwarding) Cơ sở dữ liệu nhãn LIB Là bảng kết nối trong
LSR có chứa các giá trị nhãn/FEC được gán vào cổng ra cũng nhờ thông tin về đónggói phương tiện truyền
4.Giao th c phân ph i nhãn LDP (Label Distribution Protocol) ứng dụng của MPLS ố ứng dụng của MPLS.
Giao thức phân phối nhãn LDP là giao thức để trao đổi thông tin nhãn giữa cácLSR Cung cấp kỹ thuật giúp cho các LSR có kết nối trực tiếp nhận ra nhau và thiết lậpliên kết cơ chế khám phá (discovery mechanism)
Có 4 loại bản tin:
Bản tin Discovery: thông báo và duy trì sự có mặt của một LSR trong mạng
Bản tin Adjency: có nhiệm vụ khởi tạo, duy trì và kết thúc những phiên kếtnối giữa các LSR
Bản tin Label advertisement: thực hiện việc thông báo, đưa ra yêu cầu, hủybỏ và giải phóng thông tin nhãn
Bản tin Notification: được sử dụng để thông báo lỗi
Thiết lập kết nối TCP để trao đổi các bản tin (ngoại trừ bản tin Discovery).Các bản tin là tập hợp những thành phần có cấu trúc < type, length, value>
5.B đ nh tuy n chuy n m ch nhãn LSR(Label Switched Router) ột MPLS ịch vụ: ếp tương đương ể ạng riêng ảo VPN.
Giao thức này hoạt động trên kết nối UDP và có thể được xem là giai đoạn nhậnbiết nhau của hai LSR trước khi chúng thiết lập kết nối TCP Một LSR sẽ quảng bá bảntin hello tới tất cả LSR kết nối trực tiếp với nó trên một cổng UDP mặc định theo mộtchu kỳ nhất định Tất cả các LSR đều lắng nghe bản tin hello này trên cổng UDP Nhờ
Trang 13đó LSR biết được địa chỉ của tất cả các LSR kết nối trực tiếp với nó Sau khi biết đượcđịa chỉ của một LSR nào đó, một kết nối TCP sẽ được thiết lập giữa hai LSR này.Ngay cả khi không kết nối trực tiếp với nhau thì LSR vẫn có thể gửi định kỳ bản tinhello đến cổng UDP mặc định của một địa chỉ IP xác định Và LSR nhận cũng có thểgửi lại bản tin hello cho LSR gửi để thiết lập kết nối TCP.
Hình 1.5: Quá trình khám phá láng gi ng b ng LDP ề đề tài: ằng LDP.
6.Topo m ng MPLS ạng riêng ảo VPN.
Miền MPLS là một “tập kế tiếp các nút hoạt động định tuyến và chuyển tiếp
MPLS” Miền MPLS có thể chia thành Lõi MPLS (MPLS Core) và Biên MPLS
(MPLS Edge)
Trang 14Hình 1.6: Topo m ng MPLS ạng MPLS
Khi một gói tin IP đi qua miền MPLS, nó đi theo một tuyến được xác định phụ thuộcvào FEC mà nó được ấn định khi đi vào miền Tuyến này gọi là Đường chuyển mạchnhãn LSP LSP chỉ một chiều, tức là cần hai LSP cho một truyền thông song công Cácnút có khả năng chạy giao thức MPLS và chuyển tiếp các gói tin gốc IP được gọi là bộđịnh tuyến chuyển mạch nhãn LSR
LSR lối vào (Ingress LSR) xử lý lưu lượng đi vào miền MPLS
LSR chuyển tiếp (Transit LSR) xử lý lưu lượng bên trong miền MPLS
LSR lối ra (Egress LSR) xử lý lưu lượng rời khỏi miền MPLS
LSR biên (Edge LSR) thường được sử dụng nhờ là tên chung cho cả LSR lốivào và LSR lối ra
Các thiết bị tham gia trong một mạng MPLS có thể được phân loại thành các bộ địnhtuyến biên nhãn LER và các bộ định tuyến chuyển mạch nhãn LSR
Thiết bị LSR: Thành phần quan trọng nhất của mạng MPLS là thiết bị định tuyến
chuyển mạch nhãn LSR Thiết bị này thực hiện chức năng chuyển tiếp gói tin trongphạm vi mạng MPLS bằng thủ tục phân phối nhãn
Thiết bị LER: Là một thiết bị hoạt động tại biên của mạng truy nhập và mạng MPLS.
Các LER hỗ trợ các cổng được kết nối tới các mạng không giống nhau (nhờ FrameRelay, ATM, và Ethernet ) và chuyển tiếp lưu lượng này vào mạng MPLS sau khi thiếtlập LSP, bằng việc sử dụng các giao thức báo hiệu nhãn tại lối vào và phân bổ lưulượng trở lại mạng truy nhập tại lối ra LER đóng vai trò quan trọng trong việc chỉ định
và huỷ nhãn, khi lưu lượng vào trong hay ra khỏi mạng MPLS LER là nơi xảy ra việcgán nhãn cho các gói tin trước khi vào mạng MPLS Các thiết bị biên khác với cácthiết bị lõi ở chỗ là: ngoài việc phải chuyển tiếp lưu lượng nó còn phải thực hiện việcgiao tiếp với các mạng khác
Trang 15Các kiểu phân phối nhãn
Trong một miền MPLS, một nhãn gán tới một địa chỉ đích được phân phối tới các lánggiềng ngược dòng sau khi thiết lập session Việc kết nối giữa mạng cụ thể với nhãn cục
bộ và một nhãn trạm kế (nhận từ router xuôi dòng) được lưu trữ trong LFIB và LIB.MPLS dùng các phương thức phân phối nhãn như sau:
Hình 1.7: Quá trình trao đ i thông tin nhãn trong LDP ổi thông tin nhãn trong LDP
Trang 16Ph n 2: M ng riêng o VPN (Vitrual Private ần 1: Giới thiệu về chuyển mạch nhãn đa giao thức MPLS ạch nhãn đa giao thức MPLS ảo VPN (Vitrual Private Networking)
Networking)
A.Gi i thi u c b n v m ng riêng o VPN ới thiệu về MPLS ệu về MPLS ơn: ảm ơn: ề đề tài: ạng riêng ảo VPN ảm ơn:
VPN cho phép bạn mở rộng phạm vi mạng nội bộ bằng cách sử dụng lợi thế củainternet Kỉ thuật VPN cho phép bạn kết nối với một host nằm xa hàng ngàn dặm vớimạng LAN của bạn và làm cho nó trở thành một node hay một PC nữa trong mạngLAN Một đặc điểm nữa của VPN là sự kết nối giữa clients và mạng ảo của bạn khá antoàn như chính bạn đang ngồi trong cùng một mạng LAN
Mục đích mong muốn của công nghệ VPN là việc sử dụng Internet và tính phổcập của nó Tuy nhiên, do Internet là nguồn thông tin công cộng nên có thể được truycập từ bất kỳ ai, bất kỳ lúc nào, bất kỳ nơi đâu, việc trao đổi thông tin có thể bị nghetrộm dễ dàng, sự truy cập bất hợp pháp và phá hoại dữ liệu khi trao đổi dữ liệu.Mục đích chính của VPN là cung cấp bảo mật, tính hiệu quả và độ tin cậy trong mạngtrong khi vẫn đảm bảo cân bằng giá thành cho toàn bộ quá trình xây dựng mạng.VPN được hiểu là phần mở rộng của một mạng Intranet được kết nối thông qua mạngcông cộng nhằm bảo đảm an toàn và tăng hiệu quả giá thành kết nối giữa hai đầu nối
Cơ chế và độ giới hạng bảo mật tinh vi cũng được sử dụng để bảo đảm tính an toàn choviệc trao đổi những dữ liệu dễ bị đánh cập thông qua một môi trường không an toàn
1.Các c ch an toàn c a VPN ơn: ếp tương đương ủa một MPLS.
chuẩn nhất định và dữ liệu chỉ có thể được đọc bởi người dùng mong muốn Ðể đọcđược dữ liệu người nhận buộc phải có chính xác một khóa giải mã dữ liệu Theophương pháp truyền thống, người nhận và gửi dữ liệu sẽ có cùng một khoá để có thểgiải mã và mã hoá dữ liệu Lược đồ public-key sử dụng 2 khóa, một khóa được xemnhư một public-key (khóa công cộng) mà bất cứ ai cũng có thể dùng để mã hoá và giải
mã dữ liệu
Trang 17Authentication : Là một quá trình xữ lý bảo đảm chắc chắn dữ liệu sẽ đượcchuyễn đến người nhận đồng thời cũng bảo đảm thông tin nhận được nguyên vẹn Ởhình thức cơ bản, Authentication đòi hỏi ít nhất phải nhập vào Username và Password
để có thể truy cập vào tài nguyên Trong một số tình huống phức tạp, sẽ có thêmsecret-key hoặc public-key để mã hoá dữ liệu
nguyên trên mạng sau khi đã thực hiện Authentication
2.S Phát Tri n C a VPNs ự Phát Triển Của VPNs ể ủa một MPLS.
VPNs không phải là một công nghệ hoàn toàn mới, khái niệm về VPNs đã có từ
15 năm trước và trải qua nhiều quá trình phát triển, thay đổi cho đến nay đã tạo ra mộtdạng mới nhất VPNs đầu tiên đã được phát sinh bởi AT&T từ cuối những năm 80 vàđược biết như Software Defined Networks (SDNs) Thế hệ thứ hai của VPNs ra đời từ
sự xuất hiện của công nghệ X.25 và mạng dịch vụ tích hợp kỹ thuật số (IntegratedServices Digital Network : ISDN) từ đầu những năm 90 Hai công nghệ này cho phéptruyền những dòng gói (package streams) dữ liệu qua các mạng chia sẽ chung.Sau khi thế hệ thứ hai của VPNs ra đời, thị trường VPNs tạm thời lắng động và chậmtiến triển, cho tới khi có sự nổi lên của hai công nghệ cell-based Frame Relay (FR)Asynchronous Tranfer Mode (ATM) Thế hệ thứ ba của VPNs đã phát triển dựa theo 2công nghệ này Hai công nghệ này phát triển dựa trên khái niệm về Virtual CircuitSwitching, theo đó, các gói dữ liệu sẽ không chứa địa chỉ nguồn và đích Thay vào đó,chúng sẽ mang những con trỏ, trỏ đến các virtual curcuit nơi mà dữ liệu nguồn và đích
sẽ được giải quyết
Chú ý : Công nghệ Virtual Circuit switching có tốc độ truyền dữ liệu cao (160Mbs hoặc cao hơn) hơn so với thế hệ trước-SDN, X.25, ISDN Tuy nhiên việc đóng
Trang 18gói IP lưu thông bên trong gói Frame Relay và ATM cells thì chậm Ngoài ra, mạngFR-based và ATM-based cũng không cung cấp phương pháp xác nhận packet-levelend-to-end và mã hóa cho những ứng dụng high-end chẳng hạn như multimedia.Tunneling là một kỹ thuật đóng gói các gói dữ liệu trong tunneling protocol, như IPSecurity (IPSec), Point-to-Point Tunneling Protocol (PPTP), hoặc Layer 2 TunnelingProtocol (L2TP) và cuối cùng là đóng gói những gói đã được tunnel bên trong một gói
IP Tổng hợp các gói dữ liệu sau đó route đến mạng đích bằng cách sử dụng lớp phủthông tin IP Bởi vì gói dữ liệu nguyên bản có thể là bất cứ dạng nào nên tunneling cóthể hổ trợ đa giao thức gồm IP, ISDN, FR và ATM
VPNs Tunneling Protocol :
Có 3 dạng giao thức tunneling nổi bật được sử dụng trong VPNs :
IP Security (IPSec) : Ðược phát triển bởi IETF, IPSec là một chuẩn mở đảm bảo chắcchắn quá trình trao đổi dữ liệu được an toàn và phương thức xác nhận người dùng quamạng công cộng Không giống với những kỹ thuật mã hoá khác, IPSec thực hiện ởtầng thứ 7 trong mô hình OSI (Open System Interconnect), Vì thế, chúng có thể chạyđộc lập so với các ứng dụng chạy trên mạng Và vì thế mạng của bạn sẽ được bảo mậthơn mà không cần dùng bất kỳ chương trình bảo mật nào
Point-to-Point Tunneling Protocol (PPTP) : Phát triển bởi Microsoft, 3COM, vàAscend Communications, PPTP là một sự chọn lựa để thay thế cho IPSec Tuy nhiênIPSec vẫn còn được sử dụng nhiều trong một số Tunneling Protocol PPTP thực hiện ởtầng thứ 2 (Data Link Layer)
Layer 2 Tunneling Protocol (L2TP) : Ðược phát triển bởi Cisco System, L2TP được dựđịnh sẽ thay thế cho IPSec Tuy nhiên IPSec vẫn chiếm ưu thế hơn so về bảo mật trênInternet L2TP là sự kết hợp giữa Layer 2 Forwarding (L2F) và PPTP và được dùng đểđóng gói các frame sữ dụng giao thức Point-to-point để gởi qua các loại mạng nhưX.25, FR, ATM
Trang 19Ghi chú : L2F là một protocol được đăng ký độc quyền bởi Cisco System để đảm bảoviệc vận chuyễn dữ liệu trên mạng Internet được an toàn.
3.S Thu n L i Và B t L i C a VPNs : ự Phát Triển Của VPNs ận Lợi Và Bất Lợi Của VPNs : ợi Và Bất Lợi Của VPNs : ấu trúc của một MPLS ợi Và Bất Lợi Của VPNs : ủa một MPLS.
Thuận lợi :
Giãm thiểu chi phí triển khai : Chi phí cho VPNs ít hơn đáng kể so với cách giải quyếttruyền thống
Giãm chi phí quản lý
Cải thiện kết nối
An toàn trong giao dịch
Hiệu quả về băng thông
Enhanced scalability
Bất lợi :
§ Phụ thuộc trong môi trường Internet
§ Thiếu sự hổ trợ cho một số giao thức kế thừa
Những Ðiều Cần Quan Tâm Trong VPNs :
§ Quản lý băng thông
§ Lựa chọn một nhà cung cấp dịch vụ (ISP)
§ Bảo vệ mạng từ những dữ liệu gởi đi tự nhiên bên ngoài
Trang 20B.Gi i thi u các lo i hình VPN: ới thiệu về chuyển mạch nhãn đa giao thức MPLS ệu về chuyển mạch nhãn đa giao thức MPLS ạch nhãn đa giao thức MPLS
1.VPN cho các nhà doanh nghi p ệu về MPLS.
a)Remote access VPN.
VPN truy nhập từ xa cung cấp khả năng truy nhập từ xa cho người sự dụng.VPN cung cấp cho các cá nhân, nhân viên di động hay chi nhánh văn phòng ở xa cóthể sự dụng truy nhập vào mạng nội bộ của công ty bằng hệ thống vô tuyến hay hữutuyến có kết nối mạng internet VPN truy nhập từ xa mở rộng mạng công ty thông qua
cơ sở hạ tầng chia sẻ chung, mà không làm thay đổi chính sách mạng cùa công ty Cóthể dùng để cung cấp truy nhập an toàn cho những nhân viên thường xuyên phải đi lại,những chi nhánh hay các bạn hàng của công ty Loại VPN này được sự dụng thông qua
cơ sở hạ tầng công cộng bằng cộng nghệ ISDN, quay số, IP di động, DSL hay côngnghệ cáp và thường yêu cầu một số phần mềm client chạy trên máy tính của người sựdụng
Do nhu cầu mạng không dây phát triển nên VPN không dây (wireless) càngđược phát huy tính năng, các cá thể nhân viên có thể truy nhập vào mạng nội bộ của họthông qua kết nối không dây vào một trạm không dây (wireless terminal) có kết nối vềmạng nội bộ này Trong kết nối có dây hay không dây trong VPN truy nhập từ xa,phần mềm client chạy trên máy PC cho phép khởi tạo các kết nối bảo mật gọi làđường hầm Việc thiết kế quá trình xác lập ban đầu để đạm bảo yêu cầu phải được xuấtphát từ một nguồn tin cậy Thường thì giai đoạn ban đầu này dựa trên cùng một chínhsách về bảo mật của công ty
Trang 21Hình 2.1: Mô hình Remote Access VPN.
Những ưu điểm của VPN truy nhập từ xa so với các phương pháp truyền thống là:
VPN truy nhập từ xa không cần sự hỗ trợ của nhân viên mạng bởi vì quá trìnhkết nối từ xa được các ISP thực hiện
Giảm được các chi phí cho kết nối từ khoảng cách xa bởi vì các kết nối khoảngcác xa được thay thế bởi các kết nối cục bộ thông qua internet
Cung cấp dịch vụ kết nối giá rẻ cho những người sự dụng ở xa
Do kết nối truy nhập là kết nối nội bộ nên các modem kết nối hoạt động ở tốc độcao hơn so với cách truy nhập khoảng cách xa
VPN cung cấp khả năng truy nhập tốt hơn đến các site của công ty bởi vì chúng
Trang 22 Nguy cơ bị mất dữ liệu cao do các gói có thể phân phát không đến nơi hoặc bịmất.
Do thuật toán mã hòa phức tạp nên tiêu đề giao thức tang một cách đáng kể
b)VPN Site to Site.
Là giải pháp kết nối các hệ thống mạng ở những nơi khác nhau với mạng trungtâm thông qua VPN Trong trường hợp này, quá trình xác thực ban đầu cho người sựdụng sẽ là quá trình xác thực giữa các thiết bị Các thiết bị này hoạt động như cổng anninh (Security Gateway), truyền lưu lượng an toàn từ Site này tới Site kia Các thiết bịđịnh tuyến hay tường lửa hỗ trợ VPN đều có khả năng thực hiện kết nối này Hiện naynhiều thiết bị VPN có khả năng hoạt động theo hai cách remote access VPN và Site toSite VPN Site to site VPN được phân loại theo quản lý chính sách là VPN cục bộ hay
mở rộng Nếu hạ tầng mạng có chung một nguồn quản lý thì được xem như là VPNcục bộ Ngược lại được coi là VPN mở rộng
VPN cục bộ : Là một dạng cấu hình tiêu biểu cùa Site to Site VPN, được sử dụng để
bảo mật các kết nối giữa các địa điểm khác nhau của một công ty Nó liên kết trụ sởchính, các văn phòng, chi nhánh trên một cơ sở hạ tầng chung, các kết nối sử dụngluôn được mã hóa bảo mật Do đó cho phép tất cả các địa điểm có thể truy nhập antoàn các nguồn dữ liệu được phép trong toàn nội bộ mạng của công ty
Trang 23Hình 2.2: Mô hình VPN c c b ục bộ ột nút MPLS.
Những ưu điểm của phương pháp VPN cục bộ:
Các mạng cục bộ hay diện rộng có thể được thiết lập thông qua một hay nhiềunhà cung cấp dịch vụ
Yêu cầu ít số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi xa
Có thể dễ dàng thiết lập them một liên kết ngang hàng mới, do kết nối trunggian được thực hiện thông qua mạng internet
Tiết kiểm chi phí từ việc sử dụng đường hầm VPN thông qua internet kết hợpvới công nghệ chuyển mạch tốt độ cao
Nhược điểm của giải pháp mạng cục bộ dựa trên VPN:
Do dữ liệu được truyền “ngầm” qua mạng internet nên vẫn còn những môi đedọa về mức độ bảo mật dữ liệu và chất lượng dịch vụ (QoS)
Khả năng mất các gói dữ liệu khi truyền dẫn vẫn còn cao
Chưa đảm bảo trong việc truyền khối lượng lớn dữ liệu như đa phương tiện vớiyêu cầu tốc độ cao và đảm bảo thời gian thực trong môi trường Internet
Trang 24VPN mở rộng: VPN mở rộng cung cấp đường hầm bảo mật giữa các khách hàng, nhà
cung cấp và đối tác thông qua một cơ sở hạ tầng công cộng Giải pháp VPN này sửdụng các kết nối luôn được bảo mật và không bị co lập với mạng bên ngoài như cáctrường hợp VPN cục bộ hay Remote access VPN VPN mở rộng cung cấp khả năngđiều khiển truy nhập tới những nguồn tài nguyên mạng cần thiết để mở rộng tới nhữngđối tượng kinh doanh
Hình 2.3: Mô hình VPN m r ng ở rộng ột nút MPLS.
Những ưu điểm của VPN mở rộng:
Chi phí cho VPN mở rộng thấp hơn nhiều so với các giải pháp kết nối khác đểđạt được mục đích như vậy
Dễ dàng thiết lập, bảo trì và thay đổi đối với mạng đang hoạt động
Có nhiều cơ hội trong việc cung cấp dịch vụ và chọn lựa giải pháp phù hợp vớinhu cầu của từng công ty do VPN mở rộng được xây dựng dựa trên mạngInternet
Giảm chi phí vận hành, bảo trì và số lượng nhân viên kỹ thuật hỗ trợ mạng docác kết nối Internet được nhà cung cấp dịch vụ internet đạm nhiệm
Trang 25Nhược điểm của giải pháp VPN mở rộng:
Vấn đề bảo mật gặp khó khăn hơn trong môi trường mở rộng, từ đó làm tangnguy cơ rủi ro đối với mạng nội bộ của công ty
Khả năng mất dữ liệu khi truyền qua mạng công cộng vẫn còn
Chưa giải quyết được vấn khó khan khi truyền lượng lớn dữ liệu với yêu cầutốc độ cao va thời gian thực
2.VPN cho các nhà cung c p d ch v : ấu trúc của một MPLS ịch vụ: ụ:
a)Overlay VPN.
Là VPN được cấu hình trên các thiết bị của khách hàng sử dụng các giao thứcđường hầm xuyên qua mạng công cộng Nhà cung cấp dịch vụ sẽ bán các mạch ảo giữacác site của khách hàng như là đường kết nối leased line Mô hình overlay VPN ra đời
từ rất sớm và được triển khai dưới nhiều công nghệ khác nhau Ban đầu Overlay VPNđược thực thi bởi SP để cung cấp các kết nối lớp1 (physicallayer) như Ghép kênh phânchia theo thời gian (TDM), E1, E3,SONET, và đường kết nối SDH, hay mạch chuyểnvận lớp 2 (dữ liệu dạngframe hoặc cell) giữa các site khách hàng bằng cách sử dụngcác thiết bị Frame Relay hay ATM switch làm PE (ví dụ lớp 2 là kênh ảo được tạo bởiX.25, ATM hoặc Frame Relay) Do đó nhà cung cấp dịch vụ không thể nhận biết đượcviệc định tuyến ở phía khách hàng
Cho đến những năm 1990, Frame Relay được giới thiệu Frame Relay được xemnhư là một công nghệ VPN vì nó đáp ứng kết nối cho khách hàng như dịch vụ leasedline, chỉ khác ở chỗ là khách hàng không được cung cấp các đường dành riêng cho mỗikhách hàng, mà khách hàng sử dụng một đường chung nhưng được chỉ định các mạch
ảo Các mạch ảo này sẽ đảm bảo lưu lượng cho mỗi khách hàng là riêng biệt Mạch ảođược gọi là PVC (Permanent Virtual Circuit) hay SVC (Switched Virtual Circuit).Cung cấp mạch ảo cho khách hàng nghĩa là nhà cung cấp dịch vụ đã xây dựng một
Trang 26đường hầm riêng cho lưu lượng khách hàng chảy qua mạng dùng chung của nhà cungcấp dịch vụ.
Hình 2.4: Mô hình Overlay (Frame Relay)
Sau này công nghệ ATM ra đời, về cơ bản ATM cũng hoạt động giống nhưFrame Relay nhưng đáp ứng tốc độ truyền dẫn cao hơn Khách hàng thiết lập việc liênlạc giữa các thiết bị đầu phía khách hàng CPE với nhau qua kênh ảo Giao thức địnhtuyến chạy trực tiếp giữa các router khách hàng thiết lập mối quan hệ cận kề và traođổi thông tin định tuyến với nhau Nhà cung cấp dịch vụ không hề biết đến thông tinđịnh tuyến của khách hàng Nhiệm vụ của nhà cung cấp dịch vụ trong mô hình này chỉ
là đảm bảo vận chuyển dữ liệu điểm-điểm giữa các site của khách hàng mà thôi
Overlay VPN còn được triển khai dưới dạng đường hầm (tunneling) Việc triểnkhai thành công các công nghệ gắn với IP nên một vài nhà cung cấp dịch vụ bắt đầutriển khai VPN qua IP Nếu khách hàng nào muốn xây dựng mạng riêng của họ quaInternet thì có thể dùng giải pháp này vì chi phí thấp Bên cạnh lý do kinh tế, mô hìnhtunneling còn đáp ứng cho khách hàng việc bảo mật dữ liệu Hai công nghệ VPNđường hầm phổ biến là IPSec (IP security) và GRE (Generic Route Encapsulation)
Customer Site Customer Site
Customer Site Customer Site
Frame Relay Edge Switch
Frame Relay Edge Switch
Frame Relay Edge Switch Thiết bị PE (Frame Relay Switch)
Trang 27Hình 2.5: Đ ười cảm ơn: ng h m GRE trên m ng overlay ần đánh giá về đề tài: ạng MPLS
Các cam kết về QoS trong mô hình overlay VPN thường là cam kết về băng
thông trên một VC, giá trị này được gọi là CIR (Committed Information Rate) Băng
thông có thể sử dụng được tối đa trên một kênh ảo đó, giá trị này được gọi là PIR(Peak Information Rate) Việc cam kết này được thực hiện thông qua các thống kê tựnhiên của dịch vụ lớp 2 nhưng lại phụ thuộc vào chiến lược của nhà cung cấp Điềunày có nghĩa là tốc độ cam kết không thật sự được bảo đảm mặc dù nhà cung cấp có
thể đảm bảo tốc độ nhỏ nhất (MIR - Minimum Information Rate) Cam kết về băng
thông cũng chỉ là cam kết về hai điểm trong mạng khách hàng Nếu không có ma trậnlưu lượng đầy đủ cho tất cả các lớp lưu lượng thì thật khó có thể thực hiện cam kết nàycho khách hàng trong mô hình overlay Và thật khó để cung cấp nhiều lớp dịch vụ vìnhà cung cấp dịch vụ không thể phân biệt được lưu lượng ở giữa mạng Để làm đượcviệc này bằng cách tạo ra nhiều kết nối (kết nối full-mesh), như trong mạng FrameRelay hay ATM là có các PVC giữa các site khách hàng Tuy nhiên, kết nối full-meshthì chỉ làm tăng thêm chi phí của mạng
