đại học quốc gia hà nội đại học công nghệ Tr-ơng Hoài Nam Nghiên cứu công nghệ mạng riêng ảo vpn/mpls và triển khai ứng dụng tại ngân hàng nhà n-ớc việt nam Ngành : Công nghệ Điện tử
Trang 1đại học quốc gia hà nội
đại học công nghệ
Tr-ơng Hoài Nam
Nghiên cứu công nghệ mạng riêng ảo vpn/mpls và
triển khai ứng dụng tại ngân hàng nhà n-ớc việt nam
luận văn thạc sỹ
Hà Nội - 2006
Trang 2đại học quốc gia hà nội
đại học công nghệ
Tr-ơng Hoài Nam
Nghiên cứu công nghệ mạng riêng ảo vpn/mpls và
triển khai ứng dụng tại ngân hàng nhà n-ớc việt nam
Ngành : Công nghệ Điện tử – Viễn thông
Chuyên Ngành : Kỹ thuật vô tuyến điện tử và thông tin liên lạc
luận văn thạc sỹ
Ng-ời h-ớng dẫn khoa học: psg Ts Nguyễn viết kính
Hà Nội - 2006
Trang 3MỤC LỤC
MỤC LỤC 3
Danh mục các ký hiệu, các chữ viết tắt 5
Danh mục các hình vẽ 8
MỞ ĐẦU 10
1.1 Giới thiệu về VPN Error! Bookmark not defined
1.2 Các loại mạng VPN Error! Bookmark not defined
1.2.1 VPN truy cập từ xa (Remote access VPN) Error! Bookmark not defined
1.2.2 Intranet VPN Error! Bookmark not defined
1.2.3 Extranet VPN Error! Bookmark not defined
1.3 Các thành phần trong mạng VPN Error! Bookmark not defined
1.4 Các giao thức tạo đường hầm trong VPN Error! Bookmark not defined
1.4.1 Giao thức PPTP (Point-To-Point Tunning Protocol) Error! Bookmark not
defined
1.4.2 Giao thức L2TP (Layer 2 Tunneling Protocol) Error! Bookmark not
defined
1.4.3 Giao thức IPSec (IP Security Protocol) Error! Bookmark not defined
1.4.4 SSL VPN (Secure Socket Layer VPN) Error! Bookmark not defined
2.1 Các dịch vụ bảo mật Error! Bookmark not defined
2.1.1 Xác thực Error! Bookmark not defined
2.1.2 Chữ ký điện tử Error! Bookmark not defined
2.1.3 Kiểm soát truy cập Error! Bookmark not defined
2.1.4 Tính bí mật dữ liệu Error! Bookmark not defined
2.1.5 Tính toàn vẹn dữ liệu Error! Bookmark not defined
2.2 Bảo mật trong giao thức PPTP Error! Bookmark not defined
2.3 Bảo mật trong giao thức L2TP Error! Bookmark not defined
2.4 Bảo mật trong giao thức IPSec Error! Bookmark not defined
2.4.1 Bảo mật trong AH Error! Bookmark not defined
2.4.1.1 Thuật toán băm MD5 Error! Bookmark not defined
2.4.1.2 Thuật toán SHA1 Error! Bookmark not defined
2.4.1.3 Thuật toán HMAC Error! Bookmark not defined
2.4.2 Bảo mật trong ESP Error! Bookmark not defined
Trang 42.4.3 Quản lý và trao đổi khoá Error! Bookmark not defined
3.1 Giới thiệu về công nghệ MPLS Error! Bookmark not defined
3.2 Chuẩn hoá MPLS Error! Bookmark not defined
3.3 Các thành phần, khái niệm trong MPLS Error! Bookmark not defined
3.4 Các chế độ hoạt động của MPLS Error! Bookmark not defined
3.4.1 Chế độ hoạt động khung Error! Bookmark not defined
3.4.2 Chế độ hoạt động tế bào Error! Bookmark not defined
3.5 Các giao thức sử dụng trong mạng MPLS Error! Bookmark not defined
3.5.1 Giao thức phân phối nhãn LDP Error! Bookmark not defined
3.5.1.1 Các tính chất cơ bản của LDP Error! Bookmark not defined
3.5.1.2 Phát hiện LSR lân cận Error! Bookmark not defined
3.5.1.3 Các bản tin LDP Error! Bookmark not defined
3.5.2 Giao thức định tuyến cưỡng bức CR-LDP Error! Bookmark not defined
3.5.2.1 Khái niệm định tuyến cưỡng bức Error! Bookmark not defined
3.5.2.2 Các phần tử định tuyến cưỡng bứcError! Bookmark not defined
3.5.3 Giao thức báo hiệu RSVP Error! Bookmark not defined
4.1 Mô hình chồng lấn Error! Bookmark not defined
4.2 Mô hình ngang hàng Error! Bookmark not defined
4.3 Các bộ định tuyến ảo trong MPLS VPN Error! Bookmark not defined
4.4 Kiến trúc MPLS VPN Error! Bookmark not defined
4.4.1 Gửi chuyển tiếp trong MPLS VPN Error! Bookmark not defined
4.4.2 Nhận biết động bộ định tuyến lân cận trong MPLS VPNError! Bookmark
not defined
4.4.3 DiffSer trong MPLS VPN Error! Bookmark not defined
4.5 Vấn đề bảo mật trong MPLS VPN Error! Bookmark not defined
4.5.1 Bảo mật định tuyến Error! Bookmark not defined
4.5.2 Bảo mật dữ liệu Error! Bookmark not defined
4.5.3 Bảo mật mạng vật lý Error! Bookmark not defined
4.6 Chất lượng dịch vụ trong MPLS VPN Error! Bookmark not defined
4.6.1 Mô hình “ống” hỗ trợ QoS Error! Bookmark not defined
4.6.2 Mô hình “vòi” hỗ trợ QoS Error! Bookmark not defined
4.6.3 Các tham số chất lượng Error! Bookmark not defined
Trang 5CHƯƠNG 5 TRIỂN KHAI VPN/MPLS THỰC TẾ ERROR!BOOKMARK NOT DEFINED
5.1 So sánh IPSec và MPLS Error! Bookmark not defined 5.1.1 Vai trò của MPLS Error! Bookmark not defined 5.1.2 Vai trò của IPSec Error! Bookmark not defined 5.1.3 Tích hợp VPN IPSec và VPN MPLS Error! Bookmark not defined 5.2 Triển khai ứng dụng VPN tại Ngân hàng Nhà nước Việt Nam Error!
Bookmark not defined.
5.2.1 Giải pháp VPN của Nokia Checkpoint 104 5.2.2 Giải pháp VPN của Cisco 109
5.2.3 Giải pháp VPN của Microsoft 110
KẾT LUẬN ERROR! BOOKMARK NOT DEFINED TÀI LIỆU THAM KHẢO 12
Danh mục các ký hiệu, các chữ viết tắt
AH Authentication Header Xác thực tiêu đề
ATM Asynchronous Transfer Mode Phương thức truyền dẫn không
đồng bộ
AS Autonomous System Hệ thống tự trị
BGP Border Gateway Protocol Giao thức biên
CE Customer Edge Bộ định tuyến biên khách hàng
CHAP Challenge Handshake
Authentication Protocol
Giao thức xác thực bắt tay theo yêu cầu
CoS Class of Service Lớp dịch vụ
CR-LDP Constraint Routing - LDP Giao thức định tuyến cưỡng bức
CSPF Constraint base Shortest Path First Định tuyến cưỡng bức chọn đường
ngắn nhất DES Data Encryption Standard Chuẩn mã hoá dữ liệu
DLCI Data Link Connection Identifier Nhận dạng kết nối liên kết dữ liệu
trong Frame Relay ESP Encapsulating Security Payload Phương thức đóng gói bảo mật tải tin FEC Forwarding equivalence class Nhóm chuyển tiếp tương đương
Trang 6FIB Forward Information Base Cơ sở dữ liệu chuyển tiếp
IETF Internet Engineering Task Force Tổ chức chuyên trách về kỹ thuật
Internet IGP Interior Gateway Protocol Giao thức định tuyến, giao thức
thông dụng nhất là RIP và OSPF IKE Internet Key Exchange Phương thức trao đổi khoá Internet IPSec Internet Protocol Security Giao thức IP bảo mật
ISO International Organization for
Standardization Tổ chức quốc tế về tiêu chuẩn hoá ISP Internet Service Provider Nhà cung cấp dịch vụ
L2TP Layer 2 Tunnel Protocol Giao thức đường hầm lớp 2
LAN Local Area Network Mạng nội bộ
LDP Label Distribution Protocol Giao thức phân phối nhãn
LER Label Edge Router Router chuyển mạch nhãn biên LFIB Label Forwarding Information Base Cơ sở dữ liệu nhãn chuyển tiếp LIB Label Information Base Cơ sở dữ liệu nhãn
LSP Label Switched Path Đường chuyển mạch nhãn
LSR Label Switching Router Router chuyển mạch nhãn
MD5 Message-Digest Algorithm Thuật toán mã hoá MD5
MPLS Multiprotocol Label Switching Chuyển mạch nhãn đa giao thức MPPE Microsoft Point to Point Encryption Phương thức mật mã hoá điểm
điểm của Microsoft NAS Network Access Server Máy phục vụ truy cập mạng
NAT Network Address Traslation Chuyển đổi địa chỉ mạng
OSPF Open Shortest Path First Giao thức tìm đường ngắn nhất PAP Password Authentication Protocol Giao thức xác thực mật khẩu
PE Provider Edge Router Bộ định tuyến biên nhà cung cấp PPP Point to Point Protocol Giao thức điểm điểm
PNA Private Network Administrator Nhà quản trị mạng riêng
Trang 7PPTP Point-to-Point Tunneling Protocol Giao thức đường hầm điểm điểm PSTN Public Switched Telephone Network Mạng điện thoại công cộng
QoS Quality of Service Chất lượng dịch vụ
RADIUS Remote Authentication Dial – In
User Serviece
Dịch vụ xác thực người dùng quay số từ xa
RAS Remote Access Server Máy chủ truy cập từ xa
RIP Routing Information Protocol Giao thức thông tin định tuyến - giao
thức định tuyến distance- vector RSVP Resource Reservation Protocol Giao thức dành riêng tài nguyên SHA Secure Hash Algorithm Thuật toán băm bảo mật
SPED Service Provider Edge Device Thiết bị biên nhà cung cấp dịch vụ
TACACS Terminal Access Controller Access
Control System
Hệ thống điều khiển truy cập bộ điều khiển truy cập đầu cuối TOS Tunnel Origination Server Máy nguồn đường hầm
VPN Virtual Private Network Mạng riêng ảo
VPNID VPN Identifier Giá trị định danh mạng VPN
Trang 8Danh mục các hình vẽ
Hình 1.1 - Mạng riêng ảo VPN
Hình 1.2 – VPN truy cập từ xa
Hình 1.3 - Mô hình Remote Access VPN, Intranet và Extranet VPN
Hình 1.4 - Mô hình đường hầm Tunnel
Hình 1.5 - Kết nối PPP giữa máy khách và máy phục vụ truy cập mạng Hình 1.6 - Kiến trúc của PPTP
Hình 1.7 - Kết nối điều khiển PPTP tới máy phục vụ PPTP qua PPP
Hình 1.8 - Đường hầm chủ động
Hình 1.9 - Đường hầm thụ động
Hình 1.10 - Quá trình chuyển gói tin đã được mã hoá qua đường hầm PPTP Hình 1.11 - Kiến trúc của L2TP
Hình 1.12 - Quá trình chuyển gói tin qua đường hầm L2TP
Hình 1.13 - Kiến trúc của IPSec
Hình 2.1 - Máy chủ xác thực cấp quyền truy cập từ xa
Hình 2.2 - Chữ ký điện tử
Hình 2.3 - Chữ ký RSA
Hình 2.4 - Thuật toán băm
Hình 2.5 - Mã hoá theo chuỗi các khối liên tục (CBC)
Hình 2.6 - Trao đổi khoá Diffie Hellman
Hình 3.1- Các định dạng nhãn
Hình 3.2 - Mạng MPLS trong chế độ hoạt động khung
Hình 3.3 - Cấu trúc của LSR biên
Hình 3.4 - Nhãn MPLS trong khung lớp 2
Hình 3.5 - Phân bổ nhãn trong mạng ATM-MPLS
Hình 3.6 - Trao đổi thông tin giữa các LSR cận kề
Hình 3.7 - Cơ chế thiết lập kênh ảo điều khiển MPLS
Trang 9Hình 3.8 - Ví dụ về CSPF
Hình 3.9 - Các bản tin PATH, RESV
Hình 3.10 - Nhãn phân phối trong bảng tin RESV
Hình 4.1 - Mô hình chồng lấn
Hinh 4.2 - Mô hình ngang hàng
Hình 4.3 - Kiến trúc mạng MPLS VPN
Hình 4.4 - Dán nhãn tại bộ định tuyến PE
Hình 4.5 - Sử dụng tập nhãn hai mức
Hình 4.6 - Miền định tuyến vật lý
Hình 4.7 - Miền định tuyến ảo
Hình 4.8 - Mô hình ống QoS
Hình 4.9 - Mô hình vòi QoS
Hình 5.1 - Vị trí của IPSec và MPLS
Hình 5.2 - Tích hợp IPSec và MPLS
Hình 5.3 - Thiết lập IPSec VPN giữa 2 Site với giải pháp Nokia Checkpoint Hình 5.4 - Mô hình triển khai VPN của giải pháp Cisco
Hình 5.5 - Thiết lập VPN của giải pháp Microsoft
Hình 5.6 - Một số đặc tính của VPN PPTP được tạo ra
Trang 10MỞ ĐẦU
Ngày nay, sự phát triển nhanh chóng của các công nghệ viễn thông tiên tiến như ISDN, ATM, ASDL và đặc biệt là Internet trong các năm qua đã kéo theo sự phát triển hàng loạt các dịch vụ mới đáp ứng các nhu cầu đa dạng của việc ứng dụng công nghệ thông tin Một trong các loại dịch vụ đó là công nghệ mạng riêng ảo – VPN (Virtual Private Network)
Theo IETF, VPN là mạng diện rộng sử dụng các thiết bị, phương tiện truyền thông của mạng công cộng cùng với các chức năng bảo mật như tạo đường hầm (tunnel), mật mã hoá dữ liệu (encryption), xác thực (authentication) với mục đích đạt được tính bảo mật như một mạng được thiết lập dùng riêng
Trong xu hướng toàn cầu hoá, đặc biệt Việt Nam đã ra nhập Tổ chức thương mại thế giới WTO, sẽ kéo theo sự phát triển của các công ty xuyên quốc gia, các chi nhánh hoặc các văn phòng đại diện của các công ty lớn không phụ thuộc vào vị trí địa lý; nhu cầu truy cập từ
xa (làm việc tại nhà); xu hướng hội nhập và mở rộng dẫn đến sự phát triển của dịch vụ VPN
là tất yếu, là sự kết hợp hoàn hảo giữa Internet và các mạng dùng riêng
Xã hội ngày càng phát triển, nhu cầu sử dụng các dịch vụ tác nghiệp trực tuyến ngày càng cao, sự phát triển mạnh mẽ của nhiều nhà cung cấp dịch vụ với hệ thống kiến trúc mạng khác nhau cùng các trang thiết bị, sản phẩm viễn thông đa dạng đã tạo ra những thách thức, rào cản lớn đối với mạng dùng riêng trong việc kết nối các mạng này với nhau, VPN chính là một giải pháp thích hợp trong trường hợp này
Hơn nữa, chi phí cho việc thiết lập và quản trị một mạng diện rộng là rất lớn, trong khi đó sử dụng VPN vừa tiết kiệm mà vẫn bảo đảm được tính an toàn và bảo mật, điều này đặc biệt có ý nghĩa đối với các công ty lớn có chi nhánh ở các Tỉnh, Thành phố hay các Quốc gia khác nhau
Hai công nghệ nổi trội hơn cả để ứng dụng tạo ra các VPN đó là MPLS và IPSec Mỗi kỹ thuật có giá trị và vị trí riêng trong hệ thống mạng VPN MPLS triển khai rất tốt trong vùng lõi (core) của mạng các nhà cung cấp dịch vụ Trong khi VPN IPSec rất phù hợp với cấu hình bảo mật end-to-end Việc thực thi mô hình mạng bao gồm cả VPN MPLS và IPSec sẽ đem lại hiệu quả lợi ích tốt nhất
Công nghệ MPLS cung cấp các công cụ cải thiện kỹ thuật lưu lượng mạng IP cho phép nhà cung cấp dịch vụ dễ dàng đo đạc, giám sát và đáp ứng các mức dịch
vụ khác nhau MPLS đem đến nhiều ưu điểm, tận dụng sự thông minh của bộ định tuyến và tốc độ chuyển mạch, cung cấp phương thức ánh xạ gói tin IP vào kết nối có hướng như ATM hoặc FR Nó cũng cung cấp cơ chế định nghĩa QoS trong tiêu đề
Trang 11MPLS MPLS sử dụng thông tin định tuyến lớp 3 để thiết lập bảng định tuyến và định rõ tài nguyên, đồng thời sử dụng các giao thức lớp 2 (FR, ATM) để chuyển mạch hoặc định hướng thông tin trên đường dẫn tương ứng MPLS được coi là công nghệ mạng tân tiến giải quyết được nhiều nhược điểm của mạng IP, ATM Vì thế công nghệ MPLS là một trong những lựa chọn phù hợp cho mạng thế hệ sau NGN
Vì những lý do trên, đề tài tập trung nghiên cứu các công nghệ mạng riêng ảo VPN trên nền mạng công cộng như IPSec, MPLS…, đồng thời phân tích, thiết kế các
mô hình, kiến trúc mạng VPN/MPLS và đưa ra các cơ sở khoa học để ứng dụng triển khai tại Ngân hàng Nhà nước Việt Nam Nội dung luận văn được trình bày trong 5 chương:
Chương 1: Trình bày tổng quan về mạng riêng ảo, những kiến thức cơ bản về các
thành phần trên mạng riêng ảo, các loại mạng riêng ảo và các giao thức
Chương 2: Nghiên cứu các cơ chế an ninh, bảo mật được sử dụng trong mạng
VPN: xác thức, mã hoá, chữ ký điện tử, tạo đường hầm, tiếp theo sẽ tìm hiểu các thuật toán MD5, SHA, HMAC, Diffie Hellman …
Chương 3: Đề cập đến công nghệ chuyển mạch nhãn đa giao thức MPLS, trong
đó đi sâu nghiên cứu cơ chế hoạt động của MPLS, các giao thức phân phối nhãn LDP, giao thức định tuyến cưỡng bức CR LDP, giao thức báo hiệu RSVP…
Chương 4: Trên cơ sở chương 3, sẽ triển khai ứng dụng mạng riêng ảo trên nền
MPLS: mô hình mạng ngang hàng, mô hình mạng chồng lấn, kiến trúc MPLS/VPN, sau
đó sẽ trình bày vấn đề bảo mật và chất lượng dịch vụ trong MPLS/VPN với mô hình
“ống”, mô hình “vòi”
Chương 5: Triển khai MPLS/VPN trong thực tế, so sánh hai công nghệ mạng
riêng ảo IPSec và MPLS, trên cơ sở đó triển khai ứng dụng mạng riêng ảo VPN tại Ngân hàng Nhà nước Việt Nam với ba giải pháp của Nokia Checkpoint, Cisco và Microsoft
Trang 12TÀI LIỆU THAM KHẢO
[1] - Brian Williams, Quality of Service Differentiated Services and Multiprotocol Label Switching, White paper, Ericsson, Australia 2000
[2] - Cisco Systems, Overview of Virtual Private Networks and IPSec Technologies
[3] – Cisco VPN solution, www.cisco.com/go/vpn
[4] - Christopher Y.Metz, IP Switching Protocol and Architectures, McGraw-Hill, NewYork 1998
[5] - Dave Kosiur - Building and Managing Virtual Private Network, USA, 1998
[6] - Harkins, D and Carrel, D (1998), “The Internet Key Exchange”, RFC 2409, November 1998
[7] - IETF Working Group, RFCxxxx http://www.ietf.org/rfc
[7a] - IETF RFC 2637 “Point – to – Point Tunneling Protocol (PPTP)”
[7b] - IETF RFC 1701 “Generic Routing Encapsulation (GRE)”
[7c] - IETF RFC 2661 “Layer Two Tunneling Protocol (L2TP)"
[7d] - IETF RFC 2409 “ The Internet Key Exchange (IKE)”
[8] – International Business Machines Corporation - Using IPSec to Construct Secure Virtual Private Networks, 1998
[9] - Ivan Pepelnjak and Jim Guichard, MPLS and VPN Architectures - A pratical guide
to understanding, designing and deploying MPLS and MPLS-VPN enabled VPNs, Cisco Systems, IN-USA, 2001
[10] - Paul Brittain, Adrian Farrel, MPLS Traffic Engineering: a choice of signalling protocols, Data connection Ltd., UK 2000
[11] - Peter Gutmann - Encryption and Security Tutorial, University of Auckland
[12] - R.C.Streijl - Analysis of Managed Virtual Private Network, 2000
[13] - RSA Security Inc - A Guide to Security Technologies, www.rsasecurity.com
[14] - Tổng hợp các tài liệu từ Internet
[15] - Xipeng Xiao, Aln Hannan, Brook Bailey and Lionel M.Ni, Traffic Engineering with MPLS in the Internet