Giải pháp mạng riêng ảo MPLS – VPN và ứng dụng trong hệ thống hạ tầng truyền thông ngành tài chính (Luận văn thạc sĩ)

Giải pháp mạng riêng ảo MPLS – VPN và ứng dụng trong hệ thống hạ tầng truyền thông ngành tài chính (Luận văn thạc sĩ)Giải pháp mạng riêng ảo MPLS – VPN và ứng dụng trong hệ thống hạ tầng truyền thông ngành tài chính (Luận văn thạc sĩ)Giải pháp mạng riêng ảo MPLS – VPN và ứng dụng trong hệ thống hạ tầng truyền thông ngành tài chính (Luận văn thạc sĩ)Giải pháp mạng riêng ảo MPLS – VPN và ứng dụng trong hệ thống hạ tầng truyền thông ngành tài chính (Luận văn thạc sĩ)Giải pháp mạng riêng ảo MPLS – VPN và ứng dụng trong hệ thống hạ tầng truyền thông ngành tài chính (Luận văn thạc sĩ)Giải pháp mạng riêng ảo MPLS – VPN và ứng dụng trong hệ thống hạ tầng truyền thông ngành tài chính (Luận văn thạc sĩ)Giải pháp mạng riêng ảo MPLS – VPN và ứng dụng trong hệ thống hạ tầng truyền thông ngành tài chính (Luận văn thạc sĩ)Giải pháp mạng riêng ảo MPLS – VPN và ứng dụng trong hệ thống hạ tầng truyền thông ngành tài chính (Luận văn thạc sĩ)Giải pháp mạng riêng ảo MPLS – VPN và ứng dụng trong hệ thống hạ tầng truyền thông ngành tài chính (Luận văn thạc sĩ)

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

LUẬN VĂN THẠC SĨ KỸ THUẬT

NGƯỜI HƯỚNG DẪN KHOA HỌC PGS TS ĐẶNG HOÀI BẮC

HÀ NỘI - 2018

LỜI CAM ĐOAN

Tôi xin cam đoan đây là công trình nghiên cứu của riêng tôi với sự hướng dẫn khoa học của thầy giáo PGS.TS Đặng Hoài Bắc

Các số liệu, kết quả nêu trong luận văn là hoàn toàn trung thực, và chưa từng được ai công bố trong bất cứ tài liệu nào khác

Tác giả luận văn

NGUYỄN ĐÌNH THẮNG

LỜI CẢM ƠN

Em xin chân thành cảm ơn thầy Đặng Hoài Bắc đã hướng dẫn, nhiệt tình giúp đỡ, tạo điều kiện tốt nhất cho em thực hiện đề tài Thầy đã hướng dẫn, cung cấp tài liệu và giải đáp các thắc mắc, chỉ ra những sai sót của em trong suốt thời gian thực hiện

Em cũng xin chân thành gửi lời cảm ơn đến tất cả những thầy cô khoa Sau Đại học, Khoa Viễn thông – Học viên Công nghệ Bưu chính Viễn thông đã chỉ bảo, giảng dạy và đóng góp ý kiến cho em trong suốt quá trình học tập và thực hiện đề tài

Do phạm vi đề tài, phạm vi kiến thức lớn, thời gian thực hiện có hạn, ngoài

ra còn bận các công việc cơ quan, gia đình nên không tránh khỏi những thiếu sót Kính mong các thầy cô và Hội đồng góp ý, chỉ bảo và thông cảm cho em

Em xin chân thành cảm ơn !

Hà nội, ngày 09 tháng 11 năm 2017

Học viên

Nguyễn Đình Thắng

MỤC LỤC

LỜI CAM ĐOAN i

LỜI CẢM ƠN ii

MỤC LỤC iii

DANH MỤC TỪ VIẾT TẮT iv

DANH MỤC HÌNH VẼ vii

MỞ ĐẦU 1

CHƯƠNG 1 – TỔNG QUAN VỀ CÔNG NGHỆ MẠNG RIÊNG ẢO VPN 3

1.1 Giới thiệu về công nghệ mạng riêng ảo 3

1.2 Khái niệm VPN 3

1.3 Mô hình VPN 4

1.4 Khái niệm đường hầm 4

1.5 Lợi ích VPN mang lại 5

1.6 Các loại VPN 6

1.6.1 Truy cập VPN (VPN Remote Access) 6

1.6.2 Site – To – Site VPN 7

1.7 VPN và các vấn đề an toàn bảo mật trên Internet 12

1.8 Kết luận - Đánh giá 13

CHƯƠNG 2 – MẠNG RIÊNG ẢO TRÊN NỀN CÔNG NGHỆ MPLS 14

2.1 Nguyên nhân ra đời của công nghệ MPLS VPN 14

2.1.1 Tính khả chuyển 14

2.1.2 Điều khiển lưu lượng 15

2.1.3 Chất lượng dịch vụ (QoS) 15

2.2 Chuyển mạch nhãn đa giao thức 16

2.2.1 Khái niệm 16

2.2.2 Đặc điểm mạng MPLS 17

2.2.3 Cấu trúc mạng MPLS 17

2.2.4 Phương thức hoạt động của công nghệ MPLS 23

2.3 Công nghệ MPLS VPN 26

2.3.1 VPN truyền thống 27

2.3.2 MPLS VPN 29

2.3.3 Các thành phần chính của kiến trúc MPLS – VPN 29

2.4 Mô hình mạng MPLS VPN 33

2.5 Kết luận 33

CHƯƠNG 3 – ỨNG DỤNG MPLS VPN VÀO HẠ TẦNG TRUYỀN THÔNG

NGÀNH TÀI CHÍNH 35

3.1 Bối cảnh chung 35

3.2 Đánh giá ưu nhược điểm của hệ thống cơ sở hạ tầng hiện tại 35

3.2.1 Mô hình kết nối WAN và những vấn đề nảy sinh 35

3.2.2 Mô hình kết nối Internet và những vẫn đề nảy sinh 37

3.3 Giải pháp MPLS VPN trong việc cung cấp dịch vụ VPN ngành tài chính 38 3.3.1 Đề xuất cải tiến để đảm bảo tính dự phòng và an ninh cho hệ thống 38

3.3.2 Giải pháp thiết kế hạ tầng truyền thông ngành Tài chính 40

3.3.3 Đánh giá về hệ thống đảm bảo an ninh 45

3.3.4 Triển khai MPLS VPN tại một số đơn vị quận/huyện 47

3.3.5 Kịch bản kiểm tra và đánh giá kết quả 51

3.4 Kết luận 54

Chương 4 – KẾT LUẬN 56

DANH MỤC TỪ VIẾT TẮT

ASIC Application Specific Intergrated

Circuits

Mạch tích hợp chuyên dụng

ATM Asynchnorous Tranfer Mode Truyền dẫn không đồng bộ

AToM Any Transport over MPLS Truyền tải qua MPLS

BGP Border Gateway Protocol Giao thức cổng biên

CE Custome Edge Biên phía Khách hàng

CEF Cisco Express Forwarding Chuyển tiếp nhanh của Cisco

CoS Class of Service Cấp độ dịch vụ

CQ Custom Queue Hàng đợi tùy ý

CR Constraint-based routing Định tuyến ràng buộc

DiffServ Differentiated Services Dịch vụ khác biệt

FEC Forwarding Equivalency Class Lớp chuyển tiếp tương đương

FTP File Tranfer Protocol Giao thức truyền file

GRE Generic Routing Encapsulation Đóng gói định tuyến chung

HDLC High Data Link Control Điều khiển kết nối dữ liệu tốc

độ cao IGP Interior Gateway Protocol Giao thức định tuyến trong

phạm vi miền

IP Internet Protocol Giao thức Internet

LAN Local Area Network Mạng địa phương

LDP Label Distribution Protocol Giao thức phân phối nhãn

LFIB Label Forwarding Information Base Cơ sở thông tin chuyển tiếp

nhãn

LIB Label Information Base Bảng cơ sở dữ liệu nhãn

LSP Label Switch Path Tuyến chuyển mạch nhãn LSR Label Switch Router Bộ định tuyến chuyển mạch

nhãn MAC Media Access Control Điều khiển truy nhập môi

trường MPLS Multiprotool Label Switching Chuyển mạch nhãn đa giao thức OSPF Open Shortest Path First Giao thức OSPF

PE Provider Edge Biên nhà cung cấp

PPP Point-to-Point Protocol Giao thức điểm - điểm

PQ Priority Queue Hàng đợi ưu tiên

PVC Permanent Virtual Circuit Mạch ảo cố định

QoS Quanlity of Service Chất lượng dịch vụ

SLA Service Level Agreements Thỏa thuận cấp độ dịch vụ

SP Service Provider Nhà cung cấp

SVC Switch Virtual Connection Chuyển mạch kết nối ảo

TCP Tranmission Control Protocol Giao thức điều khiển truyền dẫn TDP Tag Distribution Protocol Giao thức phân phối tag

TE Traffic Engineering Kỹ thuật điều khiển lưu lượng TTL Time To Live Thời gian sống

UDP User Datagram Protocol Giao thức UDP

UNI User-to-Network Interface Giao diện người dùng tới mạng

VC Virtual Channel Kênh ảo

VCI Virtual Channel Identifier Định danh kênh ảo

VoATM Voice over ATM Thoại qua ATM

VoIP Voice over IP Thoại qua IP

VP Virtual Path Tuyến ảo

VPI Virtual Packet Indentifier Định danh gói ảo

VPN Virtual Pravite network Mạng riêng ảo

DANH MỤC HÌNH VẼ

Hình 1.1: Mạng riêng ảo VPN [4] 4

Hình 1.2: Đường hầm VPN [4] 4

Hình 1.3: Site – to – site VPN [4] 8

Hình 1.4: Thiết lập Intranet sử dụng WAN backbone [4] 9

Hình 1.5: Thiếp lập Intranet dựa trên VPN [4] 10

Hình 1.6: Hình Extranet VPN [4] 10

Hình 1.7: Thiết lập mạng Extranet theo truyền thống [4] 11

Hình 1.8: Thiết lập Extranet [4] 12

Hình 2.1: Full mesh với 6 kết nối ảo [1] 14

Hình 2.2: Một ví dụ về mạng IP dựa trên mạng lõi ATM [3] 15

Hình 2.3: Cấu trúc nhãn [4] 18

Hình 2.4: Nhãn kiểu khung [2] 18

Hình 2.5: Nhãn kiểu tế bào [2] 19

Hình 2.6: Ngăn xếp nhãn [2] 20

Hình 2.7: Mô hình tham chiếu OSI [4] 21

Hình 2.8: Giao thức MPLS [4] 21

Hình 2.9: Cấu trúc một nút MPLS [1] 22

Hình 2.10: Cấu trúc cơ bản của một nút MPLS [1] 24

Hình 2.11: Tổng hợp các FEC [3] 26

Hình 2.12: Mô hình mã hóa thông thường [3] 29

Hình 2.13: Mô hình phân tách dựa vào VRF trong MPLS VPN [3] 29

Hình 2.14: Chức năng của VRF [1] 30

Hình 2.15: Ví dụ về RD [6] 31

Hình 2.16: Chức năng của router PE [6] 33

Hình 3 1: Mô hình Overlay layer -2 – VPN tại mạng trục [2] 36

Hình 3 2: Mô hình Peer – to – Peer VPN tại TTM, TTT [2] 36

Hình 3 3: Mô hình kết nối Internet Ngành tài chính [4] 38

Hình 3 4: Kiến trúc hệ thống truyền thông Ngành tài chính [4] 38

Hình 3 5: Sơ đồ kết nối mạng trục Ngành tài chính [4] 39

Hình 3 6: Các kết nối WAN giữa hai Trung tâm miền [4] 40

Hình 3 7: Sơ đồ hệ thống mạng phân bố từ TTM xuống các TTT [4] 40

Hình 3 8: Cấu trúc mạng trục với WAN truyền thống là MPLS VPN [4] 41

Hình 3 9: Mô hình kết nối sử dụng dịch vụ MPLS VPN [6] 41

Hình 3 10: Khả năng định tuyến gói tin trong MPLS VPN [4] 41

Hình 3 11: Mô hình các vùng MPLS VPN sẽ thuê của nhà cung cấp dịch vụ [4] 42

Hình 3 12: Mô hình kết nối sử dụng IPSec VPN thông qua Internet [6] 42

Hình 3 13: Lớp mạng trục Ngành tài chính [4] 43

Hình 3 14: Kết nối từ TTT lên TTM [4] 44

Hình 3 15: Lớp mạng phân phối Ngành tài chính [4] 44

Hình 3 16: Các phân lớp mạng [4] 45

Hình 3 17: Kiến trúc bảo mật đề xuất [5] 46

Hình 3 18: Mã hóa đường truyền Lease – line giữa TTM – TTT [4] 47

Hình 3 19: Cấu hình interface đường VNPT KBNN Ba Đồn [4] 48

Hình 3 20: Cấu hình đưa interface vào mạng riêng ảo kbnn [4] 48

Hình 3 23: Cấu hình đưa interface vào mạng riêng ảo kbnn [4] 49

Hình 3 24: Kiểm tra kênh truyền trong mạng riêng ảo kbnn [4] 49

Hình 3 25: Cấu hình interface đường VNPT CCHQ Tèn Tắn [4] 50

Hình 3 26: Cấu hình đưa interface vào mạng riêng ảo haiquan [4] 50

Hình 3 27: Kiểm tra kênh truyền trong mạng riêng ảo haiquan [4] 50

Hình 3 28: Kênh truyền KBNN Khánh Hòa - Chi cục thuế TX Cam Ranh [4] 52

Hình 3 29: Băng thông kênh truyền KBNN Khánh Hòa -Chi cục thuế TX Cam Ranh [4] 52

Hình 3 30: Kênh truyền KBNN Lâm Đồng - Chi cục thuế TP Đà Lạt [4] 52

Hình 3 31 Băng thông kênh truyền KBNN Lâm Đồng – Chi Cục thuế TP Đà Lạt [4]53 Hình 3 32: Kênh truyền KBNN Bình Thuận – Cục thuế Bình Thuận [4] 53

Hình 3 33: Băng thông kênh truyền KBNN Bình Thuận – Cục thuế Bình Thuận [4] 53 Hình 3 34: Kênh truyền KBNN Khánh Sơn – KBNN Khánh Hòa [4] 53

Hình 3 35: Băng thông kênh truyền KBNN Khánh Sơn – KBNN Khánh Hòa [4] 54

MỞ ĐẦU

Thế kỷ 20 được coi là kỷ nguyên của rất nhiều phát minh quan trọng, thúc đẩy sự phát triển của xã hội Một trong số đó không thể không kể đến sự phát triển vượt bậc

của NGÀNH TÀI CHÍNH - Một trong những thành phần vô cùng quan trọng cho sự

phát triển của một quốc gia, đáp ứng nhu cầu tài chính huyết mạch của nền kinh tế Ngày nay, khi nhà nhà, người người, các cơ sở, các công ty, các tổ chức, doanh nghiệp trong và ngoài nước đều có kết nối mạng Internet, hay một công ty, tổ chức, doanh nghiệp có nhiều trụ sở ở các vị trí địa lý khác nhau cần liên lạc thông tin nội bộ với nhau, khi đó nảy sinh yêu cầu làm sao để kết nối lại tất cả với nhau, nhưng đảm bảo yếu tố phải là hệ thống mạng riêng, đảm bảo an toàn an ninh thông tin, bảo mật thông tin…

Lúc này, khái niệm hệ thống mạng riêng ảo (Virtual private network – VPN) đã hình thành VPN là những hệ thống mạng được triển khai dựa trên quy tắc: vẫn áp dụng tiêu chuẩn bảo mật, quản lý chất lượng dịch vụ trong một hệ thống mạng công cộng vào hệ thống mạng riêng tư VPN cung cấp cho chúng ta một sự lựa chọn mới: Xây dựng một hệ thống mạng riêng tư cho các thông tin liên lạc kiểu site – to – site trên hệ thống mạng công cộng hay Internet, bởi vì nó hoạt động trên một hệ thống mạng chung thay vì một mạng riêng tư cá nhân nên các công ty, tổ chức, doanh nghiệp

có thể mở rộng hệ thống mạng riêng tư của mình một cách dễ dàng và hiệu quả, những Khách hàng di động hay những văn phòng xa xôi, khách hàng, đối tác, hay nhân viên

có thể làm việc và kết nối đến hệ thống mạng nội bộ công ty, tổ chức, doanh nghiệp của mình một cách dễ dàng, ở bất kì nơi đâu, ở bất kì thời điểm nào

Công nghệ MPLS ( Multi Protocol Label Switching) được tổ chức quốc tế

IETF chính thức đưa ra vào cuối năm 1997, đã phát triển nhanh chóng trên toàn cầu

Công nghệ mạng riêng ảo MPLS VPN đã đưa ra một ý tưởng khác biệt hoàn

toàn so với công nghệ truyền thống, đơn giản hóa quá trình tạo “đường hầm” trong mạng riêng ảo bằng cơ chế gán nhãn gói tin (Label) trên thiết bị mạng của nhà cung cấp Thay vì phải tự thiết lập, quản trị, và đầu tư những thiết bị đắt tiền, MPLS VPN sẽ giúp doanh nghiệp giao trách nhiệm này cho nhà cung cấp – đơn vị có đầy đủ năng lực, thiết bị và công nghệ bảo mật tốt hơn nhiều cho mạng của doanh nghiệp

năng ưu việt hơn hẳn những công nghệ truyền thống Từ cuối năm 2010, MPLS VPN

sẽ dần thay thế hoàn toàn các công nghệ mạng truyền thống đã lạc hậu và là tiền đề tiến tới một hệ thống mạng băng rộng – Mạng thế hệ mới NGN (Next Generation Network)

Mạng hạ tầng truyền thông NGÀNH TÀI CHÍNH hiện nay đang được triển khai dựa trên công nghệ chuyển mạch nhãn MPLS, với tính năng nổi trội MPLS/VPN đảm bảo an toàn thông tin, phục vụ ngày một tốt hơn cho nội bộ NGÀNH TÀI CHÍNH, tiếp theo là nhằm cung cấp một cách đa dạng các loại dịch vụ cho người sử dụng

Luận văn “Giải pháp mạng riêng ảo mpls-vpn và ứng dụng trong hệ thống hạ

tầng truyền thông ngành tài chính” đã nghiên cứu những kiến thức về công nghệ

mạng riêng ảo MPLS/VPN và ứng dụng MPLS/VPN trong hệ thống mạng NGÀNH TÀI CHÍNH, phục vụ cho việc kết nối thông suốt và trao đổi dữ liệu cho các cơ quan Tài chính địa phương phủ khắp đất nước Việt Nam và thực tế triển khai kênh truyền sử dụng công nghệ MPLS trên hạ tầng truyền thông NGÀNH TÀI CHÍNH, từ đó đưa ra kịch bản và đánh giá kết quả kiểm tra chất lượng kênh truyền

Luận văn gồm 04 chương:

Chương 1: Tổng quan về công nghệ mạng riêng ảo VPN

Chương 2: Mạng riêng ảo trên nền công nghệ MPLS

Chương 3: Ứng dụng MPLS – VPN vào hạ tầng truyền thông Ngành Tài chính

Chương 4: Kết luận

Ngoài ra, luận văn còn có thêm các danh mục, các thuật ngữ, các từ viết tắt, danh mục bảng biểu, hình vẽ và danh mục các tài liệu tham khảo để thuận tiện cho việc tìm hiểu và tra cứu nội dung luận văn

CHƯƠNG 1 – TỔNG QUAN VỀ CÔNG NGHỆ MẠNG RIÊNG

ẢO VPN

Trong chương này, báo cáo luận văn sẽ giới thiệu tổng quan về mạng riêng ảo, khái niệm VPN, khái niệm đường hầm, phân loại VPN

1.1 Giới thiệu về công nghệ mạng riêng ảo

Mạng riêng ảo hay VPN (Virtual Private Network) là một mạng dành riêng để kết nối các máy tính của các công ty, tập đoàn hay các tổ chức với nhau thông qua mạng Internet công cộng

VPN là một thuật ngữ quen thuộc hiện nay, nó là sự lựa chọn gần như tối ưu đối với một công ty, tổ chức, doanh nghiệp có nhiều hơn 1 chi nhánh và có nhu cầu kết nối mạng với nhau, hoặc có nhu cầu thiết lập mối quan hệ thân thiết với các công ty, tổ chức, doanh nghiệp khác, hoặc do đặc thù nên có nhiều cán bộ, nhân viên làm việc từ

xa

VPN không còn là một thuật ngữ mới, nhưng chưa hẳn ai cũng biết VPN đã được đề cập và xây dựng từ cuối thập kỷ 80 của thế kỷ trước, và nó cũng trải qua nhiều giai đoạn phát triển

Thế hệ VPN thứ nhất do AT&T phát triển có tên là SDNs (Software Defined Network)

VPN là một mạng riêng sử dụng để kết nối các mạng dây riêng lẻ hay nhiều

một kết nối thực, chuyên dụng như đường leased line

1.3 Mô hình VPN

VPN bao gồm hai phần: mạng của Nhà cung cấp dịch vụ và mạng của Khách hàng, trong đó mạng của Nhà cung cấp dịch vụ chạy dọc cơ sở hạ tầng mạng công cộng, bao gồm các bộ định tuyến cung cấp dịch vụ mạng cho Khách hàng

Hình 1.1: Mạng riêng ảo VPN [4]

1.4 Khái niệm đường hầm

Đường hầm là một cách thức mà ở đó dữ liệu có thể truyền đi giữa hai mạng một cách an toàn Toàn bộ dữ liệu truyền đi được phân mảnh thành các gói nhỏ hơn hoặc thành các khung sau đó được đẩy vào trong đường hầm Các thức này khác với cách vận chuyển dữ liệu thông thường giữa các điểm Ở đây các gói dữ liệu di chuyển trong đường hầm sẽ được đóng gói và mã hóa với thông tin định tuyến với một địa chỉ xác định Sau khi tới được địa chỉ mong muốn thì dữ liệu được khôi phục nhờ việc giải

mã

Hình 1.2: Đường hầm VPN [4]

Một đường hầm là một con đường logic được thiết lập giữa điểm nguồn và điểm đích của hai mạng Các gói dữ liệu được đóng gói tại nguồn và mở gói tại điểm đích Đường hầm logic giữa hai mạng này được duy trì trong suốt tiến trình gửi dữ

liệu Đường hầm dùng để vận chuyển dữ liệu cho mục đích riêng tư, thông thường là

hệ thống mạng của một công ty, tổ chức, doanh nghiệp, tập đoàn… thông qua hệ thống mạng công cộng Với cách hiểu đó, các nút định tuyến trong hệ thống mạng công cộng không biết rằng luồng vận chuyển đó là của hệ thống mạng riêng hay chung

Có nhiều loại đường hầm được thực thi trên các tầng khác nhau của mô hình OSI Ví dụ hai loại đường hầm PPTP và L2TP thực thi trên tầng 2 Hai loại đường hầm này sẽ không kích hoạt tại các phiên làm việc nội mạng, trong trường hợp có sự kết nối hai mạng thì loại đường hầm sẽ được xác định là PPTP hoặc L2TP Sau khi lựa chọn được loại đường hầm thì các tham số như mã hóa, cách đăng ký địa chỉ, nén… được cấu hình để đặt được sự an toàn ở mức cao nhất khi đi trên mạng Internet dựa trên sự kết nối đường hầm logic địa phương Kết nối được tạo ra, duy trì và kết thúc sử dụng khi nhu cầu chấm dứt

1.5 Lợi ích VPN mang lại

VPN làm giảm chi phí thường xuyên: VPN cho phép tiết kiệm chi phí đườngtruyền và giảm chi phí phát sinh cho nhân viên ở xa nhờ vào việc họ truy cập vào hệthống nội bộ thông qua các điểm cung cấp dịch vụ ở địa phương POP(Point ofPresence), hạn chế thuê đường truy cập của nhà cung cấp dẫ đến giá thành cho việckết nối Lan-to-Lan giảm đi đáng kể so với việc thuê đường Leased-Line-

Giảm chi phí quản lý và hỗ trợ: với việc sử dụng dịch vụ của nhà cung cấp,chúng ta chỉ phải quản lý các kết nối đầu cuối tại các chi nhánh mạng không phảiquản lý các thiết bị chuyển mạch trên mạng Đồng thời tận dụng cơ sở hạ tầng củamạng Internet và đội ngũ kỹ thuật của nhà cung cấp dịch vụ

VPN đảm bảo an toàn thông tin, tính toàn vẹn và xác thực: dữ liệu truyền trênmạng được mã hóa bằng các thuật toán, đồng thới được truyền trong các đường hầm(Tunnle) nên thông tin có độ an toàn cao

VPN dễ dàng kết nối các chi nhánh thành một mạng cục bộ: việc tập trung quảnlý thông tin tại tất cả các chi nhánh là cần thiết VPN có thể dễ dàng kết nối hệ thống mạng giữa các chi nhánh và văn phòng trung tâm thành một mạng LAN với chi phíthấp

VPN hỗ trợ các giáo thức mạng thông dụng nhất hiện nay như TCP/IP: bảo mậtđịa chỉ IP: thông tin được gửi đi trên VPN đã được mã hóa do đó các địa chỉ trênmạng riêng được che giấu và chỉ sử dụng các địa chỉ bên ngoài Internet

1.6 Các loại VPN

1.6.1 Truy cập VPN (VPN Remote Access)

Remote Access VPNs cho phép truy cập bất cứ lúc nào bằng Remote, mobile,

và các thiết bị truyền thông của nhân viên các chi nhánh kết nối đến tài nguyên mạng của tổ chức

Remote Access VPN mô tả công việc các người dùng ở xa sử dụng các phần mềm VPN để truy cập vào mạng Intranet của công ty thông qua gateway hoặc VPN concentrator (bản chất là một server) Vì lý do này, giải pháp này thường được gọi là client/server Trong giải pháp này, các người dùng thường sử dụng các công nghệ WAN truyền thống để tạo lại các tunnel về mạng của họ

Một hướng phát triển khá mới trong remote access VPN là dùng wireless VPN, trong đó một nhân viên có thể truy cập về mạng của họ thông qua kết nối không dây Trong thiết kế này, các kết nối không dây cần phải kết nối về một trạm wireless (Wireless terminal) và sau đó về mạng của công ty Trong cả hai trường hợp, phần mềm client trên máy PC đều cho phép khởi tạo các kết nối bảo mật, còn được gọi là tunnel

Một phần quan trọng của thiết kế này là việc thiết kế quá trình xác thực ban đầu nhằm để đảm bảo là yêu cầu được xuất phát từ một nguồn tin cậy Thường thì giai đoạn ban đầu này dựa trên cùng một chính sách về bảo mật của công ty Chính sách này bao gồm: quy trình (Procedure), kỹ thuật, server (such as Remote Authentication Dial-In User Service [RADIUS], Terminal Access Controller Access Control System Plus [TACACS+] …)

1.6.2.1 Thuận lợi chính của Remote Access VPNs:

- Sự cần thiết của RAS và việc kết hợp với modem được loại trừ

- Sự cần thiết hỗ trợ cho người dùng cá nhân được loại trừ bởi vì kết nối từ xa

đã được tạo điều kiện thuận lợi bởi ISP

- Việc quay số từ những khoảng cách xa được loại trừ, thay vào đó, những kết nối với khoảng cách xa sẽ được thay thế bởi các kết nối cục bộ

- Giảm giá thành chi phí kết nối với khoảng cách xa

- Do đây là một kết nối mang tính cục bộ, do vậy tố độ kết nối sẽ cao hơn so với kết nối trực tiếp đến những khoảng cách xa

- VPNs cung cấp khả năng truy cập đến trung tâm tốt hơn bởi vì nó hỗ trợ dịch

vụ truy cập ở mức độ tối thiểu nhật cho dù có sự tăng nhanh chóng các kết nối đồng thời đến mạng

1.6.2.2 Một số tồn tại của VPNs:

- Remote Access VPNs cũng không đảm bảo được chất lượng dịch vụ

- Khả năng mất dữ liệu là rất cao, thêm nữa là các phân đoạn của gói dữ liệu có thể đi ra ngoài và bị thất thoát

- Do độ phức tạp của thuật toán mã hoá, protocol overhead tăng đáng kể, điều này gây khó khăn cho quá trính xác nhận Thêm vào đó, việc nén dữ liệu IP và PPP-based diễn ra vô cùng chậm chạp và tồi tệ

- Do phải truyền dữ liệu thông qua Internet, nên khi trao đổi các dữ liệu lớn như các gói dữ liệu truyền thông, phim ảnh, âm thanh sẽ rất chậm

1.6.2 Site – To – Site VPN

Site –to – site : Được áp dụng để cài đặt mạng từ một vị trí này kết nối tới mạng của một vị trí khác thông qua VPN Trong hoàn cảnh này thì việc chứng thực ban đầu giữa các thiết bị mạng được giao cho người sử dụng Nơi mà có một kết nối VPN được thiết lập giữa chúng Khi đó các thiết bị này đóng vài trò như là một gateway, và đảm bảo rằng việc lưu thông đã được dự tính trước cho các site khác Các Router và Firewall tương thích với VPN, và các bộ tập trung VPN chuyên dụng đều cung cấp chức năng này

Hình 1 3: Site – to – site VPN [4]

Site – to –Site VPN có thể được xem như là Intranet VPN hoặc Extranet VPN Nếu chúng ta xem xét chúng dưới góc độ chứng thực nó có thể được xem như là một intranet VPN, ngược lại chúng được xem như một extranet VPN Tính chặt chẽ trong việc truy cập giữa các site có thể được điều khiể bởi cả hai (Intranet và Extranet VPN) theo các site tương ứng của chúng Giải pháp Site – To – Site VPN không phải là một remote access VPN nhưng nó được thêm vào đây vì tính chất hoàn thiện của nó

Sự phân biệt giữa remote access VPN và Site – To – Site VPN chỉ đơnthuần mang tính chất tượng trưng và xa hơn là nó được cung cấp cho mục đích thảo luận Ví

dụ như là các thiết bị VPN dựa trên phần cứng mới (Router Cisco 3002 chẳng hạn) ở đây để phân loại được, chúng ta phải áp dụng cả hai cách, bởi vì harware-based client

có thể xuất hiện nếu một thiết bị đang truy cập vào mạng Mặc dù một mạng có thể có nhiều thiết bị VPN đang vận hành Một ví dụ khác như là một chế độ mở rộng của giải pháp Ez VPN bằng cách dùng Router 806 và 17xx

Site –to –Site VPN là sự kết nối hai mạng riêng lẻ thông qua một đường hầm bảo mật, đường hầm bảo mật này có thể sử dụng các giao thức PPTP, L2TP, hoặc IPSec, mục đích của Site –to –Site VPN là kết nối hại mạng không có đường nối lại với nhau, không có việc thoả hiệp tích hợp, chứng thực, sự cẩn mật của dữ liệu, bạn có thể thiết lập một Site – to –Site VPN thông qua sự kết hợp của các thiết bị VPN concentrators, Router, và Firewalls

Kết nối Site –to –Site VPN được thiết kế để tạo một kết nối mạng trực tiếp, hiệu quả bất chấp khoảng cách vật lý giữa chúng Có thể kết nối này luân chuyển thông qua Internet hoặc một mạng không được tin cậy Bạn phải đảm bảo vấn đề bảo mật bằng cách sử dụng sự mã hoá dữ liệu trên tấ cả các gói dữ liệu đang luân chuyển giữa các mạng đó

1.6.2.1 Intranet

Hình 1 4: Thiết lập Intranet sử dụng WAN backbone [4]

Intranet VPNs hay còn gọi là các VPN nội bộ sẽ kết nối các mạng của trụ sở chính, văn phòng và các chi nhánh từ xa qua một cơ sở hạ tầng mạng dùng chung như Internet thành một mạng riêng tư của một tập đoàn hay một tổ chức gồm nhiều công ty

và văn phòng làm việc mà các kết nối này luôn luôn được mã hoá thông tin

Intranet VPN được sử dụng để kết nối đến các chi nhánh văn phòng của tổ chức đến Corporate Intranet (Backbone Router) sử dụng campus router

Theo mô hình bên trên sẽ rất tốn chi phí do phải sử dụng 2 Router để thiết lập được mạng, thêm vào đó, việc triển khai, bảo trì và quản lý mạng Intranet Backbone sẽ rất tốn kém còn tuỳ thuộnc vào lượng lưu thông trên mạng đi trên nó và phạm vi địa lý của toàn bộ mạng Intranet

Để giải quyết vấn đề trên, sự tốn kém của WAN backbone đƣợc thay thế bởi các kết nối Internet với chi phí thấp, điều này có thể một lƣợng chi phí đáng kể của việc triển khai mạng Intranet

Hình 1 5: Thiếp lập Intranet dựa trên VPN [4]

1.6.2.2 Extranet VPNs (VPN mở rộng)

Hình 1 6: Hình Extranet VPN [4]

Extranet là sự mở rộng từ những Intranet liên kết các khách hàng, những nhà cung cấp, những đối tác hay những nhân viên làm việc trong các Intranet qua cơ sở hạ tầng dùng chung chia sẽ những kết nối

Không giốn như intranet và Remote Access –based, Extranet không an toàn cách ly từ bên ngoài (outer-world), Extranet cho phép truy nhập những tài nguyên mạng cần thiết kế của các đối tác kinh doanh, chẳng hạn như khách hang, nhà cung cấp, đối tác những người giữ vài trò quan trọng trong tổ chức

Hình 1 7: Thiết lập mạng Extranet theo truyền thống [4]

Như hình trên, mạng Extranet rất tốn kém do có nhiều đoạn mạng riêng biệt trên intranet kết hợp lại với nhau để tạo ra một Extranet Điều này làm cho khó triển khai và quản lý do có nhiều mạng, đồng thời cũng khó khăn cho cá nhân làm công việc bảo trì và quản trị Thêm nữa là mạng Extranet dễ mở rộng do điều này sẽ làm rối tung toàn bộ mạng Intranet và có thể ảnh hưởng đến các kết nối bên ngoài mạng Sẽ có những vấn đề bạn gặp phải bất thình lình khi kết nối một Intranet vào một mạng Extranet Triển khai và thiết kế một mạng Extranet có thể là một cơn ác mộng của các nhà thiết kế và quản trị mạng

Hình 1 8: Thiết lập Extranet [4]

Một số thuận lợi của Extranet:

Do hoạt động trên môi trường Internet, bạn có thể lựa chọn nhà phân phối khi lựa chọn và đưa ra phương pháp giải quyết tuỳ theo nhu cầu của tổ chức Bởi vì một phần Internet-connectivity được bảo trì bởi nhà cung cấp ISP nên cũng giảm chi phí bảo trì khi thuê nhân viên bảo trì Dễ dàng triển khai, quản lý và chỉnh sữa thông tin

Một số bất lợi:

- Sự đe doạ về tính an toàn, như bị tấn công bằng từ chối dịch vụ vẫn còn tồn tại

- Tăng thêm nguy hiểm sự xâm nhập đối với tổ chức trên Extranet

- Do dựa trên Internet nên khi dữ liệu là các loại high-end data thì việc trao đổi diễn ra chậm chạp

- Do dựa trên Internet, QoS cũng không được bảo đảm thường xuyên

1.7 VPN và các vấn đề an toàn bảo mật trên Internet

Như chúng ta đã biết, sự phát triển bùng nổ và mở rộng mạng toàn cầu Internet ngày càng tăng, hàng tháng có khoảng 10.000 mạng mới kết nối vào Internet kèm theo

đó là vấn đề làm sao để có thể trao đổi thông tin dữ liệu một cách an toàn qua mạng công cộng như Internet Hàng năm sự rò rỉ và mất cắp thông tin dữ liêu đã gây thiệt hại rất lớn về kinh tế trên toàn thế giới Các tội phạm tin tặc “ hacker” luôn tìm mọi

cách để nghe trộm, đánh cắp thông tin dữ liệu nhạy cảm như: thẻ tín dụng, tài khoản người dùng, các thông tin kinh tế nhạy cảm của các tổ chức hay cá nhân

Vậy giải pháp sử dụng mạng riêng ảo VPN sẽ giải quyết vấn đề an toàn và bảo mật thông tin trên Internet như thế nào ?

Câu trả lời để các tổ chức, các doanh nghiệp, cá nhân cảm thấy yên tâmkhi trao đổi thông tin dữ liệu qua mạng Internet là sử dụng công nghệ mạng riêng ảo VPN

Thực chất công nghệ chính được sử dụng trong mạng riêng ảo VPN là tạo ra một đường hầm (tunnel) mã hoá và chứng thực dữ liệu giữa hai đầu kết nối Các thông tin dữ liệu sẽ được mã hoá và chứng thực trước khi được lưu chuyển trong một đường hầm riêng biệt, qua đó sẽ tránh được những cặp mắt tò mò muốn đánh cắp thông tin

1.8 Kết luận - Đánh giá

Ngày nay với sự phát triển bùng nổ, mạng Internet ngày càng được mở rộng, khó kiểm soát và kèm theo đó là sự mất an toàn trong việc trao đổi thông tin trên mạng, các thông tin dữ liệu trao đổi trên mạng có thể bị rò rỉ hoặc bị đánh cắp khiến cho các tổ chức như: Các doanh nghiệp, Ngân hàng, Công ty …và các doanh nhân lo ngại về vấn đề an toàn và bảo mật thông tin dữ liệu trong các mạng cục bộ của mình (LAN) khi trao đổi thông tin qua mạng công cộng Internet

VPN ( Virtual Private Network) là giải pháp được đưa ra để cung cấp một giải pháp an toàn cho các: Tổ chức, doanh nghiệp … và các doanh nhân trao đổi thông tin

từ mạng cục bộ của mình xuyên qua mạng Internet một cách an toàn và bảo mật Hơn thế nữa nó còn giúp cho các doanh nghiệp giảm thiểu được chi phí cho những liên kết

từ xa vì địa bàn rộng (trên toàn quốc hay toàn cầu)

CHƯƠNG 2 – MẠNG RIÊNG ẢO TRÊN NỀN CÔNG NGHỆ MPLS

Trong chương này, báo cáo luận văn sẽ trình bày về công nghệ MPLS – là một công nghệ đang được ứng dụng rộng rãi hiện nay, khái niệm MPLS, đặc điểm của công nghệ MPLS, phương thức hoạt động của MPLS và đi sâu vào ứng dụng MPLS VPN

2.1 Nguyên nhân ra đời của công nghệ MPLS VPN

Mạng Internet ra đời mở màn cho kỷ nguyên tiến bộ vượt bậc của nhân loại, nó không ngừng phát triển về phạm vi cũng như chất lượng Khi mạng Internet phát triển

và mở rộng, lưu lượng Internet bùng nổ Các nhà cung cấp dịch vụ xử lý bằng cách tăng dung lượng kết nối và nâng cấp các Router nhưng vẫn không tránh khỏi nghẽn mạch Lý do là các giao thức định tuyến thường hướng lưu lượng vào một số các kết nối nhất định dẫn đến kết nối này bị quá tải trong khi một số tài nguyên khác không được sử dụng Đây chính là tình trạng phân bổ không hợp lý và sử dụng lãng phí tài nguyên mạng Internet

Vào thập niên 90, các nhà cung cấp dịch vụ phát triển mạng của họ theo mô hình chồng lớp bằng cách đưa ra giao thức IP over ATM ATM là một công nghệ hướng kết nối thiết lập các kênh ảo, tuyến ảo tạo thành một mạng logic nằm trên mạng vật lý, giúp định tuyến, phân bổ tải đồng đều trên toàn mạng Tuy nhiên IP và ATM là hai công nghệ hoàn toàn khác nhau, được thiết kế cho những môi trường mạng khác nhau, khác nhau về giao thức, cách đánh địa chỉ, định tuyến, báo hiệu, phân bổ tài nguyên… và khi các nhà cung cấp dịch vụ phát triển mạng theo hướng IP over ATM,

họ càng nhận rõ nhược điểm của mô hình này

2.1.1 Tính khả chuyển

Một vấn đề mà nhà cung cấp dịch vụ gặp phải chính là tính khả chuyển Tức là

để đảm bảo việc dự phòng và tối ưu trong quá trình định tuyến thì mô hình full mesh của các mạch ảo (VCs) phải được tạo ra mà kết quả có quá nhiều kết nối

Hình 2.1: Full mesh với 6 kết nối ảo [1]

Và càng nhiều các địa điểm thêm vào mạng lõi, thì càng cần phải có nhiều kết nối ảo (VCs) được tạo ra Điều đó cũng có nghĩa là các Router sẽ phải trao đổi cập nhật bảng thông tin định tuyến với nhiều Router liền kề, gây ra một sự lưu thông lớn trên mạng Sự quá tải này cũng sẽ làm ảnh hưởng đến hiệu suất của Router và làm giảm tốc độ xử lý của chúng

2.1.2 Điều khiển lưu lượng

Điều khiển lưu lượng là quá trình xử lý mà lưu lượng được vận chuyển một cách tối ưu theo yêu cầu Mặc dù cả hai công nghệ IP và ATM đều có nhưng rõ ràng

IP không thể sánh được với ATM về đặc tính này ATM và IP là hai công nghệ hoàn toàn tách biệt nhau nên thật khó để kết hợp triển khai điều khiển lưu lượng đầu cuối

2.1.3 Chất lượng dịch vụ (QoS)

Cả IP và ATM đều có khả năng đảm bảo chất lượng dịch vụ Sự khác nhau giữa chúng là IP là giao thức không kết nối (connectionless), còn ATM là giao thức có kết nối (connection – oriented)

Vì vậy, vấn đề đặt ra ở đây chính là các Nhà cung cấp dịch vụ phải làm thế nào

để kết hợp được hai cách triển khai chất lượng dịch vụ thành một giải pháp duy nhất

Chúng ta cũng có thể thấy rõ vấn đề bất cập tồn tại ở chuyển tiếp gói tin ở lớp mạng truyền thống (ví dụ chuyển tiếp gói tin IP qua mạng Internet) Sự chuyển tiếp gói tin dựa trên các thông tin được cung cấp bởi các giao thức định tuyến (ví dụ RIP, OSPF, EIGRP, BGP…), hoặc định tuyến tĩnh để đưa ra quyết định chuyển tiếp gói tin tới bước tiếp theo trong mạng Sự chuyển tiếp này chỉ duy nhất dựa trên địa chỉ đích Tất cả các gói tin có cùng một đích đến sẽ đi theo cùng một con đường Thông thường

là con đường có giá nhỏ nhất, điều đó dễ dàng dẫn đến hiện tượng mất cân bằng tải

Hình 2.2: Một ví dụ về mạng IP dựa trên mạng lõi ATM [3]

ATM phải tồn tại giữa bất kỳ hai Router kết nối tới mạng lõi ATM Điều đó có nghĩa

là nếu quy mô của mạng lớn, có đến vài chục hoặc thậm chí vài trăm Router kết nối với nhau thì xảy ra một vấn đề khá nghiêm trọng

Ta có thể gặp các vấn đề sau:

Khi một Router mới được nối vào mạng lõi WAN thì một mạch ảo phải được thiết lập Nếu một mạng chạy giao thức định tuyến thì mọi Router sẽ thông báo sự thay đổi trong mạng tới tất cả các Router còn lại có cùng kết nối tới WAN đường trục, kết quả là có quá nhiều lưu lượng trong mạng

Sử dụng các mạch ảo giữa các Router là phức tạp bởi vì thật khó để dự đoán chính xác lưu lượng giữa bất kỳ hai Router trong mạng

Mặt khác, sự bùng nổ của mạng Internet dẫn tới xu hướng hội tụ các mạng viễn thông khác như mạng thoại, truyền hình Internet… khi đó, giao thức IP trở thành giao thức chủ đạo trong lĩnh vực mạng Xu hướng của Nhà cung cấp dịch vụ là thiết kế và

sử dụng các Router chuyên dụng với dung lượng truyền tải lớn, hỗ trợ các giải pháp tích hợp, chuyển mạch đa lớp cho mạng trục Internet Nhu cầu cấp thiết trong bối cảnh này là phải ra đời một công nghệ lai có khả năng kết hợp những ưu điểm của chuyển mạch kênh ATM và chuyển mạch gói IP

Công nghệ MPLS ra đời trong bối cảnh cần phải tìm giải pháp nào đó để đáp ứng nhu cầu của thị trường theo đúng tiêu chí phát triển của Internet, nó đã mang lại những lợi ích thiết thực, đánh dấu một bước phát triển cực lớn của Internet trước xu thế tích hợp công nghệ thông tin và viễn thông

2.2 Chuyển mạch nhãn đa giao thức

2.2.1 Khái niệm

Chuyển mạch nhãn đa giao thức (Multiprotocol Label Switching – MPLS) là một công nghệ được đưa ra với mục đích giải quyết nhiều vấn đề đang tồn đọng liên quan tới chuyển mạch gói trong môi trường kết nối Internet

MPLS là một công nghệ kết hợp những đặc điểm tốt nhất giữa định tuyến lớp

ba và chuyển mạch lớp hai, cho phép chuyển tải các gói rất nhanh trong mạng lõi (core) và định tuyến tốt ở mạng biên (edge) bằng cách dựa vào nhãn (label) MPLS là một phương pháp cải tiến việc chuyển tiếp gói trên mạng bằng các nhãn được gắn với mỗi gói IP, tế bào ATM, hoặc frame lớp hai Phương pháp chuyển mạch nhãn giúp các

Router và MPLS-enable ATM switch ra quyết định theo nội dung nhãn tốt hơn việc định tuyến phức tạp theo địa chỉ IP đích MPLS kết nối tính thực thi và khả năng chuyển mạch lớp hai với định tuyến lớp ba Cho phép các Nhà cung cấp dịch vụ cung cấp nhiều dịch vụ khác nhau mà không cần phải bỏ đi cơ sở hạ tầng sẵn có Cấu trúc MPLS có tính mềm dẻo trong bất kỳ sự phối hợp với công nghệ lớp hai nào

MPLS hỗ trợ mọi giao thức lớp hai, triển khai hiệu quả các dịch vụ IP trên một mạng chuyển mạch IP MPLS hỗ trợ việc tạo ra các tuyến khác nhau giữa nguồn và đích trên một đường trục Internet Bằng việc tích hơp MPLS vào kiến trúc mạng, các Nhà cung cấp dịch vụ có thể giảm chi phí, tăng lợi nhuận, cung cấp nhiều dịch vụ hiệu quả hơn và khả năng cạnh tranh cao hơn

2.2.2 Đặc điểm mạng MPLS

Không cần có một giao diện lập trình ứng dụng, cũng không có thành phần giao thức phía host

- MPLS chỉ nằm trên các Router

- MPLS là giao thức độc lập nên có thể hoạt động cùng với giao thức khác IP

như IPX, ATM, Frame Relay,…

- MPLS giúp đơn giản hóa quá trình định tuyến và làm tăng tính linh động của

MPLS được thiết kế để sử dụng ở bất kì môi trường và hình thức đóng gói lớp 2 nào Hầu hết các hình thức đóng gói lớp 2 là dựa trên frame, và MPLS chỉ đơn giản thêm vào nhãn 32 bit giữa mào đầu lớp 2 và lớp 3, gọi là shim header Phương thức đóng gói này gọi là Frame-mode MPLS

không thể được thêm vào trong mỗi cell MPLS sử dụng các giá trị VPI/VCI trong mào đầu ATM để làm nhãn Phương thức đóng gói này được gọi là Cell-mode MPLS Trong khi đó FrameRelay sử dụng DLCI làm nhãn

Đối với các dạng gói tin không có cấu trúc nhãn, thì một khung 4 bytes được chèn vào như trong hình vẽ:

Hình 2.3: Cấu trúc nhãn [4]

• Label: là nhãn thực sự, có chiều dài là 20 bit Do đó ta có thể tạo ra được 220 – 1 hay 1.048.575 giá trị nhãn khác nhau

• Exp: trường Experimental có 3 bit, được dùng để định nghĩa lớp dịch vụ

• S: bit S là bit bottom-of-stack (dưới cùng của chồng nhãn) Một gói tin có thể

có nhiều nhãn, nếu nhãn thêm vào chồng nhãn là cuối cùng thì bit này được thiết lập lên 1

• TTL: trường Time to live có 8 bit, trường này mang ý nghĩa giống như bên IP Tức là nó sẽ giảm đi 1 khi qua mỗi hop để ngăn chặn routing loop

Đối với các khung PPP hay Ethernet giá trị nhận dạng giao thức P-Id (hoặt Ethetype) được chèn vào đầu khung tương ứng để thông báo khung là MPLS unicast hay multicast

Có hai kiểu nhãn:

- Kiểu khung:

Hình 2.4: Nhãn kiểu khung [2]

Kiểu khung là thuật ngữ khi chuyển tiếp một gói với nhãn gắn trước tiêu đề lớp

ba Một nhãn được mã hóa với 20 bit, nghĩa là có thể có 220 giá trị khác nhau Một gói

có nhiều nhãn, gọi là chồng nhãn (label stack) Ở mỗi chặng trong mạng chỉ có một nhãn bên ngoài được xem xét Hình trên mô tả định dạng tiêu đề của MPLS

và thông tin cổng ra tương ứng Cuối cùng, bộ định tuyến ngõ ra (egress router) sắp xếp lại các tế bào thành một gói

Bảng này gồm các trường sau:

Hình 2.5: Nhãn kiểu tế bào [2]

GFC (Generic Flow Control): Điều khiển luồng chung

VPI (Virtual Parth Identifier): Nhận dạng đường ảo

VCI (Virtual Chanel Identifier): Nhận dạng kênh ảo

PT (Payload Type): chỉ thị kiểu trường tin

CLP (Cell loss Priority): Chức năng chỉ thị ưu tiên hủy bỏ tế bào

HEC (Header Error Check): Kiểm tra lỗi tiêu đề

2.2.3.2 Ngăn xếp nhãn (Label Stack)

Nhãn của gói tin đi ra gói là nhãn ngõ ra, tương tự cho nhãn của gói tin đi vào gói là nhãn ngõ vào Một gói tin có thể có cả nhãn ngõ ra và ngõ vào, có thể có nhãn ngõ vào mà không có nhãn ngõ ra hoặc là ngược lại Thường thường, một gói tin có thể có nhiều nhãn được gọi là chồng nhãn (lable stack) Các nhãn trong chồng nhãn được tổ chức theo kiểu chồng nhãn LIFO (last-in, first-out) Một gói tin không có gắn nhãn được xem là có chiều sâu chồng nhãn bằng 0 Chiều sâu d của chồng nhãn tương ứng với trình từ của nhãn trong chồng nhãn <1,2,3….,d-1,d> với nhãn 1 ở đáy chồng

2.2.3.4 MPLS và mô hình tham chiếu OSI

Lớp 2, tầng liên kết dữ liệu, quan tâm đến việc định dạng của các frame Ví dụ của tầng liên kết dữ liệu là: Ethernet, PPP, HDLC, va Frame Relay Điểm quan trọng của tầng liên kết dữ liệu là chỉ có một liên kết giữa hai máy tính, nhưng không vượt quá Điều này có nghĩa là tiêu đề tầng liên kết dữ liệu luôn luôn được thay đổi bởi máy tính ở đầu kia của liên kết Lớp 3, tầng mạng, liên quan đến định dạng của gói tin từ điểm cuối đến điểm cuối Nó có ý nghĩa vượt ra ngoài liên kết dữ liệu Ví dụ được biết nhiều nhất của một giao thức hoạt động ở lớp là IP Trường hợp nào MPLS phù hợp? MPLS không đơn thuần là một giao thức thuộc lớp 2 bởi vì sự đóng gói ở lớp 2 vẫn còn hiện diện cùng với các gói tin đã được dán nhãn, nó được thiết kế để hoạt động tương thích các yêu cầu của nhiều công nghệ mạng liên kết dữ liệu khác nhau MPLS cũng không thực sự là một giao thức lớp 3 bởi vì nó không có khả năng tự định tuyến hoặc có sơ đồ địa chỉ (điều kiện buộc phải có ở lớp 3) Đối với môi trường ứng dụng

IP, MPLS sử dụng cách đánh địa chỉ và các giao thức định tuyến hiện có với sự điều chỉnh và bổ sung Do đó, MPLS không phù hợp trong mô hình phân lớp OSI quá tốt

Có lẽ việc dễ nhất để làm là xem MPLS như là một công nghệ lớp 2,5 và được làm

việc với nó Mô hình này chỉ ra rằng MPLS không phải là lớp mới mà nó là một phần

ảo của mặt bằng điều khiển dưới lớp mạng và trên lớp liên kết dữ liệu

Hình 2.7: Mô hình tham chiếu OSI [4]

Giao thức MPLS hoạt động dựa trên sự kết hợp giữa chuyển mạch lớp 2 và định tuyến lớp 3 để chuyển tiếp gói tin bằng cách sử dụng các nhãn có chiều dài cố định

Hình 2.8: Giao thức MPLS [4]

2.2.3.5 Cấu trúc một nút MPLS

Một nút của MPLS có hai mặt phẳng là mặt phẳng chuyển tiếp MPLS và mặt phẳng điều khiển MPLS Các thành phần của hai mặt phẳng này minh họa rõ trong

hình (Hình 2.9) Cụ thể ý nghĩa từng thành phần được mô tả tiếp như sau:

Cơ sở thông tin nhãn LIB (Label Information Base): Được xem là cơ sở dữ liệu cho tất cả các giao thức phân phối nhãn

Bảng định tuyến IP RIB : Được xem là cơ sở dữ liệu cho tất cả các giao thức phân phối IP

Kỹ thuật chuyển mạch nhãn Cisco Express Forwarding (CEF): Là nền tảng cho MPLS và hoạt động trên các bộ định tuyến của Cisco CEF tránh việc viết lại cache trong môi trường lõi IP bằng cách sử dụng một cơ sở thông tin chuyển tiếp FIB để quyết định chuyển mạch Nó phản ánh toàn bộ nội dung của bảng định tuyến IP, ánh

xạ 1-1 giữa FIB và bảng định tuyến Khi bộ định tuyến sử dụng CEF, nó duy trì tối thiểu 1 FIB, chứa một ánh xạ các mạng đích trong bảng định tuyến với các trạm kế tiếp tương ứng

Hình 2.9: Cấu trúc một nút MPLS [1]

FIB (Forwarding information based): Sẽ ánh xạ từ một gói tin IP không nhãn thành gói tin MPLS có nhãn ở ngõ vào của router biên hoặc từ gói tin IP không nhãn thành gói tin IP không nhãn ở ngõ ra của router biên, bảng này được hình thành từ bảng routing table, từ giao thức phân phối nhãn LDP và từ bảng tra LFIB

LFIB (Label Forwarding Information Base): Là bảng chứa đựng thông tin các nhãn đến các mạng đích, một gói tin có nhãn khi đi vào một router nó sẽ sử dụng bảng tra LFIB để tìm ra hop kế tiếp, ngõ ra của gói tin này có thể là gói tin có nhãn cũng có thể là gói tin không nhãn

Hai bảng tra FIB và LFIB có giá trị như bảng routing table trong mạng IP, nhưng trong mạng IP thì bảng routing table có số entry rất lớn khoảng vài ngàn, còn với FIB và LFIB số nhãn mà nó nắm giữa rất ít khoảng vài chục là tối đa

2.2.3.6 Lớp chuyển tiếp tương đương FEC (Forward Equivalence Class)

FEC mô tả sự kết hợ các gói tin có cùng địa chỉ đích của người nhận cuối thành các lớp để có những chính sách xử lý tương ứng Giá trị FEC trong gói tin có thể thiết lập mức độ ưu tiên cho việc điều khiển gói nhằm hỗ trợ hiệu quả hoạt động của QoS (Quality of Services) Đối với các dịch vụ khác nhau thì FEC khác nhau với các thông

số ánh xạ khác nhau Việc ánh xạ một gói vào một FEC có thể đạt được nhờ vào một

động của LSR ngõ vào, ra Do đó thường thì các LSR ngõ vào và ra là các Router có khả năng xử lý mạnh

2.2.3.7 Đường chuyển mạch nhãn LSP (Label Switching Parth)

Đường chuyển mạch nhãn được thiết lập từ ingress LSR (ingress Label Switching Router - dữ liệu đầu vào là gói tin IP truyền thống, ingress LSR sẽ ấn định nhãn cho gói thông tin này) đến egress LSR (egress Label Switching Router - gỡ bỏ nhãn cho gói dữ liệu khi ra khỏi mạng lõi MPLS) LSP được xây dựng bằng các giao thức như LDP (Label Distributed Protocol), RSVP (Resource Reservation Protocol),…Một LSP nối từ đầu cuối đến đầu cuối gọi là đường hầm LSP (LSP tunnel) – liên kết các đoạn LSP giữa các nút

2.2.3.8 Cơ sở thông tin nhãn LIB (Label Information Base)

Mỗi LSR phải xây dựng một bảng thông tin sử dụng cho việc định tuyến và chuyển tiếp các gói tin trong mạng Trong bảng chứa sẽ chứa những thông tin liên quan đến nhãn, địa chỉ, trạm kế,… để xác định rõ ràng cách thức chuyển tiếp gói dữ liệu như thế nào

2.2.4 Phương thức hoạt động của công nghệ MPLS

- MPLS hoạt động trong lõi mạng IP Các Router trong lõi phải kích hoạt MPLS

trên từng giao tiếp Nhãn được gắn thêm vào gói IP khi gói đi vào mạng MPLS Nhãn được tách ra khi gói đi ra khỏi mạng MPLS Nhãn (Label) được chèn vào giữa header lớp ba và header lớp hai MPLS tập trung vào quá trình hoán đổi nhãn Một trong những thế mạnh của kiến trúc MPLS là tự định nghĩa chồng nhãn

- Công thức để gán nhãn gói tin là: Network Layer Packet + MPLS Label Stack

- Không gian nhãn (Label Space): có hai loại

 Một là: các giao tiếp dùng chung giá trị nhãn (per-platform label space)

 Hai là: mỗi giao tiếp mang giá trị nhãn riêng (per-interface Label Space)

- Bộ định tuyến chuyển nhãn (LSR- Label Switch Router): ra quyết định chặng

kế tiếp dựa trên nội dung của nhãn

- Con đường chuyển nhãn (LSP – Label Switch Path): xác định đường đi của gói

tin MPLS Gồm hai loại:

 Hop by hop signal LSP: xác định đường đi khả thi nhất