Mạng riêng ảo MPLS và thực tế triển khai tại Bưu điện Hà Nội

Mạng riêng ảo MPLS và thực tế triển khai tại Bưu điện Hà Nội Mạng riêng ảo MPLS và thực tế triển khai tại Bưu điện Hà Nội Mạng riêng ảo MPLS và thực tế triển khai tại Bưu điện Hà Nội luận văn tốt nghiệp,luận văn thạc sĩ, luận văn cao học, luận văn đại học, luận án tiến sĩ, đồ án tốt nghiệp luận văn tốt nghiệp,luận văn thạc sĩ, luận văn cao học, luận văn đại học, luận án tiến sĩ, đồ án tốt nghiệp

Cao pHương Huy

Lời cam đoan

Tôi xin cam đoan toàn bộ nội dung đề cập trong luận văn “Mạng riêng

ảo MPLS và thực tế triển khai tại Bưu điện Hà Nội” được viết dựa trên kết quả nghiên cứu theo đề cương bởi cá nhân tôi dưới sự hướng dẫn của PGS.TS Phạm Minh Hà Mọi thông tin và số liệu tham khảo đều được trích dẫn đầy đủ nguồn và sử dụng đúng theo luật bản quyền quy định Tôi xin hoàn toàn chịu trách nhiệm về nội dung luận văn của mình

Học viên cao học

CAO PHƯƠNG HUY

MụC LụC

18T Lời cam đoan 18T 1

18T MụC LụC 18T 2

18T Các từ viết tắt 18T 4

18T Danh mục các bảng 18 T 5

18T Danh mục các hình vẽ 18T 5

18T LờI Mở ĐầU 18T 6

18T Chương I: Tổng quan về Công nghệ chuyển mạch nhãn đa giao thức và mạng riêng ảo 18T 7

18T I.1 tổng quan về Công nghệ chuyển mạch nhãn đa giao thức 18T 7

18T I.1.1 Nhu cầu và lịch sử phát triển của chuyển mạch nhãn đa giao thức 18T 7

18T I.1.2 Cơ chế hoạt động trong mạng chuyển mạch nhãn đa giao thức 18T 8

18TI.1.2.1 Các thành phần chính trong một mạng MPLS18T 8

18TI.1.2.2 Cơ chế hoạt động của MPLS18T 9

18T I.2 Tổng quan về mạng riêng ảo 18T 18

18T I.2.1 Khái niệm và phân loại 18T 18

18T I.2.2 Công nghệ IPSec VPN 18T 20

18TI.2.2.1 Các thành phần chính của một IPSec VPN18T 20

18TI.2.2.2 – Các công nghệ tạo đường hầm18T 22

18T Chương II: mạng riêng ảo trên nền chuyển mạch nhãn đa giao thức 18T 41

18T II.1 Các thành phần trong MPLS VPN 18T 41

18T II.1.1 Đường hầm LSP 18T 42

18T II.1.2 VPN Traffic Engineering – VPN TE 18T 43

18T II.2 Các mô hình MPLS VPN 18T 47

18T II.2.1 MPLS cho kết nối riêng ảo 18T 47

18T II.2.2 MPLS kết nối mạng LAN ảo (VPLS-Virtual Private Lan Service) 18T 48

18T II.2.3 MPLS for VPRN (Virtual Private Routed Network) 18T 49

18T II.2.4 Các mô hình triển khai MPLS VPN nhìn từ góc độ quản lý 18T 49

18T II.3 CÔNG NGHệ BGP/MPLS VPN 18T 51

18TII.3.1.2 Router biên của nhà cung cấp18T 53

18TII.3.1.3 Router lõi của nhà cung cấp18T 54

18TII.3.1.4 Virtual Route Forwarding (VRF)18T 54

18T II.3.2 Mô hình hoạt động BGP/MPLS VPN 18T 56

18TII.3.2.1 Luồng điều khiển18T 56

18TII.3.2.2 Luồng dữ liệu18T 59

18TII.3.2.3 Phân bổ nhãn18T 60

18T II.3.3 Xem xét ví dụ BGP/MPLS VPN 18T 61

18T II.3.4 Ưu điểm và nhược điểm của MPLS VPN 18T 63

18TII.3.4.1 Ưu điểm18T 63

18TII.3.4.2 Nhược điểm của MPLS VPN18T 64

18T chương iii thực tế cung cấp dịch vụ mạng riêng ảo tại bưu điện thành phố hà nội 18T 65

18T III.1 Giới thiệu sơ lược mạng Internet Bưu điện Hà Nội 18T 65

18T III.1.1 Các công nghệ và giao thức truyền dẫn được sử dụng 18T 67

18T III.1.2 Các thiết bị được sử dụng trong mạng 18T 67

18TIII.1.2.1 Các thiết bị được sử dụng đóng vai trò Provider Edge Router18T 67

18TIII.1.2.2 Các thiết bị ghép kênh được sử dụng18T 70

18T III.2 Giới thiệu tổng quan mạng core MPLS của VNPT 18T 74

18T III.3 Cung cấp Dịch vụ mạng riêng ảo tại Bưu điện Hà Nội – tình hình triển khai, khó khăn và hướng giải quyết 18T 76

18T III.3.1 Cấu hình thiết bị để tạo một VPN cho khách hàng 18T 76

18TIII.3.1.1 Từ khách hàng đến PE18T 76

18TIII.3.1.2 Liên kết giữa các VRF trên các thiết bị CE.18T 80

18T III.3.2 Một số mô hình được triển khai tại Bưu điện Hà Nội 18T 81

18TIII.3.2.1 Mô hình cung cấp hai dịch vụ mạng riêng ảo và Internet đồng thời18T 81 18TIII.3.2.2 Hai mô hình Full-mesh và Hub-and-spoke18T 83

18T III.3.3 Các vấn đề thực tế và hướng giải quyết 18T 84

18T Kết luận 18T 87

18T Tài liệu tham khảo 18T 88

18T Tóm tắt luận văn 18T 89

C¸c tõ viÕt t¾t

AH Authentication Header

ATM Asynchronous Tranfer Mode

BGP Border Gateway Protocol

BRAS Broadband Remote Access Server

CBR Constant Bit Rate

CE Customer Equipment

CoS Class of Service

CR-LDP Constraint-based Routed LDP

DSL Digital Subscriber Line

DSLAM Digital Subscriber Access Multiplexer

ESP Encapsulating Security Payload

FEC Forwarding Equivalence Class

IP Internet Protocol

L2TP Layer 2 Tunneling Protocol

LDAP Lightweight Directory Access Protocol

LDP Label Distribution Protocol

LER Label Edge Router

LSP Label Switching Path

LSR Label Switching Router

MPLS Multi-Protocol Label Switching

NAS Network Access Server

OSPF Open Shortest Path First

PE Provider Edge

PPP Point-To-Point Protocol

PPTP Point-To-Point Tunneling Protocol

QoS Quality of Service

RADIUS Remote Authentication Dial In User Service

RD Route Distinguisher

RSVP Resource Reservation Protocol

RSVP-TE RSVP Traffic Engineering

VNPT Vietnam Posts and Telecoms Group

VPLS Virtual Private Lan Service

Danh mục các bảng

Bảng 3.1 Các vấn đề đã gặp phải khi triển khai tại BĐHN Trang 86

Danh mục các hình vẽ

Hình 1.1 Cấu trúc của một mạng MPLS Trang 8

Hình 1.3 Tổng quan về sự phân loại VPN Trang 19 Hình 1.4 Gói kết nối điều khiển PPTP Trang 25

Hình 1.6 Cấu trúc dữ liệu đóng gói PPTP qua đường hầm Trang 27 Hình 1.7 Thông điệp điều khiển L2TP Trang 32 Hình 1.8 AH trong chế độ truyền tải Trang 38 Hình 1.9 AH trong chế độ đường hầm Trang 38

Hình 2.2 Các thành phần trong BGP/MPLS VPN Trang 52

Hình 2.6 Ví dụ hoạt động của mạng BGP/MPLS VPN Trang 61 Hình 3.1 Sơ đồ tổng quan hạ tầng mạng Internet BĐHN Trang 66 Hình 3.2 Thiết bị ERX 1410 đóng vai trò PE router Trang 68 Hình 3.3 Thiết bị Mini DSLAM của Siemens Trang 71 Hình 3.4 Các module của Mini DSLAM Trang 72 Hình 3.5 Sơ đồ tổng quát mạng core MPLS của VNPT Trang 75 Hình 3.6 Mô hình thực thể kết nối từ VPN Site đến PE Trang 76 Hình 3.7 Modem hoạt động ở chế độ Router Trang 77 Hình 3.8 Modem hoạt động ở chế độ Bridge Trang 78 Hình 3.9 Chỉ có một liên kết vật lý từ CE đến PE Trang 82 Hình 3.10 Kết nối lớp 3- hai kết nối WAN từ Router đầu cuối Trang 83

LờI Mở ĐầU

Trong một thập niên trở lại đây, sự phát triển với tốc độ rất nhanh của mạng Internet trên thế giới nói chung và ở Việt Nam nói riêng đã thúc đẩy sự phát triển hàng loạt các dịch vụ mới, đáp ứng với nhu cầu đa dạng của việc ứng dụng công nghệ thông tin trong trong thời đại mới Mạng Internet phát triển tạo rất nhiều thuận lợi trong việc trao đổi và tìm kiếm thông tin trong một không gian rộng lớn Tuy nhiên, bên cạnh đó, do đặc tính không an toàn của nó, mạng Internet cũng đặt ra vấn đề rất lớn về anh ninh và bảo mật Dịch

vụ mạng riêng ảo ra đời đã góp phần giải quyết vấn đề đó với mục đích sử dụng các công nghệ để kết nối các máy tính hay các mạng nội bộ của cùng một cá nhân hoặc tổ chức thông qua các mạng công cộng (phổ biến nhất vẫn

là mạng Internet) mà vẫn có được tính bảo mật như một mạng được thiết lập dùng riêng Mạng riêng ảo ra đời còn làm đơn giản hóa và dễ dạng thiết lập một mạng có tính chất dùng riêng linh hoạt với giá thành rất thấp mà một mạng riêng thực sự không đáp ứng được

Khái niệm mạng riêng ảo đã xuất hiện nhiều năm nay, nhưng càng ngày càng có nhiều công nghệ triển khai mạng riêng ảo tiên tiến, ưu việt hơn và phù hợp cho nhiều đối tượng sử dụng Mạng riêng ảo trên nền công nghệ chuyển mạch nhãn đa giao thức là một công nghệ cung cấp mạng riêng ảo ra đời gần

đây nhưng nó đã thể hiện một số ưu điểm vượt trội, đặc biệt là ở góc độ của nhà cung cấp dịch vụ

Luận văn này trình bầy về mạng riêng ảo trên nền công nghệ chuyển mạch nhãn đa giao thức và việc ứng dụng nó vào triển khai cung cấp dịch vụ tại Bưu điện Thành phố Hà Nội

Chương I:

Tổng quan về Công nghệ chuyển mạch nhãn đa giao thức

và mạng riêng ảo

I.1 tổng quan về Công nghệ chuyển mạch nhãn đa giao thức

I.1.1 Nhu cầu và lịch sử phát triển của chuyển mạch nhãn đa giao thức

Những năm gần đây, mạng Internet toàn cầu phát triển rất mạnh mẽ với Internet Protocol (IP) là thành phần chính trong kiến trúc của nó Tuyệt đại đa

số các mạng máy tính trên thế giới cũng đều sử dụng công nghệ IP Thực tế cũng cho thấy, các phương tiện thông tin truyền thống và hiện đại như thoại, truyền thanh, truyền hình, hội nghị truyền hình cũng đều được IP hóa dần dần Lý do là IP là giao thức chuyển mạch gói có độ tin cậy và khả năng mở rộng cao Tuy nhiên, do IP sử dụng phương thức định tuyến theo từng chặng nên việc điều khiển lưu lượng rất khó thực hiện Đồng thời, IP cung cũng không hỗ trợ chất lượng dịch vụ

Trước đó, Asynchronous Tranfer Mode (ATM) là công nghệ truyền dẫn tốc độ cao đã khá biến ở các nước phát triển Quá trình chuyển tế bào của ATM cũng tương tự như việc chuyển tin qua router Tuy nhiên, ATM chuyển mạch nhanh hơn vì nhãn trên cell có kích thước cố định (nhỏ hơn của IP), ATM không phải đọc bảng định tuyến, kích thước bảng chuyển tin nhỏ hơn nhiều so với của IP router, và việc này được thực hiện trên các thiết bị phần cứng chuyên dụng

Do đó, ngành công nghiệp viễn thông có nhu cầu tìm một phương thức chuyển mạch có thể phối hợp ưu điểm của IP (như cơ cấu định tuyến) và của ATM (như thông lượng chuyển mạch)

Cơ chế chuyển mạch nhãn đa giao thức (Multi Protocol Layer Switching MPLS) được xây dựng trên cơ sở chuyển mạch thẻ của Cisco, một cơ chế xuất phát từ ý tưởng chuyển mạch IP, một phương pháp để chuyển mạch các gói tin IP trên ATM được Ipsilon Networks đề xuất Từ đó, MPLS

đã được IETF tiêu chuẩn hoá, đưa ra một cấu trúc hướng kết nối vào trong mạng IP không hướng kết nối

I.1.2 Cơ chế hoạt động trong mạng chuyển mạch nhãn đa giao thức

PE

ELSR ELSR

C Network

(Customer Control)

C Network (Customer Control) LDP

Hình 1.1 Cấu trúc của một mạng MPLS

I.1.2.1 Các thành phần chính trong một mạng MPLS

Dưới đây ta xem xét một số khái niệm trong mạng MPLS:

- FEC (Forwarding Equivalence Class) là một nhóm các gói tin ở lớp mạng được gán nhãn giống nhau và gửi đi theo một đường đi cụ thể

số như địa chỉ IP nguồn hoặc đích, cổng nguồn hoặc đích, mã Diffserv

- Nhãn (Label): Một định dạng liên tục có độ dài cố định và ngắn

được dùng để nhận diện các FEC; nó lựa chọn chuyển gói tin đi thể nào

- LSR (Label Switching Router): là router có hỗ trợ các thủ tục phân

bổ nhãn, có thể chuyển các gói tin đi dựa vào nhãn, gọi là các node mạng

- LER( Label Edge Router-Edge LSR): là các LSR ở biên mạng MPLS trong MPLS domain có thể thực hiện chức năng đánh nhãn, gồm có LER vào (Ingress LER) và LER ra (Egress LER) LSR nào

có bất kỳ giao diện nào không thuộc MPLS đều có thể được coi như

là một LSR LER kết nối trực tiếp với các router của khách hàng

- LSP (Label Switching Path) là đường đi xuất phát từ một LSR và kết thúc tại một LSR khác Tất cả các gói tin có cùng giá trị nhãn sẽ đi trên cùng một LSP

- MPLS domain là tập các nút mạng MPLS kề nhau hoặc kết nối với nhau

I.1.2.2 Cơ chế hoạt động của MPLS

Điểm cơ bản của MPLS là thay đổi các thiết bị lớp 2 trong mạng như các thiết bị chuyển mạch ATM thành các LSR LSR có thể được xem như một

sự kết hợp giữa hệ thống chuyển mạch ATM với các router truyền thống MPLS sinh ra các nhãn độ dài ngắn cố định hiện diện ở địa chỉ lớp 3 của một gói tin; tất cả các tác vụ chuyển mạch hoặc định tuyến tiếp theo đều dựa vào nhãn Nhãn được sử dụng trong tiến trình gửi gói tin sau khi đã thiết lập đường

đi

MPLS sử dụng kỹ thuật chuyển mạch nhãn (label switching) để chuyển tiếp dữ liệu trên mạng Nhãn được chèn vào trước của mỗi gói tin tại router

đầu vào của mạng MPLS (LER) Tại mỗi nút LSR dọc theo đường đi trên mạng, mỗi LSR nhận được một gói đã dán nhãn sẽ gỡ bỏ nhãn vào (nhãn cũ)

và gắn nhãn ra (nhãn mới) tương ứng vào gói tin và chuyển tiếp gói tin tới LSR tiếp theo trong mạng

Tuyến đường mà dữ liệu đi qua trong mạng được định nghĩa bằng việc truyền các giá trị nhãn, như là các nhãn được hoán chuyển tại mỗi router LSR Việc ánh xạ giữa các nhãn là không đổi tại mỗi LSR, cho nên đường đi được xác định bởi giá trị nhãn ban đầu Đường đi như vậy gọi là một đường đi chuyển mạch nhãn -Label Switched Path (LSP)

LSP được chia làm 2 loại: Hop by hop signaled LSP - xác định đường đi hiệu quả nhất (best-effort path) và Explicit route signaled LSP(ER-LSP) - xác

định các tuyến đường đi bắt nguồn từ nút gốc

Với Hop by hop LSP, mỗi LSR độc lập nhau chọn nút tiếp theo cho mỗi FEC Lựa chọn này được dùng cho các giao thức định tuyến thông thường như OSPF Nó có một số ưu điểm nhưng do sự giới hạn của việc sử dụng hiệu năng các metric, nó không sẵn sàng hỗ trợ quản lý lưu lượng hoặc chính sách cho QoS hoặc bảo mật

ER-LSP có đầy đủ các ưu điểm của MPLS như khả năng định tuyến linh hoạt, xác định nhiều đường đi đến đích, quản lý lưu lượng linh hoạt, việc tìm đường dựa trên quan hệ ràng buộc như mạng ATM Các ER-LSP động cung cấp khả năng tốt nhất cho việc quản lý lưu lượng

MPLS cũng được áp dụng cho các công nghệ chuyển mạch dữ liệu không phải là gói Đường đi dữ liệu vẫn được định nghĩa bởi việc truyền các

sử dụng để thiết lập các kết nối chéo (gọi là crossconnect) tại các LSR Mỗi khi kết nối chéo được thiết lập, dữ liệu có thể được định tuyến mà không cần phải xem xét nó, do đó không cần phải đặt giá trị nhãn vào mỗi gói Nói cách khác, bước sóng hay khe thời gian cũng chính là nhãn Tại đầu vào của mạng MPLS, mỗi gói được xem xét để xác định LSP nào được dùng và nhãn nào

được gán cho nó Việc quyết định này là vấn đề cục bộ, nhưng cũng giống như việc dựa vào các yếu tố như địa chỉ đích, các yêu cầu về chất lượng dịch vụ và trạng thái hiện tại của mạng Điểm linh hoạt này là một yếu tố cơ bản làm MPLS trở nên hữu ích

Sự khác nhau chính giữa mạng MPLS và mạng IP truyền thống là các LSR được sử dụng trong miền MPLS Các giao thức MPLS được sử dụng để liên lạc giữa các LSR Các router biên MPLS được thiết kế thích ứng với công nghệ IP truyền thống tại biên của vùng MPLS

Do MPLS sử dụng nhãn để quyết định chặng kế tiếp, nên router làm việc ít hơn và hoạt động gần giống như switch Vì các nhãn thể hiện các tuyến

đường trong mạng nên ta có thể điều khiển chính xác quá trình xử lý lưu lượng bằng cách dùng các chính sách gán nhãn

Các thủ tục làm việc MPLS có thể được trình bày một cách ngắn gọn như sau:

- Giao thức phân bổ nhãn LDP cùng các giao thức định tuyến truyền thống (OSPF.v.v ) thiết lập bảng định tuyến và bảng sắp xếp nhãn trong LSR

- Tại router đầu tiên, router LSR ở biên chuyển gói tin xác định nhãn thích hợp tùy vào FEC của mỗi gói, từ đó xác định LSP được dùng, gán nhãn cho gói & chuyển gói đi tiếp tới giao diện phù hợp Việc xác định nhãn dựa vào nhiều đại lượng để điều khiển độ ưu tiên của

lưu lượng, ví dụ địa chỉ đích, cấp ưu tiên CoS Trường EXP trong MPLS header được dùng để mang các thông tin về CoS

- Tại chặng kế tiếp trong mạng MPLS, các LSR bên trong mạng là các LSR trung gian, chúng không thực hiện các thủ tục lớp 3 mà chỉ dùng giá trị nhãn của mỗi gói để xác định nút tiếp theo cần chuyển gói, gán nhãn mới rồi chuyển gói đi tiếp tới nút chuyển mạch phù hợp Thủ tục này thường được thực hiện ở phần cứng, đồng thời hoán

đổi nhãn và chuyển tiếp gói tin, do đó cho phép các mạng MPLS

được xây dựng trên các phần cứng chuyển mạch nhãn có sẵn như ATM và Frame Relay; cách chuyển tiếp gói tin ở mức này thường nhanh hơn nhiều so với việc phải tìm kiếm toàn bộ header của gói tin để quyết định nút tiếp theo

- Tại router đầu ra của MPLS, các gói tin được gỡ bỏ nhãn và được chuyến tới đích cuối cùng Việc chuyển tiếp này sử dụng định tuyến lớp 3

Với MPLS, việc gán gói tin liên quan tới một FEC được thực hiện chỉ một lần tại LER là router đầu tiên xử lý gói tin bắt đầu vào mạng FEC được gán cho mỗi gói tin được mã hóa thành một nhãn Khi một gói tin được chuyển tiếp tới hop tiếp theo của nó, nhãn cũng được gửi kèm theo, do vậy thiết bị tiếp theo trên tuyến đường đi của gói tin đó có thể chuyển tiếp nó dựa trên nhẵn thay vì phải phân tích các thông tin trong header của lớp 3

Vì gói tin được gán vào một FEC ngay khi nó vào mạng MPLS, nên LER dùng để thực việc gán nhãn này có thể dùng bất kỳ thông tin nào có liên quan tới gói tin, ví dụ như bit thứ tự của IP, nguồn/đích hoặc loại ứng dụng , ngay cả những thông tin không liên quan gì tới header Ví dụ, các gói tin đến

từ các port khác nhau có thể được gán vào các FEC khác nhau Trong khi đó

packet header Điều này mang lại khả năng phân loại dịch vụ, với cùng một nhãn không chỉ định nghĩa đích đến của gói tin mà còn định nghĩa độ ưu tiên chuyển tiếp của gói tin đó

Tại tất cả các nút tiếp theo trong mạng, nhãn MPLS chứ không phải IP header được sử dụng để quyết định chuyển tiếp tới nút tiếp theo Tại điểm cuối của mạng MPLS, các LER đích sẽ gỡ bỏ nhãn và chuyển gói tin IP nguyên thủy tới thiết bị của khách hàng Từ phía người dùng, việc gán và gỡ bõ nhãn hoàn toàn trong suốt và không cần phải thay đổi bất kỳ cấu hình nào trên các router của khách hàng

là một phần của mạng MPLS trong mạng ATM chung Hình trên chỉ ra một số

dạng đóng gói MPLS dựa trên cell Phần lõi của mạng MPLS dựa trên cell sẽ bao gồm các bộ chuyển mạch ATM WAN với các phần điều khiển chuyển mạch nhãn

Để các router biên biết được phải gắn nhãn nào cho gói, và để các router bên trong biết cách chuyển tiếp gói dựa trên nhãn, các bảng chuyển tiếp (forwarding table) tại mỗi LSR phải được phân bố với việc ánh xạ từ {giao diện vào, giá trị nhãn } tới {giao diện ra, giá trị nhãn} Thủ tục này gọi là LSP setup, hay phân bổ nhãn -Label Distribution Giao thức phân bổ nhãn còn gọi

là giao thức báo hiệu trong mạng MPLS

Các giao thức báo hiệu báo cho các bộ chuyển mạch dọc theo đường đi biết phải sử dụng nhãn và các đường đi nào cho mỗi LSP Kiến trúc MPLS

được đề cập đến trong RFC 3031 không áp đặt một giao thức cụ thể nào cho việc phân bổ nhãn giữa các LSR Thực tế cho phép sử dụng nhiều giao thức phân bổ nhãn khác nhau trong từng trường hợp cụ thể, bao gồm LDP, CR-LDP (constrain-base routing LDP) , RSVP-TE, BGP4 và OSPF Một số giao thức khác cũng có thể được dùng phụ thuộc yêu cầu của phần cứng và các chính sách quản trị sử dụng trong mạng

- RSVP-TE: được dùng khi cần quản lý lưu lượng (Traffic Engineering)

- LDP: được dùng khi không cần quản lý lưu lượng

- BGP cũng được dùng để kết hợp định tuyến và báo hiệu MPLS trong một số trường hợp, một ví dụ là các mạng BGP/MPLS VPN

a) Giao thức RSVP-TE (RSVP Traffic Engineering):

Là một phương pháp khác của việc thiết lập LSP điểm-điểm đáp ứng

được các yêu cầu về QoS trong mạng MPLS Nó là một mở rộng của giao thức

quản lý lưu lượng (Traffic Engineering) hoặc gán băng thông cố định cho LSP Giao thức RSVP-TE giao tiếp với 2 loại bản tin cơ bản: PATH và RESV Bản tin PATH được gửi tới 1 hay nhiều đích, mỗi khi nhận được PATH, nơi nhận gửi lại bản tin RESV với nhãn của chính bản tin PATH

Các đặc điểm của RSVP-TE gồm duy trì trong trạng thái mềm, cần phải truyền lại các bản tin làm tươi để duy trì LSP; cung cấp việc phân bổ nhãn tới chiều xuống theo yêu cầu, dành các tài nguyên mạng cho các LSP cụ thể; sử dụng IP để truyền bản tin giữa các điểm thay vì TCP, do đó phải điều khiển sự thất thoát của chính bản tin phân bổ

b) Giao thức LDP (Label Distribution Protocol):

LDP thường được dùng để thiết lập MPLS LSP khi không cần thiết phải quản lý lưu lượng (traffic engineering) Nó thiết lập các LSP best-effort theo

các tuyến IP có sẵn, rất thích hợp cho việc thiết lập mạng các LSP liên kết đầy

đủ giữa tất cả các router trong mạng Ưu điểm chính của LDP so với RSVP là

dễ thiết lập một mạng liên kết đầy đủ các đường ống sử dụng chế độ không tự nguyện, do vậy nó thường được sử dụng

LDP có thể hoạt động trong nhiều chế độ để phù hợp theo các yêu cầu khác nhau, tuy nhiên chế độ thông dụng nhất là chế độ tự nguyện (unsolicited), thiết lập liên kết đầy đủ các đường ống giữa các router

Trong chế độ không tự nguyện, router đầu vào gửi một yêu cầu nhãn tới router chặng tiếp theo được xác định từ bảng định tuyến IP của nó Yêu cầu này được chuyển đi qua mỗi router trên mạng theo kiểu từng bước (hop-by-hop) Khi yêu cầu tới được router đầu ra, một bản tin sẽ được trả về Bản tin này xác nhận LSP và báo cho mỗi router ánh xạ nhãn được dùng trên mỗi kết nối cho mỗi LSP

Trong chế độ tự nguyện, router đầu ra quảng bá các ánh xạ nhãn cho mỗi liên kết bên ngoài tới tất cả các router xung quang, thông tin này trải ra

theo các liên kết trong mạng tới khi chúng tới được các router đầu vào Qua mỗi nút, chúng báo cho các router phía trên về ánh xạ nhãn được dùng cho mỗi liên kết bên ngoài, và bằng cách “flooding” mạng, chúng thiết lập các LSPs giữa tất cả các liên kết bên ngoài

+ Giao thức CR-LDP (Constraint-based routed LDP): Là một phương pháp

thiết lập LSP và QoS điểm-điểm trong mạng MPLS Các thuộc tính có ý nghĩa

đặc biệt khi cố gắng quản lý các kết nối trên mạng Internet công cộng hoặc khi thiết lập một VPN CR-LDP cho phép các tuyến nguồn, sử dụng cả 2 bước nhảy chặt và lỏng, cung cấp độ linh hoạt cao nhất khi xây dựng một đường đi

cụ thể trên mạng; nó cũng có khả năng xác lập băng thông dựa vào độ ưu tiên của LSP, tuy nhiên tới nay, CR-LDP hiếm khi được sử dụng và đã không còn

được IETF phát triển nữa

Các khả năng của CR-LDP bao gồm: Duy trì trong trạng thái cứng và

có thể coi như là một kết nối vội vàng, có cả thiết lập nguồn và ngắt kết nối nguồn, không cần phải làm tươi, mỗi khi trang thái UP, nó giữ nguyên trạng thái cho tới khi bị làm down và cung cấp một cơ chế khám phá lân cận bằng cách gửi Multicast các gói tin Hello (UDP) tới các cổng LDP để tìm tất cả các LSR kết nối trực tiếp

LDP hay TDP hoạt động giữa các router chạy MPLS để phân bổ thông tin ghép nhãn Khi một router cấu hình MPLS, cấu trúc cơ sở thông tin nhãn (LIB) được tạo ra trong router Lúc này, mỗi tiền tố IP trong bảng định tuyến

được gán một nhãn MPLS và thông tin liên kết được lưu trong LIB LDP hay TDP dùng để phân bổ thông tin ghép nhãn/tiền tố IP tới tất cả các router MPLS láng giềng

Bản chất là một LSP được thiết lập từ yêu cầu của LSR phía đầu vào, hoặc bởi các LSR bên trong mạng, bao gồm cả các LSR đầu ra

Các router láng giềng lưu trữ thông tin ghép nhãn trong LFIB (cơ sở thông tin chuyển tiếp nhãn) nếu thông tin ghép nhãn từ láng giềng phía trước, nghĩa là thông tin này đến từ láng giềng được dùng như là chặng kế IGP để

đến đích Thông tin ghép nhãn từ router chặng kế và ghép nhãn cục bộ được

đưa vào LFIB Nếu không có thông tin ghép nhãn từ router chặng kế, LFIB

đánh dấu tiền tố đó là không gắn nhãn, router sẽ chuyển tiếp gói không dùng nhãn Nếu mạng kết nối trực tiếp với router, LFIB gán nhãn null cho tiền tố cho router biết rằng cần thiết phải chuyển tiếp IP cho gói

Các ý tưởng mới được IETF đưa ra trong MPLS Generalized Signaling cũng cho phép các nhãn được đẩy lên từ hướng đích trở lại để thiết lập LSP 2 hướng; một cách khác, các LSP có thể được cấu hình là LSP tĩnh bằng cách lập trình ghép nhãn tại mỗi LSP trên đường đi sử dụng một số mẫu quản lý như SNMP/MIB

Do mỗi khi các nhãn được yêu cầu cho một LSP được trao đổi giữa các LSR, lập tức các LSR chuyển tiếp LSP không cần xem xét nội dung của gói tin được chuyển theo LSP nên các LSP thường giống một đường hầm Điều này có nghĩa toàn bộ tải dữ liệu, bao gồm cả IP headers, có thể được mã hóa

an toàn mà không làm hỏng khả năng truyền tải dữ liệu của mạng

Một trong những thế mạnh của MPLS là định nghĩa các ngăn xếp nhãn (label stack), nghĩa là có thể chèn nhiều nhãn vào một gói tin, do đó nó có thể

hỗ trợ được thiết kế định tuyến có cấu trúc Có thể có nhiều nhãn chồng giữa các header để xác định LER đích và giao diện của khách hàng trên LER sẽ chuyển tiếp gói tin đi Ngăn xếp nhãn được tổ chức theo kiểu LIFO (last in fist out), tại mỗi LSR, các nhãn đều có thể được thêm vào hoặc gỡ bỏ khỏi ngăn xếp nhãn Điều này cho phép kết hợp nhiều LSP thành một LSP duy nhất Ngăn xếp nhãn cho phép giảm cả kích thước của các bảng chuyển tiếp duy trì

trên các LSR ở mạng lõi, và làm giảm độ phức tạp của việc quản lý dữ liệu chuyển tiếp dọc theo mạng trục

Khi một thiết bị xác định 1 nhãn, nó có thể xác định từ :

- Vùng nhãn toàn cục (Per-Platform Label Space): Nhãn có ý nghĩa toàn cục bên trong thiết bị và do đó giao diện ra và nhãn cho LSP có thể được nhận diện chỉ bằng nhãn Nó quảng bá nhãn cho tất cả các router kế cận nó, bảng lưu thông tin nhãn LFIB không chứa interface Các router khác có thể gửi gói vào mạng ngay cả khi không nhận được nhãn, do vậy phương pháp này không có sự bảo mật, thường được dùng giữa các kết nối router-router

- Vùng nhãn trên giao diện.( Per-Interface Label Space): mỗi interface mang giá trị nhãn riêng, LFIB có thêm thông tin về interface, nhãn vào chỉ có thể được hiểu bởi giao diện vào, nghĩa là router chỉ nhận gói tin từ interface đã phân bổ nhãn đi, do vậy có độ bảo mật cao hơn Phương pháp này thường dùng trong các kết nối router-ATM switch

Cần chú ý rằng một thiết bị có thể sử dụng các không gian nhãn trên giao diện cho một vài giao diện và sử dụng vùng nhãn toàn cục cho các giao diện khác Việc sử dụng vùng nhãn toàn cục cho tất cả các giao diện trên thiết

bị đem lại độ linh hoạt lớn nhất cho quá trình định tuyến lại nhưng lại làm giảm độ linh hoạt chiếm giữ của các nhãn

I.2 Tổng quan về mạng riêng ảo

I.2.1 Khái niệm và phân loại

Cho tới giờ, luôn có một sự phân biệt rõ rạng giữa các mạng chung và

Internet, là một tập hợp rộng lớn các thiết bị ngang hàng không liên quan trao

đổi thông tin nhiều hay ít tự do hơn với nhau

Một mạng riêng được lập ra gồm các máy tính được sở hữu bởi một tổ chức duy nhất chia sẻ thông tin đặc biệt với nhau Họ được đảm bảo là họ sẽ là người dùng duy nhất sử dụng mạng đó, và thông tin đó được gửi đi giữa họ trong trường hợp tồi tệ nhất thì cũng chỉ được biết bởi những người khác trong nhóm đó mà thôi

Mạng riêng ảo (virtual private network – VPN) là một khái niệm không rõ ràng nằm giữa mạng chung và mạng riêng Các VPN cho phép chúng ta tạo rạo ra một mạng riêng, an toàn thông qua một mạng chung ví dụ như mạng Internet Chúng có thể được tạo ra bằng phần mềm, phần cứng hoặc cả hai để tạo ra một kết nối an toàn giữa những người dùng ngang hàng của một mạng chung Việc này được thực hiện thông qua mã hóa, xác thực, tạo

đường hầm và các tường lửa

Có thể phân loại các VPN theo nhiều cách tiếp cận khác nhau Dưới đây

là tổng quan về phân loại các VPN

Hình 1.3: Tổng quan về sự phân loại VPN

I.2.2 Công nghệ IPSec VPN

I.2.2.1 Các thành phần chính của một IPSec VPN

Chúng ta xem xét khái niệm về các thành phần cơ bản trong mạng VPN:

a) Máy chủ truy cập mạng

Network Access Server (NAS) là máy chủ cung cấp dịch vụ truy cập mạng Nếu NAS đặt tại mạng riêng của một công ty thì nó gọi là máy phục vụ truy cập từ xa Nếu được đặt trong mạng công cộng thì nó cung cấp dịch vụ truy cập tới hạ tầng mạng dùng chung được quản lý bởi nhà cung cấp dịch vụ

Định tuyến và lọc gói là các chức năng chính được hỗ trợ bởi các thiết bị này

b) Router

Router là thiết bị có chức năng tìm đường (định tuyến) và chuyển tiếp gói tin, hoạt động ở lớp mạng (tương ứng lớp 3 trong mô hình OSI) Các router

có thể được đặt cả ở phía mạng của một công ty và phía SP

c) Máy nguồn và máy đích đường hầm

Các máy nguồn và máy đích đuờng hầm thiết lập hoặc huỷ bỏ các

đường hầm Tất cả người sử dụng dịch vụ VPN được xác thực sẽ truy cập các tài nguyên trên mạng riêng của công ty thông qua một đường hầm, đường hầm này được kết thúc tại máy đích đường hầm Sau đó nó sẽ chuyển các gói tin nhận được từ đường hầm tới máy tương ứng Nếu đây là phiên khởi tạo thì đầu tiên người gửi sẽ được xác thực, dựa vào đó người sử dụng sẽ được chấp nhận hoặc bị loại bỏ

d) Máy chủ xác thực và máy chủ LDAP

Khi một client kết nối vào NAS, NAS phải xác định xem client muốn truy cập tới Internet hay là sử dụng dịch vụ VPN để truy cập vào tài nguyên trong mạng riêng của công ty họ Các SP và các công ty có thể chọn lựa các

quyền truy cập đến các tài nguyên khác nhau trên mạng của họ cho những người sử dụng khác nhau

Trong nhiều trường hợp một máy phục vụ được sử dụng cho việc xác thực, cấp phép và ghi lại các thông tin truy cập Có hai loại chính được sử dụng là Terminal Access Controller Access Control System (TACACS+) và Remote Authentication Dial In User Server (RADIUS)

Một NAS hoặc một máy đích đường hầm sử dụng giao thức TACACS+

để liên lạc với máy phục vụ TACACS+ RADIUS cũng làm việc theo cơ chế như vậy Nó là phiên bản sau, mã hoá dữ liệu trao đổi giữa nó với NAS hoặc máy đích đường hầm, trong khi TACACS không mã hoá dữ liệu được trao đổi Các máy phục vụ này có một cơ sở dữ liệu cùng với các hồ sơ người sử dụng Những người sử dụng được cấp phép sẽ được gán các quyền riêng để truy cập vào các thiết bị hoặc các dịch vụ mạng cụ thể

Máy chủ LDAP quản lý một cơ sở dữ liệu tập trung, cơ sở dữ liệu này

có thể chứa tất cả các loại thông tin, ví dụ như các thuật toán bảo mật để sử dụng cho các phiên truyền thông riêng biệt, số lần làm tươi khoá, chứng chỉ khoá công khai, thông tin về hồ sơ người sử dụng

Các thông tin được lưu trữ dưới dạng đã được chuẩn hoá sao cho các thông tin này có thể được truy cập bằng cách sử dụng LDAP (Lightweight Directory Access Protocol)

e) Firewall

Firewall được dùng để bảo vệ mạng riêng khỏi bị các truy cập bất hợp pháp, tất cả các gói tin vào hoặc ra khỏi mạng sẽ được kiểm tra và firewall sẽ quyết định cho qua hay cấm các gói tin này Thông thường một Firewall là kết hợp một router và gateway ứng dụng Một Firewall thông thường chỉ cung cấp dịch vụ cấp phép Nó không phân bổ các dịch vụ đảm bảo tính toàn vẹn dữ

liệu, tính bí mật dữ liệu và các dịch vụ xác thực Tuy nhiên Firewall có thể

được thực hiện với các kỹ thuật mã hoá và xác thực

f) VPN Gateway

Các VPN Gateway thực hiện các nhiệm vụ như định tuyến, cung cấp các kỹ thuật bảo mật (IPSec), cung cấp các chính sách bảo mật để chỉ ra một cách chính xác ai có thể truy cập vào cái gì dựa trên địa chỉ IP, cung cấp chức năng chuyển dịch địa chỉ NAT và có thể cả chức năng của Firewall

I.2.2.2 – Các công nghệ tạo đường hầm

Được hầm có mục đích để tạo ra một kênh truyền dữ liệu riêng giữa hai

điểm đầu cuối qua một hệ thống mạng dùng chung như là Internet Các giao thức tạo đường hầm trong VPN hoạt động ở lớp 2 và lớp 3 trong mô hình mạng OSI

a) Giao thức PPTP (Point-To-Point Tunning Protocol)

PPTP được định nghĩa trong RFC 2673 là giao thức do nhóm các công

ty 3Com, Ascend Communication, Microsoft, ECI Telematics và US Robotic

đưa ra ý tưởng chính của giao thức PPTP là tận dụng các ưu điểm của hạ tầng Internet để cung cấp các kết nối bảo mật giữa người dùng từ xa và mạng riêng của công ty

Giao thức được sử dụng để truy cập từ xa vào Internet phổ biến nhất là PPP PPTP xây dựng dựa trên chức năng của PPP để cung cấp một kết nối truy cập từ xa và kết nối này có thể được đi qua một đường hầm thông qua Internet

để tới đích Giao thức PPTP đóng gói các gói tin PPP vào trong một gói tin IP

để truyền qua liên mạng PPTP được đề cập đến trong RFC 2637, sử dụng một kết nối TCP như là một kết nối điều khiển PPTP để tạo, duy trì và kết thúc

đường hầm, sử dụng giao thức GRE (Generic Routing Encapsulation) để đóng

gói các gói tin PPP thành các dữ liệu truyền tải qua đường hầm Tải của việc

đóng gói các khung PPP này có thể được mã hoã hoặc nén hoặc cả hai

Quá trình xác thực được thực hiện trong quá trình khởi tạo kết nối VPN trên PPTP, sử dụng các phương thức xác thực giống như các kết nối PPP như giao thức EAP, MS- CHAP, CHAP hay PAP PPTP kế thừa việc mã hóa hoặc nén, hoặc cả hai của tải (payload) từ giao thức PPP

Mã hóa end-to-end là dữ liệu được mã hoã giữaa các ứng dụng client và máy chủ cung cấp dịch vụ đang được client truy cập Nếu mã hóa end-to-end

là cần thiết, IPsec có thể được sử dụng để mã hóa các lưu lượng IP điểm cuối

đến điểm cuối sau khi các đường hầm PPTP được thiết lập

Các thành phần chính liên quan đến việc triển khai PPTP

Kiến trúc PPTP bao gồm các ứng dụng client/server, nhìn chung có hai thành phần liên quan đến việc triển khai PPTP là client PPTP và máy phục vụ PPTP

+ Client PPTP:

Đây có thể là thiết bị của SP có hỗ trợ PPTP hoặc là một máy tính thực hiện việc quay số vào mạng có cài phần mềm PPTP

+ Máy phục vụ PPTP:

Máy phục vụ PPTP có hai nhiệm vụ chính: thứ nhất đóng vai trò như là một điểm đầu cuối của đường hầm PPTP và chuyển các gói tin tới và ra khỏi

đường hầm Máy phục vụ PPTP chuyển gói tin tới máy đích bằng cách xử lý gói tin PPTP để thu được thông tin về tên máy tính hoặc địa chỉ được đóng gói trong gói tin PPP

Máy phục vụ PPTP cũng có thể là một bộ lọc các gói tin, sử dụng bộ lọc PPTP Với bộ lọc PPTP ta có thể thiết lập cho máy phục vụ để giới hạn ai có thể nối vào mạng cục bộ bên trong hoặc nối ra ngoài Internet

Việc thiết lập một máy phục vụ PPTP ở phía công ty có một số hạn chế,

đặc biệt là nếu máy phục vụ PPTP được đặt ở bên trong Firewall PPTP được thiết kế sao cho chỉ có một cổng TCP/IP có thể được sử dụng để chuyển dữ liệu qua Firewall – cổng 1723 Tuy nhiên việc thiếu cấu hình cổng có thể làm cho Firewall dễ bị tấn công Do vậy nếu ta có một Firewall được cấu hình

để lọc theo giao thức, cần thiết lập chúng để cho phép GRE được đi qua

Quá trình thực hiện PPTP

• Tạo kết nối PPP:

PPP là một giao thức truy cập từ xa được PPTP sử dụng để gửi dữ liệu đa giao thức qua mạng TCP/IP Giao thức PPP đóng gói các gói tin vào khung dữ liệu PPP và gửi chúng qua đường kết nối Point-to-Point giữa máy tính gửi và máy tính nhận

Hầu hết các phiên làm việc PPTP được khởi tạo bằng cách client sử dụng PPP quay số vào máy phục vụ truy cập mạng thông qua mạng công cộng PPP thực hiện ba chức năng sau: Thiết lập và kết thúc kết nối vật lý, Xác thực người sử dụng và tạo ra các khung PPP có chứa các gói tin đã được mã hoá bên trong

• Tạo kết nối điều khiển PPTP:

Với kết nối PPP đã được thiết lập ở trên, giao thức PPTP tạo ra một kết nối

điều khiển từ client PPTP đến máy phục vụ PPTP Kết nối điều khiển là một phiên TCP chuẩn mà qua đó các thông điệp điều khiển được gửi giữa client PPTP và máy phục vụ PPTP Các thông điệp điều khiển sẽ thiết lập, duy trì và kết thúc đường hầm PPTP; Nó bao gồm việc truyền các thông điệp yêu cầu phản hồi PPTP định kỳ và các thông điệp trả lời phản hồi PPTP để phát hiện ra kết nối bị hỏng giữa PPTP client và PPTP server

Các gói kết nối điều khiển PPTP gồm có IP Header, TCP Header, và một thông điệp điều khiển PPTP được minh họa ở hình 2.1 Gói kết nối điều khiển cũng bao gồm cả phần header và trailer của tầng liên kết dữ liệu

Hình 1.4: Gói kết nối điều khiển PPTP

Các thông điệp điều khiển được truyền trong các gói tin điều khiển (các gói tin TCP) Một kết nối TCP được tạo ra giữa client PPTP và máy phục vụ PPTP Kết nối TCP này được sử dụng để trao đổi các thông điệp điều khiển Thông tin thêm về cấu trúc thông điệp kết nối điều khiển được miêu tả trong RFC 2637 và có cấu trúc như sau

Hình 1.5: Cấu trúc khung của PPTP

Giao thức PPTP cho phép người sử dụng và các SP tạo ra một số dạng

đường hầm khác nhau dựa trên khả năng máy tính đầu cuối của người sử dụng

và khả năng hỗ trợ của các SP cho giao thức này Máy tính đầu cuối của người

sử dụng sẽ quyết định xem điểm kết thúc của đường hầm ở đâu – hoặc ở ngay trên máy tính đó nếu nó sử dụng một phần mềm khách PPTP hoặc là ở máy phục vụ truy cập từ xa của SP nếu máy tính chỉ hỗ trợ giao thức PPP mà không hỗ trợ giao thức PPTP Trong trường hợp thứ hai máy phục vụ truy cập của SP phải hỗ trợ giao thức PPTP Còn trong trường hợp thứ nhất không cần

có yêu cầu gì đặc biệt cho SP

Sự phân chia như trên sẽ đưa ra hai loại đường hầm, đó là đường hầm chủ động (voluntary tunnel) và đường hầm thụ động (compulsory tunnel)

Đường hầm chủ động được tạo ra do máy tính đầu cuối người sử dụng đưa ra yêu cầu, còn đường hầm thụ động được tạo ra một cách tự động mà không cần bất kỳ một yêu cầu nào từ phía người sử dụng và quan trọng hơn là không cho phép người sử dụng có bất sự lựa chọn nào

Khi sử dụng một đường hầm chủ động, người sử dụng đầu cuối có thể

mở một đường hầm bảo mật thông qua Internet , đồng thời họ cũng có thể truy cập vào các máy trên Internet mà không cần có đường hầm Điểm đầu cuối phía client của đường hầm chủ động nằm tại máy tính của người sử dụng Các

đường hầm chủ động thường được sử dụng để cung cấp tính bí mật và tính toàn vẹn dữ liệu cho việc trao đổi dữ liệu thông qua Internet

Bởi vì các đường hầm thụ động được tạo ra mà không cần có sự chấp thuận của người sử dụng, cho nên nó có thể là trong suốt đối với người sử dụng Điểm đầu cuối phía client của đường hầm thụ động nằm tại máy phục

vụ truy cập mạng của SP Tất cả các lưu lượng xuất phát từ máy tính của người

sử dụng được chuyển tiếp qua đường hầm PPTP được tạo ra từ máy phục vụ truy cập mạng Việc truy cập tới các tài nguyên khác nằm bên ngoài mạng nội

bộ được điều khiển bởi người quản trị mạng PPTP cho phép nhiều kết nối

được chuyển qua một đường hầm

Bởi vì một đường hầm thụ động không cho phép người sử dụng truy cập vào các tài nguyên khác trên mạng Internet , cho nên các đường hầm này đưa

ra một chính sách điều khiển truy cập tốt hơn so với đường hầm chủ động Ví

dụ nếu chính sách của một công ty không cho phép các nhân viên truy cập vào các nguồn tài nguyên trên Internet thì việc sử dụng đường hầm thụ động sẽ cho phép thực hiện được việc đó trong khi vẫn cho phép họ sử dụng Internet

đường hầm thụ động là có thể tải nhiều kết nối thông qua một đường hầm

Điều này làm giảm băng thông mạng được yêu cầu cho việc truyền tải nhiều phiên làm việc bởi vì việc điều khiển chi phí cho một đường hầm thụ động có thể tải được nhiều phiên làm việc trong đó thì thấp hơn so với trường hợp nhiều đường hầm chủ động mà mỗi đường hầm chỉ tải được một phiên làm việc

Tuy nhiên một nhược điểm của các đường hầm thụ động là đoạn kết nối giữa máy tính người sử dụng và máy phục vụ truy cập mạng của SP nằm ngoài

đường hầm, do vậy ở đoạn này dễ bị tấn công hơn

• Gửi dữ liệu qua đường hầm PPTP:

Bước cuối cùng giao thức PPTP sẽ tạo ra các gói tin IP (chứa các gói tin PPP đã được mã hoá) và gửi tới máy phục vụ PPTP thông qua đường hầm PPTP đã được tạo ra ở trên Máy phục vụ PPTP sẽ mở các gói tin IP và giải mã các gói tin PPP bên trong Sau đó nó sẽ chuyển các gói tin PPP đã được giải mã tới máy đích

Dữ liệu gửi qua đường hầm PPTP được thực hiện qua nhiều mức đóng gói khác nhau Cấu trúc gói tin dữ liệu để gửi qua đường hầm như sau:

Tải PPP đã

mã hóa

Data-link Trailer

Hình 1.6: Cấu trúc dữ liệu đóng gói PPTP qua đường hầm

• Đóng gói khung PPP

Dữ liệu người sử dụng được giao thức PPTP chuyển đi là các gói tin PPP Các gói tin PPP được truyền giữa client và máy phục vụ PPTP được đóng gói vào gói tin GRE với header sửa đổi, gói tin GRE được truyền đi thông qua IP Các gói tin PPP đã được đóng gói về cơ bản là các gói dữ liệu PPP mà không có

các thành phần đặc trưng của một khung dữ liệu như là trường FCS (Frame Check Sequence), trường điều khiển, cờ

Phần đầu GRE sử dụng trong giao thức PPTP được bổ sung một ít so với giao thức GRE hiện thời Sự khác nhau chính là có thêm một trường Acknowledgment Number Đối với PPTP, GRE header được sửa đổi theo hướng sau:

- Một bit thông báo (acknowledgement bit) được sử dụng chỉ ra sự hiện diện của trường 32-bit acknowledgement

- Trường khóa (Key) được thay thế bởi một trường độ dài tải (Payload Length) 16 bit và và một trường định danh cuộc gọi (Call ID)16 bit Trường Call ID được đặt bởi PPTP client trong quá trình tạo đường hầm PPTP

- Một trường 32-bit Acknowledgement được thêm vào

Bên trong GRE header, trường loại giao thức được đặt là 0x880B, đây là giá trị biểu diễn loại giao thức Ethernet cho khung PPP

GRE đôi khi được sử dụng bởi các SP để chuyển tiếp thông tin định tuyến bên trong mạng của SP Để ngăn ngừa thông tin định tuyến bị chuyển tiếp tới các router lõi Internet, các SP lọc ra các giao thông GRE trên các giao diện kết nối tới Internet backbone Vì kết quả của việc lọc này, các đường hầm PPTP có thể được tạo ra sử dụng thông điệp điều khiển PPTP, nhưng dữ liệu

đường hầm PPTP không được chuyển tiếp

• Đóng gói các gói GRE

Kết quả của việc đóng gói tải GRE và PPP sau đó được đóng gói tiếp với một IP header chứa các địa chỉ IP nguồn và đích của PPTP client và server

• Đóng gói tầng liên kết dữ liệu

Để gửi được trên mạng LAN hoặc WAN, gói IP cuối cùng được đóng gói với phần đầu và đuôi cho tầng liên kết dữ liệu Ví dụ: Khi một gói IP được gửi lên Ethernet interface, gói IP được đóng gói với một ethernet header và trailer Khi gói IP được gửi lên đường kết nối PPP WAN, ví dụ như đường điện thoại hoặc ISDN, gói IP được đóng gói với một PPP header và trailer

• Xử lý dữ liệu đường hầm PPTP

Dựa trên việc nhận dữ liệu đường hầm PPTP, PPTP client hoặc server sẽ xử

lý và dỡ bỏ header và trailer của tầng liên kết dữ liệu, xử lý và dỡ bỏ IP header, xử lý và dỡ bỏ GRE và PPP header, giải mã hoặc giải nén tải PPP nếu cần thiết, hoặc cả hai và xử lý tải cho việc nhận và chuyển tiếp

b) Giao thức L2TP (Layer 2 Tunneling Protocol)

Giao thức đường hầm lớp 2 (Layer Two Tunneling Protocol, L2TP) là

sự kết hợp của giao thức PPTP và giao thức chuyển tiếp lớp 2 (Layer 2 Forwarding, L2F) do của Cisco Systems đưa ra L2TP được định nghĩa trong RFC 2661

Giống như PPTP, L2F được thiết kế như là một giao thức đường hầm,

sử dụng các định nghĩa đóng gói dữ liệu riêng của nó để truyền các gói tin ở lớp 2 Sự khác nhau chính giữa PPTP và L2F ở chỗ việc tạo đường hầm trong giao thức L2F không phụ thuộc vào IP và GRE, L2F khác PPTP ở việc định nghĩa các kết nối bên trong một đường hầm, cho phép một đường hầm hỗ trợ nhiều kết nối Điều này cho phép nó làm việc với các phương tiện truyền vật

lý khác Ngoài ra việc L2F sử dụng giao thức PPP để xác thực người sử dụng,

nó còn hỗ trợ cho TACACS+ và RADIUS để xác thực

Những đặc điểm này của L2F được chuyển cho L2TP Giống như PPTP, L2F sử dụng chức năng của PPP để cung cấp một kết nối truy cập từ xa và kết nối này có thể được đi qua một đường hầm thông qua Internet để tới đích Tuy

nhiên L2TP định nghĩa giao thức tạo đường hầm riêng của nó, dựa trên cơ cấu của L2F Cơ cấu này tiếp tục định nghĩa việc truyền L2TP qua các mạng như

IP, X25, Frame Relay hoặc ATM Mặc dù nhiều cách thực hiện L2TP tập trung vào việc sử dụng giao thức UDP trên mạng IP, ta vẫn có khả năng thiết lập một hệ thống L2TP không sử dụng IP Một mạng sử dụng ATM hoặc Frame Relay cũng có thể được triển khai cho các đường hầm L2TP Nếu được gửi qua mạng IP các khung L2TP được đóng gói thành các thông điệp UDP (UDP messages) L2TP sử dụng các thông điệp UDP qua mạng IP cho cả việc duy trì đường hầm và việc gửi dữ liệu qua hầm

L2TP thừa nhận tính sẵn sàng của một liên mạng IP giữa L2TP client và L2TP server L2TP client có thể đã được kết nối trực tiếp vào liên một mạng

IP có thể nhìn thấy L2TP server, hoặc L2TP client có thể quay số vào Máy chủ truy cập mạng (NAS) để thiết lập kết nối IP giống như người dùng quay

số vào internet

Xác thực trong quá trình tạo ra các đường hầm L2TP phải sử dụng cùng cơ chế xác thực như các kết nối PPP như: EAP, MS-CHAP, CHAP, SPAP, và PAP

Giống như giao thức PPTP, có ba thành phần liên quan đến việc triển khai L2TP:

- Client L2TP

- Máy phục vụ truy cập mạng

- Máy phục vụ L2TP

Giao thức L2TP sử dụng PPP để thiết lập kết nối vật lý, thực hiện phiên xác thực người sử dụng đầu tiên, tạo gói tin PPP và đóng kết nối khi phiên làm việc kết thúc Vì L2TP là giao thức lớp 2 nên nó đưa ra cho người sử dụng khả

Khi PPP thiết lập kết nối xong, L2TP sẽ thực hiện nhiệm vụ của nó

Đầu tiên L2TP sẽ xác định xem máy phục vụ mạng tại phía công ty có nhận ra người sử dụng đầu cuối hay không và có sẵn sàng phục vụ như là một điểm

đầu cuối của đường hầm hay không Nếu đường hầm có thể được tạo ra L2TP

sẽ thực hiện vai trò đóng gói các gói tin PPP để truyền đi

Khi L2TP tạo ra các đường hầm giữa bộ tập trung truy cập mạng của SP

và máy phục vụ mạng phía công ty, nó có thể gán một hoặc nhiều phiên làm việc trong một đường hầm L2TP tạo ra một số nhận dạng cuộc gọi (Call ID)

và chèn Call ID này vào phần đầu của L2TP trong mỗi một gói tin để chỉ ra gói tin đó thuộc phiên làm việc nào Bằng cách lựa chọn để gán một phiên làm việc của một người sử dụng vào một đường hầm so với việc dồn nhiều phiên làm việc vào trong một đường hầm, các phương tiện truyền khác nhau có thể

được gán cho các người sử dụng khác nhau tuỳ thuộc vào yêu cầu chất lượng của dịch vụ (Quality – of – Service) của họ L2TP bao gồm một số nhận

dạng đường hầm sao cho các đường hầm riêng biệt có thể được nhận ra khi nó

đến từ một phía nào đó, hoặc từ phía bộ tập trung truy cập mạng của SP hoặc

từ phía máy phục vụ mạng của công ty

Cũng giống như giao thức PPTP, giao thức L2TP định nghĩa hai loại thông điệp khác nhau Đó là thông điệp điều khiển và thông điệp dữ liệu Thông điệp điều khiển được sử dụng để thiết lập, quản lý và giải phóng các phiên làm việc được tải qua đường hầm, cũng như là trạng thái của chính

đường hầm đó Còn thông điệp dữ liệu được sử dụng để truyền dữ liệu qua

đường hầm đó Tuy nhiên không giống như giao thức PPTP, giao thức L2TP truyền cả thông điệp điều khiển và thông điệp dữ liệu như là một phần của cùng một luồng thông tin Ví dụ nếu các đường hầm được truyền qua một mạng IP thì thông điệp điều khiển và thông điệp dữ liệu được gửi trong cùng gói tin UDP

Không như PPTP, Việc duy trì đường hầm L2TP không được thực hiện trên một kết nối TCP riêng lẻ nào L2TP điều khiển cuộc gọi và quản lý giao thông được gửi bởi các thông điệp UDP giữa L2TP client và server

Thông điệp điều khiển L2TP trên IP được gửi như các gói dữ liệu UDP

Ví dụ trong Window 2000, thông điệp điều khiển L2TP gửi như các gói dữ liệu UDP được gửi đi như là tải mã hóa của IPSec ESP như minh hoạ ở Hình 2.2

Hình 1.7 - Thông điệp điều khiển L2TP

Do không sử dụng kết nối TCP, L2TP sắp xếp thứ tự các thông điệp để

đảm bảo việc chuyển các thông điệp L2TP Bên trong thông điệp L2TP, trường Next-Received (tương tự như trường Acknowledgment trong TCP) và trường Next-Send (tương tự như trường Sequence Number trong TCP) được sử dụng để duy trì thứ tự của các thông điệp điều khiển Nếu các gói có thứ tự không đúng thì chúng thì chúng sẽ bị huỷ bỏ Các trường Next-Sent và Next-Received có thể cũng được sử dụng cho thứ tự phân phát và điều khiển luồng cho dữ liệu đường hầm

Dữ liệu truyền qua đường hầm L2TP được thực hiện qua nhiều cấp

đóng gói

+ Đóng gói L2TP: Tải PPP ban đầu được đóng gói với một PPP header và

một L2TP header

+ Đóng gói UDP: Gói đã được đóng L2TP sau đó được đóng gói với một

UDP header Với sản phẩm của Microsoft, với cổng nguồn và cổng đích được

đặt là 1701

+ Đóng gói IP: Gói IPSec được đóng gói với một IP header cuối cùng chứa

các địa chỉ IP nguồn và đích của client VPN và máy chủ VPN

+ Đóng gói lớp liên kết dữ liệu: Để gửi được trên đường truyền LAN hoặc

WAN, gói IP cuối cùng được đóng gói với một header và trailer theo công nghệ của lớp liên kết dữ liệu của interface vật lý đầu ra Ví dụ, khi một gói IP

được gửi lên một Ethernet interface, gói IP được đóng gói với một Ethernet header và trailer Khi các gói IP được gửi lên đường truyền PPP WAN ví dụ như đường điện thoại hoặc ISDN, gói IP này được đóng gói với PPP header và trailer

+ Quá trình mở gói L2TP trên đường hầm dữ liệu :

- Xử lý và tháo bỏ header và trailer tầng liên kết dữ liệu

- Xử lý và tháo bỏ IP header

- Dùng trailer xác thực của IPSec ESP để xác thực IP và IPSec ESP header

- Dùng IPSec ESP header để giải mã phần đã mã hóa của gói

- Xử lý UDP header và gửi L2TP gói cho L2TP

- L2TP sử dụng Tunnel ID và Call ID trong phần L2TP header để xác

định đường hầm cụ thể

- Sử dụng PPP header để xác định tải PPP và chuyển tiếp nó cho giao thức phù hợp để xử lý

L2TP cũng trợ giúp để giảm lưu lượng mạng, cho phép các máy phục

vụ điều khiển việc tắc nghẽn đường truyền bằng cách thực hiện cơ chế điều

khiển luồng giữa máy phục vụ truy cập mạng của SP, còn gọi là bộ tập trung truy cập L2TP (L2TP Access Concentrator – LAC), và máy phục vụ mạng

phía công ty, còn gọi là máy phục vụ mạng L2TP (L2TP Network Server – LNS) Các thông điệp điều khiển được sử dụng để xác định tỷ lệ truyền và các

thông số bộ đệm, để điều khiển luồng các gói tin PPP của một phiên làm việc trong một đường hầm

L2TP phân chia đường hầm ra làm hai loại - Đường hầm chủ động và thụ động

- Đường hầm chủ động được tạo ra do máy tính đầu cuối đưa ra yêu cầu Khi sử dụng một đường hầm chủ động, người sử dụng có thể mở một

đường hầm bảo mật thông qua Internet, đồng thời họ cũng có thể truy cập vào các máy trên Internet mà không cần có đường hầm Điểm đầu cuối phía client của đường hầm chủ động nằm tại máy tính của người dùng Đường hầm chủ động thường được sử dụng để cung cấp tính bí mật và tính toàn vẹn dữ liệu cho việc trao đổi dữ liệu thông

- Đường hầm thụ động được tự động tạo ra mà không cần bất kỳ yêu cầu nào từ phía người sử dụng, quan trọng hơn là không cho phép người sử dụng có bất kỳ sự lựa chọn nào Do đó, nó trong suốt đối với người sử dụng Điểm đầu cuối phía client của đường hầm thụ động nằm tại LAC của SP Tất cả các lưu lượng xuất phát từ máy tính của người sử dụng

được chuyển tiếp qua đường hầm L2TP được tạo ra từ LAC Việc truy cập tới các tài nguyên khác nằm bên ngoài mạng nội bộ được điều khiển bởi người quản trị mạng L2TP cũng cho phép nhiều kết nối được chuyển qua một đường hầm, cho phép giảm chi phí quản lý đường hầm trên mạng

c) Giao thức IPSec (IP Security Protocol)

Bộ giao thức TCP/IP không có bất kỳ các đặc tính bảo mật nào Để bảo mật ở mức các gói tin trong mạng IP, tổ chức IETF đã đưa ra một số tiêu chuẩn được định nghĩa trong RFC 2401-2411 và 2451 mới để xác thực và mã hoá các gói tin IP IPSec là một chuẩn mở kết hợp nhiều công nghệ để đảm bảo truyền thông bảo mật trên nền các mạng công cộng như Internet Các công nghệ này được kết hợp thành một hệ thống hoàn chỉnh cung cấp các dịch

vụ bảo mật ở lớp IP, bao gồm xác thực, mã hóa hoặc kết hợp cả hai IPSec cung cấp bảo mật bằng cách cho các hệ thống chọn các giao thức bảo mật yêu cầu rồi xác định các thuật toán sử dụng cho dịch vụ, sau đó mã hóa bằng mật mã cần thiết

Các tiêu chuẩn này đưa ra các giao thức để thiết lập cơ sở của kiến trúc IPSec, bao gồm hai phần đầu khác nhau được thiết kế để sử dụng trong gói tin

IP Hai phần đầu trong gói tin IP dùng để quản lý việc xác thực và mã hoá là:

IP Authentication Header (AH) dùng để xác thực và Encapsulating Security Payload (ESP) dùng để mã hoá và xác thực

Trước khi có IPSec, mạng phải triển khai các giải pháp riêng lẻ và chỉ giải quyết được một phần của vấn đề, ví dụ như SSL IPSec thực hiện mã hoá

và xác thực lớp mạng, cung cấp giải pháp bảo mật điểm cuối tới điểm cuối trong kiến trúc mạng, các ứng dụng và các hệ thống cuối không cần bất kỳ sự thay đổi nào Do các gói tin được mã hoá trông giống các gói IP gốc, chúng dễ dàng được gửi thông qua mạng IP bất kỳ, chẳng hạn như Internet mà không cần bất kỳ sự thay đổi nào cho thiết bị mạng trung gian, đặc điểm này làm giảm cả chi phí thực thi và quản lý

IPSec được xây dựng dựa trên một số kỹ thuật mật mã được chuẩn hoá

để cung cấp việc xác thực, đảm bảo tính bí mật, tin cậy và toàn vẹn dữ liệu khi truyền dữ liệu qua mạng IP công cộng IPSec sử dụng các kỹ thuật như :

- Trao đổi khoá Diffe-Hellman để phân bổ các khoá bí mật giữa các cặp trao đổi thông tin trong một mạng công cộng

- Mã hoá khoá công khai để đánh dấu việc trao đổi khoá Diffe-Hellman

đảm bảo việc nhận dạng của 2 thành phần tham gia trao đổi thông tin với nhau

- Các thuật toán như DES và các thuật toán mã hoá khác để mã hoá dữ liệu

- Các thuật toán băm (HMAC, MD5 và SHA) để xác thực gói tin

- Chứng chỉ số để hợp lệ các khoá công khai

Các chuẩn này bao gồm:

- Giao thức bảo mật IP riêng, giao thức này định nghĩa thông tin để thêm vào các gói IP để cho phép các điều khiển sự tin cậy, tính toàn vẹn và tính xác thực cũng như định nghĩa để mã hoá gói dữ liệu như thế nào

- Trao đổi khóa Internet (IKE): dàn xếp sự kết hợp bảo mật giữa hai thực thể và trao đổi key material Không cần thiết sử dụng IKE nhưng những

sự kết hợp cấu hình bảo mật thủ công thì khó khăn và là thủ công IKE

có thể được sử dụng trong hầu hết ứng dụng thực để cho phép bảo mật các giao tiếp diện rộng

IPSec định nghĩa tập hợp các header mới để thêm vào IP datagram Các header mới này được đặt sau IP header và trước giao thức lớp 4 (TCP,UDP, ) Các header mới này cung cấp thông tin cho bảo mật tải của gói IP

IPSec cung cấp hai phương thức hoặt động, phương thức truyền tải và phương thức đường hầm

Phương truyền tải, chỉ có phần tải IP là được mã hóa còn các đầu IP

nguồn và đích cuối cùng của một gói Khả năng này cho phép người ta thực hiện việc xử lý đặc biệt (ví dụ QoS) trên một mạng trung chuyển dựa trên các thông tin của IP header, header lớp 4 sẽ được mã hóa và làm hạn chế việc xem xét các gói Việc chuyển các IP header dưới dạng tường minh sẽ cho phép một

kẻ tấn công phân tích được gói tin, nhưng chỉ có thể biết là các gói IP đã được gửi đi nhưng không xác định được gói tin đó là của ứng dụng nào

Phương thức truyền tải chỉ được dùng khi các peer là các điểm cuối của truyền thông, với các kết nối router-to-router thường thì một số kiểu đóng gói khác, chẳng hạn như Generic Route Encapsulation (GRE) sẽ được sử dụng Nếu không thì sẽ sử dụng phương pháp đường hầm

Phương thức đường hầm, toàn bộ gói IP gốc bị mã hoá và nó trở thành tải trong gói IP mới Trong phương pháp này, L2TP hoặc PPTP được dùng để liên kết với IPSec, cho phép thiết bị mạng, ví dụ như router, hoạt động như một IPSec proxy Khi đó, router thực hiện mã hoá nhân danh các hosts Router nguồn mã hoá các gói và gửi chúng theo đường hầm IPSec Router đích giải mã gói IP gốc và gửi nó về hệ thống đích Lợi ích chính của phương thức này

là hệ thống cuối không cần phải thay đổi hưởng các lợi ích của IPSec Phương thức đường hầm cũng bảo vệ chống lại phân tích giao thông, trong đó những

kẻ tấn công có thể chỉ xác định điểm cuối của đường hầm mà không thể xác

định được nguồn và đích của các gói được gửi qua đường hầm ngay cả khi chúng giống như các điểm cuối của đường hầm

Theo định nghĩa của IETF, phương thức truyền tải có thể chỉ được sử dụng khi cả hệ thống nguồn và đích hiểu IPSec Trong hầu hết các trường hợp, người ta có thể triển khai IPSec bằng phương thức đường hầm, điều này cho phép thực hiện IPSec trong kiến trúc mạng mà không cần phải thay đổi hệ

điều hành hoặc các ứng dụng bất kỳ trên máy tính cá nhân, máy chủ và client

Authentication Header (AH)

AH được thêm vào IP datagram để đảm bảo tính toàn vẹn và xác thực của phần header của gói tin IP AH sử dụng chức năng keyed-hash thay vì sử dụng chữ ký số (CA) vì công nghệ chữ ký số thường chậm và làm giảm thông lượng mạng

AH chèn một header 24byte phía sau IP header IP header ở đây có thể là IP header nguyên thủy (nếu AH làm việc ở chế độ truyền tải -Transport mode) hoặc một IPheader mới (nếu AH làm việc ở chế độ đường hầm -Tunnel mode)

Authenticated

Hình 1.8 – AH trong chế độ truyền tải

Trong cả hai chế độ trên toàn bộ gói tin IP được xác thực Tuy nhiên tất cả nội dung trong gói tin tin IP ở dạng chưa được mã hoá, do vậy nó có thể

đọc được khi truyền qua mạng

IP Header mới AH Header IP Header IP Payload

Authenticated

Hình 1.9 – AH trong chế độ đường hầm

Trong chế độ truyền tải, phần IP Header chứa địa chỉ nguồn và đích của hai thiết bị đầu cuối tham gia truyền tin Còn trong chế độ đường hầm, một IP Header mới được tạo ra để đóng gói toàn bộ gói tin IP gốc và AH Header Địa chỉ nguồn và đích của hai thiết bị đầu cuối tham gia truyền tin nằm trong phần

IP Header Còn địa chỉ nguồn và đích của hai gateway nằm ở phần New IP

Encapsulating Security Payload (ESP)

ESP được thêm vào IP datagram sẽ bảo vệ tính tin cậy, tính toàn vẹn và tính xác thực của dữ liệu Khi ESP được sử dụng để công nhận tính toàn vẹn dữ liệu thì nó không bao gồm các trường bất biến trong IP header

IP Header ESP Header IP Payload ESP Trailer ESP Auth

Encrypted

Hình vẽ 1.10 – ESP Transport mode

ESP sử dụng một số thứ tự (sequence number) để cung cấp lựa chọn chống phá hoại kiểu replay; số này tự động được thêm vào mỗi gói những phía nhận không cần phải kiểm tra nó Do đó, ESP cho phép nơi nhận từ chối các gói tin cũ hoặc trùng nhau để chống lại hiên tượng tấn công replay Mỗi điểm IPSec sẽ giữ một cửa số với một số số sequence hợp lệ, các bản tin với các số sequence bên ngoài cửa sổ này sẽ bị loại bỏ

Cũng giống AH, ESP có hai chế độ là chế độ truyền tải và chế độ đường hầm ESP chèn một header 8-byte phía sau IP header IP header này có thể là

IP header nguyên thủy (trong chế độ truyền tải) hoặc một IP header được đóng gói mới (trong chế độ đường hầm) ESP cũng chèn thêm 2-byte trailer (14 bytes) nếu sử dụng dịch vụ xác thực Trong chế độ đường hầm một IP Header mới (chứa địa chỉ IP nguồn và đích) được sử dụng nhằm mục đích che dấu địa chỉ IP thực (nằm ở trong phần IP Header) của hai thiết bị đầu cuối khi gói tin

IP được truyền qua mạng

ESP khác với AH ở hai điểm sau:

- ESP mã hoá dữ liệu trước khi gửi đi, do vậy nó đảm bảo được tính bí mật của dữ liệu