Luận văn Mạng riêng ảo và giải pháp hệ thống trong Tổng Cục Thuế

MỤC LỤC

Trang phụbìa

Lời cam đoan

Lời cảm ơn

Mục lục .1

Danh mục các thuật ngữvà các từviết tắt.3

Danh mục hình vẽ.5

MỞ ĐẦU .7

CHƯƠNG 1 TỔNG QUAN VỀMẠNG RIÊNG ẢO .9

1.1 Tổng quan.9

1.2 Khái niệm VPN .9

1.3 Khái niệm đường hầm.10

1.4 Phân loại VPN.10

1.4.1 Overlay VPN . 11

1.4.2 Site to site VPN ( Mô hình VPN ngang cấp). 15

1.5 Kết luận .21

CHƯƠNG 2 MẠNG RIÊNG ẢO TRÊN NỀN CÔNG NGHỆMPLS.22

2.1 Vấn đề đặt ra?.22

- Tính khảchuyển.22

- Điều khiển lưu lượng .23

- Chất lượng của dịch vụ(QoS) .23

2.2 Chuyển mạch nhãn đa giao thức là gì? .25

2.2.1 Khái niệm. 25

2.2.2 Đặc điểm mạng MPLS. 25

2.2.3 Một sốkhái niệm cơbản trong kiến trúc MPLS . 26

2.2.4 Phương thức hoạt động của công nghệMPLS . 29

2.2.5 Chuyển tiếp gói MPLS và đường chuyển mạch nhãn . 33

2.3 Kết luận .39

CHƯƠNG 3 ỨNG DỤNG MPLS IP VPN VÀO HỆTHỐNG MẠNG NGÀNH

VÀ GIẢI PHÁP HỆTHỐNG.41

3.1 Bối cảnh chung.41

3.2 Đánh giá ưu nhược điểm của hệthống cơsởhạtầng hiện tại .44

3.2.1 Mô hình kết nối WAN và những vấn đề đặt ra?. 44

3.2.2 Mô hình kết nối Internet và những vấn đềnảy sinh . 46

3.3 Giải pháp MPLS IP VPN đểnâng cao an ninh cho hệthống mạng TCT.51

3.3.1 Đềxuất cải tiến để đảm bảo tính dựphòng và an ninh cho hệthống51

3.3.2 Giải pháp thiết kếhệthống. 54

3.3.3 Đánh giá vềhệthống đảm bảo an ninh . 68

3.3.4 Hoạt động thửnghiệm . 75

3.4 Kết luận .76

CHƯƠNG 4 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN .78

pdf81 trang | Chia sẻ: netpro | Lượt xem: 1911 | Lượt tải: 1download
Bạn đang xem trước 20 trang tài liệu Luận văn Mạng riêng ảo và giải pháp hệ thống trong Tổng Cục Thuế, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
c nhau với các thông số ánh xạ khác nhau. Việc ánh xạ một gói vào một FEC có thể đạt được nhờ vào một số thông số sau: - Địa chỉ IP nguồn, đích. - Cổng nguồn, đích - Nhận dạng giao thức - Luồng FEC được ấn định ngay từ đầu vào của mạng MPLS và phụ thuộc vào hoạt động của LSR ngõ vào, ra. Do đó thường thì các LSR ngõ vào và ra là các router có khả năng xử lý mạnh. 28 2.2.3.4 Đường chuyển mạch nhãn LSP ( label Switching Parth) Đường chuyển mạch nhãn được thiết lập từ ingress LSR (ingress Label S=witching Router – dữ liệu đầu vào là gói IP truyền thống, ingress LSR sẽ ấn định nhãn cho gói thông tin này) đến egress LSR (egress Label Switching Router – gỡ bỏ nhãn cho gói dữ liệu khi ra khỏi mạng lõi MPLS). LSP được xây dựng bằng các giao thức như LDP (Label Distributed Protocol), RSVP (Resource Reservation Protocol),… Một LSP nối từ đầu cuối đến đầu cuối gọi là đường hầm LSP (LSP tunnel) – liên kết các đoạn LSP giữa các nút. 2.2.3.5 Cơ sở thông tin nhãn LIB ( label Information Base) Mỗi LSR phải xây dựng một bảng thông tin sử dụng cho việc định tuyến và chuyển tiếp các gói tin trong mạng. Trong bảng sẽ chứa những thông tin liên quan đến nhãn, địa chỉ, trạm kế,… để xác định rõ ràng cách thức chuyển tiếp của gói dữ liệu như thế nào. 2.2.3.6 Một số khái niệm khác LSR - Label Switch Router là các router hoặc switch triển khai phân phối nhãn và có thể chuyển tiếp các gói dựa trên các nhãn. Chức năng cơ bản của quá trình phân phối nhãn này cho phép một LSR phân phối nhãn thông tin chuyển tiếp của nó tới các LSRs khác trong mạng MPLS. Có một vài loại LSR khác nhau và chúng được phân biệt nhờ chức năng của chúng trong cơ sở hạ tầng mạng. Sự khác nhau giữa các loại LSR chỉ là cấu trúc bởi một loại có thể đóng nhiều vai trò khác nhau. Chúng ta có thể tóm tắt các chức năng của các loại LSR. Chú ý rằng bất kỳ một thiết bị trên mạng nào có thể có nhiều hơn một chức năng (một thiết bị có thể vừa là LSR biên vừa là ATM LSR biên. Kiểu LSR Chức năng LSR Chuyển tiếp các gói tin đã được gán nhãn LSR biên - Có thể nhận một gói tin IP, thực hiện kiểm tra lớp 3, và gán một ngăn xếp nhãn trước khi chuyển tiếp gói vào miền MPLS - Có thể nhận một gói IP, thực hiện việc kiểm tra ở lớp 3, chuyển tiếp gói IP tới điểm tiếp theo (next-hop) ATM-LSR - Chạy các giao thức MPLS trong mặt phẳng điều khiển để tạo ra 29 2.2.4 Phương thức hoạt động của công nghệ MPLS - MPLS hoạt động trong lõi của mạng IP. Các Router trong lõi phải kích hoạt MPLS trên từng giao tiếp. Nhãn được gắn thêm vào gói IP khi gói đi vào mạng MPLS. Nhãn được tách ra khi gói ra khỏi mạng MPLS. Nhãn (Label) được chèn vào giữa header lớp ba và header lớp hai. Sử dụng nhãn trong quá trình gửi gói sau khi đã thiết lập đường đi. MPLS tập trung vào quá trình hoán đổi nhãn. Một trong những thế mạnh của khiến trúc MPLS là tự định nghĩa chồng nhãn. - Công thức để gán nhãn gói tin là: Network Layer Packet + MPLS Label Stack - Không gian nhãn (Label Space): có hai loại. Một là, các giao tiếp dùng chung giá trị nhãn (per-platform label space). Hai là, mỗi giao tiếp mang giá trị nhãn riêng, (Per-interface Label Space). - Bộ định tuyến chuyển nhãn (LSR – Label Switch Router): ra quyết định chặng kế tiếp dựa trên nội dung của nhãn, các LSP làm việc ít và hoạt động gần giống như Switch. - Con đường chuyển nhãn (LSP – Label Switch Path): xác định đường đi của gói tin MPLS. Gồm hai loại: Hop by hop signal LSP - xác định đường đi khả thi nhất và Explicit route signal LSP - xác định đường đi từ nút gốc.. Sự khác nhau cơ bản giữa MPLS và các công nghệ WAN truyền thống chính là cách mà các nhãn được gán và khả năng mang một ngăn xếp của các nhãn cho một gói tin. Khái niệm ngăn xếp nhãn cho phép chúng ta có nhiều ứng dụng mới ví dụ như Điều khiển lưu lượng (Traffic Engineering), Mạng riêng ảo (Virtual Private Network – VPN )…. các mạch ảo ATM, và chuyển tiếp các tế bào tới ATM-LSR ở điểm tiếp theo(next-hop) ATM LSR- biên - Có thể nhận 1 gói đã được gán nhãn hoặc chưa, chia nó thành các tế bào ATM và chuyển tiếp các tế bào tới ATM-LSR tiếp theo - Có thể nhận các tế bào ATM từ một ATM-LSR kề cận, lắp ghép các tế bào này trở lại gói tin gốc và sau đó chuyển tiếp gói tin này dưới dạng đã được gán nhãn hoặc chưa. 30 Cấu trúc của một nút MPLS bao gồm 2 mặt thành phần: thành phần chuyển tiếp (hay còn được gọi là mặt phẳng dữ liệu) và thành phần điều khiển (còn được gọi là mặt phẳng điều khiển). Thành phần chuyển tiếp sử dụng một cơ sở dữ liệu chuyển tiếp nhãn để chuyển tiếp dữ liệu dựa trên các nhãn đi kèm với gói tin. Thành phần điều khiển chịu trách nhiệm tạo và duy trì các thông tin chuyển tiếp nhãn (còn được gọi là bindings ) giữa nhóm các chuyển mạch nhãn với nhau. Tất cả các nút MPLS phải chạy một hoặc nhiều giao thức định tuyến IP (hoặc dựa trên định tuyến tĩnh) để có thể trao đổi thông tin định tuyến với các nút MPLS khác trên mạng. Theo đó, mỗi một nút MPLS (bao gồm cả chuyển mạch ATM) là một router trên mặt phẳng điều khiển. Hình 2.5 Cấu trúc cơ bản của một nút MPLS Tương tự như các router truyền thống, các giao thức định tuyến IP sẽ dùng để xây dựng nên bảng định tuyến. Bảng định tuyến IP được sử dụng để đẩy gói tin đi. Tại một nút MPLS, bảng định tuyến được sử dụng để xác định việc trao đổi thông tin nhãn chuyển tiếp, nơi mà các nút MPLS kề cận với nó trao đổi các nhãn cho các mạng con (subnets) cụ thể được chứa trong bảng định tuyến. Các quá trình điều khiển định tuyến MPLS IP (MPLS IP Routing Control) sử dụng các nhãn để trao đổi với các nút MPLS cạnh nó để tạo ra bảng chuyển tiếp nhãn (Label Forwarding Table), bảng này là vùng cơ sở dữ liệu được sử dụng để chuyển tiếp các gói được gán nhãn qua mạng MPLS Tạo nhãn ở mạng biên Các gói tin phải được đánh nhãn trước khi chuyển tiếp tới miền mạng MPLS. Để thực hiện được nhiệm vụ này, LSR biên phải biết nơi gói tin được đánh tiêu đề, 31 hoặc ngăn xếp nhãn, nó phải khai báo cho gói tin. Để chuyển tiếp gói tin IP lớp 3 tới chặng tiếp theo, nó kiểm tra trong bảng định tuyến địa chỉ IP đích được chứa trong tiêu đề lớp 3 của gói tin. Sau đó lựa chọn bước tiếp theo để chuyển tiếp gói tin. Và cứ như thế cho đến khi gói tin đi đến đích. Có 2 cách để gói IP tới chặng tiếp theo. Cách thứ nhất là toàn bộ các gói được coi là như nhau khi chuyển qua mạng. Cách thứ hai là ánh xạ từng địa chỉ IP đích tới một IP của chặng tiếp theo. Trong mạng MPLS cách thứ nhất được gọi là nhóm chuyển tiếp tương đương – FECs (Forwarding Equivalence Classes). FEC là một nhóm các gói, nhóm các gói này chia sẻ cùng yêu cầu trong sự chuyển tiếp chúng qua mạng. Tất cả các gói trong một nhóm như vậy được cung cấp cùng cách chọn đường tới đích. Khác với chuyển tiếp IP truyền thống, trong MPLS việc gán một gói cụ thể vào một FEC cụ thể chỉ được thực hiện một lần khi các gói vào trong mạng. MPLS không ra quyết định chuyển tiếp với mỗi datagram ( một gói thông tin và cả thông tin bàn giao kết hợp thường là địa chỉ ) lớp 3 mà sử dụng khái niệm FEC. FEC phụ thuộc vào một số các yếu tố, ít nhất là phụ thuộc vào địa chỉ IP và có thể là phụ thuộc cả vào kiểu lưu lượng trong datagram (thoại, dữ liệu, fax…). Sau đó dựa trên FEC, nhãn được thoả thuận giữa các LSR lân cận từ lối vào tới lối ra trong một vùng định tuyến. Mỗi LSR xây dựng một bảng để xác định xem một gói phải được chuyển tiếp như thế nào. Bảng này được gọi là cơ sở thông tin nhãn (LIB: Label Information Base), nó là tổ hợp các ràng buộc FEC với nhãn (FEC-to-label). Và nhãn lại được sử dụng để chuyển tiếp lưu lượng qua mạng. Một cách để phân chia lưu lượng vào trong các FEC là tạo một FEC riêng biệt cho mỗi tiền tố địa chỉ xuất hiện trong bảng định tuyến. Cách này có thể tạo ra một tập hợp các FEC cho phép cùng đi một đường tới đích. Theo cách này thì bên trong một miền MPLS, sẽ có nhiều FEC riêng biệt và như thế sẽ không hiệu quả. Trên thực tế MPLS hợp nhất những FEC đó thành một FEC duy nhất. 32 Hình 2.6 Các FEC riêng biệt cho mỗi tiền tố địa chỉ Egress Node Routing Table 172.16.10.5/16 172.16.17.3/16 172.16.12.8/16 192.168.14.7/24 192.168.14.20/24 Ingress Node n Prefix = 1 FEC Hình 2.7 Tổng hợp các FEC 33 Hình 2.8 Sự tạo nhãn MPLS và chuyển tiếp Với cơ chế chuyển tiếp IP truyền thống, thì mỗi gói tin được xử lý tại một chặng trong mạng. Tuy nhiên với MPLS, một gói tin cụ thể được gán tới một FEC cụ thể, và được thực hiện tại thiết bị mạng biên khi mà gói tin tham gia vào mạng. Nhóm chuyển tiếp tương đương cho mỗi gói được khai báo sau đó mã hóa thành một chỉ số định dạng ngắn có chiều dài cố định, được gọi là nhãn. 2.2.5 Chuyển tiếp gói MPLS và đường chuyển mạch nhãn Mỗi một gói tin khi tham gia mạng MPLS tại LSR vào và ra khỏi mạng MPLS tại một LSR ra. Cơ chế này tạo ra Đường chuyển mạch nhãn – Label Switched Path (LSP), được mô tả như là một nhóm các LSRs mà các gói được gán nhãn phải đi qua để tới LSR đầu ra cho một FEC cụ thể. LSP là một hướng kết nối (connection-oriented) bởi vì đường dẫn được tạo ra trước khi có sự vận chuyển lưu lượng. Tuy nhiên, việc thiết lập kết nối này dựa trên thông tin về mô hình mạng hơn là yêu cầu về luồng lưu lượng. Khi gói tin đi qua mạng MPLS, mỗi LSR sẽ hoán đổi nhãn đi vào với một nhãn đi ra cho đến LSR cuối cùng, được biết đến là LSR ra. (giống như cơ chế được sử dụng trong mạng ATM nơi mà một cặp VPI/VCI này được tráo đổi với một cặp VPI/VCI khác khi ra khỏi chuyển mạch ATM) 34 2.2.5.1 Các ứng dụng của MPLS Hình 2.9 Các ứng dụng khác nhau của MPLS MPLS được tạo ra để kết hợp của định tuyến truyền thống và chuyển mạch ATM trong một mạng lõi IP thống nhất ( IP-ATM cấu trúc). Tuy nhiên ưu thế thực sự của MPLS chính là các ứng dụng khác mà nó đem lại, từ điều khiển lưu lượng (Traffic Engineering) tới mạng riêng ảo (Virtual Private Networks). Tất cả các ứng dụng này sử dụng chức năng miền điều khiển để thiết lập một cơ sở dữ liệu chuyển mạch 2.2.5.2 Điều khiển lưu lượng Vấn đề quan trọng trong các mạng IP là thiếu khả năng điều khiển linh hoạt các luồng lưu lượng IP để sử dụng hiệu quả dải thông mạng có sẵn. Do vậy, thiếu hụt này liên quan đến khả năng gửi các luồng được chọn xuống các đường được chọn ví dụ như chọn các đường trung kế được bảo đảm cho các lớp dịch vụ riêng. MPLS sử dụng các đường chuyển mạch nhãn LSP mà có thể được thiết lập trên cả ATM và thiết bị dựa trên gói tin. Khả năng kỹ thuật lưu lượng của MPLS sử dụng thiết lập các LSP để điều khiển một cách linh hoạt các luồng lưu lượng IP. 2.2.5.3 Tích hợp IP và ATM Do “chuyển mạch nhãn” có thể thực hiện được bởi các chuyển mạch ATM, MPLS là một phương pháp tích hợp các dịch vụ IP trực tiếp trên chuyển mạch ATM. Sự tích hợp này cần phải đặt định tuyến IP và phần mềm LDP trực tiếp trên chuyển mạch ATM. Do tích hợp hoàn toàn IP trên chuyển mạch ATM, MPLS cho phép chuyển mạch ATM hỗ trợ tối ưu các dịch vụ IP như IP đa hướng (multicast), lớp dịch vụ IP, RSVP và mạng riêng ảo VPN 35 2.2.5.4 Hỗ trợ chất lượng dịch vụ Một thiếu sót của mạng IP so với mạng Frame Relay và ATM, là sự bất lực của chúng để cung cấp dịch vụ thoả mãn nhu cầu lưu lượng. Ví dụ lưu lượng thời gian thực như voice hay video cần dịch vụ chất lượng cao (độ trễ luồng thấp, mất luồng thấp…) khi truyền qua mạng. Tương tự dữ liệu trong kinh tế thương mại phải được ưu tiên qua trình duyệt web thông thường. Kết nối định hướng mang tính tự nhiên của MPLS cung cấp khung làm việc hợp lý để đảm bảo chất lượng lưu lượng IP. Trong khi QoS và lớp dịch vụ CoS (Class of Service) không phải là cơ sở đặc biệt của MPLS, chúng có thể ứng dụng trong mạng MPLS khi kỹ thuật lưu lượng được sử dụng. Điều này cho phép nhà cung cấp thiết lập hợp đồng mức dịch vụ SLA (Service Level Agreements) với khách hàng để đảm bảo dịch vụ như độ rộng băng thông, độ trễ, mức thất thoát. Dịch vụ giá trị gia tăng có thể được phân phối bổ sung như truyền tải dữ liệu cơ sở, tăng thu nhập và cuối cùng cho tiến tới mạng hội tụ. Intserv and Diffserv, qua thời gian một số kỹ thuật được phát triển để thiết lập QoS/CoS trong một mạng. Trong mô hình dịch vụ tích hợp Intserv (Integrated Services), RSVP đã phát triển thủ tục báo hiệu QoS qua một mạng, cho phép thiết bị sắp xếp và thiết lập thông số lưu lượng đảm bảo như độ rộng băng thông và độ trễ đầu cuối - đầu cuối. Nó sử dụng nguồn tài nguyên tại chỗ, đảm bảo dịch vụ xuống theo luồng cơ sở. Mô hình dịch vụ khác nhau Diffserv (Differentiated Services) giảm bớt cứng nhắc, cung cấp phân phối CoS để đối xử như nhau đối với lớp lưu lượng có mức ưu tiên như nhau, nhưng không có báo hiệu hay đảm bảo dịch vụ đầu cuối đầu cuối. Diffserv định nghĩa lại kiểu dịch vụ ToS (Type of Service) trong tiêu đề gói IP để cung cấp sự phân loại này. Trong khi Intserv đảm bảo độ rộng băng lưu lượng, nó xác nhận không thể tăng hay thực hiện hoạt động qua mạng lớn. IETF kết hợp Difserv và kỹ thuật lưu lượng MPLS để cung cấp QoS đảm bảo trong mạng MPLS. Thông tin Diffserv trong tiêu đề gói IP được ánh xạ trong thông tin nhãn của gói MPLS. Bộ định tuyến MPLS cập nhật thông tin ưu tiên để truyển tiếp dữ liệu thích hợp. Một số cơ chế sử dụng gồm chia sẻ lưu lượng, đợi, và phân loại gói. QoS thực hiện ở biên của đám mây MPLS, ở nơi lưu lượng phi nhãn từ mạng khách hàng đi vào mạng truyền thông. Tại cổng vào này, lưu lượng thời gian thực dễ bị ảnh hưởng như lưu lượng định dạng voice IP hay hội nghị video có thể được ưu tiên phân phát qua sự chuyển giao dữ liệu lớn. 36 2.2.5.5 Mạng riêng ảo Dịch vụ VPN là dịch vụ mạng Intranet và Extranet mà các mạng đó được cung cấp bởi nhà cung cấp dịch vụ đến nhiều tổ chức khách hàng. MPLS kết hợp với giao thức BGP cho phép một nhà cung cấp mạng hỗ trợ hàng nghìn VPN của khách hàng. Như vậy, mạng MPLS cùng với BGP tạo ra cách thức cung cấp dịch vụ VPN trên cả ATM và các thiết bị dựa trên gói tin rất linh hoạt, dễ mở rộng quy mô và dễ quản lý. Thậm chí trên các mạng của nhà cung cấp khá nhỏ, khả năng linh hoạt và dễ quản lý của các dịch vụ BGP/MPLS VPN là ưu điểm chủ yếu. Không giống như các mạng VPN truyền thống, các mạng MPLS VPN không sử dụng hoạt động đóng gói và mã hóa gói tin để đạt được mức độ bảo mật cao. MPLS VPN sử dụng bảng chuyển tiếp và các nhãn “tags” để tạo nên tính bảo mật cho mạng VPN. Kiến trúc mạng loại này sử dụng các tuyến mạng xác định để phân phối các dịch vụ VPN, và các cơ chế xử lý thông minh của MPLS VPN lúc này nằm hoàn toàn trong phần lõi của mạng. Trước tiên, ta hãy xem xét một số thuật ngữ được dùng trong mạng MPLS VPN. Thiết bị CPE trong MPLS-VPN chính là các CE (Customer Edge) router và các CE router này được nối với mạng của nhà cung cấp dịch vụ thông qua các PE (Provider Edge) router. Một mạng VPN sẽ bao gồm một nhóm các CE router kết nối với các PE router của nhà cung cấp dịch vụ. Tuy nhiên, chỉ những PE router mới có khái niệm về VPN, còn các CE router thì không “nhận thấy” những gì đang diễn ra bên trong mạng của nhà cung cấp dịch vụ và sẽ coi như chúng đang được kết nối với nhau thông qua một mạng riêng. Mỗi VPN được kết hợp với một bảng định tuyến - chuyển tiếp VPN (VRF) riêng biệt. VRF cung cấp các thông tin về mối quan hệ trong VPN của một mạng khách hàng khi được nối với PE router. Bảng VRF bao gồm thông tin bảng định tuyến IP (IP routing table), bảng CEF (Cisco Express Forwarding), các giao diện của bảng định tuyến; các quy tắc, các tham số của giao thức định tuyến... Mỗi mạng chỉ có thể kết hợp với một và chỉ một VRF. Các VRF của mạng khách hàng mang toàn bộ thông tin về các “tuyến” có sẵn từ mạng tới VPN mà nó là thành viên. Đối với mỗi VRF, thông tin sử dụng để chuyển tiếp các gói tin được lưu trong các bảng định tuyến IP và bảng CEF. Các bảng này được duy trì riêng rẽ cho từng VRF nên nó ngăn chặn được hiện tượng thông tin bị chuyển tiếp ra ngoài mạng VPN cũng như ngăn chặn các gói tin bên ngoài mạng VPN chuyển tiếp vào các router bên trong mạng VPN. đây chính là cơ chế bảo mật của MPLS VPN. Bên trong mỗi một MPLS VPN, có thể kết nối bất kỳ hai điểm nào với nhau và các mạng có thể gửi thông tin trực tiếp cho nhau mà không cần thông qua mạng trung tâm. 37 Tham số phân biệt tuyến RD (Route Distinguisher) giúp nhận biết các địa chỉ IP thuộc VPN riêng biệt nào. Xét mô hình mạng như hình dưới, có 3 VPN khác nhau và được xác định bởi các RD: 10, 20 và 30. Một mạng MPLS có thể hỗ trợ hàng trăm đến hàng nghìn VPN. Phần bên trong của kiến trúc mạng MPLS VPN được kết cấu bởi các thiết bị của nhà cung cấp. Những thiết bị này hình thành mạng lõi (core) MPLS và không được nối trực tiếp đến các CE router. Các chức năng VPN của một mạng MPLS-VPN sẽ được thực hiện bởi các PE router bao quanh mạng lõi này. Cả P router và PE router đều là các bộ định tuyến chuyển mạch nhãn LSR (Label Switch Router) trong mạng MPLS. Các site khách hàng có thể được kết nối với các PE router bằng nhiều cách khác nhau như T1, Frame Relay, DSL, ATM, v.v... Hình 2.10 Mô hình mạng MPLS Trong một mạng MPLS VPN, site phía khách hàng sẽ sử dụng IP thông thường mà không cần biết đến MPLS, IPSec hay bất cứ một chức năng VPN đặc biệt nào. Tại các PE router, một cặp VRF và RD sẽ tương ứng với mỗi liên kết đến site của khách hàng (customer site). Liên kết này có thể là một liên kết vật lý T1, Frame Relay hay ATM VC, DSL... Giá trị RD sẽ hoàn toàn “ẩn” và sẽ không được cấu hình tại các thiết bị của khách hàng. Sau đây ta xét một ví dụ cụ thể đường đi của một gói tin trong mạng VPN của khách hàng từ PC A thuộc site A tới PC B thuộc site B thông qua mạng MPLS. - Gói tin đến từ site A của PE router R1 như một gói IP thông thường với địa chỉ đích 10.2.1.100. Site này thuộc mạng VPN với RD:10. - R1 sẽ tra cứu bảng chuyển tiếp VPN của nó và dựa vào bảng này để gán nhãn cho gói tin, trong trường hợp này là nhãn 56. Nhãn này mang thông tin về đích đến của gói tin trong mạng VPN với RD:10 RD Prefix Destination PE Label 10 10.1.0.0/16 216.70.128.216 318 38 10 10.2.0.0/16 216.70.128.192 56 10 10.3.0.0/16 216.70.128.133 32 10 10.4.0.0/16 216.70.128.60 210 10 10.5.0.0/16 216.70.128.84 109 - R1 chuyển tiếp gói tin dựa vào địa chỉ PE đích trong bảng FIB (Label Forwarding Information Base). Khi gói tin này được chuyển đi, nó sẽ được gán một nhãn MPLS trong bảng LIB. Nhãn này (188) tương ứng với nhãn được yêu cầu để chuyển tiếp gói tin đến R2, có địa chỉ IP là 216.70.128.192. - LSR1 tiếp nhận gói tin và thưc hiện hoạt động chuyển mạch nhãn thông thường. Trong ví dụ này, LSR1 tráo đổi nhãn 188 với nhãn 62, sau đó chuyển tiếp gói tin đến LSR2. - LSR2 tiếp nhận gói tin và thực hiện chức năng Penultimate Hop Popping bởi vì đây là chặng cuối cùng trước khi gói tin đến PE đích, LSR2 sẽ loại bỏ nhãn (62) và gửi gói tin tới R2 với nhãn 56. - Sau khi R2 tiếp nhận gói tin, nó sẽ tra nhãn 56 trong bảng chuyển tiếp VPN, trong trường hợp này, nhãn sẽ tương ứng với RD:10. Sau đó, R2 tham chiếu địa chỉ IP trong gói tin để xác định ra đích đến là RD:10 với địa chỉ IP 10.2.1.100. R2 xác định RD:10 và địa chỉ IP:10.2.1.100 là thuộc site được liên kết trực tiếp với R2 bởi một liên kết IP thông thường nên nó sẽ loại bỏ nhãn và chuyển tiếp gói IP tới site đó. RD Prefix Destination PE Label 10 10.1.0.0/16 216.70.128.216 318 10 10.2.0.0/16 216.70.128.192 56 10 10.3.0.0/16 216.70.128.133 32 10 10.4.0.0/16 216.70.128.60 210 10 10.5.0.0/16 216.70.128.84 109 Chú ý rằng địa chỉ IP 10.2.1.100 và 216.70.128.192 khác nhau về phạm vi, địa chỉ IP 10.2.1.100 thuộc mạng VPN với RD:10 và chỉ những gói tin bên trong VPN này mới có thể đến được địa chỉ này. Có thể có một địa chỉ IP 10.2.1.100 khác ở các VPN khác, nhưng chúng được đặc trưng bởi những RD khác nhau. địa chỉ 216.70.128.192 thuộc mạng đường trục và nó không thuộc một VPN nào. Một trong những ưu điểm lớn nhất của các MPLS VPN là không đòi hỏi các thiết bị CPE thông minh bởi vì toàn bộ các chức năng VPN được thực hiện ở phía 39 trong mạng lõi của nhà cung cấp dịch vụ và hoàn toàn “trong suốt” đối với các CPE. Các CPE không đòi hỏi chức năng VPN và hỗ trợ IPSec. điều này có nghĩa là khách hàng không phải chi phí quá cao cho các thiết bị CPE. Trễ trong mạng được giữ ở mức thấp nhất vì các gói tin lưu chuyển trong mạng không phải thông qua các hoạt động như đóng gói và mã hóa. Sở dĩ không cần chức năng mã hóa là vì MPLS VPN tạo nên một mạng riêng. Phương pháp bảo mật này gần giống như bảo mật trong mạng Frame Relay. Thậm chí trễ trong MPLS VPN còn thấp hơn là trong mạng MPLS IP sử dụng chuyển mạch nhãn Việc tạo một mạng đầy đủ (full mesh) VPN là hoàn toàn đơn giản vì các MPLS VPN không sử dụng cơ chế tạo đường hầm. Vì vậy, cấu hình mặc định cho các mạng MPLS VPN là full mesh, trong đó các site được nối trực tiếp với PE vì vậy các site bất kỳ có thể trao đổi thông tin với nhau trong VPN. Và thậm chí, nếu site trung tâm gặp trục trặc, các spoke site vẫn có thể liên lạc với nhau. Hoạt động khai thác và bảo dưỡng cũng đơn giản hơn trong mạng MPLS-VPN. Hoạt động này chỉ cần thực hiện tại các thiết bị bên trong mạng core mà không cần phải tiếp xúc đến các CPE. Một khi một site đã được cấu hình xong, ta không cần đụng chạm đến nó nữa cho dù nếu muốn thêm một site mới vào mạng vì những thay đổi về cấu hình lúc này chỉ cần thực hiện tại PE mà nó nối tới. Vấn đề bảo mật thậm chí còn đơn giản hơn nhiều khi triển khai trong các mạng MPLS VPN vì một VPN khép kín bản thân nó đã đạt được sự an toàn thông tin do không có kết nối với mạng Internet công cộng. Nếu có nhu cầu truy nhập Internet, một tuyến sẽ được thiết lập để cung cấp khả năng truy nhập. Lúc này, một firewall sẽ được sử dụng trên tuyến này để đảm bảo một kết nối bảo mật cho toàn bộ mạng VPN. Cơ chế hoạt động này rõ ràng dễ dàng hơn nhiều cho hoạt động quản lý mạng vì chỉ cần duy trì các chính sách bảo mật cho một firewall duy nhất mà vẫn đảm bảo an toàn cho toàn bộ VPN Một ưu điểm nữa của các mạng MPLS VPN là chỉ cần một kết nối duy nhất cho mỗi remote site. So sánh với mạng Frame Relay truyền thống có 1 nút trung tâm và 10 remote site (mỗi một remote site sẽ cần một Frame Relay PVC) thì tại nút trung tâm (hub) sẽ cần 10 PVCs. Trong khi bên trong một mạng MPLS VPN chỉ cần duy nhất một PVC tại vị trí hub trung tâm nên chi phí mạng sẽ giảm đáng kể. 2.3 Kết luận Như vậy có thể nói VPN là một trong những ứng dụng quan trọng nhất của MPLS. Kỹ thuật MPLS VPN đưa ra một thay đổi cơ bản trong công nghệ VPN đó là sử dụng khái niệm Virtual Router thay cho Dedicated Router và Shared Router. Từ 40 việc phân tích phương thức hoạt động của MPLS VPN ta thấy nó có nhiều ưu điểm hơn so với các dịch vụ VPN truyền thống: Riêng biệt và bảo mật: MPLS VPN giữ các thông tin định tuyến riêng biệt cho mỗi VPN, đảm bảo người dùng chỉ có thể liên lạc được với các địa chỉ đã được lập sẵn cho VPN của mình. Độc lập với khách hàng: MPLS VPN có cách đánh địa chỉ (gán nhãn trong mạng MPLS) hết sức linh hoạt, người dùng có thể sử dụng bất cứ dải địa chỉ nào (kể cả các địa chỉ kiểm tra hoặc các địa chỉ không được đăng ký) hoặc có thể sử sụng NAT (Network Address Translation). Mặt khác, người dùng còn có thể sử dụng các dải địa chỉ trùng hoặc giống nhau. Một điểm nổi bật khác là mạng của người dùng không yêu cầu các thiết bị hỗ trợ MPLS, các thiết bị đắt tiền như VPN Router với IP Sec hoặc bất cứ yêu cầu đặc biệt nào khác ngoài IP. Linh hoạt và khả năng phát triển: Với các dịch vụ VPN dựa trên IP, số lượng router trên mạng tăng nhanh chóng theo số lượng các VPN. VPN sẽ phải chứa các bảng định tuyến ngày một lớn. MPLS VPN sử dụng một tập các BGP (Border Gateway Protocol) ngang hàng giữa các LSR cạnh (Edge LSR), cho phép số lượng VPN không hạn chế và hỗ trợ nhiều dạng VPN, dễ dàng tạo thêm các VPN hoặc site mới (chỉ cần thực hiện tại router của site mới). Như vậy MPLS là một trong những giải pháp mạng đường trục cho mạng thế hệ mới, hiện xu hướng phát triển của MPLS là ATOM (Any traffic Over MPLS), nghĩa là có khả năng đáp ứng bất cứ loại dịch vụ nào: thoại, video, fax, data... MPLS VPN sẽ là một thị trường đầy tiềm năng và hứa hẹn mang lại nhiều lợi ích cho cả người dùng và nhà cung cấp dịch vụ viễn thông. Ngày nay, tuy VPN vẫn đang còn là một công nghệ mới mẻ ở Việt nam, nhưng việc đầu tư nghiên cứu để chọn giải pháp tối ưu cũng là điều nên làm đối với các nhà cung cấp dịch vụ mạng./. 41 CHƯƠNG 3 ỨNG DỤNG MPLS IP VPN VÀO HỆ THỐNG MẠNG NGÀNH VÀ GIẢI PHÁP HỆ THỐNG Tổng quan hệ thống mạng ngành thuế Đánh giá ưu nhược điểm của hệ thống cơ sở hạ tầng hiện tại Giải pháp MPLS IP VPN để nâng cao an ninh mạng cho ngành Thuế Các đề xuất cải tiến hệ thống Thiết kế hệ thống cải tiến Đánh giá về hệ thống đảm bảo an ninh Tổng quan h

Các file đính kèm theo tài liệu này:

  • pdfMạng riêng ảo và giải pháp hệ thống trong Tổng cục Thuế.pdf