MỤC LỤC
Trang phụbìa
Lời cam đoan
Lời cảm ơn
Mục lục .1
Danh mục các thuật ngữvà các từviết tắt.3
Danh mục hình vẽ.5
MỞ ĐẦU .7
CHƯƠNG 1 TỔNG QUAN VỀMẠNG RIÊNG ẢO .9
1.1 Tổng quan.9
1.2 Khái niệm VPN .9
1.3 Khái niệm đường hầm.10
1.4 Phân loại VPN.10
1.4.1 Overlay VPN . 11
1.4.2 Site to site VPN ( Mô hình VPN ngang cấp). 15
1.5 Kết luận .21
CHƯƠNG 2 MẠNG RIÊNG ẢO TRÊN NỀN CÔNG NGHỆMPLS.22
2.1 Vấn đề đặt ra?.22
- Tính khảchuyển.22
- Điều khiển lưu lượng .23
- Chất lượng của dịch vụ(QoS) .23
2.2 Chuyển mạch nhãn đa giao thức là gì? .25
2.2.1 Khái niệm. 25
2.2.2 Đặc điểm mạng MPLS. 25
2.2.3 Một sốkhái niệm cơbản trong kiến trúc MPLS . 26
2.2.4 Phương thức hoạt động của công nghệMPLS . 29
2.2.5 Chuyển tiếp gói MPLS và đường chuyển mạch nhãn . 33
2.3 Kết luận .39
CHƯƠNG 3 ỨNG DỤNG MPLS IP VPN VÀO HỆTHỐNG MẠNG NGÀNH
VÀ GIẢI PHÁP HỆTHỐNG.41
3.1 Bối cảnh chung.41
3.2 Đánh giá ưu nhược điểm của hệthống cơsởhạtầng hiện tại .44
3.2.1 Mô hình kết nối WAN và những vấn đề đặt ra?. 44
3.2.2 Mô hình kết nối Internet và những vấn đềnảy sinh . 46
3.3 Giải pháp MPLS IP VPN đểnâng cao an ninh cho hệthống mạng TCT.51
3.3.1 Đềxuất cải tiến để đảm bảo tính dựphòng và an ninh cho hệthống51
3.3.2 Giải pháp thiết kếhệthống. 54
3.3.3 Đánh giá vềhệthống đảm bảo an ninh . 68
3.3.4 Hoạt động thửnghiệm . 75
3.4 Kết luận .76
CHƯƠNG 4 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN .78
81 trang |
Chia sẻ: netpro | Lượt xem: 1911 | Lượt tải: 1
Bạn đang xem trước 20 trang tài liệu Luận văn Mạng riêng ảo và giải pháp hệ thống trong Tổng Cục Thuế, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
c nhau với các
thông số ánh xạ khác nhau. Việc ánh xạ một gói vào một FEC có thể đạt được nhờ vào
một số thông số sau:
- Địa chỉ IP nguồn, đích.
- Cổng nguồn, đích
- Nhận dạng giao thức
- Luồng
FEC được ấn định ngay từ đầu vào của mạng MPLS và phụ thuộc vào hoạt động của
LSR ngõ vào, ra. Do đó thường thì các LSR ngõ vào và ra là các router có khả năng xử
lý mạnh.
28
2.2.3.4 Đường chuyển mạch nhãn LSP ( label Switching Parth)
Đường chuyển mạch nhãn được thiết lập từ ingress LSR (ingress Label S=witching
Router – dữ liệu đầu vào là gói IP truyền thống, ingress LSR sẽ ấn định nhãn cho gói
thông tin này) đến egress LSR (egress Label Switching Router – gỡ bỏ nhãn cho gói
dữ liệu khi ra khỏi mạng lõi MPLS). LSP được xây dựng bằng các giao thức như LDP
(Label Distributed Protocol), RSVP (Resource Reservation Protocol),…
Một LSP nối từ đầu cuối đến đầu cuối gọi là đường hầm LSP (LSP tunnel) – liên
kết các đoạn LSP giữa các nút.
2.2.3.5 Cơ sở thông tin nhãn LIB ( label Information Base)
Mỗi LSR phải xây dựng một bảng thông tin sử dụng cho việc định tuyến và
chuyển tiếp các gói tin trong mạng. Trong bảng sẽ chứa những thông tin liên quan đến
nhãn, địa chỉ, trạm kế,… để xác định rõ ràng cách thức chuyển tiếp của gói dữ liệu như
thế nào.
2.2.3.6 Một số khái niệm khác
LSR - Label Switch Router là các router hoặc switch triển khai phân phối nhãn và
có thể chuyển tiếp các gói dựa trên các nhãn. Chức năng cơ bản của quá trình phân
phối nhãn này cho phép một LSR phân phối nhãn thông tin chuyển tiếp của nó tới các
LSRs khác trong mạng MPLS.
Có một vài loại LSR khác nhau và chúng được phân biệt nhờ chức năng của chúng
trong cơ sở hạ tầng mạng. Sự khác nhau giữa các loại LSR chỉ là cấu trúc bởi một loại
có thể đóng nhiều vai trò khác nhau.
Chúng ta có thể tóm tắt các chức năng của các loại LSR. Chú ý rằng bất kỳ một
thiết bị trên mạng nào có thể có nhiều hơn một chức năng (một thiết bị có thể vừa là
LSR biên vừa là ATM LSR biên.
Kiểu LSR Chức năng
LSR Chuyển tiếp các gói tin đã được gán nhãn
LSR biên - Có thể nhận một gói tin IP, thực hiện kiểm tra lớp 3, và gán một
ngăn xếp nhãn trước khi chuyển tiếp gói vào miền MPLS
- Có thể nhận một gói IP, thực hiện việc kiểm tra ở lớp 3, chuyển
tiếp gói IP tới điểm tiếp theo (next-hop)
ATM-LSR - Chạy các giao thức MPLS trong mặt phẳng điều khiển để tạo ra
29
2.2.4 Phương thức hoạt động của công nghệ MPLS
- MPLS hoạt động trong lõi của mạng IP. Các Router trong lõi phải kích hoạt
MPLS trên từng giao tiếp. Nhãn được gắn thêm vào gói IP khi gói đi vào
mạng MPLS. Nhãn được tách ra khi gói ra khỏi mạng MPLS. Nhãn (Label)
được chèn vào giữa header lớp ba và header lớp hai. Sử dụng nhãn trong
quá trình gửi gói sau khi đã thiết lập đường đi. MPLS tập trung vào quá
trình hoán đổi nhãn. Một trong những thế mạnh của khiến trúc MPLS là tự
định nghĩa chồng nhãn.
- Công thức để gán nhãn gói tin là:
Network Layer Packet + MPLS Label Stack
- Không gian nhãn (Label Space): có hai loại. Một là, các giao tiếp dùng
chung giá trị nhãn (per-platform label space). Hai là, mỗi giao tiếp mang giá
trị nhãn riêng, (Per-interface Label Space).
- Bộ định tuyến chuyển nhãn (LSR – Label Switch Router): ra quyết định
chặng kế tiếp dựa trên nội dung của nhãn, các LSP làm việc ít và hoạt động
gần giống như Switch.
- Con đường chuyển nhãn (LSP – Label Switch Path): xác định đường đi của
gói tin MPLS. Gồm hai loại: Hop by hop signal LSP - xác định đường đi
khả thi nhất và Explicit route signal LSP - xác định đường đi từ nút gốc..
Sự khác nhau cơ bản giữa MPLS và các công nghệ WAN truyền thống chính là
cách mà các nhãn được gán và khả năng mang một ngăn xếp của các nhãn cho một gói
tin. Khái niệm ngăn xếp nhãn cho phép chúng ta có nhiều ứng dụng mới ví dụ như
Điều khiển lưu lượng (Traffic Engineering), Mạng riêng ảo (Virtual Private Network –
VPN )….
các mạch ảo ATM, và chuyển tiếp các tế bào tới ATM-LSR ở điểm tiếp
theo(next-hop)
ATM LSR-
biên
- Có thể nhận 1 gói đã được gán nhãn hoặc chưa, chia nó thành các
tế bào ATM và chuyển tiếp các tế bào tới ATM-LSR tiếp theo
- Có thể nhận các tế bào ATM từ một ATM-LSR kề cận, lắp ghép
các tế bào này trở lại gói tin gốc và sau đó chuyển tiếp gói tin này dưới
dạng đã được gán nhãn hoặc chưa.
30
Cấu trúc của một nút MPLS bao gồm 2 mặt thành phần: thành phần chuyển tiếp
(hay còn được gọi là mặt phẳng dữ liệu) và thành phần điều khiển (còn được gọi là
mặt phẳng điều khiển). Thành phần chuyển tiếp sử dụng một cơ sở dữ liệu chuyển
tiếp nhãn để chuyển tiếp dữ liệu dựa trên các nhãn đi kèm với gói tin. Thành phần điều
khiển chịu trách nhiệm tạo và duy trì các thông tin chuyển tiếp nhãn (còn được gọi là
bindings ) giữa nhóm các chuyển mạch nhãn với nhau.
Tất cả các nút MPLS phải chạy một hoặc nhiều giao thức định tuyến IP (hoặc
dựa trên định tuyến tĩnh) để có thể trao đổi thông tin định tuyến với các nút MPLS
khác trên mạng. Theo đó, mỗi một nút MPLS (bao gồm cả chuyển mạch ATM) là một
router trên mặt phẳng điều khiển.
Hình 2.5 Cấu trúc cơ bản của một nút MPLS
Tương tự như các router truyền thống, các giao thức định tuyến IP sẽ dùng để
xây dựng nên bảng định tuyến. Bảng định tuyến IP được sử dụng để đẩy gói tin đi.
Tại một nút MPLS, bảng định tuyến được sử dụng để xác định việc trao đổi
thông tin nhãn chuyển tiếp, nơi mà các nút MPLS kề cận với nó trao đổi các nhãn cho
các mạng con (subnets) cụ thể được chứa trong bảng định tuyến.
Các quá trình điều khiển định tuyến MPLS IP (MPLS IP Routing Control) sử
dụng các nhãn để trao đổi với các nút MPLS cạnh nó để tạo ra bảng chuyển tiếp nhãn
(Label Forwarding Table), bảng này là vùng cơ sở dữ liệu được sử dụng để chuyển
tiếp các gói được gán nhãn qua mạng MPLS
Tạo nhãn ở mạng biên
Các gói tin phải được đánh nhãn trước khi chuyển tiếp tới miền mạng MPLS.
Để thực hiện được nhiệm vụ này, LSR biên phải biết nơi gói tin được đánh tiêu đề,
31
hoặc ngăn xếp nhãn, nó phải khai báo cho gói tin. Để chuyển tiếp gói tin IP lớp 3 tới
chặng tiếp theo, nó kiểm tra trong bảng định tuyến địa chỉ IP đích được chứa trong tiêu
đề lớp 3 của gói tin. Sau đó lựa chọn bước tiếp theo để chuyển tiếp gói tin. Và cứ như
thế cho đến khi gói tin đi đến đích.
Có 2 cách để gói IP tới chặng tiếp theo. Cách thứ nhất là toàn bộ các gói được
coi là như nhau khi chuyển qua mạng. Cách thứ hai là ánh xạ từng địa chỉ IP đích tới
một IP của chặng tiếp theo. Trong mạng MPLS cách thứ nhất được gọi là nhóm
chuyển tiếp tương đương – FECs (Forwarding Equivalence Classes). FEC là một
nhóm các gói, nhóm các gói này chia sẻ cùng yêu cầu trong sự chuyển tiếp chúng qua
mạng. Tất cả các gói trong một nhóm như vậy được cung cấp cùng cách chọn đường
tới đích. Khác với chuyển tiếp IP truyền thống, trong MPLS việc gán một gói cụ thể
vào một FEC cụ thể chỉ được thực hiện một lần khi các gói vào trong mạng. MPLS
không ra quyết định chuyển tiếp với mỗi datagram ( một gói thông tin và cả thông tin
bàn giao kết hợp thường là địa chỉ ) lớp 3 mà sử dụng khái niệm FEC. FEC phụ thuộc
vào một số các yếu tố, ít nhất là phụ thuộc vào địa chỉ IP và có thể là phụ thuộc cả vào
kiểu lưu lượng trong datagram (thoại, dữ liệu, fax…). Sau đó dựa trên FEC, nhãn
được thoả thuận giữa các LSR lân cận từ lối vào tới lối ra trong một vùng định tuyến.
Mỗi LSR xây dựng một bảng để xác định xem một gói phải được chuyển tiếp như thế
nào. Bảng này được gọi là cơ sở thông tin nhãn (LIB: Label Information Base), nó là
tổ hợp các ràng buộc FEC với nhãn (FEC-to-label). Và nhãn lại được sử dụng để
chuyển tiếp lưu lượng qua mạng.
Một cách để phân chia lưu lượng vào trong các FEC là tạo một FEC
riêng biệt cho mỗi tiền tố địa chỉ xuất hiện trong bảng định tuyến. Cách này có thể tạo
ra một tập hợp các FEC cho phép cùng đi một đường tới đích. Theo cách này thì bên
trong một miền MPLS, sẽ có nhiều FEC riêng biệt và như thế sẽ không hiệu quả. Trên
thực tế MPLS hợp nhất những FEC đó thành một FEC duy nhất.
32
Hình 2.6 Các FEC riêng biệt cho mỗi tiền tố địa chỉ
Egress
Node
Routing Table
172.16.10.5/16
172.16.17.3/16
172.16.12.8/16
192.168.14.7/24
192.168.14.20/24
Ingress Node
n Prefix = 1 FEC
Hình 2.7 Tổng hợp các FEC
33
Hình 2.8 Sự tạo nhãn MPLS và chuyển tiếp
Với cơ chế chuyển tiếp IP truyền thống, thì mỗi gói tin được xử lý tại một
chặng trong mạng. Tuy nhiên với MPLS, một gói tin cụ thể được gán tới một FEC cụ
thể, và được thực hiện tại thiết bị mạng biên khi mà gói tin tham gia vào mạng. Nhóm
chuyển tiếp tương đương cho mỗi gói được khai báo sau đó mã hóa thành một chỉ số
định dạng ngắn có chiều dài cố định, được gọi là nhãn.
2.2.5 Chuyển tiếp gói MPLS và đường chuyển mạch nhãn
Mỗi một gói tin khi tham gia mạng MPLS tại LSR vào và ra khỏi mạng MPLS
tại một LSR ra. Cơ chế này tạo ra Đường chuyển mạch nhãn – Label Switched Path
(LSP), được mô tả như là một nhóm các LSRs mà các gói được gán nhãn phải đi qua
để tới LSR đầu ra cho một FEC cụ thể.
LSP là một hướng kết nối (connection-oriented) bởi vì đường dẫn được tạo ra
trước khi có sự vận chuyển lưu lượng. Tuy nhiên, việc thiết lập kết nối này dựa trên
thông tin về mô hình mạng hơn là yêu cầu về luồng lưu lượng.
Khi gói tin đi qua mạng MPLS, mỗi LSR sẽ hoán đổi nhãn đi vào với một nhãn
đi ra cho đến LSR cuối cùng, được biết đến là LSR ra. (giống như cơ chế được sử
dụng trong mạng ATM nơi mà một cặp VPI/VCI này được tráo đổi với một cặp
VPI/VCI khác khi ra khỏi chuyển mạch ATM)
34
2.2.5.1 Các ứng dụng của MPLS
Hình 2.9 Các ứng dụng khác nhau của MPLS
MPLS được tạo ra để kết hợp của định tuyến truyền thống và chuyển mạch
ATM trong một mạng lõi IP thống nhất ( IP-ATM cấu trúc). Tuy nhiên ưu thế thực sự
của MPLS chính là các ứng dụng khác mà nó đem lại, từ điều khiển lưu lượng (Traffic
Engineering) tới mạng riêng ảo (Virtual Private Networks). Tất cả các ứng dụng này
sử dụng chức năng miền điều khiển để thiết lập một cơ sở dữ liệu chuyển mạch
2.2.5.2 Điều khiển lưu lượng
Vấn đề quan trọng trong các mạng IP là thiếu khả năng điều khiển linh hoạt các
luồng lưu lượng IP để sử dụng hiệu quả dải thông mạng có sẵn. Do vậy, thiếu hụt này
liên quan đến khả năng gửi các luồng được chọn xuống các đường được chọn ví dụ
như chọn các đường trung kế được bảo đảm cho các lớp dịch vụ riêng. MPLS sử dụng
các đường chuyển mạch nhãn LSP mà có thể được thiết lập trên cả ATM và thiết bị
dựa trên gói tin. Khả năng kỹ thuật lưu lượng của MPLS sử dụng thiết lập các LSP để
điều khiển một cách linh hoạt các luồng lưu lượng IP.
2.2.5.3 Tích hợp IP và ATM
Do “chuyển mạch nhãn” có thể thực hiện được bởi các chuyển mạch ATM,
MPLS là một phương pháp tích hợp các dịch vụ IP trực tiếp trên chuyển mạch ATM.
Sự tích hợp này cần phải đặt định tuyến IP và phần mềm LDP trực tiếp trên chuyển
mạch ATM. Do tích hợp hoàn toàn IP trên chuyển mạch ATM, MPLS cho phép
chuyển mạch ATM hỗ trợ tối ưu các dịch vụ IP như IP đa hướng (multicast), lớp dịch
vụ IP, RSVP và mạng riêng ảo VPN
35
2.2.5.4 Hỗ trợ chất lượng dịch vụ
Một thiếu sót của mạng IP so với mạng Frame Relay và ATM, là sự bất lực của
chúng để cung cấp dịch vụ thoả mãn nhu cầu lưu lượng. Ví dụ lưu lượng thời gian
thực như voice hay video cần dịch vụ chất lượng cao (độ trễ luồng thấp, mất luồng
thấp…) khi truyền qua mạng. Tương tự dữ liệu trong kinh tế thương mại phải được ưu
tiên qua trình duyệt web thông thường.
Kết nối định hướng mang tính tự nhiên của MPLS cung cấp khung làm việc
hợp lý để đảm bảo chất lượng lưu lượng IP. Trong khi QoS và lớp dịch vụ CoS (Class
of Service) không phải là cơ sở đặc biệt của MPLS, chúng có thể ứng dụng trong mạng
MPLS khi kỹ thuật lưu lượng được sử dụng. Điều này cho phép nhà cung cấp thiết lập
hợp đồng mức dịch vụ SLA (Service Level Agreements) với khách hàng để đảm bảo
dịch vụ như độ rộng băng thông, độ trễ, mức thất thoát. Dịch vụ giá trị gia tăng có thể
được phân phối bổ sung như truyền tải dữ liệu cơ sở, tăng thu nhập và cuối cùng cho
tiến tới mạng hội tụ.
Intserv and Diffserv, qua thời gian một số kỹ thuật được phát triển để thiết lập
QoS/CoS trong một mạng. Trong mô hình dịch vụ tích hợp Intserv (Integrated
Services), RSVP đã phát triển thủ tục báo hiệu QoS qua một mạng, cho phép thiết bị
sắp xếp và thiết lập thông số lưu lượng đảm bảo như độ rộng băng thông và độ trễ đầu
cuối - đầu cuối. Nó sử dụng nguồn tài nguyên tại chỗ, đảm bảo dịch vụ xuống theo
luồng cơ sở. Mô hình dịch vụ khác nhau Diffserv (Differentiated Services) giảm bớt
cứng nhắc, cung cấp phân phối CoS để đối xử như nhau đối với lớp lưu lượng có mức
ưu tiên như nhau, nhưng không có báo hiệu hay đảm bảo dịch vụ đầu cuối đầu cuối.
Diffserv định nghĩa lại kiểu dịch vụ ToS (Type of Service) trong tiêu đề gói IP để
cung cấp sự phân loại này.
Trong khi Intserv đảm bảo độ rộng băng lưu lượng, nó xác nhận không thể tăng
hay thực hiện hoạt động qua mạng lớn. IETF kết hợp Difserv và kỹ thuật lưu lượng
MPLS để cung cấp QoS đảm bảo trong mạng MPLS. Thông tin Diffserv trong tiêu đề
gói IP được ánh xạ trong thông tin nhãn của gói MPLS. Bộ định tuyến MPLS cập nhật
thông tin ưu tiên để truyển tiếp dữ liệu thích hợp. Một số cơ chế sử dụng gồm chia sẻ
lưu lượng, đợi, và phân loại gói.
QoS thực hiện ở biên của đám mây MPLS, ở nơi lưu lượng phi nhãn từ mạng
khách hàng đi vào mạng truyền thông. Tại cổng vào này, lưu lượng thời gian thực dễ
bị ảnh hưởng như lưu lượng định dạng voice IP hay hội nghị video có thể được ưu tiên
phân phát qua sự chuyển giao dữ liệu lớn.
36
2.2.5.5 Mạng riêng ảo
Dịch vụ VPN là dịch vụ mạng Intranet và Extranet mà các mạng đó được cung
cấp bởi nhà cung cấp dịch vụ đến nhiều tổ chức khách hàng. MPLS kết hợp với giao
thức BGP cho phép một nhà cung cấp mạng hỗ trợ hàng nghìn VPN của khách hàng.
Như vậy, mạng MPLS cùng với BGP tạo ra cách thức cung cấp dịch vụ VPN trên cả
ATM và các thiết bị dựa trên gói tin rất linh hoạt, dễ mở rộng quy mô và dễ quản lý.
Thậm chí trên các mạng của nhà cung cấp khá nhỏ, khả năng linh hoạt và dễ quản lý
của các dịch vụ BGP/MPLS VPN là ưu điểm chủ yếu.
Không giống như các mạng VPN truyền thống, các mạng MPLS VPN không sử
dụng hoạt động đóng gói và mã hóa gói tin để đạt được mức độ bảo mật cao. MPLS
VPN sử dụng bảng chuyển tiếp và các nhãn “tags” để tạo nên tính bảo mật cho mạng
VPN. Kiến trúc mạng loại này sử dụng các tuyến mạng xác định để phân phối các dịch
vụ VPN, và các cơ chế xử lý thông minh của MPLS VPN lúc này nằm hoàn toàn trong
phần lõi của mạng.
Trước tiên, ta hãy xem xét một số thuật ngữ được dùng trong mạng MPLS
VPN. Thiết bị CPE trong MPLS-VPN chính là các CE (Customer Edge) router và các
CE router này được nối với mạng của nhà cung cấp dịch vụ thông qua các PE
(Provider Edge) router. Một mạng VPN sẽ bao gồm một nhóm các CE router kết nối
với các PE router của nhà cung cấp dịch vụ. Tuy nhiên, chỉ những PE router mới có
khái niệm về VPN, còn các CE router thì không “nhận thấy” những gì đang diễn ra
bên trong mạng của nhà cung cấp dịch vụ và sẽ coi như chúng đang được kết nối với
nhau thông qua một mạng riêng.
Mỗi VPN được kết hợp với một bảng định tuyến - chuyển tiếp VPN
(VRF) riêng biệt. VRF cung cấp các thông tin về mối quan hệ trong VPN của một
mạng khách hàng khi được nối với PE router. Bảng VRF bao gồm thông tin bảng định
tuyến IP (IP routing table), bảng CEF (Cisco Express Forwarding), các giao diện của
bảng định tuyến; các quy tắc, các tham số của giao thức định tuyến... Mỗi mạng chỉ có
thể kết hợp với một và chỉ một VRF. Các VRF của mạng khách hàng mang toàn bộ
thông tin về các “tuyến” có sẵn từ mạng tới VPN mà nó là thành viên.
Đối với mỗi VRF, thông tin sử dụng để chuyển tiếp các gói tin được lưu trong
các bảng định tuyến IP và bảng CEF. Các bảng này được duy trì riêng rẽ cho từng
VRF nên nó ngăn chặn được hiện tượng thông tin bị chuyển tiếp ra ngoài mạng VPN
cũng như ngăn chặn các gói tin bên ngoài mạng VPN chuyển tiếp vào các router bên
trong mạng VPN. đây chính là cơ chế bảo mật của MPLS VPN. Bên trong mỗi một
MPLS VPN, có thể kết nối bất kỳ hai điểm nào với nhau và các mạng có thể gửi thông
tin trực tiếp cho nhau mà không cần thông qua mạng trung tâm.
37
Tham số phân biệt tuyến RD (Route Distinguisher) giúp nhận biết các địa chỉ IP
thuộc VPN riêng biệt nào. Xét mô hình mạng như hình dưới, có 3 VPN khác nhau và
được xác định bởi các RD: 10, 20 và 30. Một mạng MPLS có thể hỗ trợ hàng trăm đến
hàng nghìn VPN. Phần bên trong của kiến trúc mạng MPLS VPN được kết cấu bởi các
thiết bị của nhà cung cấp. Những thiết bị này hình thành mạng lõi (core) MPLS và
không được nối trực tiếp đến các CE router. Các chức năng VPN của một mạng
MPLS-VPN sẽ được thực hiện bởi các PE router bao quanh mạng lõi này. Cả P router
và PE router đều là các bộ định tuyến chuyển mạch nhãn LSR (Label Switch Router)
trong mạng MPLS. Các site khách hàng có thể được kết nối với các PE router bằng
nhiều cách khác nhau như T1, Frame Relay, DSL, ATM, v.v...
Hình 2.10 Mô hình mạng MPLS
Trong một mạng MPLS VPN, site phía khách hàng sẽ sử dụng IP thông thường
mà không cần biết đến MPLS, IPSec hay bất cứ một chức năng VPN đặc biệt nào.
Tại các PE router, một cặp VRF và RD sẽ tương ứng với mỗi liên kết đến site
của khách hàng (customer site). Liên kết này có thể là một liên kết vật lý T1, Frame
Relay hay ATM VC, DSL... Giá trị RD sẽ hoàn toàn “ẩn” và sẽ không được cấu hình
tại các thiết bị của khách hàng.
Sau đây ta xét một ví dụ cụ thể đường đi của một gói tin trong mạng VPN của
khách hàng từ PC A thuộc site A tới PC B thuộc site B thông qua mạng MPLS.
- Gói tin đến từ site A của PE router R1 như một gói IP thông thường với địa
chỉ đích 10.2.1.100. Site này thuộc mạng VPN với RD:10.
- R1 sẽ tra cứu bảng chuyển tiếp VPN của nó và dựa vào bảng này để gán nhãn
cho gói tin, trong trường hợp này là nhãn 56. Nhãn này mang thông tin về đích đến của
gói tin trong mạng VPN với RD:10
RD Prefix Destination PE Label
10 10.1.0.0/16 216.70.128.216 318
38
10 10.2.0.0/16 216.70.128.192 56
10 10.3.0.0/16 216.70.128.133 32
10 10.4.0.0/16 216.70.128.60 210
10 10.5.0.0/16 216.70.128.84 109
- R1 chuyển tiếp gói tin dựa vào địa chỉ PE đích trong bảng FIB (Label
Forwarding Information Base). Khi gói tin này được chuyển đi, nó sẽ được gán một
nhãn MPLS trong bảng LIB. Nhãn này (188) tương ứng với nhãn được yêu cầu để
chuyển tiếp gói tin đến R2, có địa chỉ IP là 216.70.128.192.
- LSR1 tiếp nhận gói tin và thưc hiện hoạt động chuyển mạch nhãn thông
thường. Trong ví dụ này, LSR1 tráo đổi nhãn 188 với nhãn 62, sau đó chuyển tiếp gói
tin đến LSR2.
- LSR2 tiếp nhận gói tin và thực hiện chức năng Penultimate Hop Popping bởi
vì đây là chặng cuối cùng trước khi gói tin đến PE đích, LSR2 sẽ loại bỏ nhãn (62) và
gửi gói tin tới R2 với nhãn 56.
- Sau khi R2 tiếp nhận gói tin, nó sẽ tra nhãn 56 trong bảng chuyển tiếp VPN,
trong trường hợp này, nhãn sẽ tương ứng với RD:10. Sau đó, R2 tham chiếu địa chỉ IP
trong gói tin để xác định ra đích đến là RD:10 với địa chỉ IP 10.2.1.100. R2 xác định
RD:10 và địa chỉ IP:10.2.1.100 là thuộc site được liên kết trực tiếp với R2 bởi một liên
kết IP thông thường nên nó sẽ loại bỏ nhãn và chuyển tiếp gói IP tới site đó.
RD Prefix Destination PE Label
10 10.1.0.0/16 216.70.128.216 318
10 10.2.0.0/16 216.70.128.192 56
10 10.3.0.0/16 216.70.128.133 32
10 10.4.0.0/16 216.70.128.60 210
10 10.5.0.0/16 216.70.128.84 109
Chú ý rằng địa chỉ IP 10.2.1.100 và 216.70.128.192 khác nhau về phạm vi, địa
chỉ IP 10.2.1.100 thuộc mạng VPN với RD:10 và chỉ những gói tin bên trong VPN này
mới có thể đến được địa chỉ này. Có thể có một địa chỉ IP 10.2.1.100 khác ở các VPN
khác, nhưng chúng được đặc trưng bởi những RD khác nhau. địa chỉ 216.70.128.192
thuộc mạng đường trục và nó không thuộc một VPN nào.
Một trong những ưu điểm lớn nhất của các MPLS VPN là không đòi hỏi các
thiết bị CPE thông minh bởi vì toàn bộ các chức năng VPN được thực hiện ở phía
39
trong mạng lõi của nhà cung cấp dịch vụ và hoàn toàn “trong suốt” đối với các CPE.
Các CPE không đòi hỏi chức năng VPN và hỗ trợ IPSec. điều này có nghĩa là khách
hàng không phải chi phí quá cao cho các thiết bị CPE.
Trễ trong mạng được giữ ở mức thấp nhất vì các gói tin lưu chuyển trong mạng
không phải thông qua các hoạt động như đóng gói và mã hóa. Sở dĩ không cần chức
năng mã hóa là vì MPLS VPN tạo nên một mạng riêng. Phương pháp bảo mật này gần
giống như bảo mật trong mạng Frame Relay. Thậm chí trễ trong MPLS VPN còn thấp
hơn là trong mạng MPLS IP sử dụng chuyển mạch nhãn
Việc tạo một mạng đầy đủ (full mesh) VPN là hoàn toàn đơn giản vì các MPLS
VPN không sử dụng cơ chế tạo đường hầm. Vì vậy, cấu hình mặc định cho các mạng
MPLS VPN là full mesh, trong đó các site được nối trực tiếp với PE vì vậy các site bất
kỳ có thể trao đổi thông tin với nhau trong VPN. Và thậm chí, nếu site trung tâm gặp
trục trặc, các spoke site vẫn có thể liên lạc với nhau.
Hoạt động khai thác và bảo dưỡng cũng đơn giản hơn trong mạng MPLS-VPN.
Hoạt động này chỉ cần thực hiện tại các thiết bị bên trong mạng core mà không cần
phải tiếp xúc đến các CPE. Một khi một site đã được cấu hình xong, ta không cần
đụng chạm đến nó nữa cho dù nếu muốn thêm một site mới vào mạng vì những thay
đổi về cấu hình lúc này chỉ cần thực hiện tại PE mà nó nối tới.
Vấn đề bảo mật thậm chí còn đơn giản hơn nhiều khi triển khai trong các mạng
MPLS VPN vì một VPN khép kín bản thân nó đã đạt được sự an toàn thông tin do
không có kết nối với mạng Internet công cộng. Nếu có nhu cầu truy nhập Internet, một
tuyến sẽ được thiết lập để cung cấp khả năng truy nhập. Lúc này, một firewall sẽ được
sử dụng trên tuyến này để đảm bảo một kết nối bảo mật cho toàn bộ mạng VPN. Cơ
chế hoạt động này rõ ràng dễ dàng hơn nhiều cho hoạt động quản lý mạng vì chỉ cần
duy trì các chính sách bảo mật cho một firewall duy nhất mà vẫn đảm bảo an toàn cho
toàn bộ VPN
Một ưu điểm nữa của các mạng MPLS VPN là chỉ cần một kết nối duy nhất cho
mỗi remote site. So sánh với mạng Frame Relay truyền thống có 1 nút trung tâm và 10
remote site (mỗi một remote site sẽ cần một Frame Relay PVC) thì tại nút trung tâm
(hub) sẽ cần 10 PVCs. Trong khi bên trong một mạng MPLS VPN chỉ cần duy nhất
một PVC tại vị trí hub trung tâm nên chi phí mạng sẽ giảm đáng kể.
2.3 Kết luận
Như vậy có thể nói VPN là một trong những ứng dụng quan trọng nhất của
MPLS. Kỹ thuật MPLS VPN đưa ra một thay đổi cơ bản trong công nghệ VPN đó là
sử dụng khái niệm Virtual Router thay cho Dedicated Router và Shared Router. Từ
40
việc phân tích phương thức hoạt động của MPLS VPN ta thấy nó có nhiều ưu điểm
hơn so với các dịch vụ VPN truyền thống:
Riêng biệt và bảo mật: MPLS VPN giữ các thông tin định tuyến riêng biệt cho
mỗi VPN, đảm bảo người dùng chỉ có thể liên lạc được với các địa chỉ đã được lập sẵn
cho VPN của mình.
Độc lập với khách hàng: MPLS VPN có cách đánh địa chỉ (gán nhãn trong
mạng MPLS) hết sức linh hoạt, người dùng có thể sử dụng bất cứ dải địa chỉ nào (kể
cả các địa chỉ kiểm tra hoặc các địa chỉ không được đăng ký) hoặc có thể sử sụng NAT
(Network Address Translation). Mặt khác, người dùng còn có thể sử dụng các dải địa
chỉ trùng hoặc giống nhau. Một điểm nổi bật khác là mạng của người dùng không yêu
cầu các thiết bị hỗ trợ MPLS, các thiết bị đắt tiền như VPN Router với IP Sec hoặc bất
cứ yêu cầu đặc biệt nào khác ngoài IP.
Linh hoạt và khả năng phát triển: Với các dịch vụ VPN dựa trên IP, số lượng
router trên mạng tăng nhanh chóng theo số lượng các VPN. VPN sẽ phải chứa các
bảng định tuyến ngày một lớn. MPLS VPN sử dụng một tập các BGP (Border
Gateway Protocol) ngang hàng giữa các LSR cạnh (Edge LSR), cho phép số lượng
VPN không hạn chế và hỗ trợ nhiều dạng VPN, dễ dàng tạo thêm các VPN hoặc site
mới (chỉ cần thực hiện tại router của site mới).
Như vậy MPLS là một trong những giải pháp mạng đường trục cho mạng thế
hệ mới, hiện xu hướng phát triển của MPLS là ATOM (Any traffic Over MPLS),
nghĩa là có khả năng đáp ứng bất cứ loại dịch vụ nào: thoại, video, fax, data... MPLS
VPN sẽ là một thị trường đầy tiềm năng và hứa hẹn mang lại nhiều lợi ích cho cả
người dùng và nhà cung cấp dịch vụ viễn thông.
Ngày nay, tuy VPN vẫn đang còn là một công nghệ mới mẻ ở Việt nam, nhưng
việc đầu tư nghiên cứu để chọn giải pháp tối ưu cũng là điều nên làm đối với các nhà
cung cấp dịch vụ mạng./.
41
CHƯƠNG 3 ỨNG DỤNG MPLS IP VPN VÀO HỆ THỐNG MẠNG
NGÀNH VÀ GIẢI PHÁP HỆ THỐNG
Tổng quan hệ thống mạng ngành thuế
Đánh giá ưu nhược điểm của hệ thống cơ sở hạ tầng hiện tại
Giải pháp MPLS IP VPN để nâng cao an ninh mạng cho ngành Thuế
Các đề xuất cải tiến hệ thống
Thiết kế hệ thống cải tiến
Đánh giá về hệ thống đảm bảo an ninh
Tổng quan h
Các file đính kèm theo tài liệu này:
- Mạng riêng ảo và giải pháp hệ thống trong Tổng cục Thuế.pdf