[Laptrinh.vn]-Chuyển mạch nhãn đa giao thức_MPLS-va ung dung

Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN

MỞ ĐẦU

Trong những năm qua, ngành công nghiệp viễn thông đã và đang tìm

một phương thức chuyển mạch có thể phối hợp ưu điểm của IP và ATM để

đáp ứng nhu cầu phát triển của mạng lưới trong giai đoạn tiếp theo. Đã có

nhiều nghiên cứu được đưa ra trong đó có việc nghiên cứu công nghệ chuyển

mạch nhãn MPLS.

Công nghệ MPLS là kết quả phát triển của công nghệ chuyển mạch IP sử

dụng cơ chế hoán đổi nhãn như của ATM để tăng tốc độ truyền gói tin mà

không cần thay đổi các giao thức định tuyến của IP. MPLS tách chức năng

của IP thành hai phần riêng biệt: chức năng chuyển gói tin và chức năng điều

khiển. Bên cạnh đó, MPLS cũng hỗ trợ việc quản lý dễ dàng hơn.

Trong những năm gần đây, MPLS đã được lựa chọn để đơn giản hoá và

tích hợp mạng trong mạng lõi. Nó cho phép các nhà khai thác giảm chi phí,

đơn giản hoá việc quản lý lưu lượng và hỗ trợ các dịch vụ Internet. Quan trọng

hơn cả, nó là một bước tiến mới trong việc đạt mục tiêu mạng đa dịch vụ với

các giao thức gồm di động, thoại, dữ liệu …

Mạng riêng ảo VPN là một trong những ứng dụng rất quan trọng trong

mạng MPLS. Các công ty, doanh nghiệp đặc biệt các công ty đa quốc gia có

nhu cầu rất lớn về loại hình dịch vụ này. Với VPN họ hoàn toàn có thể sử

dụng các dịch vụ viễn thông, truyền số liệu nội bộ với chi phí thấp, an ninh bảo

đảm. Đây là một ứng dụng rất quan trọng đáp ứng các yêu cầu của các

mạng riêng sử dụng hạ tầng cơ sở thông tin quốc gia với những yêu cầu khác

nhau về độ an toàn, bảo mật và chất lượng dịch vụ.

Luận văn được trình bày trong 6 chương và được chia làm hai phần.

Phần đầu tập trung vào tìm hiểu công nghệ chuyển mạch nhãn đa giao thức.

Phần thứ hai tìm hiểu về ứng dụng của mạng riêng ảo trong công nghệ MPLS.

Phần đầu gồm có 3 chương.

Lê Phạm Minh Thông1


Chương 1: Trình bày về cấu trúc tổng quan của mạng MPLS, những vấn

đề mà đang tồn tại trong mạng IP truyền thống, một số ứng dụng của chuyển

mạch nhãn đa giao thức

Chương 2: Hoạt động của MPLS ở chế độ Frame-mode: Hoạt động trên

miền dữ liệu, quá trình truyền và kết hợp nhãn, và xử lý ở bộ định tuyến cuối

cùng trong quá trình truyền dữ liệu.

Chương 3: Hoạt động của MPLS ở chế độ Cell-mode: Sự kết nối trong

vùng điều khiển qua giao diện LC-ATM, sự chuyển tiếp gói tin đã được gán

nhãn qua miền ATM-LSR, phân phối và phân bổ nhãn qua miền ATM-LSR.

Phần hai gồm 3 chương:

Chương 4: Tổng quan về mạng riêng ảo VPN: sự phát triển của mạng

riêng ảo, phân loại và chức năng của mạng riêng ảo, đường hầm và mã hóa,

các giao thức dùng cho VPN, mô hình ngang hàng và chồng lấn.

Chương 5: Mô hình mạng MPLS/VPN: Mô hình ở lớp 2 (các thành phần

VPN lớp 2, mô hình Martini, thông tin định tuyến) và lớp 3 (BGP/MPLS, các

thành phần trong VPN lớp 3, hoạt động của BGP/MPLS, tồn tại và giải pháp.

Chương 6: Vấn đề bảo mật và chất lượng dịch vụ trong MPLS VPN:

Tách biệt các VPN, chống lại các sự tấn công, dấu cấu trúc mạng lõi, chống

lại sự giả mạo, chất lượng dịch vụ và xu hướng cũng như cơ hội của nhà

cung cấp dịch vụ khi triển khai công nghệ MPLS VPN.

Đề tài MPLS là một đề tài khó và rộng, lại do trình độ và hiểu biết còn

nhiều hạn chế nên luận văn này không thể tránh khỏi những thiếu sót, và có

những phần còn chưa thể đề cập hết được. Em rất mong nhận được sự đóng

góp ý kiến của các thầy cô và các bạn sinh viên. Em xin chân thành cám ơn

Hà Nội, những ngày tháng 6/2008

Sinh viên

Lê Phạm Minh Thông



Phần 1: Chuyển mạch nhãn đa giao thức MPLS

Chương 1. Cấu trúc tổng quan của MPLS.

1. 1. Các nhà cung cấp dịch vụ mạng [4]

Chúng ta hãy xét các ví dụ sau để thấy được các vấn đề mà nhà cung

cấp dịch vụ đang gặp phải, qua đó thấy được sự cần thiết ra đời một công

nghệ có khả năng giải quyết tốt các vấn đề này.

Hình 1.1 gồm 4 địa điểm sau: Atlanta, Miami, Orlando và Raleigh. Tại các

địa điểm này các router được kết nối tới chuyển mạch ATM dưới dạng full

mesh, tạo ra lõi của mạng cung cấp dịch vụ.

Hình 1. 1: Topo vật lý của nhà cung cấp dịch vụ



Hình 1. 2: Topo logic của nhà cung cấp dịch vụ

Một cách khác để nhìn mô hình mạng trên chính là việc xem các địa

điểm trên kết nối tới một đám mây mạng (cloud network) như trên hình 1. 2

Đám mây mạng chính là sự minh họa vấn đề gặp phải khi kết nối giữa

ATM và IP. IP và ATM được phát triển độc lập và không có sự liên hệ giữa

chúng. Chuyển mạch ATM chỉ quan tâm tới việc truyền tải lưu lượng dựa trên

các giá trị VPI/VCI trong khi đó các router là thiết bị lớp 3 quan tâm tới việc

chuyển tiếp các gói tin dựa trên thông tin chứa trong các gói.

1. 1. 1. Tính khả chuyển (Scalability)

Một vấn đề mà nhà cung cấp dịch vụ gặp phải nữa là tính khả chuyển.

Tức là để đảm bảo việc dự phòng và tối ưu trong quá trình định tuyến thì mô

hình full mesh của các mạch ảo (VCs) phải được tạo ra mà kết quả có quá

nhiều kết nối.



Hình 1. 3: Full mesh với 6 kết nối ảo

Và càng nhiều các địa điểm thêm vào mạng lõi thì càng cần phải có nhiều

kết nối ảo (VCs) được tạo ra. Điều đó cũng có nghĩa là các router sẽ phải trao

đổi cập nhật bảng thông tin định tuyến với nhiều router liền kề gây ra một sự

lưu thông lớn trên mạng. Sự quá tải này cũng sẽ làm ảnh hưởng tới hiệu suất

của router là làm tốc độ xử lý của chúng giảm.

1. 1. 2. Điều khiển lưu lượng

Điều khiển lưu lượng là quá trình xử lý mà lưu lượng được vận chuyển

một cách tối ưu theo yêu cầu. Mặc dù cả hai công nghệ IP và ATM đều có

nhưng rõ ràng IP không thể sánh được với ATM về đặc tính này. ATM và IP là

hai công nghệ hoàn toàn tách biệt nhau cho nên thật khó để kết hợp triển khai

điều khiển lưu lượng đầu cuối

1. 1. 3. Chất lượng của dịch vụ (QoS)

Cả IP và ATM đều có khả năng QoS. Một sự khác nhau giữa chúng

chính là IP là giao thức không kết nối (connectionless) còn ATM là giao thức

có kết nối (connection-oriented).

Vì vậy vấn đề đặt ra ở đây chính là các nhà cung cấp dịch vụ phải làm

thế nào để kết hợp được 2 cách triển khai chất lượng dịch vụ thành một giải

pháp duy nhất

Chúng ta cũng có thể thấy rõ sự bất cập tồn tại ở chuyển tiếp gói tin ở

lớp mạng truyền thống(ví dụ chuyển tiếp gói tin IP qua mạng Internet). Sự

chuyển tiếp gói tin dựa trên các thông tin được cung cấp bởi các giao thức

định tuyến (ví dụ RIP, OSPF, EIGRP, BGP…), hoặc định tuyến tĩnh để đưa ra

quyết định chuyển tiếp gói tin tới hop tiếp theo trong mạng. Sự chuyển tiếp

này chỉ duy nhất dựa trên địa chỉ đích. Tất cả các gói tin có cùng một đích đến

sẽ đi theo cùng một con đường nếu không tồn tại các tuyến có cùng cost.

Trong trường hợp ngược lại sẽ sinh ra hiện tượng load balancing (cân bằng

tải).

Các router (bộ định tuyến) đưa ra quyết định gói tin sẽ đi theo đường

nào. Các thiết bị lớp mạng thu thập và phân phối các thông tin lớp mạng, và

thực hiện chuyển mạch lớp 3 dựa trên dựa trên các nội dung của tiêu đề lớp



mạng trong mỗi gói tin. Chúng ta có thể kết nối các router trực tiếp với nhau

qua liên kết point-to-point hoặc LAN, cũng có thể kết nối chúng bằng chuyển

mạch WAN (ví dụ Frame-relay hoặc ATM). Tuy nhiên chuyển mạch này lại

không có khả năng xử lý các thông tin định tuyến lớp 3 hoặc chọn tuyến cho

gói tin thông qua việc phân tích địa chỉ đích. Vì vậy chuyển mạch lớp 2 không

thể tham gia vào quá trình đưa ra quyết định chuyển tiếp gói tin ở lớp 3. Trong

trường hợp môi trường mạng WAN này, người thiết kế mạng phải thiết lập các

tuyến lớp 2 một cách thủ công qua mạng WAN. Các tuyến sau đó chuyển tiếp

gói tin lớp 3 giữa các router mà nó có kết nối vật lý đến mạng lớp 2.

Các đường dẫn lớp 2 trong mạng LAN thiết lập kết nối khá đơn giản.

Tuy nhiên thiết lập kết nối tuyến lớp 2 trong WAN phức tạp hơn. Các tuyến lớp

2 trong WAN thường dựa trên kiểu point-to-point (ví dụ như các mạch ảo

trong phần lớn công nghệ WAN) và chỉ được thiết lập theo yêu cầu cấu hình

thủ công. Bất kỳ thiết bị định tuyến nào (ví dụ như định tuyến đầu vào) ở biên

của mạng lớp 2 muốn chuyển tiếp các gói tin lớp 3 tới một thiết bị định tuyến

khác (định tuyến đầu ra) cần hoặc là thiết lập sự kết nối trực tiếp qua mạng tới

thiết bị đầu ra hoặc gửi dữ liệu tới một thiết bị khác để tryền dữ liệu tới đích.

Hình 1. 4: Một ví dụ về mạng IP dựa trên mạng lõi ATM

Để đảm bảo quá trình chuyển tiếp gói tin trong mạng là tối ưu, một mạch

ảo ATM phải tồn tại giữa bất kỳ hai router kết nối tới mạng lõi ATM. Điều đó có



nghĩa là nếu quy mô của mạng lớn, có đến vài chục hoặc thậm chí hàng trăm

router kết nối với nhau thì xảy ra một vấn đề khá trầm trọng

Ta có thể gặp các vấn đề sau:

Khi một router mới được nối vào mạng lõi WAN thì một mạch ảo

phải được thiết lập

Nếu một mạng chạy giao thực định tuyến (giả sử OSPF hoặc IS-

IS) thì mọi router sẽ thông báo sự thay đổi trong mạng tới mọi

router khác cùng kết nối tới WAN đường trục, kết quả là có quá

nhiều lưu lượng trong mạng.

Sử dụng các mạch ảo giữa các router là phức tạp bởi vì thật là

khó để dự đoán chính xác lưu lượng giữa bất kỳ hai router trong

mạng.

Sự thiếu thông tin trao đổi giữa các router và các chuyển mạch WAN

không phải là vấn đề với mạng Internet truyền thống bởi chúng chỉ đơn thuần

sử dụng các router cho định tuyến, hoặc các dịch vụ WAN(ATM hay Frame-

relay). Tuy nhiên nếu có sự kết hợp giữa hai dịch vụ trên thì lại là vấn đề. Vì

vậy yêu cầu đòi hỏi một kiến trúc khác cho phép trao đổi thông tin lớp mạng

giữa các router với các chuyển mạch WAN và cho phép các chuyển mạch

tham gia vào quá trình xử lý chuyển tiếp các gói tin, khi đó sự kết nối giữa các

router biên là không cần thiết.

1. 2. Chuyển mạch nhãn đa giao thức là gì?

Chuyển mạch nhãn đa giao thức (Multiprotocol Label Switching – MPLS)

là một công nghệ được đưa ra với mục đích giải quyết nhiều vấn đề đang tồn

tại liên quan tới chuyển mạch gói trong môi trường kết nối internet.

Chuyển mạch nhãn đa giao thức kết hợp giữa lợi ích của chuyển mạch

gói dựa trên chuyển mạch lớp 2 với định tuyến lớp 3. Tương tự như các

mạng lớp 2 ( Frame relay hay ATM), MPLS là một phương pháp cải tiến việc

chuyển tiếp gói trên mạng bằng cách gán nhãn cho các gói IP, tế bào ATM

hoặc frame lớp 2. Cơ chế chuyển tiếp qua mạng như thế được gọi là đổi nhãn

(label swapping), trong đó các đơn vị dữ liệu (ví dụ như gói hoặc tế bào)

mang một nhãn ngắn có chiều dài cố định để tại các node các gói được xử lý

và chuyển tiếp.



Sự khác nhau cơ bản giữa MPLS và các công nghệ WAN truyền thống

chính là cách mà các nhãn được gán và khả năng mang một ngăn xếp của

các nhãn (stack of labels) cho một gói tin. Khái niệm ngăn xếp nhãn cho phép

chúng ta có nhiều ứng dụng mới ví dụ như Điều khiển lưu lượng (Traffic

Engineering), Mạng riêng ảo (Virtual Private Network – VPN )….

Chuyển tiếp các gói trong MPLS hoàn toàn tương phản với môi trường

không kết nối hiện có, nơi mà các gói tin được phân tích trên từng hop một

(router), đấy chính là quá trình kiểm tra tiêu đề lớp 3, và một quyết định

forward gói tin được tiến hành dựa trên thuật toán định tuyến ở lớp mạng

Cấu trúc của một nút MPLS bao gồm 2 mặt thành phần:thành phần

chuyển tiếp (hay còn được gọi là mặt phẳng dữ liệu) và thành phần điều

khiển (còn được gọi là mặt phẳng điều khiển). Thành phần chuyển tiếp sử

dụng một cơ sở dữ liệu chuyển tiếp nhãn để chuyển tiếp dữ liệu dựa trên các

nhãn đi kèm với gói tin. Thành phần điều khiển chịu trách nhiệm tạo và duy trì

các thông tin chuyển tiếp nhãn (còn được gọi là bindings ) giữa nhóm các

chuyển mạch nhãn với nhau.

Tất cả các nút MPLS phải chạy một hoặc nhiều giao thức định tuyến IP

(hoặc dựa trên định tuyến tĩnh) để có thể trao đổi thông tin định tuyến với các

nút MPLS khác trên mạng. Theo đó, mỗi một nút MPLS (bao gồm cả chuyển

mạch ATM) là một router trên mặt phẳng điều khiển.



Hình 1. 4: Cấu trúc cơ bản của một nút MPLS

Tương tự như các router truyền thống, các giao thức định tuyến IP sẽ

dùng để xây dựng nên bảng định tuyến. Bảng định tuyến IP được sử dụng để

forward gói tin.

Tại một nút MPLS, bảng định tuyến được sử dụng để xác định việc trao

đổi thông tin nhãn chuyển tiếp, nơi mà các nút MPLS kề cận với nó trao đổi

các nhãn cho các mạng con (subnets) cụ thể được chứa trong bảng định

tuyến.

Các quá trình Điều khiển định tuyến MPLS IP (MPLS IP Routing Control)

sử dụng các nhãn để trao đổi với các nút MPLS cạnh nó để tạo ra Bảng

chuyển tiếp nhãn (Label Forwarding Table), bảng này là vùng cơ sở dữ liệu

được sử dụng để chuyển tiếp các gói được gán nhãn qua mạng MPLS

1.2.1. Kiến trúc MPLS

Trước hết chúng ta tìm hiểu các khái niệm mới trong kiến trúc MPLS và

chức năng của chúng trong miền cấu tạo MPLS

Thiết bị đầu tiên là Bộ định tuyến chuyển nhãn (Label Switch Router-

LSR). Đó là các router hoặc switch triển khai phân phối nhãn và có thể chuyển

tiếp các gói dựa trên các nhãn. Chức năng cơ bản của quá trình phân phối

nhãn này cho phép một LSR phân phối nhãn thông tin chuyển tiếp của nó tới

các LSRs khác trong mạng MPLS.

Có một vài loại LSR khác nhau và chúng được phân biệt nhờ chức năng

của chúng trong cơ sở hạ tầng mạng. Sự khác nhau của các loại LSR được

mô tả bên trong cấu trúc của Edge-LSR, ATM-LSR và ATM edge-LSR. Sự

khác nhau giữa các loại LSR chỉ là cấu trúc bởi một loại có thể đóng nhiều vai

trò khác nhau.

Chúng ta có thể tóm tắt các chức năng của các loại LSR. Chú ý rằng bất

kỳ một thiết bị trên mạng nào có thể có nhiều hơn một chức năng (một thiết bị

có thể vừa là LSR biên vừa là ATM LSR biên.

Kiểu LSR Chức năng

LSR Chuyển tiếp các gói tin đã được gán nhãn

LSR biên - Có thể nhận một gói tin IP, thực hiện kiểm tra lớp 3, và gán

một ngăn xếp nhãn trước khi chuyển tiếp gói vào miền LSR



- Có thể nhận một gói IP, thực hiện việc kiểm tra ở lớp 3,

chuyển tiếp gói IP tới điểm tiếp theo (next-hop)

ATM-LSR - Chạy các giao thức MPLS trong mặt phẳng điều khiển để

tạo ra các mạch ảo ATM, và chuyển tiếp các tế bào tới ATM-

LSR ở điểm tiếp theo(next-hop)

ATM LSR-

biên

- Có thể nhận 1 gói đã được gán nhãn hoặc chưa, chia nó

thành các tế bào ATM và chuyển tiếp các tế bào tới ATM-

LSR tiếp theo

- Có thể nhận các tế bào ATM từ một ATM-LSR kề cận, lắp

ghép các tế bào này trở lại gói tin gốc và sau đó chuyển tiếp

gói tin này dưới dạng đã được gán nhãn hoặc chưa.

1. 2. 2. Tạo nhãn ở mạng biên

Các gói tin phải được đánh nhãn trước khi chuyển tiếp tới miền mạng

MPLS. Để thực hiện được nhiệm vụ này, LSR biên phải biết nơi gói tin được

đánh tiêu đề, hoặc ngăn xếp nhãn, nó phải khai báo cho gói tin. Để chuyển

tiếp IP lớp 3 tới hop tiếp theo, nó kiểm tra trong bảng định tuyến địa chỉ IP

đích được chứa trong header lớp 3 của gói tin. Sau đó lựa chọn hop tiếp theo

để chuyển tiếp gói tin. Và cứ như thế cho đến khi gói tin đi đến đích.

Có 2 cách để gói IP tới hop tiếp theo. Cách thứ nhất là toàn bộ các gói

được coi là như nhau khi chuyển qua mạng. Cách thứ hai là ánh xạ từng địa

chỉ IP đích tới một IP của hop tiếp theo. Trong mạng MPLS cách thứ nhất

được gọi là nhóm chuyển tiếp tương đương – FECs (Forwarding Equivalence

Classes). FEC là một nhóm các gói, nhóm các gói này chia sẻ cùng yêu cầu

trong sự chuyển tiếp chúng qua mạng. Tất cả các gói trong một nhóm như vậy

được cung cấp cùng cách chọn đường tới đích. Khác với chuyển tiếp IP

truyền thống, trong MPLS việc gán một gói cụ thể vào một FEC cụ thể chỉ

được thực hiện một lần khi các gói vào trong mạng. MPLS không ra quyết

định chuyển tiếp với mỗi datagram lớp 3 mà sử dụng khái niệm FEC. FEC phụ

thuộc vào một số các yếu tố, ít nhất là phụ thuộc vào địa chỉ IP và có thể là

phụ thuộc cả vào kiểu lưu lượng trong datagram (thoại, dữ liệu, fax…). Sau

đó dựa trên FEC, nhãn được thoả thuận giữa các LSR lân cận từ lối vào tới lối

ra trong một vùng định tuyến. Mỗi LSR xây dựng một bảng để xác định xem



một gói phải được chuyển tiếp như thế nào. Bảng này được gọi là cơ sở

thông tin nhãn (LIB: Label Information Base), nó là tổ hợp các ràng buộc FEC

với nhãn (FEC-to-label). Và nhãn lại được sử dụng để chuyển tiếp lưu lượng

qua mạng.

Một cách để phân chia lưu lượng vào trong các FEC là tạo một FEC

riêng biệt cho mỗi tiền tố địa chỉ xuất hiện trong bảng định tuyến. Cách này có

thể tạo ra một tập hợp các FEC cho phép cùng đi một đường tới đích. Theo

cách này thì bên trong một miền MPLS, sẽ có nhiều FEC riêng biệt và như thế

sẽ không hiệu quả. Trên thực tế MPLS hợp nhất những FEC đó thành một

FEC duy nhất.

Hình 1. 5: Các FEC riêng biệt cho mỗi tiền tố địa chỉ



Hình 1. 6: Tổng hợp các FEC

Hình 1. 7: Sự tạo nhãn MPLS và chuyển tiếp



Với cơ chế chuyển tiếp IP truyền thống, thì mỗi gói tin được xử lý tại

một hop trong mạng. Tuy nhiên với MPLS, một gói tin cụ thể được gán tới một

FEC cụ thể, và được thực hiện tại thiết bị mạng biên khi mà gói tin tham gia

vào mạng. Nhóm chuyển tiếp tương đương cho mỗi gói được khai báo sau đó

mã hóa thành một chỉ số định dạng ngắn có chiều dài cố định, được gọi là

nhãn.

1. 2. 3. Chuyển tiếp gói MPLS và Đường chuyển mạch nhãn

Mỗi một gói tin khi tham gia mạng MPLS tại LSR vào và ra khỏi mạng

MPLS tại một LSR ra. Cơ chế này tạo ra Đường chuyển mạch nhãn – Label

Switched Path (LSP), được mô tả như là một nhóm các LSRs mà các gói

được gán nhãn phải đi qua để tới LSR đầu ra cho một FEC cụ thể. LSP này là

theo một phương hướng duy nhất, có nghĩa là một LSP khác được sử dụng

để cho lưu lượng có thể trở về từ một FEC nào đó

LSP là một hướng kết nối (connection-oriented) bởi vì đường dẫn được

tạo ra trước khi có sự vận chuyển lưu lượng. Tuy nhiên, việc thiết lập kết nối

này dựa trên thông tin về mô hình mạng hơn là yêu cầu về luồng lưu lượng.

Khi gói tin đi qua mạng MPLS, mỗi LSR sẽ hoán đổi nhãn đi vào với một

nhãn đi ra cho đến LSR cuối cùng, được biết đến là LSR ra. (giống như cơ

chế được sử dụng trong mạng ATM nơi mà một cặp VPI/VCI này được tráo

đổi với một cặp VPI/VCI khác khi ra khỏi chuyển mạch ATM)

1. 3. Các ứng dụng khác của MPLS

Hình 1. 8: Các ứng dụng khác nhau của MPLS



MPLS được tạo ra để kết hợp của định tuyến truyền thống và chuyển

mạch ATM trong một mạng lõi IP thống nhất ( IP-ATM cấu trúc). Tuy nhiên ưu

thế thực sự của MPLS chính là các ứng dụng khác mà nó đem lại, từ điều

khiển lưu lượng (Traffic Engineering) tới mạng riêng ảo (Virtual Private

Networks). Tất cả các ứng dụng này sử dụng chức năng miền điều khiển để

thiết lập một cơ sở dữ liệu chuyển mạch

1. 3. 1. Điều khiển lưu lượng:

Vấn đề quan trọng trong các mạng IP là thiếu khả năng điều khiển linh

hoạt các luồng lưu lượng IP để sử dụng hiệu quả dải thông mạng có sẵn. Do

vậy, thiếu hụt này liên quan đến khả năng gửi các luồng được chọn xuống

các đường được chọn ví dụ như chọn các đường trung kế được bảo đảm

cho các lớp dịch vụ riêng. MPLS sử dụng các đường chuyển mạch nhãn

LSP, đó chính là một dạng của “lightweight VC” mà có thể được thiết lập trên

cả ATM và thiết bị dựa trên gói tin. Khả năng kỹ thuật lưu lượng của MPLS

sử dụng thiết lập các LSP để điều khiển một cách linh hoạt các luồng lưu

lượng IP.

1. 3. 2. Mạng riêng ảo VPN (Virtual Private Network)

VPN thiết lập cơ sở hạ tầng cho mạng Intranet và Extranet, đó là các

mạng IP mà các công ty kinh doanh sẽ thiết lập trên cơ sở toàn bộ cấu trúc

kinh doanh của họ. Dịch vụ VPN là dịch vụ mạng Intranet và Extranet mà các

mạng đó được cung cấp bởi nhà cung cấp dịch vụ đến nhiều tổ chức khách

hàng. MPLS kết hợp với giao thức BGP cho phép một nhà cung cấp mạng hỗ

trợ hàng nghìn VPN của khách hàng. Như vậy, mạng MPLS cùng với BGP tạo

ra cách thức cung cấp dịch vụ VPN trên cả ATM và các thiết bị dựa trên gói tin

rất linh hoạt, dễ mở rộng quy mô và dễ quản lý. Thậm chí trên các mạng của

nhà cung cấp khá nhỏ, khả năng linh hoạt và dễ quản lý của các dịch vụ

BGP/MPLS VPN là ưu điểm chủ yếu.

1. 3. 3. Tích hợp IP và ATM

Do “chuyển mạch nhãn” có thể thực hiện được bởi các chuyển mạch

ATM, MPLS là một phương pháp tích hợp các dịch vụ IP trực tiếp trên chuyển

mạch ATM. Sự tích hợp này cần phải đặt định tuyến IP và phần mềm LDP

trực tiếp trên chuyển mạch ATM. Do tích hợp hoàn toàn IP trên chuyển mạch



ATM, MPLS cho phép chuyển mạch ATM hỗ trợ tối ưu các dịch vụ IP như IP

đa hướng (multicast), lớp dịch vụ IP, RSVP và mạng riêng ảo VPN

1. 3. 4. Hỗ trợ chất lượng dịch vụ Qos (Quality of Service)

Một thiếu sót của mạng IP so với mạng Frame Relay và ATM, là sự bất

lực của chúng để cung cấp dịch vụ thoả mãng nhu cầu lưu lượng. Ví dụ lưu

lượng thời gian thực như voice hay video cần dịch vụ chất lượng cao (độ trễ

luồng thấp, mất luồng thấp…) khi truyền qua mạng. Tương tự dữ liệu trong

kinh tế thương mại phải được ưu tiên qua trình duyệt web thông thường.

Kết nối định hướng mang tính tự nhiên của MPLS cung cấp khung làm

việc hợp lý để đảm bảo chất lượng lưu lượng IP. Trong khi QoS và lớp dịch vụ

CoS (Class of Service) không phải là cơ sở đặc biệt của MPLS, chúng có thể

ứng dụng trong mạng MPLS khi kỹ thuật lưu lượng được sử dụng. Điều này

cho phép nhà cung cấp thiết lập hợp đồng mức dịch vụ SLA (Service Level

Agreements) với khách hàng để đảm bảo dịch vụ như độ rộng băng, độ trễ,

mức thấp thoát. Dịch vụ giá trị gia tăng có thể được phân phối bổ sung như

truyển tải dữ liệu cơ sở, tăng thu nhập và cuối cùng cho tiến tới mạng hội tụ.

Intserv and Diffserv, qua thời gian một số kỹ thuật được phát triển để

thiết lập QoS/CoS trong một mạng. Trong mô hình dịch vụ tích hợp Intserv

(Integrated Services), RSVP đã phát triển thủ tục báo hiệu QoS qua một

mạng, cho phép thiết bị sắp xếp và thiết lập thông số lưu lượng đảm bảo như

độ rộng băng và độ trễ đầu cuối - đầu cuối. Nó sử dụng nguồn tài nguyên tại

chỗ, đảm bảo dịch vụ xuống theo luồng cơ sở. Mô hình dịch vụ khác nhau

Diffserv (Differentiated Services) giảm bớt cứng nhắc, cung cấp phân phối

CoS để đối xử như nhau đối với lớp lưu lượng có mức ưu tiên như nhau,

nhưng không có báo hiệu hay đảm bảo dịch vụ đầu cuối đầu cuối. Diffserv

định nghĩa lại kiểu dịch vụ ToS (Type of Service) trong tiêu đề gói IP để cung

cấp sự phân loại này.

Trong khi Intserv đảm bảo độ rộng băng lưu lượng, nó xác nhận không

thể tăng hay thực hiện hoạt động qua mạng lớn. Khiến trúc Diffserv, có một

tăng luôn phiên, nhưng không cung cấp đản bảo. IETF kết hợp Difserv và kỹ

thuật lưu lượng MPLS để cung cấp QoS đảm bảo trong mạng MPLS. Thông

tin Diffserv trong tiêu đề gói IP được ánh xạ trong thông tin nhãn của gói

MPLS. Bộ định tuyến MPLS cập nhật thông tin ưu tiên để truyển tiếp dữ liệu



thích hợp. Một số cơ chế sử dụng gồm chia sẻ lưu lượng, đợi, và phân loại

gói.

QoS thực hiện ở biên của đám mây MPLS, ở nơi lưu lượng phi nhãn từ

mạng khách hàng đi vào mạng truyền thông. Tại cổng vào này, lưu lượng thời

gian thực dễ bị ảnh hưởng như lưu lượng định dạng voice IP hay hội nghị

video có thể được ưu tiên phân phát qua sự chuyển giao dữ liệu lớn.

Chương 2. Hoạt động của MPLS ở chế độ Frame-mode

Trong Chương 1, chúng ta đã có cái nhìn tổng quan về kiến trúc của

MPLS. Trong phần này chúng ta sẽ một trong những ứng dụng của nó:

Định tuyến IP với địa chỉ đích là unicast trong môi trường đơn thuần các

bộ định tuyến. Cũng được gọi là Frame-mode MPLS, bởi vì các nhãn được

gán được trao đổi giống như là các frames ở lớp 2.

Ở phần này chúng ta tập trung trên miền dữ liệu (MPLS data plane), giả

sử rằng, bằng một cách nào đó các nhãn được trao đổi giữa các bộ định

tuyến. Ở phần tiếp theo chúng ta sẽ giải thích một cách chính xác cơ chế

phân phối nhãn giữa các router.

2. 1. Hoạt động miền dữ liệu MPLS ở chế độ Frame-mode

Trong Chương 1 chúng ta đã hiểu một cách tóm tắt quá trình một gói tin

IP đi qua mạng lõi MPLS. Có 3 bước chính trong quá trình này đấy là:

Một LSR biên vào nhận một gói tin IP, phân loại gói tin này vào

một nhóm các chuyển tiếp tương đương nào đó (FEC) và gán

nhãn cho gói tin với ngăn xếp nhãn ra (outgoing label stack) phù

hợp với FEC. Để định tuyến dựa trên địa chỉ đích IP, FEC phải

phù hợp với subnet của địa chỉ đích và việc phân loại gói tin chỉ là

việc kiểm tra lớp 3 dựa theo bảng định tuyến.

Các LSR lõi nhận các gói tin đã được gán nhãn và sử dụng các

bảng chuyển tiếp nhãn để trao đổi nhãn đi vào trong gói tin với

nhãn ra phù hợp với FEC ( trong trường hợp này là IP subnet).



Khi đến LSR biên lối ra nhận gói tin đã được gán nhãn, nó bỏ

nhãn này ra và thực hiện việc tra cứu lớp 3 trong gói tin IP đó.

Một câu hỏi được đặt ra ở đây là: Ở đâu nhãn được tạo ra và ở

bộ định tuyến nhận được gói tin thì đó là gói tin đã được gán nhãn

hay đơn thuần chỉ là gói tin IP

Chúng ta xem lại mô hình sau:

Hình 2. 1: Mô hình chuyển mạch gói tin giữa các bộ định tuyến

2. 1. 1. Tiêu đề ngăn xếp nhãn MPLS ( MPLS label stack header)

Vì nhiều lý do, mà hiệu suất chuyển mạch là một trong những số đó,

nhãn MPLS phải được đặt ở trước dữ liệu được dán nhãn trong chế độ

frame-mode. Vì vậy nhãn MPLS phải được chèn vào giữa tiêu đề lớp 2 và nội

dung lớp 3 của frame lớp 2.



Hình 2. 2. Vị trí của nhãn MPLS trong một Frame lớp 2

Theo cách mà nhãn MPLS được chèn vào giữa gói tin lớp 3 và tiêu đề

lớp 2, thì tiêu đề nhãn MPLS được gọi là shim header. Một tiêu đề của nhãn

MPLS bao gồm: 20 bit nhãn MPLS, 3 bit thông tin lớp dịch vụ (class-of-service

information), 8 bit trường Time-to-live (TTL) dùng để xác định dò loop giống

như chức năng của trường TTL trong IP và 1 bit được gọi là bit đáy của ngăn

xếp (Bottom-of-Stack)

Hình 2. 3: Tiêu đề ngăn xếp nhãn MPLS

Bit đáy ngăn xếp nhãn đóng vai trò (implement) như ngăn xếp nhãn

MPLS. Chúng ta nhắc lại khái niệm ngăn xếp nhãn, nó được định nghĩa giống

như là một sự kết hợp của hai hoặc nhiều tiêu đề nhãn đính vào một gói tin.

Trong định tuyến IP theo địa chỉ unicast thì không sử dụng ngăn xếp, nhưng

với các ứng dụng khác của MPLS, ví dụ như MPLS-VPN hay MPLS Traffic

Engineering thì đây là một yếu tố rất quan trọng

Với tiêu đề ngăn xếp nhãn MPLS được chèn vào giữa tiêu đề lớp 2 và tải

trọng lớp 3 thì router gửi phải có vài cách thức để thông báo với router nhận

rằng gói tin đang được truyền không phải là gói IP đơn thuần mà là gói tin

được gán nhãn. Để làm được điều đó một cách thuận lợi, các loại giao thức

mới được định nghĩa ở trên lớp 2:

Trong môi trường mạng LAN (Local Area Network), các gói tin đã

được gán nhãn mang địa chỉ unicast và multicast lớp 3 sử dụng

kiểu ethernet có giá trị 8847 và 8848 trong hệ 16. Những giá của

kiểu ethernet này có thể được sử dụng trực tiếp trong môi trường

Ethernet (Fast Ethernet và Gigabit Ethernet)

Trong kiểu kết nối point-to-point sử dụng cách thức đóng gói

PPP, một giao thức điều khiển mạng mới (new Network Control



Protocol – NCP) được gọi là giao thức điều khiển

MPLS(MPLSCP) được sử dụng. Các gói tin MPLS được đánh

dấu bằng trường giao thức PPP có giá trị là 8281 trong hệ 16

Các gói tin MPLS đi qua một DLCI Frame Relay giữa một cặp

định tuyến(router) được đánh dấu bởi chỉ số giao thức lớp mạng

SNP của Frame Relay(Frame Relay SNAP Network Layer

Protocol ID – NLPID), theo sau đó là tiêu đề SNAP với giá trị của

kiểu ethernet là 8847 trong hệ hex.

San Jose router trong hình 2.1 chèn nhãn MPLS vào trước gói IP mà nó

nhận được, đóng gói gói tin đã gán nhãn đó trong một khung PP với trường

giao thức PPP có giá trị là 8281 trong hệ 16 và chuyển tiếp khung lớp 2 tới

router San Francisco.

2. 1. 2. Chuyển mạch nhãn trong chế độ Frame-mode

Sau khi nhận được frame PPP lớp 2 từ router San Jose, router San

Francisco ngay lập tức xác định gói tin vừa nhận được là một gói tin đã được

gán nhãn dựa trên giá trị trường giao thức PPP của nó và thực hiện tra cứu

trong cơ sở thông tin chuyển tiếp nhãn (Label Forwarding Information – LFIB)

Các gói tin được gán nhãn được truyền như vậy cho đến đích, đến router

cuối cùng thì LFIB sẽ thông báo với router bỏ nhãn và chuyển tiếp gói tin

không gán nhãn này.

2. 1. 3. Chuyển mạch nhãn MPLS với ngăn xếp nhãn

Hoạt động của chuyển mạch nhãn được thực hiện mà không quan tâm

tới số lượng nhãn gán vào gói tin, có thể là một nhãn hoặc một ngăn xếp gồm

một số nhãn bên trong. Trong cả hai trường hợp, LSR sẽ chỉ xử lý nhãn ở trên

cùng của ngăn xếp, bỏ qua các nhãn khác. Chức năng này cho phép nhiều

ứng dụng ở các bộ định tuyến biên có thể cho phép phân loại nhãn và kết hợp

các nhãn (Can agree on packet classification rules and associated labels) mà

không cần biết các bộ định tuyến lõi của mạng.

Ví dụ, giả sử rằng router San Joe và router New York ở trong mạng có hỗ

trợ MPLS/VPN và cùng biết mạng 10. 1. 0. 0/16, mạng này có thể đến được

thông qua router New York, nhãn được khai báo với giá trị là 73. Các router

trong mạng lõi (San Francisco và Washington) không có thông tin về điều này.

Để gửi một gói tin tới host có địa chỉ là 10. 1. 0. 0/16, router San Jose tạo ra



một ngăn xếp nhãn. Nhãn dưới cùng trong ngăn xếp được khai báo cho router

New York còn nhãn trên cùng được khai báo cho địa chỉ IP của router New

York thông qua router San Francisco. Khi mạng chuyển gói tin thì nhãn trên

cùng được chuyển mạch chính xác giống như chuyển tiếp gói tin IP qua mạng

đường trục và nhãn thứ 2 trong ngăn xếp sẽ nguyên vẹn khi đến router New

York

Hình 2. 4: Chuyển mạch nhãn với ngăn xếp

2. 2. Quá trình truyền và kết hợp nhãn trong Frame-mode MPLS

Phần này sẽ tập trung vào quá trình kết hợp FEC với nhãn và truyền

chúng giữa các LSRs qua các giao diện đã được đóng khung.

Có hai giao thức kết hợp nhãn được sử dụng để tổng hợp một IP mạng

con (subnet) với một số nhãn MPLS cho mục đích gửi tới địa chỉ đích:

Giao thức phân phối thẻ (Tag Distribution Protocol – TDP)

Giao thức phân phối nhãn(Label Distribution Protocol – LDP)

Cả TDP và LDP đều có chức năng giống nhau và có thể được sử dụng

trong mạng, thậm chí trên các interface khác nhau của cùng một LSR. Ở đây

chúng ta chỉ đề cập đến TDP

2. 2. 1. Thiết lập một phiên LDP/TDP



Khi bắt MPLS trên interface của router, thì TDP/LDP được khởi tạo và

cấu trúc cơ sở thông tin nhãn(LIB) được tạo ra. Bộ định tuyến(router) cũng tìm

cách nhận ra các LSRs khác trên interface đang chạy MPLS thông qua gói tin

hello TDP. Các gói tin hello TDP này được gửi quảng bá(broadcast) hoặc là

gói tin UDP multicast(tới một nhóm các đích), tạo ra quan hệ hàng xóm LSR.

Sau khi gói tin hello TDP khám phá ra TDP hàng xóm thì một phiên TDP

được thiết lập. Các phiên TDP sử dụng TCP với cổng 711 và LDP sử dụng

TCP cổng 646. Sử dụng giao thức TCP đem lại khả năng tối ưu trong điều

khiển luồng và tin cậy trong việc giải quyết tắc nghẽn lưu lượng.

2. 2. 2. Phân phối và kết hợp nhãn

Khi cơ sở thông tin nhãn (LIB) được tạo ra trong bộ định tuyến, một nhãn

được khai báo cho mọi FEC biết đến bộ định tuyến. Vì định tuyến dựa vào địa

chỉ đích, FEC tương đương với một tiền tố IGP(Internal Gateway Protocol)

trong bảng định tuyến IP. Vì vậy một nhãn được khai báo cho mọi tiền tố trong

bảng định tuyến IP và có sự ánh xạ hai bảng này được lưu trữ trong LIB.

Bởi vì LSR khai báo một nhãn cho mỗi IP prefix trong bảng định tuyến

của nó khi mà prefix xuất hiện trong bảng định tuyến và nhãn này được sử

dụng bởi các LSR khác trong việc gửi các gói tin đã được gán nhãn cho LSR,

phương pháp cấp và phân phối nhãn này được gọi là khai báo nhãn điều

khiển độc lập, với cách phân phối nhãn phía sau tự nguyện :

Việc cấp nhãn trong các bộ định tuyến được thực hiện mà không

quan tâm tới việc bộ định tuyến đã nhận nhãn cho cùng prefix từ

bộ định tuyến kế cận hay chưa. Vì vậy việc cấp nhãn này trong

các bộ định tuyến được gọi là điều khiển độc lập(independent

control)

Phương pháp phân phối này là tự nguyện(unsolicited) bởi vì LSR

khai báo nhãn và quảng bá sự ánh xạ tới các bộ định tuyến hàng

xóm phía sau nó(từ đích tới nguồn) không quan tâm tới việc các

LSR khác cần nhãn hay không. Một LSR chỉ khai báo một nhãn

cho một prefix IP và phân phối nó cho router phía sau nó (từ đích

tới nguồn) khi được yêu cầu.

Phương pháp phân phối này là downstream(từ phía sau ra phía

trước) khi LSR khai báo một nhãn mà các LSR khác(Các LSR



phía sau) có thể sử dụng cho chuyển tiếp các gói tin đã được gán

nhãn và quảng bá sự ánh xạ nhãn này tới các bộ định tuyến liền

kề. Việc khởi tạo cấu trúc chuyển mạch thẻ cũng bao gồm cả sự

cung cấp cho LSR phía sau nhưng cả việc triển khai bổ sung

chuyển mạch thẻ hiện tại và cấu trúc MPLS không cần kiểu này

cho phương pháp phân phối nhãn.

Tất cả sự kết hợp nhãn được quảng bá ngay lập tức đến các bộ định

tuyến khác thông qua các phiên TDP. Các bộ định tuyến thông báo sự kết hợp

IP prefix-to-label của nó tới tất cả các bộ định tuyến kề cận mà không quan

tâm đó là upstream hay downstream. Thậm chí sự kết hợp này cũng được gửi

tới cho bộ định tuyến tiếp theo vì thế sẽ không có split-horizon trong quá trình

xử lý TDP hay LDP.

Các LSR nhận bảng ánh xạ prefix-to-label, lưu chúng trong bảng cơ sở

thông tin nhãn (LIB) và sử dụng chúng trong cơ sở thông tin chuyển tiếp nhãn

(LFIB) nếu bảng ánh xạ nhận được từ router phía trước, chính là router tiếp

theo. Phương pháp lưu giữ này được gọi là kiểu ghi nhớ tự do (liberal

retention mode) trái ngược với kiểu ghi nhớ bảo thủ (conservative retention

mode), tức là các LSR chỉ giữ lại các nhãn được khai báo cho một prefix bởi

các bộ định tuyến phía trước hiện tại của nó, nơi mà LSR chỉ lưu giữ các

nhãn được khai báo tới một prefix bởi các router phía trước.

Một bộ định tuyến có thể nhận được nhiều sự kết hợp TDP từ các bộ

định tuyến kề cận, nhưng chỉ sử dụng một vài trong số đó để chuyển tiếp các

bảng như sau :

Sự kết hợp nhãn từ bộ định tuyến tiếp theo được xem xét cho

phù hợp với đầu vào FIB. Nếu bộ định tuyến không nhận sự kết

hợp nhãn từ bộ định tuyến kế tiếp thì đầu vào FIB xác nhận các

gói tin đến đích mà không được gán nhãn.

Nếu bộ định tuyến nhận một sự kết hợp nhãn từ bộ định tuyến kế

tiếp, thì nhãn hiện tại ở bộ định tuyến và nhãn tiếp theo ở bộ định

tuyến kế tiếp được lưu lại trong LFIB. Nếu bộ định tuyến kế tiếp

không khai báo nhãn phù hợp với prefix thì gói tin không được

gán nhãn



2. 2. 3. Hội tụ trong mạng MPLS ở chế độ Frame-mode

Một trong những yếu tố quan trọng trong việc thiết kế mạng MPLS chính

là thời gian hội tụ của mạng. Một số ứng dụng của MPLS (ví dụ như

:MPLS/VPN hay thiết kế BGP dựa trên MPLS) sẽ không hoạt động chính xác

trừ khi một gói tin được gán nhãn được gửi qua tất cả các đường dẫn từ đầu

vào LSR biên đến LSR biên đầu ra. Trong các ứng dụng này thời gian hội tụ

có thể tăng lên bởi do trễ truyền

Trong mạng MPLS ở chế độ Frame-mode, sử dụng kiểu lưu giữ tự do

(liberal retention mode) kết hợp với điều khiển nhãn độc lập(independent label

control) và phân phối nhãn luồng xuống tự nguyện(unsolicited downstream

label distribution) sẽ làm giảm thiểu thời gian hội tụ TDP/LDP. Mọi bộ định

tuyến sử dụng kiểu lưu giữ tự do luôn có nhãn khai báo cho một prefix đưa ra

từ tất cả các bộ định tuyến hàng xóm sử dụng TDP/LDP, vì vậy nó luôn luôn

tìm thấy một nhãn đi ra ngoài trong bảng định tuyến phù hợp mà không cần

hỏi bộ định tuyến kế tiếp cho việc khai báo nhãn.

2. 3. Xử lý ở bộ định tuyến cuối cùng (Penultimate Hop Popping)

Ở LSR biên ở đầu ra trong mạg MPLS thì phải tiến hành hai tra cứu:

Một là gói tin nhận được từ một MPLS kề cận, hai là đích đến cho một subnet

bên ngoài mạng MPLS. Nó phải kiểm tra nhãn trong tiêu đề ngăn xếp nhãn và

thực hiện kiểm tra để nhận biết rằng nhãn đã được đẩy vào và dưới sự kiểm

soát của gói tin IP



Hình 2. 5: Hai quá trình tra cứu ở bộ định tuyến cuối New York

Việc thực hiện hai quá trình tra cứu ở router New York có thể làm giảm

hiệu suất của node mạng. Hơn nữa trong môi trường mà MPLS và chuyển

mạch IP được thực hiện bởi phần cứng thì tra cứu hai lần làm tăng độ phức

tạp của việc triển khai các thiết bị phần cứng lên rất nhiều. Để giải quyết vấn

đề này người ta sử dụng Penultimate Hop Popping(PHP).

Phương pháp này chỉ được áp dụng trực tiếp cho những subnet(mạng

con) kết nối trực tiếp hoặc tập hợp các đường dẫn (aggregate routes). Trong

trường hợp là giao diện là kết nối trực tiếp, thì việc thực hiện tra cứu lớp 3 là

cần thiết để có được các thông tin chính xác cho việc gửi một gói tin đến đích

được kết nối trực tiếp. Nếu prefix là một sự tập hợp thì việc tra cứu ở lớp 3

cũng cần thiết để tìm ra đường đi cụ thể sau đó được sử dụng để gói tin đi

đến đích chính xác. Trong các trường hợp còn lại, thì thông tin đi ra ngoài của

gói tin lớp 2 có trong LFIB và vì vậy việc tra cứu lớp 3 là không cần thiết.

Với phương pháp này, LSR biên có thể yêu cầu một nhãn từ router phía

sau kề cận với nó.

Hình 2. 6: Penultimate Hop Popping trong mạng MPLS

Ở Hình 2. 6 router Washington lấy nhãn từ gói tin và gửi gói tin IP đơn

thuần tới router New York. Sau đó router New York thực hiện việc tra cứu lớp

3 và chuyển tiếp gói tin tới đích cuối cùng.



Tóm lại chế độ hoạt động khung xuất hiện khi sử dụng MLS trong môi

trường các bộ định tuyến thuần nhất định tuyến các gói tin IP điểm-điểm. Các

gói tin gán nhãn được chuyển tiếp trên cơ sở khung lớp 2.

Quá trình chuyển tiếp môt gói tin IP qua mạng MPLS thực hiện thông qua một số bước sau:

LSR biên lối vào nhận gói tin IP, phân loại gói vào nhóm chuyển tiếp tương đương FEC và gán nhãn cho gói với ngăn xếp nhãn tương ứng FEC đã được xác định. Nếu định tuyến một địa chỉ đích(unicast), FEC sẽ tương ứng với mạng con đích và việc phân loại gói tin sẽ được thực hiện bằng cách tra cứu bảng định tuyến lớp 3 truyền thống.

LSR lõi nhận gói tin đã được gán nhãn và sử dụng bảng chuyển tiếp nhãn để thay đổi nhãn nội vùng trong gói đến với nhãn ngoài vùng tương ứng cùng với vùng FEC(trong trường hợp này là mạng con IP)

Khi LSR biên lối ra của vùng FEC này nhận được gói có nhãn, nó loại bỏ nhãn và thực hiện việc chuyển tiếp gói tin IP theo bảng định tuyến lớp 3 truyền thống.

Chương 3: Hoạt động của MPLS ở chế độ Cell-mode

Trong chương 2 chúng ta đã tìm hiểu cách MPLS hoạt động giữa thiết bị

chuyển mạch lớp 3 (router) ở chế độ Frame-mode. Các bộ định tuyến trao đổi

các gói tin IP đơn thuần (cho các giao thức điều khiển) cũng như các gói tin IP

được gán nhãn qua cùng một link liên kết. Các bộ định tuyến cũng thực hiện

chuyển mạch nhãn bằng cách xác định tiêu đề nhãn ở trước mỗi gói tin IP

Khi thực hiện triển khai MPLS qua công nghệ ATM cần phải giải quyết

một số khó khăn sau:

Không có cơ chế trao đổi các gói tin IP một cách trực tiếp giữa 2

node MPLS kề nhau qua giao diện ATM. Tất cả các dữ liệu trao

đổi qua giao diện ATM phải được thực hiện qua kênh ảo(virtual

circuit – VC)



Chuyển mạch ATM không thể thực hiện việc kiểm tra nhãn hay

tra cứu ở lớp 3. Khả năng duy nhất của một chuyển mạch ATM là

chuyển đổi VC đầu vào thành VC đầu ra của giao diện ra.

Công nghệ MPLS đã đưa ra một số các giải pháp để đảm bảo việc thực

hiện triển khai MPLS qua ATM:

Các gói tin IP trong vùng điều khiển không thể trao đổi một cách

trực tiếp qua giao diện ATM. Một VC điều khiển phải được thiết

lập giữa các node MPLS kề nhau để có thể trao đổi các gói tin

trong vùng điều khiển

Chuyển mạch ATM không thể thực hiện việc tra cứu nhãn. Khi đó

nhãn trên cùng trong ngăn xếp nhãn phải được chuyển đổi sang

giá trị VPI/VCI

Chúng ta nhắc đến một số khái niệm được dùng trong việc triển khai

MPLS qua môi trường ATM

Giao diện ATM được điều khiển chuyển mạch nhãn (Label Switching

Controlled ATM interface – LC-ATM interface) là một giao diện trên

router hoặc trên chuyển mạch ATM mà trong đó giá trị VPI/VCI được

khai báo thông qua các giao thức điều khiển MPLS (TDP hoặc LDP)

ATM-LSR là một chuyển mạch ATM chạy các giao thức MPLS trong

miền điều khiển và thực hiện chuyển tiếp MPLS giữa các giao diện LC-

ATM trong miền dữ liệu bằng các chuyển mạch tế bào ATM truyền

thống

Frame-based LSR là một LSR thực hiện việc chuyển tiếp các frame

giữa các giao diện. Một ví dụ điển hình của một Frame-based LSR đó

chính là router. Một Frame-based LSR có thể có nhiều giao diện LC-

ATM, nhưng nó chỉ thực hiện chuyển mạch nhãn Frame-based trên

ngăn xếp nhãn mà không thực hiện chuyển mạch tế bào giống như một

ATM-LSR

ATM-LSR domain là một nhóm các ATM-LSR được kết nối với nhau

qua giao diện LC-ATM

ATM LSR biên là một Frame-based LSR với ít nhất một giao diện LC-

ATM



Hình 3. 1: Mô hình triển khai ATM trong mạng

3. 1. Sự kết nối trong vùng điều khiển qua giao diện LC-ATM

Hình 3. 2: Trao đổi thông tin giữa các LSR kề cận

Cấu trúc của mạng MPLS yêu cầu vùng điều khiển của các LSR kề cận

phải có sự kết nối thuần IP để trao đổi liên kết nhãn cũng như các gói điều

khiển khác(ví dụ như gói tin hello và gói tin update)

Trong chế độ MPLS Frame-mode thì yêu cầu này là đơn giản bởi vì các

bộ định tuyến có thể gửi và nhận các gói tin IP cũng như các gói tin đã được

gán nhãn qua bất kỳ giao diện Frame-mode nào, bất kể đó là mạng LAN hay

WAN. Tuy nhiên các chuyển mạch ATM không có khả năng này

Có hai cách để đảm bảo cho sự kết nối các gói tin thuần IP giữa các

ATM-LSR, đó là:



Thông qua một kết nối bên ngoài ví dụ như sự kết nối Ethernet

giữa các chuyển mạch

Thông qua một mạch ảo (VC) kiểm soát bên trong tương tự như

cách mà các giao thức ATM Forum thực hiện (User-Network

Interface – UNI hoặc Intergrated Local Management Interface –

ILMI ):

Hình 3. 3: Cơ chế thiết lập kênh ảo điều khiển MPLS

3. 2. Sự chuyển tiếp gói tin đã được gán nhãn qua miền ATM-LSR

Việc chuyển tiếp một gói tin được gán nhãn qua miền ATM-LSR được

thực hiện qua ba bước sau:

ATM LSR biên lối vào nhận một gói tin đã được gán nhãn hoặc

chưa, thực hiện việc kiểm tra trên Cơ sở thông tin chuyển tiếp

(FIB) hoặc Cơ sở thông tin chuyển tiếp nhãn (LFIB), tìm kiếm một

giá trị VPI/VCI đầu ra, giá trị này sẽ được nó sử dụng giống như

là nhãn lối ra. Các gói tin có nhãn được chia nhỏ thành các tế bào


ATM LSR biên(router)

ATM LSR biên(router)

ATM-LSR Vùng đk

MPLS trong chuyển

mạch ATM

Vùng dữ liệu ATM

Ma trận chuyển mạch ATM

ATM-LSR Vùng đk

MPLS trong chuyển

mạch ATM

Vùng dữ liệu ATM

Ma trận chuyển mạch ATMMiền điều

khiển MPLS

Miền điều khiển MPLS


ATM và được gửi tới ATM-LSR tiếp theo. Giá trị VPI/VCI tìm thấy

trong quá trình kiểm tra nhãn được đặt vào tiêu đề tế bào ATM

của từng tế bào.

Chú ý:Kể từ đây cho đến khi gói tin có nhãn ra khỏi miền ATM-

LSR, việc kiểm tra nhãn chỉ thực hiện dựa trên các giá trị VPI/VCI mà

không phải là tiêu đề nhãn MPLS. Tuy nhiên, tiêu đề MPLS vẫn tồn

tại trong gói tin gán nhãn bởi vì nó cần thiết để lưu giữ các trường

tiêu đề thêm vào, ví dụ như ngăn xếp đáy, thời gian sống (Time-to-

live TTL)

Các ATM-LSR tế bào chuyển mạch dựa trên giá trị VPI/VCI trong

tiêu đề tế bào ATM theo cơ chế chuyển mạch tế bào truyền

thống, và cơ chế phân phối và phân bổ nhãn này phải phù hợp

với việc thiết lập sự chuyển đổi giá trị VPI/VCI nội vùng và ngoại

vùng là chính xác.

ATM LSR biên ở đầu ra sắp xếp lại các tế bào trở thành gói tin

được gán nhãn, thực hiện việc kiểm tra nhãn và chuyển tiếp

chúng cho LSR tiếp theo. Việc kiểm tra dựa trên giá trị VPI/VCI

của các tế bào đến mà không dựa trên nhãn trên cùng của ngăn

xếp trong tiêu đề nhãn MPLS. Đó là bởi vì các ATM-LSR giữa các

miền biên của miền LSR chỉ thay đổi giá trị VPI/VCI chứ không

thay đổi các nhãn bên trong các tế bào ATM.

Chúng ta nêu ra sự khác nhau chính giữa chuyển mạch nhãn Frame-

based và chuyển mạch nhãn Cell-based:

Việc kiểm tra trong chuyển tiếp nhãn ở chế độ khung (Frame-

based) được thực hiện dựa trên nhãn trên cùng của ngăn xếp

nhãn trong tiêu đề nhãn MPLS. Trong chuyển tiếp tế bào (Cell-

based), việc kiểm tra lại được thực hiện dựa trên các giá trị

VPI/VCI trong các tiêu đề tế bào ATM

Cơ chế chuyển mạch trong chuyển mạch tế bào là chuyển mạch

tế bào ATM truyền thống dựa trên các giá trị VPI/VCI trong các

tiêu đề tế bào. Ngăn xếp nhãn hoàn toàn bị bỏ qua bởi các ATM-

LSR

Bởi vì nhãn trên cùng trong ngăn xếp nhãn không được sử dụng

bởi ATM-LSR biên đầu ra, nên nó được đặt về 0 bởi ATM LSR



biên đầu vào trước khi các gói tin có nhãn được chia nhỏ thành

các tế bào ATM.

3. 3. Phân phối và phân bổ nhãn qua miền ATM-LSR

Phân phối và phân bổ nhãn qua miền ATM-LSR có thể sử dụng cách

thức giống như trong miền MPLS ở chế độ hoạt động khung. Tuy nhiên, nếu

triển khai như vậy sẽ dẫn đến một loạt các hạn chế bởi mỗi loại nhãn được

gán qua một giao diện LC-ATM sẽ phù hợp với một ATM VC. Mỗi nhãn có duy

nhất một giá trị VPI/VCI và mỗi giá trị VPI/VCI xác định một ATM VC độc lập.

Do số lượng các kênh ảo ATM được hỗ trợ qua giao diện ATM là nhỏ

nên cần hạn chế số lượng VC phân bổ qua giao diện LC-ATM ở mức thấp

nhất. Để thực hiện được điều đó, các LSR phía sau sẽ đảm nhận trách nhiệm

yêu cầu phân bổ và phân phối nhãn qua giao diện LC-ATM. LSR phía sau cần

nhãn để gửi gói đến node tiếp theo phải yêu cầu nhãn từ LSR phía trước nó.

Thông thường các nhãn được yêu cầu dựa trên nội dung bảng định tuyến mà

không dựa vào luồng dữ liệu, điều đó đòi hỏi nhãn cho mỗi đích trong phạm vi

của node kế tiếp qua giao diện LC-ATM.

LSR phía trước có thể đơn giản phân bổ nhãn và trả lời yêu cầu cho LSR

phía sau với bản tin trả lời tương ứng. Trong một số trường hợp, LSR phía

trước có thể phải có khả năng kiểm tra địa chỉ lớp 3 (nếu nó không còn nhãn

phía trước yêu cầu cho đích). Đối với chuyển mạch ATM, yêu cầu như vậy sẽ

không được trả lời bởi chỉ khi nào nó có nhãn được phân bổ cho đích phía

trước thì nó mới trả lời yêu cầu. Nếu ATM-LSR không có nhãn phía trước đáp

ứng yêu cầu của LSR phía sau thì nó sẽ yêu cầu nhãn từ LSR phía trước nó

và chỉ trả lời khi đã nhận được nhãn từ LSR phía trước nó.

Việc phân phối và phân bổ nhãn qua miền ATM-LSR có các đặc điểm

sau:

Việc cấp nhãn trong các thiết bị có khả năng kiểm tra lớp 3(router)

được thực hiện mà không quan tâm tới việc router đã nhận nhãn

cho cùng prefix (same prefix) trong router kế tiếp hay chưa. Vì thế

việc cấp nhãn trong các router được gọi là điều khiển độc lập

Cấp nhãn trong các thiết bị mà không có khả năng kiểm tra lớp 3

(chuyển mạch ATM) sẽ được thực hiện nếu một nhãn phía trước



phù hợp đã cấp. Vì thế cấp nhãn trong chuyển mạch ATM được

gọi là điều khiển thứ tự (ordered control)

Phương pháp phân phối qua giao diện LC-ATM là downstream on

demand bởi vì một LSR khai báo nhãn qua LC-ATM chỉ khi nhãn

này xác định được yêu cầu bởi LSR phía sau.

Hình 3. 4: Cấp nhãn trong miền ATM-LSR

Xem mô hình miêu tả phân phối và cấp nhãn. Đích là X, đích này có thể

đến thông qua router New York POP trong mạng. Các bước phân phối và cấp

nhãn như sau:

Router San Jose cần một nhãn để đến đích X. Bảng định tuyến

của nó chỉ ra rằng đích này đến được thông qua một giao diện

LC-ATM, vì thế nó yêu cầu một nhãn từ ATM-LSR phía trước

San Francisco ATM-LSR là một chuyển mạch ATM truyền thống

hoạt động theo thứ tự ở mode điều khiển, vì thế nó yêu cầu một

nhãn từ chuyển mạch ATM Washington.

Tương tự như thế, chuyển mạch ATM Washington yêu cầu một

nhãn từ router New York.

Router New York hoạt động trong mode điều khiển động lập và

ngay lập tức có thể cấp một nhãn cho yêu cầu đó. Nếu router

New York đã có một nhãn phía trước cho đích X, nó sẽ được

nhập vào bảng ánh xạ giữa cặp VPI/VCI đã cấp với nhãn phía

trước trong bảng Cơ sở thông tin chuyển tiếp nhãn (LFIB). Ngược



lại, nó kết hợp một hoạt động pop với cặp VPI/VCI đã được cấp.

Cặp VPI/VCI này được gửi trở lại cho chuyển mạch Washington

ATM trong một gói tin trả lời TDP/LDP.

Sau khi nhận được nhãn từ LSR phía trước, chuyển mạch

Washington ATM cấp một nhãn cho LSR phía sau và nhập sự

ánh xạ giữa cặp VPI/VCI mới được cấp với cặp VPI/VCI mà nó

nhận được từ router New York trong ma trận chuyển mạch ATM

của nó. Giá trị cặp VPI/VCI mới này (1/241) được gửi lại cho

chuyển mạch ATM San Francisco trong một gói tin trả lời

TDP/LDP

Chuyển mạch ATM San Francisco thực hiện các hoạt động tương

tự, cấp giá trị VPI/VCI khác (1/85) và gửi cặp này giống như là

nhãn để đến đích X cho router San Jose

Sau khi nhận một gói tin trả lời yêu cầu cấp nhãn, router San Jose

có thể nhập giá trị VPI/VCI nhận được từ chuyển mạch San

Francisco vào Cơ sở thông tin chuyển tiếp (FIB) và Cơ sở thông

tin chuyển tiếp nhãn (LFIB)

Hợp nhất VC

Dựa trên các quy tắc phân phối và cấp nhãn ở các phần trước, chúng ta

phải cân nhắc để tối ưu việc sử dụng nhãn qua miền ATM-LSR. Ví dụ, nếu

một ATM-LSR đã nhận một nhãn để đến một đích nào đó từ hàng xóm phía

trước (next hop) thì nó cũng có thể tái sử dụng nhãn đó khi có một LSR phía

trước hỏi nhãn để đến cùng đích này. Hình dưới đây hai router bên trái sẽ

được cung cấp cùng một nhãn để đến đích 171.68. 0.0/16

Hình 3. 5: Tối ưu hóa khả năng của cấp nhãn ATM



Tuy nhiên, nếu các tế bào đến đồng thời cùng một lúc từ nhiều nguồn

khác nhau thì việc sử dụng chung một giá trị VC cho cùng một đích thì dẫn tới

không có khả năng phân biệt gói nào thuộc luồng vào nào và các LSR phía

trước sẽ không có khả năng tái tạo lại tế bào. Vấn đề này được gọi là xen kẽ

tế bào. Để tránh trường hợp này, ATM-LSR phải yêu cầu LSR phía trước nó

nhãn mới mỗi khi LSR phía sau nó đòi hỏi nhãn đến bất kỳ đích nào, kể cả nó

đã nhận được nhãn cho chính đích đó.

Hình 3. 6: Luồng các tế bào với việc khai báo nhãn cho cùng một đích

Với một sự thay đổi nhỏ, một số chuyển mạch ATM có thể đảm bảo rằng

hai luồng tế bào cùng chiếm một VC sẽ không bao giờ xen kẽ nhau. Các

chuyển mạch sẽ lưu các tế bào ATM trong vùng đệm cho đến khi nó nhận

được một tế bào có bit kết thúc khung được đặt trong tiêu đề tế bào ATM. Sau

đó toàn bộ các tế bào này được truyền qua kênh VC. Như vậy bộ đệm trong

các tổng đài này phải tăng thêm và một vấn đề nảy sinh là độ trễ qua chuyển

mạch sẽ tăng lên. Quá trình gửi liên tiếp các tế bào ra một kênh ảo đơn VC

được gọi là hợp nhất kênh ảo (VC merg) và nó cho phép các ATM-LSR có thể

sử dụng cùng một nhãn cho các gói tin đến từ nhiều LSR phía sau khác nhau

cho cùng một đích đến. Chức năng của sự hợp nhất nhãn đã giảm đáng kể

việc cấp nhãn qua miền ATM-LSR.



Phần 2: Ứng dụng mạng riêng ảo VPN trên mạng MPLS

Mạng riêng ảo VPN (Virtual Private Network) là một trong những ứng

dụng rất quan trọng trong mạng MPLS. Các công ty, doanh nghiệp đặc biệt

các công ty đa quốc gia có nhu cầu rất lớn về loại hình dịch vụ này. Với VPN

họ hoàn toàn có thể sử dụng các dịch vụ viễn thông, truyền số liệu nội bộ với

chi phí thấp, an ninh bảo đảm. Nhờ có cơ chế bảo mật và cung cấp lớp dịch

vụ (QoS) theo yêu cầu mà MPLS là một công nghệ rất phù hợp cho mạng

riêng ảo VPN. Ở phần này chúng ta sẽ tìm hiểu về mô hình mạng riêng ảo

trên mạng MPLS. Đây là một ứng dụng rất quan trọng đáp ứng các yêu cầu

của các mạng riêng sử dụng hạ tầng cơ sở thông tin quốc gia với những yêu

cầu khác nhau về độ an toàn, bảo mật và chất lượng dịch vụ. An ninh mạng

không chỉ quan trọng đối với các nhà cung cấp dịch vụ ISP mà còn có ý nghĩa

quyết định đối với các cơ quan chính phủ và các doanh nghiệp. Các giải pháp

cho hệ thống WAN như sử dụng đường dây thuê riêng, Frame-relay không có

sự mềm dẻo linh hoạt về mặt kết nối, mở rộng mạng cũng như an toàn thông

tin, hơn nữa chi phí lại cao. Các giải pháp về tường lửa cũng chỉ đảm bảo

chống lại được các cuộc tấn công từ phía ngoài vào trong mạng tại điểm cửa

ngõ vào mạng mà thôi, nguy cơ bị tấn công là rất cao. Do đó khi đưa ra giải

pháp an ninh bảo mật toàn diện cho một hệ thống mạng không thể không kể

đến giải pháp mạng riêng ảo VPN.

Chương 4: Tổng quan về công nghệ mạng riêng ảo

VPN

4. 1. Giới thiệu về mạng riêng ảo (Virtual Private Network – VPN ).

Mạng riêng ảo ( Virtual Private Network) được định nghĩa là mạng mà

khách hàng có thể kết nối nhiều vị trí được triển khai trên trên một nền tảng cơ

sở hạ tầng chia sẻ với cùng một mức độ truy cập (same access) hoặc chính

sách bảo mật (security policies).



Mạng riêng ảo hoạt động trên nên giao thức IP đang ngày càng trở nên

phổ biến. Công nghệ này cho phép tạo ra một mạng riêng thông qua cơ sở hạ

tầng chung của nhà cung cấp dịch vụ Internet (ISP). Các kỹ thuật đảm bảo an

ninh khác nhau đã được áp dụng để bảo vệ thông tin của người sử dụng khi

trao đổi trong một môi trường chia sẻ như Internet.

“Mạng riêng ảo VPN là một môi trương thông tin ở đó việc truy cập được

kiểm soát và chỉ cho phép thực hiện kết nối thuộc phạm vi đã được xác định

trước. VPN được xây dựng thông qua việc chia sẻ các phương tiện, môi

trường truyền thông chung. Việc cung cấp các dịch vụ cho mạng riêng được

thực hiện thông qua các phương tiện, môi trường này”

Một cách miêu tả đơn giản hơn là:

“Mạng riêng ảo VPN là một mạng riêng được xây dựng trên cơ sở hạ

tầng của mạng chung”, ví dụ như mạng Internet.

4. 2. Sự phát triển của VPN.

Ban đầu các mạng máy tính được triển khai với hai công nghệ chính:

leased-lines cho các kết nối lâu dài và dial-up lines cho các kết nối không liên

tục, chỉ khi có yêu cầu.

Hình 4. 1: Mạng máy tính điển hình cách đây 15 năm

Ban đầu mạng máy tính được triển khai cho khách hàng với tính bảo mật

khá tốt, nhưng giá cả lại khá cao bởi hai lý do sau:



Lưu lượng trao đổi giữa hai vùng trong mạng thay đổi theo từng

thời điểm trong ngày, từng ngày trong tháng, thậm chí là theo

mùa (ví dụ, lưu lượng trong đợt có sự kiện quan trọng tăng lên

đáng kể)

Người sử dụng đầu cuối luôn luôn yêu cầu được đáp ứng nhanh,

kết quả là yêu cầu băng thông cao giữa các site, nhưng băng

thông thuê đó chỉ được sử dụng trong một khoảng thời gian khi

các users ở trạng thái active.

Hai lý do trên đã thúc đẩy các nhà cung cấp dịch vụ phát triển và triển

khai một công nghệ cung cấp cho khách hàng với chất lượng dịch vụ tương

đương với đường lised lines. Công nghệ mạng riêng ảo đầu tiên dựa trên các

công nghệ như X. 25 và Frame-relay, sau này có SMDS và ATM.

Hình 4. 2: Mạng Frame-relay đặc trưng

Giải pháp VPN bao gồm các yếu tố sau:

Nhà cung cấp dịch vụ là một tổ chức sở hữu cơ sở hạ tầng (Các

thiết bị và môi trường truyền) cung cấp đường leased line cho

khách hàng. Theo kiểu này thì nhà cung cấp dịch vụ giới thiệu tới

khách hang một Dịch vụ mạng riêng ảo (Virtual Private Network

Service)

Khách hàng kết nối tới nhà cung cấp dịch vụ qua thiết bị CPE

(Customer Premises Equipment). CPE thường là một thiết bị

cung cấp kết nối đầu cuối, có thể là một bridge hoặc một router.

Thiết bị CPE đôi lúc được gọi là thiết bị Khách hàng biên

(Customer Edge)

Thiết bị CPE được kết nối qua môi trường truyền (thường là

leased line, nhưng không thể là kết nối dial-up) tới thiết bị của nhà



cung cấp dịch vụ, có thể là X. 25, Frame-relay hoặc chuyển mạch

ATM, hoặc thậm chí là router. Thiết bị của nhà cung cấp dịch vụ

biên này đôi khi được gọi là thiết bị Cung cấp dịch vụ biên

(Provider Edge)

Nhà cung cấp dịch vụ thường có thêm các thiết bị trong mạng lõi

(cũng được gọi là P-network). Các thiết bị này được gọi là thiết bị

P (P-devices) ví dụ như: P-switches hoặc P-router.

Một mạng liên tục nào đấy của khách hàng được gọi là site. Một

site có thể kết nối tới P-network thông qua một hoặc nhiều được

truyền, sử dụng một hoặc nhiều thiết bị CPE hoặc PE

Nhà cung cấp dịch vụ có thể tính tiền thông qua hoặc là tỉ lệ cố

định cho dịch vụ VPN, thường dựa trên băng thông cung cấp cho

khách hàng, hoặc là tỉ lệ sử dụng, thường dựa vào dung lượng

của dữ liệu được trao đổi hoặc thời gian trao đổi dữ liệu

4. 3. Phân loại VPN

Có 3 loại mạng riêng ảo, đó là:

Intranet VPN: VPN kết nối hai mạng với nhau (site-to-site). Được

sử dụng để kết nối các văn phòng, chi nhánh trong một công ty.

Với loại này thì người dùng nội bộ được tin cậy hơn nên sẽ có

mức độ bảo mật thấp hơn, nghĩa là sẽ được truy cập vào nhiều

nguồn tài nguyên mạng hơn.

Extranet VPN: Được sử dụng khi có nhu cầu trao đổi thông tin

giữa mạng của công ty với mạng của các đối tác bên ngoài. Với

loại mô hình này đòi hỏi các chính sách bảo mật phải tốt hơn so

với intranet để hạn chế việc truy cập vào các nguồn tài nguyên

của công ty.



Hình 4. 3: Mô hình mạng Extranet

Remote acces VPN (VPN truy cập từ xa): Được dùng cho những

người làm việc di động, cần phải truy cập an toàn với mạng tới

mạng riêng của công ty từ bất kỳ vị trí địa lý nào thông qua một

môi trường chia sẻ (như mạng điện thoại công cộng). Một số văn

phòng nhỏ cũng có thể sử dụng kiểu truy cập này để nối với

mạng riêng của công ty mình.

Thực tế, người dùng từ xa sẽ kết nối tới nhà cung cấp dịch vụ

Internet (ISP) và ISP sẽ thiết lập kết nối tới mạng riêng của công ty.

Sau khi đã tạo được kết nối giữa hai máy tính của người dùng ở xa

với mạng riêng của công ty, một đường hầm sẽ được thiết lập giữa

hai đầu cuối và dữ liệu được trao đổi qua đường hầm đó.

4. 4. Chức năng của VPN

VPN có các chức năng cơ bản sau:

Sự tin cậy: Người gửi có thể mã hóa các gói dữ liệu trước khi

chúng được truyền qua mạng. Bằng cách này thì người khác

không thể truy cập thông tin mà không được sự cho phép. Nếu có

lấy được thì cũng không đọc được

Tính toàn vẹn: Người nhận có thể kiểm tra rằng dữ liệu đã được

truyền qua mạng Internet mà không có sự thay đổi nào

Xác thực nguồn gốc: Người nhận có thể xác thực nguồn gốc của

gói dữ liệu, đảm bảo và xác thực nguồn thông tin.

4. 5. Đường hầm và mã hóa



Chức năng của VPN đó là cung cấp sự bảo mật bằng cách mã hóa qua một

đường hầm. Đường hầm (Tunnel) cung cấp các kết nối logic, điểm tới điểm

qua mạng IP không hướng kết nối. Điều này giúp cho việc sử dụng các ưu

điểm, các tính năng bảo mật. Các giải pháp đường hầm cho VPN là sử dụng

mã hóa để bảo vệ dữ liệu không bị xem trộm bởi bất kỳ ai không được phép

và để thực hiện đóng gói đa giao thức nếu cần thiết. Mã hóa (encryption) dùng

để đảm bảo dữ liệu không đọc được với bất kỳ ai, nhưng có thể đọc được bởi

người nhận. Khi mà có nhiều thông tin lưu thông trên mạng thì sự cần thiết đối

với việc mã hóa thông tin càng trở nên quan trọng. Mã hóa sẽ biến đổi nội

dung tin thành dạng vô nghĩa trong dạng mật mã của nó. Tại người nhận sẽ

sử dụng chức năng giải mã được cung cấp để giải mã nội dung của thông

điệp.

4. 6. Các giao thức dùng cho VPN

Có 3 giao thức tạo đường hầm chính để tạo nên một VPN

4. 6. 1. Giao thức đường hầm lớp 2 L2TP

Tháng 8/1999, Cisco cho ra đời giao thức tạo đường hầm độc

quyền L2F (Layer 2 Forwarding) trước khi chuẩn L2TP ra đời.

L2F dùng bất kỳ cơ chế thẩm định quyền truy cập nào được PPP

hỗ trợ

PPTP(Point-to-Point Tunneling Protocol) được PPTP Forum phát

triển. Giao thức này hỗ trợ mã hóa 40 bit và 128 bit, dùng bất kỳ

cơ chế thẩm định quyền truy cập nào được PPP hỗ trợ

L2TP là dự án kết hợp của Cisco L2F và Microsoft PPTP. Kết

hợp các tính năng của cả PPTP và L2F, L2TP cũng hỗ trợ đầy

đủ IPSec. L2TP có thể được sử dụng làm giao thức Tunneling

cho mạng VPN point-to-point (Intranet VPN và Extranet VPN) và

VPN truy cập từ xa ( Remote Access VPN). Trên thực tế, L2TP có

thể tạo ra một tunnel giữa máy khách và router, NAS và router

(NAS - Network Access Server – Là thiết bị quản lý RAS (Remote

Access Server) cho phép khách hàng thực hiện cuộc gọi, thực

hiện quá trình khởi tạo sự xác nhận và chuyển tiếp cuộc gọi (qua

L2F hoặc L2TP) tới gateway của khách hàng) và giữa router với

router. So với PPTP thì L2TP có nhiều đặc tính mạnh và an toàn

hơn.



L2TP được sử dụng để tạo ra một môi trường độc lập, mạng

quay số riêng ảo VPDN ( Virtual Private Dial Network). L2TP cho

phép người dùng yêu cầu một chính sách bảo mật tổng thể qua

bất kỳ một tuyến VPN hay VPDN nào giống như là một sự mở

rộng mạng nội bộ của họ.

L2TP không cung cấp sự mã hóa và có thể được giám sát thông

qua công cụ phân tích giao thức

Giống như PPTP, L2F sử dụng giao thức PPP để cung cấp một kết nối

truy cập từ xa và kết nối này có thể được đi qua một đường hầm thông qua

Internet để đến đích. Tuy nhiên L2TP định nghĩa giao thức tạo đường hầm

riêng của nó dựa trên cơ cấu của L2F. Cơ cấu này cho phép triển khai đường

hầm L2TP không chỉ trên mạng IP mà còn trên các mạng chuyển mạch gói

khác như X25, Frame Relay và ATM.

L2TP sử dụng PPP để thiết lập kết nối vật lý. Khi PPP thiết lập kết nối

xong, đầu tiên L2TP sẽ xác định xem máy phục vụ mạng tại phía công ty có

nhận ra người sử dụng đầu cuối hay không và có sẵn sàng phục vụ như là

một điểm đầu cuối của đường hầm hay không. Nếu đường hầm có thể được

tạo ra L2TP sẽ thực hiện vai trò đóng gói các gói tin để truyền đi.

Khi L2TP tạo ra các đường hầm giữa bộ tập trung truy cập mạng của ISP

và máy phục vụ mạng phía công ty, nó có thể gán một hoặc nhiều phiên làm

việc trong một đường hầm. L2TP tạo ra một số nhận dạng cuộc gọi (call ID)

và chèn Call ID này vào phần đầu của L2TP trong mỗi một gói tin để chỉ ra gói

tin đó thuộc phiên làm việc nào.

L2TP cho phép giảm lưu lượng mạng và cho phép các máy phục vụ điều

khiển việc tắc nghẽn đường truyền bằng cách thực hiện cơ chế điều khiển

luồng giữa máy phục vụ truy cập mạng của ISP , còn được gọi là bộ tập trung

truy cập L2TP (L2TP Access Connector – LAC), và máy phục vụ mạng phía

công ty, còn được gọi là máy phục vụ mạng L2TP (L2TP Network Server –

LNS). Các bản tin điều khiển được sử dụng để xác định tỷ lệ đường truyền và

các thông số bộ đệm để điều khiển luồng các gói tin PPP của một phiên làm

việc trong một đường hầm.

4. 6. 2. Giao thức đóng gói định tuyến chung GRE



Trong VPN loại này, giao thức đóng gói định tuyến chung GRE cung cấp

cơ cấu đóng gói giao thức gói tin (Passenger Protocol) để truyền đi trên giao

thức truyền tải (Carrier Protocol). Nó bao gồm thông tin về về loại gói tin mà

bạn đang mã hóa và thông tin về kết nối giữa máy chủ và máy khách. Giao

thức này đóng gói IP, CLNP và bất kỳ các gói dữ liệu giao thức khác vào bên

trong các đường hầm IP. Với GRE, một router Cisco ở mỗi điểm sẽ đóng gói

các gói dữ liệu của một giao thức cụ thể vào trong một tiêu đề IP, tạo ra một

đường kết nối ảo point-to-point tới các router Cisco ở các địa điểm khác trong

một đám mây mạng IP, tại đó tiêu đề IP được gỡ bỏ.

Bằng cách kết nối các mạng con đa giao thức trong một môi trường

đường trục (backbone) đơn giản, đường hầm IP cho phép mở rộng mạng qua

một môi trường xương sống đơn giao thức.

GRE không cung cấp sự mã hóa và có thể được giám sát bằng một công

cụ phân tích giao thức

4. 6. 3. Giao thức bảo mật IP (IP Security Protocol)

Giao thức bảo mật IPSec cung cấp những tính năng bảo mật cao cấp

như các thuật toán mã hóa tốt hơn, quá trình thẩm định quyền đăng nhập toàn

diện hơn. IPSec hoạt động tốt trên cả hai loại mạng VPN là VPN truy cập từ

xa và VPN kết nối point-to-point (Intranet VPN và Extranet VPN). Tất nhiên, nó

phải được hỗ trợ cả hai giao diện Tunnel.

IPSec có hai cơ chế mã hóa là Tunnel và Transport. Tunnel mã hóa tiêu

đề và kích thước của mỗi gói tin, còn Transport chỉ mã hóa kích thước. Chỉ

những hệ thống nào hỗ trợ giao thức IPSec mới có thể tận dụng được giao

thức này. Ngoài ra, tất cả các thiết bị phải sử dụng một mã khóa chung và các

tường lửa trên mỗi hệ thống phải có các thiết lập bảo mật giống nhau. IPSec

có thể mã hóa dữ liệu giữa nhiều thiết bị khác nhau như router với router, PC

với router, PC với máy chủ hoặc giữa các firewall với nhau.

IPSec cung cấp các dịch vụ bảo mật bằng cách sử dụng IKE (Internet

Key Exchange) để điều khiển sự thỏa thuận của các giao thức và các thuật

toán trên cơ sở các chính sách bảo mật cục bộ và để tạo ra sự mã hóa và các

khóa xác nhận được sử dụng bởi IPSec.

IPSec hoạt động ở lớp 3, vì vậy nó chỉ truyền được gói tin IP. Trong khi

L2TP hoạt động ở lớp 2 (trong mô hình 7 lớp) nên có thể truyền các gói của



nhiều giao thứ khác nhau như IP, IPX hoặc NETBEUI. Giao thức L2TP có thể

được hỗ trợ bởi giao thức IPSec để tăng cường tính bảo mật khi truyền qua

mạng.

Tiếp theo ta sẽ tìm hiểu kỹ hơn về IPSec.

IPSec là giao thức hoạt động ở lớp 3, đặt một nhóm các giao thức và các

công nghệ như AH (Authentication Header – AH ), ESP (Encapsulating

Security Payload), IKE (Internet Key Exchange), DES (Data Encryption

Standard), AES (Advanced Encryption Standard) và các kỷ thuật khác vào

trong hệ thống để đảm bảo cung cấp một phương pháp xác thực tin cậy và an

toàn cho gói tin IP. IPSec được dùng cho cả IPv4 và IPv6. Là một tiêu chuẩn

mở, IPSec cho phép hoạt động được với các thiết bị của nhiều nhà sản xuất

khác nhau và được sử dụng với nhiều loại VPN khác nhau.

Mặc dù IPSec được triển khai chủ yếu cho sự mở rộng WAN trong môi

trường công cộng chia sẻ, tuy nhiên giao thức này có thể được sử dụng cho

việc mã hóa và đảm bảo an ninh trong LAN, mạng campus hoặc thậm chí là

Intranet VPN. Theo IETF RFC 2401, IPSec được thiết kế để cung cấp khả

năng có thể hoạt động liên kết, chất lượng cao cho IPv4 và IPv6. Các dịch vụ

về bảo mật bao gồm điều khiển truy cập, tính toàn vẹn không kết nối, xác thực

dữ liệu gốc, mã hóa và bảo mật luồng dữ liệu. Nó có các đặc điểm sau:

4. 6. 3. 1. Đảm bảo tính toàn vẹn của dữ liệu:

IPSec đảm bảo tính bảo mật cho luồng IP bằng cách thêm IPSec tiêu đề

vào gói IP gốc. Đây là những tiêu đề IPSec mới, ví dụ như AH và ESP, có thể

được sử dụng tách biệt nhau hoặc kết hợp với nhau tuy thuộc vào mức độ

yêu cầu của bảo mật. Về bản chất, các tiêu đề được thêm vào gói IP gốc

nhằm mục đích xác thực gói tin hoặc mã hóa để bảo vệ dữ liệu hoặc cả hai.

Sự kết hợp bảo mật (Security Association – SAs) là một phần quan trọng

của quá trình xử lý IPSec khi chúng được định nghĩa một mức độ bảo mật

giữa hai thiết bị trong quan hệ ngang hàng (peer-to-peer relationship). Bằng

các SA, một thiết bị có thể áp dụng các chính sách bảo mật sẽ được sử dụng

và nó nhận ra SA bởi một địa chỉ IP, một chỉ số định dạng giao thức bảo mật

và một giá trị thông số bảo mật duy nhất. Có hai loại SA. Trao đổi khóa SA là

dạng đầu tiên, dùng để nhận thực giữa các thiết bị ngang hàng, trao đổi khóa,



và kiểm soát khóa sau đó. Dạng thứ hai là IPSec SA được dùng đàm phán và

thiết lập, mỗi một thiết bị sử dụng một phương thức xác thực, một thuật toán

hashing và một phương pháp mã hóa.

4. 6. 3. 1. 1. Xác thực tiêu đề (Authentication Header – AH)

AH sử dụng một chức năng băm nhỏ key (keyed-hash), sử dụng tốc độ

mạch tích hợp cho các ứng dụng đặc biệt (Application-specific intergrated

circuits – ASICs) để thực hiện chức năng xác thực và toàn vẹn để truyền dữ

liệu. AH xác thực host khởi tạo với host đích trong suốt quá trình thiết lập của

sự trao đổi xác nhận key. Có nhiều phương pháp xác thực key, sau đây ta liệt

kê một vài trong số đó:

IKE dựa trên ISAKMP/OAKLEY: IKE là giao thức trao đổi key lai

(hybrid), nó sử dụng một phần của Oakley và một phần giao thức

khác được gọi là SKEME bên trong ISA(Internet Security

Association) và KMP (Key Management Protocol). Các khóa đã

được chia sẻ trước đó một cách thủ công hoặc thông qua sự ủy

quyền, và sự trao đổi khóa cũng như chấp nhận được thực hiện

bởi IKE. Một một điểm xác thực điểm khác dựa trên quá trình xử

lý IKE và đưa ra một SA. Quá trình này xảy ra trước khi bất kỳ

một IPSec SA nào đàm phán và trước khi dữ liệu có thể đi qua

đường link đã được thiết lập.

Perfect Forward Secrecy (PFS) rekeying: Phương pháp này có

tính bảo mật cao hơn thậm chí ngay cả khi khóa bị phá bởi những

kẻ phá hoại. Nó tách biệt IKE ban đầu từ quá trình xử lý được sử

dụng để tạo khóa cho IPSec SA. Vì thế khi khóa IKE SA có thể bị

phá nhưng nó sẽ không bị lộ khóa bí mật. Nó cho phép khóa này

thay đổi liên tục trong khi phiên làm việc vẫn được duy trì

Để đảm bảo tính toàn vẹn cho dữ liệu khi đi qua mạng công cộng, AH sử

dụng các thuật toán băm ví dụ như Message Digest 5(MD5). Nó áp dụng trên

tiêu đề của gói tin IP ban đầu, nó sẽ giấu các thông tin về địa chỉ IP thực và

các thông số khác khi đi qua mạng công cộng. Khi đến đích tiêu đề gói tin IP

sẽ được khôi phục và được định tuyến bên trong subnet của mạng đích.

4. 3. 1. 1. 2. Đóng gói bảo mật vùng tải trọng ESP



Điều quan trọng là phải bảo mật được vùng dữ liệu, vì thế mã hóa dữ liệu

là cần thiết. Trong trường hợp này, một tiêu đề ESP và thuật toán mã hóa ví

dụ như DES (3DES) được thêm vào để làm tăng thêm tính bảo mật cho dữ

liệu. Kết quả là, ESP đóng gói hoàn toàn dữ liệu người dùng.

ESP có thể được sử dụng kết hợp với AH, nhưng ESP bao gồm cả sự

xác thực dữ liệu gốc và cơ chế antireplay có trong AH. Vì thế ESP có thể sử

dụng cùng kỷ thuật trao đổi khóa được sử dụng cho AH. Nó cho phép ESP chỉ

được sử dụng cho lưu lượng IPSec khi mức độ bảo mật cao. Một ví dụ đó là

sử dụng cả tiêu đề AH và ASP khi chúng ta muốn cần bảo mật mạnh nhất

(ESP) và sự xác nhận mạnh nhất (AH), bởi vì AH có thêm chức năng bảo vệ

trường tiêu đề IP mới trong khi ESP thì không có tính năng này.

AH dùng để xác thực còn ESP dùng để mã hóa và xác thực. ESP khác

với AH ở hai điểm sau:

ESP mã hóa dữ liệu trước khi gửi đi, do vậy nó đảm bảo được

tính bí mật của dữ liệu. AH thì toàn bộ gói tin được xác thực

nhưng không được mã hóa nên có thể đọc được khi qua mạng

ESP chỉ xác thực nội dung của gói tin IP chứ không xác thực toàn

bộ gói tin IP.

4. 6. 3. 2. Các mode chuyển tiếp dữ liệu trong IPSec

IPSec đưa ra hai phương pháp để chuyển tiếp dữ liệu qua mạng cho cả

hai giao thức AH và ESP:

Đó là Tunnel mode (kiểu đường hầm) và Transport mode(kiểu giao vận)

Cả hai kiểu này trên thực tế là hai kiểu khác nhau của SA. Một SA được

định nghĩa như là sự kết nối đơn giản, nó cho phép áp dụng các dịch vụ bảo

mật cho lưu lượng bên trong SA. Kiểu đường hầm được sử dụng cho bảo mật

giữa nhiều host với nhiều host, trong khi đó kiểu giao vận lại được sử dụng

cho từng IP host này tới tưng IP host khác hoặc khi các dịch vụ mạng ví dụ

như QoS phải được bảo vệ trong tiêu đề IP gốc.

4. 6. 3. 2. 1. Tunnel mode

Cả AH và ESP hoạt động ở Tunnel mode. Một đường hầm cung cấp một

đường dẫn qua mạng chia sẻ công cộng cho các host hoặc các đầu cuối



đường hầm có thể giao tiếp. Các đường hầm này là đường logic giống như

mạch ảo VC, được cấu hình trên cổng vật lý.

IPSec Tunnel Mode có thể đóng gói và bảo vệ nội dụng của toàn bộ gói

tin IP bao gồm cả tiêu đề gốc. Nó thêm vào 20 byte tiêu đề IP cho mỗi gói tin.

Hai mô hình sau sẽ mô tả sự thêm tiêu đề IPSec ở cả IPSec Tunnel Mode AH

và IPSec Tunnel Mode ASP.

Hình 4. 4: Ứng dụng của tiêu đề IPSec AH tới gói tin IP trong mode đường

hầm

Hình 4. 5: Ứng dụng của IPSec ESP tới gói tin IP ở mode đường hầm

4. 6. 3. 2. 2. Transport mode ( mode giao vận)

Cả AH và ESP có thể hoạt động ở mode giao vận. Kiểu giao vận được

sử dụng cho đóng gói giao thức vùng tải trọng ở lớp trên hoặc bên trên lớp IP.

Thường là ở lớp 4 hoặc các vùng tải trọng ở lớp cao ví dụ như TCP, UDP,

BGP… Nó không sử dụng các tiêu đề lớp 3 bởi vì nó có thể cần cho các dịch

vụ mạng khác, ví dụ như các ứng dụng cần sử dụng QoS ( Mã hóa tiêu đề gói

tin IP gốc có thể không được sử dụng cho các ứng dụng QoS). Mode giao vận

AH được sử dụng cho các ứng dụng mà tiêu đề gói tin IP gốc được giữ



nguyên và chỉ cần xác thực tính toàn vẹn của dữ liệu gói tin. Mode giao vận

ESP được sử dụng cho các ứng dụng duy trì tiêu đề gói tin IP gốc nhưng

cũng muốn mã hóa phần còn lai của vùng tải trọng.

Hình 4. 6: IPSec ở mode giao vận sử dụng AH

Hình 4. 7: IPSec ở mode giao vận sử dụng ESP

4. 6. 3. 3. Quá trình hoạt động của IPSec.

Quá trình hoạt động được chia thành 5 bước:

4. 6. 3. 3. 1. Bước 1: Xác định luồng lưu lượng quan tâm (interesting

traffic)

Hình 4. 8: Xác định luồng traffic



Việc xác định luồng dữ liệu nào cần được bảo vệ được thực hiện như là một phần trong việc tính toán một chính sách bảo mật cho việc sử dụng của một VPN. Chính sách được sử dụng để xác định luồng traffic nào cần bảo vệ và luồng traffic nào có thể gửi ở dạng “clear text”. Đối với mọi gói dữ liệu đầu vào và đâu ra, sẽ có ba lựa chọn: Dùng IPSec, cho qua IPSec, hoặc huỷ gói dữ liệu. Đối với mọi gói dữ liệu được bảo vệ bởi IPSec, người quản trị hệ thống cần chỉ rõ các dịch vụ bảo mật được sử dụng cho gói dữ liệu. Các cơ sở dữ liệu chính sách bảo mật chỉ rõ các giao thức IPSec, các mode, và các thuật toán được sử dụng cho luồng traffic. Các dịch vụ này sau đó được sử dụng cho luồng traffic dành cho mỗi Peer IPSec cụ thể. Với VPN Client, bạn sử dụng các cửa sổ thực đơn để chọn các kết nối mà bạn muốn bảo mật bởi IPSec. Khi các luồng dữ liệu mong muốn truyền tới IPSec Client, client khởi tạo sang bước tiếp theo trong quá trình: Thoả thuận một sự trao đổi bước 1 IKE.

4. 6. 3. 3. 2. Bước 2: Pha IKE thứ nhất (IKE Phase 1)

Hình 4. 9: Pha IKE thứ nhất.

Mục đích cơ bản của pha IKE thứ nhất là để thoả thuận các tập chính

sách IKE, xác thực các đối tượng ngang hàng, và thiết lập một kênh bảo mật

giữa các đối tượng ngang hàng. Pha IKE thứ nhất xuất hiện trong hai mode:

Main mode và Aggressive mode.

Main mode có ba quá trình trao đổi hai chiều giữa nơi khởi tạo và nơi

nhận:

Quá trình trao đổi đầu tiên:



Hình 4. 10: Quá trình trao đổi đầu tiên

Trong suốt quá trình trao đổi đầu tiên các thuật toán và các hash được

sử dụng để bảo mật sự trao đổi thông tin IKE đã được thoả thuận và đã được

đồng ý giữa các đối tượng ngang hàng. Trong khi cố gắng tạo ra một kết nối

bảo mật giữa máy A và máy B qua Internet, các kế hoạch bảo mật IKE được

trao đổi giữa Router A và B. Các kế hoạch bảo vệ định nghĩa giao thức IPSec

hiện tại đã được thoả thuận (ví dụ ESP). Dưới mỗi kế hoạch, người khởi tạo

cần phác hoạ những thuật toán nào được sử dụng trong chính sách (ví dụ

DES với MD5). Ở đây không phải là thoả thuận mỗi thuật toán một cách riêng

biệt, mà là các thuật toán được nhóm trong các tập, một tập chính sách IKE.

Một tập chính sách mô tả thuật toán mã hoá nào, thuật toán xác thực nào,

mode, và chiều dài khoá. Những kế hoạch IKE và những tập chính sách này

được trao đổi trong suốt quá trình trao đổi đầu tiên trong chế độ main mode.

Nếu một tập chính sách tương thích được tìm thấy giữa hai đối tượng ngang

hàng, main mode tiếp tục. Nếu không một tập chính sách tương thích nào

được tìm thấy, tunnel là bị loại bỏ. Trong ví dụ ở trong hình trên, RouterA gửi

các tập chính sách IKE 10 và 20 tới RouterB. RouterB so sánh tập chính sách

của nó, tập chính sách 15, với những tập chính sách nhận được từ RouterA.

Trong trường hợp này, có một cái tương thích: Đó là tập chính sách 10 của

Router A tương thích với tập chính sách 15 của Router B.

Quá trình trao đổi thứ hai

Sử dụng một sự trao đổi DH để tạo ra các khoá mật mã chia sẻ và qua

quá trình này các số ngẫu nhiên gửi tới các đối tác khác, signed, và lấy lại xác



thực định nghĩa của chúng. Khoá mật mã chia sẻ được sử dụng để tạo ra tất

cả các khoá xác thực và mã hoá khác. Khi bước này hoàn thành, các đối

tượng ngang hàng có cùng một mật mã chia sẻ nhưng các đối tượng ngang

hàng không được xác thực. Quá trình này diễn ra ở bước thứ 3 của bước 1

IKE, quá trình xác thực đặc tính của đối tượng ngang hàng.

Quá trình thứ ba – xác thực đặc tính đối tượng ngang hàng:

Hình 4. 11: Quá trình trao đổi thứ 3

Các phương thức xác thực ngang hàng:

Bước thứ ba và cũng là bước trao đổi cuối cùng được sử dụng để xác

thực các đối tượng ngang hàng ở xa. Kết quả chính của main mode là một

tuyến đường trao đổi thông tin bảo mật cho các quá trình trao đổi tiếp theo

giữa các đối tượng ngang hàng được tạo ra. Có ba phương thức xác thực

nguồn gốc dữ liệu:

Các khoá pre-shared: Một giá trị khoá mật mã được nhập vào

bằng tay của mỗi đối tượng ngang hàng được sử dụng đê xác

thực đối tượng ngang hàng.

RSA encryption nonces: Nonces (một số ngẫu nhiên được tạo ra

bởi mỗi đối tượng ngang hàng) được mã hoá và sau đó được

trao đổi giữa các đối tượng ngang hàng. Hai nonce được sử dụng

trong suốt quá trình xác thực đối tượng ngang hàng

Trong aggressive mode, các trao đổi là ít hơn với ít gói dữ liệu hơn. Mọi

thứ đều được trao đổi trong quá trình trao đổi đầu tiên: Sự thoả thuận tập



chính sách IKE, sự tạo ra khoá chung DH, một nonce. Trong aggressive mode

nhanh hơn main mode.

4. 6. 3. 3. 3. Bước 3: Pha IKE thứ 2

Hình 4. 12: Pha IKE thứ 2

Mục đích của bước 2 IKE là để thoả thuận các thông số bảo mật IPSec

được sử dụng để bảo mật đường hầm IPSec. Bước 2 IKE thực hiện các chức

năng dưới đây:

Thoả thuận các thông số bảo mật, các tập transform IPSec

Thiết lập các SA IPSec

Thoả thuận lại theo chu kỳ các SA IPSec để chắc chắn bảo mật.

Có thể thực hiện thêm một sự trao đổi DH

Trong pha IKE thứ 2 chỉ có một mode, gọi là Quick mode. Quick mode

xuất hiện sau khi IKE đã được thiết lập đường hầm bảo mật trong pha IKE thứ

nhất. Nó thoả thuận một transform IPSec chia sẻ, và thiết lập các SA IPSec.

Quick mode trao đổi các nonce mà được sử dụng để tạo ra khoá mật mã chia

sẻ mới và ngăn cản các tấn công “replay” từ việc tạo ra các SA không có thật.

Quick mode cũng được sử dụng để thoả thuận lại một SA IPSec mới khi

thời gian sống của SA IPSec đã hết. Quick mode được sử dụng để nạp lại

“keying material” được sử dụng để tạo ra khóa mật mã chia sẻ trên cơ sở

“keying material” lấy từ trao đổi DH trong bước 1.

Các tập Transform IPSec

Kết quả cuối cùng của pha IKE thứ 2 là thiết lập một phiên IPSec bảo mật

giữa các điểm đầu cuối. Trước khi điều này có thể xảy ra, mỗi cặp của các

điểm đầu cuối thoả thuận mức bảo mật yêu cầu (ví dụ, các thuật toán xác

thực và mã hoá cho một phiên). Không những là thoả thuận những giao thức



riêng biệt, các giao thức được nhóm vào trong các tập, một tập transform

IPSec. Các tập transform IPSec được trao đổi giữa các peer trong suốt quá

trình “quick mode”. Nếu một có sự tương thích được tìm thấy giữa các tập,

phiên thiết lập IPSec sẽ tiếp tục. Nếu ngược lại thì phiên sẽ bị huỷ bỏ.

Hình 4. 13: Đàm phán tập chuyển đổi.

Trong ví dụ hình trên, RouterA gửi các tập transform IPSec 30 và 40 đến

RouterB. RouterB so sánh tập transform của nó với những cái đã nhận được

từ RouterA. Trong ví dụ này, có một cái “match”. Tập transform 30 của

RouterA tương thích với tập transform 55 của RouterB. Các thuật toán mã hoá

và xác thực có dạng một SA(Security Association).

Một SA là một kết nối logic một chiều, cung cấp sự bảo mật cho tất cả

traffic đi qua kết nối. Bởi vì hầu hết traffic là hai chiều, do vậy phải cần hai SA:

một cho đầu vào và một cho đầu ra.

Khi mà các dịch vụ bảo mật được đồng ý giữa các peer, mỗi thiết bị

ngang hàng VPN đưa thông tin vào trong một SPD (Security Policy Database).

Thông tin này bao gồm thuật toán xác thực, mã hoá, địa chỉ IP đích, mode

truyền dẫn, thời gian sống của khoá . v. v. Những thông tin này được coi như

là một SA.



Thiết bị VPN gán cho SA một số thứ tự, gọi là SPI (Security Parameter

Index). Khi gửi các thông số riêng biệt của SA của qua đường hầm, Gateway,

hoặc Host chèn SPI vào trong tiêu đề ESP. Khi mà đối tượng ngang hàng

IPSec nhận được gói dữ liệu, nó nhìn vào địa chỉ IP đích, giao thức IPSec, và

SPI trong SAD (Security Association Database) của nó, và sau đó xử lý gói dư

liệu theo các thuật toán được chỉ ra trong SPD.

Hình 4. 14: Các thông số của SA (Security Asscociation)

IPSec SA là một sự tổ hợp của SAD và SPD. SAD được sử dụng để định

nghĩa địa chỉ IP đích SA, giao thức IPSec, và số SPI. SPD định nghĩa các dịch

vụ bảo mật được sử dụng cho SA, các thuật toán mã hoá và xác thực, mode,

và thời gian sống của khoá. Ví dụ, trong kết nối từ tổng công ty đến nhà băng,

chính sách bảo mật cung cấp một vài đường hầm bảo mật sử dụng 3DES,

SHA, mode tunnel, và thời gian sống của khoá là 28800. Giá trị SAD là 192.

168. 2. 1, ESD, và SPI là 12.

4. 6. 3. 3. 4. Bước 4: Phiên APSec



Hình 4. 15: Một phiên IPSec

Sau khi bước 2 IKE hoàn thành và quick mode được thiết lập, traffic sẽ

được trao đổi giữa máy A và máy B qua một đường hầm bảo mật. Traffic

mong muốn được mã hoá và giải mã theo các dịch vụ bảo mật được chỉ ra

trong SA IPSec.

4. 6. 3. 3. 5. Bước 5: Kết thúc đường hầm

Hình 4. 16 : Kết thúc một phiên IPSec

Các SA IPSec kết thúc thông qua việc xoá hay bằng timing out. Một SA

có thể time out khi lượng thời gian đã được chỉ ra là hết hoặc khi số byte được

chỉ ra đã qua hết đường hầm. Khi các SA kết thúc, các khoá cũng bị huỷ. Khi

các SA IPSec tiếp theo cần cho một luồng, IKE thực hiện một bước 2 mới, và

nếu cần thiết, một sự thoả thuận mới trong bước 1 IKE. Một sự thoả thuận

thành công sẽ tạo ra các SA và các khoá mới. Các SA mới thường được thiết

lập trước khi các SA đang tồn tại hết giá trị.



4. 7. Mô hình ngang hàng và chồng lấn [5]

Có hai kiểu VPN được triển khai phổ biến, đó là:

Kiểu chồng lấn (Overlay), theo kiểu này, các nhà cung cấp dịch

vụ cung cấp đường leased line cho khách hàng

Mô hình ngang hàng (peer-to-peer), theo kiểu này nhà cung cấp

dịch vụ trao đổi thông định tuyến lớp 3 với khách hàng và nhà

cung cấp truyền dữ liệu giữa các site của khách hàng theo con

đường tối ưu giữa các site. Theo mô hình này, thì bộ định tuyến

của khách hàng được nối trực tiếp với bộ định tuyến của nhà

cung cấp dịch vụ.

4. 7. 1. VPN kiểu chồng lấp (overlay VNP model)

Kiểu chồng lấp được triển khai qua trung kế riêng trên hạ tầng mạng

chung của nhà cung cấp dịch vụ

VPN này có thể thực hiện tại lớp 1 sử dụng kênh thuê riêng hoặc đường

quay số; tại lớp 2 sử dụng X. 25, Frame Relay hay kênh ảo ATM; tại lớp 3 sử

dụng đường hầm IP.

Trong mô hình này chức năng của khách hàng và nhà cung cấp dịch vụ

như sau:

Nhà cung cấp dịch vụ cung cấp cho khách hàng đường leased

line. Các đường leased line này được gọi là các VCs, chúng có

thể là kết nối liên tục PVC hoặc được thiết lập khi có yêu cầu.

Hình sau mô tả mô hình mạng VPN kiểu chồng lấp và các VC

được sử dụng trong đó



Hình 4. 17: Ví dụ đơn giản mạng VPN kiểu chồng lấp

Khách hàng thiết lập kết nối router tới router giữa các thiết bị CPE

( Customer Premises Equipment) qua các kênh ảo VC được cung

cấp bởi nhà cung cấp dịch vụ. Giao thức định tuyến luôn luôn

được trao đổi giữa các thiết bị của khách hàng và nhà cung cấp

dịch vụ không quan tâm tới cấu trúc bên trong của mạng khách

hàng.

Mặc dù mô kiểu VPN này có những hạn chế sau:

Mỗi một VPN có nhiều site, một site có một vài bộ định tuyến cho

mục đích dự phòng, tuy nhiên mạng trở nên khó kiểm soát vì phải

triển khai dưới dạng full-mesh của các kết nối point-to-point hay

các kênh ảo trên mạng trục của nhà cung cấp dịch vụ để tối ưu

đường truyền. Hơn nữa do khách hàng phải tự thiết kế và vận

hành mạng trục ảo của riêng mình. Mà khách hàng đôi khi không

có đủ trình độ và kinh nghiệm. Để giải quyết vấn đề này, nhà

cung cấp dịch vụ sẽ phải đảm nhận nhiệm vụ thiết kế và vận hành

mạng trục ảo ( Virtual Backbone Network) cho từng khách hàng,

điều này sẽ rất phức tạp khi số lượng khách hàng lớn. Nếu mỗi

khách hàng có mạng VPN với hàng trăm site thí số lượng kết nối

là vô cùng lớn. Điều này ảnh hưởng đến khả năng mở rộng hệ

thống mạng

Khi số lượng kết nối lớn thì việc thêm bớt các site trên mạng sẽ

gây ra ảnh hưởng lớn do phải cấu hình lại các thiết bị định tuyến

Rất khó đánh giá độ lớn của dung lượng các kết nối giữa các

điểm

4. 7. 2. Mô hình VPN ngang hàng ( Peer-to-peer VPN model)

Mô hình VPN ngang hàng đã khắc phục được những tồn tại của mô hình

VNP chồng lấp. Trong mô hình này thiết bị biên của nhà cung cấp dịch vụ

(Provider Edge – PE ) là một router trao đổi thông tin định tuyến trực tiếp với

CPE router.



Hình 4. 18: Mô hình VPN ngang hàng

Mô hình VPN ngang hàng có một số ưu điểm vượt trội hơn so với mô

hình VPN chồng lấp:

Định tuyến trở nên trở nên cực kỳ đơn giản, khi mà router của

khách hàng chỉ trao đổi thông tin định tuyến với một hoặc một vài

PE-router, trong khi đó ở mô hình chồng lấp, do kết nối theo kiểu

dạng full-mesh nên số lượng các router có quan hệ hàng xóm có

thể trở nên rất lớn

Định tuyến giữa các site của khách hàng luôn luôn tối ưu , khi

router của nhà cung cấp biết mô hình mạng của khách hàng và vì

vậy có thể định tuyến giữa các site với nhau một cách tốt nhất

Sự cung cấp băng thông cũng đơn giản hơn bởi vì khách hàng

phải chỉ rõ băng thông inbound và outbound cho mỗi site của

mình.

Việc thêm một site mới cũng đơn giản hơn bởi vì nhà cung cấp

dịch vụ chỉ thêm site đó vào và chỉ thay đổi cấu hình trên router

mà site mới kết nối đến. Trong khi ở mô hình chồng lấp thì nhà

cung cấp phải đưa ra các kết nối tới tất cả các site khác trong

mạng VPN của khách hàng



Trước khi một VPN trên MPLS thì có hai sự lựa chọn sau cho mô hình

VPN ngang hàng:

Chia sẻ bộ định tuyến, khi đó một vài VPN sẽ chia sẻ cùng router

PE

Dùng router riêng, khi đó các khách hàng sử dụng VPN có router

PE của riêng mình

4. 7. 2. 1. Mô hình VPN ngang hàng chia sẻ router PE

Trong mô hình này, một vài khách hàng sử dụng dịch vụ VPN có thể sử

dụng chung một router PE. Access list phải được cấu hình trên tất cả các giao

diện PE-CE trên các router PE để đảm bảo rằng có sự tách biệt giữa các VPN

khách hàng, cũng để ngăn chặn không cho VPN của khách hàng này làm ảnh

hưởng cũng như xâm nhập vào VPN khách hàng khác

Hình 4. 19: Mô hình VPN ngang hàng: Chia sẻ router PE

4. 7. 2. 2. Mô hình mạng VPN ngang hàng sử dụng router PE riêng

Trong mô hình này mỗi một VPN của các khách hàng có riêng router PE

vì thế chỉ có thể truy cập tới các tuyến được chứa trong bảng định tuyến của

router PE đấy thôi



Hình 4. 20: Mô hình VPN ngang hàng: Có router PE riêng

Trong mô hình có router PE riêng thì các giao thức định tuyến tạo ra từng

bảng định tuyến riêng cho từng VPN trên các router PE. Các bảng định tuyến

trên các router PE này chỉ chứa các tuyến được quảng bá bởi VPN của khách

hàng kết nối trực tiếp tới chúng, kết quả là có sự tách biệt rõ ràng giữa các

VPN của các khách hàng khác nhau (Giả sử rằng định tuyến IP nguồn bị

khóa). Định tuyến bên ở mô hình này có thể được thực hiện như sau:

Bất kỳ giao thức định tuyến nào chạy giữa router PE và router CE

BGP chạy giữa router PE và router P

Router PE phân phối lại (redistribute) các tuyến nhận được từ

router CE ra miền BGP, đánh dấu bằng chỉ số khách hàng và

truyền các tuyến này tới router P. Vì vậy router P chứa tất cả các

tuyến của tất cả các VPN của các khách hàng khác nhau.

Router P chỉ truyền các tuyến với BGP thích hợp tới các router

PE. Vì vậy router PE chỉ nhận các tuyến được bắt nguồn từ router

CE trong miền VPN của nó

4. 7. 2. 3. So sánh các kiểu VPN ngang hàng

Ta có thể thấy mô hình ngang hàng chia sẻ router PE rất khó để duy trì

bởi vì nó đòi hỏi sự triển khai phức tạp cũng như việc đặt Access list trên tất

cả các router là rắc rối. Mô hình dùng riêng router PE mặc dù là đơn giản hơn

trong cấu hình cũng như để duy trì nhưng lại trở nên khá tốn kém cho nhà

cung cấp dịch vụ khi mà họ phải phải đáp ứng cho một số lượng lớn khách

hàng với các site rải rác trên nhiều vùng địa lý khác nhau.

Cả hai mô hình này cũng có những hạn chế sau:



Tất cả các khách hàng chia sẻ cùng một dải IP, nó cản trở các

khách hàng sử dụng địa chỉ private. Các khách hàng hoặc phải

sử dụng địa chỉ IP public hoặc địa chỉ private được cấp bởi nhà

cung cấp dịch vụ

Khách hàng cũng không thể chèn thêm default route vào mạng

VPN của họ. Sự hạn chế này ngăn cản sự tối ưu trong định tuyến

và hạn chế khách hàng truy cập Internet từ nhà cung cấp dịch vụ

khác.

Tóm lại, VPN có thể phân loại theo nhiều cách khác nhau. Cách phổ biến nhất đó là dựa trên cách mà thông tin định tuyến được trao đổi trên VPN. Trong mô hình VPN ngang hàng, thông tin định tuyến của khách hàng được trao đổi giữa router của khách hàng với router của nhà cung cấp dịch vụ. Trong mô hình VPN chồng lấp, nhà cung cấp dịch vụ chỉ cung cấp các kênh ảo VC và thông tin định tuyến được trao đổi trực tiếp giữa các router biên của khách hàng. Hai mô hình trên có thể kết hợp với nhau trong mạng của nhà cung cấp dịch vụ lớn: Mô hình ngang hàng có thể được sử dụng trong mô hình VPN chồng lấp ( ví dụ kết nối các khách hàng tới các router biên của nhà cung cấp dịch vụ qua Frame Relay) hoặc trong mạng lõi của nó (ví dụ, liên kết các router của nhà cung cấp dịch vụ qua ATM).

Mô hình VPN chồng lấp có thể triển khai với kỷ thuật chuyển mạch WAN lớp 2 (X. 25, Frame Relay, SMDS hoặc ATM) hoặc kỷ thuật đường hầm lớp 3 ( IP-over-IP hay IPSec).

Mô hình VPN ngang hàng có thể triển khai với các công nghệ truyền thống với các phương pháp định tuyến phức tạp hoặc sử dụng Access lists (ACLs).

Tiếp theo đây chúng ta sẽ tìm hiểu về sự triển khai của công nghệ VPN trên nền tảng MPLS, nó sẽ khắc phục được những hạn chế của các công nghệ VPN ngang hàng khác, cho phép nhà cung cấp dịch vụ kết hợp các lợi ích của mô hình ngang hàng (định tuyến đơn giản, dễ triển khai theo yêu cầu của khách hàng) với sự bảo mật và tách biệt rõ ràng với so với các tồn tại vốn có của mô hình VPN chồng lấp



Hình 4. 21: Phân loại VPN dựa theo công nghệ

Chương 5: Mô hình mạng MPLS/VPN

Ở chương trước chúng ta đã tìm hiểu về mạng riêng ảo VPN, với hai kiểu

VPN là VPN dạng chồng lấp và VPN ngang hàng và các công nghệ chính

được sử dụng để triển khai trên cả hai loại VPN đó

Mô hình VPN dạng chồng lấp thường được sử dụng trong mạng của nhà

cung cấp dịch vụ, việc thiết kế và cung cấp các mạch ảo qua mạng trục phải

được thiết lập trước khi có bất kỳ luồng lưu lượng nào trên mạng. Trong

trường hợp mạng IP, điều đó có nghĩa là ngay cả khi công nghệ là

connectionless thì nó vẫn yêu cầu một connection-oriented để cung cấp cho

dịch vụ này.

Từ góc độ của nhà cung cấp dịch vụ, với mô hình VPN chồng lấp rất khó

kiểm soát một số lượng lớn các kênh ảo/đường hầm giữa các thiết bị của

khách hàng. Và thiết kế IGP (Interior Gateway Protocol) là cực kỳ phức tạp và

khó kiểm soát

Trong khi đó, mô hình VPN ngang hàng nó lại có hạn chế là thiếu sự

cách ly giữa các khách hàng với nhau.

Với công nghệ chuyển mạch nhãn đa giao thức MPLS, đây là sự kết hợp

các ưu điểm của chuyển mạch lớp 2 với định tuyến và chuyển mạch lớp 3, nó

có thể cho phép chúng ta xây dựng nên một công nghệ mới kết hợp các lợi

ích của mô hình VPN chồng lấp (ví dụ như tính bảo mật và sự tách biệt giữa

các khách hàng) với ưu điểm của việc định tuyến đơn giản trong mô hình VPN

ngang hàng. Công nghệ mới này được gọi MPLS/VPN tức là triển khai VPN

trên công nghệ MPLS, nó đem lại sự định tuyến đơn giản cho khách hàng và

nhà cung cấp dịch vụ cũng đơn giản hơn. Định tuyến IP (connnectionless) có

thêm tính năng connection-oriented) của MPLS, bằng cách thiết lập các

đường chuyển mạch nhãn (Label-Switched Paths – LSP).



Mô hình MPLS/VPN có hai mô hình chính là MPLS/VPN lớp 2 và

MPLS/VPN lớp 3 (BGP/MPLS VPN)

MPLS/VPN lớp 2: Tạo ra sự mở rộng kết nối lớp 2 của khách hàng qua

cơ sở hạ tầng là mạng MPLS. Mô hình này được gọi là VPN Martini. VNP lớp

2 mở rộng hỗ trợ dịch vụ LAN riêng ảo (Virtual Private LAN Service).

MPLS/VPN lớp 3 dùng để mở rộng giao thức định tuyến Internet BGP tới

vị trí kết nối từ xa

5. 1. Mô hình MPLS/VPN lớp 2 [7]

RFC 2547 cung cấp một khung mạng tối ưu cho VPN trong mạng IP.

Mặc dù IP là giao thức trội, nó không chỉ sử dụng giao thức được chuẩn

hoá . Một số khách hàng, cụ thể trong môi trường mỗi nước nhiều yêu cầu mở

rộng cơ sở hạ tầng truyền thông lớp 2 (Frame realy, ATM, Ehernet, VLAN,

TDM, dịch vụ LAN trong suốt…), một số nhà cung cấp dịch vụ phải cung cấp

dung lượng vượt quá trong mạng lõi IP đang tồn tại của họ do đó họ cần sử

dụng yếu tố giúp đỡ dịch vụ lớp 2 như Frame Relay hay ATM. VPN lớp 3 IP

sẽ không thoả mãn thủ tục này, thay vào đó cho giải pháp lớp 2 được yêu

cầu. Một số đề xuất khác để hỗ trợ VPN được cung cấp bởi nhà cung cấp

MPLS/VPN lớp 2 (MPLS-based VPN). Internet trường hợp đơn giản nhất, đề

xuất này định nghĩa một phương thức một nhãn tới một PDU lớp 2 và khi đó

chuyển tiếp gói qua mạng mạng đường trục MPLS.

5. 4. 1. Thành phần VPN lớp 2.

Đề xuất được sử dụng nhiều nhất là của Martini. Nó được xây dựng từ

một số khái niệm khởi đầu kết hợp với RFC 2547 VPN. Bộ định tuyến nhà

cung cấp giống như mô hình RFC 2547 sẽ không quan tâm tới VPN. Nó sẽ

tiếp tục chuyển tiếp gói tin qua LSP thiết lập trước đây. Tương tự bộ định

tuyến biên khách hàng CE sẽ hoạt động không biết tình trạng mạng MPLS

VPN. VPN Martini là hoàn toàn dựa vào thiết bị định tuyến biên nhà cung cấp

dịch vụ PE.

Giải pháp lớp 2 không như RFC 2547 không là mạng tuyến riêng ảo

VPRN (Virtual Private Routed Networks). Bộ định tuyến PE không tham gia

vào giải thuật định tuyến của người dùng đầu cuối và ở đây không có thủ tục



xây dựng và duy trì bảng định tuyến và chuyển tiếp VRF (VPN Routing and

Forwarding Table)

5. 4. 2. Mô hình Martini

Miêu tả một phương thức tóm lược các kiểu khác nhau cho giao thức lớp

2 trong khung MPLS. Một MPLS LSP được sử dụng như một mạch ảo VC hay

đường hầm qua Internet. Giao thức lớp 2 (Ethernet…) được sử dụng ở đầu

cuối của VC. PDU lớp 2 chuyển giao qua Martini VC và phân phát nguyên vẹn

ở lối ra của mạng. Thậm chí qua Internet có một IP tồn tại, công nghệ Martini

cho phép nó sử dụng kết nối lớp 2 giả. Đề xuất Martini như RFC 2547 thiết lập

đường hầm giữa những bộ định tuyến PE. Đường hầm này được gán một

nhận dạng kênh ảo 32 bit (VC-ID). Mỗi mạch ảo trong một mạng của nhà cung

cấp dịch vụ sẽ có VC-ID duy nhất của chúng. LSP của mạng đường trục được

xây dựng để kết nối tất cả mạch ảo giữa cặp PE. Một nhóm ID có thể cũng

được sử dụng để kết hợp VC. Điều này có lợi cho wildcard hoạt động như

loại bỏ một số lượng lớn VC hay tìm lại định tuyến gởi đi sau một thất bại.

Hình 5. 1: Đường hầm LSP giữa những PE

5. 4. 3. Thông tin định tuyến

Bộ định tuyến biên nhà cung cấp tham gia trong VPN Martini sử dụng

giao thức phân phối nhãn LDP để trao đổi thông tin liên lạc VPN. Tuy nhiên nó

nổi tiếng điều đó không ngụ ý LDP là cần thiết trong giao thức định tuyến báo

hiệu cho mạng MPLS. Kế hoạch báo hiệu và điều khiển MPLS là phân cách

hoàn toàn kế hoạch điều khiển VPN.

Chú ý là LDP là giao thức phiên định hướng. Điều này có nghĩa là hai

LDP sẽ thiết lập một phiên truyền thông (TCP based). Một phiên được thiết

lập, dữ liệu VC-ID có thể tráo đổi và mọi đường hầm Martini cần thiết được



xây dựng. Dữ liệu chứa trong gói LDP gồm VC-ID, nhóm ID, kiểu VC, tham số

giao diện VC và một thông báo từ điều khiển. Tham số giao diện sẽ chứa

thông tin cụ thể về khả năng của một cổng riêng, như kích cỡ MTU, số lượng

tế bào ATM, và đặc trưng tuỳ chọn đó có thể được hỗ trợ. Thông báo từ điều

khiển là một bit đơn, nó cho biết sự có mặt hay không của từ điều khiển

Martini. Từ điều kiển khi được sử dụng, mang thông tin riêng cho đóng gói của

một kiểu giao thức lớp 2. Kết quả là địa chỉ bởi từ điều khiển gồm sắp xếp gói,

gói nhỏ nhất phải yêu cầu đệm khi truyền tải qua một số môi trường và bất kỳ

bit điều khiển giao thức lớp lớp 2 khác. Cuối cùng, LDP sử dụng để thông

báo, huỷ và duy trì hiệu chỉnh kết nối nhãn cho một mạch ảo Martini mới.

5. 4. 4. Lưu lượng dữ liệu

Quy tắc cơ bản lưu lượng dữ liệu giống như kết hợp với RFC 2547 VPN

lớp 3. Gói dữ liệu được truyền tải với hai nhãn. Nhãn đỉnh nhận dạng đích bộ

định tuyến từ xa. Nhãn này sử dụng bởi LSR trung gian để truyển tiếp gói tin

qua mạng MPLS. Bộ định tuyến PE từ xa sử dụng nhãn dưới để phân phát gói

tin tới đầu cuối người dùng chính xác (bộ định tuyến CE) với sự đóng gói lớp

2 thoả đáng.

Khó khăn thực tế gắn với hỗ trợ những VPN lớp 2, ở đây có nhiều giao

thức lớp 2 mỗi giao thức có thủ tục độc lập của nó. Mỗi giao thức lớp 2 hỗ trợ

được gán một nhận dạng kiểu VC độc lập. Những kiểu phải nhất quán với

một VC. VPN Martini sẽ không cấu nối giữa hai giao thức lớp 2 khác nhau.

Nếu cổng vào là Ethernet cổng ra không thể là ATM. Tuy nhiên thiết kế sau

này của đề xuất Martini có thể cho phép cấu nối giữa kiểu đóng gói khác nhau

5. 2. Mô hình MPLS/VPN lớp 3 (BGP/MPLS VPN) [7]

Hiện nay, công nghệ VPN lớp 3 được sử dụng rộng rãi nhất là IPSec và

MPLS/BGP. Những công nghệ này có thể có các ứng dụng như Intranet,

Extranet và truy cập Internet (Internet Access) đảm bảo cho sự kết nối các site

khác nhau của nhà cung cấp dịch vụ

Trước hết ta tìm hiểu về BGP. Giao thức cổng biên BGP là chuẩn định

tuyến hiện tại. BGP đã được thiết kế để thay thế giao thức cổng ngoại EGP nó

có một số giới hạn. EGP đã tạo nên mạng đường trục dạng cây nó không

thực sự hữu ích với Internet. Cũng không phải BGP giúp tăng trưởng Internet

5. 2. 1. Mạng riêng ảo BGP/MPLS



RFC 2547 đưa ra định nghĩa một kỹ thuật nó cho phép nhà cung cấp sử

dụng mạng đường trục MPLS để cung cấp dịch vụ VPN tới khách hàng.

Những RFC 2547 VPN cũng hiểu là BGP/MPLS VPN bởi vì BGP được sử

dụng để phân phát thông tin định tuyến VPN qua mạng đường trục của nhà

cung cấp và bởi vì MPLS được sử dụng cho chuyển tiếp lưu lượng VPN từ

một site VPN tới site khác.

Mục đích quan trọng nhất của phương pháp này như sau:

Tạo dịch vụ rất đơn giản cho khác hàng để sử dụng như nhau nếu họ

thiếu kinh nghiệm trong định tuyến IP.

Tạo ra dịch vụ rất tiên tiến và mềm dẻo để thuận tiện triển khai quy mô

rộng lớn.

Cho phép những giải pháp được sử dụng để tạo ra một VPN được thực

thi bởi một nhà cung cấp dịch vụ, hay công việc nhà cung cấp dịch vụ

cũng như khách hàng.

Cho phép nhà cung cấp dịch vụ mở dịch vụ giá trị gia tăng thoả mãn

khách hàng

5. 2. 1. 1. Các thành phần mạng BGP/MPLS

Trong phạm vi RFC 2547, một mạng riêng ảo là sự hội tụ của các chính

sách, các chính sách này kiểm soát sự liên kết giữa các site. Một site của

khách hàng được kết nối tới nhà cung cấp dịch vụ thông qua một hoặc nhiều

cổng, nơi mà nhà cung cấp dịch vụ liên kết mỗi cổng vào của mình với một

bảng định tuyến. Trong RFC 2547, mỗi bảng định tuyến mạng riêng ảo (VPN

Routing Table) được gọi là một bảng định tuyến chuyển tiếp mạng riêng ảo

( VPN Routing and Forwarding).



Hình 5. 2: Thành phần mạng RFC 2547 [2]

CE: Customer Edge – Bộ định tuyến biên khách hàng

P: Provider Router – Bộ định tuyến của nhà cung cấp

PE: Provider Edge – Bộ định tuyến biên nhà cung cấp

5. 2. 1. 1. 1. Bộ định tuyến biên của khách hàng (CE).

Một thiết bị định tuyến biên khách hàng (Customer Edge Device – CE)

cung cấp cho khách hàng truy cập mạng nhà cung cấp dịch vụ qua một kết nối

dữ liệu tới một hay nhiều bộ định tuyến biên nhà cung cấp. Trong khi thiết bị

CE có thể là một tổng đài (host) hay một chuyển mạch lớp 2, kiểu thiết bị CE

là một bộ định tuyến IP nó thiết lập một kết nối trực tiếp với bộ định tuyến PE

kề nó. Sau khi thiết lập, bộ định tuyến CE thông báo tuyến VPN cục bộ của

site tới bộ định tuyến PE của nhà cung cấp dịch vụ và lấy các thông tin về các

tuyến đường của mạng riêng ảo từ xa từ các PE.

5. 2. 1. 1. 2. Bộ định tuyến biên của nhà cung cấp dịch vụ (PE)

Các PE trao đổi thông tin định tuyến với bộ định tuyến CE thông qua các

giao thức định tuyến động RIPv2, OSPF hay EIGRP. Các PE chỉ lưu giữ các

thông tin về các tuyến của mạng riêng ảo mà nó trực tiếp kết nối. Với thiết kế

này nâng cao khả năng của mô hình RFC 2547 bởi vì bó loại bỏ sự cần thiết

duy trì tất cả các tuyến VPN của bộ định tuyến PE, giúp tăng khả năng mở

rộng của BGP/MPLS.

Mỗi bộ định tuyến PE duy trì một VRF cho mỗi site kết nối trực tiếp. Mỗi

kết nối khách hàng (như Frame Relay PVC, ATM PVC, và VLAN) được ánh

xạ tới một VRF cụ thể. Vì vậy, mỗi kết nối có một cổng trong một bộ định

tuyến PE và không một site nào được kết hợp với VRF đó. Chú ý, nhiều

cổng trong một bộ định tuyến PE có thể được kết hợp với với một VRF đơn lẻ.

Đó là khả năng của bộ định tuyến PE để duy trì đa bảng chuyển tiếp nó hỗ trợ

sự chia sẻ thông tin định tuyến VPN.

Sau khi biết tuyến VPN cục bộ từ bộ định tuyến CE, bộ định tuyến PE

trao đổi thông tin định tuyến VPN với bộ định tuyến PE khác sử dụng IBGP.

Bộ định tuyến PE có thể duy trì phiên IBGP tới bộ quản lý tuyến (route

reflectors) khi lựa chọn phiên IBGP lưới. Sự triển khai bộ quản lý tuyến nâng

cao khả năng của mô hình RFC 2547 bởi vì nó loại bỏ sự cần thiết thành các

phần mạng đơn lẻ để duy trì tất cả tuyến VPN.



Cuối cùng, khi sử dụng MPLS để chuyển tiếp lưu lượng dữ liệu VPN qua

mạng đường trục nhà cung cấp dịch vụ, bộ định tuyến PE lối vào có chức

năng như LSR lối vào và bộ định tuyến PE lối ra có chức năng như LSR lối ra

5. 2. 1. 1. 3. Bộ định tuyến nhà cung cấp

Các bộ định tuyến nhà cung cấp (ký hiệu là P) là bộ định tuyến bất kỳ nào

đó năm trong mạng của nhà cung cấp dịch vụ. Nó không gắn với thiết bị CE.

Trong mạng MPLS thì đó chính là các LSR, có chức năng chuyển tiếp lưu

lượng dữ liệu VPN giữa các bộ định tuyến PE. Sau đó lưu lượng được

chuyển tiếp qua mạng đường trục MPLS sử dụng ngăn xếp nhãn lớp 2.

Router P chỉ có nhiệm vụ duy trì thông tin định tuyến VPN rõ ràng cho mỗi site

của khách hàng.

5. 2. 1. 2. Hoạt động của BGP/MPLS

Trong toàn bộ quá trình hoạt động, có hai dòng lưu lượng chính xuất hiện

trong mạng riêng ảo BGP/MPLS là:

Một dòng điều khiển (Control Flow) được sử dụng trong mạng để

truyền tải các thông tin định tuyến trên mạng riêng ảo, đồng thời

để xác định đường chuyển mạch nhãn (Label-Switched Paths)

trong mạng của nhà cung cấp

Một luồng dữ liệu được sử dụng để chuyển tiếp dữ liệu khách

hàng.

Ta giải thích cơ chế hoạt động thông qua mô hình sau:

Hình 5. 2: Mô hình hoạt động của BGP/MPLS



Trong mô hình trên, các host trong site1 có thể liên lạc với các host trong

site2 và ngược lại. Các host trong site3 có thể liên lạc với các host trong site4

và ngược lại

5. 2. 1. 2. 1. Luồng điều khiển

Trong mạng BGP/MPLS, luồng điều khiển gồm hai luồng chính:

Luồng điều khiển thứ nhất có trách nhiệm trao đổi thông tin định

tuyến giữa CE và PE ở những biên của mạng đường trục nhà

cung cấp và giữa bộ định tuyến PE qua mạng đường trục của

nhà cung cấp

Luồng điều khiển thứ hai có trách nhiệm thiết lập LSP giữa các

PE của nhà cung cấp sau khi đã có được các thông tin định tuyến

và các thông tin từ luồng dữ liệu mà khách hàng yêu cầu chuyển

tiếp

Thiết lập đường chuyển mạch nhãn

Để có thể sử dụng được VPN trong công nghệ MPLS để chuyển tiếp dữ

liệu qua mạng của nhà cung cấp dịch vụ thì các LSP phải được thiết lập giữa

các PE trước khi vận chuyển qua hệ thống mạng.

LSP có thể được thiết lập và duy trì qua mạng của nhà cung cấp dịch vụ

bằng cách sử dụng giao thức phân phối nhãn ( Label Distribution Protocol –

LDP) hoặc giao thức dành trước tài nguyên RSVP (Resource Reservation

Protocol)

Hình 5. 3: Đường chuyển mạch nhãn trong mạng nhà cung cấp



Nhà cung cấp sử dụng LDP nếu nó cần để thiết lập LSP cố ngắn tối đa

giữa hai bộ định tuyến PE. Trong trường hợp này, LSP như tuyến lưu lượng

tối đa. Nhà cung cấp sử dụng RSVP nếu cần gán băng thông tới LSP hay sử

dụng kỹ thuật lưu lượng TE (Traffice Engineering) để lựa chọn một đường cụ

thể (Explicit Path) cho LSP. LSP với giao thức RSVP hỗ trợ đảm bảo chất

lượng dịch vụ QoS cụ thể và kỹ thuật lưu lượng

Có thể có một hoặc nhiều LSP song song (với khả năng về dịch vụ khác

nhau) được thiết lập giữa các PE. Một bộ phản tuyến (Router Reflect) hoạt

động như một máy chủ, nó phản xạ các tuyến từ một PE vào (Ingress) tới các

PE đầu ra (Engress). Nếu một nhà cung cấp sử dụng phản xạ tuyến thì vẫn

phải thiết lập LSP giữa các PE bởi vì các bộ phản xạ tuyến không phải là

thành phần thiết yếu của đường chuyển tiếp giữa các PE.

5. 2. 1. 2. 2. Luồng dữ liệu (Data flow)

Ta hãy xét sự di chuyển dữ liệu trong BGP/MPLS, trong mô hình dưới

đây một host từ site2 cần liên lạc với server đặt ở site1. Host có địa chỉ là 10.

2. 3. 4 và server có địa chỉ là 10. 1. 3. 8.

Hình 5. 3: Luồng dữ liệu trong BGP/MPLS

Host 10. 2. 3. 4 chuyển tiếp tất cả các gói dữ liệu tới máy chủ có địa chỉ

IP 10. 1. 3. 8 thông qua cổng mặc định của nó. Khi một gói đến CE2, nó thực

hiện tìm kiếm tuyến thỏa mãn nhất (Longest-match route) và chuyển tiếp gói

IP tới PE2, thực hiện tìm kiếm trong VRF A và thu nhập các thông tin sau:

Nhãn MPLS được thông báo bởi PE1 với tuyến (giả sử có nhãn

222)

Điểm tiếp theo BGP cho tuyến (Địa chỉ loopback PE1)

Giao diện gửi đi LSP từ PE2 tới PE1

Nhãn ban đầu của LSP từ PE2 tới PE1



Lưu lượng của người sử dụng được truyền trực tiếp từ PE2 tới PE1 bằng

cách sử dụng MPLS với một ngăn xếp nhãn chứa hai nhãn. Lưu lượng dữ liệu

này, PE2 có LSR lối vào của LSP và PE1 có LSR lối ra của LSP. Trước khi

truyền một gói tin, PE2 đẩy nhãn 222 vào trong ngăn xếp nhãn tạo lên nhãn

dưới. Nhãn này đầu tiên được thiết lập trong VRF A khi PE2 nhận IBGP của

PE1 thông báo tuyến 10. 1/16. Tiếp theo, PE2 đẩy nhãn kết hợp với LSP sử

dụng LDP hay RSVP tới PE1 (tuyến BGP tiếp) trong ngăn xếp nhãn tạo lên

nhãn đỉnh.

Sau khi tạo ngăn xếp nhãn, PE2 chuyển tiếp gói MPLS trên giao diện lối

ra tới bộ định tuyến P đầu tiên của LSP từ PE2 tới PE1. Bộ định tuyến P

chuyển mạch gói qua lõi mạng đường trục của nhà cung cấp dịch vụ trên

nhãn đỉnh. Bộ định tuyến PE1 cuối loại bỏ nhãn đỉnh (lộ ra nhãn dưới hay

nhãn nội) và chuyển tiếp gói tin tới PE1.

Khi PE1 nhận gói tin, nó loại bỏ nhãn tạo ra một gói IP ban đầu. PE1 sử

dụng nhãn 222 dưới để nhận dạng CE được gán trực tiếp nó có chặng tiếp

10. 1/16. Cuối cùng, PE1 chuyển tiếp gói IP cuối cùng tới CE1, CE1 chuyển

tiếp gói tới server 10. 1. 3. 8 ở site1.

5. 2. 1. 3. Ưu điểm của BGP/MPLS VPN

Ưu điểm lớn nhất của MPLS/VPN là làm đơn giản quá trình vận hành của

mạng cho khách hàng trong khi cho phép nhà cung cấp dịch vụ tăng các dịch

vụ, mời chào các dịch vụ gia tăng, có lợi nhuận. Cụ thể các lợi ích mà mạng

BGP/MPLS VPN đem lại như sau:

Không có sự ràng buộc trong việc đánh địa chỉ được sử dụng bởi

mỗi khách hàng. Khách hàng có thể sử dụng địa chỉ public hoặc

private. Từ góc độ của nhà cung cấp dịch vụ, các khách hàng

khác nhau có thể có không gian địa chỉ giống nhau (overlapping

address spaces)

Định tuyến biên ở mỗi site khách hàng CE không trực tiếp trực

tiếp trao đổi thông tin định tuyến với các bộ định tuyến biên của

khách hàng khác. Khách hàng cũng không cần quan tâm tới vấn

đề định tuyến giữa các site với nhau, bởi vì đó là trách nhiệm của

nhà cung cấp dịch vụ



Khách hàng VPN không phải quản lý một mạng trục hay một

mạng trục ảo. Do vậy khách hàng không cần điều khiển truy cập

tới bộ định tuyến PE hay P

Nhà cung cấp không dịch vụ không phải quản lý một mạng đường

trục hay một mạng trục ảo tách biệt cho từng khách hàng VPN.

Do vậy nhà cung cấp không cần quản lý truy cập tới bộ định

tuyến biên của khách hàng CE.

Các chính sách xác định một site nào đó có là thành viên của một

mạng riêng ảo nào đó hay không là do chính sách của khách

hàng. Mô hình quản lý RFC 2547 VPN cho phép chính sách của

khách hàng được thực hiện bởi một mình nhà cung cấp hoặc bởi

nhà cung cấp dịch vụ với khách hàng.

VPN có thể mở rộng nhiều nhà cung cấp dịch vụ.

Không phải dùng đến kỹ thuật mật mã, bởi vì bảo mật tương

đương được hỗ trợ bởi mạng mạng đường trục lớp 2 (ATM hay

Frame relay)

Nhà cung cấp dịch vụ có thể dùng cơ sở hạ tần thông thường để

phân phát cả dịch vụ kết nối Internet và VPN

Chất lượng dịch vụ mềm dẻo cho dịch vụ khách hàng VPN được

hỗ trợ qua sử dụng bit thí nghiệm trong tiêu đề MPLS hoặc thông

kỹ thuật lưu lượng LSP (báo hiệu RSVP)

Mô hình RFC 2547 độc lập với lớp liên kết (lớp 2).

5. 2. 2. Tồn tại và giải pháp

Mô hình RFC 2547 sử dụng nhiều giải pháp để làm tăng tính mở của

khách hàng tiếp cận và giải quyết một số vấn đề của mạng riêng ảo. Những

tồn tại đó gồm có:

Hỗ trợ không gian địa chỉ dùng chung của khách hàng

(overlapping)

Kết nối mạng cưỡng bức

Duy trì cập nhật thông tin định tuyến mạng riêng ảo

Đảm bảo độ rộng băng thông mạng đường trục và tài nguyên xử

lý gói tin bộ định tuyến biên nhà cung cấp PE



Trong phạm vi luận văn này, chúng ta chỉ đề cập đến không gian địa chỉ

dùng chung của khách hàng

Hỗ trợ việc việc dùng chung không gian địa chỉ

BGP, theo định dạng tiêu chuẩn, chỉ có thể xử lý các tuyến có địa chỉ

IPv4 32 bit. Trong cấu trúc MPLS/VPN, bởi vì mỗi một VPN phải có khả năng

sử dụng cùng tiền tố IP giống như các VPN khác (khi chúng không liên lạc với

nhau), cho nên cần thiết phải có phân biệt tuyến với IPv4.Nên cần phải mở

rộng giao thức BGP để thông tin VPN là duy nhất trong miền đường trục

MPLS/VPN. Multiprotocol (MP-BGP) và thông tin định tuyến VPN-IPv4 cung

cấp khả năng mở rộng này.

Mặc dù MP-BGP cung cấp khả năng xác định và truyền các thông tin

định tuyến không phải IPv4, nhưng trước hết chúng ta tìm hiểu các tuyến VPN

được phân biệt như thế nào và quyết định chọn tuyến ra sao giữa nhiều tuyến

khác nhau của khách hàng. Cái này là rất cần thiết vì vậy các quá trình quyết

định trên bộ định tuyến nhà cung cấp PE có thế giữ được các thông tin VPN

khách hàng một cách riêng biệt nhau.

Chúng ta vừa mới thừa nhận với nhau rằng trong cấu trúc của

MPLS/VPN thì tất cả các khách hàng phải được định danh với tuyến là duy

nhất trong mạn đường trục nhưng không bắt buộc trong việc sử dụng địa chỉ

private. Các tuyến là duy nhất vì thế MP-BGP mới có thể xử lý cùng tiền tố từ

hai VPN khác nhau là không giống nhau.

Ta xét mô hình sau, vấn đề đặt ra là khi bộ định tuyến biên của nhà cung

cấp dịch vụ New York nhận được hai thông tin update IPv4 giống hệt nhau.

Trong trường hợp này, bộ định tuyến PE chọn ra tuyến tốt nhất giữa hai tuyến

vừa mới nhận được dựa trên tiêu chuẩn xử lý BGP. Điều này có nghĩa là cần

thiết có một cơ chế để MP-BGP không phải quan tâm tới các tuyến giống

nhau thuộc về các VPN khác nhau.



Hình 5. 4: Bộ định tuyến PE so sánh các tuyến BGP

Cơ chế này bao gồm một chuỗi 61 bit trước địa chỉ IPv4, địa chỉ IPv4 này

chứa trong thông tin cập nhật MP-BGP. Chuỗi các bit này được gọi là phân

biệt tuyến (route distinguisher) và nó là khác nhau cho mỗi VPN (hoặc cho mỗi

subnet của các site trong một VPN) và vì vậy các địa chỉ chứa trong tất cả các

VPN là duy nhất trong mạng đường trục MPLS/VPN. BGP phân biệt một địa

chỉ IPv4 này với một địa chỉ IPv4 khác là không giống nhau nếu phân biệt

tuyến là khác nhau.

VPN-IPv4 (hoặc VPNv4) là sự kết hợp của địa chỉ IPv4 với phân biệt

tuyến.

Sự kết hợp này làm cho tuyến IPv4 là duy nhất toàn cục trên mạng

MPLS/VPN. Hình sau mô tả bộ định tuyến PE đã có thể phân biệt hai tuyến

IPv4 giống nhau và có thể xử lý chúng giống như các thực thể tách biệt và

thuộc về các VPN khác nhau



Hình 5. 5: Bộ định tuyến PE so sánh các tuyến VPN-IP v4

Trên hình khi bộ định tuyến PE tại New York nhận một thông tin cập nhật

về 10.2.1.0/24 từ bộ định tuyến tại PE tại San Jose và Paris, các thông tin cập

nhật này bây giờ là không giống nhau bởi vì các phân biệt tuyến là khác nhau.

Thông tin cập nhật từ San Jose sẽ là 100:26:10.2.1.0/24 và thông tin cập nhật

từ Paris là 100:27:10.2.1. 0/24.

Mặc dù cơ chế phân biệt tuyến cho phép chúng ta giải quyết được vấn

đề các khách hàng VPN có thể sử dụng cùng một giải địa chỉ private, nhưng

nó không khắc phục được vấn đề nhiều khách hàng bên trong cùng một VPN

sử dụng cùng một lược đồ địa chỉ bên trong các site của họ. Để hiểu tại sao

lại như vậy, chúng ta cùng xét ví dụ sau:

Hình 5. 6: Sử dụng cùng một địa chỉ Private bên trong một VPN

Trên hình bộ định tuyến biên của nhà cung cấp dịch vụ tại New York

nhận một thông tin update MP-BGP cho subnet 10.2.1.0/24 từ hai VPN khác

nhau, trong trường hợp này là từ EuroBank và FastFood VPN. VPN EuroBank

được cấu hình để nhận tất cả các tuyến chứa đích đến là 100:26 hoặc 100:27.

Điều đó có nghĩa là nó nhận tất cả các tuyến từ các thành viên của VPN

EuroBank hoặc FastFoods khi chúng đưa ra đích có sử dụng các tuyến đích

trên.

Khi bộ định tuyến tại New York so sánh hai tuyến để xác định tuyến nào

nhập vào Bảng chuyển tiếp và định tuyến (VRF) của VPN EuroBank; tùy thuộc



vào tuyến nào được chọn, thì sự kết nối tới VPN site khác sẽ không thực hiện

được. Ví dụ, nếu router New York xác định MP-BGP thông tin định tuyến cho

10.2.1.0/24 nhận được từ bộ định tuyến tại Paris là tuyến tốt nhất, thì sự kết

nối từ site tại EuroBank tại NewYork tới đích bên trong subnet 10.2.1.0/24

trong site EuroBank San Francisco sẽ không thực hiện được. Vì lý do này mà

khi thiết kế MPLS/VPN phải hạn chế sự sử dụng địa chỉ chồng lấp với VPN

mà không liên lạc với VPN khác qua miền MPLS đường trục nếu chia sẻ cùng

dải địa chỉ bên trong các site đó.

Chương 6: Vấn đề bảo mật và chất lượng dịch vụ

MPLS/VPN

Trong chương này chúng ta sẽ tìm hiểu về:

MPLS cung cấp giải pháp an ninh như thế nào (sự chia cắt các

VPN, chống lại các cuộc tấn công, dấu lõi và bảo vệ sự giả mạo)

Những cơ chế bảo mật nào mà cấu trúc MPLS không cung cấp

So sánh mức độ bảo mật giữa MPLS/VPN với ATM hoặc Frame

Relay VPN

Các người sử dụng VPN muốn nhà cung cấp dịch vụ bảo đảm về an toàn

và mang tính riêng tư. Hay nói cách khác, họ muốn VPN của mình độc lập

nhưng vẫn có được tính khả chuyển, linh động trong việc chia sẻ một nền

tảng cơ sở hạ tầng chung.

Chương này xác định yêu cầu để đảm bảo tính bảo mật cho một VPN, và

làm thế nào MPLS có thể thực hiện được điều đó. Bảo bảo cho một VPN cần

yêu cầu:

Tách biệt VPN (đánh địa chỉ và lưu lượng)

Chống lại được các cuộc tấn công



Dấu được cấu trúc mạng lõi

Chống lại được sự giả mạo

6. 1. Vấn để bảo mật trong MPLS VPN

6. 1. 1. Tách biệt các VPN

Điều quan trọng trong vấn đề bảo mật cho các người sử dụng VPN là

luồng lưu lượng của họ phải được giữ tách biệt với các luồng lưu lượng VPN

khác và luồng lưu lượng trên mạng lõi. Điều đó có nghĩa là các lưu lượng

VPN khác cũng như lưu lượng lõi không thể thâm nhập vào VPN của họ.

Một yêu cầu khác đó là mỗi VPN có khả năng sử dụng một dải địa chỉ IP

mà không ảnh hưởng hoặc bị ảnh hưởng bởi các VPN khác hoặc là mạng lõi.

Chúng ta sẽ phân tích tại sao tiêu chuẩn RFC 2547 bits đáp ứng được yêu

cầu này. Trước hết là có thể có được dải địa chỉ tách biệt nhau, và ở phần sau

là luồng dữ liệu và điều khiển được phân biệt rõ ràng giữa các VPN cũng như

giữa một VPN với mạng lõi.

6. 1. 1. 1. Tách biệt không gian địa chỉ.

Để có thể phân biệt các địa chỉ khác nhau giữa các VPN khác nhau, RFC

2547 bit không hiểu tiêu chuẩn địa chỉ IPv4 (hoặc IPv6) trên miền điều khiển

của các VPN trên mạng lõi. Thay vào đó, tiêu chuẩn này đưa ra khái niệm địa

chỉ VPN-IPv4 hoặc VPN-VPNv6. Một địa chỉ VPN-IPv4 bao gồm 8 byte phân

biệt tuyến RD (route distinguisher) theo sau đó là 4 byte địa chỉ IPv4, giống

như hình 6.1. Tương tự, một địa chỉ VPN-IPv6 bao gồm 8 byte RD, theo sau

là 16 byte địa chỉ IPv6.

Hình 6. 1: Cấu tạo của một địa chỉ VPN-IPv4

Mục đích của một RD là nó cho phép toàn bộ không gian địa chỉ IPv4

được sử dụng trong hoàn cảnh khác (ở đây là cho các VPN). Trên một bộ

định tuyến, một RD có thể xác định một chuyển tiếp và định tuyến VPN (VRF),

trong đó toàn bộ địa chỉ IPv4 có thể được sử dụng độc lập. Có nghĩa là RD sẽ



làm cho các tuyến sử dụng địa chỉ IPv4 của một VPN là duy nhất trên mạng lõi

MPLS/VPN

Bởi vì trong cấu trúc của MPLS/VPN chỉ có các bộ định tuyến của nhà

cung cấp dịch vụ PE phải biết các tuyến VPN. Bởi vì bộ định tuyến PE sử

dụng địa chỉ VPN-IPv4 cho các VPN, không gian địa chỉ là tách biệt giữa các

VPN. Hơn thế nữa việc sử dụng IPv4 bên trong mạng lõi, đó là các địa chỉ

khác với địa chỉ VPN-IPv4, vì thế mạng lõi cũng có không gian địa chỉ độc lập

với các VPN khác nhau. Việc cung cấp này tạo ra sự khác nhau rõ ràng giữa

các VPN cũng như giữa các VPN với mạng lõi.

Hình 6. 2: Mặt phẳng địa chỉ trong mạng MPLS/VPN

6. 1. 1. 2. Tách biệt về lưu lượng

Lưu lượng VPN bao gồm luồng lưu lượng VPN trên miền dữ liệu và miền

điều khiển. Người sử dụng VPN đòi hỏi lưu lượng của họ không bị trộn lẫn với

lưu lượng VPN khác hoặc với lưu lượng lõi, tức là các gói tin không bị gửi tới

một VPN khác và ngược lại.

Trên mạng của nhà cung cấp dịch vụ, thì yêu cầu này càng rõ ràng bởi vì

lưu lượng sẽ phải được chuyển qua mạng lõi MPLS. Ở đây chúng ta phân biệt

lưu lượng miền điều khiển và miền dữ liệu. Miền điều khiển là nơi lưu lượng

khởi đầu và kết thúc bên trong mạng lõi, miền dữ liệu bao gồm lưu lượng từ

các VPN khác nhau. Luồng lưu lượng VPN này được đóng gói, thường là

LSP, và được gửi đi từ PE tới PE. Bởi vì quá trình đóng gói này mà mạng lõi

sẽ không bao giờ thấy được luồng lưu lượng VPN.



Hình 6. 3: Tách biệt lưu lượng

6. 1. 2. Chống lại các sự tấn công

Trong những năm vừa qua, số lượng các cuộc tấn công không chỉ nhằm

vào các ứng dụng mà còn tấn công trực tiếp vào cơ sở hạ tầng mạng. Vì thế

nhà cung cấp dịch vụ phải chú trọng tới vấn đề bảo mật cho mạng lõi. Tấn

công từ chối dịch vụ là một ví dụ, nhưng trên môi trường mạng MPLS/VPN thì

nó càng nguy hiểm hơn: nếu kẻ tấn công (tạm gọi là hacker) có thể nắm

quyền kiểm soát thiết bị PE, thì bảo mật của bất kỳ VPN trên mạng MPLS lõi

nào cũng có thể bị tổn hại, dù kết nối tới PE này hay không.

6. 1. 2. 1. Nơi một mạng lõi MPLS có thể bị tấn công

Như đã đề cập đến phần trước, các VPN được tách biệt với nhau và với

mạng lõi. Đó cũng là một hạn chế khả năng tấn công các điểm: hình sau mô

tả rằng, chỉ interface nơi mà một VPN có thể thấy được mạng lõi và và gửi

các gói tin tới một thiết bị của mạng lõi: đó là bộ định tuyến PE bởi vì mạch kết

nối giữa các bộ định tuyến CE và PE thuộc về VPN. Vì thế, chỉ có các điểm

tấn công nhìn thấy từ một VPN là: tất cả các interface của bộ định tuyến PE

kết nối tới bộ định tuyến CE của khách hàng. Trong hình, VPN1 chỉ có thể

thấy interface PE nó kết nối tới và không thể với các interface trên PE khác.

Chú ý rằng có một điểm tấn công cho một kết nối CE-PE, vì thế tất cả

interface của PE này phải được bảo vệ cho toàn không gian VPN.



Hình 6. 4: Dải địa chỉ có thể nhận ra từ VPN

Chú ý là bộ định tuyến CE luôn luôn không tin cậy, thậm chí nếu một bộ

định tuyến CE được kiểm soát bởi nhà cung cấp dịch vụ. Lý do là bởi vì CE

luôn được đặt ở phía khách hàng và có thể thay thế bởi các bộ định tuyến

khác hoặc thậm chí, trong một số trường hợp, thay bởi một máy trạm. Trong

khi đó, một bộ định tuyến PE luôn phải đáng tin cậy, và phải đạt được điều đó,

bởi vì một kẻ thâm nhập trên bộ định tuyến PE có thể làm nguy hại tới tất cả

các VPN khác. Điều này có nghĩa là bộ định tuyến PE phải luôn luôn trong môi

trường an toàn.

6. 1. 2. 2. Mạng lõi MPLS bị tấn công như thế nào

Theo lý thuyết, một bộ định tuyến PE có thể bị tấn công hoặc bởi một

luồng lưu lượng chuyển tiếp (có nghĩa là mục đích lưu lượng được đưa đến

một PE khác) hoặc chính bởi luồng lưu lượng mà đích là PE này.

Luồng lưu lượng chuyển tiếp thường ít ảnh hưởng bởi vì các bộ định

tuyến được thiết kế để chuyển tiếp gói tin một cách nhanh nhất. Dĩ nhiên, một

bộ định tuyến phải có có khả năng kiểm soát luồng lưu lượng chuyển tiếp. Tuy

nhiên, có một số dạng gói tin không thể kiểm soát bởi phần cứng và có thể

làm tăng tải trên tuyến. Vì thế, nếu có nhiều gói tin kiểu thế này có thể dẫn đến

tình huống DoS trên tuyến đó.

Các gói tin với lựa chọn IP (IP options) là một ví dụ. Một gói tin với lựa

chọn IP có độ dài tiêu đề thay đổi và vì thế không thể tra cứu trên ASICs

(microchips). Có nghĩa là các gói tin với lựa chọn IP có thể được chuyển mạch

bằng phần mềm, điều này làm cho hiệu suốt của bộ định tuyến giảm đi.



Với luồng lưu lượng nhận được, tức là đích đến chính là PE này, thì cần

phải quan tâm hơn bởi vì nó ảnh hưởng trực tiếp lên PE. Có hai dạng tấn

công là :

DoS – Trong trường hợp này, hacker có gắng sử dụng hết tất cả

tài nguyên trên bộ định tuyến PE. Điều này có thể thực hiện được

bằng cách gửi nhiều gói tin update cho bộ định tuyến, các bộ nhớ

sẽ bị sử dụng hết.

Intrusion – Hacker thử sử dụng một kênh hợp lệ để cấu hình bộ

định tuyến PE. Ví dụ dùng telnet hoặc SSH port hoặc SNMP để

cấu hình lên bộ định tuyến

6. 1. 2. 3. Mạng lõi được bảo vệ như thế nào

Tất cả các khả năng tấn công đều có thể kiểm soát được bằng cách cấu

hình chính xác. Chúng ta có thể dùng Access control list (ACL) cho tất cả các

interface của bộ định tuyến PE. Nếu định tuyến được yêu cầu thì cổng định

tuyến phải không được khóa bởi ACL. Bây giờ một hacker chỉ có thể tấn công

trực tiếp vào giao thức định tuyến.

Từ phân tích trên, bộ định tuyến PE sẽ nhận các gói tin trên cổng cho

giao thức định tuyến và được bảo đảm. Bất kỳ gói tin nào khác tới PE sẽ bị

drop bởi ACL.

Trong cấu trúc MPLS VPN, nó cung cấp tính bảo mật cao hơn. Trước

tiên là giao diện vào mạng lõi bị giới hạn và chỉ để lộ ra địa chỉ IP của bộ định

tuyến PE như thế có nghĩa là tính an toàn sẽ cao hơn. Bằng cách này, một

mạng lõi MPLS VPN ít bị lộ ra để có thể tấn công từ bên ngoài hơn so với

công nghệ IP truyền thống, nơi mà các giao diện trên tất cả các bộ định tuyến

lõi có thể mục tiêu cho các cuộc tấn công mạng. Tiếp đó, một ưu điểm nữa

của MPLS đó là nó dùng bộ định tuyến biên tới bên ngoài nên làm cho nó dễ

được bảo đảm hơn.

So sánh với mạng lõi IP truyền thống, theo mặc định thì khá là mở, mỗi

một thành phần của mạng có thể đến được (reachable) từ bên ngoài mạng.

Điều này có thể được hạn chế bằng nhiều cách, như dùng ACL hoặc một số

kỷ thuật dấu cấu trúc mạng lõi. Nhưng với mạng lõi MPLS thì do cấu trúc nên

phần lớn các thiết bị trong lõi này là không thể đạt tới được. Chú ý rằng, tùy

thuộc vào cách định tuyến trên mạng Internet được thực hiện như thế nào:



nếu ở bảng định tuyến toàn cục (global table) thì nguy cơ bị tấn công càng

cao. Với lõi MPLS thì nó có đặc điểm là hạn chế sự truy cập tới bảng định

tuyến toàn cục (global routing table) từ bên ngoài, điều này làm cho MPLS

mang tính bảo mật cao hơn.

6. 1. 3. Dấu cấu trúc mạng lõi

Trong công nghệ VNP lớp 2, như Frame Relay hoặc ATM có đặc tính là người

sử dụng VPN không thể thấy kiến trúc của lõi. Đó là bởi vì người sử dụng kết

nối một thiết bị lớp 3 tới mạng lớp 2, vì vậy nền tảng mạng ở lớp 2 sẽ bị dấu đi

với người dùng.

Mạng MPLS VPN dấu đi cơ sở hạ tầng mạng do cấu trúc của nó. Như vừa đề

cập ở trên, chỉ có địa chỉ PE ngang hàng (peering PE address) là lộ ra với

người sử dụng, còn các bộ định tuyến P hoàn toàn được dấu đi. Điều này là

rất quan trọng để hiểu việc dấu mạng lõi không phải bởi vì ACL mà bản chất

là việc tách biệt các dải địa chỉ trên mạng lõi MPLS: thậm chí nếu một địa chỉ

của một bộ định tuyến P nào đấy bị lộ ra bên ngoài thì do địa chỉ này không

thuộc về dải địa chỉ của người sử dụng nên không thể đến được

(unreachable).

Chỉ có một ngoại lệ đó là địa chỉ ngang hàng của bộ định tuyến PE. Tuy nhiên,

dải địa chỉ của kết nối CE-PE thuộc về VPN, không phải là mạng lõi. Trên

thực tế, các dải địa chỉ giống nhau có thể được sử dụng trên một vài VPN

khác nhau mà không sợ bị xung đột (conflict). Vì thế, mặc dù một địa chỉ PE

có thể nhìn thấy từ VPN thì nói đúng ra không có bất kỳ thông tin bi lộ ra bên

ngoài bởi vì địa chỉ này là dải địa chỉ VPN.

Tuy nhiên, có một cách để dấu hoàn toàn bộ định tuyến PE với người dùng

VPN đó là: sử dụng sử dụng dải địa chỉ không đánh số và định tuyến tĩnh giữa

PE và CE.

6. 1. 4. Bảo vệ chống lại sự giả mạo

Spoofing (giả mạo) – Là một dạng vi phạm an toàn trong đó hacker dưới

danh nghĩa một user hợp pháp truy nhập vào hệ thống máy tính một cách bất

hợp pháp. Dạng đơn giản nhất của spoofing là lấy được tên và mật khẩu của

người dùng để truy cập. Một cách khác là dùng thiết bị khác như bộ phân tích

mạng để theo dõi và nắm được luồng giao thông trên mạng, sau đó chèn các

gói dữ liệu giả vào dòng dữ liệu



Trước đây, khi Internet ở giai đoạn đầu, địa chỉ nguồn của gói tin được

dùng để chứng tỏ rằng gói tin đó được gửi từ chính địa chỉ IP này. Ngày nay,

sự giả mạo địa chỉ IP là một sự kiện xảy ra hàng ngày ở nhiều dạng tấn công

khác nhau.

Khi MPLS là một công nghệ lớp 3, người sử dụng lo lắng về vấn đề giả

mạo trên mạng, ở cả mức độ IP lẫn sử dụng nhãn bởi các giao thức MPLS.

Câu hỏi được đặt ra “ Một người sử dụng VPN khác có thể giả mạo địa chỉ IP

của tôi để truy cập vào VPN của tôi? ” và “ Một người khác có thể giả mạo

nhãn VPN để xâm nhập vào VPN của tôi? ”. Những câu hỏi này dễ dàng được

trả lời như sau:

Giả mạo địa chỉ IP – Ta đã biêt một VPN có thể sử dụng toàn bộ

dải địa chỉ IP, từ 0.0.0.0 tới 255.255.255.255. Một site VPN hoặc

một host nào đó có thế giả mạo địa chỉ IP nhưng địa chỉ giả mạo

này vẫn là địa chỉ local đối với VPN kia. Đây chính là điểm mạnh

của kiến trúc MPLS VPN: người sử dụng VPN có thể sử dụng

toàn bộ dải địa chỉ, gồm cả địa chỉ giả mạo kia, và VPN sẽ giống

như là một mạng vật lý đối với người sử dụng VPN kia. Điều đó là

có thể bởi vì các bộ định tuyến PE giữ tất cả các gói tin bên trong

VRF (VPN Routing and Forwarding), vì thế ngay cả gói tin giả

mạo kia cũng không “ thoát ” ra được VPN.Vì thế địa chỉ IP giả

mạo trong một VPN không ảnh hưởng tới VPN khác.

Giả mạo nhãn – Bên trong một mạng lõi MPLS, các gói tin khác

nhau được phân biệt bởi DE (phân biệt tuyến). Một người sử

dụng VPN xấu tính nào đấy có thể tạo các gói tin với nhãn giả và

chèn vào mạng lõi MPLS, cố gắng đưa các gói tin này vào các

VPN khác. Điều này là không thể thực hiện được bởi vì các bộ

định tuyến PE không chấp nhận các gói tin đã được gán nhãn từ

các bộ định của khách hàng. Vì thế một gói tin giả sẽ bị drop bởi

PE.

6. 1. 5. So sánh tính bảo mật với ATM/Frame Relay

Rất nhiều công ty đang sử dụng dịch vụ VPN dựa trên công nghệ ATM

hoặc Frame Relay trước đây đang chuyển sang sử dụng dịch vụ MPLS VPN.

Những người mới sử dụng MPLS thường lo lắng về thực tế rằng một

dịch vụ MPLS VPN có một vùng điều khiển ở lớp 3. Tuy nhiên, như đã biết từ



trước, các dịch vụ lớp 3 này có thể được đảm bảo an toàn và phù hợp với sự

cung cấp các dịch vụ VPN.

ATM/Frame Relay có thể nhận ra là an toàn hơn bởi vì chúng không bị

tổn thương với các tấn công ở lớp 3 (hơn nữa chuyển mạch ATM/FR có miền

điều khiển ở lớp 3, ví dụ như telnet). Tuy nhiên, bảo mật ở lớp 2 trong các

công nghệ này thường không đạt được như mong đợi. Chúng ta sẽ thảo luận

các vấn đề này và so sánh chúng.

Sự tách biệt VPN

Một người sử dụng VPN yêu cầu VPN của họ phải tách biệt với các VPN

khác và với mạng lõi. Trong công nghệ lớp 2, điều này hoàn toàn đạt được

bằng cách chia lớp: mạng lõi dành riêng sử dụng lớp 2, vì thế thông tin lớp 3

của một VPN được tách nhau ra. Trong công nghệ MPLS VPN, sự tách biệt

này đạt được là logic và bằng cách duy trì các môi trường tách biệt nhau trên

một bộ định tuyến của nhà cung cấp dịch vụ. Hai công nghệ là khác nhau

nhưng cùng đem lại một kết quả: mỗi VPN có thể sử dụng toàn bộ dải địa chỉ

trong VPN của họ và nó không thể gửi các gói tin tới các VPN khác trong cùng

một mạng lõi.

Chống lại các cuộc tấn công

Người dùng VPN yêu cầu một dịch vụ ổn định và các dịch vụ không bị

tấn công từ bên ngoài. Với nhiều người sử dụng VPN, thật là không thể chấp

nhận được nếu một dịch vụ VPN bị ảnh hưởng bởi tấn công DoS từ bên

ngoài. Tồi tệ hơn, một hacker có quyền kiểm soát một thành phần mạng có

thể kiểm soát bất kỳ VPN nào. Vì thế công nghệ VPN phải chống lại được các

cuộc tấn công.

MPLS VPN thường xuyên có thể truy cập từ Internet. Như thế một hacker

giỏi nếu có đủ thời gian có thể truy cập vào bộ định tuyến PE qua môi trường

Internet.

Trong phần trước, phần lõi có một số điểm giao diện nối tới phần ngoài.

Một MPLS lõi không thể so sánh với mạng lõi IP truyền thống, nơi mà mọi bộ

định tuyến có thể truy cập tới (giả sử rằng lõi MPLS không có giao diện global

với bên ngoài, chỉ có các giao diện VRF). Hơn thế nữa, chỉ có các interface

đơn là có thể truy cập được và chúng được bảo đảm tốt. Vì thế, thật là khó để

tấn công mạng MPLS một cách trực tiếp.



Mạng ATM hoặc Frame Relay cũng chống lại được các cuộc tấn công.

Tuy nhiên, các chuyển mạch ATM hoặc Frame Relay cũng có miền điều khiển

lớp 3 (ví dụ telnet) và có thể bị tấn công nếu không được bảo vệ tốt.

Nhưng nếu cả ai dạng này của VPN nếu được cấu hình chính xác thì

chẳng dễ để tấn công.

Dấu cơ sở hạ tầng mạng lõi

Với mạng lớp 2 thì mạng lõi được dấu đi bởi người sử dụng VPN làm

việc trên lớp 3. Lõi MPLS VPN cũng dấu đối với người sử dụng VPN, mặc dù

sử dụng một phương pháp khác: phần lớn các địa chỉ được dấu đi bởi cấu

trúc của nó; chỉ có một phần được nhìn thấy đó là địa chỉ PE ngang hàng

(peering PE address). Tuy nhiên, địa chỉ này là một phần của dải địa chỉ VPN,

vì thế trên thực tế sẽ không có thông tin về mạng lõi đối với người dùng từ

bên ngoài.

Không có sự giả mạo VPN

Ta đã biết không thể giả mạo VPN khác hoặc mạng lõi. ATM và Frame

Relay cũng thế, không có cách nào để giả mạo cơ chế báo hiệu như Virtual

Path Identifier/Circuit Identifier (VPI/VCI) để có thể giả mạo một VPN khác.

CE-CE visibility

Có một ưu điểm mà dịch vụ kết nối point-to-point ATM/FR hơn so với

MPLS VPN đó là: do thực hiện các dịch vụ lớp 2, các CE có thể thiết lập trực

tiếp mối quan hệ hàng xóm lớp 3 và có thể thấy các CE khác. Ví dụ, Cisco

Discovery Protocol (CDP) có thể được sử dụng để tìm hiểu các đặc tính cơ

bản của một bộ định tuyến hàng xóm. Nó bao gồm cả địa chỉ liên kết lớp 3, vì

thế một bộ định tuyến khách hàng có thể xác định ở một mức độ nào đó bộ

định tuyến CE ở đầu kia của kết nối point-to-point.

Đối với kiến trúc MPLS thì không thể thực hiện được điều đó, một bộ

định tuyến CE không thể nhìn trực tiếp tới các CE khác trong VPN của mình.

Đó là bởi vì kiểu kết nối của kiến trúc MPLS VPN: MPLS VPN cung cấp kết

nối từ một CE tới một đám mây mạng. Điều này tránh được sự chồng lấp

trong việc thiết lập thiết lập đường hầm tới tất cả các CE khác, nhưng cũng vì

thế mà nó sẽ không có được thông tin trực tiếp của CE hàng xóm

So sánh tính bảo mật của MPLS với ATM/Frame Relay



MPLS ATM/Frame Relay

Tách biệt VPN Có Có

Chống lại sự tấn công Có Có

Dấu kiến trúc mạng lõi Có Có

Không thể giả mạo

VPN

Có Có

Thông tin CE-CE Không Có

MPLS VPN chỉ có thể bảo mật tốt nếu nó được cấu hình và hoạt động

tốt.

6. 2. Chất lượng dịch vụ của mạng MPLS VPN

Đối với Chất lượng của dịch vụ QoS, thì các cơ chế được sử dụng phải

đủ mềm dẻo để hỗ trợ nhiều loại khách hàng VPN khác nhau, đồng thời

chúng phải có khả năng mở rộng để có thể hỗ trợ một số lượng lớn khách

hàng VPN. Ví như nhà cung cấp dịch vụ phải cung cấp cho các khách hàng

VPN với nhiều mức dịch vụ (CoS) khác nhau cho mỗi VPN, trong đó các ứng

dụng khác nhau trong cùng một VPN có thể có một CoS khác nhau. Theo

cách này, dịch vụ email có thể có một CoS trong khi một số ứng dụng thời

gian thực khác có thể có CoS khác. Hơn nữa, CoS mà một ứng dụng nhận

được trong một VPN có thể khác so với CoS mà vẫn ứng dụng này có thể

nhận được ở VPN khác. Tức là các cơ chế hỗ trợ QoS cho phép quyết định

loại dữ liệu nhận CoS nào phù họp cho từng VPN. Hơn nữa, không phải tất cả

các VPN phải sử dụng tất cả các CoS mà một nhà cung cấp dịch vụ VPN đưa

ra. Do đó, một tập các cơ chế hỗ trợ QoS cho phép quyết định loại CoS nào

được sử dụng để tạo cơ sở cho VPN

Lớp dịch vụ (Class of Service) CoS

Ở đây QoS liên quan tới toàn bộ chất lượng dịch vụ phất sinh hiện tại

qua mạng, lớp dịch vụ CoS định nghĩa mức riêng của dịch vụ cần cho một

kiểu lưu lượng: voice, video, hay dữ liệu. Nhiều nhà doanh nghiệp yêu cầu

đảm bảo, hội tụ cơ sở hạn tầng, nhà cung cấp dịch vụ cần giúp đỡ nhiều lớp

dịch vụ để hỗ trợ ứng dụng nhiệm vụ then chốt. Kỹ thuật QoS trong VPN phân

biệt giữa các kiểu lưu lượng và gán ưu tiên tới mhiệm vụ then chốt hay lưu

lượng nhậy cẩm trễ như voice và video. Kỹ thuật QoS cũng cho phép VPN

quản lý tắt nghẽn qua tốc độ độ rộng băng thông thay đổi. Nhà cung cấp dịch



vụ đưa ra các kiểu lớp dịch vụ: lớp đầu cho điều khiển trễ, lớp hai cho điều

khiển tải và lớp ba cho hỗ trợ tối đa. Công việc kinh doanh yêu cầu lớp dịch vụ

nhiều hơn, gồm:

Mức 4: thời gian thực (voice, video)

Mức 3: tương tác các công ty (báo hiệu cuộc gọi, cấu trúc mạng hệ thống

SNA, tin cậy…)

Mức 2: thời gian thực (dòng video, quản lý mạng)

Mức 1: khinh doanh LAN-to-LAN (Internet Web, IBM Lotus Workplace…)

Mức 0: dữ liệu có ngắn tối đa (giao thức truyền tải Mail, FTP, Internet Web…)

Mỗi CoS, nhà cung cấp phải có thuộc tính tiêu chuẩn rõ ràng trễ thích hợp, an

toàn và mất gói tin trong thoả thuận mức dịch vụ (SLA), và giá trị thực hiện và

kết hợp báo cáo QoS phù hợp với CoS cung cấp.

Trước khi đi vào các cơ chế hỗ trợ QoS được sử dụng trong VPN dựa

trên BGP/MPLS, chúng ta xem xét hai mô hình được sử dụng để biểu diễn

QoS trong VPN đó là mô hình “ống” và mô hình “vòi”.

Trong mô hình “ống”, một nhà cung cấp dịch vụ VPN cung cấp cho một

khách hàng VPN một QoS đảm bảo cho dữ liệu đi từ một bộ định tuyến CE

của khách hàng tới các bộ định tuyến CE khác. Về hình thức ta có thể hình

dung mô hình này như một đường ống kết nối hai bộ định tuyến với nhau, và

lưu lượng giữa hai bộ định tuyến trong đường ống này đảm bảo QoS xác

định. Ví dụ về một loại đảm bảo QoS có thể được cung cấp trong mô hình

“ông” là đản bảo giá trị băng thông nhỏ nhất giữa hai site.

Ta có thể cải tiến mô hình “ống” bằng việc chỉ cho phép một số loại lưu

lượng (ứng với một số ứng dụng) từ một CE tới các CE khác có thể sử dụng

đường ống. Quy định lưu lượng nào có thể sử dụng đường ống được xác

định tại bộ định tuyến PE phía đầu ống.

Chú ý là mô hình “ống” khá giống với mô hình QoS mà các khách hàng

VPN có được hiên nay với các giải pháp dựa trên chuyển tiếp khung hoặc

ATM. Điểm khác nhau căn bản là với ATM hay chuyển tiếp khung thì các kết

nối là song công trong khi ở mô hình “ống” chỉ cung cấp kết nối đảm bảo theo

một hướng. Đặc điểm một hướng này của mô hình “ống” chỉ cho phép thiết

lập các kết nối cho các ứng dụng sử dụng luồng lưu lượng không đối xứng,



trong đó lưu lượng từ một site tới site khác có thể khác với lưu lượng theo

hướng ngược lại.

Mô hình thứ hai là mô hình “vòi”. Trong mô hình này nhà cung cấp dịch

vụ VPN cung cấp cho khách hàng sự đảm bảo cho lưu lượng mà bộ định

tuyến CE của khách hàng gửi đi và nhận về từ các bộ định tuyến CE khác

trong cùng VPN. Nếu không thì khách hàng phải chỉ định cách phân phối lưu

lượng tới các Bộ định tuyến CE khác. Kết quả là ngược với mô hình “ống”, mô

hình “vòi” không đòi hỏi khách hàng biết ma trận lưu lượng và nhờ đó giảm

bớt gánh nặng đối bới các khách hàng muốn sử dụng dịch vụ VPN.

Mô hình “vòi” sử dụng hai tham số ICR và ECR. Trong đó ICR là tổng lưu

lượng mà một CE có thể gửi tới các CE khác và ECR là tổng lưu lượng mà

một CE có thể nhận từ các CE khác. Nói cách khác ICR đại diện cho tổng lưu

lượng từ một CE cụ thể, còn ECR đại diện cho tổng lưu lượng tới một CE cụ

thể. Lưu ý rằng đối với CE không nhất thiết ICR phải bằng ECR.

Mô hình “vòi” hỗ trợ nhiều mức CoS ứng với các dịch vụ có tham số khac

nhau; ví dụ một dịch vụ có thể yêu cầu tham số mấy gói tin ít hơn so với dịch

vụ khác. Với các dịch vụ đòi hởi phải có sự đảm bảo lớn (như đảm bảo về

băng thông), thì mô hình “ống” phù hợp hơn.

Mô hình “ống” và “vòi” không phải là các mô hình đối ngược nhau. Nghĩa

là, một nhà cung cấp dịch vụ có thể cung cấp cho khách hàng VPN một mô

hình kết hợp giữa các mô hình “ống” và “vòi” giúp khách hàng quyết định mua

loại dịch vụ nào ứng với mức CoS nào.

Đối với mạng VPN dựa trên BGP/MPLS, để hỗ trợ mô hình “ống” chúng

ta sử dụng các LSP đảm bảo băng thông. Những LSP này bắt đầu và kết

thúc tại các bộ định tuyến PE và được sử dụng để cung cấp băng thông đảm

bảo cho tất cả các ống từ một PE đến các PE khác. Có nghĩa là ứng với một

cặp bộ định tuyến PE có nhiều bộ định tuyến CE nối trực tiếp mà giữa chúng

đã có các đường ống, thay vì sử dụng một LSP băng thông đảm bảo cho mỗi

ống ta sử dụng một LSP đảm bảo băng thông cho tất cả các ống.

Sử dụng một LSP băng thông đảm bảo để mang nhiều đường ống giữa

một cặp bộ định tuyến PE cho phép tăng khả năng mởi rộng của mô hình này.

Với mô hình này số LSP mà nhà cung cấp dịch vụ phải thiết lập và duy trì phụ



thuộc vào số cặp bộ định tuyến PE của nhà cung cấp dịch vụ chứ không phụ

thuộc vào số đường ống của khách hàng VPN mà nhà cung cấp có thể có.

Để hỗ trợ CoS trong mô hình vòi, nhà cung cấp dịch vụ sử dụng thuộc

tính hỗ trợ Diff-serv của MPLS. Nhà cung cấp dịch vụ cũng có thể sử dụng

chức năng quản lý lưu lượng để cải thiện độ khả dụng của mạng trong khi vẫn

đạt được những mục tiêu về chất lượng như mong muốn.

Các thủ tục để bộ định tuyến PE lối vào xác định lại lưu lượng nào ứng

với CoS nào không phụ thuộc vào đó là mô hình “ống” hay mô hình “vòi” mà

hoàn toàn mang tính cục bộ đối với bộ định tuyến PE. Những thủ tục này có

thể xem xét các yếu tố như giao diện lối vào, địa chỉ IP nguồn và đích, số cổng

TCP, hoặc sự kết hợp của những yếu tố trên. Điều này mang lại cho nhà cung

cấp dịch vụ sự mềm dẻo về khía cạnh điều khiển xem loại lưu lượng nào nhận

cái nào.

Mặc dù trong hợp đồng giữa khách hàng và nhà cung cấp dịch vụ đã chỉ

ra băng thông và CoS cụ thể, nhưng khách hàng vẫn có thể gửi lưu lượng

vượt qua băng thông đã đăng ký. Để xác định xem lưu lượng có nằm trong

bằn thông đã thoả thuận, nhà cung cấp dịch vụ sử dụng các chính sách tại bộ

định tuyến PE lối vào. Đối với lưu lượng vượt quá băng thông đã thoả thuận,

nhà cung cấp có hai khả năng lựa chọn: hoặc là lại bỏ lưu lượng vượt quá này

ngay lập tưc tại bộ định tuyến PE lối vào hoặc gửi đi nhưng đánh dấu nó khác

với các lưu lượng nằm trong băng thông thoả thuận. Với lựa chọn thứ hai, để

giảm việc truyền các thông tin không đúng thứ tự, cả lưu lượng nằm trong

hoặc vượt khỏi hợp đồng đều được gửi theo cùng một LSP. Lưu lượng vượt

hợp đồng sẽ được đánh dấu và nó sẽ loại bỏ gói tin trong trường hợp có tắc

nghẽn.

6. 3. Xu hướng và cơ hội

Khi triển khai công nghệ MPLS VPN, nhà cung cấp dịch vụ khi triển khai

MPLS VPN có những cơ hội sau:

Khách hàng mở rộng sử dụng và tăng thuận lợi bắng cách tăng

lợi nhuận và mềm dẻo dịch vụ VPN trên IP và MPLS

MPLS VPN giúp dịch vụ IP quản lý buôn bán trong bổ xung truy

cập, tăng giới hạn thuận lợi



Khả năng dịch vụ VPN khách hàng cho mỗi khách hàng kinh

doanh, tăng sự khác biệt và bổ xung giá trị qua dịch vụ gói dữ

liệu, video, voice, bảo mật mạng, truy cập không dây và tuỳ chọn

khác

Tăng lợi nhuận qua giảm giá cung cấp dịch vụ VPN và điều hành

mạng, cũng như quản lý đơn giản hơn cho một mạng đơn

Mềm dẻo thay đổi cấu trúc mạng nội để sử dụng tài nguyên hiệu

quả.

MPLS hỗ trợ mạng khả năng phân phối khách hàng riêng, dịch vụ

yêu cầu

KẾT LUẬN

Sau một thời gian tìm hiểu về công nghệ chuyển mạch nhãn đa giao thức

MPLS và tìm hiểu ứng dụng của MPLS VPN, sinh viên đã thu được những kết

quả như sau:

Hiểu được những khó khăn và tồn tại hiện có của các công nghệ

chuyển mạch truyền thống và sự cần thiết phải ra đời công nghệ



MPLS. Hiểu được kiến trúc một mạng MPLS, quá trình chuyển

mạch nhãn, tạo nhãn. Các chế độ hoạt động khác nhau của

MPLS.

Các mode hoạt động khác nhau của MPLS, các ứng dụng của

chuyển mạch nhãn đa giao thức, trong đó nổi bật là ứng dụng

VPN trong MPLS

Hiểu về công nghệ VPN, các giao thức dùng trong VPN, tìm hiểu

về IPSec, các bước hoạt động của IPSec.

Hiểu được về mô hình mạng MPLS VPN, mô hình MPLS VPN lớp

2 và MPLS VPN lớp 3, ưu điểm cũng như những tồn tại của

chúng.

Nắm bắt được vấn đề bảo mật trong MPLS VPN và chất lượng

dịch vụ, những nguy cơ mà một mô hình MPLS VPN gặp phải.

Cơ hội và xu hướng của nhà cung cấp dịch vụ khi triển khai

MPLS VPN

Nhận thấy, MPLS VPN là một công nghệ có nhiều ưu điểm và chắc chắn

sẽ càng ngày có nhiều doanh nghiệp lựa chọn để triển khai, MPLS VPN sẽ có

một thị trường rộng lớn.

Tuy nhiên, đây là một đề tài lớn, đòi hỏi sự hiểu biết sâu rộng, cũng như

thời gian tìm hiểu lâu dài. Do đó chắc chắn không tránh khỏi thiếu sót trong

khuân khổ luận văn này, rất mong được sự góp ý từ phía các thầy cô và bạn

bè.

Xin chân thành cám ơn!

TÀI LIỆU THAM KHẢO



[1] – Cisco System, Inc – Advanced MPLS VPN Solution – 2000

[2] – Chuck Semeria – RFC 2547 bis: BGP/MPLS VPN Fundamentals – Jupiter Networks, Inc.

[3] – Eric Osborne, Ajay Simha – Traffic Engineering with MPLS – Cisco Press, July 17, 2002.

[4] – James Reagan – MPLS Study Guide - Sybex Press, 2002

[5] – Jim, Guichard, Ivan - MPLS and VPN Architectures – Cisco Press, 2000.

[6] – Michael H.Behringer, Monique J. Morrow – MPLS VPN Security- Cisco Press, June 08 2005

[7] – Wey Luo – Layer 2 VPN Architecture – Cisco Press, March 10, 2005

MỤC LỤC



MỞ ĐẦU............................................................................................................1Phần 1: Chuyển mạch nhãn đa giao thức MPLS..........................................3Chương 1. Cấu trúc tổng quan của MPLS....................................................3

1. 1. 1. Tính khả chuyển (Scalability).....................................................41. 1. 2. Điều khiển lưu lượng..................................................................41. 1. 3. Chất lượng của dịch vụ (QoS)...................................................5

1. 2. Chuyển mạch nhãn đa giao thức là gì?............................................71. 2. 2. Tạo nhãn ở mạng biên................................................................91. 2. 3. Chuyển tiếp gói MPLS và Đường chuyển mạch nhãn..........12

1. 3. Các ứng dụng khác của MPLS........................................................121. 3. 1. Điều khiển lưu lượng:...............................................................131. 3. 2. Mạng riêng ảo VPN (Virtual Private Network).......................131. 3. 3. Tích hợp IP và ATM...................................................................13

2. 1. Hoạt động miền dữ liệu MPLS ở chế độ Frame-mode..................152. 1. 1. Tiêu đề ngăn xếp nhãn MPLS ( MPLS label stack header)....162. 1. 3. Chuyển mạch nhãn MPLS với ngăn xếp nhãn.......................18

2. 2. Quá trình truyền và kết hợp nhãn trong Frame-mode MPLS........192. 2. 2. Phân phối và kết hợp nhãn......................................................202. 2. 3. Hội tụ trong mạng MPLS ở chế độ Frame-mode....................21

2. 3. Xử lý ở bộ định tuyến cuối cùng (Penultimate Hop Popping)......223. 1. Sự kết nối trong vùng điều khiển qua giao diện LC-ATM.............253. 2. Sự chuyển tiếp gói tin đã được gán nhãn qua miền ATM-LSR....273. 3. Phân phối và phân bổ nhãn qua miền ATM-LSR...........................28

Phần 2: Ứng dụng mạng riêng ảo VPN trên mạng MPLS..........................324. 1. Giới thiệu về mạng riêng ảo (Virtual Private Network – VPN ).....324. 2. Sự phát triển của VPN......................................................................334. 3. Phân loại VPN....................................................................................354. 4. Chức năng của VPN...........................................................................364. 5. Đường hầm và mã hóa.....................................................................364. 6. Các giao thức dùng cho VPN............................................................36

4. 6. 1. Giao thức đường hầm lớp 2 L2TP...........................................364. 6. 2. Giao thức đóng gói định tuyến chung GRE...........................384. 6. 3. Giao thức bảo mật IP (IP Security Protocol)..........................38

4. 3. 1. 1. 2. Đóng gói bảo mật vùng tải trọng ESP......................414. 6. 3. 2. Các mode chuyển tiếp dữ liệu trong IPSec........................41

4. 6. 3. 2. 1. Tunnel mode...................................................................424. 6. 3. 2. 2. Transport mode ( mode giao vận)................................42

4. 6. 3. 3. Quá trình hoạt động của IPSec............................................434. 6. 3. 3. 1. Bước 1: Xác định luồng lưu lượng quan tâm (interesting traffic)...........................................................................434. 6. 3. 3. 2. Bước 2: Pha IKE thứ nhất (IKE Phase 1).................444. 6. 3. 3. 3. Bước 3: Pha IKE thứ 2...............................................474. 6. 3. 3. 4. Bước 4: Phiên APSec.................................................494. 6. 3. 3. 5. Bước 5: Kết thúc đường hầm...................................50



4. 7. 1. VPN kiểu chồng lấp (overlay VNP model)...............................504. 7. 2. Mô hình VPN ngang hàng ( Peer-to-peer VPN model)...........52

4. 7. 2. 1. Mô hình VPN ngang hàng chia sẻ router PE...................534. 7. 2. 2. Mô hình mạng VPN ngang hàng sử dụng router PE riêng...............................................................................................................534. 7. 2. 3. So sánh các kiểu VPN ngang hàng..................................54

Chương 5: Mô hình mạng MPLS/VPN..........................................................565. 4. 1. Thành phần VPN lớp 2..............................................................575. 4. 2. Mô hình Martini..........................................................................575. 4. 3. Thông tin định tuyến.................................................................585. 4. 4. Lưu lượng dữ liệu.....................................................................585. 2. 1. Mạng riêng ảo BGP/MPLS........................................................59

5. 2. 1. 1. Các thành phần mạng BGP/MPLS....................................605. 2. 1. 1. 1. Bộ định tuyến biên của khách hàng (CE).................605. 2. 1. 1. 2. Bộ định tuyến biên của nhà cung cấp dịch vụ (PE) 605. 2. 1. 1. 3. Bộ định tuyến nhà cung cấp.....................................61

5. 2. 1. 2. Hoạt động của BGP/MPLS.................................................615. 2. 1. 2. 1. Luồng điều khiển........................................................625. 2. 1. 2. 2. Luồng dữ liệu (Data flow)..........................................63

5. 2. 1. 3. Ưu điểm của BGP/MPLS VPN...........................................645. 2. 2. Tồn tại và giải pháp...................................................................65

Chương 6: Vấn đề bảo mật và chất lượng dịch vụ MPLS/VPN.................696. 1. Vấn để bảo mật trong MPLS VPN....................................................69

6. 1. 1. Tách biệt các VPN.....................................................................696. 1. 1. 1. Tách biệt không gian địa chỉ.............................................696. 1. 1. 2. Tách biệt về lưu lượng......................................................70

6. 1. 2. Chống lại các sự tấn công.......................................................716. 1. 2. 1. Nơi một mạng lõi MPLS có thể bị tấn công.....................716. 1. 2. 2. Mạng lõi MPLS bị tấn công như thế nào..........................726. 1. 2. 3. Mạng lõi được bảo vệ như thế nào..................................73

6. 1. 3. Dấu cấu trúc mạng lõi...............................................................746. 1. 4. Bảo vệ chống lại sự giả mạo....................................................746. 1. 5. So sánh tính bảo mật với ATM/Frame Relay..........................75

6. 2. Chất lượng dịch vụ của mạng MPLS VPN......................................776. 3. Xu hướng và cơ hội..........................................................................81

KẾT LUẬN.......................................................................................................82TÀI LIỆU THAM KHẢO...................................................................................83


[Laptrinh.vn]-Chuyển mạch nhãn đa giao thức_MPLS-va ung dung

Documents

Transcript of [Laptrinh.vn]-Chuyển mạch nhãn đa giao thức_MPLS-va ung dung