Mạng riêng ảo VPN

LỜI NÓI ĐẦU

LỜI NÓI ĐẦU

Với chiến lược phát triển toàn diện mang tính chất đón đầu về công nghệ nhằm tạo ra tiềm lực to lớn, đủ sức cạnh tranh về chất lượng và sự đa dạng hóa các dịch vụ giá thành thấp, năng suất lao động cao, Tập đoàn Bưu chính Viễn thông Việt nam có chiến lược và kế hoạch chuyển đổi mạng Viễn thông số sang mạng thế hệ sau (NGN). Mạng NGN có hạ tầng thông tin duy nhất dựa trên công nghệ chuyển mạch gói, triển khai dịch vụ một cách đa dạng và nhanh chóng, đáp ứng sự hội tụ giữa thoại và số liệu, giữa cố định và di động, bắt nguồn từ sự tiến bộ của công nghệ thông tin và các ưu điểm của công nghệ chuyển mạch gói nói chung và công nghệ IP nói riêng và công nghệ truyền dẫn quang băng rộng. Cấu trúc của mạng thế hệ sau và các nguyên tắc hoạt động của nó về cơ bản khác nhiều so với cấu trúc của mạng PSTN hiện nay. Do vậy đội ngũ kỹ sư và cán bộ kỹ thuật Viễn thông cần phải được bồi dưỡng cập nhật kiến thức về công nghệ mới này, có như vậy họ mới đủ khả năng và trình độ vận hành khai thác quản lý và triển khai các dịch vụ Viễn thông một cách an toàn và hiệu quả.

Chương trình “Bồi dưỡng kỹ sư điện tử viễn thông về công nghệ IP và NGN” của Tập đoàn được xây dựng với mục đích cung cấp kiến thức và kỹ năng cơ bản liên quan tới công nghệ IP và NGN cho các cán bộ kỹ thuật đang trực tiếp quản lý và khai thác hệ thống trang thiết bị tại cơ sở nhằm đáp ứng yêu cầu về chuyển đổi công nghệ mạng lưới và dịch vụ viễn thông của Tập đoàn.

Cuốn tài liệu “Mạng riêng ảo” bao gồm 5 chương, giới thiệu những vấn đề kỹ thuật cơ bản liên quan đến việc xây dựng VPN, các giải pháp VPN dựa trên nền IPSec và MPLS cũng như là tình hình triển khai VPN trên thực tiễn hiện nay.

Chương 1 giới thiệu những khái niệm cơ bản về VPN, các chức năng và đặc điểm của VPN, từ đó làm cơ sở để phân loại VPN và đưa ra các thuận lợi cũng như khó khăn khi sử dụng các loại hình VPN đó.

Chương 2 trình bày về các giao thức đường hầm sử dụng cho VPN, phân tích hoạt động, các đặc điểm và khả năng ứng dụng của chúng trong các mô hình VPN khác nhau.

Chương 3 trình bày về giao thức bảo mật IPSec và một số vấn đề kĩ thuật liên quan đến việc thực hiện VPN trên nền IPSec như các tiêu chuẩn mật mã, các công cụ kiểm tra tính toàn vẹn thông tin, các thuật toán xác thực cũng như là kĩ thuật quản lí và trao đổi khóa.

Chương 4 trình bày về các mô hình VPN trên nền MPLS, các thành phần và hoạt động của MPLS-VPN, các vấn đề về điều khiển kết nối, bảo mật và QoS trong MPLS-VPN. Trong chương này cũng đưa ra một số so sánh đặc điểm và khả năng ứng dụng của hai giải pháp VPN dựa trên nền IPSec và MPLS.

Chương trình bồi dưỡng kiến thức IP và NGN cho kỹ sư ĐTVT của VNPT i

MẠNG RIÊNG ẢO

Chương 5 trình bày về các mô hình và giải pháp triển khai VPN, trong đó tập trung vào những giải pháp gần đây nhất được thực hiện trên nền MPLS. Một số thông tin về tình hình triển khai các loại hình dịch vụ VPN hiện nay của VNPT cũng được giới thiệu trong chương này.

Trong quá trình biên soạn, mặc dù giáo viên đã rất cố gắng, tuy nhiên không thể tránh khỏi những thiếu sót. Rất mong nhận được ý kiến đóng góp của các bạn đọc để những lần xuất bản sau chất lượng của tài liệu được tốt hơn.

TRUNG TÂM ĐÀO TẠO BƯU CHÍNH VIỄN THÔNG 1

Chương trình bồi dưỡng kiến thức IP và NGN cho kỹ sư ĐTVT của VNPTii

MỤC LỤC

MỤC LỤC

LỜI NÓI ĐẦU.....................................................................................................................i

MỤC LỤC.........................................................................................................................iii

DANH SÁCH HÌNH.........................................................................................................vi

CHƯƠNG 1.........................................................................................................................1

1.1 Khái niệm VPN..........................................................................................................2

1.2 Các chức năng và ưu nhược điểm của VPN...............................................................3

1.2.1 Chức năng...........................................................................................................3

1.2.2 Ưu điểm..............................................................................................................4

1.2.3 Nhược điểm và một số vấn đề cần khắc phục....................................................5

1.3 Các mô hình VPN.......................................................................................................6

1.3.1 Mô hình chồng lấn..............................................................................................6

1.3.2 Mô hình ngang hàng...........................................................................................8

1.4 Phân loại VPN và ứng dụng ......................................................................................9

1.4.1 VPN truy nhập từ xa.........................................................................................10

1.4.2 VPN điểm tới điểm...........................................................................................11

1.4.3 Ứng dụng VPN ................................................................................................13

1.5 Kết chương...............................................................................................................14

CHƯƠNG 2.......................................................................................................................15

CÁC GIAO THỨC ĐƯỜNG HẦM.............................................................................15

...........................................................................................................................................15

2.1 Giới thiệu các giao thức đường hầm........................................................................16

1.6 Giao thức chuyển tiếp lớp 2 – L2F...........................................................................16

1.6.1 Cấu trúc gói L2F...............................................................................................17

1.6.2 Hoạt động của L2F ..........................................................................................17

1.6.3 Ưu nhược điểm của L2F...................................................................................19

1.7 Giao thức đường hầm điểm tới điểm – PPTP ..........................................................20

1.7.1 Khái quát về hoạt động của PPTP....................................................................20

1.7.2 Duy trì đường hầm bằng kết nối điều khiển PPTP...........................................21

1.7.3 Đóng gói dữ liệu đường hầm PPTP..................................................................22

Chương trình bồi dưỡng kiến thức IP và NGN cho kỹ sư ĐTVT của VNPT iii

MẠNG RIÊNG ẢO

1.7.4 Xử lí dữ liệu tại đầu cuối đường hầm PPTP ....................................................24

1.7.5 Triển khai VPN dựa trên PPTP ........................................................................24

1.7.6 Ưu nhược điểm và khả năng ứng dụng của PPTP............................................25

1.8 Giao thức đường hầm lớp 2 – L2TP.........................................................................26

1.8.1 Khái quát về hoạt động của L2TP....................................................................26

1.8.2 Duy trì đường hầm bằng bản tin điều khiển L2TP...........................................27

1.8.3 Đóng gói dữ liệu đường hầm L2TP..................................................................27

1.8.4 Xử lí dữ liệu tại đầu cuối đường hầm L2TP trên nền IPSec.............................30

1.8.5 Triển khai VPN dựa trên L2TP ........................................................................30

1.8.6 Ưu nhược điểm và khả năng ứng dụng của L2TP............................................31

1.9 Kết chương...............................................................................................................32

CHƯƠNG 3.......................................................................................................................33

MẠNG RIÊNG ẢO TRÊN NỀN IPSec ..............................................................................................................................................33

1.10 Giới thiệu về IPSec ................................................................................................34

1.11 Đóng gói thông tin IPSec ......................................................................................35

1.11.1 Các chế độ hoạt động......................................................................................35

1.11.2 Giao thức tiêu đề xác thực AH.......................................................................37

1.11.3 Giao thức đóng gói tải tin an toàn ESP...........................................................41

1.12 Liên kết an ninh và hoạt động trao đổi khóa .........................................................45

1.12.1 Liên kết an ninh .............................................................................................45

1.12.2 Hoạt động trao đổi khóa IKE..........................................................................48

1.13 Một số vấn đề kĩ thuật trong thực hiện VPN trên nền IPSec ................................54

1.13.1 Mật mã ...........................................................................................................55

1.13.2 Toàn vẹn bản tin.............................................................................................56

1.13.3 Xác thực các bên.............................................................................................57

1.13.4 Quản lí khóa....................................................................................................58

1.14 Ví dụ thực hiện VPN trên nền IPSec......................................................................58

1.15 Các vấn đề còn tồn tại trong IPSec.........................................................................59

1.16 Kết chương.............................................................................................................60

CHƯƠNG 4.......................................................................................................................61

MẠNG RIÊNG ẢO TRÊN NỀN MPLS ..............................................................................................................................................61

Chương trình bồi dưỡng kiến thức IP và NGN cho kỹ sư ĐTVT của VNPTiv

MỤC LỤC

1.17 Các thành phần của MPLS-VPN ...........................................................................62

1.17.1 Hệ thống cung cấp dịch vụ MPLS-VPN.........................................................62

1.17.2 Bộ định tuyến biên nhà cung cấp dịch vụ.......................................................63

1.17.3 Bảng định tuyến và chuyển tiếp ảo ................................................................63

1.18 Các mô hình MPLS-VPN ......................................................................................64

1.18.1 Mô hình L3VPN ............................................................................................64

1.18.2 Mô hình L2VPN ............................................................................................66

1.19 Hoạt động của MPLS-VPN....................................................................................67

1.19.1 Truyền thông tin định tuyến ..........................................................................67

1.19.2 Địa chỉ VPN-IP...............................................................................................68

1.19.3 Chuyển tiếp gói tin VPN.................................................................................71

1.20 Bảo mật trong MPLS-VPN....................................................................................75

1.21 Chất lượng dịch vụ trong MPLS-VPN...................................................................76

1.21.1 Mô hình ống....................................................................................................76

1.21.2 Mô hình vòi.....................................................................................................78

1.22 So sánh các đặc điểm của VPN trên nền IPSec và MPLS......................................79

1.22.1 Các tiêu chí đánh giá.......................................................................................79

1.22.2 Các đặc điểm nổi bật của IPSec-VPN và MPLS-VPN ..................................81

1.23 Kết chương.............................................................................................................83

CHƯƠNG 5.......................................................................................................................85

TRIỂN KHAI VÀ ỨNG DỤNG VPN..........................................................................85

1.24 Các mô hình triển khai VPN .................................................................................86

1.25 Giải pháp VPN trên nền MPLS của VNPT............................................................87

1.26 Mô hình cung cấp dịch vụ MegaWAN ..................................................................88

1.27 Kết chương.............................................................................................................89

THUẬT NGỮ VIẾT TẮT...............................................................................................90

TÀI LIỆU THAM KHẢO...............................................................................................93

Chương trình bồi dưỡng kiến thức IP và NGN cho kỹ sư ĐTVT của VNPT v

MẠNG RIÊNG ẢO

DANH SÁCH HÌNH

Chương trình bồi dưỡng kiến thức IP và NGN cho kỹ sư ĐTVT của VNPTvi

CHƯƠNG 1

GIỚI THIỆU CHUNG VỀ VPN

VPN có thể được hiểu như là mạng kết nối các site khách hàng đảm bảo an ninh trên cơ sở hạ tầng mạng chung cùng với các chính sách điều khiển truy nhập và bảo mật như một mạng riêng. Tuy được xây dựng trên cơ sở hạ tầng sẵn có của mạng công cộng nhưng VPN lại có được các tính chất của một mạng cục bộ như khi sử dụng các đường kênh thuê riêng. Chương này trình bày những khái niệm cơ bản về VPN, các chức năng và đặc điểm của VPN, từ đó làm cơ sở để phân loại VPN và đưa ra các thuận lợi cũng như khó khăn khi sử dụng các loại hình VPN khác nhau.

Nội dung chương này bao gồm:

Khái niệm VPN

Các chức năng và ưu nhược điểm của VPN

Các mô hình VPN

Phân loại VPN theo ứng dụng

Chương trình bồi dưỡng kiến thức IP và NGN cho kỹ sư ĐTVT của VNPT 1

MẠNG RIÊNG ẢO

1.1 Khái niệm VPN

Mạng riêng ảo không phải là khái niệm mới. Chúng đã từng được sử dụng trong các mạng điện thoại trước đây nhưng do một số hạn chế về công nghệ mà chưa có được sức mạnh và khả năng cạnh tranh lớn. Trong thời gian gần đây, cơ sở hạ tầng mạng IP đã làm cho VPN thực sự có tính mới mẻ. Các kiểu mạng riêng ảo xây dựng trên cơ sở hạ tầng mạng Internet công cộng đã mang lại một khả năng mới, một cái nhìn mới cho người sử dụng. Công nghệ VPN là giải pháp thông tin tối ưu đối với các công ty, tổ chức có nhiều văn phòng hay chi nhánh. Ngày nay, với sự phát triển của công nghệ và bùng nổ của mạng Internet, khả năng của VPN ngày một hoàn thiện và dịch vụ này đã trở thành một dịch vụ cạnh tranh đầy triển vọng.

Mạng riêng ảo được định nghĩa như là một kết nối mạng triển khai trên cơ sở hạ tầng mạng công cộng với các chính sách quản lý và bảo mật giống như mạng cục bộ. Mạng riêng ảo đã mở rộng phạm vi của các mạng LAN mà không bị hạn chế về mặt địa lý. Các hãng thương mại có thể dùng VPN để cung cấp quyền truy nhập mạng cho người dùng di động và từ xa, kết nối các chi nhánh phân tán thành một mạng duy nhất và cho phép sử dụng từ xa các trình ứng dụng dựa trên các dịch vụ trong công ty.

Trong thực tế, người ta thường nói tới hai khái niệm VPN là VPN kiểu tin cậy (Trusted VPN) và VPN an toàn (Secure VPN).

Mạng riêng ảo kiểu tin cậy được xem như một số mạch thuê của một nhà cung cấp dịch vụ viễn thông. Mỗi mạch thuê riêng hoạt động như một đường dây trong một mạng cục bộ. Tính riêng tư của “Trusted VPN” thể hiện ở chỗ nhà cung cấp dịch vụ sẽ đảm bảo không có ai sử dụng cùng mạch thuê riêng đó. Khách hàng của mạng riêng ảo loại này tin cậy vào nhà cung cấp dịch vụ để duy trì tính toàn vẹn và bảo mật của dữ liệu truyền trên mạng. Các mạng riêng xây dựng trên các đường dây thuê thuộc dạng “Trusted VPN”.

Mạng riêng ảo an toàn là các mạng riêng ảo có sử dụng mật mã để bảo mật dữ liệu. Dữ liệu ở đầu ra của một mạng được mật mã rồi chuyển vào mạng công cộng như các dữ liệu khác để truyền tới đích và sau đó được giải mã tại phía thu. Dữ liệu đã mật mã có thể coi như được truyền trong một đường hầm (tunnel) bảo mật từ nguồn tới đích. Cho dù một kẻ tấn công có thể nhìn thấy dữ liệu đó trên đường truyền thì cũng không có khả năng đọc được vì nó đã được mật mã.

Ví dụ về giao thức sử dụng trong việc mã hoá để đảm bảo an toàn là IPSec. Đó là một tiêu chuẩn cho mã hoá cũng như xác thực các gói IP tại tầng mạng. IPSec hỗ trợ một tập hợp các giao thức mật mã với hai mục đích: an ninh gói mạng và thay đổi các khoá mật mã. IPSec được hỗ trợ trong Windows XP, 2000, 2003 và Vista; Linux phiên bản 2.6 trở đi và nhiều hệ điều hành khác nữa. Nhiều hãng đã nhanh chóng phát triển và cung cấp các dịch vụ IPSec-VPN server và IPSec-VPN client.

Chương trình bồi dưỡng kiến thức IP và NGN cho kỹ sư ĐTVT của VNPT2

CHƯƠNG 1 - GIỚI THIỆU CHUNG VỀ VPN

Mạng riêng ảo xây dựng dựa trên Internet là ví dụ về mạng riêng ảo kiểu an toàn, sử dụng cơ sở hạ tầng mở và phân tán của Internet cho việc truyền dữ liệu giữa các site của mạng (hình 1.1).

Hình 1.1 Mô hình VPN an toàn

Kết nối trong VPN là kết nối động, nghĩa là không được gắn cứng và tồn tại như một kết nối thực khi lưu lượng mạng chuyển qua. Kết nối này có thể thay đổi và thích ứng với nhiều môi trường khác nhau. Khi có yêu cầu kết nối thì nó được thiết lập và duy trì bất chấp cơ sở hạ tầng mạng giữa những điểm đầu cuối.

Tính “riêng” của VPN thể hiện ở chỗ dữ liệu truyền luôn được giữ bí mật và chỉ có thể bị truy nhập bởi những nguời sử dụng được trao quyền. Điều này rất quan trọng bởi vì giao thức Internet ban đầu không được thiết kế để hỗ trợ các mức độ bảo mật. Do đó, bảo mật sẽ được cung cấp bằng cách thêm phần mềm hay phần cứng VPN.

1.2 Các chức năng và ưu nhược điểm của VPN

1.2.1 Chức năng

VPN cung cấp ba chức năng chính là tính xác thực (Authentication), tính toàn vẹn (Integrity) và tính bảo mật (Confidentiality).

Tính xác thực

Để thiết lập một kết nối VPN thì trước hết cả hai phía phải xác thực lẫn nhau để khẳng định rằng mình đang trao đổi thông tin với người mình mong muốn chứ không phải là một người khác.

Tính toàn vẹn

Đảm bảo dữ liệu không bị thay đổi hay có bất kỳ sự xáo trộn nào trong quá trình truyền dẫn.

Tính bảo mật

Người gửi có thể mã hoá các gói dữ liệu trước khi truyền qua mạng công cộng và dữ liệu sẽ được giải mã ở phía thu. Bằng cách làm như vậy, không một ai có thể truy


MẠNG RIÊNG ẢO

nhập thông tin mà không được phép. Thậm chí nếu có lấy được thì cũng không đọc được.

1.2.2 Ưu điểm

Mạng riêng ảo mang lại lợi ích thực sự và tức thời cho các công ty. Nó không chỉ giúp đơn giản hoá việc trao đổi thông tin giữa các nhân viên làm việc ở xa, người dùng lưu động, mở rộng Intranet đến từng văn phòng, chi nhánh, thậm chí triển khai Extranet đến tận khách hàng và các đối tác chủ chốt mà còn cho phép giảm chi phí rất nhiều so với việc mua thiết bị và đường dây cho mạng WAN riêng. Những lợi ích trực tiếp và gián tiếp mà VPN mang lại bao gồm: tiết kiệm chi phí, tính linh hoạt, khả năng mở rộng, v.v.

Tiết kiệm chi phí

Việc sử dụng VPN sẽ giúp các công ty giảm được chi phí đầu tư và chi phí thường xuyên. Tổng giá thành của việc sở hữu một mạng VPN sẽ được thu nhỏ, do chỉ phải trả ít hơn cho việc thuê băng thông đường truyền, các thiết bị mạng đường trục và duy trì hoạt động của hệ thống. Nhiều số liệu cho thấy, giá thành cho việc kết nối LAN-to-LAN giảm từ 20 tới 30% so với việc sử dụng đường thuê riêng truyền thống, còn đối với việc truy nhập từ xa giảm từ 60 tới 80%.

Tính linh hoạt

Tính linh hoạt ở đây không chỉ thể hiện trong quá trình vận hành và khai thác mà nó còn thực sự mềm dẻo đối với yêu cầu sử dụng. Khách hàng có thể sử dụng nhiều kiểu kết nối khác nhau để kết nối các văn phòng nhỏ hay các đối tượng di động. Nhà cung cấp dịch vụ VPN có thể cho phép nhiều sự lựa chọn kết nối cho khách hàng: modem 56 kbit/s, ISDN 128 kbit/s, xDSL, E1, …

Khả năng mở rộng

Do VPN được xây dựng dựa trên cơ sở hạ tầng mạng công cộng nên bất cứ ở nơi nào có mạng công cộng (như Internet) đều có thể triển khai VPN. Ngày nay mạng Internet có mặt ở khắp mọi nơi nên khả năng mở rộng của VPN rất dễ dàng. Một văn phòng ở xa có thể kết nối một cách khá đơn giản đến mạng của công ty bằng cách sử dụng đường dây điện thoại hay đường dây thuê bao số DSL.

Khả năng mở rộng còn thể hiện ở chỗ, khi một văn phòng hay chi nhánh yêu cầu băng thông lớn hơn thì nó có thể được nâng cấp dễ dàng. Ngoài ra, cũng có thể dễ dàng gỡ bỏ VPN khi không có nhu cầu.

Giảm thiểu các hỗ trợ kỹ thuật

Việc chuẩn hoá trên một kiểu kết nối từ đối tượng di động đến một POP của ISP và việc chuẩn hoá các yêu cầu về bảo mật đã làm giảm thiểu nhu cầu về nguồn hỗ trợ kỹ thuật cho mạng VPN. Và ngày nay, khi mà các nhà cung cấp dịch vụ đảm nhiệm



việc hỗ trợ mạng nhiều hơn thì những yêu cầu hỗ trợ kỹ thuật đối với người sử dụng ngày càng giảm.

Giảm thiểu các yêu cầu về thiết bị

Bằng việc cung cấp một giải pháp truy nhập cho các doanh nghiệp qua đường Internet, VPN yêu cầu về thiết bị ít hơn và đơn giản hơn nhiều so với việc bảo trì các modem riêng biệt, các card tương thích cho thiết bị đầu cuối và các máy chủ truy nhập từ xa. Một doanh nghiệp có thể thiết lập các thiết bị khách hàng cho một môi trường, chẳng hạn như T1 hay E1, phần còn lại của kết nối được thực hiện bởi ISP.

Đáp ứng các nhu cầu thương mại

Đối với các thiết bị và công nghệ viễn thông mới thì những vấn đề cần quan tâm là chuẩn hoá, các khả năng quản trị, mở rộng và tích hợp mạng, tính kế thừa, độ tin cậy và hiệu suất hoạt động, đặc biệt là khả năng thương mại của sản phẩm.

Các sản phẩm dịch vụ VPN tuân theo chuẩn chung hiện nay, một phần để đảm bảo khả năng làm việc của sản phẩm nhưng có lẽ quan trọng hơn là để sản phẩm của nhiều nhà cung cấp khác nhau có thể làm việc với nhau.

1.2.3 Nhược điểm và một số vấn đề cần khắc phục

Sự rủi ro an ninh

Một mạng riêng ảo thường rẻ và hiệu quả hơn so với giải pháp sử dụng kênh thuê riêng. Tuy nhiên, nó cũng tiềm ẩn nhiều rủi ro an ninh khó lường trước. Mặc dù hầu hết các nhà cung cấp dịch vụ quảng cáo rằng giải pháp của họ là đảm bảo an toàn, sự an toàn đó không bao giờ là tuyệt đối. Cũng có thể làm cho mạng riêng ảo khó phá hoại hơn bằng cách bảo vệ tham số của mạng một cách thích hợp, song điều này lại ảnh hưởng đến giá thành của dịch vụ.

Độ tin cậy và sự thực thi

VPN sử dụng phương pháp mã hoá để bảo mật dữ liệu, và các hàm mật mã phức tạp có thể dẫn đến lưu lượng tải trên các máy chủ là khá nặng. Nhiệm vụ của người quản trị mạng là quản lí tải trên máy chủ bằng cách giới hạn số kết nối đồng thời để biết máy chủ nào có thể điều khiển. Tuy nhiên, khi số người cố gắng kết nối tới VPN đột nhiên tăng vọt và phá vỡ hết quá trình truyền tin, thì chính các nhân viên quản trị này cũng không thể kết nối được vì tất cả các cổng của VPN đều bận. Điều đó chính là động cơ thúc đẩy người quản trị tạo ra các khoá ứng dụng làm việc mà không đòi hỏi VPN. Chẳng hạn thiết lập dịch vụ proxy hoặc dịch vụ Internet Message Access Protocol để cho phép nhân viên truy nhập e-mail từ nhà hay trên đường.

Vấn đề lựa chọn giao thức

Việc lựa chọn giữa IPSec hay SSL/TLS là một vấn đề khó quyết định, cũng như viễn cảnh sử dụng chúng như thế nào cũng khó có thể nói trước. Một điều cần cân


MẠNG RIÊNG ẢO

nhắc là SSL/TLS có thể làm việc thông qua một tường lửa dựa trên bảng biên dịch địa chỉ NAT, còn IPSec thì không. Nhưng nếu cả hai giao thức làm việc qua tường lửa thì sẽ không dịch được địa chỉ.

IPSec mã hoá tất cả các lưu lượng IP truyền tải giữa hai máy tính, còn SSL/TLS thì đặc tả một ứng dụng. SSL/TLS dùng các hàm mã hoá không đối xứng để thiết lập kết nối và nó bảo vệ hiệu quả hơn so với dùng các hàm mã hoá đối xứng.

Trong các ứng dụng trên thực tế, người quản trị có thể quyết định kết hợp và ghép các giao thức để tạo ra sự cân bằng tốt nhất cho sự thực thi và độ an toàn của mạng. Ví dụ, các client có thể kết nối tới một Web server thông qua tường lửa dùng đường dẫn an toàn của SSL/TLS, Web server có thể kết nối tới một dịch vụ ứng dụng dùng IPSec, và dịch vụ ứng dụng có thể kết nối tới một cơ sở dữ liệu thông qua các tường lửa khác cũng dùng SSL.

1.3 Các mô hình VPN

Có hai mô hình triển khai VPN là: dựa trên khách hàng (Customer-based) và dựa

trên mạng (Network-based). Mô hình dựa trên khách hàng còn được gọi là mô hình

chồng lấn (overlay), trong đó VPN được cấu hình trên các thiết bị của khách hàng và

sử dụng các giao thức đường hầm xuyên qua mạng công cộng. Nhà cung cấp dịch vụ

sẽ bán các mạch ảo giữa các site của khách hàng như là đường kết nối thuê riêng

(leased line).

Mô hình dựa trên mạng còn được gọi là mô hình ngang hàng hay ngang cấp (peer-

to-peer), trong đó VPN được cấu hình trên các thiết bị của nhà cung cấp dịch vụ và

được quản lý bởi nhà cung cấp dịch vụ. Nhà cung cấp dịch vụ và khách hàng trao đổi

thông tin định tuyến lớp 3, sau đó nhà cung cấp sẽ sắp đặt dữ liệu từ các site khách

hàng vào đường đi tối ưu nhất mà không cần có sự tham gia của khách hàng.

1.3.1 Mô hình chồng lấn

Mô hình VPN chồng lấn ra đời từ rất sớm và được triển khai dưới nhiều công nghệ

khác nhau. Ban đầu, VPN được xây dựng bằng cách sử dụng các đường thuê riêng để

cung cấp kết nối giữa khách hàng ở nhiều vị trí khác nhau. Khách hàng mua dịch vụ

đường thuê riêng của nhà cung cấp. Các đường thuê này được thiết lập giữa các site

của khách hàng cần kết nối và là đường dành riêng cho khách hàng.

Khi Frame Relay ra đời, nó được xem như là một công nghệ hỗ trợ tốt cho VPN vì

đáp ứng được yêu cầu kết nối cho khách hàng như dịch vụ đường thuê riêng. Điểm

khác là ở chỗ khách hàng không được cung cấp các đường dành riêng, mà sẽ sử dụng

một đường chung nhưng được chỉ định các mạch ảo. Các mạch ảo này đảm bảo lưu

lượng cho mỗi khách hàng là riêng biệt. Mạch ảo có thể gồm mạch ảo cố định PVC và

mạch ảo chuyển mạch SVC.



Cung cấp mạch ảo cho khách hàng nghĩa là nhà cung cấp dịch vụ đã xây dựng một

đường hầm riêng cho lưu lượng khách hàng truyền qua mạng dùng chung của nhà

cung cấp dịch vụ. Khách hàng thiết lập phiên liên lạc giữa các thiết bị phía khách hàng

CPE qua kênh ảo. Giao thức định tuyến chạy trực tiếp giữa các bộ định tuyến khách

hàng thiết lập mối quan hệ cận kề và trao đổi thông tin định tuyến với nhau. Nhà cung

cấp dịch vụ không hề biết đến thông tin định tuyến của khách hàng. Nhiệm vụ của nhà

cung cấp dịch vụ trong mô hình này chỉ là đảm bảo vận chuyển dữ liệu điểm-điểm

giữa các site của khách hàng mà thôi.

VPN chồng lấn còn được triển khai dưới dạng đường hầm. Sự thành công của

công nghệ IP đã thúc đẩy các nhà cung cấp dịch vụ triển khai VPN qua IP. Nếu khách

hàng nào muốn xây dựng mạng riêng của họ qua Internet thì có thể dùng giải pháp này

vì chi phí thấp. Bên cạnh lý do kinh tế, mô hình đường hầm còn đáp ứng cho khách

hàng việc bảo mật dữ liệu. Hai công nghệ VPN đường hầm phổ biến là IPSec (IP

Security) và GRE (Generic Routing Encapsulation).

Các cam kết về QoS trong mô hình VPN chồng lấn thường là cam kết về băng

thông trên một VC. Giá trị này được gọi là CIR (Committed Information Rate). Băng

thông có thể sử dụng được tối đa trên một kênh ảo gọi là PIR (Peak Information Rate).

Việc cam kết băng thông được thực hiện thông qua các thống kê tự nhiên của dịch vụ

lớp 2 nhưng lại phụ thuộc vào chiến lược của nhà cung cấp. Điều này có nghĩa là tốc

độ cam kết không thật sự được bảo đảm. Thường thì nhà cung cấp có thể đảm bảo tốc

độ nhỏ nhất MIR (Minimum Information Rate).

Cam kết về băng thông cũng chỉ là cam kết cho hai điểm trong mạng khách hàng.

Nếu không có ma trận lưu lượng đầy đủ cho tất cả các lớp lưu lượng thì thật khó có thể

thực hiện cam kết này cho khách hàng trong mô hình chồng lấn. Và thật khó để cung

cấp nhiều lớp dịch vụ vì nhà cung cấp dịch vụ không thể phân biệt được lưu lượng ở

giữa mạng. Vấn đề này có thể được khắc phục bằng cách tạo ra nhiều kết nối (full-

mesh), như trong mạng Frame Relay hay ATM có các PVC giữa các site khách hàng.

Tuy nhiên, kết nối đầy đủ thường làm tăng thêm chi phí của mạng.

Mô hình VPN chồng lấn có ưu điểm là dễ thực hiện, theo quan điểm của cả khách

hàng và nhà cung cấp dịch vụ. Trong mô hình này nhà cung cấp dịch vụ không tham

gia vào định tuyến lưu lượng khách hàng. Nhiệm vụ của họ là vận chuyển dữ liệu

điểm-điểm giữa các site của khách hàng. Việc đánh dấu điểm tham chiếu giữa nhà

cung cấp dịch vụ và khách hàng sẽ cho phép quản lý dễ dàng hơn.

Mô hình chồng lấn thích hợp cho các mạng không cần độ dự phòng với ít site

trung tâm và nhiều site ở đầu xa, nhưng lại khó quản lý nếu như cần nhiều kết nối mắt

lưới. Việc cung cấp nhiều VC đòi hỏi phải có sự hiểu biết cặn kẽ về loại lưu lượng

giữa các site, mà điều này thường không thật sự thích hợp. Ngoài ra, khi thực hiện mô


MẠNG RIÊNG ẢO

hình này với các công nghệ lớp 2 thì sẽ tạo ra một lớp mới không cần thiết đối với các

nhà cung cấp hầu hết chỉ dựa trên IP, và như vậy làm tăng thêm chi phí hoạt động của

mạng.

1.3.2 Mô hình ngang hàng

Để khắc phục các hạn chế của mô hình VPN chồng lấn và tối ưu hóa việc vận

chuyển dữ liệu qua mạng đường trục, mô hình VPN ngang hàng đã ra đời. Với mô

hình này nhà cung cấp dịch vụ sẽ tham gia vào hoạt động định tuyến của khách hàng.

Bộ định tuyến biên mạng nhà cung cấp PE (Provider Edge) thực hiện trao đổi thông tin

định tuyến trực tiếp với bộ định tuyến của khách hàng CE (Customer Edge).

Đối với mô hình VPN ngang hàng, việc định tuyến trở nên đơn giản hơn (nhìn từ

phía khách hàng) khi bộ định tuyến khách hàng chỉ trao đổi thông tin định tuyến với

một hoặc một vài bộ định tuyến biên nhà cung cấp PE. Trong khi ở mô hình VPN

chồng lấn, số lượng bộ định tuyến lân cận có thể gia tăng với số lượng lớn. Ngoài ra,

do nhà cung cấp dịch vụ biết cấu hình mạng của khách hàng nên có thể thiết lập định

tuyến tối ưu cho lưu lượng giữa các site khách hàng.

Việc cung cấp băng thông cũng đơn giản hơn bởi vì khách hàng chỉ phải quan tâm

đến băng thông đầu vào và ra ở mỗi site mà không cần phải quan tâm đến toàn bộ lưu

lượng từ site này đến site kia như trong mô hình VPN chồng lấn. Khả năng mở rộng

trong mô hình VPN ngang hàng dễ dàng hơn vì nhà cung cấp dịch vụ chỉ cần thêm vào

một site và thay đổi cấu hình trên bộ định tuyến PE. Trong mô hình chồng lấn, nhà

cung cấp dịch vụ phải tham gia vào toàn bộ tập hợp các kênh ảo VC từ site này đến

site khác của VPN khách hàng.

Nhà cung cấp dịch vụ có thể triển khai hai kiểu ứng dụng VPN ngang hàng là chia

sẻ bộ định tuyến và sử dụng bộ định tuyến dành riêng.

Phương pháp chia sẻ bộ định tuyến

Các khách hàng VPN cùng chia sẻ một bộ định tuyến biên mạng nhà cung cấp PE.

Ở phương pháp này, nhiều khách hàng có thể kết nối đến cùng một bộ định tuyến PE.

Do đó, trên bộ định tuyến này phải cấu hình một danh sách truy nhập (Access List)

cho mỗi giao diện PE-CE để đảm bảo chắc chắn sự cách ly giữa các khách hàng VPN,

đồng thời ngăn chặn VPN của khách hàng này thực hiện các tấn công từ chối dịch vụ

DoS (Denial of Service) vào VPN của khách hàng khác. Nhà cung cấp dịch vụ chia

các phần trong không gian địa chỉ của nó cho khách hàng và quản lý việc lọc gói tin

trên bộ định tuyến PE.

Phương pháp sử dụng bộ định tuyến dành riêng

Là phương pháp mà mỗi khách hàng VPN có bộ định tuyến PE dành riêng. Trong

phương pháp này, khách hàng VPN chỉ truy nhập đến các tuyến trong bảng định tuyến

của bộ định tuyến PE dành riêng. Mỗi bộ định tuyến sử dụng các giao thức định tuyến



để tạo ra bảng định tuyến cho một VPN. Bảng định tuyến chỉ có các tuyến được quảng

bá bởi khách hàng VPN kết nối đến chúng, kết quả là tạo ra sự cách ly tuyệt đối giữa

các VPN.

Việc định tuyến trên bộ định tuyến dành riêng có thể được thực hiện như sau:

- Giao thức định tuyến giữa PE và CE là bất kì;

- Giao thức hoạt động giữa PE và PE là BGP;

- PE phân phối các tuyến nhận được từ CE vào BGP, đánh dấu với nhận dạng

ID của khách hàng rồi truyền các tuyến đến bộ định tuyến P, và bộ định

tuyến này sẽ có các tuyến từ tất cả các VPN khách hàng;

- Bộ định tuyến P chỉ truyền các tuyến thích hợp đến bộ định tuyến PE, do đó

PE chỉ nhận các tuyến từ bộ định tuyến CE trong VPN.

Phương pháp dùng chung bộ định tuyến rất khó duy trì vì nó yêu cầu phải có danh

sách truy nhập dài và phức tạp trên mỗi giao diện của bộ định tuyến. Còn trong

phương pháp dùng bộ định tuyến riêng, mặc dù có vẻ đơn giản về cấu hình và dễ duy

trì hơn nhưng nhà cung cấp dịch vụ phải bỏ ra chi phí lớn để đảm bảo phục vụ tốt cho

số lượng đông khách hàng.

Tất cả khách hàng dùng chung không gian địa chỉ IP, nên họ phải sử dụng hoặc là

địa chỉ thật trong mạng riêng của họ hoặc là phụ thuộc vào nhà cung cấp dịch vụ để có

được địa chỉ IP. Trong cả hai trường hợp, kết nối một khách hàng mới đến dịch vụ

VPN ngang hàng đòi hỏi phải đăng kí lại địa chỉ IP trong mạng khách hàng.

Hạn chế của mô hình VPN ngang hàng là nhà cung cấp dịch vụ phải đáp ứng được

định tuyến khách hàng cho đúng và đảm bảo việc hội tụ của mạng khách hàng khi có

lỗi liên kết. Ngoài ra, bộ định tuyến P của nhà cung cấp dịch vụ phải mang tất cả các

tuyến của khách hàng.

1.4 Phân loại VPN và ứng dụng

Mạng riêng ảo VPN cung cấp nhiều khả năng ứng dụng khác nhau. Yêu cầu cơ bản đối với VPN là phải điều khiển được quyền truy nhập của khách hàng, các nhà cung cấp dịch vụ cũng như các đối tượng bên ngoài khác. Dựa vào hình thức ứng dụng và những khả năng mà mạng riêng ảo mang lại, có thể phân chúng thành hai loại như sau:

- VPN truy nhập từ xa (Remote Access VPN);

- VPN điểm tới điểm (Site-to-Site VPN).

Trong đó mạng VPN điểm tới điểm lại được chia thành hai loại là:

- VPN cục bộ (Intranet VPN);

- VPN mở rộng (Extranet VPN).


MẠNG RIÊNG ẢO

1.4.1 VPN truy nhập từ xa

Các VPN truy nhập từ xa cung cấp khả năng truy nhập từ xa cho người sử dụng (hình 1.2). Tại mọi thời điểm, các nhân viên hay chi nhánh văn phòng di động có thể sử dụng các phần mềm VPN để truy nhập vào mạng của công ty thông qua gateway hoặc bộ tập trung VPN (bản chất là một server). Giải pháp này vì thế còn được gọi là giải pháp client/server. VPN truy nhập từ xa là kiểu VPN điển hình nhất, bởi vì chúng có thể được thiết lập vào bất kể thời điểm nào và từ bất cứ nơi nào có mạng Internet.

VPN truy nhập từ xa mở rộng mạng công ty tới những người sử dụng thông qua cơ sở hạ tầng chia sẻ chung, trong khi những chính sách mạng công ty vẫn duy trì. Chúng có thể dùng để cung cấp truy nhập an toàn cho những nhân viên thường xuyên phải đi lại, những chi nhánh hay những bạn hàng của công ty. Những kiểu VPN này được thực hiện thông qua cơ sở hạ tầng công cộng bằng cách sử dụng công nghệ ISDN, quay số, IP di động, DSL hay công nghệ cáp và thường yêu cầu một vài kiểu phần mềm client chạy trên máy tính của người sử dụng.

Một hướng phát triển khá mới trong VPN truy nhập từ xa là dùng VPN không dây (Wireless), trong đó một nhân viên có thể truy nhập về mạng của họ thông qua kết nối không dây. Trong thiết kế này, các kết nối không dây cần phải kết nối về một trạm không dây (Wireless Terminal) và sau đó về mạng của công ty. Trong cả hai trường hợp (có dây và không dây), phần mềm client trên máy PC đều cho phép khởi tạo các kết nối bảo mật, còn được gọi là đường hầm.

Một vấn đề quan trọng là việc thiết kế quá trình xác thực ban đầu để đảm bảo yêu cầu được xuất phát từ một nguồn tin cậy. Thường thì giai đoạn ban đầu này dựa trên cùng một chính sách về bảo mật của công ty. Chính sách này bao gồm một số qui trình kỹ thuật và các ứng dụng chủ, ví dụ như Remote Authentication Dial-In User Service (RADIUS), Terminal Access Controller Access Control System Plus (TACACS+), …

Hình 1.2 Mô hình VPN truy nhập từ xa

Các ưu điểm của VPN truy nhập từ xa so với các phương pháp truy nhập từ xa truyền thống là:



- VPN truy nhập từ xa không cần sự hỗ trợ của nhân viên mạng bởi vì quá trình kết nối từ xa được các ISP thực hiện;

- Giảm được các chi phí cho kết nối từ khoảng cách xa bởi vì các kết nối khoảng cách xa được thay thế bởi các kết nối cục bộ thông qua mạng Internet;

- Cung cấp dịch vụ kết nối giá rẻ cho những người sử dụng ở xa;

- Do kết nối truy nhập là nội bộ nên các modem kết nối hoạt động ở tốc độ cao hơn so với cách truy nhập khoảng cách xa;

- VPN cung cấp khả năng truy nhập tốt hơn đến các site của công ty bởi vì chúng hỗ trợ mức thấp nhất của dịch vụ kết nối.

Mặc dù có nhiều ưu điểm nhưng mạng VPN truy nhập từ xa vẫn còn những nhược điểm cố hữu đi cùng như:

- VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo QoS;

- Nguy cơ bị mất dữ liệu cao do các gói có thể phân phát không đến nơi hoặc bị mất;

- Do thuật toán mã hoá phức tạp nên tiêu đề giao thức tăng một cách đáng kể.

1.4.2 VPN điểm tới điểm

VPN điểm tới điểm (Site-to-Site hay LAN-to-LAN) là giải pháp kết nối các hệ thống mạng ở những nơi khác nhau với mạng trung tâm thông qua VPN. Trong tình huống này, quá trình xác thực ban đầu cho người sử dụng sẽ là quá trình xác thực giữa các thiết bị. Các thiết bị này hoạt động như Cổng an ninh (Security Gateway), truyền lưu lượng một cách an toàn từ Site này đến Site kia. Các thiết bị định tuyến hay tường lửa với hỗ trợ VPN đều có khả năng thực hiện kết nối này. Sự khác nhau giữa VPN truy nhập từ xa và VPN điểm tới điểm chỉ mang tính tượng trưng. Nhiều thiết bị VPN mới có thể hoạt động theo cả hai cách này.

VPN điểm tới điểm có thể được xem như một VPN cục bộ hoặc mở rộng xét từ quan điểm quản lý chính sách. Nếu hạ tầng mạng có chung một nguồn quản lý, nó có thể được xem như VPN cục bộ. Ngược lại, nó có thể được coi là mở rộng. Vấn đề truy nhập giữa các điểm phải được kiểm soát chặt chẽ bởi các thiết bị tương ứng.

1.4.2.1 VPN cục bộ

VPN cục bộ là một dạng cấu hình tiêu biểu của VPN điểm tới điểm, được sử dụng để bảo mật các kết nối giữa các địa điểm khác nhau của một công ty (hình 1.3). Nó liên kết trụ sở chính, các văn phòng, chi nhánh trên một cơ sở hạ tầng chung sử dụng các kết nối luôn được mã hoá bảo mật. Điều này cho phép tất cả các địa điểm có thể truy nhập an toàn các nguồn dữ liệu được phép trong toàn bộ mạng của công ty.


MẠNG RIÊNG ẢO

Hình 1.3 Mô hình VPN cục bộ

VPN cục bộ cung cấp những đặc tính của mạng WAN như khả năng mở rộng, tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phí thấp nhưng vẫn đảm bảo tính mềm dẻo. Những ưu điểm chính của giải pháp VPN cục bộ bao gồm:

- Các mạng cục bộ hay diện rộng có thể được thiết lập thông qua một hay nhiều nhà cung cấp dịch vụ;

- Giảm được số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi xa;

- Do kết nối trung gian được thực hiện thông qua Internet, nên nó có thể dễ dàng thiết lập thêm một liên kết ngang hàng mới;

- Tiết kiệm chi phí từ việc sử dụng đường hầm VPN thông qua Internet kết hợp với các công nghệ chuyển mạch tốc độ cao.

Tuy nhiên giải pháp mạng cục bộ dựa trên VPN cũng có những nhược điểm đi cùng như:

- Do dữ liệu được truyền “ngầm” qua mạng công cộng như Internet nên vẫn còn những mối đe dọa về mức độ bảo mật dữ liệu và chất lượng dịch vụ (QoS);

- Khả năng các gói dữ liệu bị mất trong khi truyền dẫn vẫn còn khá cao;

- Trường hợp cần truyền khối lượng lớn dữ liệu như đa phương tiện với yêu cầu tốc độ cao và đảm bảo thời gian thực là thách thức lớn trong môi trường Internet.

1.4.2.2 VPN mở rộng

VPN mở rộng được cấu hình như một VPN điểm tới điểm, cung cấp đường hầm bảo mật giữa các khách hàng, nhà cung cấp và đối tác thông qua một cơ sở hạ tầng mạng công cộng (hình 1.4). Kiểu VPN này sử dụng các kết nối luôn được bảo mật và nó không bị cô lập với thế giới bên ngoài như các trường hợp VPN cục bộ hay truy nhập từ xa.



Hình 1.4 Mô hình VPN mở rộng

Giải pháp VPN mở rộng cung cấp khả năng điều khiển truy nhập tới những nguồn tài nguyên mạng cần thiết để mở rộng tới những đối tượng kinh doanh. Sự khác nhau giữa VPN cục bộ và VPN mở rộng là sự truy nhập mạng được công nhận ở một trong hai đầu cuối của VPN.

Những ưu điểm chính của mạng VPN mở rộng bao gồm:

- Chi phí cho VPN mở rộng thấp hơn nhiều so với các giải pháp kết nối khác để cùng đạt được một mục đích như vậy;

- Dễ dàng thiết lập, bảo trì và thay đổi đối với mạng đang hoạt động;

- Do VPN mở rộng được xây dựng dựa trên mạng Internet nên có nhiều cơ hội trong việc cung cấp dịch vụ và chọn lựa giải pháp phù hợp với các nhu cầu của từng công ty;

- Các kết nối Internet được nhà cung cấp dịch vụ Internet bảo trì nên có thể giảm được số lượng nhân viên kỹ thuật hỗ trợ mạng, và do vậy giảm được chi phí vận hành của toàn mạng.

Bên cạnh những ưu điểm trên, giải pháp VPN mở rộng cũng còn những nhược điểm đi cùng như:

- Vấn đề bảo mật thông tin gặp khó khăn hơn trong môi trường mở rộng như vậy, và điều này làm tăng nguy cơ rủi ro đối với mạng cục bộ của công ty;

- Khả năng mất dữ liệu trong khi truyền qua mạng công cộng vẫn tồn tại;

- Việc truyền khối lượng lớn dữ liệu với yêu cầu tốc độ cao và thời gian thực vẫn còn là một thách thức lớn cần giải quyết.

1.4.3 Ứng dụng VPN

Cả VPN truy nhập từ xa và VPN điểm tới điểm đều cung cấp giải pháp để xây dựng mạng riêng ảo cho doanh nghiệp. Các công ty có thể mở rộng mạng ra những nơi mà trước đây không thể mở rộng. Trong nhiều ứng dụng, VPN cho phép tiết kiệm chi phí một cách đáng kể. Thay vì cần nhiều kết nối đến cùng trụ sở chính, giải pháp VPN


MẠNG RIÊNG ẢO

tích hợp lưu lượng vào một kết nối duy nhất, tạo ra cơ hội để giảm chi phí cả bên trong và bên ngoài doanh nghiệp.

Mạng Internet hiện nay là một hạ tầng tốt, cho phép doanh nghiệp thay đổi mạng của họ theo nhiều chiều hướng. Đối với các công ty lớn có thể dễ dàng nhận thấy rằng các kết nối WAN qua kênh thuê riêng là rất tốn kém và đang dần được thay thế bởi kết nối VPN. Đối với dịch vụ truy nhập từ xa, thay vì dùng các đường kết nối tốc độ chậm hoặc các dịch vụ kênh thuê riêng đắt tiền, người sử dụng bây giờ đã có thể được cung cấp các dịch vụ truy nhập tốc độ cao với giá thành rẻ. Ngoài ra, những người dùng cơ động cũng có thể tận dụng các kết nối tốc độ cao Ethernet trong các khách sạn, sân bay hay nơi công cộng để phục vụ cho công việc của mình một cách hiệu quả. Chỉ riêng yếu tố cắt giảm chi phí cuộc gọi đường dài trong trường hợp này cũng đã là một lý do rất thuyết phục để sử dụng VPN.

Một trong những lợi ích khác của VPN là giúp các công ty có thể triển khai nhiều ứng dụng mới trên nền thương mại điện tử (e-Commerce) một cách nhanh chóng. Tuy nhiên, trong trường hợp này một vài yếu tố cũng cần phải được xem xét một cách cẩn thận. Các trở ngại chính của Internet là bảo mật, chất lượng dịch vụ, độ tin cậy và khả năng quản lý.

1.5 Kết chương

VPN được định nghĩa như là mạng kết nối các site khách hàng đảm bảo an ninh trên cơ sở hạ tầng mạng chung cùng với các chính sách điều khiển truy nhập và bảo mật như một mạng riêng. Tuy được xây dựng trên cơ sở hạ tầng sẵn có của mạng công cộng nhưng VPN lại có được các tính chất của một mạng cục bộ như khi sử dụng các đường kênh thuê riêng. Nó cho phép nối liền các chi nhánh của một công ty cũng như là với các đối tác, cung cấp khả năng điều khiển quyền truy nhập của khách hàng, các nhà cung cấp dịch vụ hoặc các đối tượng bên ngoài khác.

Khả năng ứng dụng của VPN là rất lớn. Theo như dự đoán của nhiều hãng trên thế giới thì VPN sẽ là dịch vụ phát triển mạnh trong tương lai. Do đó, việc tiếp cận và làm quen với công nghệ mới này rõ ràng là vô cùng cần thiết. Chương này đã trình bày những khái niệm cơ bản về VPN, các chức năng và đặc điểm của VPN, các mô hình xây dựng VPN cũng như là phân loại VPN theo hình thức và phạm vi ứng dụng của chúng. Những nội dung được đề cập chỉ mang tính khái quát nhằm giúp người đọc có được cái nhìn tổng quan về VPN. Các vấn đề kĩ thuật liên quan đến việc thực hiện VPN sẽ được trình bày trong các chương sau.


CHƯƠNG 2

CÁC GIAO THỨC ĐƯỜNG HẦM

Có thể nói đường hầm là một trong những khái niệm nền tảng của VPN. Giao thức đường hầm thực hiện việc đóng gói dữ liệu với các phần tiêu đề tương ứng để truyền qua Internet. Trong chương này giới thiệu về các giao thức đường hầm phổ biến đang tồn tại và sử dụng cho IP-VPN, bao gồm L2F, PPTP và L2TP. Riêng giao thức IPSec sẽ được trình bày chi tiết trong chương 3 cùng với những đặc điểm kĩ thuật liên quan trực tiếp đến việc thực hiện IP-VPN.


Giới thiệu các giao thức đường hầm

Giao thức chuyển tiếp lớp 2 – L2F

Giao thức đường hầm điểm tới điểm – PPTP

Giao thức đường hầm lớp 2 – L2TP


MẠNG RIÊNG ẢO

2.1 Giới thiệu các giao thức đường hầm

Các giao thức đường hầm là nền tảng của công nghệ VPN. Có nhiều giao thức đường hầm khác nhau, và việc sử dụng giao thức nào liên quan đến các phương pháp xác thực và mật mã đi kèm. Các giao thức đường hầm phổ biến hiện nay là:

Giao thức chuyển tiếp lớp 2 (L2F – Layer Two Forwarding);

Giao thức đường hầm điểm tới điểm (PPTP – Point to Point Tunneling

Protocol);

Giao thức đường hầm lớp 2 (L2TP – Layer Two Tunneling Protocol);

Giao thức bảo mật IP (IPSec – Internet Protocol Security).

L2F và PPTP đều được phát triển dựa trên giao thức PPP (Point to Point Protocol). PPP là một giao thức truyền thông nối tiếp lớp 2, có thể sử dụng để đóng gói dữ liệu liên mạng IP và hỗ trợ đa giao thức lớp trên. Giao thức L2F do Cisco phát triển độc lập, còn PPTP là do nhiều công ty hợp tác phát triển. Trên cơ sở L2F và PPTP, IETF đã phát triển giao thức đường hầm L2TP. Hiện nay các giao thức PPTP và L2TP được sử dụng phổ biến hơn L2F.

Trong các giao thức đường hầm nói trên, IPSec là giải pháp tối ưu về mặt an ninh dữ liệu. Nó hỗ trợ các phương pháp xác thực và mật mã mạnh nhất. Ngoài ra, IPSec còn có tính linh hoạt cao, không bị ràng buộc bởi bất cứ thuật toán xác thực hay mật mã nào. IPSec có thể sử dụng đồng thời cùng với các giao thức đường hầm khác để tăng tính an toàn cho hệ thống.

Mặc dù có những ưu điểm vượt trội so với các giao thức đường hầm khác về khả năng đảm bảo an ninh dữ liệu, IPSec cũng có một số nhược điểm. Thứ nhất, IPSec là một khung tiêu chuẩn mới và còn đang được tiếp tục phát triển, do đó số lượng các nhà cung cấp sản phẩm hỗ trợ IPSec chưa nhiều. Thứ hai, để tận dụng khả năng đảm bảo an ninh dữ liệu của IPSec thì cần phải sử dụng một cơ sở hạ tầng khóa công khai PKI (Public Key Infrastructure) phức tạp để giải quyết các vấn đề như chứng thực số hay chữ ký số.

Khác với IPSec, các giao thức PPTP và L2TP là các chuẩn đã được hoàn thiện, nên sản phẩm hỗ trợ chúng tương đối phổ biến. PPTP có thể triển khai với một hệ thống mật khẩu đơn giản mà không cần sử dụng PKI. Ngoài ra, PPTP và L2TP còn có một số ưu điểm khác so với IPSec như khả năng hỗ trợ đa giao thức lớp trên. Vì vậy, trong khi IPSec còn đang hoàn thiện thì PPTP và L2TP vẫn được sử dụng rộng rãi. Cụ thể là PPTP và L2TP thường được sử dụng trong các ứng dụng truy nhập từ xa.

1.6 Giao thức chuyển tiếp lớp 2 – L2F

Giao thức L2F được phát triển sớm nhất, là phương pháp truyền thống để cho những người sử dụng ở xa truy nhập vào một mạng công ty thông qua thiết bị truy


CHƯƠNG 2 - CÁC GIAO THỨC ĐƯỜNG HẦM

nhập từ xa. L2F cung cấp giải pháp cho dịch vụ quay số ảo bằng cách thiết lập một đường hầm bảo mật thông qua cơ sở hạ tầng công cộng như Internet. Nó cho phép đóng gói các gói PPP trong khuôn dạng L2F và định đường hầm ở lớp liên kết dữ liệu.

1.6.1 Cấu trúc gói L2F

Khuôn dạng gói tin L2F có cấu trúc như trên hình 2.1.

1bit 1bit 1bit 1bit 8bit 1bit 3bit 8bit 8bit

F K P S Reserved C Version Protocol Sequence

Multiplex ID Client ID

Length Offset

Key

Data

Checksum

Hình 2.1 Khuôn dạng gói của L2F

Ý nghĩa các trường trong gói L2F như sau:

- F: chỉ định trường “Offset” có mặt;

- K: chỉ định trường “Key” có mặt;

- P (Priority): thiết lập ưu tiên cho gói;

- S: chỉ định trường “Sequence” có mặt;

- Reserved: luôn được đặt là 00000000;

- Version: phiên bản của L2F dùng để tạo gói;

- Protocol: xác định giao thức đóng gói L2F;

- Sequence: số chuỗi được đưa ra nếu trong tiêu đề L2F bit S bằng 1.

- Multiplex ID: nhận dạng một kết nối riêng trong một đường hầm (tunnel);

- Client ID: giúp tách đường hầm tại những điểm cuối;

- Length: chiều dài của gói (tính bằng byte) không bao gồm phần checksum;

- Offset: xác định số byte cách tiêu đề L2F, tại đó dữ liệu tải tin được bắt đầu. Trường này có mặt khi bit F bằng 1;

- Key: là một phần của quá trình xác thực (có mặt khi bit K bằng 1);

- Checksum: tổng kiểm tra của gói (có mặt khi bit C bằng 1).

1.6.2 Hoạt động của L2F

L2F đóng gói những gói tin lớp 2 (trong trường hợp này là PPP), sau đó truyền chúng xuyên qua mạng. Hệ thống sử dụng L2F gồm các thành phần sau (hình 2.2):


MẠNG RIÊNG ẢO

- Máy chủ truy nhập mạng NAS (Network Access Server): hướng lưu lượng đến và đi giữa máy khách ở xa (Remote Client) và Home Gateway. Một hệ thống ERX có thể hoạt động như NAS.

- Đường hầm (Tunnel): định hướng đường đi giữa NAS và Home Gateway. Một đường hầm gồm một số kết nối.

- Home Gateway: ngang hàng với NAS, là phần tử cửa ngõ thuộc mạng riêng.

- Kết nối (Connection): là một kết nối PPP trong đường hầm. Trong CLI, một kết nối L2F được xem như là một phiên.

- Điểm đích (Destination): là điểm kết thúc ở đầu xa của đường hầm. Trong trường hợp này thì Home Gateway là điểm đích.

Hình 2.2 Mô hình hệ thống sử dụng L2F

Các hoạt động của L2F bao gồm: thiết lập kết nối, đường hầm và phiên làm việc. Các bước thực hiện cụ thể như sau:

1) Một người sử dụng ở xa quay số tới hệ thống NAS và khởi đầu một kết nối PPP tới ISP.

2) Hệ thống NAS và máy khách trao đổi các gói giao thức điều khiển liên kết LCP (Link Control Protocol).

3) NAS sử dụng cơ sở dữ liệu cục bộ liên quan tới tên miền (domain name) hay xác thực RADIUS để quyết định xem người sử dụng có hay không yêu cầu dịch vụ L2F.

4) Nếu người sử dụng yêu cầu L2F thì quá trình tiếp tục, NAS thu nhận địa chỉ của Gateway đích (Home Gateway).

5) Một đường hầm được thiết lập từ NAS tới Gateway đích nếu giữa chúng chưa có đường hầm nào. Sự thành lập đường hầm bao gồm giai đoạn xác thực từ ISP tới Gateway đích để chống lại tấn công bởi những kẻ thứ ba.

6) Một kết nối PPP mới được tạo ra trong đường hầm, điều này có tác động kéo dài phiên PPP từ người sử dụng ở xa tới Home Gateway. Kết nối này



được thiết lập như sau: Home Gateway tiếp nhận các lựa chọn và tất cả thông tin xác thực PAP/CHAP như đã thoả thuận bởi đầu cuối người sử dụng và NAS. Home Gateway chấp nhận kết nối hay thoả thuận lại LCP và xác thực lại người sử dụng.

7) Khi NAS tiếp nhận lưu lượng dữ liệu từ người sử dụng, nó đóng gói lưu lượng vào trong các khung L2F và hướng chúng vào trong đường hầm.

8) Tại Home Gateway khung L2F được tách bỏ, và dữ liệu đóng gói được hướng tới mạng công ty.

Khi hệ thống đã thiết lập điểm đích, đường hầm và những phiên kết nối, ta phải điều khiển và quản lý lưu lượng L2F như sau:

- Ngăn cản tạo những điểm đích, đường hầm và phiên mới.

- Đóng và mở lại tất cả hay chọn lựa những điểm đích, đường hầm và phiên.

- Có khả năng kiểm tra tổng UDP.

- Thiết lập thời gian rỗi cho hệ thống và lưu giữ cơ sở dữ liệu vào của các đường hầm và kết nối.

Sự thay đổi một điểm đích làm ảnh hưởng tới tất cả những đường hầm và phiên tới điểm đích đó. Sự thay đổi một đường hầm làm ảnh hưởng tới tất cả các phiên trong đường hầm đó. Ví dụ, sự kết thúc ở điểm đích đóng tất cả các đường hầm và phiên tới điểm đích đó.

L2F cung cấp một số lệnh để thực hiện các chức năng của nó, ví dụ:

- L2F checksum: để kiểm tra sự toàn vẹn dữ liệu trong các khung L2F sử dụng kiểm tra tổng UDP, ví dụ host 1(config)#l2f checksum

- L2F destruct-timeout: để thiết lập thời gian rỗi, giá trị thiết lập trong dải 10 – 3600 giây, ví dụ host1 (config)#l2f destruct-timeout 1200

1.6.3 Ưu nhược điểm của L2F

Giao thức L2F có các ưu điểm sau đây:

- Cho phép thiết lập đường hầm đa giao thức;

- Được hỗ trợ bởi nhiều nhà cung cấp.

Các nhược điểm chính của L2F là:

- Không có mã hoá;

- Hạn chế trong việc xác thực người dùng;

- Không có điều khiển luồng cho đường hầm.


MẠNG RIÊNG ẢO

1.7 Giao thức đường hầm điểm tới điểm – PPTP

Giao thức đường hầm điểm tới điểm được đưa ra đầu tiên bởi một nhóm các công ty được gọi là PPTP Forum. Ý tưởng cơ sở của giao thức này là tách các chức năng chung và riêng của truy nhập từ xa, lợi dụng cơ sở hạ tầng Internet sẵn có để tạo kết nối bảo mật giữa người dùng ở xa (client) và mạng riêng. Người dùng ở xa chỉ việc quay số tới nhà cung cấp dịch vụ Internet địa phương là có thể tạo đường hầm bảo mật tới mạng riêng của họ.

Giao thức PPTP được xây dựng dựa trên chức năng của PPP, cung cấp khả năng quay số truy nhập tạo ra một đường hầm bảo mật thông qua Internet đến site đích. PPTP sử dụng giao thức đóng gói định tuyến chung GRE được mô tả lại để đóng và tách gói PPP. Giao thức này cho phép PPTP mềm dẻo xử lý các giao thức khác không phải IP như IPX, NETBEUI.

1.7.1 Khái quát về hoạt động của PPTP

PPP đã trở thành giao thức truy nhập vào Internet và các mạng IP rất phổ biến hiện nay. Làm việc ở lớp liên kết dữ liệu trong mô hình OSI, PPP bao gồm các phương thức đóng, tách gói cho các loại gói dữ liệu khác nhau để truyền nối tiếp. PPP có thể đóng các gói IP, IPX, NETBEUI và truyền đi trên kết nối điểm-điểm từ máy gửi đến máy nhận.

PPTP đóng gói các khung dữ liệu của giao thực PPP vào các IP datagram để truyền qua mạng IP (Internet hoặc Intranet). PPTP dùng một kết nối TCP (gọi là kết nối điều khiển PPTP) để khởi tạo, duy trì, kết thúc đường hầm, và một phiên bản của giao thức GRE để đóng gói các khung PPP. Phần tải tin của khung PPP có thể được mật mã và/hoặc nén.

PPTP sử dụng PPP để thực hiện các chức năng:

- Thiết lập và kết thúc kết nối vật lý.

- Xác thực người dùng.

- Tạo các gói dữ liệu PPP.

PPTP giả định tồn tại một mạng IP giữa PPTP client (VPN client sử dụng PPTP) và PPTP server (VPN server sử dụng PPTP). PPTP client có thể được nối trực tiếp qua việc quay số tới máy chủ truy nhập mạng NAS để thiết lập kết nối IP. Khi một kết nối PPP được thiết lập thì người dùng thường đã được xác thực. Đây là giai đoạn tuỳ chọn trong PPP, tuy nhiên nó luôn luôn được cung cấp bởi các ISP.

Việc xác thực trong quá trình thiết lập kết nối dựa trên PPTP sử dụng các cơ chế xác thực của kết nối PPP. Các cơ chế xác thực đó có thể là:

- EAP (Extensible Authentication Protocol) – giao thức xác thực mở rộng;



- CHAP (Challenge Handshake Authentication Protocol) – giao thức xác thực đòi hỏi bắt tay;

- PAP (Password Authentication Protocol) – giao thức xác thực mật khẩu.

Với PAP mật khẩu được gửi qua kết nối dưới dạng văn bản đơn giản và không có bảo mật. CHAP là một giao thức xác thực mạnh hơn, sử dụng phương thức bắt tay ba chiều. CHAP chống lại các vụ tấn công quay lại bằng cách sử dụng các giá trị thách đố (Challenge Value) duy nhất và không thể đoán trước được.

PPTP cũng thừa hưởng việc mật mã và/hoặc nén phần tải tin của PPP. Để mật mã phần tải tin PPP có thể sử dụng phương thức mã hoá điểm tới điểm MPPE (Microsoft Point to Point Encryption). MPPE chỉ cung cấp mật mã mức truyền dẫn, không cung cấp mật mã đầu cuối đến đầu cuối. Nếu cần sử dụng mật mã đầu cuối đến đầu cuối thì có thể sử dụng IPSec để mật mã lưu lượng IP giữa các đầu cuối sau khi đường hầm PPTP đã được thiết lập.

Sau khi PPP thiết lập kết nối, PPTP sử dụng các quy luật đóng gói của PPP để đóng các gói truyền trong đường hầm. Để tận dụng ưu điểm của kết nối tạo ra bởi PPP, PPTP định nghĩa hai loại gói là điều khiển và dữ liệu, sau đó gán chúng vào hai kênh riêng là kênh điều khiển và kênh dữ liệu. PPTP phân tách các kênh điều khiển và kênh và kênh dữ liệu thành luồng điều khiển với giao thức TCP và luồng dữ liệu với giao thức IP. Kết nối TCP tạo giữa máy trạm PPTP (client) và máy chủ PPTP (server) được sử dụng để trưyền thông báo điều khiển.

Các gói dữ liệu là dữ liệu thông thường của người dùng. Các gói điều khiển được gửi theo chu kỳ để lấy thông tin về trạng thái kết nối và quản lý báo hiệu giữa ứng dụng khách PPTP và máy chủ PPTP. Các gói điều khiển cũng được dùng để gửi các thông tin quản lý thiết bị, thông tin cấu hình giữa hai đầu đường hầm.

Kênh điều khiển được yêu cầu cho việc thiết lập một đường hầm giữa máy trạm và máy chủ PPTP. Máy chủ PPTP là một server sử dụng giao thức PPTP với một giao diện nối với Internet và một giao diện khác nối với Intranet, còn phần mềm client có thể nằm ở máy người dùng từ xa hoặc tại máy chủ của ISP.

1.7.2 Duy trì đường hầm bằng kết nối điều khiển PPTP

Kết nối điều khiển PPTP là kết nối giữa địa chỉ IP của máy trạm PPTP (có cổng TCP được cấp phát động) và địa chỉ IP của máy chủ PPTP (sử dụng cổng TCP dành riêng 1723). Kết nối điều khiển PPTP mang các bản tin điều khiển và quản lí được sử dụng để duy trì đường hầm PPTP. Các bản tin này bao gồm PPTP Echo-Request và PPTP Echo-Reply định kỳ để phát hiện các lỗi kết nối giữa máy trạm và máy chủ PPTP. Các gói của kết nối điều khiển PPTP bao gồm tiêu đề IP, tiêu đề TCP, bản tin điều khiển PPTP và tiêu đề, phần đuôi của lớp liên kết dữ liệu (hình 2.3).


MẠNG RIÊNG ẢO

Hình 2.3 Gói dữ liệu kết nối điều khiển PPTP

1.7.3 Đóng gói dữ liệu đường hầm PPTP

Đóng gói khung PPP và GRE

Dữ liệu đường hầm PPTP được đóng gói thông qua nhiều mức. Hình 2.4 là cấu trúc dữ liệu đã được đóng gói.

Hình 2.4 Đóng gói dữ liệu đường hầm PPTP

Phần tải của khung PPP ban đầu được mật mã và đóng gói với tiêu đề PPP để tạo ra khung PPP. Khung PPP sau đó được đóng gói với phần tiêu đề của phiên bản giao thức GRE sửa đổi.

GRE là giao thức đóng gói chung, cung cấp cơ chế đóng gói dữ liệu để định tuyến qua mạng IP. Đối với PPTP, phần tiêu đề của GRE được sửa đổi một số điểm như sau:

- Một trường xác nhận dài 32 bit được thêm vào.

- Một bit xác nhận được sử dụng để chỉ định sự có mặt của trường xác nhận 32 bit.

- Trường Key được thay thế bằng trường độ dài Payload 16 bit và trường chỉ số cuộc gọi 16 bit. Trường chỉ số cuộc gọi được thiết lập bởi máy trạm PPTP trong quá trình khởi tạo đường hầm PPTP.

Đóng gói IP

Phẩn tải PPP (đã được mật mã) và các tiêu đề GRE sau đó được đóng gói với một tiêu đề IP chứa các thông tin địa chỉ nguồn và đích thích hợp cho máy trạm và máy chủ PPTP.

Đóng gói lớp liên kết dữ liệu

Để có thể truyền qua mạng LAN hoặc WAN, gói IP cuối cùng sẽ được đóng gói với một tiêu đề và phần đuôi của lớp liên kết dữ liệu ở giao diện vật lý đầu ra. Ví dụ, nếu gói IP được gửi qua giao diện Ethernet, nó sẽ được gói với phần tiêu đề và đuôi Ethernet. Nếu gói IP được gửi qua đường truyền WAN điểm tới điểm (như đường điện thoại tương tự hoặc ISDN), nó sẽ được đóng gói với phần tiêu đề và đuôi của giao thức PPP.



Sơ đồ đóng gói

Hình 2.5 là ví dụ sơ đồ đóng gói PPTP từ một máy trạm qua kết nối truy nhập VPN từ xa sử dụng modem tương tự.

Hình 2.5 Sơ đồ đóng gói PPTP

Quá trình đóng gói được mô tả cụ thể như sau:

- Các gói IP, IPX hoặc khung NetBEUI được đưa tới giao diện ảo đại diện cho kết nối VPN bằng giao thức tương ứng sử dụng NDIS (Network Driver Interface Specification).

- NDIS đưa gói dữ liệu tới NDISWAN, nơi thực hiện mật mã, nén dữ liệu và cung cấp tiêu đề PPP. Phần tiêu đề PPP này chỉ gồm trường mã số giao thức PPP (PPP Protocol ID Field), không có các trường Flags và FCS (Frame Check Sequence). Giả định trường địa chỉ và điều khiển đã được thỏa thuận ở giao thức điều khiển đường truyền LCP (Link Control Protocol) trong quá trình kết nối PPP.

- NDISWAN gửi dữ liệu tới giao thức PPTP, nơi đóng gói khung PPP với phần tiêu đề GRE. Trong tiêu đề GRE, trường chỉ số cuộc gọi được đặt giá trị thích hợp để xác định đường hầm.

- Giao thức PPTP sau đó sẽ gửi gói vừa hình thành tới TCP/IP.

- TCP/IP đóng gói dữ liệu đường hầm PPTP với phần tiêu đề IP, sau đó gửi kết quả tới giao diện đại diện cho kết nối quay số tới ISP cục bộ sử dụng NDIS.

- NDIS gửi gói tin tới NDISWAN, nơi cung cấp các phần tiêu đề và đuôi PPP.

- NDISWAN gửi khung PPP kết quả tới cổng WAN tương ứng đại diện cho phần cứng quay số (ví dụ, cổng không đồng bộ cho kết nối modem).


MẠNG RIÊNG ẢO

1.7.4 Xử lí dữ liệu tại đầu cuối đường hầm PPTP

Khi nhận được dữ liệu đường hầm PPTP, máy trạm và máy chủ PPTP sẽ thực hiện các bước sau:

- Xử lý và loại bỏ phần tiêu đề và đuôi của lớp liên kết dữ liệu;

- Xử lý và loại bỏ tiêu đề IP;

- Xử lý và loại bỏ tiêu đề GRE và PPP;

- Giải mã và/hoặc giải nén phần tải PPP (nếu cần thiết);

- Xử lý phần tải tin để nhận hoặc chuyển tiếp.

1.7.5 Triển khai VPN dựa trên PPTP

Để triển khai VPN dựa trên giao thức PPTP yêu cầu hệ thống tối thiểu phải có các thành phần thiết bị như chỉ ra trên hình 2.6, cụ thể bao gồm:

- Một máy chủ truy nhập mạng dùng cho phương thức quay số truy nhập bảo mật vào VPN;

- Một máy chủ PPTP;

- Máy trạm PPTP với phần mềm client cần thiết.

Hình 2.6 Các thành phần của hệ thống cung cấp VPN dựa trên PPTP

Các máy chủ PPTP có thể đặt tại mạng của công ty và do nhân viên trong công ty quản lý.

Máy chủ PPTP

Máy chủ PPTP thực hiện hai chức năng chính: đóng vai trò là điểm kết nối của đường hầm PPTP và chuyển các gói đến từ đường hầm tới mạng LAN riêng. Máy chủ PPTP chuyển các gói đến máy đích bằng cách xử lý gói PPTP để có được địa chỉ mạng của máy tính đích. Máy chủ PPTP cũng có khả năng lọc gói. Bằng cách sử dụng cơ



chế lọc gói PPTP máy chủ có thể ngăn cấm, chỉ cho phép truy nhập vào Internet, mạng riêng hay cả hai.

Thiết lập máy chủ PPTP tại site mạng có một hạn chế nếu như máy chủ PPTP nằm sau tường lửa. PPTP được thiết kế sao cho chỉ có một cổng TCP 1723 được sử dụng để chuyển dữ liệu đi. Sự khiếm khuyết của cấu hình cổng này có thể làm cho tường lửa dễ bị tấn công hơn. Nếu như tường lửa được cấu hình để lọc gói thì phải thiết lập nó cho phép GRE đi qua.

Một thiết bị khác được khởi xướng năm 1998 bởi hãng 3Com có chức năng tương tự máy chủ PPTP gọi là chuyển mạch đường hầm. Mục đích của chuyển mạch đường hầm là mở rộng đường hầm từ một mạng đến một mạng khác, trải rộng đường hầm từ mạng của ISP đến mạng riêng. Chuyển mạch đường hầm có thể được sử dụng tại tường lửa làm tăng khả năng quản lý truy nhập từ xa vào tài nguyên của mạng nội bộ. Nó có thể kiểm tra các gói đến và về, giao thức của các khung PPP hoặc tên của người dùng từ xa.

Phần mềm client PPTP

Nếu như các thiết bị của ISP đã hỗ trợ PPTP thì không cần phần cứng hay phần mềm bổ sung nào cho các máy trạm, chỉ cần một kết nối PPP chuẩn. Nếu như các thiết bị của ISP không hỗ trợ PPTP thì một phần mềm ứng dụng client vẫn có thể tạo kết nối bảo mật bằng cách đầu tiên quay số kết nối tới ISP bằng PPP, sau đó quay số một lần nữa thông qua cổng PPTP ảo được thiết lập ở máy trạm.

Phần mềm client PPTP đã có sẵn trong Windows 9x, NT và các hệ điều hành sau này. Khi chọn client PPTP cần phải so sánh các chức năng của nó với máy chủ PPTP đã có. Không phải tất cả các phần mềm client PPTP đều hỗ trợ MS-CHAP, nếu thiếu công cụ này thì không thể tận dụng được ưu điểm mã hoá trong RRAS.

Máy chủ truy nhập mạng

Máy chủ truy nhập mạng NAS còn có tên gọi khác là máy chủ truy nhập từ xa (Remote Access Server) hay bộ tập trung truy nhập (Access Concentrator). NAS cung cấp khả năng truy nhập đường dây dựa trên phần mềm, có khả năng tính cước và có khả năng chịu đựng lỗi tại ISP POP. NAS của ISP được thiết kế cho phép một số lượng lớn người dùng có thể quay số truy nhập vào cùng một lúc.

Nếu một ISP cung cấp dịch vụ PPTP thì cần phải cài một NAS cho phép PPTP để hỗ trợ các client chạy trên các nền khác nhau như Unix, Windows, Macintosh, v.v. Trong truờng hợp này, máy chủ ISP đóng vai trò như một client PPTP kết nối với máy chủ PPTP tại mạng riêng và máy chủ ISP trở thành một điểm cuối của đường hầm, điểm cuối còn lại là máy chủ tại đầu mạng riêng.

1.7.6 Ưu nhược điểm và khả năng ứng dụng của PPTP


MẠNG RIÊNG ẢO

Ưu điểm của PPTP là được thiết kế để hoạt động ở lớp 2 (liên kết dữ liệu) trong khi IPSec chạy ở lớp 3 của mô hình OSI. Bằng cách hỗ trợ việc truyền dữ liệu ở lớp 2, PPTP có thể truyền trong đường hầm bằng các giao thức khác IP trong khi IPSec chỉ có thể truyền các gói IP trong đường hầm.

Tuy nhiên, PPTP là một giải pháp tạm thời vì hầu hết các nhà cung cấp đều có kế hoạch thay thế PPTP bằng L2TP khi mà giao thức này đã được chuẩn hoá. PPTP thích hợp cho quay số truy nhập với số lượng người dùng giới hạn hơn là cho VPN kết nối LAN-LAN. Một vấn đề của PPTP là xử lý xác thực người dùng thông qua Windows NT hay thông qua RADIUS. Máy chủ PPTP cũng quá tải với một số lượng người dùng quay số truy nhập hay một lưu lượng lớn dữ liệu trưyền qua, mà điều này là một yêu cầu của kết nối LAN-LAN.

Khi sử dụng VPN dựa trên PPTP mà có hỗ trợ thiết bị của ISP thì một số quyền quản lý phải chia sẻ cho ISP. Tính bảo mật của PPTP không mạnh bằng IPSec. Tuy nhiên, quản ý bảo mật trong PPTP lại đơn giản hơn.

1.8 Giao thức đường hầm lớp 2 – L2TP

1.8.1 Khái quát về hoạt động của L2TP

Để tránh việc hai giao thức đường hầm không tương thích cùng tồn tại gây khó khăn cho người sử dụng, IETF đã kết hợp hai giao thức L2F và PPTP và phát triển thành L2TP. L2TP được xây dựng trên cơ sở tận dụng các ưu điểm của cả PPTP và L2F, đồng thời có thể sử dụng được trong tất cả các trường hợp ứng dụng của hai giao thức này. L2TP được mô tả trong khuyến nghị RFC 2661.

Một đường hầm L2TP có thể khởi tạo từ một PC ở xa quay về L2TP Network Server (LNS) hay từ L2TP Access Concentrator (LAC) về LNS. Mặc dù L2TP vẫn dùng PPP, nó định nghĩa cơ chế tạo đường hầm của riêng nó, tùy thuộc vào phương tiện truyền chứ không dùng GRE.

L2TP đóng gói các khung PPP để truyền qua mạng IP, X.25, Frame Relay hoặc ATM. Tuy nhiên, hiện nay mới chỉ có L2TP trên mạng IP được định nghĩa. Khi truyền qua mạng IP, các khung L2TP được đóng gói như các bản tin UDP. L2TP có thể được sử dụng như một giao thức đường hầm thông qua Internet hoặc các mạng riêng Intranet. L2TP dùng các bản tin UDP qua mạng IP cho các dữ liệu đường hầm cũng như các dữ liệu duy trì đường hầm. Phần tải của khung PPP đã đóng gói có thể được mật mã và nén. Mật mã trong các kết nối L2TP thường được thực hiện bởi IPSec ESP (chứ không phải MPPE như đối với PPTP). Cũng có thể tạo kết nối L2TP không sử dụng mật mã IPSec. Tuy nhiên, đây không phải là kết nối IP-VPN vì dữ liệu riêng được đóng gói bởi L2TP không được mật mã. Các kết nối L2TP không mật mã có thể sử dụng tạm thời để sửa các lỗi kết nối L2TP dùng IPSec.

L2TP giả định tồn tại mạng IP giữa máy trạm (VPN client dùng giao thức đường hầm L2TP và IPSec) và máy chủ L2TP. Máy trạm L2TP có thể được nối trực tiếp với



mạng IP để truy nhập tới máy chủ L2TP hoặc gián tiếp thông qua việc quay số tới máy chủ truy nhập mạng NAS để thiết lập kết nối IP. Việc xác thực trong quá trình hình thành đường hầm L2TP phải sử dụng các cơ chế xác thực trong kết nối PPP như EAP, MS-CHAP, CHAP, PAP. Máy chủ L2TP là máy chủ IP-VPN sử dụng giao thức L2TP với một giao diện nối với Internet và một giao diện khác nối với mạng Intranet.

L2TP có thể dùng hai kiểu bản tin là điều khiển và dữ liệu. Các bản tin điều khiển chịu trách nhiệm thiết lập, duy trì và hủy các đường hầm. Các bản tin dữ liệu đóng gói các khung PPP được chuyển trên đường hầm. Các bản tin điều khiển dùng cơ chế điều khiển tin cậy bên trong L2TP để đảm bảo việc phân phối, trong khi các bản tin dữ liệu không được gửi lại khi bị mất trên đường truyền.

1.8.2 Duy trì đường hầm bằng bản tin điều khiển L2TP

Không giống PPTP, việc duy trì đường hầm L2TP không được thực hiện thông qua một kết nối TCP riêng biệt. Các lưu lượng điều khiển và duy trì cuộc gọi được gửi đi như các bản tin UDP giữa máy trạm và máy chủ L2TP (đều sử dụng cổng UDP 1701).

Các bản tin điều khiển L2TP qua mạng IP được gửi như các gói UDP. Gói UDP lại được mật mã bởi IPSec ESP như trên hình 2.7.

Hình 2.7 Bản tin điều khiển L2TP

Vì không sử dụng kết nối TCP, L2TP dùng thứ tự bản tin để đảm bảo việc truyền các bản tin L2TP. Trong bản tin điều khiển L2TP, trường Next-Received (tương tự như TCP Acknowledgment) và Next-Sent (tương tự như TCP Sequence Number) được sử dụng để duy trì thứ tự các bản tin điều khiển. Các gói không đúng thứ tự bị loại bỏ. Các trường Next-Sent và Next-Received cũng có thể được sử dụng để truyền dẫn tuần tự và điều khiển luồng cho các dữ liệu đường hầm.

L2TP hỗ trợ nhiều cuộc gọi trên mỗi đường hầm. Trong bản tin điều khiển L2TP và phần tiêu đề L2TP của dữ liệu đường hầm có một mã số đường hầm (Tunnel ID) để xác định đường hầm, và một mã nhận dạng cuộc gọi (Call ID) để xác định cuộc gọi trong đường hầm đó.

1.8.3 Đóng gói dữ liệu đường hầm L2TP

Dữ liệu đường hầm L2TP được thực hiện thông qua nhiều mức đóng gói như sau:


MẠNG RIÊNG ẢO

• Đóng gói L2TP. Phần tải PPP ban đầu được đóng gói với một tiêu đề PPP và

một tiêu đề L2TP.

• Đóng gói UDP. Gói L2TP sau đó được đóng gói với một tiêu đề UDP, các địa

chỉ cổng nguồn và đích được đặt bằng 1701.

• Đóng gói IPSec. Tuỳ thuộc vào chính sách IPSec, gói UDP được mật mã và

đóng gói với tiêu đề IPSec ESP, đuôi IPSec ESP, đuôi IPSec Authentication.

• Đóng gói IP. Gói IPSec được đóng gói với tiêu đề IP chứa địa chỉ IP nguồn

và đích của máy trạm và máy chủ.

• Đóng gói lớp liên kết dữ liệu. Để truyền đi được trên đường truyền LAN

hoặc WAN, gói IP cuối cùng sẽ được đóng gói với phần tiêu đề và đuôi tương

ứng với kỹ thuật lớp liên kết dữ liệu của giao diện vật lý đầu ra. Ví dụ, khi gói

IP được gửi vào giao diện Ethernet, nó sẽ được đóng gói với tiêu đề và đuôi

Ethernet. Khi các gói IP được gửi trên đường truyền WAN điểm tới điểm

(chẳng hạn đường dây điện thoại ISDN), chúng được đóng gói với tiêu đề và

đuôi PPP.

Hình 2.8 chỉ ra cấu trúc cuối cùng của gói dữ liệu đường hầm L2TP trên nền IPSec.

Hình 2.8 Đóng gói dữ liệu đường hầm L2TP

Hình 2.9 là sơ đồ đóng gói L2TP từ một máy trạm VPN thông qua kết nối truy nhập từ xa sử dụng modem tương tự.



Hình 2.9 Sơ đồ đóng gói L2TP

Quá trình đóng gói được thực hiện thông qua các bước như sau:

- Gói tin IP, IPX hoặc NetBEUI được đưa tới giao diện ảo đại diện cho kết nối VPN sử dụng NDIS bằng giao thức thích hợp.

- NDIS đưa các gói tới NDISWAN, tại đây có thể nén và cung cấp tiêu đề PPP chỉ bao gồm trường chỉ số giao thức PPP. Các trường Flag hay FCS không được thêm vào.

- NDISWAN gửi khung PPP tới giao thức L2TP, nơi đóng gói khung PPP với một tiêu đề L2TP. Trong tiêu đề L2TP, chỉ số đường hầm và chỉ số cuộc gọi được thiết lập với các giá trị thích hợp để xác định đường hầm.

- Giao thức L2TP gửi gói thu được tới TCP/IP với thông tin để gửi gói L2TP như một bản tin UDP từ cổng UDP 1701 tới cổng UDP 1701 theo các địa chỉ IP của máy trạm và máy chủ.

- TCP/IP xây dựng gói IP với các tiêu đề IP và UDP thích hợp. IPSec sau đó sẽ phân tích gói IP và so sánh nó với chính sách IPSec hiện thời. Dựa trên những thiết lập trong chính sách, IPSec đóng gói và mật mã phần bản tin UDP của gói IP sử dụng các tiêu đề và đuôi ESP phù hợp. Tiêu đề IP ban đầu với trường Protocol được đặt là 50 và thêm vào phía trước của gói ESP. TCP/IP sau đó gửi gói thu được tới giao diện đại diện cho kết nối quay số tới ISP cục bộ sử dụng NDIS.

- NDIS gửi số tới NDISWAN.

- NDISWAN cung cấp tiêu đề và đuôi PPP, sau đó gửi khung PPP thu được tới cổng thích hợp đại diện cho phần cứng dial-up.


MẠNG RIÊNG ẢO

1.8.4 Xử lí dữ liệu tại đầu cuối đường hầm L2TP trên nền IPSec

Khi nhận được dữ liệu đường hầm L2TP trên nền IPSec, máy trạm và máy chủ L2TP sẽ thực hiện các bước sau:

- Xử lý và loại bỏ tiêu đề và đuôi của lớp liên kết dữ liệu.

- Xử lý và loại bỏ tiêu đề IP.

- Dùng phần đuôi IPSec ESP Auth để xác thực tải IP và tiêu đề IPSec ESP.

- Dùng tiêu đề IPSec ESP để giải mã phần gói đã mật mã.

- Xử lý tiêu đề UDP và gửi gói tới L2TP.

- L2TP dùng chỉ số đường hầm và chỉ số cuộc gọi trong tiêu đề L2TP để xác định đường hầm L2TP cụ thể.

- Dùng tiêu đề PPP để xác định tải PPP và chuyển tiếp nó tới đúng giao thức để xử lý.

1.8.5 Triển khai VPN dựa trên L2TP

Hệ thống cung cấp VPN dựa trên L2TP bao gồm các thành phần cơ bản sau: bộ tập trung truy nhập mạng, máy chủ L2TP và các máy trạm L2TP (hình 2.10).

Hình 2.10 Các thành phần của hệ thống cung cấp VPN dựa trên L2TP

Máy chủ L2TP

Máy chủ L2TP có hai chức năng chính: đóng vai trò là điểm kết thúc của đường hầm L2TP và chuyển các gói đến từ đường hầm đến mạng LAN riêng hay ngược lại. Máy chủ chuyển các gói đến máy tính đích bằng cách xử lý gói L2TP để có được địa chỉ mạng của máy tính đích.

Không giống như máy chủ PPTP, máy chủ L2TP không có khả năng lọc các gói. Chức năng lọc gói trong L2TP được thực hiện bởi tường lửa.Tuy nhiên trong thực tế,



người ta thường tích hợp máy chủ mạng và tường lửa. Việc tích hợp này mang lại một số ưu điểm hơn so với PPTP, đó là:

- L2TP không đòi hỏi chỉ có một cổng duy nhất gán cho tường lửa như trong PPTP. Chương trình quản lý có thể tuỳ chọn cổng để gán cho tường lửa, điều này gây khó khăn cho kẻ tấn công khi cố gắng tấn công vào một cổng trong khi cổng đó có thể đã thay đổi.

- Luồng dữ liệu và thông tin điều khiển được truyền trên cùng một UDP nên việc thiết lập tường lủa sẽ đơn giản hơn. Do một số tường lửa không hỗ trợ GRE nên chúng tương thích với L2TP hơn là với PPTP.

Phần mềm client L2TP

Nếu như các thiết bị của ISP đã hỗ trợ L2TP thì không cần phần cứng hay phần mềm bổ sung nào cho các máy trạm, chỉ cần kết nối chuẩn PPP là đủ. Tuy nhiên, với các thiết lập như vậy thì không sử dụng được mã hoá của IPSec. Do vậy ta nên sử dụng các phần mềm client tương thích L2TP cho kết nối L2TP VPN.

Một số đặc điểm của phần mềm client L2TP là:

- Tương thích với các thành phần khác của IPSec như máy chủ mã hoá, giao thức chuyển khoá, giải thuật mã hoá, …

- Đưa ra một chỉ báo rõ ràng khi IPSec đang hoạt động;

- Hàm băm (hashing) xử lý được các địa chỉ IP động;

- Có cơ chế bảo mật khoá (mã hoá khoá với mật khẩu);

- Có cơ chế chuyển đổi mã hoá một cách tự động và định kỳ;

- Chặn hoàn toàn các lưu lượng không IPSec.

Bộ tập trung truy nhập mạng

ISP cung cấp dịch vụ L2TP cần phải cài một NAS cho phép L2TP để hỗ trợ các máy trạm L2TP chạy trên nền các hệ điều hành khác nhau như Unix, Windows, Macintosh, v.v.

Các ISP cũng có thể cung cấp các dịch vụ L2TP mà không cần phải thêm các thiết bị hỗ trợ L2TP vào máy chủ truy nhập của họ, điều này đòi hỏi tất cả người dùng phải có phần mềm client L2TP tại máy của họ. Khi đó người dùng có thể sử dụng dịch vụ của nhiều ISP trong trường hợp mô hình mạng của họ rộng lớn về mặt địa lý.

1.8.6 Ưu nhược điểm và khả năng ứng dụng của L2TP

L2TP là một thế hệ giao thức quay số truy nhập VPN phát triển sau. Nó phối hợp những đặc tính tốt nhất của PPTP và L2F. Hầu hết các nhà cung cấp sản phẩm PPTP đều đưa ra các sản phẩm tương thích với L2TP.


MẠNG RIÊNG ẢO

Mặc dù L2TP chủ yếu chạy trên mạng IP, nhưng khả năng chạy trên các mạng công nghệ khác như Frame Relay hay ATM đã làm cho nó thêm phổ biến. L2TP cho phép một lượng lớn khách hàng từ xa được kết nối vào VPN cũng như là các kết nối LAN-LAN có dung lượng lớn. L2TP có cơ chế điều khiển luồng để làm giảm tắc nghẽn trên đường hầm L2TP.

Việc lựa chọn một nhà cung cấp dịch vụ L2TP có thể thay đổi tuỳ theo yêu cầu thiết kế mạng. Nếu thiết kế một VPN đòi hỏi mã hoá đầu cuối tới đầu cuối thì cần cài các client tương thích L2TP tại các trạm từ xa và thoả thuận với ISP là sẽ xử lý mã hoá từ máy đầu xa đến tận máy chủ của VPN. Nếu xây dựng một mạng với múc độ bảo mật thấp hơn, khả năng chịu đựng lỗi cao hơn và chỉ muốn bảo mật dữ liệu khi nó đi trong đường hầm trên Inernet thì thoả thuận với ISP để họ hỗ trợ LAC và mã hoá dữ liệu chỉ từ đoạn LAC đến LNS của mạng riêng.

L2TP cho phép thiết lập nhiều đường hầm với cùng LAC và LNS. Mỗi đường hầm có thể gán cho một ngưòi dùng xác định hoặc một nhóm người dùng và gán cho các môi trường khác nhau tuỳ theo thuộc tính chất lượng dịch vụ QoS của người sử dụng.

1.9 Kết chương

Mức độ bảo đảm an ninh của số liệu khi truyền qua mạng phụ thuộc nhiều vào giải pháp thực hiện VPN của doanh nghiệp. Chương 2 tập trung vào những vấn đề kỹ thuật của giải pháp mạng riêng ảo sử dụng đường hầm. Kỹ thuật đường hầm đóng một vai trò rất quan trọng trong việc triển khai VPN trên nền mạng viễn thông công cộng. Các giao thức đường hầm được giới thiệu ở đây bao gồm L2F, PPTP và L2TP. Mỗi giao thức được trình bày tương đối chi tiết, từ sơ đồ đóng gói dữ liệu, nguyên lý hoạt động, quá trình xử lí dữ liệu tại đầu cuối đường hầm cho đến những đặc điểm triển khai trên thực tế. Trong nội dung trình bày cũng đưa ra những phân tích các đặc tính và ưu nhược điểm của từng giao thức nhằm thể hiện rõ khả năng và phạm vi ứng dụng của chúng.


CHƯƠNG 3

MẠNG RIÊNG ẢO TRÊN NỀN IPSec

Cùng với sự phát triển và mở rộng của Internet thì việc trao đổi thông tin giữa các chi nhánh, văn phòng ở xa trong một công ty hay với các đối tác kinh doanh bên ngoài không còn là vấn đề khó khăn như trước nữa. Tuy nhiên, đi đôi vói việc hỗ trợ kinh doanh hiệu quả thì nguy cơ mất an ninh dữ liệu hay bị tấn công phá hoại qua mạng cũng là điều rất dễ xảy ra. Chính vì vậy, vấn đề đảm bảo an toàn cho dữ liệu khi truyền qua mạng công cộng đã trở nên có ý nghĩa đặc biệt quan trọng.

Giao thức IPSec (Internet Protocol Security) được phát triển để giải quyết vấn đề bảo đảm an ninh cho thông tin truyền trên mạng Internet và được coi là giao thức tối ưu nhất cho việc thực hiện IP-VPN. Chương này trình bày các đặc điểm quan trọng nhất của IPSec, hoạt động của các giao thức và tiêu chuẩn liên quan cũng như là những thuật toán và kĩ thuật hỗ trợ cho việc thực hiện VPN trên nền IPSec.


Giới thiệu về IPSec

Đóng gói thông tin IPSec

Liên kết an ninh SA và hoạt động trao đổi khóa IKE

Một số vấn đề kĩ thuật trong thực hiện VPN trên IPSec

Ví dụ thực hiện VPN trên nền IPSec

Các vấn đề còn tồn tại trong IPSec


MẠNG RIÊNG ẢO

1.10 Giới thiệu về IPSec

Giao thức IPSec được IETF phát triển để thiết lập tính bảo mật trong mạng IP ở cấp độ gói. IPSec được định nghĩa là một họ giao thức trong tầng mạng cung cấp các dịch vụ bảo mật, xác thực, toàn vẹn dữ liệu và điều khiển truy nhập. Nó là một tập hợp các tiêu chuẩn mở làm việc cùng nhau, được giới thiệu lần đầu tiên trong các RFC 1825 – 1829 vào năm 1995.

IPSec cho phép một đường hầm bảo mật thiết lập giữa hai mạng riêng và xác thực hai đầu của đường hầm này. Các thiết bị giữa hai đầu đường hầm có thể là một cặp host, một cặp Cổng an ninh (thiết bị định tuyến, firewall, bộ tập trung VPN) hoặc cặp thiết bị gồm một host và một Cổng an ninh. Đường hầm đóng vai trò là một kênh truyền bảo mật giữa hai đầu và các gói dữ liệu yêu cầu an ninh được truyền trên đó. IPSec cũng thực hiện đóng gói dữ liệu và xử lí các thông tin để thiết lập, duy trì và hủy bỏ kênh truyền khi không dùng đến nữa. Các gói tin truyền trong đường hầm có khuôn dạng giống như các gói tin bình thường khác và không làm thay đổi các thiết bị, kiến trúc cũng như những ứng dụng hiện có trên mạng trung gian, qua đó cho phép giảm đáng kể chi phí để triển khai và quản lý.

IPSec có hai cơ chế cơ bản để đảm bảo an ninh dữ liệu là tiêu đề xác thực (AH – Authentication Header) và đóng gói tải tin an toàn (ESP – Encapsulating Security Payload), trong đó IPSec phải hỗ trợ ESP và có thể hỗ trợ AH. Cả AH và ESP đều cung cấp các phương tiện cho điều khiển truy nhập dựa vào sự phân phối của các khóa mật mã và quản lý các luồng lưu lượng có liên quan đến những giao thức an ninh này.

AH cho phép xác thực nguồn gốc dữ liệu, kiểm tra tính toàn vẹn dữ liệu và dịch vụ tùy chọn chống phát lại của các gói IP truyền giữa hai hệ thống. AH không cung cấp tính bảo mật, điều này có nghĩa là nó gửi đi thông tin dưới dạng bản rõ. ESP là một giao thức cung cấp tính an ninh của các gói tin được truyền, bao gồm mật mã dữ liệu, xác thực nguồn gốc dữ liệu, kiểm tra tính toàn vẹn phi kết nối của dữ liệu. ESP đảm bảo tính bí mật của thông tin thông qua việc mật mã gói tin IP. Tất cả lưu lượng ESP đều được mật mã giữa hai hệ thống. Với đặc điểm này thì ESP có xu hướng được sử dụng nhiều hơn để tăng tính bảo mật cho dữ liệu.

Các giao thức AH và ESP có thể được áp dụng một mình hay kết hợp với nhau để cung cấp tập các giao thức an ninh mong muốn trong IPv4 và IPv6, nhưng cách chúng cung cấp các dịch vụ là khác nhau. Đối với cả hai giao thức này, IPSec không định nghĩa các thuật toán an ninh cụ thể, mà thay vào đó là một khung làm việc cho phép sử dụng các thuật toán tiêu chuẩn. IPSec sử dụng các thuật toán mã xác thực bản tin trên cơ sở hàm băm (HMAC), MD5 (Message Digest 5) hay SHA-1 để thực hiện chức năng toàn vẹn bản tin; DES hay 3DES để mật mã dữ liệu; khóa chia sẻ trước, chữ ký số RSA và số ngẫu nhiên mật mã RSA để xác thực các bên. Ngoài ra, các chuẩn còn định nghĩa việc sử dụng một số thuật toán khác như IDEA, Blowfish và RC4.


CHƯƠNG 3 - MẠNG RIÊNG ẢO TRÊN NỀN IPSec

IPSec có thể sử dụng giao thức trao đổi khoá IKE (Internet Key Exchange) để xác thực hai bên, thương lượng các chính sách bảo mật và xác thực thông qua việc xác định thuật toán thiết lập kênh truyền, trao đổi khóa cho mỗi phiên kết nối và dùng trong mỗi phiên truy nhập. Mạng dùng IPSec để bảo mật các dòng dữ liệu có thể tự động kiểm tra tính xác thực của thiết bị bằng chứng thực số của hai người dùng trao đổi thông tin qua lại. Việc thương lượng này cuối cùng dẫn đến thiết lập một liên kết an ninh (SA – Security Association) giữa các cặp bảo mật.

Liên kết an ninh SA có chứa tập các chính sách, tham số, thuật toán, giao thức cho quá trình đóng gói dữ liệu giữa các bên tham gia vào phiên IPSec. Tại mỗi đầu đường hầm IPSec, SA được sử dụng để xác định loại lưu lượng cần được xử lý IPSec, giao thức an ninh được sử dụng (AH hay ESP), thuật toán và khóa được sử dụng cho quá trình mật mã và xác thực. Thông tin liên kết an ninh được lưu trong cơ sở dữ liệu liên kết an ninh, và khi kết hợp một địa chỉ đích với giao thức an ninh thì có duy nhất một SA.

IPSec được phát triển nhắm vào họ giao thức IP kế tiếp là IPv6, nhưng do việc triển khai IPv6 còn chậm và sự cần thiết phải bảo mật các gói IP nên IPSec đã được thay đổi cho phù hợp với IPv4. Việc hỗ trợ IPSec chỉ là tuỳ chọn của IPv4 nhưng đối với IPv6 thì là có sẵn. IPSec là sự lựa chọn cho bảo mật tổng thể các VPN và là phương án tối ưu cho mạng của công ty. Nó đảm bảo truyền thông tin cậy trên mạng IP công cộng đối với các ứng dụng VPN.

1.11 Đóng gói thông tin IPSec

1.11.1 Các chế độ hoạt động

IPSec cung cấp hai chế độ xác thực và mã hóa mức cao để thực hiện đóng gói thông tin, đó là chế độ truyền tải (Transport Mode) và chế độ đường hầm (Tunnel Mode). Sau đây chúng ta sẽ xét đến hai chế độ này trước khi tìm hiểu về các giao thức AH và ESP.

1.11.1.1 Chế độ truyền tải

Trong chế độ truyền tải, vấn đề an ninh được cung cấp bởi các giao thức lớp cao trong mô hình OSI (từ lớp 4 trở lên). Chế độ này bảo vệ phần tải tin của gói nhưng vẫn để phần tiêu đề IP ban đầu ở dạng gốc như trong nguyên bản (hình 3.1). Địa chỉ IP ban đầu này được sử dụng để định tuyến gói qua Internet.


MẠNG RIÊNG ẢO

Hình 3.1 Xử lí gói tin IP ở chế độ truyền tải

Chế độ truyền tải có ưu điểm là chỉ thêm vào gói IP ban đầu một số ít byte. Nhược điểm của chế độ này là nó cho phép các thiết bị trong mạng nhìn thấy địa chỉ nguồn và đích của gói tin và có thể thực hiện một số xử lý (ví dụ như phân tích lưu lượng) dựa trên các thông tin của tiêu đề IP. Tuy nhiên nếu dữ liệu được mật mã bởi ESP thì sẽ không biết được thông tin cụ thể bên trong gói IP là gì. Theo IETF thì chế độ truyền tải chỉ có thể được sử dụng khi hai hệ thống đầu cuối IP-VPN có thực hiện IPSec.

1.11.1.2 Chế độ đường hầm

Trong chế độ đường hầm, toàn bộ gói IP ban đầu bao gồm cả tiêu đề được xác thực hoặc mật mã, sau đó được đóng gói với một tiêu đề IP mới (hình 3.2). Địa chỉ IP bên ngoài được sử dụng cho định tuyến gói IP qua Internet.

Hình 3.2 Xử lí gói tin IP ở chế độ đường hầm

Chế độ này cho phép các thiết bị mạng như bộ định tuyến thực hiện xử lý IPSec thay cho các trạm cuối (host). Trong ví dụ trên hình 3.3, bộ định tuyến A xử lý các gói từ trạm A, gửi chúng vào đường hầm. Bộ định tuyến B xử lý các gói nhận được trong đường hầm, đưa về dạng ban đầu và chuyển chúng tới trạm B. Như vậy, các trạm cuối không cần thay đổi mà vẫn có được tính an ninh dữ liệu của IPSec. Ngoài ra, nếu sử dụng chế độ đường hầm, các thiết bị trung gian trong mạng sẽ chỉ nhìn thấy được các địa chỉ hai điểm cuối của đường hầm (ở đây là các bộ định tuyến A và B). Khi sử dụng



chế độ đường hầm, các đầu cuối của IPSec-VPN không cần phải thay đổi ứng dụng hay hệ điều hành.

Hình 3.3 Thiết bị mạng thực hiện IPSec trong chế độ đường hầm

1.11.2 Giao thức tiêu đề xác thực AH

1.11.2.1 Giới thiệu

Giao thức tiêu đề xác thực AH được định nghĩa trong RFC 1826 và sau đó phát triển lại trong RFC 2402. AH cung cấp khả năng xác thực nguồn gốc dữ liệu (Data Origin Authentication), kiểm tra tính toàn vẹn dữ liệu (Data Integrity) và dịch vụ chống phát lại (Anti-replay Service). Đến đây, cần làm rõ hơn hai khái niệm toàn vẹn dữ liệu và chống phát lại. Toàn vẹn dữ liệu là kiểm tra những thay đổi của từng gói tin IP, không quan tâm đến vị trí các gói trong luồng lưu lượng. Còn dịch vụ chống phát lại là kiểm tra sự phát lặp lại một gói tin tới địa chỉ đích nhiều hơn một lần.

AH cho phép xác thực các trường của tiêu đề IP cũng như dữ liệu của các giao thức lớp trên. Tuy nhiên, do một số trường của tiêu đề IP thay đổi trong khi truyền và phía phát không dự đoán trước được giá trị của chúng khi tới phía thu, giá trị của các trường này không bảo vệ được bằng AH. Có thể nói AH chỉ bảo vệ một phần của tiêu đề IP mà thôi. AH không cung cấp bất cứ xử lý nào để bảo mật dữ liệu của các lớp trên, tất cả đều được truyền dưới dạng văn bản rõ. AH nhanh hơn ESP, nên có thể chọn AH trong trường hợp cần yêu cầu chắc chắn về nguồn gốc và tính toàn vẹn của dữ liệu, còn tính bảo mật dữ liệu thì không yêu cầu cao.

Giao thức AH cung cấp chức năng xác thực bằng cách thực hiện một hàm băm một chiều (One-way Hash Function) đối với dữ liệu của gói để tạo ra một đoạn mã xác thực (Hash hay Message Digest). Đoạn mã này được chèn vào thông tin của gói truyền đi. Khi đó, bất cứ thay đổi nào đối với nội dung của gói trong quá trình truyền đi đều được phía thu phát hiện khi nó thực hiện cùng một hàm băm một chiều đối với gói dữ liệu nhận được và đối chiếu với giá trị mã xác thực truyền cùng với gói dữ liệu. Hàm băm được thực hiện trên toàn bộ gói dữ liệu, trừ một số trường trong tiêu đề IP có giá trị thay đổi trong quá trình truyền (ví dụ như trường thời gian sống TTL của gói tin).


MẠNG RIÊNG ẢO

1.11.2.2 Cấu trúc gói tin AH

Các thiết bị sử dụng AH sẽ chèn một tiêu đề vào giữa lưu lượng cần quan tâm của gói IP, ở giữa phần tiêu đề IP và tiêu đề lớp 4. Bởi vì AH được liên kết với IPSec, IP-VPN có thể định dạng để chọn lưu lượng nào cần được bảo vệ và lưu lượng nào không cần phải sử dụng giải pháp an toàn giữa các bên. Ví dụ như có thể chọn để xử lý an toàn lưu lượng email nhưng không cần đối với các dịch vụ web. Quá trình xử lý chèn tiêu đề AH được minh họa trên hình 3.4.

Hình 3.4 Cấu trúc tiêu đề AH cho gói tin IPSec

Ý nghĩa các trường trong tiêu đề AH như sau:

• Next Header (tiêu đề tiếp theo). Có độ dài 8 bit để nhận dạng loại dữ liệu của

phần tải tin theo sau AH. Giá trị này được chọn lựa từ tập các giá trị số giao

thức IP đã được định nghĩa bởi IANA (TCP – 6, UDP – 17).

• Payload Length (độ dài tải tin). Có độ dài 8 bit và chứa độ dài của tiêu đề

AH được biểu diễn trong các từ 32 bit, trừ đi 2. Ví dụ, trong trường hợp của

thuật toán toàn vẹn mang lại một giá trị xác minh 96 bit (3 x 32 bit), cộng với

3 từ 32 bit đã cố định, thì trường độ dài này có giá trị là 4. Với IPv6, tổng độ

dài của tiêu đề phải là bội của các khối 8 bit.

• Reserved (dự trữ). Trường 16 bit này dự trữ cho ứng dụng trong tương lai.

Giá trị của trường này có thể đặt bằng 0 và có tham gia trong việc tính dữ liệu

xác thực.

• Security Parameters Index (SPI – chỉ số thông số an ninh). Trường này có

độ dài 32 bit, cùng với địa chỉ IP đích và giao thức an ninh ESP cho phép

nhận dạng duy nhất SA cho gói dữ liệu. Các giá trị SPI từ 1 đến 255 được

dành riêng để sử dụng trong tương lai. SPI là trường bắt buộc và thường được



lựa chọn bởi phía thu khi thiết lập SA. Giá trị SPI bằng 0 được sử dụng cục bộ

và có thể dùng để chỉ ra rằng chưa có SA nào tồn tại.

• Sequence Number (số thứ tự). Đây là trường 32 bit không dấu chứa một giá

trị mà khi mỗi gói được gửi đi thì tăng một đơn vị. Trường này là bắt buộc và

luôn được đưa vào bởi bên gửi ngay cả khi bên nhận không sử dụng dịch vụ

chống phát lại. Bộ đếm bên gửi và nhận được khởi tạo ban đầu là 0, gói đầu

tiên có số thứ tự là 1. Nếu dịch vụ chống phát lại được sử dụng thì chỉ số này

không thể lặp lại. Khi đó, để tránh trường hợp bộ đếm bị tràn và lặp lại các số

thứ tự, sẽ có một yêu cầu kết thúc phiên truyền thông và một SA mới được

thiết lập trước khi truyền gói thứ 322 của SA hiện hành.

• Authentication Data (dữ liệu xác thực). Còn được gọi là giá trị kiểm tra tính

toàn vẹn ICV (Integrity Check Value), có độ dài thay đổi và bằng số nguyên

lần của 32 bit đối với IPv4 hay 64 bit đối với IPv6. Nó có thể chứa đệm để lấp

đầy cho đủ là bội số của các khối bit như trên. ICV được tính toán sử dụng

thuật toán xác thực, bao gồm mã xác thực bản tin (MAC – Message

Authentication Code). MAC đơn giản có thể là thuật toán mã hóa MD5 hoặc

SHA-1. Các khóa dùng cho mã hóa AH là khóa xác thực bí mật được chia sẻ

giữa các đối tượng truyền thông, có thể là một số ngẫu nhiên, không thể đoán

trước được. Tính toán ICV được thực hiện đối với gói tin mới đưa vào. Bất kì

trường nào có thể biến đổi của tiêu đề IP đều được cài đặt bằng 0, dữ liệu lớp

trên được giả sử là không biến đổi. Mỗi bên đầu cuối VPN sẽ tính toán giá trị

ICV này một cách độc lập. Nếu ICV tính toán được ở phía thu và ICV do phía

phát truyền đến so sánh với nhau mà không phù hợp thì gói tin bị loại bỏ.

Bằng cách như vậy sẽ đảm bảo rằng gói tin không bị giả mạo.

1.11.2.3 Xử lý AH trong chế độ truyền tải và đường hầm

Hoạt động của AH được thực hiện qua các bước như sau:

• Bước 1: Toàn bộ gói IP (bao gồm cả tiêu đề và tải tin) được thực hiện qua

một hàm băm một chiều.

• Bước 2: Mã băm thu được dùng để xây dựng một tiêu đề AH, đưa tiêu đề này

vào gói dữ liệu ban đầu.

• Bước 3: Gói dữ liệu sau khi thêm tiêu đề AH được truyền tới đối tác IPSec.

• Bước 4: Bên thu thực hiện hàm băm với tiêu đề và tải tin IP, kết quả thu được

một mã băm.

• Bước 5: Bên thu tách mã băm trong tiêu đề AH.


MẠNG RIÊNG ẢO

• Bước 6: Bên thu so sánh mã băm mà nó tính được với mã băm tách ra từ tiêu

đề AH. Hai mã này phải hoàn toàn giống nhau. Nếu chúng khác nhau, bên thu

lập tức phát hiện tính không toàn vẹn của dữ liệu.

Việc xử lý AH phụ thuộc vào chế độ hoạt động của IPSec và phiên bản sử dụng của giao thức IP. Khuôn dạng của gói tin IPv4 trước và sau khi xử lý AH trong hai chế độ truyền tải và đường hầm được thể hiện trên hình 3.5.

Hình 3.5 Khuôn dạng gói tin IPv4 trước và sau khi xử lý AH

Khuôn dạng của gói tin IPv6 trước và sau khi xử lý AH được thể hiện trên hình 3.6.

Hình 3.6 Khuôn dạng gói tin IPv6 trước và sau khi xử lý AH



1.11.3 Giao thức đóng gói tải tin an toàn ESP

1.11.3.1 Giới thiệu

Giao thức ESP được định nghĩa trong RFC 1827 và sau đó được phát triển thành RFC 2408. Cũng như AH, giao thức này được phát triển hoàn toàn cho IPSec. ESP được sử dụng khi có yêu cầu về bảo mật của lưu lượng IPSec cần truyền. Nó cung cấp tính bảo mật dữ liệu bằng việc mật mã hóa các gói tin. Thêm vào đó, ESP cũng cho phép xác thực nguồn gốc dữ liệu, kiểm tra tính toàn vẹn dữ liệu, dịch vụ chống phát lại và một số giới hạn về luồng lưu lượng cần bảo mật.

Tập các dịch vụ cung cấp bởi ESP phụ thuộc vào các lựa chọn tại thời điểm thiết lập liên kết an ninh, trong đó dịch vụ bảo mật được cung cấp độc lập với các dịch vụ khác. Tuy nhiên, nếu không kết hợp sử dụng các dịch vụ xác thực và toàn vẹn dữ liệu thì hiệu quả bảo mật sẽ không được đảm bảo. Hai dịch vụ xác thực và toàn vẹn dữ liệu luôn đi kèm nhau. Dịch vụ chống phát lại chỉ có thể thực hiện nếu như dịch vụ xác thực được lựa chọn.

Hình 3.7 minh họa cơ chế đóng gói ESP.

Hình 3.7 Cơ chế đóng gói ESP

Hoạt động của ESP khác so với AH. ESP đóng gói tất cả hoặc một phần dữ liệu gốc. Do hỗ trợ tốt khả năng bảo mật nên ESP có xu hướng được sử dụng rộng rãi hơn AH.

1.11.3.2 Cấu trúc gói tin ESP

Cấu trúc gói tin ESP được thể hiện trên hình 3.8. Các trường trong gói tin ESP có thể là bắt buộc hay tùy chọn. Những trường bắt buộc luôn có mặt trong tất cả các gói ESP. Việc lựa chọn một trường tùy chọn được định nghĩa trong quá trình thiết lập liên kết an ninh. Như vậy, khuôn dạng ESP đối với một SA là cố định trong khoảng thời gian tồn tại của SA đó.


MẠNG RIÊNG ẢO

Hình 3.8 Khuôn dạng gói ESP

Sau đây là ý nghĩa của các trường trong cấu trúc gói tin ESP.

• SPI (chỉ số thông số an ninh). Là một số bất kỳ 32 bit, cùng với địa chỉ IP

đích và giao thức an ninh ESP cho phép nhận dạng duy nhất SA cho gói dữ

liệu. Các giá trị SPI từ 0 đến 255 được dành riêng để sử dụng trong tương lai.

SPI là trường bắt buộc và thường được lựa chọn bởi phía thu khi thiết lập SA.

• Sequence Number (số thứ tự). Tương tự như trường số thứ tự của AH.

• Payload Data (dữ liệu tải tin). Đây là trường bắt buộc, bao gồm một số lượng

biến đổi các byte dữ liệu gốc hoặc một phần dữ liệu yêu cầu bảo mật đã được

mô tả trong trường Next Header. Trường này được mã hóa cùng với thuật

toán mã hóa đã lựa chọn trong suốt quá trình thiết lập SA. Nếu thuật toán yêu

cầu các vectơ khởi tạo thì nó cũng được bao gồm ở đây. Thuật toán thường

được dùng để mã hóa ESP là DES-CBC. Đôi khi các thuật toán khác cũng

được hỗ trợ như 3DES hay CDMF.

• Padding (đệm). Có nhiều nguyên nhân dẫn đến sự có mặt của trường đệm

như:

- Nếu thuật toán mật mã sử dụng yêu cầu bản rõ (Clear-text) phải là số nguyên lần các khối byte (ví dụ trường hợp mã khối) thì trường đệm được sử dụng để điền đầy vào phần bản rõ này (bao gồm cả Payload Data, Pad Length, Next Header và Padding) sao cho đạt tới kích thước theo yêu cầu.

- Trường đệm cũng cần thiết để đảm bảo phần dữ liệu mật mã (Cipher-text) sẽ kết thúc ở biên giới số nguyên lần của 4 byte nhằm phân biệt rõ ràng với trường dữ liệu xác thực (Authentication Data).



- Ngoài ra, trường đệm còn có thể sử dụng để che dấu độ dài thực của tải tin, tuy nhiên mục đích này cần phải được cân nhắc vì nó ảnh hưởng tới băng thông truyền dẫn.

• Pad length (độ dài đệm). Trường này xác định số byte đệm được thêm vào.

Pad length là trường bắt buộc với các giá trị phù hợp nằm trong khoảng từ 0

đến 255 byte.

• Next Header (tiêu đề tiếp theo). Next Header là trường bắt buộc và có độ dài

8 bit. Nó xác định kiểu dữ liệu chứa trong phần tải tin, ví dụ một tiêu đề mở

rộng (Extension Header) trong IPv6 hoặc nhận dạng của một giao thức lớp

trên khác. Giá trị của trường này được lựa chọn từ tập các giá trị IP Protocol

Number định nghĩa bởi IANA.

• Authentication Data (dữ liệu xác thực). Trường này có độ dài biến đổi, chứa

một giá trị kiểm tra tính toàn vẹn ICV tính trên dữ liệu của toàn bộ gói ESP

trừ trường Authentication Data. Độ dài của trường này phụ thuộc vào thuật

toán xác thực được sử dụng. Trường này là tùy chọn, và chỉ được thêm vào

nếu dịch vụ xác thực được lựa chọn cho SA đang xét. Thuật toán xác thực

phải chỉ ra độ dài ICV, các bước xử lý cũng như các luật so sánh cần thực

hiện để kiểm tra tính toàn vẹn của gói tin.

1.11.3.3 Xử lý ESP trong chế độ truyền tải và đường hầm

Việc xử lý ESP phụ thuộc vào chế độ hoạt động của IPSec và phiên bản sử dụng của giao thức IP. Khuôn dạng của gói tin IPv4 trước và sau khi xử lý ESP trong hai chế độ truyền tải và đường hầm được thể hiện trên hình 3.9.

Hình 3.9 Khuôn dạng gói tin IPv4 trước và sau khi xử lý ESP


MẠNG RIÊNG ẢO

Khuôn dạng của gói tin IPv6 trước và sau khi xử lý ESP được thể hiện trên hình 3.10.

Hình 3.10 Khuôn dạng gói tin IPv6 trước và sau khi xử lý ESP

IPSec có thể hỗ trợ cả AH và ESP trong một tổ hợp cho phép của hai chế độ truyền tải và đường hầm. Ví dụ, có thể sử dụng chế độ đường hầm để mã hoá và xác thực các gói và tiêu đề của nó rồi gắn AH hoặc ESP, hoặc cả hai trong chế độ truyền tải để bảo mật cho tiêu đề mới được tạo ra. AH và ESP không thể sử dụng chung trong chế độ đường hầm bởi vì ESP đã có cơ chế tuỳ chọn xác thực. Tuỳ chọn này được sử dụng trong chế độ đường hầm khi các gói cần phải mã hoá và xác thực.

1.11.3.4 Mã hóa với ESP

Các thuật toán mã hóa

Các thuật toán mật mã được xác định bởi SA. ESP làm việc với các thuật toán mật mã đối xứng. Vì các gói IP có thể đến không đúng thứ tự, nên mỗi gói phải mang thông tin cần thiết để phía thu có thể thiết lập đồng bộ mật mã (Cryptographic Synchronization) để giải mã. Dữ liệu này có thể được chỉ định trong trường Payload, chẳng hạn dưới dạng các vectơ khởi tạo IV (Initialization Vector), hoặc thu được từ tiêu đề của gói. Với sự có mặt của trường Padding, các thuật toán mật mã sử dụng với ESP có thể có các đặc tính khối (Block) hoặc luồng (Stream). Vì dịch vụ mật mã là tùy chọn nên thuật toán mật mã là không bắt buộc.

Các thuật toán xác thực sử dụng để tính ICV được xác định bởi SA. Đối với truyền thông điểm tới điểm, các thuật toán xác thực thích hợp có thể là hàm băm một chiều (MD5, SHA-1). Vì dịch vụ xác thực là tùy chọn nên thuật toán xác thực là không bắt buộc.

Các thuật toán sau đây có thể được sử dụng với ESP:



- DES, 3DES trong chế độ CBC;

- HMAC với MD5;

- HMAC với SHA-1;

- Không thuật toán xác thực;

- Không thuật toán mật mã.

Ngoài những thuật toán kể trên, một số thuật toán khác có thể được hỗ trợ. Lưu ý là ít nhất một trong hai dịch vụ mật mã hoặc xác thực phải được thực hiện, do đó hai thuật toán xác thực và mật mã không được đồng thời không có.

Quá trình giải mã

Nếu ESP sử dụng mật mã thì sẽ phải thực hiện quá trình giải mã gói. Nếu dịch vụ mật mã không được sử dụng, tại phía thu không có quá trình giải mã này. Quá trình giải mã gói diễn ra như sau:

- Giải mã ESP (bao gồm trường Payload Data, Padding, Pad Length, Next Header) sử dụng khóa. Thuật toán mật mã và kiểu thuật toán được xác định bởi SA.

- Xử lý phần đệm (Padding) theo đặc tả của thuật toán. Phía thu cần tìm và loại bỏ phần đệm trước khi chuyển dữ liệu đã giải mã lên lớp trên.

- Xây dựng lại cấu trúc gói IP ban đầu từ tiêu đề IP gốc và thông tin giao thức lớp cao trong tải tin của ESP (ở chế độ truyền tải), hoặc tiêu đề IP ngoài và toàn bộ gói IP gốc trong tải tin của ESP (ở chế độ đường hầm).

Nếu dịch vụ xác thực cũng được lựa chọn thì quá trình kiểm tra ICV và mật mã có thể tiến hành nối tiếp hoặc song song. Nếu tiến hành nối tiếp thì kiểm tra ICV phải được thực hiện trước. Nếu tiến hành song song thì kiểm tra ICV phải hoàn thành trước khi gói đã giải mã được chuyển tới bước xử lý tiếp theo. Trình tự này giúp loại bỏ nhanh chóng các gói không hợp lệ.

Quá trình giải mã có thể không thành công vì một số lý do như sau:

- SA được lựa chọn không đúng (do các thông số SPI, địa chỉ đích hay trường Protocol Type bị sai);

- Độ dài phần đệm hoặc giá trị của nó bị sai;

- Gói ESP mật mã bị lỗi.

1.12 Liên kết an ninh và hoạt động trao đổi khóa

1.12.1 Liên kết an ninh


MẠNG RIÊNG ẢO

1.12.1.1 Các kiểu liên kết an ninh

IPSec cung cấp nhiều lựa chọn để thực hiện các giải pháp mật mã và xác thực ở lớp mạng. Phần này sẽ định nghĩa các thủ tục quản lý an ninh cho cả IPv4 và IPv6 để thực thi AH, ESP hoặc cả hai, phụ thuộc vào lựa chọn của người sử dụng. Khi thiết lập kết nối IPSec, hai bên phải xác định chính xác các thuật toán nào sẽ được sử dụng, loại dịch vụ nào cần đảm bảo an ninh. Sau đó bắt đầu xử lý thương lượng để chọn một tập các tham số và các giải thuật áp dụng cho mã hóa bảo mật hay xác thực. Như trên đã giới thiệu, dịch vụ bảo mật quan hệ giữa hai hay nhiều thực thể để thỏa thuận truyền thông an toàn được gọi là liên kết an ninh SA.

Liên kết an ninh là một kết nối đơn công, nghĩa là với mỗi cặp truyền thông A và B có ít nhất hai SA (một từ A tới B và một từ B tới A). Khi lưu lượng cần truyền trực tiếp hai chiều qua VPN, giao thức trao đổi khóa IKE thiết lập một cặp SA trực tiếp và sau đó có thể thiết lập thêm nhiều SA khác. Mỗi SA có một thời gian sống riêng. SA được nhận dạng duy nhất bởi bộ ba gồm có: chỉ số thông số an ninh (SPI), địa chỉ IP đích và một chỉ thị giao thức an ninh (AH hay ESP). Về nguyên tắc, địa chỉ IP đích có thể là một địa chỉ đơn hướng (Unicast), địa chỉ quảng bá (Broadcast) hay địa chỉ nhóm (Multicast). Tuy nhiên, cơ chế quản lý SA của IPSec hiện nay chỉ được định nghĩa cho những SA đơn hướng.

Liên kết an ninh có hai kiểu là truyền tải và đường hầm, phụ thuộc vào chế độ

của giao thức sử dụng. SA kiểu truyền tải là một liên kết an ninh giữa hai trạm, hoặc

được yêu cầu giữa hai hệ thống trung gian dọc trên đường truyền. Trong trường hợp

khác, kiểu truyền tải cũng có thể được sử dụng để hỗ trợ IP-in-IP hay đường hầm GRE

qua các SA kiểu truyền tải. SA kiểu đường hầm là một SA cơ bản được ứng dụng tới

một đường hầm IP. SA giữa hai cổng an ninh là một SA kiểu đường hầm điển hình,

giống như một SA giữa một trạm và một cổng an ninh. Tuy nhiên, trong những trường

hợp mà lưu lượng đã được định hình từ trước như những lệnh SNMP, cổng an ninh làm

nhiệm vụ như trạm và kiểu truyền tải được cho phép.

SA cung cấp nhiều lựa chọn cho các dịch vụ IPSec, nó phụ thuộc vào giao thức an ninh được chọn (AH hay ESP), kiểu SA, điểm kết thúc của SA và một sự tuyển chọn của các dịch vụ tùy ý bên trong giao thức sử dụng. Ví dụ như khi sử dụng AH để xác minh nguồn gốc dữ liệu và tính toàn vẹn phi kết nối cho gói IP, có thể sử dụng dịch vụ chống phát lại hoặc không tùy thuộc vào các bên.

Khi một bên IP-VPN muốn gửi lưu lượng IPSec tới đầu bên kia, nó kiểm tra xem đã tồn tại một SA trong cơ sở dữ liệu hay chưa để hai bên có thể sử dụng dịch vụ an ninh theo yêu cầu. Nếu tìm thấy một SA đã tồn tại, nó để SPI của SA này trong tiêu đề IPSec, thực hiện các thuật toán mã hóa và gửi gói tin đi. Bên thu sẽ lấy SPI, địa chỉ đích, giao thức IPSec (AH hay ESP) và tìm SA trong cơ sở dữ liệu phù hợp để xử lý



gói tin đó. Lưu ý rằng với một đầu cuối IP-VPN có thể đồng thời tồn tại nhiều kết nối IPSec, vì vậy cũng có nghĩa là tồn tại nhiều SA.

1.12.1.2 Kết hợp các liên kết an ninh

Các gói IP truyền qua một SA riêng biệt được cung cấp sự bảo vệ một cách an toàn bởi giao thức an ninh, có thể là AH hoặc ESP nhưng không phải là cả hai. Đôi khi một chính sách an ninh có thể cần đến sự kết hợp của các dịch vụ cho một luồng giao thông đặc biệt mà không thể thực hiện được với một SA đơn lẻ. Trong trường hợp đó cần giao cho nhiều SA thực hiện chính sách an ninh theo yêu cầu. Thuật ngữ “cụm SA” được sử dụng để chỉ một chuỗi các SA được thiết lập để xử lý lưu lượng nhằm thỏa mãn một tập chính sách an ninh.

Đối với kiểu đường hầm, có ba trường hợp điển hình của kết hợp các liên kết an ninh được trình bày sau đây.

Cả hai điểm cuối của các SA đều trùng nhau

Mỗi đường hầm bên trong hay ngoài là AH hay ESP, mặc dù Host 1 có thể định rõ cả hai đường hầm là như nhau, tức là AH bên trong AH và ESP bên trong ESP (hình 3.11).

Hình 3.11 Kết hợp các SA kiểu đường hầm khi hai điểm cuối trùng nhau

Một điểm cuối của các SA trùng nhau

Đường hầm bên trong hay bên ngoài có thể là AH hay ESP (hình 3.12).

Hình 3.12 Kết hợp các SA kiểu đường hầm khi một điểm cuối trùng nhau

Không có điểm cuối nào của các SA trùng nhau

Chương trình bồi dưỡng kiến thức IP và NGN cho kỹ sư ĐTVT của VNPT

Trạm 1Trạm 1 Cổng an ninh 1

Cổng an ninh 1

Cổng an ninh 2

Cổng an ninh 2 Trạm 2Trạm 2Interne

t

Liên kết an ninh 1 (đường hầm)



Cổng an ninh 1

Cổng an ninh 2


t

Liên kết an ninh 1 (Tunnel)


47

MẠNG RIÊNG ẢO

Mỗi đường hầm bên trong hay bên ngoài là AH hay ESP (hình 3.13).

Hình 3.13 Kết hợp các SA kiểu đường hầm khi không có điểm cuối trùng nhau

Chi tiết về kết hợp các SA có được trình bày trong RFC 2401.

1.12.1.3 Cơ sở dữ liệu liên kết an ninh

Có hai cơ sở dữ liệu liên quan đến an ninh là:

- Cơ sở dữ liệu chính sách an ninh SPD (Security Policy Database)

- Cơ sở dữ liệu liên kết an ninh SAD (Security Association Database).

SPD chỉ ra những dịch vụ an ninh được đề nghị cho lưu lượng IP, phụ thuộc vào các yếu tố như nguồn, đích, chiều đi ra hay đi vào. Nó chứa đựng một danh sách những lối vào chính sách tồn tại riêng rẽ cho lưu lượng đi vào và đi ra. Các lối vào này có thể xác định một vài lưu lượng không qua xử lý IPSec, một vài phải được loại bỏ và còn lại thì được xử lý bởi IPSec. Các lối vào này là tương tự cho firewall hay bộ lọc gói.

SAD chứa thông số về mỗi SA, giống như các tính toán và khóa AH hay ESP, số trình tự, kiểu giao thức và thời gian sống của SA. Đối với xử lý đi ra, một lối vào SPD trỏ tới một lối vào trong SAD và SAD sẽ quyết định SA nào được sử dụng cho gói. Đối với xử lý đi vào, SAD được tham khảo để quyết định gói được xử lý như thế nào.

1.12.2 Hoạt động trao đổi khóa IKE

Kết nối IPSec chỉ được hình thành khi SA đã được thiết lập. Tuy nhiên bản thân IPSec không có cơ chế để thiết lập SA. Chính vì vậy, IETF đã chọn phương án chia quá trình thiết lập kết nối IPSec ra làm hai phần: IPSec cung cấp việc xử lý ở mức gói, còn IKMP (Internet Key Management Protocol) chịu trách nhiệm thỏa thuận các liên kết an ninh. Sau khi cân nhắc một số phương án, trong đó có IKE (Internet Key Exchange), SKIP (Simple Key Internet Protocol) và Photuis, IETF đã quyết định chọn IKE là chuẩn để cấu hình SA cho IPSec.

Một đường hầm IPSec-VPN được thiết lập giữa hai bên qua các bước như sau:

- Bước 1. Quyết định lưu lượng nào cần được quan tâm bảo vệ tại một giao diện yêu cầu thiết lập phiên thông tin IPSec;

Chương trình bồi dưỡng kiến thức IP và NGN cho kỹ sư ĐTVT của VNPT


Cổng an ninh 1

Cổng an ninh 2


t

Liên kết an ninh 1


48


- Bước 2. Thương lượng chế độ chính (Main Mode) hoặc chế độ linh hoạt (Aggressive Mode) sử dụng IKE, kết quả là tạo ra liên kết an ninh IKE (IKE SA) giữa các bên IPSec;

- Bước 3. Thương lượng chế độ nhanh (Quick Mode) sử dụng IKE, kết quả là tạo ra hai IPSec SA giữa hai bên IPSec;

- Bước 4. Dữ liệu bắt đầu truyền qua đường hầm mã hóa sử dụng kỹ thuật đóng gói ESP hay AH (hoặc cả hai);

- Bước 5. Kết thúc đường hầm IPSec-VPN (nguyên nhân có thể là do IPSec SA kết thúc, hết hạn hoặc bị xóa).

Tuy quá trình thiết lập kết nối gồm bốn bước, các bước thứ hai và ba là quan trọng hơn cả. Hai bước này định ra một cách rõ ràng rằng IKE có tất cả hai pha. Pha thứ nhất sử dụng chế độ chính hoặc chế độ linh hoạt để trao đổi giữa các bên, còn pha thứ hai được hoàn thành nhờ sử dụng chế độ trao đổi nhanh (hình 3.14).

Hình 3.14 Các pha và chế độ trao đổi khóa IKE

Sau đây chúng ta sẽ đi xem xét cụ thể các bước và mục đích của các pha IKE.

1.12.2.1 Bước thứ nhất

Việc quyết định lưu lượng nào cần bảo vệ là một phần trong chính sách an ninh của VPN. Chính sách sẽ được sử dụng để quyết định lưu lượng nào cần bảo vệ. Những lưu lượng khác không cần bảo vệ sẽ được gửi dưới dạng bản rõ (Clear-text).

Chính sách an ninh được phản ánh trong một danh sách truy nhập. Các bên phải chứa danh sách giống nhau, và có thể có nhiều danh sách truy nhập cho những mục đích khác nhau giữa các bên. Những danh sách này được gọi là danh sách điều khiển truy nhập ACL (Access Control List). Nó đơn giản là danh sách truy nhập IP mở rộng của các bộ định tuyến sử dụng để biết lưu lượng nào cần mật mã. ACL làm việc dựa vào các câu lệnh khác nhau là Permit (cho phép) và Deny (từ chối). Hình 3.15 trình


MẠNG RIÊNG ẢO

bày hoạt động điều khiển truy nhập mật mã theo ACL khi thực hiện các lệnh Permit và Deny tại nguồn và đích.

Hình 3.15 Hoạt động điều khiển truy nhập mật mã theo ACL

Các từ khóa Permit và Deny có ý nghĩa khác nhau giữa thiết bị nguồn và đích. Tại bên nguồn ý nghĩa của chúng như sau:

• Permit: chuyển lưu lượng tới IPSec để xác thực, mật mã hóa hoặc cả hai.

IPSec thay đổi gói tin bằng cách chèn tiêu đề AH hoặc ESP, có thể mật mã

một phần hoặc tất cả gói tin nguồn và truyền chúng tới bên đích.

• Deny: cho qua lưu lượng và đưa các gói tin bản rõ tới bên nhận.

Tại bên đích ý nghĩa của các từ khóa Permit và Deny như sau:

• Permit: chuyển lưu lượng tới IPSec để xác thực, giải mã hoặc cả hai. ACL sử

dụng thông tin trong tiêu đề để quyết định. Trong logic của ACL, nếu như tiêu

đề chứa nguồn, đích, giao thức đúng thì gói tin đã được xử lý bởi IPSec tại

phía gửi và như vậy phải được xử lý ở phía thu.

• Deny: cho qua với giả sử rằng lưu lượng đã được gửi ở dạng bản rõ.

Khi những từ khóa Permit và Deny được sử dụng kết hợp một cách chính xác giữa nguồn và đích, dữ liệu được truyền và bảo vệ thành công. Khi chúng không kết hợp chính xác, dữ liệu sẽ bị loại bỏ.

1.12.2.2 Bước thứ hai

Bước thứ hai này chính là hoạt động IKE pha một. Mục đích của pha này là:

- Thương lượng một tập các tham số được sử dụng để xác thực hai bên và mật mã một phần ở chế độ chính, còn toàn bộ trao đổi thực hiện trong chế độ



nhanh. Không có bản tin nào ở chế độ linh hoạt được mật mã nếu chế độ linh hoạt được sử dụng để thương lượng.

- Hai bên tham gia VPN xác thực với nhau.

- Tạo khóa để sử dụng làm tác nhân sinh ra khóa mã và mã hóa dữ liệu ngay sau khi việc thương lượng kết thúc.

Tất cả thông tin thương lượng trong chế độ chính hay linh hoạt, bao gồm khóa sử dụng sau đó để tạo khóa cho quá trình mật mã dữ liệu, được lưu với tên gọi là liên kết an ninh IKE hay ISAKMP (Internet Security Association and Key Management Protocol). Bất kỳ bên nào trong hai bên cũng chỉ có một liên kết an ninh ISAKMP.

Hình 3.16 IKE pha một sử dụng chế độ chính

Chế độ chính có 6 trao đổi bản tin (3 trao đổi hai chiều) giữa bên khởi tạo và biên nhận (hình 3.16).

- Trao đổi thứ nhất. Các thuật toán mật mã và xác thực (sử dụng để bảo vệ các trao đổi IKE) sẽ được thương lượng và thỏa thuận giữa các đối tác.

- Trao đổi thứ hai. Sử dụng trao đổi Diffie-Hellman để tạo khóa bí mật chia sẻ (shared secret keys), trao đổi các số ngẫu nhiên (nonces) để khẳng định xác thực của mỗi đối tác. Khóa bí mật chia sẻ được sử dụng để tạo ra tất cả các khóa bảo mật và xác thực khác.

- Trao đổi thứ ba. Kiểm tra xác thực các bên (đối tác). Kết quả của chế độ chính là tạo ra một đường truyền thông an toàn cho các trao đổi tiếp theo giữa hai đối tác.

Chế độ nhanh thực hiện 3 trao đổi bản tin. Hầu hết các hoạt động đều được thực hiện trong trao đổi thứ nhất: thỏa thuận các tập chính sách IKE, tạo khóa công cộng Diffie-Hellman, và một gói xác thực có thể sử dụng để xác thực thông qua một bên thứ ba. Bên nhận gửi trở lại mọi thứ cần thiết để hoàn thành việc trao đổi. Cuối cùng bên khởi tạo khẳng định việc trao đổi.


MẠNG RIÊNG ẢO

Các tập chính sách IKE

Khi thiết lập một kết nối VPN an toàn giữa hai trạm A và B thông qua Internet, một đường hầm được thiết lập giữa các bộ định tuyến A và B. Thông qua đường hầm, các giao thức mật mã, xác thực và một số giao thức khác được thỏa thuận. Thay vì phải thỏa thuận từng giao thức một, các giao thức được nhóm thành các tập và được gọi là tập chính sách IKE (IKE Policy Set). Các tập chính sách IKE được trao đổi trong IKE pha một, trao đổi thứ nhất. Nếu một chính sách thống nhất được tìm thấy ở hai phía thì trao đổi được tiếp tục. Nếu không tìm thấy chính sách thống nhất nào, đường hầm sẽ bị loại bỏ.

Ví dụ, bộ định tuyến A gửi các tập chính sách IKE Policy 10 và 20 tới B. Bộ định tuyến B so sánh tập chính sách của nó, IKE Policy 15, với các tập chính sách nhận được từ A. Trong trường hợp này, một chính sách thống nhất được tìm thấy: IKE Policy 10 của bộ định tuyến A và IKE Policy 15 của bộ định tuyến B là tương đương. Trong ứng dụng điểm-điểm, mỗi bên chỉ cần định nghĩa một tập chính sách IKE. Tuy nhiên ở mạng trung tâm có thể phải định nghĩa nhiều chính sách IKE để đáp ứng nhu cầu của tất cả các đối tác từ xa.

Trao đổi khóa Diffie-Hellman

Trao đổi khóa Diffie-Hellman là phương pháp mật mã khóa công khai cho phép hai bên thiết lập một khóa bí mật chung qua một môi trường truyền thông không an

toàn. Có 7 thuật toán hay nhóm Diffie-Hellman được định nghĩa (DH 1÷7). Trong IKE

pha một, các bên phải thỏa thuận nhóm Diffie-Hellman được sử dụng. Khi đã hoàn tất việc thỏa thuận nhóm, khóa bí mật chung sẽ được tính.

Xác thực đối tác

Trao đổi cuối cùng của IKE pha một có mục đích là để xác thực đối tác, nghĩa là kiểm tra xem ai đang ở phía bên kia của đường hầm VPN. Các thiết bị ở hai đầu đường hầm VPN phải được xác thực trước khi đường truyền thông được coi là an toàn. Có ba phương pháp hỗ trợ việc xác thực nguồn gốc dữ liệu là sử dụng khóa chia sẻ trước, chữ ký số RSA và số ngẫu nhiên mật mã RSA.

1.12.2.3 Bước thứ ba

Bước thứ ba chính là IKE pha hai. Mục đích của pha này là để thỏa thuận các thông số an ninh IPSec sử dụng cho việc bảo vệ đường hầm. Chỉ có một chế độ nhanh được sử dụng cho IKE pha hai.

IKE pha hai thực hiện các chức năng sau:

- Thỏa thuận các thông số an ninh IPSec, các tập chuyển đổi IPSec;

- Thiết lập các liên kết an ninh IPSec;

- Định kỳ thỏa thuận lại IPSec SA để đảm bảo tính an ninh của đường hầm;



- Thực hiện một trao đổi Diffie-Hellman bổ sung (các SA và khóa mới được tạo ra, làm tăng tính an ninh cho đường hầm).

Chế độ nhanh cũng được sử dụng để thỏa thuận lại một liên kết an ninh mới khi liên kết an ninh cũ đã hết hạn. Khi đó các bên có thể không cần quay trở lại bước thứ hai nữa mà vẫn đảm bảo thiết lập một SA cho phiên truyền thông mới.

Các tập chuyển đổi IPSec

Mục đích cuối cùng của IKE pha hai là thiết lập một phiên IPSec an toàn giữa hai điểm cuối VPN. Trước khi thực hiện được điều đó, mỗi cặp điểm cuối lần lượt thỏa thuận mức độ an ninh cần thiết (ví dụ các thuật toán xác thực và mật mã dùng trong phiên). Thay vì phải thỏa thuận riêng từng giao thức hay thuật toán đơn lẻ, các giao thức và thuật toán này được nhóm thành các tập, gọi là tập chuyển đổi IPSec (Transform Set). Các tập chuyển đổi này được trao đổi giữa hai phía trong chế độ nhanh. Nếu tìm thấy một tập chuyển đổi tương đương ở hai phía thì quá trình thiết lập phiên tiếp tục, ngược lại thì phiên đó sẽ bị loại bỏ.

Hình 3.17 Trao đổi các tập chuyển đổi IPSec

Trên hình 3.17 là ví dụ về việc trao đổi các tập chuyển đổi IPSec. Bộ định tuyến A gửi tập chuyển đổi 30 và 40 tới B, bộ định tuyến B kiểm tra thấy tập chuyển đổi 50 phù hợp với tập chuyển đổi 30 của A, các thuật toán xác thực và mật mã trong các tập chuyển đổi này hình thành một liên kết an ninh.

Thiết lập liên kết an ninh

Khi một tập chuyển đổi đã được thống nhất giữa hai bên, mỗi thiết bị IP-VPN sẽ đưa thông tin này vào một cơ sở dữ liệu. Thông tin này được biết đến như là một liên


MẠNG RIÊNG ẢO

kết an ninh SA. Thiết bị IP-VPN sau đó sẽ đánh số mỗi SA bằng một chỉ số SPI. Khi có yêu cầu gửi gói tin giữa hai đầu VPN, các thiết bị sẽ dựa vào địa chỉ đối tác, các chỉ số SPI, thuật toán IPSec được dùng để xử lý gói tin trước khi truyền trong đường hầm.

Thời gian sống của một liên kết an ninh

Thời gian sống của một liên kết an ninh càng lớn thì càng có nhiều khả năng mất an toàn. Để đảm an toàn cho phiên truyền thông thì các khóa và các SA phải được thay đổi thường xuyên. Có hai cách tính thời gian sống của SA là theo số lượng dữ liệu được truyền đi và theo giây. Các khóa và SA có hiệu lực cho đến khi hết thời gian tồn tại của SA hoặc đến khi đường hầm bị ngắt, khi đó SA bị xóa bỏ.

1.12.2.4 Bước thứ tư

Sau khi đã hoàn thành IKE pha hai và chế độ nhanh đã thiết lập liên kết an ninh IPSec SA, lưu lượng có thể được trao đổi giữa các bên IP-VPN thông qua một đường hầm an toàn (hình 3.18). Quá trình xử lý gói tin (mã hóa, mật mã, đóng gói) phụ thuộc vào các thông số được thiết lập của SA.

Hình 3.18 Đường hầm IPSec được thiết lập

1.12.2.5 Kết thúc đường hầm

Các liên kết an ninh IPSec SA kết thúc khi bị xóa bỏ hoặc hết thời gian tồn tại. Khi đó các bên IP-VPN không sử dụng các SA này nữa và bắt đầu giải phóng cơ sở dữ liệu của SA. Các khóa cũng bị loại bỏ. Nếu ở thời điểm này các bên IP-VPN vẫn còn muốn trao đổi thông tin với nhau thì một IKE pha hai mới sẽ được thực hiện. Trong trường hợp cần thiết thì cũng có thể thực hiện lại từ IKE pha một. Thông thường, để đảm bảo tính liên tục của thông tin thì các SA mới được thiết lập trước khi các SA cũ hết hạn.

1.13 Một số vấn đề kĩ thuật trong thực hiện VPN trên nền IPSec

IPSec sử dụng nhiều giao thức và kĩ thuật đang tồn tại để mã hóa, xác thực dữ liệu và trao đổi khóa. Điều này làm cho IPSec trở thành tiêu chuẩn phổ biến trong các ứng dụng đảm bảo an ninh thông tin như VPN. Sau đây trình bày khái quát về một số giao thức và kĩ thuật mật mã, đảm bảo toàn vẹn thông tin, xác thực các bên cũng như là quản lí và trao đổi khóa. Đây là những kĩ thuật cơ bản có liên quan chặt chẽ đến việc thực hiện VPN trên nền IPSec.



1.13.1 Mật mã

Có thể mật mã bản tin khi sử dụng giao thức ESP. Bản tin mật mã cho phép gửi thông tin qua mạng công cộng mà không sợ bị xâm phạm dữ liệu. Một số tiêu chuẩn cơ bản để mật mã dữ liệu là DES (Data Encryption Standard) có độ dài khoá 56 bit, 3DES (Triple DES) có độ dài khoá 168 bit và AES (Advanced Encryption Standard) có độ dài khoá 128, 192 hoặc 256 bit. Các thuật toán này sử dụng một khoá để mã hoá và giải mã thông tin.

DES

DES là phương pháp mật mã dữ liệu tiêu chuẩn cho một số giải pháp VPN. Được IBM phát triển vào năm 1977, DES áp dụng một khóa 56 bit cho 64 bit dữ liệu và là một trong những kỹ thuật mật mã mạnh. Nó được xem như là không thể bẻ gãy tại thời điểm đó, nhưng sau này các máy tính tốc độ cao hơn đã bẻ gãy DES trong khoảng thời gian ngắn (ít hơn một ngày), vì vậy DES không được sử dụng lâu dài cho những ứng dụng bảo mật cao.

Kỹ thuật DES-CBC là một trong rất nhiều phương pháp của DES. CBC (Cipher Block Chaining – chế độ chuỗi khối mật mã) yêu cầu một vectơ khởi tạo IV (Initialization Vector) để bắt đầu mật mã. IPSec đảm bảo cả hai phía VPN cùng có một IV hay một khóa bí mật chia sẻ. Khóa bí mật chia sẻ được đặt vào thuật toán mật mã DES để mật mã những khối 64 bit do bản rõ chia ra. Bản rõ được chuyển đổi thành dạng mật mã và được đưa tới ESP để truyền qua bên kia. Khi xử lý ngược lại, khóa bí mật chia sẻ được sử dụng để tạo lại bản rõ.

3DES

Một phiên bản của DES là 3DES. Nó có tên như vậy vì thực hiện 3 quá trình mật mã. 3DES sử dụng một quá trình đóng gói, một quá trình mở gói và một quá trình đóng gói khác với khóa 56 bit khác nhau. Ba quá trình này tạo ra một tổ hợp khóa 168 bit, cung cấp phương thức mã hoá mạnh. Tất cả các sản phẩm và phần mềm Cisco VPN đều hỗ trợ thuật toán mã hoá 3DES với khoá 168 bit và thuật toán DES 56 bit.

AES

Hiện nay, nhiều tổ chức uy tín đề nghị đưa ra một số thuật toán cho AES như thuật toán MARS (IBM), RC6 (RSA), Twofish (Bruce Schneier), Rijndael (Joan Daemen/Vincent Rijmen), v.v. Năm 2000, NIST (US National Institute of Standard and Technology) đã chọn thuật toán Rijndael, thực hiện mạng hoán vị thay thế cải tiến 10 vòng cho chuẩn AES.

Trong tương lai, AES sẽ là chuẩn mật mã khối đối xứng và sẽ được thực hiện trên cả phần cứng và phần mềm. AES sẽ được thiết kế để tăng độ dài khoá khi cần thiết. Độ dài khối dữ liệu của AES là 128 bit, còn độ dài khoá có thể là 128, 192 hoặc 256 bit.


MẠNG RIÊNG ẢO

1.13.2 Toàn vẹn bản tin

Sự toàn vẹn bản tin được thực hiện nhờ sử dụng một hàm băm toán học để tính toán đặc trưng của bản tin hay của file dữ liệu. Đặc trưng này được gọi là giản lược bản tin MD (Message Digest) và độ dài phụ thuộc vào hàm băm được sử dụng. Tất cả hoặc một phần của giản lược bản tin được truyền với dữ liệu tới trạm đích, nơi mà sẽ thực hiện cùng một hàm băm để tạo giản lược của bản tin nhận được. Giản lược bản tin nguồn và đích sẽ được đối chiếu, và bất cứ sai lệch nào đều có nghĩa là bản tin đã bị biến đổi kể từ khi bản tin nguồn được thiết lập. Sự tương xứng với nhau có nghĩa là dữ liệu không bị biến đổi trong quá trình truyền.

Khi sử dụng giao thức IPSec, việc tạo giản lược bản tin được áp dụng với các trường không biến đổi trong gói tin IP. Các trường biến đổi được thay thế bằng giá trị 0 hoặc giá trị có thể dự đoán được. Giản lược bản tin MD sau đó được đặt vào trường dữ liệu xác thực (ICV) của AH. Thiết bị đích sau đó sao chép MD từ AH và tách trường dữ liệu xác thực trước khi tính toán lại MD.

Với giao thức ESP việc xử lý cũng tương tự. Giản lược bản tin được tạo nhờ sử dụng dữ liệu không biến đổi trong gói tin IP bắt đầu từ tiêu đề ESP và kết thúc là phần đuôi ESP. Giá trị MD tính toán được sau đó đặt vào trường ICV tại cuối của gói tin. Với ESP, trạm đích không cần tách trường ICV bởi vì nó đặt bên ngoài phạm vi hàm băm thông thường.

Có hai thuật toán chính để hỗ trợ toàn vẹn bản tin là MD5 và SHA-1 (Secure Hash Algorithm-1). Chúng sử dụng cơ chế khóa băm gọi là HMAC (Hashed-keyed Message Authenticaiton Code). Sau đây giới thiệu khái quát về những công cụ đảm bảo toàn vẹn bản tin này.

Mã xác thực bản tin băm HMAC

RFC 2104 trình bày về thuật toán HMAC. Nó được phát triển để làm việc cùng với các thuật toán băm đang tồn tại là MD5 và SHA-1. Nhiều quá trình xử lý an ninh phức tạp trong chia sẻ dữ liệu yêu cầu sử dụng khóa bí mật và một cơ chế gọi là mã xác thực bản tin MAC (Message Authentication Code). Một bên tạo MAC sử dụng khóa bí mật và truyền cho bên kia. Bên nhận tạo lại MAC sử dụng cùng một khóa bí mật và so sánh hai giá trị MAC với nhau.

MD5 và SHA-1 có nguyên lí tương tự nhau, nhưng chúng sử dụng khóa bí mật khác nhau. Điều này chính là yêu cầu để phát triển HMAC. HMAC thêm vào một khóa bí mật cho tiêu chuẩn thuật toán băm tính toán giản lược bản tin. Khóa bí mật được thêm vào theo thể thức cùng độ dài nhưng kết quả giản lược bản tin sẽ khác nhau khi sử dụng thuật toán khác nhau.

Thuật toán giản lược bản tin MD5



Thuật toán MD5 thực hiện giản lược bất kì bản tin hay trường dữ liệu nào thành một mô tả ngắn gọn 128 bit. Với HMAC-MD5-96, khóa bí mật có độ dài là 128 bit. Với AH và ESP, HMAC chỉ sử dụng có 96 bit nằm bên trái, đặt chúng vào trường xác thực. Bên đích sau đó tính toán lại 128 bit giản lược bản tin nhưng chỉ sử dụng 96 bit nằm bên trái để so sánh với giá trị được lưu trong trường xác thực.

MD5 tạo ra một giản lược bản tin ngắn hơn SHA-1, được xem là ít an toàn hơn nhưng kết quả lại được thực hiện tốt hơn. Tuy nhiên, MD5 không có HMAC là yếu hơn cho những lựa chọn dịch vụ bảo mật.

Thuật toán băm an toàn SHA

Thuật toán băm an toàn SHA được mô tả trong RFC 2404. SHA-1 tạo ra một giản lược bản tin dài 160 bit và sử dụng khóa bí mật 160 bit. Có thể với một vài sản phẩm thì nó sẽ lấy 96 bít bên trái của giản lược bản tin để gửi vào trường xác thực. Bên thu tạo lại giản lược bản tin 160 bit sử dụng khóa bí mật 160 bit và chỉ so sánh 96 bit bên trái với giản lược bản tin trong khung của trường xác thực.

Giản lược bản tin SHA-1 dài hơn và an toàn hơn so với MD5. Điều này được xem như là khá an toàn, nhưng nếu cần một mức độ an toàn cao cho toàn vẹn bản tin thì có thể chọn thuật toán HMAC-SHA-1.

1.13.3 Xác thực các bên

Một trong những xử lý IKE là thực hiện xác thực các bên. Quá trình này diễn ra trong pha một sử dụng thuật toán khóa băm cùng với một trong ba loại khóa sau:

- Khóa chia sẻ trước (Pre-shared Keys);

- Chữ ký số RSA (RSA Signatures);

- Số ngẫu nhiên mật mã RSA (RSA-encrypted Nonces).

Khóa chia sẻ trước

Xử lý khóa chia sẻ trước là xử lý thủ công. Người quản trị tại một đầu cuối của IPSec-VPN đồng ý về khóa được sử dụng, sau đó đặt khóa vào thiết bị là trạm hoặc cổng an ninh một cách thủ công. Phương pháp này đơn giản, nhưng không được ứng dụng rộng rãi.

Chữ ký số RSA

Một chứng thực số của người có quyền chứng thực (CA – Certificate Authority) cung cấp chữ ký số RSA vào lúc đăng ký. Chữ ký số đảm bảo an ninh hơn là khóa chia sẻ. Một khi cấu hình ban đầu đã được hoàn thành, các bên sử dụng chữ ký số RSA có thể xác thực đối phương mà không cần sự can thiệp của người điều hành.

Khi một chữ ký số RSA được yêu cầu, một cặp khóa công cộng và khóa riêng được sinh ra. Trạm sử dụng khóa riêng tạo ra một chữ ký số và gửi chữ ký số của nó


MẠNG RIÊNG ẢO

tới bên kia. Bên nhận sử dụng khóa công cộng từ chữ ký số để phê chuẩn chữ ký số nhận được từ bên gửi.

Số ngẫu nhiên mật mã RSA

Phương pháp số ngẫu nhiên mật mã RSA sử dụng chuẩn mật mã RSA với khóa công cộng. Nó yêu cầu mỗi bên tạo ra một số giả ngẫu nhiên và mật mã hóa số này theo khóa công cộng của phía bên kia. Quá trình xác thực xảy ra khi mỗi bên giải mã giá trị số ngẫu nhiên của phía bên kia với khóa riêng cục bộ, sau đó sử dụng số ngẫu nhiên đã giải mã này để tính toán băm.

1.13.4 Quản lí khóa

Quản lí khóa là một vấn đề quan trọng khi làm việc với IPSec-VPN. Có 5 khóa cố định cho mọi bên IPSec quan hệ với nhau, bao gồm:

- 2 khóa riêng được làm chủ bởi mỗi bên và không bao giờ chia sẻ. Chúng được sử dụng để mật mã bản tin.

- 2 khóa công cộng được làm chủ bởi mỗi bên và chia sẻ cho mọi người. Những khóa này được sử dụng để kiểm tra chữ ký.

- Khóa thứ 5 được sử dụng là khóa bảo mật chia sẻ. Cả hai bên sử dụng khóa này cho mật mã và hàm băm. Đây là khóa được tạo ra bởi thuật toán Diffie-Hellman.

Trong thực tế, khóa riêng và khóa công cộng được sử dụng cho nhiều kết nối IPSec do một bên đưa ra. Đối với một tổ chức nhỏ, toàn bộ những khóa này có thể được quản lý thủ công. Tuy nhiên, khi cố gắng phân chia xử lí để hỗ trợ cho một số lượng lớn các phiên VPN thì sẽ xuất hiện nhiều vấn đề cần phải giải quyết. Giao thức Diffie-Hellman và kĩ thuật chứng thực số thông qua CA là hai trong số những giải pháp hiệu quả để quản lí khóa một cách tự động.

1.14 Ví dụ thực hiện VPN trên nền IPSec

Để minh họa toàn bộ quá trình thực hiện kết nối VPN trên nền IPSec, ta xem xét một ví dụ như trên hình 3.19.

Trước khi thiết lập kết nối IPSec, cần phải chắc chắn rằng các thiết bị đang sử dụng dọc theo đường dẫn của VPN đảm bảo có hỗ trợ IPSec (bao gồm các giao thức, thuật toán), và không có kết nối IPSec nào trước đó hoặc nếu có thì các tham số trong SA đang tồn tại phải không xung đột với các tham số chuẩn bị thiết lập. Có thể thực hiện lệnh “ping” để chắc chắn rằng kết nối đã sẵn sàng.

Trong ví dụ này, người sử dụng muốn truyền thông an toàn với mạng ở trụ sở chính. Khi gói dữ liệu tới bộ định tuyến người dùng (đóng vai trò là một cổng an ninh), bộ định tuyến này sẽ kiểm tra chính sách an ninh và nhận ra gói dữ liệu cần truyền là một ứng dụng của VPN và cần được bảo vệ. Chính sách an ninh cấu hình trước cũng cho biết bộ định tuyến tại mạng trụ sở chính sẽ là đầu phía bên kia của đường hầm IPSec-VPN.



Hình 3.19 Ví dụ thực hiện kết nối VPN trên nền IPSec

Bộ định tuyến người dùng kiểm tra xem đã có liên kết an ninh nào được thiết lập cho phiên truyền thông này hay chưa. Nếu chưa có thì bắt đầu quá trình thương lượng IKE. Certificate Authority có chức năng giúp trụ sở chính xác thực người sử dụng xem có được phép thực hiện phiên truyền thông này hay không. Biện pháp xác thực ở đây là sử dụng chữ ký số được cung cấp bởi một đối tác có quyền chứng thực mà hai bên đều tin cậy. Ngay sau khi hai bộ định tuyến đã thỏa thuận được một IKE SA thì IPSec SA tức thời được tạo ra. Trong trường hợp thỏa thuận IKE SA không đạt được thì hai bên có thể tiến hành thương lượng lại hoặc ngừng phiên kết nối thông tin.

Việc tạo ra IPSec SA chính là kết quả của quá trình thỏa thuận giữa các bên về các chính sách an ninh, thuật toán mật mã (chẳng hạn là DES), thuật toán xác thực (chẳng hạn MD5), và một khóa chia sẻ được sử dụng. Dữ liệu về SA được lưu trong cơ sở dữ liệu của mỗi bên.

Tới đây, bộ định tuyến người sử dụng sẽ đóng gói dữ liệu theo các yêu cầu đã thỏa thuận trong IPSec SA (thuật toán mật mã, xác thực, giao thức đóng gói là AH hay ESP, …), sau đó thêm các thông tin thích hợp để đưa gói tin được mã hóa này về dạng gói IP và chuyển tới bộ định tuyến nối với mạng trung tâm. Khi nhận được gói tin từ bộ định tuyến người dùng gửi đến, bộ định tuyến mạng trung tâm tìm kiếm IPSec SA, xử lý gói theo yêu cầu, đưa về dạng gói tin ban đầu và chuyển tới mạng trung tâm.

1.15 Các vấn đề còn tồn tại trong IPSec

Mặc dù IPSec đã sẵn sàng đưa ra các đặc tính cần thiết để đảm bảo thiết lập kết nối VPN an toàn thông qua mạng Internet, nó vẫn còn ở trong giai đoạn phát triển để hướng tới hoàn thiện. Sau đây là một số vấn đề đặt ra mà IPSec cần phải giải quyết để hỗ trợ tốt hơn cho việc thực hiện VPN:


MẠNG RIÊNG ẢO

- Tất cả các gói được xử lý theo IPSec sẽ bị tăng kích thước do phải thêm vào các tiêu đề khác nhau, và điều này làm cho thông lượng hiệu dụng của mạng giảm xuống. Vấn đề này có thể được khắc phục bằng cách nén dữ liệu trước khi mã hóa, song các kĩ thuật như vậy vẫn còn đang nghiên cứu và chưa được chuẩn hóa.

- IKE vẫn là công nghệ chưa thực sự khẳng định được khả năng của mình. Phương thức chuyển khoá thủ công lại không thích hợp cho mạng có số lượng lớn các đối tượng di động.

- IPSec được thiết kế chỉ để hỗ trợ bảo mật cho lưu lượng IP, không hỗ trợ các dạng lưu lượng khác.

- Việc tính toán nhiều giải thuật phức tạp trong IPSec vẫn còn là một vấn đề khó đối với các trạm làm việc và máy PC năng lực yếu.

- Việc phân phối các phần cứng và phần mềm mật mã vẫn còn bị hạn chế đối với chính phủ của một số quốc gia.

1.16 Kết chương

Bảo mật là một trong những khía cạnh quan trọng nhất của các công nghệ triển khai trên nền IP, đặc biệt là đối với công nghệ VPN. Làm chủ và ứng dụng hệ thống giao thức bảo mật một cách hiệu quả nhằm đem lại các điều kiện tốt nhất cho người sử dụng dịch vụ là mục tiêu của hầu hết các nhà thiết kế và khai thác mạng. Giao thức IPSec được phát triển để giải quyết vấn đề bảo đảm an ninh cho thông tin truyền trên mạng Internet và được coi là giao thức tối ưu nhất cho việc thực hiện IP-VPN. Nó là một tập hợp các tiêu chuẩn mở, cung cấp các dịch vụ bảo mật dữ liệu và điều khiển truy nhập.

Chương này đã trình bày các đặc điểm quan trọng nhất của IPSec và hoạt động của các giao thức liên quan. Trong nội dung của chương cũng đề cập đến những vấn đề kĩ thuật cơ bản để đảm bảo truyền thông an toàn trong IPSec-VPN như các tiêu chuẩn mật mã, các công cụ kiểm tra tính toàn vẹn thông tin, các thuật toán xác thực cũng như là kĩ thuật quản lí và trao đổi khóa. Cuối chương là ví dụ minh họa quá trình thiết lập kết nối VPN và một số vấn đề đặt ra đối với việc thực hiện VPN trên nền IPSec.

Hiệu quả bảo đảm an ninh cho số liệu truyền trên mạng phụ thuộc nhiều vào các giải pháp được triển khai để bảo mật dữ liệu, công cụ khoá sử dụng, các thuật toán mã hóa và độ phức tạp của chúng, v.v. Qua các nội dung trình bày trong chương này, người đọc sẽ nắm bắt được những vấn đề kỹ thuật cơ bản liên quan đến việc thực hiện VPN dựa trên IPSec, các ưu điểm, khả năng ứng dụng cũng như những vấn đề còn tồn tại cần phải giải quyết trong giao thức IPSec.


CHƯƠNG 4

MẠNG RIÊNG ẢO TRÊN NỀN MPLS

MPLS-VPN được coi là sự kết hợp các ưu điểm của cả hai mô hình mạng riêng ảo chồng lấn và ngang hàng. Việc thiết lập các mạng riêng ảo trên nền MPLS cho phép đảm bảo định tuyến tối ưu giữa các site khách hàng, phân biệt địa chỉ khách hàng thông qua nhận dạng tuyến và hỗ trợ xây dựng các mô hình VPN phức tạp trên cơ sở đích định tuyến.

Chương này trình bày những vấn đề cơ bản nhất về mạng riêng ảo trên nền MPLS, nguyên lí hoạt động cũng như những khả năng mà MPLS-VPN mang lại. Các đặc điểm chính của hai loại hình mạng riêng ảo trên nền IPSec và MPLS cũng được so sánh để qua đó làm nổi bật những ưu điểm của giải pháp MPLS-VPN.


Các thành phần của MPLS-VPN

Các mô hình MPLS-VPN

Hoạt động của MPLS-VPN

Bảo mật trong MPLS-VPN

Chất lượng dịch vụ trong MPLS-VPN

So sánh các đặc điểm của VPN trên nền IPSec và MPLS


MẠNG RIÊNG ẢO

1.17 Các thành phần của MPLS-VPN

1.17.1 Hệ thống cung cấp dịch vụ MPLS-VPN

Một khái niệm quan trọng cần nhắc lại khi nghiên cứu về mạng riêng ảo trên nền MPLS là site. VPN là một tập hợp nhiều site chia sẻ cùng thông tin định tuyến chung. Như vậy, một site có thể thuộc về nhiều hơn một VPN nếu nó nắm giữ các tuyến từ mỗi VPN riêng. Điều này cung cấp khả năng xây dựng các VPN cục bộ, mở rộng cũng như các VPN truy nhập từ xa. Khi các site của VPN thuộc về một doanh nghiệp thì VPN đó được coi là cục bộ, còn nếu các site của VPN thuộc về những doanh nghiệp khác nhau thì VPN đó là VPN mở rộng.

Một cách khái quát, mô hình hệ thống cung cấp dịch vụ MPLS-VPN được thể hiện trên hình 4.1.

Hình 4.1 Hệ thống cung cấp dịch vụ MPLS-VPN và các thành phần

Như trên hình vẽ có thể thấy, các thành phần cơ bản trong MPLS-VPN bao gồm:

- Mạng lõi IP/MPLS được quản trị bởi nhà cung cấp dịch vụ;

- Bộ định tuyến lõi của mạng nhà cung cấp;

- Bộ định tuyến biên của mạng, cung cấp thông tin định tuyến của khách hàng và thực hiện đáp ứng dịch vụ cho khách hàng từ phía nhà cung cấp;

- Bộ định tuyến biên của các hệ tự trị AS (Autonomous System), thực hiện vai trò kết nối với các AS khác. Những AS này có thể có cùng hoặc khác nhà điều hành;

- Mạng khách hàng, được coi là mạng truy nhập tới vùng mạng lõi;

- Bộ định tuyến khách hàng, đóng vai trò là cầu nối giữa mạng khách hàng và mạng của nhà cung cấp. Những bộ định tuyến này có thể được quản trị bởi khách hàng hoặc nhà cung cấp dịch vụ.


CHƯƠNG 4 - MẠNG RIÊNG ẢO TRÊN NỀN MPLS

1.17.2 Bộ định tuyến biên nhà cung cấp dịch vụ

Như đã giới thiệu ở trên, thành phần rất quan trọng và không thể thiếu khi triển khai MPLS-VPN là các thiết bị định tuyến biên của nhà cung cấp dịch vụ. Các bộ định tuyến biên PE trong MPLS-VPN có kiến trúc giống như kiến trúc VPN ngang hàng dùng chung bộ định tuyến chia sẻ, chỉ có sự khác biệt là toàn bộ mọi thứ được tập trung trong một thiết bị vật lý (hình 4.2).

Hình 4.2 Bộ định tuyến PE và sơ đồ kết nối các site khách hàng

Như thể hiện trên hình vẽ, mỗi khách hàng đăng kí một bảng định tuyến độc lập gọi là bảng định tuyến ảo, tương ứng với một bộ định tuyến ảo như trong mô hình VPN ngang hàng. Một bộ định tuyến ảo cho phép nhiều site của khách hàng cùng kết nối tới nó. Việc định tuyến qua mạng của nhà cung cấp được thực hiện bởi một tiến trình định tuyến khác, sử dụng bảng định tuyến toàn cục.

1.17.3 Bảng định tuyến và chuyển tiếp ảo

Sự kết hợp giữa bảng định tuyến và bảng chuyển tiếp VPN tạo thành một bảng định tuyến chuyển tiếp ảo VRF (Vitual Routing and Forwarding). Mỗi VPN đều có bảng định tuyến và chuyển tiếp riêng của nó trong bộ định tuyến PE, và mỗi bộ định tuyến PE duy trì một hoặc nhiều bảng VRF. Mỗi site mà có bộ định tuyến PE nối vào đó sẽ liên kết với một trong các bảng này. Địa chỉ IP đích của một gói tin chỉ được kiểm tra trong bảng VRF mà nó thuộc về nếu gói tin này đến trực tiếp từ site tương ứng với bảng VRF đó. Một VRF đơn giản chỉ là một tập hợp các tuyến thích hợp cho một site nào đó (hoặc một tập hợp gồm nhiều site) kết nối đến bộ định tuyến PE. Các tuyến này có thể thuộc về một hoặc nhiều VPN.

Ví dụ, giả sử có 3 bộ định tuyến PE là PE1, PE2, PE3, và 3 bộ định tuyến CE là CE1, CE2, CE3. Cũng giả sử rằng PE1 tiếp nhận từ CE1 các tuyến hợp lệ ở site CE1,


MẠNG RIÊNG ẢO

còn PE2 và PE3 tương ứng được nối tới các site CE2 và CE3. Cả ba site này đều thuộc về cùng một VPN V. Khi đó PE1 sẽ sử dụng BGP để phân phối cho PE2 và PE3 các tuyến mà nó học được từ site CE1. PE2 và PE3 sử dụng các tuyến này để đưa vào bảng chuyển tiếp dành cho site CE2 và CE3. Các tuyến từ những site không thuộc vào VPN V sẽ không xuất hiện trong bảng chuyển tiếp này, có nghĩa là các gói tin từ CE2 và CE3 không thể gửi đến những site không thuộc VPN V.

Nếu một site thuộc về nhiều VPN, bảng chuyển tiếp tương ứng với site đó có thể có nhiều tuyến liên quan đến tất cả VPN mà nó phụ thuộc. PE chỉ duy trì một bảng VRF cho một site. Các site khác nhau có thể chia sẻ cùng một bảng VRF nếu sử dụng tập hợp các tuyến một cách chính xác như trong bảng VRF đó. Nếu tất cả các site có thông tin định tuyến giống nhau (điều này thường là do các site đó cùng thuộc về tập hợp VPN) thì chúng sẽ được phép liên lạc trực tiếp với nhau, và nếu kết nối đến cùng một bộ định tuyến PE thì chúng sẽ được đặt vào cùng một bảng VRF chung.

Giả sử bộ định tuyến PE nhận được gói tin từ một site nối trực tiếp với nó. Ta gọi site này là site A nhưng địa chỉ đích của gói tin không có trong tất cả các thực thể của bảng chuyển tiếp tương ứng với site A. Nếu nhà cung cấp dịch vụ không cung cấp khả năng truy nhập Internet cho site A thì gói tin sẽ bị loại bỏ vì không thể phân phối được đến đích. Nhưng nếu nhà cung cấp dịch vụ có hỗ trợ truy nhập Internet cho site A thì lúc này địa chỉ đích của gói tin sẽ được tìm kiếm trong bảng định tuyến toàn cục. Do đó, bất kì bộ định tuyến PE nào trong mạng MPLS-VPN cũng đều có nhiều bảng định tuyến trên mỗi VRF và một bảng định tuyến toàn cục. Bảng định tuyến này được sử dụng để tìm các bộ định tuyến khác trong mạng nhà cung cấp dịch vụ cũng như các đích thuộc về mạng bên ngoài (ví dụ như Internet).

Tóm lại, VRF được sử dụng cho một site VPN hoặc cho nhiều site kết nối đến cùng một bộ định tuyến PE miễn là những site này chia sẻ chính xác các yêu cầu kết nối giống nhau. Do đó, cấu trúc của bảng VRF có thể bao gồm:

- Bảng định tuyến IP;

- Bảng chuyển tiếp;

- Tập hợp các quy tắc và các tham số giao thức định tuyến (gọi là Routing Protocol Context);

- Danh sách các giao diện sử dụng trong VRF.

1.18 Các mô hình MPLS-VPN

Hiện nay có hai mô hình triển khai mạng riêng ảo trên nền MPLS phổ biến là mạng riêng ảo lớp 3 (L3VPN) và mạng riêng ảo lớp 2 (L2VPN). Sau đây sẽ giới thiệu những đặc điểm chính của hai mô hình này.

1.18.1 Mô hình L3VPN



Kiến trúc mạng riêng ảo L3VPN được chia thành hai lớp, tương ứng với các lớp 3 và 2 của mô hình OSI. L3VPN dựa trên RFC 2547 bis, mở rộng một số đặc tính cơ bản của giao thức cổng biên BGP (Border Gateway Protocol) và tập trung vào hướng đa giao thức của BGP nhằm phân bổ các thông tin định tuyến qua mạng lõi của nhà cung cấp dịch vụ cũng như là chuyển tiếp các lưu lượng VPN qua mạng lõi.

Trong kiến trúc L3VPN, các bộ định tuyến khách hàng và của nhà cung cấp được coi là các phần tử ngang hàng. Bộ định tuyến biên khách hàng CE cung cấp thông tin định tuyến tới bộ định tuyến biên nhà cung cấp PE. PE lưu các thông tin định tuyến trong bảng định tuyến và chuyển tiếp ảo VRF. Mỗi khoản mục của VRF tương ứng với một mạng khách hàng và hoàn toàn biệt lập với các mạng khách hàng khác. Người sử dụng VPN chỉ được phép truy nhập tới các site hoặc máy chủ trong cùng một mạng riêng này. Bộ định tuyến PE còn hỗ trợ các bảng định tuyến thông thường nhằm chuyển tiếp lưu lượng của khách hàng qua mạng công cộng. Một cấu hình mạng L3VPN dựa trên MPLS được chỉ ra trên hình 4.3.

Hình 4.3 Mô hình MPLS L3VPN

Các gói tin IP qua miền MPLS được gắn hai loại nhãn, bao gồm nhãn MPLS chỉ thị đường dẫn chuyển mạch nhãn LSP và nhãn chỉ thị định tuyến/chuyển tiếp ảo VRF. Ngăn xếp nhãn được thiết lập để chứa các nhãn trên. Các bộ định tuyến P của nhà cung cấp xử lý nhãn LSP để chuyển tiếp các gói tin qua miền MPLS. Nhãn VRF chỉ được xử lý tại thiết bị định tuyến biên PE nối với bộ định tuyến khách hàng.

Mô hình L3VPN có ưu điểm là không gian địa chỉ khách hàng được quản lý bởi nhà khai thác, và do vậy nó cho phép đơn giản hóa việc triển khai kết nối với nhà cung cấp. Ngoài ra, L3VPN còn cung cấp khả năng định tuyến động để phân phối các thông tin định tuyến tới các bộ định tuyến VPN. Tuy nhiên, L3VPN chỉ hỗ trợ các lưu lượng IP hoặc lưu lượng đóng gói vào gói tin IP. Đồng thời, việc tồn tại hai bảng định tuyến tại các thiết bị biên mạng cũng là một vấn đề phức tạp trong điều hành và ảnh hưởng tới khả năng mở rộng các hệ thống thiết bị.


MẠNG RIÊNG ẢO

1.18.2 Mô hình L2VPN

Mô hình mạng riêng ảo lớp 2 được phát triển sau và các tiêu chuẩn vẫn đang trong giai đoạn hoàn thiện. Cách tiếp cận L2VPN hướng tới việc thiết lập các đường hầm qua mạng MPLS để xử lý các kiểu lưu lượng khác nhau như Ethernet, FR, ATM và PPP/HDLC.

Có hai dạng L2VPN cơ bản là:

- Điểm tới điểm: tương tự như trong công nghệ ATM và FR, nhằm thiết lập các đường dẫn chuyển mạch ảo qua mạng;

- Điểm tới đa điểm: hỗ trợ các cấu hình mắt lưới và phân cấp.

Trong những năm gần đây, dịch vụ LAN ảo dựa trên mô hình L2VPN đa điểm sử dụng công nghệ truy nhập Ethernet đã được triển khai rộng rãi. Giải pháp này cho phép liên kết các mạng Ethernet qua hạ tầng MPLS trên cơ sở nhận dạng lớp 2, vì vậy mà giảm được độ phức tạp của các bảng định tuyến lớp 3. Trong mô hình L2VPN các bộ định tuyến CE và PE không nhất thiết phải được coi là ngang hàng (hình 4.4). Thay vào đó, chỉ cần tồn tại kết nối lớp 2 giữa các bộ định tuyến này. Bộ định tuyến PE chuyển mạch các luồng lưu lượng vào trong các đường hầm đã được cấu hình trước tới các bộ định tuyến PE khác.

Hình 4.4 Mô hình MPLS L2VPN

L2VPN xác định khả năng tìm kiếm qua mặt phẳng dữ liệu bằng địa chỉ học được từ các bộ định tuyến lân cận. L2VPN sử dụng ngăn xếp nhãn tương tự như trong L3VPN. Nhãn MPLS bên ngoài được sử dụng để xác định đường dẫn cho lưu lượng qua miền MPLS, còn nhãn kênh ảo VC nhận dạng các mạng LAN ảo, VPN hoặc kết nối tại các điểm cuối. Một trường nhãn tuỳ chọn sử dụng để điều khiển đóng các kết nối lớp 2 được đặt trong cùng ngăn xếp sát với trường dữ liệu.

L2VPN có ưu điểm quan trọng nhất là cho phép các giao thức lớp cao được truyền trong suốt đối với MPLS. Nó có thể hoạt động trên hầu hết các công nghệ lớp 2 gồm ATM, FR, Ethernet và mở ra khả năng tích hợp các mạng phi kết nối IP với các



mạng hướng kết nối. Ngoài ra, trong giải pháp này người sử dụng đầu cuối không cần phải cấu hình định tuyến cho các bộ định tuyến khách hàng CE.

Tuy nhiên, L2VPN không dễ dàng mở rộng như L3VPN. Một cấu hình đầy đủ cho các LSP phải được sử dụng để kết nối các VPN trong mạng. Hơn nữa, L2VPN không thể tự động định tuyến giữa các site. Vì vậy, tuỳ thuộc vào cấu hình mạng MPLS và nhu cầu cụ thể mà có thể sử dụng một trong hai mô hình nói trên.

1.19 Hoạt động của MPLS-VPN

1.19.1 Truyền thông tin định tuyến

Các bộ định tuyến PE cần phải trao đổi thông tin trong các bảng định tuyến ảo để đảm bảo việc định tuyến dữ liệu giữa các site khách hàng nối với những bộ định tuyến này. Bài toán đặt ra là phải có một giao thức định tuyến để truyền thông tin của tất cả các tuyến khách hàng dọc theo mạng nhà cung cấp mà vẫn duy trì được không gian địa chỉ độc lập giữa các khách hàng với nhau.

Một giải pháp đã được đề xuất trên cơ sở sử dụng giao thức định tuyến riêng cho mỗi khách hàng. Các bộ định tuyến PE có thể được kết nối thông qua các đường hầm điểm-điểm (và giao thức định tuyến cho mỗi khách hàng sẽ hoạt động giữa các bộ định tuyến PE) hoặc là bộ định tuyến P của nhà cung cấp có thể tham gia vào quá trình định tuyến của khách hàng. Giải pháp này mặc dù thực hiện đơn giản nhưng lại không có khả năng mở rộng và phải đối mặt với nhiều vấn đề khi có nhu cầu cung cấp dịch vụ VPN cho số lượng lớn khách hàng. Những khó khăn này liên quan đến việc các bộ định tuyến PE phải chạy một số lượng lớn giao thức định tuyến, còn bộ định tuyến P thì phải lưu thông tin của tất cả các tuyến khách hàng.

Một giải pháp khác dựa trên việc triển khai một giao thức định tuyến để trao đổi thông tin của tất cả các tuyến khách hàng dọc theo mạng nhà cung cấp. Rõ ràng giải pháp này có ưu điểm hơn nhưng bộ định tuyến P vẫn phải tham gia vào định tuyến khách hàng, do đó vẫn không giải quyết được vấn đề mở rộng.

Để hiểu rõ hơn vấn đề mở rộng khi triển khai một giao thức định tuyến trên một VPN, ta xem xét ví dụ sau đây.

Giả sử mạng đường trục của nhà cung cấp dịch vụ phải đảm bảo cho hơn 100 khách hàng VPN kết nối đến hai bộ định tuyến biên PE sử dụng giao thức định tuyến OSPF. Bộ định tuyến PE trong mạng đường trục sẽ chạy hơn 100 bản copy tiến trình định tuyến OSPF độc lập nhau, với mỗi bản copy phải gửi các gói tin hello và gói tin làm tươi định kỳ qua mạng. Để chạy hơn một bản copy OSPF qua cùng một liên kết, ta cần cấu hình các subinterface cho một VPN trên liên kết giữa PE và CE, kết quả là sẽ tạo ra một mô hình mạng phức tạp. Ngoài ra, còn phải chạy 100 thuật toán SPF cũng như duy trì cơ sở dữ liệu về các cấu hình riêng rẽ trong những bộ định tuyến P của mạng lõi.


MẠNG RIÊNG ẢO

Vì vậy, giải pháp tối ưu hơn là việc truyền thông tin định tuyến khách hàng sẽ do

một giao thức định tuyến giữa các bộ định tuyến PE điều hành, còn các bộ định tuyến

P không tham gia vào quá trình định tuyến này. Giải pháp này mang lại hiệu quả cao

vì nó có khả năng mở rộng do số lượng giao thức định tuyến giữa các bộ định tuyến

PE không tăng khi tăng số lượng khách hàng, đồng thời bộ định tuyến P cũng không

mang thông tin về các tuyến của khách hàng.

Khi số lượng khách hàng lớn, giao thức định tuyến được lựa chọn để sử dụng là

BGP vì giao thức này có thể hỗ trợ số lượng lớn các tuyến. Cùng với BGP, các giao

thức EIGRP và IS-IS cũng có thể mang thông tin định tuyến cho nhiều lớp địa chỉ

khác nhau, nhưng IS-IS và EIGRP không có khả năng mở rộng do không mang được

một số lượng lớn các tuyến như BGP. BGP được thiết kế để trao đổi thông tin định

tuyến giữa các bộ định tuyến không kết nối trực tiếp, và đặc điểm này hỗ trợ việc lưu

giữ thông tin định tuyến tại các thiết bị biên mà không cần phải trao đổi với các bộ

định tuyến lõi của mạng nhà cung cấp. Giao thức BGP dùng trong MPLS-VPN được

gọi là Multiprotocol BGP (MP-BGP).

1.19.2 Địa chỉ VPN-IP

Với việc triển khai giao thức định tuyến BGP để trao đổi tất cả các tuyến của khách hàng giữa các bộ định tuyến PE đặt ra một vấn đề là làm thế nào mà BGP có thể truyền những tiền tố xác định thuộc về các khách hàng khác nhau giữa các bộ định tuyến PE. BPG sử dụng địa chỉ IP để chọn một đường đi giữa tất cả các đường có thể đi đến đích. Do đó, BGP không thể làm việc đúng nếu khách hàng sử dụng cùng không gian địa chỉ.

Chỉ có một giải pháp để giải quyết vấn đề này là mở rộng tiền tố địa chỉ IP của khách hàng với mục đích làm cho địa chỉ này trở nên duy nhất ngay cả khi có sự trùng lặp địa chỉ. Ngoài ra, phải đảm bảo rằng chính sách sử dụng để quyết định tuyến nào trong số các tuyến được BGP sử dụng chỉ có thể có ở trong một bảng VRF duy nhất.

Việc mở rộng tiền tố địa chỉ IP của khách hàng VPN đã dẫn đến một khái niệm mới là địa chỉ VPN-IP. Địa chỉ VPN-IP được tạo ra bằng cách ghép hai thành phần có độ dài không đổi là trường phân biệt tuyến (Route Distinguisher) và địa chỉ IP cơ sở (hình 4.5).

Hình 4.5 Địa chỉ VPN-IPv4

Yếu tố phân biệt địa chỉ thuộc về trường phân biệt tuyến khi mạng khách hàng có địa chỉ IP trùng nhau. Trường này có cấu trúc cho phép mỗi nhà cung cấp dịch vụ



VPN tự tạo ra một giá trị nhận dạng cho tuyến mà không sợ bị trùng với giá trị tương tự sử dụng bởi nhà cung cấp dịch vụ khác. Trường phân biệt tuyến bao gồm 3 loại như chỉ ra trên hình 4.6.

Hình 4.6 Khuôn dạng trường phân biệt tuyến

Trường số hệ tự trị ASN (Autonomous System Number) chứa giá trị số đại diện cho hệ thống của nhà cung cấp dịch vụ VPN. Trường số gán (Assigned Number) do mỗi nhà cung cấp dịch vụ mạng VPN tự quản lý. Trong hầu hết các trường hợp, nhà cung cấp dịch vụ ấn định một giá trị trường số gán cho một mạng VPN, tuy nhiên đôi khi cũng có thể gán nhiều giá trị cho một mạng VPN. Hai mạng VPN do một nhà cung cấp dịch vụ quản lý sẽ không sử dụng chung một số gán, và số hệ tự trị ASN cũng là duy nhất trong mạng toàn cầu. Do đó sẽ không có hai mạng VPN nào có trường phân biệt tuyến trùng nhau. Khi địa chỉ IP là duy nhất trong một mạng VPN thì cũng có nghĩa là địa chỉ VPN-IP là duy nhất trong mạng toàn cầu.

Đối với giao thức BGP thì việc quản lý các tuyến ứng với địa chỉ VPN-IP không khác gì việc quản lý tuyến ứng với địa chỉ IP cơ sở. Khả năng hỗ trợ đa giao thức của MP-BGP làm cho nó có thể quản lý tuyến ứng với nhiều họ địa chỉ khác nhau. Một điểm quan trọng cần lưu ý là cấu trúc địa chỉ VPN-IP cũng như cấu trúc của trường phân biệt tuyến ứng với địa chỉ VPN-IP là hoàn toàn mờ đối với BGP. BGP chỉ so sánh phần mào đầu của hai địa chỉ VPN-IP chứ nó không quan tâm đến cấu trúc của chúng. Vì vậy trong trường hợp này, BGP không cần hỗ trợ thêm các giao thức phụ mà chỉ sử dụng những đặc tính sẵn có. Các đặc tính mà giao thức BGP sử dụng cho MPLS-VPN như: đặc tính cộng đồng (Community), định tuyến lọc dựa trên cộng đồng hay sử dụng tuyến dự phòng. Các đặc tính trên được áp dụng đối với các tuyến ứng với địa chỉ VPN-IP cũng giống như các tuyến ứng với địa chỉ IP thông thường.


MẠNG RIÊNG ẢO

Địa chỉ VPN-IP chỉ hoàn toàn giới hạn trong nhà cung cấp dịch vụ, và các khách hàng VPN (cụ thể là các thiết bị của khách hàng) không có khái niệm gì về nó. Địa chỉ VPN-IP chỉ được nhận biết và gán ở bộ định tuyến biên của nhà cung cấp PE. Đối với mỗi kết nối VPN, bộ nhận tuyến PE được cấu hình ứng với một giá trị của trường phân biệt tuyến. Khi PE nhận được một tuyến từ CE kết nối trực tiếp tới nó thì nó cần xác định CE đó thuộc VPN nào trước khi chuyển thông tin về tuyến này cho BGP của nhà cung cấp dịch vụ. Bộ định tuyến PE sẽ chuyển địa chỉ IP cơ sở của tuyến thành địa chỉ VPN-IP bằng cách sử dụng trường phân biệt tuyến đã được đặt cho VPN đó. Một cách tương tự khi PE nhập một tuyến từ BGP của nhà cung cấp dịch vụ, nó sẽ chuyển thông tin địa chỉ VPN-IP của tuyến thành thông tin địa chỉ IP cơ sở.

Sau đây chúng ta so sánh vai trò của trường phân biệt tuyến và các đặc tính cộng đồng của BGP. Có hai vấn đề tách biệt nhau, và tương ứng với hai vấn đề này là hai cơ chế riêng biệt. Thứ nhất là làm thế nào để giải quyết việc không duy nhất của địa chỉ IP trong mạng toàn cầu. Để khắc phục vấn đề này, chúng ta đưa vào sử dụng một loại địa chỉ mới là địa chỉ VPN-IP và sử dụng trường phân biệt tuyến để làm cho các địa chỉ này là duy nhất trong mạng toàn cầu. Như vậy, trường phân biệt tuyến có vai trò làm cho địa chỉ IP trở thành duy nhất. Tuy nhiên, trường phân biệt tuyến không thể sử dụng được cho định tuyến lọc. Thứ hai là cần giải quyết việc làm thế nào để kết nối tuân thủ các điều kiện ràng buộc. Vấn đề ràng buộc thông tin định tuyến được thực hiện dựa trên quá trình lọc các đặc tính cộng đồng của BGP. Song các đặc tính cộng đồng của BGP lại không làm cho các địa chỉ IP trở thành duy nhất.

Lưu ý rằng trong khi một trường phân biệt tuyến không được sử dụng chung cho các VPN khác nhau, thì một VPN lại có thể sử dụng nhiều trường phân biệt tuyến. Tương tự như vậy, trong khi các mạng VPN không thể dùng chung một cộng đồng BGP nhưng một mạng VPN lại có thể sử dụng nhiều cộng đồng của BGP. Vì vậy, trường phân biệt tuyến cũng như đặc tính cộng đồng không thể sử dụng để xác định một VPN. Điều này cũng phù hợp với định nghĩa mạng VPN là một tập hợp các chính sách để điều khiển kết nối và quy định chất lượng dịch vụ giữa các site.

Như ta đã biết, BGPv4 hiện nay chỉ có thể thực hiện được đối với các địa chỉ IPv4. Khi đó, việc truyền thông tin tuyến của khách hàng dọc theo mạng MPLS-VPN sẽ được thực hiện như sau:

- Bộ định tuyến CE gửi cập nhật định tuyến IPv4 đến bộ định tuyến PE;

- Bộ định tuyến PE sau đó thêm trường phân biệt tuyến (64 bit) vào trường địa chỉ IPv4 (32 bit) mà nó đã nhận, kết quả là tạo ra địa chỉ VPN-IPv4 96 bit duy nhất;

- Địa chỉ VPN-IPv4 này được truyền đi thông qua phiên MP-iBGP đến các bộ định tuyến PE khác;



- Bộ định tuyến PE nhận sẽ loại bỏ trường phân biệt tuyến từ địa chỉ VPN-IPv4 để tạo thành địa chỉ IPv4 như ban đầu mà CE đầu xa đã gửi;

- Địa chỉ IPv4 này được chuyển tiếp đến bộ định tuyến CE khác trong bản cập nhật định tuyến IPv4.

Một điểm quan trọng cần nhấn mạnh là địa chỉ VPN-IP chỉ được xử lí trong các giao thức định tuyến chứ không được tải trong phần mào đầu của gói IP. Vì vậy VPN-IP không thể sử dụng một cách trực tiếp để chuyển tiếp gói. Nhiệm vụ chuyển tiếp các gói được thực hiện dựa trên MPLS và sẽ được trình bày ở phần sau.

1.19.3 Chuyển tiếp gói tin VPN

Các yếu tố cần thiết để đảm bảo cho sự hoạt động của MPLS-VPN bao gồm giao thức định tuyến và phương thức truyền gói tin qua mạng MPLS trong khi vẫn đảm bảo được tính chất của VPN.

Với các tuyến khách hàng được truyền dọc theo mạng đường trục MPLS-VPN lưu lượng giữa các bộ định tuyến CE và PE mặc định là lưu lượng của các gói tin IP. Bộ định tuyến khách hàng CE hỗ trợ các giao thức định tuyến IP chuẩn và không tham gia vào MPLS-VPN. Trong phương pháp này, để chuyển tiếp gói tin dọc theo mạng đường trục MPLS-VPN, bộ định tuyến PE chỉ phải chuyển gói tin IP nhận được từ bộ định tuyến khách hàng đến các bộ định tuyến PE khác. Rõ ràng là giải pháp này rất khó thực hiện bởi vì bộ định tuyến P không biết rõ về các tuyến của khách hàng, và vì thế một số yêu cầu chất lượng dịch vụ sẽ khó có khả năng đáp ứng.

Phương pháp khác có vẻ khả quan hơn là sử dụng đường dẫn chuyển mạch nhãn LSP giữa các bộ định tuyến PE để chuyển tiếp các gói tin IP theo giá trị nhãn gắn vào chúng (hình 4.7).


MẠNG RIÊNG ẢO

Hình 4.7 Sử dụng nhãn để chuyển tiếp gói tin VPN

Trong phương pháp này, gói tin IP của khách hàng được gắn một nhãn đăng kí cho bộ định tuyến PE đầu ra (Egress). Các bộ định tuyến lõi không cần biết địa chỉ IP của khách hàng, và chỉ có gói tin nào được gắn nhãn sẽ được chuyển đến bộ định tuyến PE đầu ra. Các bộ định tuyến lõi chỉ thực hiện các hoạt động chuyển tiếp và phân phối gói tin khách hàng đến bộ định tuyến PE đầu ra. Tuy nhiên, tại bộ định tuyến PE đầu ra, gói tin IP của khách hàng không có thông tin nào về VPN hay là VRF để bộ định tuyến có thể thực hiện kiểm tra VRF, do đó nó có thể bị mất.

Một phương pháp tối ưu hơn có thể được lựa chọn để chuyển tiếp các gói tin là sử dụng ngăn xếp nhãn (hình 4.8).

Hình 4.8 Sử dụng ngăn xếp nhãn để chuyển tiếp gói tin VPN

Ngăn xếp nhãn MPLS được sử dụng để chỉ thị cho bộ định tuyến PE đầu ra biết phải làm gì với gói tin VPN. Ngăn xếp nhãn bao gồm hai nhãn xếp chồng lên nhau gọi là nhãn bên trong (inner label) và nhãn bên ngoài (outer label). Khi gói tin vào mạng, bộ định tuyến PE đầu vào gán hai nhãn này vào gói tin IP. Nhãn trên cùng trong ngăn



xếp là của đường dẫn chuyển mạch nhãn (còn gọi là nhãn LDP), đảm bảo cho gói tin được truyền qua mạng MPLS-VPN đường trục đến bộ định tuyến PE đầu ra.

MPLS sử dụng nhãn ngoài để chuyển tiếp gói tin từ bộ định tuyến PE đầu vào qua mạng lõi. Ở mỗi bộ định tuyến P nhãn này được sử dụng để chuyển tiếp gói tin, nó chính là chỉ số trong bảng chuyển tiếp của bộ định tuyến. Các bộ định tuyến P chuyển tiếp gói tin dọc theo LSP theo phương pháp hoán đổi nhãn và không bao giờ kiểm tra nhãn bên trong hoặc địa chỉ đích IP của gói tin. Khi gói tin đến PE đầu ra, bộ định tuyến này thực hiện tách bỏ nhãn ngoài rồi xử lý nhãn trong. Nhãn trong là nhãn được bộ định tuyến PE đăng kí cho mỗi VRF, và PE sẽ sử dụng nó để quyết định VRF nào mà gói tin thuộc về. Nói cách khác, nhãn trong quyết định CE nào gói tin sẽ được gửi đến.

Theo mặc định, bộ định tuyến PE đầu ra thực hiện tìm kiếm trong bảng chuyển tiếp VRF sử dụng địa chỉ IP đích của gói tin. Sau đó, nó chuyển tiếp gói IP không nhãn đến site khách hàng thích hợp. Bản thân các nhãn bên trong được liên lạc giữa các PE trong các bản tin cập nhật mở rộng MP-iBGP. Nhãn thứ hai trong ngăn xếp nhãn còn được sử dụng để chỉ trực tiếp đến giao diện đầu ra tới khách hàng. Trong trường hợp này, bộ định tuyến PE đầu ra chỉ thực hiện kiểm tra nhãn trên gói tin VPN. Tình huống này thường được dùng khi bộ định tuyến CE là bước kế tiếp của tuyến VPN và nhãn này có thể chỉ đến một VRF đơn nhất. Bộ định tuyến PE đầu ra thực hiện kiểm tra nhãn trước để tìm được VRF đích, sau đó mới thực hiện kiểm tra địa chỉ IP trong VRF.

Để hiểu rõ hơn cơ chế hoạt động của quá trình chuyển tiếp các gói VPN ta xem một ví dụ như trên hình 4.9. Trong ví dụ này PE1 là bộ định tuyến đầu vào, còn PE2 là bộ định tuyến đầu ra. Bộ định tuyến PE đầu vào có hai nhãn liên quan tới tuyến VPN đầu xa. Một nhãn dành cho BGP next-hop, được đăng kí bởi bộ định tuyến P kế tiếp thông qua giao thức phân bổ nhãn LDP và được lấy từ bảng LIB cục bộ. Còn nhãn thứ hai được đăng kí bởi bộ định tuyến PE đầu xa và được truyền đi thông qua các cập nhật MP-iBGP. Cả hai nhãn này được kết hợp trong ngăn xếp nhãn và đưa vào bảng VRF.


MẠNG RIÊNG ẢO

Hình 4.9 Hoạt động chuyển tiếp dữ liệu VPN qua mạng MPLS

Giả sử đường dẫn chuyển mạch nhãn LSP đã được thiết lập giữa PE1 và PE2, và Host 1 muốn gửi dữ liệu đến Host 2. Host 1 gửi gói tin đến bộ định tuyến CE1. CE1 sẽ đóng gói gói tin và chuyển đến PE1. PE1 nhận gói tin, và dựa trên giao diện mà gói tin đến, nó quyết định sử dụng bảng chuyển tiếp của VRF A để định tuyến gói tin. PE1 kiểm tra địa chỉ đích của Host 2 trong bảng chuyển tiếp của VRF A và tìm thấy có địa chỉ trong đó. PE1 dán nhãn 16 vào gói tin. Đây là nhãn bên trong để nhận diện VRF trên bộ định tuyến PE2. Nhãn 16 trước đó đã được chuyển từ PE2 đến PE1 thông qua phiên làm việc MP-iBGP.

Tiếp theo, PE1 dán thêm nhãn 21 vào gói tin và chuyển gói đã dán nhãn đến bộ định tuyến P1. Nhãn 21 được đặt vào trong ngăn xếp nhãn sau nhãn 16. Như vậy, nhãn 21 là nhãn bên ngoài và sẽ được thay đổi sau mỗi phân đoạn giữa hai bộ định tuyến LSR với nhau. P1 nhận gói tin từ PE1 và lấy nhãn 21 ra để kiểm tra trong bảng chuyển tiếp. Nó quyết định dán nhãn 19 thay cho nhãn 21 rồi chuyển tiếp gói tin đến P2. P2 nhận gói tin và lấy nhãn 19 ra để kiểm tra trong bảng chuyển tiếp. Kết quả kiểm tra chỉ thị rằng nó phải dán nhãn 46 thay cho nhãn 19 rồi chuyển tiếp gói tin đến PE2.

PE2 nhận gói tin từ P2, kiểm tra nhãn 46. PE2 được nhận biết là bộ định tuyến đầu ra của đường chuyển mạch nhãn LSP nên nó giải phóng nhãn 46. Sau đó nó kiểm tra nhãn tiếp theo là 16 và xác định được gói tin sẽ đi đến VRF A. Địa chỉ IP của gói tin được kiểm tra trong VRF A để xác định đích và giao diện đầu ra cho gói tin. PE2 chuyển tiếp gói tin đến CE6. CE6 nhận gói tin IP từ PE2 và kiểm tra địa chỉ đích Host 2. Tại đây việc định tuyến được thực hiện dựa trên các giao thức định tuyến IGP thông thường.



Mô hình hệ thống trên có hai mạng riêng ảo là VPN A và VPN B. VPN A gồm có CE1, CE5 và CE6. VPN B gồm có CE2, CE3 và CE4. CE1 có lưu lượng đến đích là CE5 và CE6. Vì các site này cùng chung một VPN, nên PE1 sử dụng chung bảng chuyển tiếp là VRF A. Nhãn bên trong xác định VRF đích và nó giống nhau trong tất cả các gói tin thuộc về VPN đó, ngay cả nếu các gói tin này được chuyển đến các site khác nhau. CE2 và CE3 có lưu lượng đến đích là CE4. Vì các bộ định tuyến này thuộc về VPN B, PE1 sử dụng bảng chuyển tiếp khác cho VPN này là VRF B. Tuy nhiên, cả hai VPN sử dụng cùng một đường chuyển mạch nhãn LSP vì chúng đều có cùng bộ định tuyến vào PE1 và bộ định tuyến ra PE2.

1.20 Bảo mật trong MPLS-VPN

Bảo mật là một trong những yếu tố rất quan trọng đối với tất cả các giải pháp mạng VPN. Về khía cạnh bảo mật thì giải pháp VPN dựa trên BGP/MPLS có thể đạt được mức độ tương đương với các giải pháp VPN xây dựng trên công nghệ ATM hoặc Frame Relay.

Bảo mật cho VPN phải đảm bảo được sự cách ly về thông tin định tuyến cũng như về không gian địa chỉ của mỗi VPN. Nghĩa là việc cấp địa chỉ của mỗi VPN là hoàn toàn độc lập nhau. Thông tin định tuyến từ VPN này không được phép sang VPN khác và ngược lại. Yêu cầu thứ hai là bảo mật phải đảm bảo được cấu trúc mạng lõi hoàn toàn trong suốt với khách hàng sử dụng dịch vụ. Thứ ba, bảo mật phải đảm bảo được việc tránh làm giả nhãn như việc làm giả địa chỉ IP và chống lại các cuộc tấn công từ chối dịch vụ (Denial of Service) cũng như tấn công truy nhập dịch vụ (Instrusion).

Để thấy rõ việc bảo mật trong MPLS-VPN được thực hiện như thế nào, trước hết cần hiểu rằng MPLS-VPN cho phép sử dụng cùng không gian địa chỉ giữa các VPN nhưng vẫn đảm bảo được tính duy nhất của địa chỉ các site khách hàng nhờ vào giá trị 64 bit của trường phân biệt tuyến. Do đó, khách hàng sử dụng dịch vụ MPLS-VPN không cần phải thay đổi địa chỉ hiện tại của mình.

Việc định tuyến trong mạng của nhà cung cấp dịch vụ VPN được thực hiện trên chuyển mạch nhãn chứ không phải dựa trên địa chỉ IP truyền thống. Hơn nữa, mỗi LSP tương ứng với một tuyến VPN-IP được bắt đầu và kết thúc tại các bộ định tuyến PE chứ không bắt đầu và kết thúc ở một điểm trung gian nào trong mạng của nhà cung cấp. Do đó mạng lõi bên trong hoàn toàn trong suốt đối với khách hàng. Mỗi bộ định tuyến PE duy trì một bảng VRF riêng cho từng VPN, và VRF này chỉ phổ biến các tuyến thuộc về VPN đó. Nhờ vậy đảm bảo được sự cách ly thông tin định tuyến giữa các VPN với nhau.

Đối với giải pháp MPLS-VPN, thật khó có thể tấn công trực tiếp vào VPN. Chỉ có thể tấn công vào mạng lõi MPLS, rồi từ đó tấn công vào VPN. Mạng lõi có thể tấn công theo hai cách là trực tiếp vào bộ định tuyến PE hoặc vào các cơ chế báo hiệu


MẠNG RIÊNG ẢO

MPLS. Tuy nhiên, để tấn công vào mạng, trước hết cần phải biết địa chỉ IP của nó. Nhưng mạng lõi MPLS lại hoàn toàn trong suốt với bên ngoài, do đó kẻ tấn công không thể biết được địa chỉ IP của bất kì bộ định tuyến nào trong mạng lõi. Chúng có thể đoán địa chỉ và gửi gói tin đến những địa chỉ này. Song trong mạng MPLS mỗi gói tin đi vào đều được xem như là thuộc về không gian địa chỉ nào đó của khách hàng, do đó khó có thể tìm được các bộ định tuyến bên trong ngay cả khi đoán được địa chỉ.

Có thể việc trao đổi thông tin định tuyến giữa các bộ định tuyến PE và CE sẽ là điểm yếu trong mạng MPLS-VPN, nhưng trên bộ định tuyến PE có thể dùng ACL và các phương pháp xác thực của giao thức định tuyến dùng trên kết nối đó sẽ đảm bảo được vấn đề bảo mật. Việc làm giả nhãn cũng khó có thể xảy ra vì bộ định tuyến PE chỉ chấp nhận những gói tin từ bộ định tuyến CE gửi đến không có nhãn. Nếu gói tin là có nhãn thì nhãn đó phải do PE kiểm soát và quản lý.

Từ những vấn đề nêu trên, có thể thấy việc bảo mật trong MPLS-VPN được bảo đảm ở mức độ rất cao và hoàn toàn có thể so sánh ngang bằng với việc bảo mật trong các giải pháp dựa trên ATM hay Frame Relay.

1.21 Chất lượng dịch vụ trong MPLS-VPN

Chất lượng dịch vụ luôn là một vấn đề được quan tâm hàng đầu đối với các nhà khai thác và quản trị mạng. Các cơ chế QoS được sử dụng phải đủ mềm dẻo để đáp ứng những yêu cầu khác nhau của khách hàng, đồng thời phải có khả năng mở rộng để có thể hỗ trợ một số lượng lớn khách hàng VPN. Ví dụ như nhà cung cấp dịch vụ phải cung cấp cho khách hàng VPN nhiều mức dịch vụ (CoS) khác nhau cho mỗi VPN, trong đó các ứng dụng khác nhau trong cùng một VPN có thể nhận các CoS khác nhau. Theo cách này, dịch vụ Email có thể có một CoS trong khi một số ứng dụng thời gian thực như dịch vụ thoại lại có thể có CoS khác. Ngoài ra, CoS mà ứng dụng nhận được trong một VPN có thể khác so với CoS mà ứng dụng này nhận được trong một VPN khác. Tức là các cơ chế hỗ trợ QoS cho phép quyết định loại dữ liệu nào nhận CoS nào cho từng VPN. Hơn nữa, không phải mọi VPN đều phải sử dụng tất cả các CoS mà một nhà cung cấp dịch vụ đưa ra. Do đó, một tập các cơ chế hỗ trợ QoS cho phép quyết định loại CoS nào được sử dụng để tạo cơ sở cho VPN.

Hai dạng mô hình chất lượng dịch vụ sử dụng cho mạng riêng ảo trên nền MPLS là mô hình ống (pipe) và mô hình vòi (hose).

1.21.1 Mô hình ống

Trong mô hình ống, nhà cung cấp dịch vụ cung cấp cho khách hàng VPN mức chất lượng dịch vụ QoS nhất định giữa các CE trong cùng một VPN. Về hình thức, có thể hình dung mô hình này như một đường ống kết nối hai bộ định tuyến với nhau, và lưu lượng giữa hai bộ định tuyến trong ống này được đảm bảo một mức QoS xác định. Ví dụ về một hình thức đảm bảo QoS có thể cung cấp trong mô hình ống là đảm bảo giá trị băng thông nhỏ nhất giữa hai Site.



Các bộ định tuyến biên phía nhà cung cấp PE tại hai đầu của ống sẽ thực hiện quá trình lọc và loại bỏ các lưu lượng dư nhằm đảm bảo băng thông cho luồng lưu lượng trong ống. Có thể cải tiến mô hình ống bằng việc chỉ cho phép một số loại lưu lượng (ứng với một số ứng dụng) từ một CE tới các CE khác sử dụng đường ống. Quy định lưu lượng nào có thể sử dụng đường ống được xác định tại bộ định tuyến PE phía đầu ống.

Chú ý là mô hình ống khá giống với mô hình QoS mà các khách hàng VPN có được với các giải pháp dựa trên Frame Relay hay ATM. Điểm khác nhau cơ bản là với ATM hay Frame Relay thì các kết nối là song công, trong khi mô hình ống cung cấp các kết nối đảm bảo theo một hướng. Đặc điểm một hướng này của mô hình ống cho phép thiết lập các kết nối cho những ứng dụng sử dụng luồng lưu lượng không đối xứng, trong đó lưu lượng từ một Site tới Site khác có thể khác với lưu lượng theo hướng ngược lại.

Hình 4.10 minh họa một ví dụ về mô hình ống chất lượng dịch vụ. Như chỉ ra trên hình vẽ, các nhà cung cấp dịch vụ cung cấp cho VPN A một đường ống đảm bảo băng thông 7 Mb/s cho lưu lượng từ Site 3 đến Site 1 (cụ thể hơn là từ CE A3 đến CE A1) và một đường ống khác đảm bảo băng thông 10 Mb/s cho lưu lượng từ Site 3 đến Site 2 (từ CE A3 đến CE A2). Như vậy, một bộ định tuyến CE có thể có nhiều hơn một ống xuất phát từ nó (ví dụ hai ống xuất phát từ Site 3). Tương tự, có thể có hơn một ống kết thúc tại một Site.

Hình 4.10 Mô hình ống chất lượng dịch vụ trong MPLS-VPN

Một ưu điểm của mô hình ống là nó giống với mô hình QoS đang được khách hàng VPN sử dụng với FR hay ATM, do đó khách hàng có thể dễ dàng ứng dụng. Tuy nhiên mô hình ống cũng có một số nhược điểm. Ví dụ, nó đòi hỏi khách hàng VPN


MẠNG RIÊNG ẢO

phải kiểm soát toàn bộ ma trận lưu lượng giữa các Site. Điều đó có nghĩa là, khách hàng phải biết tổng lưu lượng đi từ một Site tới tất cả các Site khác. Thông thường thì thông tin này không có sẵn, thậm chí là nếu có thì cũng bị lỗi thời.

Mô hình ống gần giống với mô hình tích hợp dịch vụ để cung cấp chất lượng dịch vụ đảm bảo. MPLS-VPN cung cấp khả năng đảm bảo băng thông cho các LSP và cho phép sử dụng mô hình ống này một cách đơn giản. Các LSP khởi tạo và kết cuối tại các PE sẽ đảm bảo băng thông qua mạng lõi, còn thỏa thuận dịch vụ giữa PE và CE sẽ đảm bảo QoS từ đầu cuối tới đầu cuối. Để đạt được hiệu quả tốt nhất đối với mô hình ống, khách hàng VPN cần biết rõ yêu cầu sử dụng lưu lượng trong kế hoạch mạng.

1.21.2 Mô hình vòi

Trong mô hình vòi, nhà cung cấp dịch vụ VPN cung cấp cho khách hàng một sự bảo đảm QoS cho lưu lượng mà một bộ định tuyến CE của khách hàng gửi đi và nhận về từ các bộ định tuyến CE khác trong cùng VPN. Trong trường hợp khác, khách hàng phải chỉ định cách phân phối lưu lượng tới các bộ định tuyến CE trong mạng. Như vậy, đối với khách hàng, mô hình vòi cung cấp chất lượng dịch vụ trong từng VPN và không yêu cầu phải phân tích lưu lượng hoặc lập kế hoạch lưu lượng cho tới từng CE, nhờ đó mà giảm bớt được gánh nặng cho các khách hàng sử dụng dịch vụ VPN.

Mô hình vòi sử dụng hai tham số tốc độ là tốc độ cam kết đầu vào ICR (Ingress Committed Rate) và tốc độ cam kết đầu ra ECR (Egress Committed Rate). Trong đó ICR là tốc độ liên quan tới lưu lượng mà CE đầu vào có thể gửi tới những CE khác, còn ECR là tốc độ liên quan đến lưu lượng mà một CE có thể nhận từ các CE khác. Nói cách khác, ICR đại diện cho tổng lưu lượng từ một CE cụ thể, trong khi ECR đại diện cho tổng lưu lượng tới một CE cụ thể. Lưu ý là đối với một CE không nhất thiết ICR phải bằng ECR.

Hình 4.11 minh họa ví dụ về mô hình vòi chất lượng dịch vụ. Ở đây nhà cung cấp dịch vụ cung cấp cho VPN B sự đảm bảo băng thông 15 Mbit/s cho lưu lượng từ Site 2 tới các Site khác (ICR = 15 Mb/s) mà không quan tâm đến việc lưu lượng này đi tới Site 1 hay Site 3. Tương tự, nhà cung cấp dịch vụ cung cấp cho VPN A sự đảm bảo băng thông 7 Mb/s cho lưu lượng từ Site 3 gửi tới các Site khác trong cùng VPN (ICR = 7 Mb/s) mà không quan tâm tới việc lưu lượng tới Site 1 hay Site 2. Cũng như vậy, nhà cung cấp dịch vụ cung cấp cho VPN B sự đảm bảo băng thông 15 Mb/s cho lưu lượng gửi tới Site 2 (ECR = 15 Mb/s) mà không quan tâm tới việc lưu lượng xuất phát từ Site 1 hay Site 3.



Hình 4.11 Mô hình vòi chất lượng dịch vụ trong MPLS-VPN

Mô hình vòi hỗ trợ nhiều mức CoS ứng với các dịch vụ có nhiều tham số khác nhau. Ví dụ, một dịch vụ có thể yêu cầu tham số về mất gói tin ít hơn so với dịch vụ khác. Để hỗ trợ lớp dịch vụ ta phải đưa vào mô hình vòi, cho phép nhà cung cấp dịch vụ sử dụng cơ chế phân biệt dịch vụ cùng với MPLS. Vì vậy, mô hình vòi là hướng tiếp cận từ mô hình phân biệt dịch vụ Diffserv. Với các dịch vụ đòi hỏi phải có sự đảm bảo chắc chắn (như về băng thông), thì mô hình ống phù hợp hơn.

Nhà cung cấp dịch vụ có thể cung cấp cho khách hàng VPN mô hình ống, mô hình vòi hoặc tổ hợp của cả hai dạng mô hình trên nhằm đáp ứng các yêu cầu cụ thể về QoS. Các bộ định tuyến biên PE của nhà cung cấp dịch vụ xác định lưu lượng được nhận trong các lớp dịch vụ. Tuỳ thuộc vào giao diện đầu vào, địa chỉ nguồn, địa chỉ đích, chỉ số cổng và các cam kết chất lượng dịch vụ mà các gói sẽ được đánh dấu cho phù hợp với yêu cầu về chất lượng dịch vụ.

1.22 So sánh các đặc điểm của VPN trên nền IPSec và MPLS

Kiến trúc mạng riêng ảo VPN L3 được rất nhiều công ty lựa chọn vì khả năng kết nối diện rộng, khả năng mở rộng, các tuỳ chọn kết nối và khả năng phát triển nhiều loại hình dịch vụ. Tuy nhiên, không có một giải pháp nào là toàn diện trong việc cung cấp đa dịch vụ, và vấn đề lựa chọn kiến trúc VPN trên nền IPSec hay MPLS phụ thuộc rất nhiều vào yêu cầu cụ thể của từng công ty. Trong phần này sẽ đưa ra một số so sánh và phân tích các đặc điểm cơ bản của hai kiến trúc trên.

1.22.1 Các tiêu chí đánh giá


MẠNG RIÊNG ẢO

Trước hết, chúng ta phân tích các điều kiện và tiêu chí để đánh giá kiến trúc mạng VPN cho doanh nghiệp. Các tiêu chí đánh giá được tập trung vào độ khả dụng, tính bảo mật, chất lượng dịch vụ, độ mềm dẻo và khả năng quản lý.

Độ khả dụng

Một mạng riêng ảo VPN cần dự đoán các dịch vụ có độ khả dụng cao cho người dùng doanh nghiệp và các đối tác của họ. Khách hàng có thể vừa yêu cầu độ tin cậy của mạng cao vừa yêu cầu độ dự phòng lớn. Một số nhà cung cấp dịch vụ đưa ra các thoả thuận mức chất lượng dịch vụ (SLA), trong đó định nghĩa các tham số mà mạng có thể cung cấp cho khách hàng. SLA có thể tuỳ chọn các mức dịch vụ cho những kiểu lưu lượng khác nhau nhằm tối ưu hóa lưu lượng và giá thành của mạng.

Tính bảo mật

Trên thực tế có rất nhiều công ty chia sẻ các nhà cung cấp dịch vụ qua một mạng lõi, do đó vấn đề bảo mật luôn được đặt lên hàng đầu. Để hỗ trợ cho vấn đề này, các nhà cung cấp dịch vụ có thể đưa ra những kỹ thuật đảm bảo an toàn thông tin như đường hầm, đóng gói, mã hoá, phân bổ định tuyến ràng buộc, tách các bảng định tuyến, tách lưu lượng, xác thực gói, xác thực người sử dụng và điều khiển truy nhập.

Chất lượng dịch vụ

Các tham số QoS như băng thông, độ trễ, biến động trễ hay tỷ lệ mất gói là những yếu tố cơ bản cho phép đánh giá chất lượng của dịch vụ mà nhà cung cấp đưa ra cho khách hàng. Một số mô hình chất lượng dịch vụ có thể được áp dụng vào VPN nhằm mục đích phân lớp lưu lượng và xác định thứ tự ưu tiên cho các luồng lưu lượng khác nhau của khách hàng.

Độ mềm dẻo

Băng thông và các tuyến kết nối trong mạng luôn thay đổi theo thời gian. Các yêu cầu thay đổi băng thông đối với khách hàng VPN cũng không là ngoại lệ. Các nhà cung cấp dịch vụ luôn quan tâm tới khả năng mở rộng và thay đổi yêu cầu băng thông của khách hàng VPN để tối ưu hóa hệ thống và đáp ứng các yêu cầu chất lượng dịch vụ một cách mềm dẻo.

Khả năng quản lý

Việc quản lý VPN trải rộng từ site trung tâm tới các chi nhánh phân tán ở nhiều nơi, vì vậy các tính năng quản lý và giá thành quản lý có xu hướng tăng cùng chiều. Các kiểu dịch vụ quản lý bao gồm:

- Cung cấp môi trường quản lý;

- Phân bổ và cài đặt phần mềm quản lý VPN;

- Cài đặt bảo mật và chính sách QoS;

- Hỗ trợ thoả thuận mức dịch vụ;



- Hỗ trợ các mạng khác qua VPN;

- Thực hiện quản lý hiệu năng mạng, định vị và sửa lỗi, hoá đơn, báo cáo, thêm/loại bỏ hay thay đổi chức năng dịch vụ.

1.22.2 Các đặc điểm nổi bật của IPSec-VPN và MPLS-VPN

IPSec-VPN

Để bảo vệ dữ liệu qua mạng công cộng, giao thức IPSec hỗ trợ tổ hợp các chức năng bảo mật mạng sau:

- Nhận dạng và mã hoá các gói tin trước khi truyền dẫn;

- Xác thực các gói nhằm đảm bảo tính toàn vẹn của dữ liệu;

- Xác thực dữ liệu nguyên thuỷ của các nguồn gửi tin;

- Xác nhận và loại bỏ các gói quá hạn, gửi lặp và từ chối các gói lặp.

Giao thức IPSec cung cấp khả năng bảo vệ các gói tin IP theo thiết kế mạng để chỉ ra các lưu lượng đặc biệt cần bảo vệ. IPSec định nghĩa cách thức bảo vệ lưu lượng và điều khiển thiết bị nhận lưu lượng. VPN trên nền IPSec thay thế hoặc bổ sung các mạng riêng dựa trên hạ tầng WAN truyền thống như đường dây thuê riêng, Frame Relay hoặc ATM. Ưu điểm nổi trội của IPSec là nó đáp ứng được các yêu cầu của mạng về mặt giá thành.

Khi một doanh nghiệp sử dụng IPSec-VPN, nhà cung cấp dịch vụ thường cấu hình IPSec trong cấu hình Hub-and-Spoke, nơi tất cả các nhánh Spoke duy trì kết nối điểm-điểm với đầu cuối. IPSec rất phù hợp với cấu hình VPN điểm tới điểm và truy nhập từ xa.

Một số đặc điểm khiến cho các doanh nghiệp lựa chọn giải pháp IPSec-VPN là:

- IPSec cung cấp hệ thống bảo mật rất tốt, hỗ trợ cho các doanh nghiệp cần bảo mật bằng mã hoá dữ liệu và nhận dạng thiết bị;

- Giá thành triển khai mạng thấp do IPSec-VPN có thể thực hiện trên bất kỳ mạng IP nào đã tồn tại;

- Khả năng triển khai các dịch vụ nhanh, kể cả việc bổ sung hoặc loại bỏ các site;

- Luồng lưu lượng rẽ nhánh theo Hub-and-Spoke.

Thông thường, người sử dụng VPN dùng phần mềm VPN lựa chọn đích thích hợp cho các thông tin cần gửi qua mạng. Một khi nhận dạng thành công và đường hầm IPSec được thiết lập, người sử dụng có thể truy nhập từ xa tới các ứng dụng một cách đơn giản mà không cần phải sửa đổi hàng loạt các tham số tại các site.


MẠNG RIÊNG ẢO

Với các kết nối điểm-điểm qua IPSec-VPN, người sử dụng không cần phải có phần mềm client trên máy tính của họ. Người sử dụng tại các nhánh khởi tạo ứng dụng nếu nó tồn tại ở trong site, hoặc trong một phiên với trung tâm. Sau khi phiên thoả thuận và nhận dạng thành công, một đường hầm đảm bảo giữa các nhánh và trung tâm được thiết lập không phụ thuộc vào hoạt động của người dùng.

MPLS-VPN

MPLS cung cấp môi trường định tuyến thông minh và hiệu năng chuyển mạch cao như đã trình bày ở trên. Ưu điểm nổi trội nhất của MPLS-VPN là khả năng mở rộng nhiều VPN trên cùng một mạng lõi. Thêm vào đó là các đặc tính đảm bảo QoS, sửa lỗi nhanh, bảo vệ đường dẫn và cung cấp nền tảng để phát triển các dịch vụ giá trị gia tăng. Một số lí do để các doanh nghiệp lựa chọn MPLS-VPN là:

- Các công ty cần thoả thuận mức độ chất lượng dịch vụ SLA;

- Bảo mật được hỗ trợ bởi việc tách các luồng lưu lượng tương tự như Frame Relay và ATM;

- Các mẫu lưu lượng phù hợp với cả cấu hình từng phần và đầy đủ;

- Các doanh nghiệp muốn hội tụ nhiều dịch vụ đa phương tiện trên cùng một mạng;

- Các doanh nghiệp muốn phát triển những kết nối Multicast.

Khía cạnh an toàn mạng của MPLS dựa trên việc phân tách luồng lưu lượng giữa các VPN trên cùng mạng lõi thông qua trường phân biệt tuyến. Các tuyến được phân biệt đảm bảo tính riêng tư của MPLS-VPN tương tự như trong mạng diện rộng Frame Relay hay ATM. Các nhà cung cấp có thể dễ dàng thiết kế và tối ưu hóa mạng do khách hàng không cần biết kiến trúc mạng lõi, còn các bộ định tuyến lõi thì không cần biết thông tin về mạng biên của khách hàng.

MPLS-VPN có độ mềm dẻo và linh hoạt cao, nó không yêu cầu cấu hình kết nối đầy đủ hoặc ngang hàng đối với các kết cuối như các mô hình khác đòi hỏi. Mặt khác, MPLS-VPN cũng hỗ trợ tốt các thoả thuận mức dịch vụ SLA. Đây là điều mà khách hàng VPN quan tâm nhiều nhất, nó cho phép đáp ứng các yêu cầu về hiệu năng và tính đàn hồi của mạng. Ngoài ra, MPLS-VPN còn hỗ trợ các kỹ thuật lưu lượng nhằm đáp ứng yêu cầu QoS, hỗ trợ chính sách quản lý và phân bổ lưu lượng tối ưu cho mạng.

Bảng 4.1 dưới đây sẽ tổng kết các đặc điểm của hai giải pháp mạng riêng ảo trên nền IPSec và MPLS.

Bảng 4.1 So sánh IPSec-VPN và MPLS-VPN

Đặc điểm MPLS-VPN IPSec-VPN

Cấu hình Điểm tới điểm, Hub-and-Spoke, Điểm tới điểm, Hub-and-Spoke, cấu



cấu hình đầy đủ hình đầy đủ

Bảo mật/

Xác thực phiên

Thiết lập các thành viên VPN trong quá trình cung cấp dịch vụ, định nghĩa truy nhập tới nhóm dịch vụ trong khi cấu hình, từ chối các truy nhập không hợp pháp.

Xác thực qua chứng thực số hoặc khóa xác định trước.

Loại bỏ gói không phù hợp với chính sách bảo mật.

Tính riêng tư Tách lưu lượng thành các luồng riêng biệt.

Sử dụng mã hoá và kỹ thuật đường hầm thích hợp tại lớp địa chỉ mạng.

QoS và SLA Cho phép lập các SLA với nhiều mức, có các kỹ thuật đảm bảo QoS và kỹ thuật lưu lượng.

Không chỉ ra các QoS và SLA trực tiếp.

Khả năng mở rộng

Có khả năng mở rộng cao vì không yêu cầu cấu hình đầy đủ hoặc ngang hàng.

Chấp nhận các mở rộng theo kiểu Hub-and-Spoke. Khả năng mở rộng kéo theo hàng loạt các thách thức về kế hoạch, phân phối các khoá, quản lý khoá và cấu hình các thiết bị ngang hàng.

Hỗ trợ điểm-điểm

Có. Có.

Hỗ trợ truy nhập từ xa

Có nếu được kết nối với IPSec. Có.

Cung cấp dịch vụ

Cần một lần cung cấp các thiết bị khách hàng và thiết bị biên mạng nhà cung cấp.

Giảm các chi phí điều hành mạng qua phương pháp cung cấp tập trung.

Triển khai dịch vụ

Yêu cầu các phần tử mạng MPLS mở dịch vụ tại các thiết bị lõi và biên của mạng nhà cung cấp.

Có thể triển khai trên bất kỳ hạ tầng mạng IP có sẵn.

Phầm mềm Client VPN

Không yêu cầu, người sử dụng không cần phần mềm tương tác với mạng.

Cần phải có để khởi tạo các phần mềm chức năng.

1.23 Kết chương

Trong những năm gần đây, công nghệ chuyển mạch nhãn đa giao thức MPLS đã được rất nhiều quốc gia lựa chọn để xây dựng và phát triển hệ thống mạng viễn thông của mình. Một trong những ứng dụng điển hình của MPLS là dịch vụ mạng riêng ảo MPLS-VPN. Dịch vụ này đã góp phần rất lớn vào sự phát triển nhanh chóng của MPLS và mở ra nhiều khả năng ứng dụng mới.


MẠNG RIÊNG ẢO

Trong chương này đã trình bày về các thành phần cơ bản của MPLS-VPN, các mô hình triển khai MPLS-VPN tại lớp 2 và lớp 3, những kĩ thuật then chốt trong MPLS-VPN như truyền thông tin định tuyến, địa chỉ VPN-IP và hoạt động chuyển tiếp gói tin VPN. Ngoài ra, trong nội dung của chương cũng đề cập đến một số vấn đề liên quan đến các khía cạnh bảo mật và chất lượng dịch vụ trong MPLS-VPN. Cuối chương có đưa ra một số phân tích và so sánh các đặc điểm nổi bật của hai giải pháp VPN dựa trên IPSec và MPLS.

Các nội dung đã trình bày có thể giúp người đọc nắm được những vấn đề cơ bản liên quan đến MPLS-VPN, các ưu nhược điểm chính và khả năng mà MPLS-VPN mang lại cũng như là các bài toán cần phải giải quyết khi triển khai và ứng dụng công nghệ này. Có thể nói, việc triển khai công nghệ VPN trên nền MPLS hứa hẹn nhiều thuận lợi mới và chắc chắn sẽ là giải pháp lí tưởng cho mạng riêng ảo trong tương lai.


TRIỂN KHAI VÀ ỨNG DỤNG VPN

CHƯƠNG 5

TRIỂN KHAI VÀ ỨNG DỤNG VPN

Trong xu hướng toàn cầu hóa các hoạt động kinh doanh thương mại như hiện nay, các tổ chức và doanh nghiệp có nhiều chi nhánh, các công ty đa quốc gia luôn phải trao đổi thông tin với khách hàng, đối tác hay nhân viên của họ. Với việc triển khai các giải pháp VPN, nhu cầu trao đổi thông tin này đã được đáp ứng không mấy khó khăn. Các chi nhánh hay nhân viên di động của công ty ở khắp nơi trên thế giới có thể liên lạc với trụ sở chính của mình mọi lúc, mọi nơi để đảm bảo nắm bắt được những thông tin mới nhất và chính xác nhất trong quá trình làm việc.

Chương này giới thiệu về các mô hình thực hiện VPN cũng như tình hình triển khai và ứng dụng VPN hiện nay ở Việt nam.


Các mô hình triển khai VPN

Giải pháp VPN trên nền MPLS của VNPT

Mô hình cung cấp dịch vụ MegaWAN


MẠNG RIÊNG ẢO

1.24 Các mô hình triển khai VPN

Công nghệ mạng riêng ảo VPN đã và đang được triển khai rất mạnh mẽ trên toàn thế giới trong đó có Việt nam. Đã có rất nhiều mô hình được đề xuất, chủ yếu dựa trên lớp 2 và lớp 3. Sau đây là một số mô hình triển khai gần đây nhất được thực hiện trên nền MPLS.

Mô hình ISP là khách hàng

Trong mô hình này, các nhà cung cấp dịch vụ Internet ISP là khách hàng của

mạng riêng ảo VPN. Tương tự như những khách hàng khác, ISP có thể đặt tại vị trí

trung tâm, nơi tập trung và trở thành điểm POP, hoặc một hệ thống hỗ trợ kết nối trực

tiếp. Để thực hiện được mô hình này, mạng cần cấu hình một số tuyến riêng để đảm

bảo chất lượng dịch vụ cho các ISP. Với sự hỗ trợ của các công nghệ lớp 2 như truyền

dẫn quang băng thông rất lớn, việc coi ISP là khách hàng VPN cho phép giảm mức độ

phức tạp của các kết nối khi số lượng khách hàng gia tăng không ngừng.

Các thủ tục định tuyến trong BGP sẽ thực hiện định tuyến cho CE và PE thông

qua quá trình mở rộng của MPLS tới CE. Sự mở rộng cho phép tạo LSP từ tuyến CE

tới tuyến PE. Khi đó, biên của các tuyến cùng với các địa chỉ được mang vào các thuộc

tính tuyến tiếp theo của BGP. Bộ định tuyến PE thông báo tới các bộ định tuyến khách

hàng CE các liên kết nhãn. Khi bộ định tuyến CE xây dựng các bảng cơ sở dữ liệu, nó

sẽ sử dụng thông tin của BGP để xác định địa chỉ của các liên kết BGP tiếp theo cùng

với các bước truyền khác.

Mô hình nhà cung cấp dịch vụ MPLS-VPN là khách hàng

Trong mô hình này, các nhà cung cấp dịch vụ mạng riêng ảo MPLS-VPN cũng được coi như là khách hàng VPN. Như một khách hàng, nhà cung cấp dịch vụ MPLS-VPN phải được cấu hình đầy đủ để kết nối tất cả các đường VPN-IP của nhà cung cấp VPN. Tất cả các tuyến VPN-IP được coi là tuyến bên ngoài, giống như từ một nhà cung cấp dịch vụ Internet ISP. Sự khác biệt chính giữa trường hợp khách hàng là nhà cung cấp dịch vụ Internet và trường hợp khách hàng là nhà cung cấp dịch vụ MPLS-VPN là ở chỗ tuyến bên ngoài của khách hàng ISP là tuyến IP, còn tuyến bên ngoài của khách hàng MPLS-VPN là tuyến VPN-IP.

Trong trường hợp tất cả các site của một VPN đã được kết nối giống như nhà cung cấp dịch vụ MPLS-VPN và các site này cũng muốn được kết nối tới nhiều nhà cung cấp dịch vụ MPLS-VPN khác, một nhu cầu cung cấp hoạt động đa liên kết được đặt ra để tránh sự phức tạp gia tăng trong mạng khi mà toàn bộ lưu lượng được tạo ra bởi các tuyến biên. Giải pháp nhà cung cấp hoạt động đa liên kết cho phép cung cấp dịch vụ VPN cho khách hàng của MPLS-VPN theo các tuyến bên trong và bên ngoài dựa trên giao thức BGP.


CHƯƠNG 5 - TRIỂN KHAI VÀ ỨNG DỤNG VPN

1.25 Giải pháp VPN trên nền MPLS của VNPT

Tại Việt nam, MPLS đang được xúc tiến xây dựng trong mạng truyền tải của Tập đoàn BCVT Việt nam (VNPT). Với dự án NGN đang triển khai, VNPT đã thiết lập mạng trục MPLS với 3 LSR lõi. Các LSR biên đã và đang được tiếp tục đầu tư mở rộng tại nhiều địa điểm có nhu cầu lớn trên toàn quốc. Dựa trên mạng lõi MPLS đã thiết lập, hiện VNPT đang cung cấp dịch vụ MPLS-VPN cho các khách hàng doanh nghiệp có nhu cầu. Mô hình cung cấp dịch vụ VPN lớp 3 qua mạng MPLS của VNPT thể hiện trên hình 5.1.

Hình 5.1 Mô hình cung cấp dịch vụ VPN qua mạng MPLS của VNPT

Lưu lượng thoại và dữ liệu trong mạng LAN ảo sẽ được dẫn tới VRF tại các bộ định tuyến văn phòng chi nhánh và sau đó chuyển tải thông qua mạng WAN đến các Site ở xa khác. Để đáp ứng thêm cho nhu cầu bảo mật, giải pháp này có thể sử dụng IPSec. Ngoài ra, định tuyến nội bộ có thể được cấu hình để nếu có một trong số các liên kết chính bị đứt, tất cả lưu lượng có thể được định tuyến lại đến các tuyến thay thế khác nhằm đảm bảo các phiên liên tục cho tất cả người dùng.

Giải pháp VPN/VNN trên nền MPLS của VNPT sử dụng kết nối Local loop (phân đoạn kết nối từ phía khách hàng tới POP MPLS của VDC) qua một đường kênh riêng tốc độ cao (hình 5.2).


MẠNG RIÊNG ẢO

Hình 5.2 Giải pháp kết nối MPLS-VPN của VNPT

Khác với các công nghệ VPN trên Internet (PPTP, L2TP, IPSec), cơ chế đường hầm ở đây được thiết lập hoàn toàn trong mạng trục MPLS. Mỗi kết nối VPN sẽ thiết lập một đường hầm riêng biệt bằng cơ chế gán nhãn và chuyển tiếp gói IP. Mỗi kết nối VPN chỉ nhận một giá trị nhãn duy nhất do thiết bị định tuyến MPLS trong mạng cung cấp, do vậy các đường hầm trong mạng trục MPLS là riêng biệt hoàn toàn. Với khả năng che giấu địa chỉ mạng lõi, mọi hình thức tấn công mạng như DDoS, IP Snoofing hay Label Snoofing sẽ rất khó thực hiện.

1.26 Mô hình cung cấp dịch vụ MegaWAN

Dịch vụ MegaWAN của VNPT cung cấp khả năng kết nối mạng riêng cho khách hàng trên nền IP/MPLS. MegaWAN cho phép kết nối các mạng máy tính của doanh nghiệp (các văn phòng, chi nhánh, cộng tác viên từ xa, …) thuộc các vị trí địa lý khác nhau để tạo thành một mạng duy nhất và tin cậy thông qua việc sử dụng các liên kết băng rộng xDSL. Mô hình mạng cung cấp dịch vụ này thể hiện trên hình 5.3.

Hình 5.3 Mô hình mạng cung cấp dịch vụ MegaWAN

Việc sử dụng giải pháp MPLS-VPN cho phép triển khai các kết nối nhanh chóng, đơn giản và thuận tiện với chi phí thấp. Ngoài ra, MegaWAN còn cho phép vừa truy


CHƯƠNG 5 - TRIỂN KHAI VÀ ỨNG DỤNG VPN

nhập mạng riêng ảo vừa truy nhập Internet nếu khách hàng có nhu cầu. MegaWAN hỗ trợ truy nhập Internet băng rộng qua mạng VNN do VNPT cung cấp. Dịch vụ này cho phép khách hàng truy nhập Internet với tốc độ cao dựa trên công nghệ đường dây thuê bao số bất đối xứng ADSL.

Thiết bị định tuyến biên sử dụng trong mạng MegaWAN là ERX-1410. Các hệ thống này có thể hỗ trợ MPLS-VPN nhằm gửi lưu lượng đến các đích khác nhau một cách an toàn. Ngoài ra, hệ thống ERX còn cho phép nhà cung cấp dịch vụ đề ra những kế hoạch phát triển ở các cấp khác nhau và hỗ trợ phân loại tín hiệu đường truyền trong mỗi thuê bao sử dụng. Trong ERX việc truyền tín hiệu âm thanh là ưu tiên số một, sau đó đến dữ liệu của các thuê bao lớn (công ty hay tập đoàn) rồi mới đến dữ liệu của những khác hàng đơn lẻ.

1.27 Kết chương

Ngày nay VPN đã được triển khai rộng rãi trên toàn thế giới và trở thành giải pháp không thể thiếu đối với các công ty lớn có nhiều chi nhánh. Tùy thuộc vào điều kiện và yêu cầu cụ thể mà có thể triển khai VPN theo nhiều mô hình khác nhau. Trong chương này đã trình bày về các mô hình thực hiện VPN cũng như thực tiễn triển khai và ứng dụng công nghệ VPN ở Việt nam. Với hệ thống mạng lõi MPLS đã đi vào hoạt động, VNPT là nhà khai thác viễn thông đầu tiên ở Việt nam cung cấp dịch vụ MPLS-VPN cho các khách hàng doanh nghiệp.

Có thể nói giải pháp MPLS-VPN của VNPT với mô hình cung cấp dịch vụ MegaWAN đã đạt được những kết quả ban đầu khả quan. Với đặc điểm của mạng viễn thông Việt nam là được phân vùng và trải dài từ Bắc vào Nam, VPN là một giải pháp thích hợp và mang lại nhiều lợi ích cho các doanh nghiệp đăng kí dịch vụ. Mặc dù việc triển khai VPN trên thực tế còn bị tác động bởi rất nhiều yếu tố khác ngoài các yếu tố kỹ thuật, VPN vẫn là một công nghệ đầy hứa hẹn và chắc chắn sẽ được ứng dụng rộng rãi trong những năm tới đây.


MẠNG RIÊNG ẢO

THUẬT NGỮ VIẾT TẮT

Thuật ngữ Tiếng Anh Tiếng Việt

0-9

3DES Triple DES Thuật toán mã DES bội 3

A

AA Access Accept Chấp nhận truy nhập

AAA Authentication, Authorization and Accounting

Xác thực, cấp quyền và thanh toán

AC Access Control Điều khiển truy nhập

ACL Access Control List Danh sách điều khiển truy nhập

ADSL Asymmetric Digital Subscriber Line

Đường dây thuê bao số bất đối xứng

AH Authentication Header Giao thức tiêu đề xác thực

ARP Address Resolution Protocol Giao thức phân giải địa chỉ

ATM Asynchronous Transfer Mode Phương thức truyền tải không đồng bộ

B

BGP Border Gateway Protocol Giao thức định tuyến cổng biên

C

CA Certificate Authority Thẩm quyền chứng nhận

CBC Cipher Block Chaining Chế độ chuỗi khối mật mã

CHAP Challenge - Handshake Authentication Protocol

Giao thức xác thực đòi hỏi bắt tay

D

DCE Data communication Equipment Thiết bị truyền thông dữ liệu

DES Data Encryption Standard Thuật toán mã DES

DH Diffie-Hellman Giao thức trao đổi khóa Diffie-Hellman

DLCI Data Link Connection Identifier Nhận dạng kết nối lớp liên kết dữ liệu

DNS Domain Name System Hệ thông tên miền

DSL Digital Subscriber Line Đường dây thuê bao số

DTE Data Terminal Equipment Thiết bị đầu cuối số liệu

E

EAP Extensible Authentication Protocol Giao thức xác thực mở rộng

ECB Electronic Code Book Mode Chế độ sách mã điện tử

ESP Encapsulating Security Payload Giao thức đóng gói tải tin an toàn

F


THUẬT NGỮ VIẾT TẮT

FCS Frame Check Sequence Chuỗi kiểm tra khung

FR Frame Relay Chuyển tiếp khung

FTP File Transfer Protocol Giao thức truyền file

G

GRE Generic Routing Encapsulation Đóng gói định tuyến chung

H

HMAC Hashed-keyed Message Authenticaiton Code

Mã xác thực bản tin băm

I

ICMP Internet Control Message Protocol Giao thức bản tin điều khiển Internet

ICV Intergrity Check Value Giá trị kiểm tra tính toàn vẹn

IETF Internet Engineering Task Force Tổ chức tiêu chuẩn kỹ thuật Internet

IKE Internet Key Exchange Trao đổi khóa qua Internet

IKMP Internet Key Management Protocol Giao thức quản lí khóa qua Internet

IP Internet Protocol Giao thức Internet

IPSec IP Security Protocol Giao thức an ninh Internet

ISAKMP Internet Security Association and Key Management Protocol

Giao thức liên kết an ninh và quản lí khóa qua Internet

ISO International Standard Organization

Tổ chức chuẩn hóa quốc tế

ISP Internet Service Provider Nhà cung cấp dịch vụ Internet

IV Initial Vector Véc tơ khởi tạo

L

L2F Layer 2 Forwarding Giao thức chuyển tiếp lớp 2

L2TP Layer 2 Tunneling Protocol Giao thức đường hầm lớp 2

LAN Local Area Network Mạng cục bộ

LCP Link Control Protocol Giao thức điều khiển đường truyền

M

MAC Message Authentication Code Mã xác thực bản tin

MD5 Message Digest 5 Thuật toán giản lược bản tin MD5

MTU Maximum Transfer Unit Đơn vị truyền tải cực đại

N

NAS Network Access Server Máy chủ truy nhập mạng

NGN Next Generation Network Mạng thế hệ sau

NSA National Sercurity Agency Cơ quan an ninh quốc gia Mỹ

O

OSI Open System Interconnnection Mô hình kết nối các hệ thống mở


MẠNG RIÊNG ẢO

OSPF Open Shortest Path First Giao thức định tuyến đường đi ngắn nhất

P

PAP Password Authentication Protocol Giao thức xác thực mật khẩu

PDU Protocol Data Unit Đơn vị dữ liệu giao thức

PKI Public Key Infrastructure Cơ sở hạ tầng khóa công cộng

POP Point of Presence Điểm hiện diện

PPP Point to Point Protocol Giao thức điểm tới điểm

PPTP Point to Point Tunneling Protocol Giao thức đường hầm điểm tới điểm

PSTN Public Switched Telephone Network

Mạng chuyển mạch thoại công cộng

R

RADIUS Remote Authentication Dial-in User Service

Dịch vụ xác thực người dùng quay số từ xa

RARP Reverse Address Resolution Protocol

Giao thức phân giải địa chỉ ngược

RAS Remote Access Service Dịch vụ truy nhập từ xa

RFC Request for Comment Tài liệu tiêu chuẩn của IETF trên Internet

RSA Rivest-Shamir-Adleman Một loại giải thuật mật mã bằng khóa công cộng

S

SA Security Association Liên kết an ninh

SAD SA Database Cơ sở dữ liệu SA

SHA-1 Secure Hash Algorithm-1 Thuật toán băm SHA-1

SN Sequence Number Số thứ tự

SPI Security Parameter Index Chỉ số thông số an ninh

T

TCP Transmission Control Protocol Giao thức điều khiển truyền tải

TLS Transport Level Security An ninh mức truyền tải

U

UDP User Data Protocol Giao thức dữ liệu người sử dụng

V

VPN Virtual Private Network Mạng riêng ảo

W

WAN Wide Area Network Mạng diện rộng


TÀI LIỆU THAM KHẢO

TÀI LIỆU THAM KHẢO

[1] Jeff Tyson. How Virtual Private Networks Work. Cisco Press, 2004.

[2] IPSec, VPN, and Firewall Concepts. Cisco Press, 2004.

[3] James Henry Carmouche. IPsec Virtual Private Network Fundamentals. Cisco Press, 2006.

[4] Understanding Virtual Private Networking. ADTRAN, Inc., 2001.

[5] Michael H. Behringer, Monique J. Morrow. MPLS VPN Security. Cisco Press, 2005.

[6] Ivan Pepelnjak. MPLS and VPN Architectures, Vol. 1. Cisco Press, 2000.

[7] Ivan Pepelnjak. MPLS and VPN Architectures, Vol. 2. Cisco Press, 2003.


Mạng riêng ảo VPN

Engineering

Transcript of Mạng riêng ảo VPN