1. Trang chủ >
  2. Kỹ thuật >
  3. Điện - Điện tử - Viễn thông >

5 Khả năng mở rộng và các mô hình MPLS-VPN nâng cao

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.05 MB, 74 trang )


Đồ án tốt nghiệp

8



Xây dựng mạng riêng ảo VPN Trường T/C nghề Số



thì ta không nên sử dụng mô hình Full-mesh.

Trong MPLS-VPN sử dụng các kĩ thuật đã có sẵn trong BGP-4 để triển khai mô

hình mạng riêng ảo đảm bảo được khả năng mở rộng là sử dụng tuyến phản xạ (Route

reflector) và confederation. Tuyến phản xạ và confederation trong MPLS-VPN hoạt

động giống như trong BGP-4. Chính nhờ vào hai khả năng trên mà nhà cung cấp có

thể triển khai nhiều mô hình MPLS-VPN phức tạp. Mô hình mạng MPLS-VPN mà ta

đã thảo luận từ trước đến nay chỉ dành cho các site VPN người dùng kết nối đến cùng

một nhà cung cấp dịch vụ dọc kết nối giữa PE và CE, việc trao đổi thông tin định

tuyến dọc những liên kết này không cần có sự tham gia của MPLS, cũng như không

có sự trao đổi trực tiếp nào giữa các site người dùng. Trong trường hợp này, Router

PE duy trì toàn bộ quá trình điều khiển giữa các site với nhau thông qua sự cách ly

giữa các VPN. Trong phần sau ta đi sâu vào thảo luận các mô hình MPLS-VPN phức

tạp hơn, mô hình này cho phép trao đổi thông tin nhãn và các gói tin có gắn nhãn đến

từ các thiết bị nằm ngoài sự điều khiển của nhà cung cấp dịch vụ.

2.5.1 Hệ thống tự trị MPLS-VPN

Hệ thống tự trị (Autonomous system) là một mạng hoặc một nhóm nhiều mạng

chia sẽ cùng một chính sách và hoạt động trong một miền nhất định. AS được điều

khiển bởi nhà quản trị hệ thống. Khi dịch vụ MPLS-VPN lớp 3 đã trở nên phổ biến

hơn, lúc này nó cần phải hỗ trợ kết nối nhiều hệ tự trị khác nhau. Người dùng là

doanh nghiệp lớn thường là sử dụng mô hình AS-Multihomed, vì vị trí địa lý khác

nhau, rất khó đạt được kết nối VPN đầy đủ qua một nhà cung cấp dịch vụ. Ngay cả

nếu kết nối đó có thể đạt được thì trong mô hình mạng này cũng có thể bị chia ra

thành nhiều AS nhỏ hơn. Do đó, dịch vụ MPLS VPN lớp 3 cần phải được mở rộng ra

ngoài một AS. Cho phép một VPN đi qua nhiều mạng Backbone của nhiều nhà cung

cấp dịch vụ. Mỗi nhà cung cấp dịch vụ, quản trị mỗi AS khác nhau, có thể đáp ứng

dịch vụ MPLS-VPN cho cùng một người dùng đầu cuối. Một VPN có thể bắt đầu ở

một site người dùng và di duyển qua nhiều mạng Backbone của nhà cung cấp dịch vụ

khác nhau trước khi đến site khác của cùng người dùng đó. Đặc điểm này cho phép

nhiều AS thành lập một mạng liên tục giữa các site người dùng với của một nhà cung

cấp.

Cho phép một VPN tồn tại trong nhiều vùng khác nhau. Một nhà cung cấp dịch vụ

có thể tạo ra VPN trong nhiều vùng địa lý khác nhau. Và việc có tất cả lưu lượng

VPN chảy qua một điểm giữa các vùng cho phép điều khiển tốc độ lưu lượng mạng

tốt hơn giữa các vùng đó. Sử dụng Confederation để tối ưu IBGP meshing, đáp ứng

GVHD: TS.Trần Văn Dũng



38



SVTH: Bùi Quang Huy



Đồ án tốt nghiệp

8



Xây dựng mạng riêng ảo VPN Trường T/C nghề Số



khả năng mở rộng.

Mô hình hệ thống tự trị được chia ra thành 2 kết nối như sau:

• Kết nối giữa các nhà cung cấp với nhau

• Kết nối giữa các AS với nhau

2.5.2 Nhà cung cấp dịch vụ hạ tầng

Từ những ưu điểm của công nghệ MPLS-VPN và cộng với sự phát triển, mở rộng

mạng ra nhiều vùng địa lý khác nhau. Nhiều doanh nghiệp lớn, doanh nghiệp trung

bình, nhiều nhà cung cấp dịch vụ MPLS-VPN nhỏ hơn, và nhiều nhà cung cấp dịch

vụ Internet đã nhận thấy rằng khi kết nối vào mạng Backbone MPLS-VPN họ có thể

tránh được việc phải xây dựng cơ sở hạ tầng lớp 2 cho mạng của mình. Thay vào đó

sử dụng mạng Backbone của nhà cung cấp MPLS-VPN để kết nối các site lại với

nhau. Ngoài vấn đề giảm thiểu được chi phí thì mỗi site có thể kết nối đến toàn bộ các

site ngang cấp với nó. Do đó sẽ cung cấp được định tuyến tối ưu nhất. Điều này có

nghĩa là để cho phép tất cả các người dùng như vậy truy cập vào mạng MPLS-VPN

Backbone thì mạng Backbone phải có khả năng mang một số lượng cực kì lớn thông

tin định tuyến cho mỗi cá nhân người dùng. Các nhà cung cấp dịch vụ Internet hầu

như cần phải trao đổi một phần, nếu không nói là toàn bộ, bảng định tuyến Internet

giữa các site của họ để người dùng của họ có thể truy cập được Internet.

Việc truy cập đến những người dùng này gây ra vấn đề khó khăn khi mở rộng, vì

mỗi Router PE phải duy trì tất cả thông tin định tuyến nội bộ trong một VRF. Thông

tin định tuyến này sau đó được phân phối đến tất cả các Router PE có liên quan, lúc

đó Router CE hoàn toàn có thể đạt được thông tin định tuyến thích hợp. Để giải quyết

vấn đề mở rộng trong trường hợp trên, một giải pháp mới được mở rộng ra từ MPLSVPN chuẩn, được gọi là hỗ trợ hạ tầng thiết bị cho nhau. Các nhà cung cấp dịch vụ

được sử dụng hạ tầng thiết bị của nhà cung cấp dịch vụ khác được gọi là nhà cung cấp

dịch vụ người dùng.

Hỗ trợ dịch vụ hạ tầng sử dụng để mô tả một tình huống khi một nhà cung cấp dịch

vụ cho phép nhà cung cấp dịch vụ khác sử dụng một phần trong mạng Backbone của

họ. Nhà cung cấp dịch vụ cung cấp một phần trong mạng Backbone cho nhà cung cấp

dịch vụ khác được gọi là hỗ trợ hạ tầng đường trục.

Một số ưu điểm khi sử dụng hỗ trợ hạ tầng thiết bị kĩ thuật Mạng MPLS-VPN hỗ

trợ hạ tầng thiết bị kĩ thuật cung cấp nhiều ưu điểm cho nhà cung cấp dịch vụ, kể cả

hỗ trợ hạ tầng backbone.

GVHD: TS.Trần Văn Dũng



39



SVTH: Bùi Quang Huy



Đồ án tốt nghiệp

8



Xây dựng mạng riêng ảo VPN Trường T/C nghề Số



Ưu điểm đối với hỗ trợ hạ tầng Backbone.

Hỗ trợ hạ tầng thiết bị Backbone có thể cung cấp cho nhiều nhà cung cấp dịch vụ

khách hàng và cho phép họ truy cập vào mạng Backbone. hạ tầng thiết bị Backbone

không cần phải tạo và duy trì mỗi Backbone riêng cho nhà cung cấp dịch vụ khách

hàng. Sử dụng một mạng Backbone để hỗ trợ nhiều nhà cung cấp dịch vụ khách hàng

chỉ đơn giản thông qua hoạt động VPN của hạ tầng thiết bị Backbone. Hạ tầng thiết bị

Backbone chỉ cần sử dụng một phương pháp cố định để quản lý và duy trì mạng

Backbone.

Điều này có nghĩa là tiết kiệm được chi phí và hiệu quả hơn so với việc phải duy trì

riêng từng Backbone. Đặc điểm MPLS hỗ trợ hạ tầng thiết bị kĩ thuật có khả năng mở

rộng, nó có thể thay đổi VPN để đáp ứng nhu cầu băng thông và kết nối. Nó có thể hỗ

trợ đến mười ngàn VPN qua cùng một mạng, và cho phép nhà cung cấp dịch vụ có thể

vừa đáp ứng dịch vụ VPN vừa đáp ứng được dịch vụ Internet. Hỗ trợ hạ tầng thiết bị

Backbone có thể hỗ trợ nhiều loại nhà cung cấp dịch vụ khách hàng. Hỗ trợ hạ tầng

thiết bị Backbone có thể chấp nhận các nhà cung cấp dịch vụ khách hàng là nhà cung

cấp dịch vụ hoặc là nhà cung cấp dịch vụ VPN, hoặc cả hai. Nó có thể hỗ trợ nhà

cung cấp dịch vụ khách hàng yêu cầu bảo mật và nhiều loại băng thông.

Ưu điểm của nhà cung cấp dịch vụ khách hàng

MPLS-VPN hỗ trợ hạ tầng thiết bị kĩ thuật giúp cho nhà cung cấp dịch vụ khách

hàng loại bỏ việc phải cấu hình, hoạt động và duy trì mạng Backbone của riêng họ.

nhà cung cấp dịch vụ khách hàng sử dụng mạng Backbone của hạ tầng thiết bị

Backbone. Nhà cung cấp dịch vụ khách hàng sử dụng dịch vụ VPN của hạ tầng thiết bị

Backbone nhận cùng mức độ bảo mật như các VPN lớp 2 như Frame Relay, ATM.

Nhà cung cấp dịch vụ khách hàng cũng có thể sử dụng IPSec trong VPN của họ để bảo

mật ở mức cao hơn, việc này hoàn toàn trong suốt đối với hỗ trợ hạ tầng thiết bị

Backbone. Nhà cung cấp dịch vụ khách hàng có thể sử dụng bất kì mô hình địa chỉ nào

và vẫn được hỗ trợ bởi hỗ trợ hạ tầng thiết bị Backbone. Không gian địa chỉ khách

hàng và thông tin định tuyến của một nhà cung cấp dịch vụ khách hàng độc lập với

nhà cung cấp dịch vụ khách hàng khác, và độc lập với hỗ trợ hạ tầng thiết bị

Backbone.



2.6 Vấn đề bảo mật trong mạng MPLS-VPN

Trong lĩnh vực bảo mật, mục tiêu của mô hình mạng MPLS-VPN lớp 3 là đạt được

sự bảo mật có thể so sánh với sự bảo mật trong mô hình mạng overlay VPN như ATM

GVHD: TS.Trần Văn Dũng



40



SVTH: Bùi Quang Huy



Đồ án tốt nghiệp

8



Xây dựng mạng riêng ảo VPN Trường T/C nghề Số



hay Frame Relay mang lại

Bảo mật cho VPN phải đảm bảo được sự cách ly về thông tin định tuyến, về không

gian địa chỉ của mỗi VPN. Nghĩa là việc cấp địa chỉ của mỗi VPN là hoàn toàn độc

lập nhau. Thông tin định tuyến từ VPN này không được đưa vào VPN khác và ngược

lại. Thứ hai là bảo mật phải đảm bảo được cấu trúc mạng lõi hoàn toàn trong suốt với

người dùng sử dụng dịch vụ. Thứ ba, bảo mật phải đảm bảo được việc tránh làm giả

nhãn như việc làm giả địa chỉ IP và chống các cuộc tấn công từ chối dịch vụ cũng như

tấn công truy nhập dịch vụ.

Trước hết ta biết rằng trong mạng MPLS-VPN cho phép sử dụng cùng không gian

giữa các VPN nhưng vẫn tạo được tính duy nhất là dựa vào giá trị 64 bits nhờ trường

phân biệt tuyến. Do đó, người dùng sử dụng dịch vụ MPLS-VPN không cần phải thay

đổi địa chỉ hiện tại của mình. Mỗi Router PE duy trì một bảng VRF riêng cho mỗi

VPN, và VRF này chỉ phổ biến các Router thuộc về VPN đó.

Do đó đảm bảo được sự cách ly thông tin định tuyến giữa các VPN với nhau. MPLS

là kỹ thuật chuyển mạch nhãn, vì thế sự chuyển gói dữ liệu đi trong mạng không dựa

vào địa chỉ IP trên mào đầu gói tin. Hơn nữa, tất cả các LSP đều kết thúc tại các

Router biên PE chứ không phải kết thúc tại các Router P trong mạng. Do đó mạng lõi

bên trong hoàn toàn trong suốt đối với người dùng. Trong mạng MPLS-VPN, thật khó

có thể tấn công trực tiếp vào VPN.

Chỉ có thể tấn công vào mạng lõi MPLS, rồi từ đó tấn công vào VPN. Mạng lõi có

thể tấn công theo hai cách: Bằng cách tấn công trực tiếp vào Router PE. Bằng cách tấn

công vào các cơ chế báo hiệu MPLS. Để muốn tấn công vào mạng, trước hết cần phải

biết địa chỉ IP của nó. Nhưng mạng lõi MPLS hoàn toàn trong suốt so với bên ngoài,

do đó kẻ tấn công không thể biết được địa chỉ IP của bất kì Router nào trong mạng lõi.

Họ có thể đoán địa chỉ và gửi gói tin đến những địa chỉ này.

Tuy nhiên, trong mạng MPLS, mỗi gói tin đi vào đều được xem như là thuộc về

không gian địa chỉ nào đó của người dùng. Do đó, thật khó có thể tìm được các Router

bên trong ngay cả khi đoán được địa chỉ. Có thể việc trao đổi thông tin định tuyến giữa

Router PE và CE sẽ là điểm yếu trong mạng MPLS-VPN nhưng trên Router PE có thể

dùng các phương pháp truy nhập, các phương pháp xác thực của giao thức định tuyến

dùng trên kết nối đó sẽ đảm bảo được vấn đề bảo mật. Việc làm giả nhãn cũng khó có

thể xảy ra tại vì Router PE chỉ chấp nhận những gói tin từ Router CE gửi đến là gói tin

không có nhãn, nếu gói tin là có nhãn thì nhãn đó là do PE kiểm soát và quản lý. Từ



GVHD: TS.Trần Văn Dũng



41



SVTH: Bùi Quang Huy



Xem Thêm
Tải bản đầy đủ (.pdf) (74 trang)

×