Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.05 MB, 74 trang )
Đồ án tốt nghiệp
8
Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
thì ta không nên sử dụng mô hình Full-mesh.
Trong MPLS-VPN sử dụng các kĩ thuật đã có sẵn trong BGP-4 để triển khai mô
hình mạng riêng ảo đảm bảo được khả năng mở rộng là sử dụng tuyến phản xạ (Route
reflector) và confederation. Tuyến phản xạ và confederation trong MPLS-VPN hoạt
động giống như trong BGP-4. Chính nhờ vào hai khả năng trên mà nhà cung cấp có
thể triển khai nhiều mô hình MPLS-VPN phức tạp. Mô hình mạng MPLS-VPN mà ta
đã thảo luận từ trước đến nay chỉ dành cho các site VPN người dùng kết nối đến cùng
một nhà cung cấp dịch vụ dọc kết nối giữa PE và CE, việc trao đổi thông tin định
tuyến dọc những liên kết này không cần có sự tham gia của MPLS, cũng như không
có sự trao đổi trực tiếp nào giữa các site người dùng. Trong trường hợp này, Router
PE duy trì toàn bộ quá trình điều khiển giữa các site với nhau thông qua sự cách ly
giữa các VPN. Trong phần sau ta đi sâu vào thảo luận các mô hình MPLS-VPN phức
tạp hơn, mô hình này cho phép trao đổi thông tin nhãn và các gói tin có gắn nhãn đến
từ các thiết bị nằm ngoài sự điều khiển của nhà cung cấp dịch vụ.
2.5.1 Hệ thống tự trị MPLS-VPN
Hệ thống tự trị (Autonomous system) là một mạng hoặc một nhóm nhiều mạng
chia sẽ cùng một chính sách và hoạt động trong một miền nhất định. AS được điều
khiển bởi nhà quản trị hệ thống. Khi dịch vụ MPLS-VPN lớp 3 đã trở nên phổ biến
hơn, lúc này nó cần phải hỗ trợ kết nối nhiều hệ tự trị khác nhau. Người dùng là
doanh nghiệp lớn thường là sử dụng mô hình AS-Multihomed, vì vị trí địa lý khác
nhau, rất khó đạt được kết nối VPN đầy đủ qua một nhà cung cấp dịch vụ. Ngay cả
nếu kết nối đó có thể đạt được thì trong mô hình mạng này cũng có thể bị chia ra
thành nhiều AS nhỏ hơn. Do đó, dịch vụ MPLS VPN lớp 3 cần phải được mở rộng ra
ngoài một AS. Cho phép một VPN đi qua nhiều mạng Backbone của nhiều nhà cung
cấp dịch vụ. Mỗi nhà cung cấp dịch vụ, quản trị mỗi AS khác nhau, có thể đáp ứng
dịch vụ MPLS-VPN cho cùng một người dùng đầu cuối. Một VPN có thể bắt đầu ở
một site người dùng và di duyển qua nhiều mạng Backbone của nhà cung cấp dịch vụ
khác nhau trước khi đến site khác của cùng người dùng đó. Đặc điểm này cho phép
nhiều AS thành lập một mạng liên tục giữa các site người dùng với của một nhà cung
cấp.
Cho phép một VPN tồn tại trong nhiều vùng khác nhau. Một nhà cung cấp dịch vụ
có thể tạo ra VPN trong nhiều vùng địa lý khác nhau. Và việc có tất cả lưu lượng
VPN chảy qua một điểm giữa các vùng cho phép điều khiển tốc độ lưu lượng mạng
tốt hơn giữa các vùng đó. Sử dụng Confederation để tối ưu IBGP meshing, đáp ứng
GVHD: TS.Trần Văn Dũng
38
SVTH: Bùi Quang Huy
Đồ án tốt nghiệp
8
Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
khả năng mở rộng.
Mô hình hệ thống tự trị được chia ra thành 2 kết nối như sau:
• Kết nối giữa các nhà cung cấp với nhau
• Kết nối giữa các AS với nhau
2.5.2 Nhà cung cấp dịch vụ hạ tầng
Từ những ưu điểm của công nghệ MPLS-VPN và cộng với sự phát triển, mở rộng
mạng ra nhiều vùng địa lý khác nhau. Nhiều doanh nghiệp lớn, doanh nghiệp trung
bình, nhiều nhà cung cấp dịch vụ MPLS-VPN nhỏ hơn, và nhiều nhà cung cấp dịch
vụ Internet đã nhận thấy rằng khi kết nối vào mạng Backbone MPLS-VPN họ có thể
tránh được việc phải xây dựng cơ sở hạ tầng lớp 2 cho mạng của mình. Thay vào đó
sử dụng mạng Backbone của nhà cung cấp MPLS-VPN để kết nối các site lại với
nhau. Ngoài vấn đề giảm thiểu được chi phí thì mỗi site có thể kết nối đến toàn bộ các
site ngang cấp với nó. Do đó sẽ cung cấp được định tuyến tối ưu nhất. Điều này có
nghĩa là để cho phép tất cả các người dùng như vậy truy cập vào mạng MPLS-VPN
Backbone thì mạng Backbone phải có khả năng mang một số lượng cực kì lớn thông
tin định tuyến cho mỗi cá nhân người dùng. Các nhà cung cấp dịch vụ Internet hầu
như cần phải trao đổi một phần, nếu không nói là toàn bộ, bảng định tuyến Internet
giữa các site của họ để người dùng của họ có thể truy cập được Internet.
Việc truy cập đến những người dùng này gây ra vấn đề khó khăn khi mở rộng, vì
mỗi Router PE phải duy trì tất cả thông tin định tuyến nội bộ trong một VRF. Thông
tin định tuyến này sau đó được phân phối đến tất cả các Router PE có liên quan, lúc
đó Router CE hoàn toàn có thể đạt được thông tin định tuyến thích hợp. Để giải quyết
vấn đề mở rộng trong trường hợp trên, một giải pháp mới được mở rộng ra từ MPLSVPN chuẩn, được gọi là hỗ trợ hạ tầng thiết bị cho nhau. Các nhà cung cấp dịch vụ
được sử dụng hạ tầng thiết bị của nhà cung cấp dịch vụ khác được gọi là nhà cung cấp
dịch vụ người dùng.
Hỗ trợ dịch vụ hạ tầng sử dụng để mô tả một tình huống khi một nhà cung cấp dịch
vụ cho phép nhà cung cấp dịch vụ khác sử dụng một phần trong mạng Backbone của
họ. Nhà cung cấp dịch vụ cung cấp một phần trong mạng Backbone cho nhà cung cấp
dịch vụ khác được gọi là hỗ trợ hạ tầng đường trục.
Một số ưu điểm khi sử dụng hỗ trợ hạ tầng thiết bị kĩ thuật Mạng MPLS-VPN hỗ
trợ hạ tầng thiết bị kĩ thuật cung cấp nhiều ưu điểm cho nhà cung cấp dịch vụ, kể cả
hỗ trợ hạ tầng backbone.
GVHD: TS.Trần Văn Dũng
39
SVTH: Bùi Quang Huy
Đồ án tốt nghiệp
8
Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
Ưu điểm đối với hỗ trợ hạ tầng Backbone.
Hỗ trợ hạ tầng thiết bị Backbone có thể cung cấp cho nhiều nhà cung cấp dịch vụ
khách hàng và cho phép họ truy cập vào mạng Backbone. hạ tầng thiết bị Backbone
không cần phải tạo và duy trì mỗi Backbone riêng cho nhà cung cấp dịch vụ khách
hàng. Sử dụng một mạng Backbone để hỗ trợ nhiều nhà cung cấp dịch vụ khách hàng
chỉ đơn giản thông qua hoạt động VPN của hạ tầng thiết bị Backbone. Hạ tầng thiết bị
Backbone chỉ cần sử dụng một phương pháp cố định để quản lý và duy trì mạng
Backbone.
Điều này có nghĩa là tiết kiệm được chi phí và hiệu quả hơn so với việc phải duy trì
riêng từng Backbone. Đặc điểm MPLS hỗ trợ hạ tầng thiết bị kĩ thuật có khả năng mở
rộng, nó có thể thay đổi VPN để đáp ứng nhu cầu băng thông và kết nối. Nó có thể hỗ
trợ đến mười ngàn VPN qua cùng một mạng, và cho phép nhà cung cấp dịch vụ có thể
vừa đáp ứng dịch vụ VPN vừa đáp ứng được dịch vụ Internet. Hỗ trợ hạ tầng thiết bị
Backbone có thể hỗ trợ nhiều loại nhà cung cấp dịch vụ khách hàng. Hỗ trợ hạ tầng
thiết bị Backbone có thể chấp nhận các nhà cung cấp dịch vụ khách hàng là nhà cung
cấp dịch vụ hoặc là nhà cung cấp dịch vụ VPN, hoặc cả hai. Nó có thể hỗ trợ nhà
cung cấp dịch vụ khách hàng yêu cầu bảo mật và nhiều loại băng thông.
Ưu điểm của nhà cung cấp dịch vụ khách hàng
MPLS-VPN hỗ trợ hạ tầng thiết bị kĩ thuật giúp cho nhà cung cấp dịch vụ khách
hàng loại bỏ việc phải cấu hình, hoạt động và duy trì mạng Backbone của riêng họ.
nhà cung cấp dịch vụ khách hàng sử dụng mạng Backbone của hạ tầng thiết bị
Backbone. Nhà cung cấp dịch vụ khách hàng sử dụng dịch vụ VPN của hạ tầng thiết bị
Backbone nhận cùng mức độ bảo mật như các VPN lớp 2 như Frame Relay, ATM.
Nhà cung cấp dịch vụ khách hàng cũng có thể sử dụng IPSec trong VPN của họ để bảo
mật ở mức cao hơn, việc này hoàn toàn trong suốt đối với hỗ trợ hạ tầng thiết bị
Backbone. Nhà cung cấp dịch vụ khách hàng có thể sử dụng bất kì mô hình địa chỉ nào
và vẫn được hỗ trợ bởi hỗ trợ hạ tầng thiết bị Backbone. Không gian địa chỉ khách
hàng và thông tin định tuyến của một nhà cung cấp dịch vụ khách hàng độc lập với
nhà cung cấp dịch vụ khách hàng khác, và độc lập với hỗ trợ hạ tầng thiết bị
Backbone.
2.6 Vấn đề bảo mật trong mạng MPLS-VPN
Trong lĩnh vực bảo mật, mục tiêu của mô hình mạng MPLS-VPN lớp 3 là đạt được
sự bảo mật có thể so sánh với sự bảo mật trong mô hình mạng overlay VPN như ATM
GVHD: TS.Trần Văn Dũng
40
SVTH: Bùi Quang Huy
Đồ án tốt nghiệp
8
Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
hay Frame Relay mang lại
Bảo mật cho VPN phải đảm bảo được sự cách ly về thông tin định tuyến, về không
gian địa chỉ của mỗi VPN. Nghĩa là việc cấp địa chỉ của mỗi VPN là hoàn toàn độc
lập nhau. Thông tin định tuyến từ VPN này không được đưa vào VPN khác và ngược
lại. Thứ hai là bảo mật phải đảm bảo được cấu trúc mạng lõi hoàn toàn trong suốt với
người dùng sử dụng dịch vụ. Thứ ba, bảo mật phải đảm bảo được việc tránh làm giả
nhãn như việc làm giả địa chỉ IP và chống các cuộc tấn công từ chối dịch vụ cũng như
tấn công truy nhập dịch vụ.
Trước hết ta biết rằng trong mạng MPLS-VPN cho phép sử dụng cùng không gian
giữa các VPN nhưng vẫn tạo được tính duy nhất là dựa vào giá trị 64 bits nhờ trường
phân biệt tuyến. Do đó, người dùng sử dụng dịch vụ MPLS-VPN không cần phải thay
đổi địa chỉ hiện tại của mình. Mỗi Router PE duy trì một bảng VRF riêng cho mỗi
VPN, và VRF này chỉ phổ biến các Router thuộc về VPN đó.
Do đó đảm bảo được sự cách ly thông tin định tuyến giữa các VPN với nhau. MPLS
là kỹ thuật chuyển mạch nhãn, vì thế sự chuyển gói dữ liệu đi trong mạng không dựa
vào địa chỉ IP trên mào đầu gói tin. Hơn nữa, tất cả các LSP đều kết thúc tại các
Router biên PE chứ không phải kết thúc tại các Router P trong mạng. Do đó mạng lõi
bên trong hoàn toàn trong suốt đối với người dùng. Trong mạng MPLS-VPN, thật khó
có thể tấn công trực tiếp vào VPN.
Chỉ có thể tấn công vào mạng lõi MPLS, rồi từ đó tấn công vào VPN. Mạng lõi có
thể tấn công theo hai cách: Bằng cách tấn công trực tiếp vào Router PE. Bằng cách tấn
công vào các cơ chế báo hiệu MPLS. Để muốn tấn công vào mạng, trước hết cần phải
biết địa chỉ IP của nó. Nhưng mạng lõi MPLS hoàn toàn trong suốt so với bên ngoài,
do đó kẻ tấn công không thể biết được địa chỉ IP của bất kì Router nào trong mạng lõi.
Họ có thể đoán địa chỉ và gửi gói tin đến những địa chỉ này.
Tuy nhiên, trong mạng MPLS, mỗi gói tin đi vào đều được xem như là thuộc về
không gian địa chỉ nào đó của người dùng. Do đó, thật khó có thể tìm được các Router
bên trong ngay cả khi đoán được địa chỉ. Có thể việc trao đổi thông tin định tuyến giữa
Router PE và CE sẽ là điểm yếu trong mạng MPLS-VPN nhưng trên Router PE có thể
dùng các phương pháp truy nhập, các phương pháp xác thực của giao thức định tuyến
dùng trên kết nối đó sẽ đảm bảo được vấn đề bảo mật. Việc làm giả nhãn cũng khó có
thể xảy ra tại vì Router PE chỉ chấp nhận những gói tin từ Router CE gửi đến là gói tin
không có nhãn, nếu gói tin là có nhãn thì nhãn đó là do PE kiểm soát và quản lý. Từ
GVHD: TS.Trần Văn Dũng
41
SVTH: Bùi Quang Huy