Mạng riêng ảo và giải pháp hệ thống trong tổng cục thuế

  • Số trang: 83 |
  • Loại file: PDF |
  • Lượt xem: 14 |
  • Lượt tải: 0
nganguyen

Đã đăng 34173 tài liệu

Mô tả:

1 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Nguyễn Thị Phương MẠNG RIÊNG ẢO VÀ GIẢI PHÁP HỆ THỐNG TRONG TỔNG CỤC THUẾ Ngành: Công nghệ Thông tin Chuyên ngành: Truyền dữ liệu và Mạng máy tính Mã số: 60 48 15 LUẬN VĂN THẠC SĨ NGƯỜI HƯỚNG DẪN KHOA HỌC PGS TS. NGUYỄN VĂN TAM \Hà Nội - 2009 2 MỤC LỤC Trang phụ bìa Lời cam đoan Lời cảm ơn Mục lục .....................................................................................................1 Danh mục các thuật ngữ và các từ viết tắt..............................................3 Danh mục hình vẽ ....................................................................................5 MỞ ĐẦU...................................................................................................7 CHƯƠNG 1 TỔNG QUAN VỀ MẠNG RIÊNG ẢO ......................................... 10 1.1 Tổng quan.............................................................................................. 10 1.2 Khái niệm VPN...................................................................................... 10 1.3 Khái niệm đường hầm............................................................................ 11 1.4 Phân loại VPN ....................................................................................... 11 1.4.1 Overlay VPN .................................................................................12 1.4.2 Site to site VPN ( Mô hình VPN ngang cấp) ..................................16 1.5 Kết luận ................................................................................................. 22 CHƯƠNG 2 MẠNG RIÊNG ẢO TRÊN NỀN CÔNG NGHỆ MPLS ............... 23 2.1 Vấn đề đặt ra? ........................................................................................ 23 - Tính khả chuyển ......................................................................................... 23 - Điều khiển lưu lượng ................................................................................... 24 - Chất lượng của dịch vụ (QoS)..................................................................... 24 2.2 Chuyển mạch nhãn đa giao thức là gì? ................................................... 26 2.2.1 Khái niệm ......................................................................................26 2.2.2 Đặc điểm mạng MPLS...................................................................26 2.2.3 Một số khái niệm cơ bản trong kiến trúc MPLS .............................27 2.2.4 Phương thức hoạt động của công nghệ MPLS................................30 2.2.5 Chuyển tiếp gói MPLS và đường chuyển mạch nhãn .....................34 2.3 Kết luận ................................................................................................. 40 CHƯƠNG 3 ỨNG DỤNG MPLS IP VPN VÀO HỆ THỐNG MẠNG NGÀNH VÀ GIẢI PHÁP HỆ THỐNG ................................................................... 42 3.1 Bối cảnh chung ...................................................................................... 42 3.2 Đánh giá ưu nhược điểm của hệ thống cơ sở hạ tầng hiện tại ................. 45 3 3.2.1 Mô hình kết nối WAN và những vấn đề đặt ra? .............................45 3.2.2 Mô hình kết nối Internet và những vấn đề nảy sinh ........................47 3.3 Giải pháp MPLS IP VPN để nâng cao an ninh cho hệ thống mạng TCT 52 3.3.1 Đề xuất cải tiến để đảm bảo tính dự phòng và an ninh cho hệ thống52 3.3.2 Giải pháp thiết kế hệ thống ............................................................55 3.3.3 Đánh giá về hệ thống đảm bảo an ninh...........................................69 3.3.4 Hoạt động thử nghiệm....................................................................76 3.4 Kết luận ................................................................................................. 77 CHƯƠNG 4 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN...................................... 79 4 DANH MỤC CÁC THUẬT NGỮ VÀ CÁC TỪ VIẾT TẮT Nội dung Tên viết tắt BTC Bộ tài chính Hệ thống khách hàng sử dụng dịch vụ của nhà C (Custommer network) – C cung cấp network CE(Customer network device) CEF Các thiết bị trong hệ thống C – network mà dùng để kết nối với hệ thống của nhà cung cấp Cisco Express Forwarding Chính là các CE router và các CE router này được nối với các PE router khi đó một mạng VPN bao gồm nhóm các CE router kết nối với PE router của nhà cung cấp dịch vụ, Tuy nhiên chỉ có CPE PE router mới có khái niệm về VPN còn CE router không nhận thấy những gì đang diễn ra trong mạng của nhà cung cấp và coi như chúng đang được kết nối với nhau thông qua mạng riêng Một phần trong hệ thống C network mà các Customer site thành phần này là láng giềng của nhau giữa chúng có nhiều liên kết vật lý FEC Lớp chuyển tiếp tương đương FEC Lớp chuyển tiếp tương đương Frame Relay Công nghệ chuyển mạch khung IP Internet Protocol L2PT ( Layer 2 Tunnening Protocol) Giao thức đường hầm lớp 2 MPLS (Multiprotocol Label Switching ) Chuyển mạch nhãn đa giao thức P: Provider – P network Nhà cung cấp dịch vụ VPN 5 Nội dung Tên viết tắt Các thiết bị trong hệ thống mạng P network PE (Provider edge device) mà dùng để kết nối với hệ thống của khách hàng PPTP (Point to Point Tunnening Protocol) Giao thức đường hầm điểm điểm PVC Kênh ảo cố định PVC ( permanent virtual circuit) Mạch ảo cố định QoS (Quality of Service) Chất lượng dịch vụ Router Bộ định tuyến SVC (switch virtual circuit) Mạch ảo chuyển đổi TCT Tổng cục thuế TDM ( time divisor multiplexing) Công nghệ chuyển mạch kênh, tách ghép kênh theo thời gian TTM Trung tâm miền TTT Trung tâm tỉnh VC(Vitual chanel) Kênh ảo VPN (Vitual private network) Mạng riêng ảo VRF(vitual routing/forwarding table) Bảng định tuyến ảo X.25 Công nghệ chuyển mạch gói 6 DANH MỤC HÌNH VẼ Hình 1.2 Over lay VPN triển khai ở lớp 2 .................................................................13 Hình 1.3 Mô hình Overlay VPN triển khai ở lớp 3....................................................14 Hình 1.4 Mô hình triển khai dưới dạng đường hầm...................................................15 Hình 1.5 Mô hình Overlay VPN ................................................................................15 Hình 1.6 Mô hình site to site VPN .............................................................................17 Hình 1.7 Mô hình VPN ngang cấp sử dụng router dùng chung ..................................18 Hình 1.8 Mô hình VPN ngang cấp với router dùng chung..........................................19 Hình 1.9 Mô hình VPN ngang cấp sử dụng router dành riêng ....................................20 Hình 1.10 Mô hình router dành riêng .........................................................................21 Hình 2.1 Full mesh với 6 kết nối ảo ..........................................................................24 Hình 2.2 Một ví dụ về mạng IP dựa trên mạng lõi ATM ...........................................25 Hình 2.3 Nhãn kiểu khung ........................................................................................27 Hình 2.4 Nhãn kiểu tế bào ........................................................................................28 Hình 2.5 Cấu trúc cơ bản của một nút MPLS ............................................................31 Hình Hình Hình Hình Hình 2.6 Các FEC riêng biệt cho mỗi tiền tố địa chỉ .................................................33 2.7 Tổng hợp các FEC......................................................................................33 2.8 Sự tạo nhãn MPLS và chuyển tiếp..............................................................34 2.9 Các ứng dụng khác nhau của MPLS ...........................................................35 2.10 Mô hình mạng MPLS ...............................................................................38 Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình 3.1 Hạ tầng mạng BTC.....................................................................................43 3.2 Mô hình Overlay layer – 2 – VPN tại mạng trục.........................................45 3.3 Mô hình Peer – to – Peer VPN tại TTM, TTT ............................................46 3.4 Mô hình kết nối Internet BTC ....................................................................48 3.5 Kết nối mạng diện rộng hệ thống Thuế.......................................................50 3.6 Dòng dữ liệu ngành Thuế ...........................................................................51 3.7 Kiến trúc hệ thống truyền thông BTC.........................................................52 3.8 Sơ đồ kết nối mạng trục BTC .....................................................................53 3.9 Các kết nối WAN giữa hai trung tâm miền.................................................54 3.10 Sơ đồ hệ thống mạng phân bố từ TTM xuống các TTT ............................55 3.11 Cấu trúc mạng trục với WAN truyền thống và MPLS VPN......................56 3.12 Mô hình kết nối sử dụng dịch vụ MPLS IP VPN ......................................56 3.13 Khả năng định tuyến gói tin trong MPLS IP VPN ....................................57 3.14 Mô hình các vùng MPLS IP VPN sẽ thuê của nhà cung cấp dịch vụ.........57 3.15 Mô hình kết nối sử dụng IP Sec VPN thông qua Internet..........................58 7 Hình 3.16 Lớp mạng trục BTC .................................................................................59 Hình 3.17 Kết nối từ TTT lên TTM ..........................................................................60 Hình 3.18 Lớp mạng phân phối Bộ tài chính.............................................................61 Hình 3.19 Các phân lớp mạng...................................................................................62 Hình 3.20 Virtual Interface với GRE Encapsulation thông qua mạng MPLS VPN công cộng...........................................................................................................63 Hình 3.21 Các kết nối GRE trên hệ thống .................................................................64 Hình 3.22 Mạng trung ương các ngành truy cập vào mạng WAN BTC.....................65 Hình 3.23 Lớp truy cập của các đơn vị vào mạng WAN bộ tài chính ........................66 Hình 3.24 Sử dụng 02 Router kết nối cho các đơn vị có yêu cầu tính dự phòng rất cao ...........................................................................................................................66 Hình 3.25 Truy cập IPSec VPN tới MPLS VPN bộ tài chính thông qua Internet.......67 Hình 3.26 Mô hình khai báo Thuế On-line................................................................69 Hình 3.27 Kiến trúc bảo mật đề xuất.........................................................................70 Hình 3.28 Mã hoá đường truyền Leased – lines giữa TTT - TTM .............................71 Hình 3.29 Mô hình phân tách các lớp mạng, đảm bảo an ninh cho các đơn vị...........72 Hình 3.30 An ninh vòng ngoài ..................................................................................74 Hình 3.31 Bảo vệ các hệ thống ứng dụng..................................................................75 Hình 3.32 Mô hình thử nghiệm .................................................................................76 8 MỞ ĐẦU Thế kỷ 20 được coi là thế kỷ của những phát minh quan trọng thúc đẩy xã hội phát triển. Đi đầu trong cuộc cách mạng này không thể không kể tới những tiến bộ vượt bậc áp dụng trong Thuế, Ngân hàng - một trong những thành phần kinh tế then chốt đáp ứng các nhu cầu tài chính huyết mạch của nền kinh tế. Ngày nay, khi mà càng có nhiều công ty kết nối mạng doanh nghiệp của mình với Intemet, hay một công ty có nhiều trụ sở ở các vị trí địa lý khác nhau cần liên lạc thông tin nội bộ ngành với nhau khi đó việc bảo mật thông tin ngành là điều bắt buộc vì vậy phải đối mặt với một vấn đề không tránh khỏi đó là bảo mật thông tin. Viêc chia sẻ thông tin trên một mạng công cộng cũng có nghĩa là những người muốn tìm kiếm, khôi phục thông tin đều có thể lên mạng. Điều gì sẽ xảy ra nếu một người tiếp cận thông tin lại có ý định phá mạng. Nhưng hacker có ý đồ xấu như nghe lén thông tin, tiếp cận thông tin không chính đáng, trái phép, lừa bịp, sao chép thông tin... đang là mối đe doạ lớn cho việc bảo mât trên mạng. Vậy làm thế nào để chúng ta có thể bảo mật thông tin trong quá trình truyền tin trên một mạng chung? Có rất nhiều phương án để đảm bảo truyền tin trên mạng một cách an toàn một trong những phương án hữu hiệu nhất hiện nay là triển khai một mạng riêng ảo (Virtual private network - VPN). VPN là những hệ thống mạng được triển khai dựa trên quy tắc: vẫn áp dụng tiêu chuẩn bảo mật, quản lý chất lượng dịch vụ trong hệ thống mạng công cộng vào hệ thống mạng cá nhân. VPN cung cấp cho chúng ta một sự lựa chọn mới: Xây dựng một mạng cá nhân cho các thông tin liên lạc klểu site- to- site trên một mạng công cộng hay Intemet. Bởi vì nó hoat động trên một mạng chung thay vì một mạng cá nhân nên các công ty có thể mở rộng WAN của mình môt cách hiệu quả, những khách hàng di động hay những văn phòng ở nơi xa xôi, khách hàng hay nhà cung cấp hay những đối tác kinh doanh. VPN mở rộng WAN truyền thống bằng cách thay thế những kết nối điểm tới điểm vật lý bằng những kết nổi điểm tới điểm logic chia sẻ một hạ tầng chung, cho phép tất cả lưu lượng tổng hợp, hội tụ vào một kết nối vât lý duy nhất. Kết quả là tạo nên băng thông tiềm năng và có thể tiết kiệm chí phí tại đầu ra. Bởi vì khách hàng không còn phải duy trì một mạng cá nhân và bản thân VPN cũng rẻ hơn và tiết kiệm chi phí đáng kể so với WAN, do đó toàn bộ chi phí hoạt động vận hành có thể giảm. VPN chính là sự thay thế cho hạ tầng WAN, nó thay thế và thậm chí còn tăng cường các hệ thống mạng thương mại cá nhân sử dụng kênh thuê riêng, frame- relay hay ATM. Luận văn “Mạng riêng ảo và giải pháp hệ thống trong Tổng Cục Thuế” đi vào nghiên cứu về mạng riêng ảo, phân tích các loại mạng riêng ảo hiện nay và cho thấy 9 những mặt tích cực và hạn chế của từng loại, bên cạnh đó nghiên cứu một công nghệ mới MPLS – công nghệ chuyển mạch nhãn đa giao thức – , Các ứng dụng của công nghệ MPLS đi sâu vào nghiên cứu một trong ứng dụng quan trọng của công nghệ MPLS chính là mạng riêng ảo. Trên cơ sở phân tích mang tính lý thuyết trên thì luận văn cũng đưa ra giải pháp để ứng dụng công nghệ mới này vào hệ thống mạng thực tế hiện nay ở Tổng cục thuế. Về bố cục, nội dung luận văn được chia ra làm 3 chương: Chương 1: Nghiên cứu tổng quan về mạng riêng ảo, các loại mạng riêng ảo hiện nay. Chương 2: Nghiên cứu về mạng riêng ảo trên nền công nghệ MPLS Chương 3: Nghiên cứu về hệ thống mạng truyền thông hiện nay của Tổng cục thuế trên cơ sở phân tích, khảo sát hiện trạng hệ thống mạng của Bộ tài chính và đưa ra các giải pháp và mô hình thiết kế mới mang tính ứng dụng khả thi về kỹ thuật công nghệ và kinh tế. Chương 4: Kết luận và hướng phát triển Ngoài ra, luận văn còn có thêm các danh mục các thuật ngữ, các từ viết tắt, danh mục bảng biểu, hình vẽ và danh mục các tài liệu tham khảo để thuận tiện cho việc tìm hiểu và tra cứu nội dung của luận văn. 10 CHƯƠNG 1 TỔNG QUAN VỀ MẠNG RIÊNG ẢO Trong chương này, báo cáo luận văn sẽ giới thiệu tổng quan về mạng riêng ảo, khái niệm VPN, khái niệm đường hầm, phân loại VPN. Đi sâu vào hai loại VPN chính đó là: mô hình Overlay VPN và site to site VPN. Trên cơ sở phân tích nội dung của từng loại cho ta thấy rõ được những ưu, nhược còn tồn tại trong mỗi mô hình. 1.1 Tổng quan VPN là một thuật ngữ quen thuộc hiện nay, nó là một sự lựa chọn gần như tối ưu đối với một công ty có từ 2 chi nhánh trở lên có nhu cầu kết nối mạng với nhau, hoặc có nhu cầu thiết lập một mối quan hệ thân thiết với khách hàng, đối tác, hoặc đặc thù công việc là có nhiều nhân viên làm việc từ xa. Ai cũng biết VPN không còn là một thuật ngữ mới, tuy nhiên không phải ai cũng biết VPN đã được đề cập và xây dựng từ cuối thập kỷ 80 của thế kỷ trước, và nó cũng trải qua nhiều giai đoạn phát triển. Thế hệ VPN thứ nhất do AT&T phát triển có tên là SDNs (Software Defined Networks) Thế hệ thứ 2 là ISDN và X25 Thế hệ thứ 3 là FR và ATM Và thế hệ hiện nay, thế hệ thứ 4 là VPN trên nền mạng IP Thế hệ tiếp theo sẽ là VPN trên nền mạng MPLS. 1.2 Khái niệm VPN VPN là công nghệ cung cấp một phương thức giao tiếp an toàn giữa các mạng riêng dựa vào kỹ thuật đường hầm để tạo ra một mạng riêng trên cơ sở hạ tầng mạng dùng chung (mạng Internet). Về bản chất đây là quá trình đặt toàn bộ gói tin vào trong một lớp tiêu đề chứa thông tin định tuyến có thể truyền an toàn qua mạng công cộng. VPN là một mạng riêng sử dụng để kết nối các mạng riêng lẻ hay nhiều người sử dụng ở xa thông qua các kết nối ảo dẫn qua đường Internet thay cho một kết nối thực, chuyên dụng như đường leased line. VPN bao gồm hai phần: mạng của nhà cung cấp dịch vụ và mạng của khách hàng trong đó mạng của nhà cung cấp dịch vụ chạy dọc cơ sở hạ tầng mạng công cộng, bao gồm các bộ định tuyến cung cấp dịch vụ cho mạng của khách hàng. 11 1.3 Khái niệm đường hầm Đường hầm là một cách thức mà ở đó dữ liệu có thể truyền đi giữa hai mạng một cách an toàn. Toàn bộ dữ liệu truyền đi được phân mảnh thành các gói nhỏ hơn hoặc thành các khung sau đó được đẩy vào trong đường hầm. Cách thức này khác với cách vận chuyển dữ liệu thông thường giữa các điểm. Ở đây các gói dữ liệu di chuyển trong đường hầm sẽ được đóng gói và mã hoá với thông tin định tuyến tới một địa chỉ xác định. Sau khi tới được địa chỉ mong muốn thì dữ liệu được khôi phục nhờ việc giải mã. Một đường hầm là một con đường logic được thiết lập giữa điểm nguồn và điểm đích của hai mạng. Các gói dữ liệu được đóng gói tại nguồn và mở gói tại điểm đích. Đường hầm logic giữa hai mạng này được duy trì trong suốt tiến trình gửi dữ liệu. Đường hầm dùng để vận chuyển dữ liệu cho mục đích riêng tư, thông thường là hệ thống mạng của một tập đoàn thông qua hệ thống mạng công cộng. Với cách hiểu đó các nút định tuyến trong hệ thống mạng công cộng không biết rằng luồng vận chuyển đó là của hệ thống mạng riêng hay chung. Có nhiều loại đường hầm được thực thi trên các tầng khác nhau của mô hình OSI. Ví dụ hai loại đường hầm PPTP và L2TP thực thi trên tầng 2. Hai loại đường hầm này sẽ không kích hoạt tại các phiên làm việc nội mạng, trong trường hợp có sự kết nối hai mạng thì loại đường hầm sẽ được xác định hoặc PPTP hoặc L2TP sau khi lựa chọn được loại đường hầm thì các tham số như mã hóa, cách đăng ký địa chỉ, nén …vv. Được cấu hình để đạt được sự an toàn ở mức cao nhất khi đi qua mạng Internet dựa trên sự kết nối đường hầm logic địa phương. Kết nối được tạo ra duy trì và kết thúc sử dụng giao thức quản lý đường hầm. 1.4 Phân loại VPN Mạng riêng ảo có thể là hệ thống mạng ảo giữa hai đầu cuối hệ thống hay giữa hai hay nhiều mạng riêng. Do đó ta có thể chia mạng mạng riêng ảo thành hai loại chính đó là: Customer – based VPN ( hay còn gọi là Overlay VPN): là mạng riêng ảo được cấu hình trên các thiết bị của khách hàng sử dụng các giao thức đường hầm xuyên qua mạng công cộng. Nhà cung cấp dịch vụ sẽ cung cấp các kênh ảo, kết nối ảo giữa các mạng của khách hàng. Network – based VPN ( hay còn gọi là site to site VPN): là mạng riêng ảo được cấu hình trên các thiết bị của nhà cung cấp dịch vụ và được quản lý bởi nhà cung 12 cấp dịch vụ. Ở đây nhà cung cấp trao đổi thông tin định tuyến với khách hàng và sắp đặt dữ liệu của khách hàng vào các đường đi tối ưu nhất. 1.4.1 Overlay VPN Mô hình Overlay VPN được triển khai dưới nhiều công nghệ khác nhau. Ban đầu VPN được xây dựng bằng cách sử dụng các đường kết nối leased line để cung cấp kết nối giữa các khách hàng ở nhiều vị trí khác nhau. Khách hàng mua các dịch vụ đường kết nối của nhà cung cấp. Đường kết nối này được thiết lập giữa các mạng của khách hàng và đường này là đường riêng cho khách hàng. Cho đến những năm 1990, Frame Relay được giới thiệu. Frame Relay được xem như là một công nghệ VPN vì nó đáp ứng kết nối cho khách hàng như dịch vụ leased line, chỉ khác ở chỗ là khách hàng không được cung cấp các đường dành riêng cho mỗi khách hàng mà các khách hàng sử dụng một đường chung nhưng được chỉ định các kênh ảo, các kênh ảo này sẽ đảm bảo lưu lượng cho mỗi khách hàng riêng biệt. Khi cung cấp kênh ảo cho khách hàng nghĩa là nhà cung cấp dịch vụ đã xây dựng một đường hầm riêng cho lưu lượng khách hàng chảy qua mạng dùng chung của nhà cung cấp dịch vụ. Sau này công nghệ ATM ra đời về cơ bản ATM cũng giống như Frame Relay nhưng đáp ứng được tốc độ chuyền dẫn cao hơn. Khách hàng thiết lập việc liên lạc giữa các thiết bị đầu phía khách hàng với nhau thông qua kênh ảo. Giao thức định tuyến chạy trực tiếp giữa các bộ định tuyến khách hàng thiết lập các mối quan hệ cận kề và trao đổi thông tin định tuyến với nhau. Nhà cung cấp dịch vụ không hề biết đến thông tin định tuyến của khách hàng và nhiệm vụ của nhà cung cấp trong mô hình này chỉ là đảm bảo vận chuyển dữ liệu từ điểm tới điểm giữa các mạng của khách hàng mà thôi. Mô hình Overlay VPN được triển khai theo các rãnh riêng thông qua cơ sở hạ tầng của nhà cung cấp dịch vụ. Hệ thống này có thể được thi hành tại lớp 1 sử dụng đường leased line/dialup line, tại lớp 2 sử dụng X25/Frame Relay/ ATM kênh ảo hoặc tại lớp 3 sử dụng đường hầm IP (GRE) Với mô hình VPN triển khai ở lớp 1, mô hình này kế thừa giải pháp ghép kênh theo thời gian truyền thống - thời gian sử dụng đường truyền được chia ra làm nhiều khung, mỗi khung được chia thành nhiều khe thời gian và mỗi người sử dụng một khe cho mình để phục vụ việc truyền tin. Ở đây nhà cung cấp ấn định nhiều dòng bit và thiết lập các kết nối vật lý giữa các site khách hàng thông qua ISDN, DSO, T1, E1, SONET hoặc SDH và khách hàng chịu trách nhiệm thi hành ở tất cả các lớp cao hơn ví như PPP, HDLC, IP 13 Hình 1.1 Mô hình Overlay VPN triển khai ở lớp 1 Với mô hình Overlay VPN thực hiện ở lớp 2, mô hình này kế thừa giải pháp chuyển mạch trong mạng WAN. Ở đây nhà cung cấp dịch vụ chịu trách nhiệm thiết lập các kênh ảo ở lớp 2 giữa các sites khách hàng thông qua X.25, Frame Relay hoặc ATM và khách hàng có nhiệm vụ ở lớp IP và các lớp cao hơn. Hình 1.2 Over lay VPN triển khai ở lớp 2 Với mô hình Overlay triển khai ở lớp 3, mô hình này được thực hiện các kết nối điểm tới điểm thông qua đường hầm IP. Thông qua đường hầm IP thì việc lưu thông là trong suốt đối với đích và nguồn song vấn đề là ta phải biết rõ ràng topo mạng. Chính vì vậy hệ thống mạng ảo có thể được tạo ra bởi sự phối hợp các các thiết bị không kết nối hoặc máy chủ với nhau thông qua một đường hầm. Việc triển khai đường hầm đảm bảo được tính riêng tư của hệ thống địa chỉ mạng dọc theo mạng xương sống của nhà cung cấp dịch vụ mà không cần chuyển đổi địa chỉ mạng. Đường hầm được thiết lập với hai công nghệ phổ biến là GRE - generic routing encapsulation - và IPSec – IP secrity. Triển khai theo GRE đơn giản và nhanh hơn song độ an toàn kém trái lại triển khai theo IPSec phức tạp và tốn tài nguyên hơn nhưng tính an toàn lại cao. 14 Hình 1.3 Mô hình Overlay VPN triển khai ở lớp 3 Đường hầm GRE cung cấp một ống cố định dọc theo hệ thống chia sẻ mạng diện rộng ở đây các gói tin được bọc bởi một tiêu đề đầu sau đó được truyền đi tới những đích cố định. Vì vậy hệ thống mạng đảm bảo tính riêng tư nhờ đưa lộ trình vào trong đường hầm tới một điểm đến. Hệ thống đường hầm GRE không có khả năng đảm bảo tính an toàn, để hệ thống được tốt hơn thì có thể kết hợp GRE và IPSec. Khi ta triển khai VPN trên lớp 3 thông qua hệ thống mạng công cộng thì hệ thống đường hầm được thiết lập. IPSec cung cấp dịch vụ đảm bảo tính an toàn thông tin cao nó đảm bảo thông tin qua mạng là an toàn. IPSec là một chuẩn trong Internet, nó quy định các chuẩn quy ước giữa người dùng và các thiết bị. Nó được triển khai một cách “trong suốt” trong hệ thống cơ sở hạ tầng của mạng. Người sử dụng đầu cuối không cần quan tâm xem gói tin bị chặn hay chuyển đi như thế nào trên mạng bởi IPSec Overlay VPN được triển khai dưới dạng đường hầm. Việc triển khai thành công các công nghệ gắn với địa chỉ IP nên một vài nhà cung cấp dịch vụ bắt đầu triển khai VPN qua IP. Thực vậy, nếu khách hàng nào xây dựng mạng của riêng họ qua Internet thì có thể dùng giải pháp này vì chi phí thấp. Bên cạnh lý do kinh tế thì mô hình đường hầm còn đáp ứng cho khách hàng việc bảo mật dữ liệu. 15 Hình 1.4 Mô hình triển khai dưới dạng đường hầm Trong mô hình Overlay VPN, nhà cung cấp dịch vụ chỉ có nhiệm vụ cung cấp các đường kết nối điểm tới điểm hoặc các kênh ảo. Nhà cung cấp không tham gia vào quá trình định tuyến mà đơn thuần cung cấp việc vận chuyển dữ liệu giữa các mạng của khách hàng và giao thức định tuyến nằm ở bộ định tuyến của khách hàng. Hình 1.5 Mô hình Overlay VPN Hình trên minh hoạ một mô hình Overlay VPN. Với 3 site khách hàng là HÀNỘI, TPHCM và Đà Nẵng. Ở đây Hà nội kết nối với TPHCM qua một kết nối vật lý do nhà cung cấp cấp, tương tự cũng có một kết nốii Hà nội với Đà nẵng. Trong mô hình này định tuyến lớp 3 được thiết lập trực tiếp tại các thiết bị định tuyến biên của phía khách hàng là Hà nội, TPHCM và Đà nẵng và bản thân nhà cung cấp không tham gia vào quá trình định tuyến. 16 Do nhà cung cấp không tham gia vào quá trình định tuyến của khách hàng và họ chỉ cung cấp các dịch vụ vận chuyển dữ liệu qua các kết nối điểm tới điểm ảo ( các kết nối này có thể là cố định hoặc là các kết nối chuyển đổi) Như vậy nhà cung cấp chỉ cung cấp cho khách hàng các kết nối ảo ở lớp 2. Nên ta thấy mô hình này có xuất hiện vài ưu điểm : Nhà cung cấp dịch vụ không tham gia vào phía định tuyến của khách hàng. Mạng của nhà cung cấp dịch vụ và mạng của khách hàng hoàn toàn tách biệt. Có thể tái tạo và sử dụng lại địa chỉ IP Bên cạnh những ưu điểm trên mô hình Overlay VPN còn một số nhược điểm: Nhược điểm chính của mô hình này là các mạch ảo kết nối các site khách hàng đều ở dạng full mesh nghĩa là nếu có N site khách hàng thì tổng mạch ảo tối ưu cho việc định tuyến là N*(N-1)/2. Hai phía khách hàng đếu phải thực hiện các giao thức bảo mật và mã hoá dữ liệu như IP Sec, SSL, GRE.. do đó gây ra độ trễ lớn và việc triển khai các ứng dụng thời gian thực là không khả thi. Khi muốn mở rộng mạng ( bổ sung site mới) thì nhà cung cấp dịch vụ phải cấu hình thêm một VC mới việc này tốn công sức và băng thông của nhà cung cấp. Mặt khác ta thấy các cam kết về chất lượng dịch vụ trong mô hình Overlay VPN thường là cam kết về băng thông trên một kênh ảo, băng thông có thể sử dụng được tối đa trên một kênh ảo. Việc cam kết này được thực hiện thông qua các thống kê tự nhiên của dịch vụ lớp 2 nhưng lại phụ thuộc vào chiến lược của nhà cung cấp. Điều này có nghĩa là tốc độ cam kết không thực sự được bảo đảm mặc dù nhà cung cấp có thể đảm bảo tốc độ nhỏ nhất. Cam kết về băng thông cũng chỉ là cam kết về hai điểm trong mạng khách hàng. Nếu không có ma trận lưu lượng thì thật khó có thể thực hiện cam kết này cho khách hàng trong mô hình Overlay VPN và thật khó có thể cung cấp nhiều lớp dịch vụ vì nhà cung cấp dịch vụ không thể phân biệt được lưu lượng ở giữa mạng. Để làm được việc này đòi hỏi phải tạo ra nhiều kết nối như trong mạng Frame relay hay ATM là có các kênh ảo cố định giữa các site khách hàng tuy nhiên nhiều kết nối chỉ làm tăng thêm chi phí của mạng 1.4.2 Site to site VPN ( Mô hình VPN ngang cấp) Mô hình VPN ngang cấp ra đời nhằm giải quyết các hạn chế của mô hình Overlay VPN. Mô hình này cho phép nhà cung cấp dịch vụ cung cấp cho khách hàng việc vận chuyển dữ liệu một cách tối ưu qua hệ thống mạng xương sống và với mô hình này 17 nhà cung cấp dịch vụ và khách hàng sử dụng chung một loại giao thức mạng và toàn bộ việc định tuyến của khách hàng được thực hiện trong lõi mạng của nhà cung cấp. Bộ định tuyến nhà cung cấp dịch vụ trao đổi thông tin định tuyến với bộ định tuyến của khách hàng, tại mỗi mạng liền kề. Định tuyến lớp 3 được thiết lập giữa bộ định tuyến biên của khách hàng với bộ định tuyến biên của nhà cung cấp. Bởi việc định tuyến giữa các nút đã được triển khai nên việc định tuyến giữa các mạng giờ đây là tối ưu. Đa kết nối được thiết lập từ điểm tới điểm hay việc kết nối thông qua hệ thống xương sống của mạng nhà cung cấp đã giúp cho việc định tuyến đạt được ở mức tối ưu. Trong mô hình này việc bổ xung các mạng con dễ dàng hơn khi đó khả năng của các vi mạch không còn là vấn đề phải quan tâm. Địa chỉ IP của phía khách hàng do nhà cung cấp kiểm soát. Nhà cung cấp dịch vụ chia sẻ việc định tuyến với khách hàng, nhà cung cấp dịch vụ ấn định hoặc đưa ra một khoảng địa chỉ cần thiết để triển khai hệ thống mạng của khách hàng vì vậy địa chỉ riêng không còn là sự lựa chọn nữa. Hình 1.6 Mô hình site to site VPN Hình trên mô phỏng cách triển khai của mô hình site to site VPN. Trong mô hình này thông tin định tuyến được trao đổi giữa bộ định tuyến biên của khách hàng và nhà cung cấp dịch vụ cụ thể ở đây là giữa Hà nội CE và Hà nội PE. Sau đó bộ định tuyến của nhà cung cấp trao đổi với bộ định tuyến của khách hàng khác thông qua hệ thống mạng lõi ở đây bộ định tuyến Hà nội PE sẽ quảng bá qua hệ thống lõi tới TPHCM PE và Đà nẵng PE. Mặt khác các thông tin định tuyến lớp 3 được trao đổi trực tiếp giữa bộ định tuyến của khách hàng với bộ định tuyến của nhà cung cấp. 18 Như vậy ta thấy mô hình này không yêu cầu tạo ra các mạch ảo mà bộ định tuyến CE trao đổi trực tiếp thông tin về tuyến với các bộ định tuyến PE của nhà cung cấp dịch vụ và thông tin định tuyến của khách hàng được quảng bá trong mạng lõi của nhà cung cấp do đó sẽ xác định được đường đi tối ưu giữa một site khách hàng này tới một site khách hàng khác. Nhà cung cấp dịch vụ triển khai hai ứng dụng khác sử dụng mạng riêng ảo ngang cấp: Phương pháp chia sẻ router: Bộ định tuyến dùng chung, nghĩa là khách hàng chia sẻ cùng bộ định tuyến biên mạng của nhà cung cấp. Ở phương pháp này nhiều khách hàng có thể kết nối trên cùng một bộ định tuyến của nhà cung cấp Hình 1.7 Mô hình VPN ngang cấp sử dụng router dùng chung Trên bộ định tuyến biên mạng của nhà cung cấp phải cấu hình một danh sách truy cập cho giao diện của mỗi nhà cung cấp - để đảm bảo chắc chắn sự cách ly giữa các khách hàng VPN, để ngăn chăn mạng riêng ảo của khách hàng này thực hiện các tấn công từ chối dịch vụ vào mạng riêng ảo của khách hàng khác. Nhà cung cấp dịch vụ chia mỗi phần trong không gian địa chỉ của nó cho khách hàng và quản lý việc lọc gói tin trên router của nhà cung cấp 19 Hình 1.8 Mô hình VPN ngang cấp với router dùng chung Ở mô hình trên có 3 mô hình VPN riêng biệt VPN-101, VPN-201, VPN-301. Những mô hình này được triển khai trên 4 site khách hàng khác nhau. VPN-101 được triển khai cho Paris cũng như Lyon. VPN-201 được triển khai cho Brussels và VPN301 được triển khai cho Munic. Ta thấy Lodon PE chứa toàn bộ thông tin định tuyến của cả 3 mô hình VPN. Việc cách ly giữa các mô hình VPN được thực hiện bởi một danh sách truy cấp trên giao diện của PE và CE: Serial0/0, Serial0/1, Serial0/2, Serial0/3. Phương pháp router riêng: là phương pháp mà khách hàng VPN có router của nhà cung cấp dịch vụ riêng. Trong phương pháp này, mỗi khách hàng VPN phải có router của nhà cung cấp dành riêng và do đó chỉ truy cập đến các router trong bảng định tuyến của router nhà cung cấp đó. 20 Hình 1.9 Mô hình VPN ngang cấp sử dụng router dành riêng Mô hình router dành trước sử dụng giao thức định tuyến để tạo ra bảng định tuyến trên một mạng riêng ảo trên router nhà cung cấp. Bảng định tuyến chỉ có các router được quảng bá bởi khách hàng VPN kết nối đến chúng, kết quả là tạo ra sự cách ly tuyệt vời giữa các mạng riêng ảo. Việc định tuyến router dành trước có thể thực hiện: Giao thức định tuyến chạy giữa PE và CE là bất kỳ BGP là giao thức chạy giữa PE và CE PE phân phối các router nhận được từ CE vào BGP, đánh dấu với ID của khách hàng và truyền các router đến router P, router P sẽ có tất cả các router từ tất cả các VPN của khách hàng. Router P chỉ truyền các định tuyến với BGP community thích hợp đến router PE. Do đó router PE chỉ nhận các tuyến từ router CE trong VPN của chúng. Sự chia tách giữa các khách hàng đạt được thông qua việc thiếu thông tin định tuyến của nó trong bộ định tuyến biên của khách hàng. Bộ định tuyến của nhà cung cấp chứa toàn bộ bộ định tuyến của khách hàng và lọc thông tin định tuyến giữa các bộ định tuyến biên của mỗi khách hàng trong mạng nhà cung cấp sử dụng BGP. Bởi mỗi khách hàng có một bộ định tuyến biên riêng của nhà cung cấp nên mô hình này khá đắt để triển khai do đó nó không phải là giải pháp hiệu quả về giá cả
- Xem thêm -