ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
Nguyễn Thị Phương
MẠNG RIÊNG ẢO VÀ GIẢI PHÁP HỆ THỐNG
TRONG TỔNG CỤC THUẾ
Ngành: Công nghệ Thông tin
Chuyên ngành: Truyền dữ liệu và Mạng máy tính
Mã số: 60 48 15
LUẬN VĂN THẠC SĨ
NGƯỜI HƯỚNG DẪN KHOA HỌC
PGS TS. NGUYỄN VĂN TAM
Hà Nội - 2009
Trường Cao Đẳng Giao Thông VậnTải
1
MỤC LỤC
Trang phụ bìa
Lời cam đoan
Lời cảm ơn
Mục lục ..................................................................................................... 1
Danh mục các thuật ngữ và các từ viết tắt .............................................. 3
Danh mục hình vẽ .................................................................................... 5
MỞ ĐẦU................................................................................................... 7
CHƢƠNG 1 TỔNG QUAN VỀ MẠNG RIÊNG ẢO ........................................... 9
1.1 Tổng quan ................................................................................................ 9
1.2 Khái niệm VPN........................................................................................ 9
1.3 Khái niệm đường hầm ............................................................................ 10
1.4 Phân loại VPN ....................................................................................... 10
1.4.1 Overlay VPN .................................................................................11
1.4.2 Site to site VPN ( Mô hình VPN ngang cấp) ..................................15
1.5 Kết luận ................................................................................................. 21
CHƢƠNG 2 MẠNG RIÊNG ẢO TRÊN NỀN CÔNG NGHỆ MPLS ............... 22
2.1 Vấn đề đặt ra? ........................................................................................ 22
- Tính khả chuyển ......................................................................................... 22
- Điều khiển lưu lượng ................................................................................... 23
- Chất lượng của dịch vụ (QoS) ..................................................................... 23
2.2 Chuyển mạch nhãn đa giao thức là gì? ................................................... 25
2.2.1
2.2.2
2.2.3
2.2.4
Khái niệm ......................................................................................25
Đặc điểm mạng MPLS ...................................................................25
Một số khái niệm cơ bản trong kiến trúc MPLS .............................26
Phương thức hoạt động của công nghệ MPLS ................................29
2.2.5 Chuyển tiếp gói MPLS và đường chuyển mạch nhãn .....................33
2.3 Kết luận ................................................................................................. 40
CHƢƠNG 3 ỨNG DỤNG MPLS IP VPN VÀO HỆ THỐNG MẠNG NGÀNH
VÀ GIẢI PHÁP HỆ THỐNG ................................................................... 41
3.1 Bối cảnh chung ...................................................................................... 41
3.2 Đánh giá ưu nhược điểm của hệ thống cơ sở hạ tầng hiện tại ................. 44
2
3.2.1 Mô hình kết nối WAN và những vấn đề đặt ra? .............................44
3.2.2 Mô hình kết nối Internet và những vấn đề nảy sinh ........................46
3.3 Giải pháp MPLS IP VPN để nâng cao an ninh cho hệ thống mạng TCT 51
3.3.1 Đề xuất cải tiến để đảm bảo tính dự phòng và an ninh cho hệ thống51
3.3.2 Giải pháp thiết kế hệ thống ............................................................54
3.3.3 Đánh giá về hệ thống đảm bảo an ninh ...........................................68
3.3.4 Hoạt động thử nghiệm....................................................................75
3.4 Kết luận ................................................................................................. 76
CHƢƠNG 4 KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN ...................................... 78
3
DANH MỤC CÁC THUẬT NGỮ VÀ CÁC TỪ VIẾT TẮT
Tên viết tắt
BTC
Nội dung
Bộ tài chính
Hệ thống khách hàng sử dụng dịch vụ của nhà
C (Custommer network) – C
network
CE(Customer network
device)
CEF
cung cấp
Các thiết bị trong hệ thống C – network mà
dùng để kết nối với hệ thống của nhà cung cấp
Cisco Express Forwarding
Chính là các CE router và các CE router này
được nối với các PE router khi đó một mạng VPN
bao gồm nhóm các CE router kết nối với PE
router của nhà cung cấp dịch vụ, Tuy nhiên chỉ có
CPE
PE router mới có khái niệm về VPN còn CE
router không nhận thấy những gì đang diễn ra
trong mạng của nhà cung cấp và coi như chúng
đang được kết nối với nhau thông qua mạng riêng
Một phần trong hệ thống C network mà các
Customer site
thành phần này là láng giềng của nhau giữa chúng
có nhiều liên kết vật lý
FEC
Lớp chuyển tiếp tương đương
FEC
Lớp chuyển tiếp tương đương
Frame Relay
Công nghệ chuyển mạch khung
IP
Internet Protocol
L2PT ( Layer 2 Tunnening
Protocol)
Giao thức đường hầm lớp 2
MPLS (Multiprotocol Label
Switching )
Chuyển mạch nhãn đa giao thức
P: Provider – P network
Nhà cung cấp dịch vụ VPN
4
Tên viết tắt
Nội dung
Các thiết bị trong hệ thống mạng P network
PE (Provider edge device)
mà dùng để kết nối với hệ thống của khách hàng
PPTP (Point to Point
Tunnening Protocol)
Giao thức đường hầm điểm điểm
PVC
Kênh ảo cố định
PVC ( permanent virtual
Mạch ảo cố định
circuit)
QoS (Quality of Service)
Chất lượng dịch vụ
Router
Bộ định tuyến
SVC (switch virtual circuit)
Mạch ảo chuyển đổi
TCT
Tổng cục thuế
TDM ( time divisor
Công nghệ chuyển mạch kênh, tách ghép kênh
multiplexing)
theo thời gian
TTM
Trung tâm miền
TTT
Trung tâm tỉnh
VC(Vitual chanel)
Kênh ảo
VPN (Vitual private
network)
Mạng riêng ảo
VRF(vitual
Bảng định tuyến ảo
routing/forwarding table)
X.25
Công nghệ chuyển mạch gói
5
DANH MỤC HÌNH VẼ
Hình 1.2 Over lay VPN triển khai ở lớp 2 ................................................................. 12
Hình 1.3 Mô hình Overlay VPN triển khai ở lớp 3 .................................................... 13
Hình 1.4 Mô hình triển khai dưới dạng đường hầm ................................................... 14
Hình 1.5 Mô hình Overlay VPN ................................................................................ 14
Hình 1.6 Mô hình site to site VPN ............................................................................. 16
Hình 1.7 Mô hình VPN ngang cấp sử dụng router dùng chung .................................. 17
Hình 1.8 Mô hình VPN ngang cấp với router dùng chung .......................................... 18
Hình 1.9 Mô hình VPN ngang cấp sử dụng router dành riêng .................................... 19
Hình 1.10 Mô hình router dành riêng ......................................................................... 20
Hình 2.1 Full mesh với 6 kết nối ảo .......................................................................... 23
Hình 2.2 Một ví dụ về mạng IP dựa trên mạng lõi ATM ........................................... 24
Hình 2.3 Nhãn kiểu khung ........................................................................................ 26
Hình 2.4 Nhãn kiểu tế bào ........................................................................................ 27
Hình 2.5 Cấu trúc cơ bản của một nút MPLS ............................................................ 30
Hình 2.6 Các FEC riêng biệt cho mỗi tiền tố địa chỉ ................................................. 32
Hình 2.7 Tổng hợp các FEC...................................................................................... 32
Hình 2.8 Sự tạo nhãn MPLS và chuyển tiếp .............................................................. 33
Hình 2.9 Các ứng dụng khác nhau của MPLS ........................................................... 34
Hình 2.10 Mô hình mạng MPLS ............................................................................... 37
Hình
Hình
Hình
Hình
Hình
3.1 Hạ tầng mạng BTC ..................................................................................... 42
3.2 Mô hình Overlay layer – 2 – VPN tại mạng trục ......................................... 44
3.3 Mô hình Peer – to – Peer VPN tại TTM, TTT ............................................ 45
3.4 Mô hình kết nối Internet BTC .................................................................... 47
3.5 Kết nối mạng diện rộng hệ thống Thuế ....................................................... 49
Hình
Hình
Hình
Hình
3.6 Dòng dữ liệu ngành Thuế ........................................................................... 50
3.7 Kiến trúc hệ thống truyền thông BTC ......................................................... 51
3.8 Sơ đồ kết nối mạng trục BTC ..................................................................... 52
3.9 Các kết nối WAN giữa hai trung tâm miền ................................................. 53
Hình
Hình
Hình
Hình
3.10 Sơ đồ hệ thống mạng phân bố từ TTM xuống các TTT ............................ 54
3.11 Cấu trúc mạng trục với WAN truyền thống và MPLS VPN ...................... 55
3.12 Mô hình kết nối sử dụng dịch vụ MPLS IP VPN ...................................... 55
3.13 Khả năng định tuyến gói tin trong MPLS IP VPN .................................... 56
Hình 3.14 Mô hình các vùng MPLS IP VPN sẽ thuê của nhà cung cấp dịch vụ ......... 56
Hình 3.15 Mô hình kết nối sử dụng IP Sec VPN thông qua Internet .......................... 57
6
Hình 3.16 Lớp mạng trục BTC ................................................................................. 58
Hình 3.17 Kết nối từ TTT lên TTM .......................................................................... 59
Hình 3.18 Lớp mạng phân phối Bộ tài chính ............................................................. 60
Hình 3.19 Các phân lớp mạng ................................................................................... 61
Hình 3.20 Virtual Interface với GRE Encapsulation thông qua mạng MPLS VPN
công cộng........................................................................................................... 62
Hình 3.21 Các kết nối GRE trên hệ thống ................................................................. 63
Hình 3.22 Mạng trung ương các ngành truy cập vào mạng WAN BTC ..................... 64
Hình 3.23 Lớp truy cập của các đơn vị vào mạng WAN bộ tài chính ........................ 65
Hình 3.24 Sử dụng 02 Router kết nối cho các đơn vị có yêu cầu tính dự phòng rất cao
........................................................................................................................... 65
Hình 3.25 Truy cập IPSec VPN tới MPLS VPN bộ tài chính thông qua Internet ....... 66
Hình 3.26 Mô hình khai báo Thuế On-line ................................................................ 68
Hình
Hình
Hình
Hình
Hình
3.27 Kiến trúc bảo mật đề xuất ......................................................................... 69
3.28 Mã hoá đường truyền Leased – lines giữa TTT - TTM ............................. 70
3.29 Mô hình phân tách các lớp mạng, đảm bảo an ninh cho các đơn vị ........... 71
3.30 An ninh vòng ngoài .................................................................................. 73
3.31 Bảo vệ các hệ thống ứng dụng .................................................................. 74
Hình 3.32 Mô hình thử nghiệm ................................................................................. 75
7
MỞ ĐẦU
Thế kỷ 20 được coi là thế kỷ của những phát minh quan trọng thúc đẩy xã hội phát
triển. Đi đầu trong cuộc cách mạng này không thể không kể tới những tiến bộ vượt bậc
áp dụng trong Thuế, Ngân hàng - một trong những thành phần kinh tế then chốt đáp
ứng các nhu cầu tài chính huyết mạch của nền kinh tế.
Ngày nay, khi mà càng có nhiều công ty kết nối mạng doanh nghiệp của mình với
Intemet, hay một công ty có nhiều trụ sở ở các vị trí địa lý khác nhau cần liên lạc
thông tin nội bộ ngành với nhau khi đó việc bảo mật thông tin ngành là điều bắt buộc
vì vậy phải đối mặt với một vấn đề không tránh khỏi đó là bảo mật thông tin. Viêc chia
sẻ thông tin trên một mạng công cộng cũng có nghĩa là những người muốn tìm kiếm,
khôi phục thông tin đều có thể lên mạng. Điều gì sẽ xảy ra nếu một người tiếp cận
thông tin lại có ý định phá mạng. Nhưng hacker có ý đồ xấu như nghe lén thông tin,
tiếp cận thông tin không chính đáng, trái phép, lừa bịp, sao chép thông tin... đang là
mối đe doạ lớn cho việc bảo mât trên mạng.
Vậy làm thế nào để chúng ta có thể bảo mật thông tin trong quá trình truyền tin
trên một mạng chung? Có rất nhiều phương án để đảm bảo truyền tin trên mạng một
cách an toàn một trong những phương án hữu hiệu nhất hiện nay là triển khai một
mạng riêng ảo (Virtual private network - VPN). VPN là những hệ thống mạng được
triển khai dựa trên quy tắc: vẫn áp dụng tiêu chuẩn bảo mật, quản lý chất lượng dịch
vụ trong hệ thống mạng công cộng vào hệ thống mạng cá nhân. VPN cung cấp cho
chúng ta một sự lựa chọn mới: Xây dựng một mạng cá nhân cho các thông tin liên lạc
klểu site- to- site trên một mạng công cộng hay Intemet. Bởi vì nó hoat động trên một
mạng chung thay vì một mạng cá nhân nên các công ty có thể mở rộng WAN của
mình môt cách hiệu quả, những khách hàng di động hay những văn phòng ở nơi xa
xôi, khách hàng hay nhà cung cấp hay những đối tác kinh doanh. VPN mở rộng WAN
truyền thống bằng cách thay thế những kết nối điểm tới điểm vật lý bằng những kết
nổi điểm tới điểm logic chia sẻ một hạ tầng chung, cho phép tất cả lưu lượng tổng hợp,
hội tụ vào một kết nối vât lý duy nhất. Kết quả là tạo nên băng thông tiềm năng và có
thể tiết kiệm chí phí tại đầu ra. Bởi vì khách hàng không còn phải duy trì một mạng cá
nhân và bản thân VPN cũng rẻ hơn và tiết kiệm chi phí đáng kể so với WAN, do đó
toàn bộ chi phí hoạt động vận hành có thể giảm. VPN chính là sự thay thế cho hạ tầng
WAN, nó thay thế và thậm chí còn tăng cường các hệ thống mạng thương mại cá nhân
sử dụng kênh thuê riêng, frame- relay hay ATM.
Luận văn “Mạng riêng ảo và giải pháp hệ thống trong Tổng Cục Thuế” đi vào
nghiên cứu về mạng riêng ảo, phân tích các loại mạng riêng ảo hiện nay và cho thấy
8
những mặt tích cực và hạn chế của từng loại, bên cạnh đó nghiên cứu một công nghệ
mới MPLS – công nghệ chuyển mạch nhãn đa giao thức – , Các ứng dụng của công
nghệ MPLS đi sâu vào nghiên cứu một trong ứng dụng quan trọng của công nghệ
MPLS chính là mạng riêng ảo. Trên cơ sở phân tích mang tính lý thuyết trên thì luận
văn cũng đưa ra giải pháp để ứng dụng công nghệ mới này vào hệ thống mạng thực tế
hiện nay ở Tổng cục thuế.
Về bố cục, nội dung luận văn được chia ra làm 3 chương:
Chương 1: Nghiên cứu tổng quan về mạng riêng ảo, các loại mạng riêng ảo hiện
nay.
Chương 2: Nghiên cứu về mạng riêng ảo trên nền công nghệ MPLS
Chương 3: Nghiên cứu về hệ thống mạng truyền thông hiện nay của Tổng cục thuế
trên cơ sở phân tích, khảo sát hiện trạng hệ thống mạng của Bộ tài chính và đưa ra các
giải pháp và mô hình thiết kế mới mang tính ứng dụng khả thi về kỹ thuật công nghệ
và kinh tế.
Chương 4: Kết luận và hướng phát triển
Ngoài ra, luận văn còn có thêm các danh mục các thuật ngữ, các từ viết tắt, danh
mục bảng biểu, hình vẽ và danh mục các tài liệu tham khảo để thuận tiện cho việc tìm
hiểu và tra cứu nội dung của luận văn.
9
CHƢƠNG 1
TỔNG QUAN VỀ MẠNG RIÊNG ẢO
Trong chương này, báo cáo luận văn sẽ giới thiệu tổng quan về mạng riêng ảo,
khái niệm VPN, khái niệm đường hầm, phân loại VPN. Đi sâu vào hai loại VPN chính
đó là: mô hình Overlay VPN và site to site VPN. Trên cơ sở phân tích nội dung của
từng loại cho ta thấy rõ được những ưu, nhược còn tồn tại trong mỗi mô hình.
1.1
Tổng quan
VPN là một thuật ngữ quen thuộc hiện nay, nó là một sự lựa chọn gần như tối
ưu đối với một công ty có từ 2 chi nhánh trở lên có nhu cầu kết nối mạng với nhau,
hoặc có nhu cầu thiết lập một mối quan hệ thân thiết với khách hàng, đối tác, hoặc đặc
thù công việc là có nhiều nhân viên làm việc từ xa. Ai cũng biết VPN không còn là
một thuật ngữ mới, tuy nhiên không phải ai cũng biết VPN đã được đề cập và xây
dựng từ cuối thập kỷ 80 của thế kỷ trước, và nó cũng trải qua nhiều giai đoạn phát
triển.
Thế hệ VPN thứ nhất do AT&T phát triển có tên là SDNs (Software Defined
Networks)
Thế hệ thứ 2 là ISDN và X25
Thế hệ thứ 3 là FR và ATM
Và thế hệ hiện nay, thế hệ thứ 4 là VPN trên nền mạng IP
Thế hệ tiếp theo sẽ là VPN trên nền mạng MPLS.
1.2
Khái niệm VPN
VPN là công nghệ cung cấp một phương thức giao tiếp an toàn giữa các mạng
riêng dựa vào kỹ thuật đường hầm để tạo ra một mạng riêng trên cơ sở hạ tầng mạng
dùng chung (mạng Internet). Về bản chất đây là quá trình đặt toàn bộ gói tin vào trong
một lớp tiêu đề chứa thông tin định tuyến có thể truyền an toàn qua mạng công cộng.
VPN là một mạng riêng sử dụng để kết nối các mạng riêng lẻ hay nhiều người
sử dụng ở xa thông qua các kết nối ảo dẫn qua đường Internet thay cho một kết nối
thực, chuyên dụng như đường leased line.
VPN bao gồm hai phần: mạng của nhà cung cấp dịch vụ và mạng của khách
hàng trong đó mạng của nhà cung cấp dịch vụ chạy dọc cơ sở hạ tầng mạng công
cộng, bao gồm các bộ định tuyến cung cấp dịch vụ cho mạng của khách hàng.
10
1.3
Khái niệm đường hầm
Đường hầm là một cách thức mà ở đó dữ liệu có thể truyền đi giữa hai mạng
một cách an toàn. Toàn bộ dữ liệu truyền đi được phân mảnh thành các gói nhỏ hơn
hoặc thành các khung sau đó được đẩy vào trong đường hầm. Cách thức này khác với
cách vận chuyển dữ liệu thông thường giữa các điểm. Ở đây các gói dữ liệu di chuyển
trong đường hầm sẽ được đóng gói và mã hoá với thông tin định tuyến tới một địa chỉ
xác định. Sau khi tới được địa chỉ mong muốn thì dữ liệu được khôi phục nhờ việc giải
mã.
Một đường hầm là một con đường logic được thiết lập giữa điểm nguồn và
điểm đích của hai mạng. Các gói dữ liệu được đóng gói tại nguồn và mở gói tại điểm
đích. Đường hầm logic giữa hai mạng này được duy trì trong suốt tiến trình gửi dữ
liệu. Đường hầm dùng để vận chuyển dữ liệu cho mục đích riêng tư, thông thường là
hệ thống mạng của một tập đoàn thông qua hệ thống mạng công cộng. Với cách hiểu
đó các nút định tuyến trong hệ thống mạng công cộng không biết rằng luồng vận
chuyển đó là của hệ thống mạng riêng hay chung.
Có nhiều loại đường hầm được thực thi trên các tầng khác nhau của mô hình
OSI. Ví dụ hai loại đường hầm PPTP và L2TP thực thi trên tầng 2. Hai loại đường
hầm này sẽ không kích hoạt tại các phiên làm việc nội mạng, trong trường hợp có sự
kết nối hai mạng thì loại đường hầm sẽ được xác định hoặc PPTP hoặc L2TP sau khi
lựa chọn được loại đường hầm thì các tham số như mã hóa, cách đăng ký địa chỉ, nén
…vv. Được cấu hình để đạt được sự an toàn ở mức cao nhất khi đi qua mạng Internet
dựa trên sự kết nối đường hầm logic địa phương. Kết nối được tạo ra duy trì và kết
thúc sử dụng giao thức quản lý đường hầm.
1.4
Phân loại VPN
Mạng riêng ảo có thể là hệ thống mạng ảo giữa hai đầu cuối hệ thống hay giữa
hai hay nhiều mạng riêng. Do đó ta có thể chia mạng mạng riêng ảo thành hai loại
chính đó là:
Customer – based VPN ( hay còn gọi là Overlay VPN): là mạng riêng ảo được
cấu hình trên các thiết bị của khách hàng sử dụng các giao thức đường hầm xuyên qua
mạng công cộng. Nhà cung cấp dịch vụ sẽ cung cấp các kênh ảo, kết nối ảo giữa các
mạng của khách hàng.
Network – based VPN ( hay còn gọi là site to site VPN): là mạng riêng ảo
được cấu hình trên các thiết bị của nhà cung cấp dịch vụ và được quản lý bởi nhà cung
11
cấp dịch vụ. Ở đây nhà cung cấp trao đổi thông tin định tuyến với khách hàng và sắp
đặt dữ liệu của khách hàng vào các đường đi tối ưu nhất.
1.4.1 Overlay VPN
Mô hình Overlay VPN được triển khai dưới nhiều công nghệ khác nhau. Ban
đầu VPN được xây dựng bằng cách sử dụng các đường kết nối leased line để cung cấp
kết nối giữa các khách hàng ở nhiều vị trí khác nhau. Khách hàng mua các dịch vụ
đường kết nối của nhà cung cấp. Đường kết nối này được thiết lập giữa các mạng của
khách hàng và đường này là đường riêng cho khách hàng.
Cho đến những năm 1990, Frame Relay được giới thiệu. Frame Relay được xem
như là một công nghệ VPN vì nó đáp ứng kết nối cho khách hàng như dịch vụ leased
line, chỉ khác ở chỗ là khách hàng không được cung cấp các đường dành riêng cho mỗi
khách hàng mà các khách hàng sử dụng một đường chung nhưng được chỉ định các
kênh ảo, các kênh ảo này sẽ đảm bảo lưu lượng cho mỗi khách hàng riêng biệt. Khi
cung cấp kênh ảo cho khách hàng nghĩa là nhà cung cấp dịch vụ đã xây dựng một
đường hầm riêng cho lưu lượng khách hàng chảy qua mạng dùng chung của nhà cung
cấp dịch vụ. Sau này công nghệ ATM ra đời về cơ bản ATM cũng giống như Frame
Relay nhưng đáp ứng được tốc độ chuyền dẫn cao hơn. Khách hàng thiết lập việc liên
lạc giữa các thiết bị đầu phía khách hàng với nhau thông qua kênh ảo. Giao thức định
tuyến chạy trực tiếp giữa các bộ định tuyến khách hàng thiết lập các mối quan hệ cận
kề và trao đổi thông tin định tuyến với nhau. Nhà cung cấp dịch vụ không hề biết đến
thông tin định tuyến của khách hàng và nhiệm vụ của nhà cung cấp trong mô hình này
chỉ là đảm bảo vận chuyển dữ liệu từ điểm tới điểm giữa các mạng của khách hàng
mà thôi.
Mô hình Overlay VPN được triển khai theo các rãnh riêng thông qua cơ sở hạ tầng
của nhà cung cấp dịch vụ. Hệ thống này có thể được thi hành tại lớp 1 sử dụng đường
leased line/dialup line, tại lớp 2 sử dụng X25/Frame Relay/ ATM kênh ảo hoặc tại lớp
3 sử dụng đường hầm IP (GRE)
Với mô hình VPN triển khai ở lớp 1, mô hình này kế thừa giải pháp ghép kênh
theo thời gian truyền thống - thời gian sử dụng đường truyền được chia ra làm nhiều
khung, mỗi khung được chia thành nhiều khe thời gian và mỗi người sử dụng một khe
cho mình để phục vụ việc truyền tin. Ở đây nhà cung cấp ấn định nhiều dòng bit và
thiết lập các kết nối vật lý giữa các site khách hàng thông qua ISDN, DSO, T1, E1,
SONET hoặc SDH và khách hàng chịu trách nhiệm thi hành ở tất cả các lớp cao hơn ví
như PPP, HDLC, IP
12
Hình 1.1 Mô hình Overlay VPN triển khai ở lớp 1
Với mô hình Overlay VPN thực hiện ở lớp 2, mô hình này kế thừa giải pháp
chuyển mạch trong mạng WAN. Ở đây nhà cung cấp dịch vụ chịu trách nhiệm thiết
lập các kênh ảo ở lớp 2 giữa các sites khách hàng thông qua X.25, Frame Relay hoặc
ATM và khách hàng có nhiệm vụ ở lớp IP và các lớp cao hơn.
Hình 1.2 Over lay VPN triển khai ở lớp 2
Với mô hình Overlay triển khai ở lớp 3, mô hình này được thực hiện các kết nối
điểm tới điểm thông qua đường hầm IP. Thông qua đường hầm IP thì việc lưu thông là
trong suốt đối với đích và nguồn song vấn đề là ta phải biết rõ ràng topo mạng. Chính
vì vậy hệ thống mạng ảo có thể được tạo ra bởi sự phối hợp các các thiết bị không kết
nối hoặc máy chủ với nhau thông qua một đường hầm. Việc triển khai đường hầm đảm
bảo được tính riêng tư của hệ thống địa chỉ mạng dọc theo mạng xương sống của nhà
cung cấp dịch vụ mà không cần chuyển đổi địa chỉ mạng. Đường hầm được thiết lập
với hai công nghệ phổ biến là GRE - generic routing encapsulation - và IPSec – IP
secrity. Triển khai theo GRE đơn giản và nhanh hơn song độ an toàn kém trái lại triển
khai theo IPSec phức tạp và tốn tài nguyên hơn nhưng tính an toàn lại cao.
13
Hình 1.3 Mô hình Overlay VPN triển khai ở lớp 3
Đường hầm GRE cung cấp một ống cố định dọc theo hệ thống chia sẻ mạng
diện rộng ở đây các gói tin được bọc bởi một tiêu đề đầu sau đó được truyền đi tới
những đích cố định. Vì vậy hệ thống mạng đảm bảo tính riêng tư nhờ đưa lộ trình vào
trong đường hầm tới một điểm đến. Hệ thống đường hầm GRE không có khả năng
đảm bảo tính an toàn, để hệ thống được tốt hơn thì có thể kết hợp GRE và IPSec. Khi
ta triển khai VPN trên lớp 3 thông qua hệ thống mạng công cộng thì hệ thống đường
hầm được thiết lập. IPSec cung cấp dịch vụ đảm bảo tính an toàn thông tin cao nó đảm
bảo thông tin qua mạng là an toàn.
IPSec là một chuẩn trong Internet, nó quy định các chuẩn quy ước giữa người
dùng và các thiết bị. Nó được triển khai một cách “trong suốt” trong hệ thống cơ sở hạ
tầng của mạng. Người sử dụng đầu cuối không cần quan tâm xem gói tin bị chặn hay
chuyển đi như thế nào trên mạng bởi IPSec
Overlay VPN được triển khai dưới dạng đường hầm. Việc triển khai thành công
các công nghệ gắn với địa chỉ IP nên một vài nhà cung cấp dịch vụ bắt đầu triển khai
VPN qua IP. Thực vậy, nếu khách hàng nào xây dựng mạng của riêng họ qua Internet
thì có thể dùng giải pháp này vì chi phí thấp. Bên cạnh lý do kinh tế thì mô hình đường
hầm còn đáp ứng cho khách hàng việc bảo mật dữ liệu.
14
Hình 1.4 Mô hình triển khai dƣới dạng đƣờng hầm
Trong mô hình Overlay VPN, nhà cung cấp dịch vụ chỉ có nhiệm vụ cung cấp các
đường kết nối điểm tới điểm hoặc các kênh ảo. Nhà cung cấp không tham gia vào quá
trình định tuyến mà đơn thuần cung cấp việc vận chuyển dữ liệu giữa các mạng của
khách hàng và giao thức định tuyến nằm ở bộ định tuyến của khách hàng.
Hình 1.5 Mô hình Overlay VPN
Hình trên minh hoạ một mô hình Overlay VPN. Với 3 site khách hàng là HÀNỘI,
TPHCM và Đà Nẵng. Ở đây Hà nội kết nối với TPHCM qua một kết nối vật lý do nhà
cung cấp cấp, tương tự cũng có một kết nốii Hà nội với Đà nẵng. Trong mô hình này
định tuyến lớp 3 được thiết lập trực tiếp tại các thiết bị định tuyến biên của phía khách
hàng là Hà nội, TPHCM và Đà nẵng và bản thân nhà cung cấp không tham gia vào quá
trình định tuyến.
15
Do nhà cung cấp không tham gia vào quá trình định tuyến của khách hàng và họ
chỉ cung cấp các dịch vụ vận chuyển dữ liệu qua các kết nối điểm tới điểm ảo ( các kết
nối này có thể là cố định hoặc là các kết nối chuyển đổi) Như vậy nhà cung cấp chỉ
cung cấp cho khách hàng các kết nối ảo ở lớp 2. Nên ta thấy mô hình này có xuất hiện
vài ưu điểm :
Nhà cung cấp dịch vụ không tham gia vào phía định tuyến của khách hàng.
Mạng của nhà cung cấp dịch vụ và mạng của khách hàng hoàn toàn tách biệt.
Có thể tái tạo và sử dụng lại địa chỉ IP
Bên cạnh những ưu điểm trên mô hình Overlay VPN còn một số nhược điểm:
Nhược điểm chính của mô hình này là các mạch ảo kết nối các site khách hàng đều
ở dạng full mesh nghĩa là nếu có N site khách hàng thì tổng mạch ảo tối ưu cho việc
định tuyến là N*(N-1)/2.
Hai phía khách hàng đếu phải thực hiện các giao thức bảo mật và mã hoá dữ liệu
như IP Sec, SSL, GRE.. do đó gây ra độ trễ lớn và việc triển khai các ứng dụng thời
gian thực là không khả thi.
Khi muốn mở rộng mạng ( bổ sung site mới) thì nhà cung cấp dịch vụ phải cấu
hình thêm một VC mới việc này tốn công sức và băng thông của nhà cung cấp.
Mặt khác ta thấy các cam kết về chất lượng dịch vụ trong mô hình Overlay VPN
thường là cam kết về băng thông trên một kênh ảo, băng thông có thể sử dụng được tối
đa trên một kênh ảo. Việc cam kết này được thực hiện thông qua các thống kê tự nhiên
của dịch vụ lớp 2 nhưng lại phụ thuộc vào chiến lược của nhà cung cấp. Điều này có
nghĩa là tốc độ cam kết không thực sự được bảo đảm mặc dù nhà cung cấp có thể đảm
bảo tốc độ nhỏ nhất. Cam kết về băng thông cũng chỉ là cam kết về hai điểm trong
mạng khách hàng. Nếu không có ma trận lưu lượng thì thật khó có thể thực hiện cam
kết này cho khách hàng trong mô hình Overlay VPN và thật khó có thể cung cấp nhiều
lớp dịch vụ vì nhà cung cấp dịch vụ không thể phân biệt được lưu lượng ở giữa mạng.
Để làm được việc này đòi hỏi phải tạo ra nhiều kết nối như trong mạng Frame relay
hay ATM là có các kênh ảo cố định giữa các site khách hàng tuy nhiên nhiều kết nối
chỉ làm tăng thêm chi phí của mạng
1.4.2
Site to site VPN ( Mô hình VPN ngang cấp)
Mô hình VPN ngang cấp ra đời nhằm giải quyết các hạn chế của mô hình Overlay
VPN. Mô hình này cho phép nhà cung cấp dịch vụ cung cấp cho khách hàng việc vận
chuyển dữ liệu một cách tối ưu qua hệ thống mạng xương sống và với mô hình này
16
nhà cung cấp dịch vụ và khách hàng sử dụng chung một loại giao thức mạng và toàn
bộ việc định tuyến của khách hàng được thực hiện trong lõi mạng của nhà cung cấp.
Bộ định tuyến nhà cung cấp dịch vụ trao đổi thông tin định tuyến với bộ định tuyến
của khách hàng, tại mỗi mạng liền kề. Định tuyến lớp 3 được thiết lập giữa bộ định
tuyến biên của khách hàng với bộ định tuyến biên của nhà cung cấp.
Bởi việc định tuyến giữa các nút đã được triển khai nên việc định tuyến giữa các
mạng giờ đây là tối ưu. Đa kết nối được thiết lập từ điểm tới điểm hay việc kết nối
thông qua hệ thống xương sống của mạng nhà cung cấp đã giúp cho việc định tuyến
đạt được ở mức tối ưu.
Trong mô hình này việc bổ xung các mạng con dễ dàng hơn khi đó khả năng của
các vi mạch không còn là vấn đề phải quan tâm. Địa chỉ IP của phía khách hàng do
nhà cung cấp kiểm soát. Nhà cung cấp dịch vụ chia sẻ việc định tuyến với khách hàng,
nhà cung cấp dịch vụ ấn định hoặc đưa ra một khoảng địa chỉ cần thiết để triển khai hệ
thống mạng của khách hàng vì vậy địa chỉ riêng không còn là sự lựa chọn nữa.
Hình 1.6 Mô hình site to site VPN
Hình trên mô phỏng cách triển khai của mô hình site to site VPN. Trong mô hình
này thông tin định tuyến được trao đổi giữa bộ định tuyến biên của khách hàng và nhà
cung cấp dịch vụ cụ thể ở đây là giữa Hà nội CE và Hà nội PE. Sau đó bộ định tuyến
của nhà cung cấp trao đổi với bộ định tuyến của khách hàng khác thông qua hệ thống
mạng lõi ở đây bộ định tuyến Hà nội PE sẽ quảng bá qua hệ thống lõi tới TPHCM PE
và Đà nẵng PE. Mặt khác các thông tin định tuyến lớp 3 được trao đổi trực tiếp giữa
bộ định tuyến của khách hàng với bộ định tuyến của nhà cung cấp.
17
Như vậy ta thấy mô hình này không yêu cầu tạo ra các mạch ảo mà bộ định tuyến
CE trao đổi trực tiếp thông tin về tuyến với các bộ định tuyến PE của nhà cung cấp
dịch vụ và thông tin định tuyến của khách hàng được quảng bá trong mạng lõi của nhà
cung cấp do đó sẽ xác định được đường đi tối ưu giữa một site khách hàng này tới một
site khách hàng khác.
Nhà cung cấp dịch vụ triển khai hai ứng dụng khác sử dụng mạng riêng ảo
ngang cấp:
Phương pháp chia sẻ router: Bộ định tuyến dùng chung, nghĩa là khách hàng
chia sẻ cùng bộ định tuyến biên mạng của nhà cung cấp. Ở phương pháp này nhiều
khách hàng có thể kết nối trên cùng một bộ định tuyến của nhà cung cấp
Hình 1.7 Mô hình VPN ngang cấp sử dụng router dùng chung
Trên bộ định tuyến biên mạng của nhà cung cấp phải cấu hình một danh sách truy
cập cho giao diện của mỗi nhà cung cấp - để đảm bảo chắc chắn sự cách ly giữa các
khách hàng VPN, để ngăn chăn mạng riêng ảo của khách hàng này thực hiện các tấn
công từ chối dịch vụ vào mạng riêng ảo của khách hàng khác. Nhà cung cấp dịch vụ
chia mỗi phần trong không gian địa chỉ của nó cho khách hàng và quản lý việc lọc gói
tin
trên
router
của
nhà
cung
cấp
18
Hình 1.8 Mô hình VPN ngang cấp với router dùng chung
Ở mô hình trên có 3 mô hình VPN riêng biệt VPN-101, VPN-201, VPN-301.
Những mô hình này được triển khai trên 4 site khách hàng khác nhau. VPN-101 được
triển khai cho Paris cũng như Lyon. VPN-201 được triển khai cho Brussels và VPN301 được triển khai cho Munic. Ta thấy Lodon PE chứa toàn bộ thông tin định tuyến
của cả 3 mô hình VPN. Việc cách ly giữa các mô hình VPN được thực hiện bởi một
danh sách truy cấp trên giao diện của PE và CE: Serial0/0, Serial0/1, Serial0/2,
Serial0/3.
Phương pháp router riêng: là phương pháp mà khách hàng VPN có router của
nhà cung cấp dịch vụ riêng. Trong phương pháp này, mỗi khách hàng VPN phải có
router của nhà cung cấp dành riêng và do đó chỉ truy cập đến các router trong bảng
định tuyến của router nhà cung cấp đó.
19
Hình 1.9 Mô hình VPN ngang cấp sử dụng router dành riêng
Mô hình router dành trước sử dụng giao thức định tuyến để tạo ra bảng định
tuyến trên một mạng riêng ảo trên router nhà cung cấp. Bảng định tuyến chỉ có các
router được quảng bá bởi khách hàng VPN kết nối đến chúng, kết quả là tạo ra sự cách
ly tuyệt vời giữa các mạng riêng ảo. Việc định tuyến router dành trước có thể thực
hiện:
Giao thức định tuyến chạy giữa PE và CE là bất kỳ
BGP là giao thức chạy giữa PE và CE
PE phân phối các router nhận được từ CE vào BGP, đánh dấu với ID của khách
hàng và truyền các router đến router P, router P sẽ có tất cả các router từ tất cả các
VPN của khách hàng.
Router P chỉ truyền các định tuyến với BGP community thích hợp đến router
PE. Do đó router PE chỉ nhận các tuyến từ router CE trong VPN của chúng. Sự chia
tách giữa các khách hàng đạt được thông qua việc thiếu thông tin định tuyến của nó
trong bộ định tuyến biên của khách hàng. Bộ định tuyến của nhà cung cấp chứa toàn
bộ bộ định tuyến của khách hàng và lọc thông tin định tuyến giữa các bộ định tuyến
biên của mỗi khách hàng trong mạng nhà cung cấp sử dụng BGP. Bởi mỗi khách hàng
có một bộ định tuyến biên riêng của nhà cung cấp nên mô hình này khá đắt để triển
khai do đó nó không phải là giải pháp hiệu quả về giá cả
- Xem thêm -