Luận văn MPLS và ứng dụng MPLS VPN

VPN chồng lấp rất khó kiểm soát một số lượng lớn các kênh ảo/đường hầm giữa các thiết bị của khách hàng. Và thiết kế IGP (Interior Gateway Protocol) là cực kỳ phức tạp và khó kiểm soát Trong khi đó, mô hình VPN ngang hàng nó lại có hạn chế là thiếu sự cách ly giữa các khách hàng với nhau. Với công nghệ chuyển mạch nhãn đa giao thức MPLS, đây là sự kết hợp các ưu điểm của chuyển mạch lớp 2 với định tuyến và chuyển mạch lớp 3, nó có thể cho phép chúng ta xây dựng nên một công nghệ mới kết hợp các lợi ích của mô hình VPN chồng lấp (ví dụ như tính bảo mật và sự tách biệt giữa các khách hàng) với ưu điểm của việc định tuyến đơn giản trong mô hình VPN ngang hàng. Công nghệ mới này được gọi MPLS/VPN tức là triển khai VPN trên công nghệ MPLS, nó đem lại sự định tuyến đơn giản cho khách hàng và nhà cung cấp dịch vụ cũng đơn giản hơn. Định tuyến IP (connnectionless) có thêm tính năng connection-oriented) của MPLS, bằng cách thiết lập các đường chuyển mạch nhãn (Label-Switched Paths – LSP). Mô hình MPLS/VPN có hai mô hình chính là MPLS/VPN lớp 2 và MPLS/VPN lớp 3 (BGP/MPLS VPN) MPLS/VPN lớp 2: Tạo ra sự mở rộng kết nối lớp 2 của khách hàng qua cơ sở hạ tầng là mạng MPLS. Mô hình này được gọi là VPN Martini. VNP lớp 2 mở rộng hỗ trợ dịch vụ LAN riêng ảo (Virtual Private LAN Service). MPLS/VPN lớp 3 dùng để mở rộng giao thức định tuyến Internet BGP tới vị trí kết nối từ xa 5. 1. Mô hình MPLS/VPN lớp 2 [7] RFC 2547 cung cấp một khung mạng tối ưu cho VPN trong mạng IP. Mặc dù IP là giao thức trội, nó không chỉ sử dụng giao thức được chuẩn hoá . Một số khách hàng, cụ thể trong môi trường mỗi nước nhiều yêu cầu mở rộng cơ sở hạ tầng truyền thông lớp 2 (Frame realy, ATM, Ehernet, VLAN, TDM, dịch vụ LAN trong suốt…), một số nhà cung cấp dịch vụ phải cung cấp dung lượng vượt quá trong mạng lõi IP đang tồn tại của họ do đó họ cần sử dụng yếu tố giúp đỡ dịch vụ lớp 2 như Frame Relay hay ATM. VPN lớp 3 IP sẽ không thoả mãn thủ tục này, thay vào đó cho giải pháp lớp 2 được yêu cầu. Một số đề xuất khác để hỗ trợ VPN được cung cấp bởi nhà cung cấp MPLS/VPN lớp 2 (MPLS-based VPN). Internet trường hợp đơn giản nhất, đề xuất này định nghĩa một phương thức một nhãn tới một PDU lớp 2 và khi đó chuyển tiếp gói qua mạng mạng đường trục MPLS. 5. 4. 1. Thành phần VPN lớp 2. Đề xuất được sử dụng nhiều nhất là của Martini. Nó được xây dựng từ một số khái niệm khởi đầu kết hợp với RFC 2547 VPN. Bộ định tuyến nhà cung cấp giống như mô hình RFC 2547 sẽ không quan tâm tới VPN. Nó sẽ tiếp tục chuyển tiếp gói tin qua LSP thiết lập trước đây. Tương tự bộ định tuyến biên khách hàng CE sẽ hoạt động không biết tình trạng mạng MPLS VPN. VPN Martini là hoàn toàn dựa vào thiết bị định tuyến biên nhà cung cấp dịch vụ PE. Giải pháp lớp 2 không như RFC 2547 không là mạng tuyến riêng ảo VPRN (Virtual Private Routed Networks). Bộ định tuyến PE không tham gia vào giải thuật định tuyến của người dùng đầu cuối và ở đây không có thủ tục xây dựng và duy trì bảng định tuyến và chuyển tiếp VRF (VPN Routing and Forwarding Table) 5. 4. 2. Mô hình Martini Miêu tả một phương thức tóm lược các kiểu khác nhau cho giao thức lớp 2 trong khung MPLS. Một MPLS LSP được sử dụng như một mạch ảo VC hay đường hầm qua Internet. Giao thức lớp 2 (Ethernet…) được sử dụng ở đầu cuối của VC. PDU lớp 2 chuyển giao qua Martini VC và phân phát nguyên vẹn ở lối ra của mạng. Thậm chí qua Internet có một IP tồn tại, công nghệ Martini cho phép nó sử dụng kết nối lớp 2 giả. Đề xuất Martini như RFC 2547 thiết lập đường hầm giữa những bộ định tuyến PE. Đường hầm này được gán một nhận dạng kênh ảo 32 bit (VC-ID). Mỗi mạch ảo trong một mạng của nhà cung cấp dịch vụ sẽ có VC-ID duy nhất của chúng. LSP của mạng đường trục được xây dựng để kết nối tất cả mạch ảo giữa cặp PE. Một nhóm ID có thể cũng được sử dụng để kết hợp VC. Điều này có lợi cho wildcard hoạt động như loại bỏ một số lượng lớn VC hay tìm lại định tuyến gởi đi sau một thất bại. Hình 5. 1: Đường hầm LSP giữa những PE 5. 4. 3. Thông tin định tuyến Bộ định tuyến biên nhà cung cấp tham gia trong VPN Martini sử dụng giao thức phân phối nhãn LDP để trao đổi thông tin liên lạc VPN. Tuy nhiên nó nổi tiếng điều đó không ngụ ý LDP là cần thiết trong giao thức định tuyến báo hiệu cho mạng MPLS. Kế hoạch báo hiệu và điều khiển MPLS là phân cách hoàn toàn kế hoạch điều khiển VPN. Chú ý là LDP là giao thức phiên định hướng. Điều này có nghĩa là hai LDP sẽ thiết lập một phiên truyền thông (TCP based). Một phiên được thiết lập, dữ liệu VC-ID có thể tráo đổi và mọi đường hầm Martini cần thiết được xây dựng. Dữ liệu chứa trong gói LDP gồm VC-ID, nhóm ID, kiểu VC, tham số giao diện VC và một thông báo từ điều khiển. Tham số giao diện sẽ chứa thông tin cụ thể về khả năng của một cổng riêng, như kích cỡ MTU, số lượng tế bào ATM, và đặc trưng tuỳ chọn đó có thể được hỗ trợ. Thông báo từ điều khiển là một bit đơn, nó cho biết sự có mặt hay không của từ điều khiển Martini. Từ điều kiển khi được sử dụng, mang thông tin riêng cho đóng gói của một kiểu giao thức lớp 2. Kết quả là địa chỉ bởi từ điều khiển gồm sắp xếp gói, gói nhỏ nhất phải yêu cầu đệm khi truyền tải qua một số môi trường và bất kỳ bit điều khiển giao thức lớp lớp 2 khác. Cuối cùng, LDP sử dụng để thông báo, huỷ và duy trì hiệu chỉnh kết nối nhãn cho một mạch ảo Martini mới. 5. 4. 4. Lưu lượng dữ liệu Quy tắc cơ bản lưu lượng dữ liệu giống như kết hợp với RFC 2547 VPN lớp 3. Gói dữ liệu được truyền tải với hai nhãn. Nhãn đỉnh nhận dạng đích bộ định tuyến từ xa. Nhãn này sử dụng bởi LSR trung gian để truyển tiếp gói tin qua mạng MPLS. Bộ định tuyến PE từ xa sử dụng nhãn dưới để phân phát gói tin tới đầu cuối người dùng chính xác (bộ định tuyến CE) với sự đóng gói lớp 2 thoả đáng. Khó khăn thực tế gắn với hỗ trợ những VPN lớp 2, ở đây có nhiều giao thức lớp 2 mỗi giao thức có thủ tục độc lập của nó. Mỗi giao thức lớp 2 hỗ trợ được gán một nhận dạng kiểu VC độc lập. Những kiểu phải nhất quán với một VC. VPN Martini sẽ không cấu nối giữa hai giao thức lớp 2 khác nhau. Nếu cổng vào là Ethernet cổng ra không thể là ATM. Tuy nhiên thiết kế sau này của đề xuất Martini có thể cho phép cấu nối giữa kiểu đóng gói khác nhau 5. 2. Mô hình MPLS/VPN lớp 3 (BGP/MPLS VPN) [7] Hiện nay, công nghệ VPN lớp 3 được sử dụng rộng rãi nhất là IPSec và MPLS/BGP. Những công nghệ này có thể có các ứng dụng như Intranet, Extranet và truy cập Internet (Internet Access) đảm bảo cho sự kết nối các site khác nhau của nhà cung cấp dịch vụ Trước hết ta tìm hiểu về BGP. Giao thức cổng biên BGP là chuẩn định tuyến hiện tại. BGP đã được thiết kế để thay thế giao thức cổng ngoại EGP nó có một số giới hạn. EGP đã tạo nên mạng đường trục dạng cây nó không thực sự hữu ích với Internet. Cũng không phải BGP giúp tăng trưởng Internet 5. 2. 1. Mạng riêng ảo BGP/MPLS RFC 2547 đưa ra định nghĩa một kỹ thuật nó cho phép nhà cung cấp sử dụng mạng đường trục MPLS để cung cấp dịch vụ VPN tới khách hàng. Những RFC 2547 VPN cũng hiểu là BGP/MPLS VPN bởi vì BGP được sử dụng để phân phát thông tin định tuyến VPN qua mạng đường trục của nhà cung cấp và bởi vì MPLS được sử dụng cho chuyển tiếp lưu lượng VPN từ một site VPN tới site khác. Mục đích quan trọng nhất của phương pháp này như sau: Tạo dịch vụ rất đơn giản cho khác hàng để sử dụng như nhau nếu họ thiếu kinh nghiệm trong định tuyến IP. Tạo ra dịch vụ rất tiên tiến và mềm dẻo để thuận tiện triển khai quy mô rộng lớn. Cho phép những giải pháp được sử dụng để tạo ra một VPN được thực thi bởi một nhà cung cấp dịch vụ, hay công việc nhà cung cấp dịch vụ cũng như khách hàng. Cho phép nhà cung cấp dịch vụ mở dịch vụ giá trị gia tăng thoả mãn khách hàng 5. 2. 1. 1. Các thành phần mạng BGP/MPLS Trong phạm vi RFC 2547, một mạng riêng ảo là sự hội tụ của các chính sách, các chính sách này kiểm soát sự liên kết giữa các site. Một site của khách hàng được kết nối tới nhà cung cấp dịch vụ thông qua một hoặc nhiều cổng, nơi mà nhà cung cấp dịch vụ liên kết mỗi cổng vào của mình với một bảng định tuyến. Trong RFC 2547, mỗi bảng định tuyến mạng riêng ảo (VPN Routing Table) được gọi là một bảng định tuyến chuyển tiếp mạng riêng ảo ( VPN Routing and Forwarding). Hình 5. 2: Thành phần mạng RFC 2547 [2] CE: Customer Edge – Bộ định tuyến biên khách hàng P: Provider Router – Bộ định tuyến của nhà cung cấp PE: Provider Edge – Bộ định tuyến biên nhà cung cấp 5. 2. 1. 1. 1. Bộ định tuyến biên của khách hàng (CE). Một thiết bị định tuyến biên khách hàng (Customer Edge Device – CE) cung cấp cho khách hàng truy cập mạng nhà cung cấp dịch vụ qua một kết nối dữ liệu tới một hay nhiều bộ định tuyến biên nhà cung cấp. Trong khi thiết bị CE có thể là một tổng đài (host) hay một chuyển mạch lớp 2, kiểu thiết bị CE là một bộ định tuyến IP nó thiết lập một kết nối trực tiếp với bộ định tuyến PE kề nó. Sau khi thiết lập, bộ định tuyến CE thông báo tuyến VPN cục bộ của site tới bộ định tuyến PE của nhà cung cấp dịch vụ và lấy các thông tin về các tuyến đường của mạng riêng ảo từ xa từ các PE. 5. 2. 1. 1. 2. Bộ định tuyến biên của nhà cung cấp dịch vụ (PE) Các PE trao đổi thông tin định tuyến với bộ định tuyến CE thông qua các giao thức định tuyến động RIPv2, OSPF hay EIGRP. Các PE chỉ lưu giữ các thông tin về các tuyến của mạng riêng ảo mà nó trực tiếp kết nối. Với thiết kế này nâng cao khả năng của mô hình RFC 2547 bởi vì bó loại bỏ sự cần thiết duy trì tất cả các tuyến VPN của bộ định tuyến PE, giúp tăng khả năng mở rộng của BGP/MPLS. Mỗi bộ định tuyến PE duy trì một VRF cho mỗi site kết nối trực tiếp. Mỗi kết nối khách hàng (như Frame Relay PVC, ATM PVC, và VLAN) được ánh xạ tới một VRF cụ thể. Vì vậy, mỗi kết nối có một cổng trong một bộ định tuyến PE và không một site nào được kết hợp với VRF đó. Chú ý, nhiều cổng trong một bộ định tuyến PE có thể được kết hợp với với một VRF đơn lẻ. Đó là khả năng của bộ định tuyến PE để duy trì đa bảng chuyển tiếp nó hỗ trợ sự chia sẻ thông tin định tuyến VPN. Sau khi biết tuyến VPN cục bộ từ bộ định tuyến CE, bộ định tuyến PE trao đổi thông tin định tuyến VPN với bộ định tuyến PE khác sử dụng IBGP. Bộ định tuyến PE có thể duy trì phiên IBGP tới bộ quản lý tuyến (route reflectors) khi lựa chọn phiên IBGP lưới. Sự triển khai bộ quản lý tuyến nâng cao khả năng của mô hình RFC 2547 bởi vì nó loại bỏ sự cần thiết thành các phần mạng đơn lẻ để duy trì tất cả tuyến VPN. Cuối cùng, khi sử dụng MPLS để chuyển tiếp lưu lượng dữ liệu VPN qua mạng đường trục nhà cung cấp dịch vụ, bộ định tuyến PE lối vào có chức năng như LSR lối vào và bộ định tuyến PE lối ra có chức năng như LSR lối ra 5. 2. 1. 1. 3. Bộ định tuyến nhà cung cấp Các bộ định tuyến nhà cung cấp (ký hiệu là P) là bộ định tuyến bất kỳ nào đó năm trong mạng của nhà cung cấp dịch vụ. Nó không gắn với thiết bị CE. Trong mạng MPLS thì đó chính là các LSR, có chức năng chuyển tiếp lưu lượng dữ liệu VPN giữa các bộ định tuyến PE. Sau đó lưu lượng được chuyển tiếp qua mạng đường trục MPLS sử dụng ngăn xếp nhãn lớp 2. Router P chỉ có nhiệm vụ duy trì thông tin định tuyến VPN rõ ràng cho mỗi site của khách hàng. 5. 2. 1. 2. Hoạt động của BGP/MPLS Trong toàn bộ quá trình hoạt động, có hai dòng lưu lượng chính xuất hiện trong mạng riêng ảo BGP/MPLS là: Một dòng điều khiển (Control Flow) được sử dụng trong mạng để truyền tải các thông tin định tuyến trên mạng riêng ảo, đồng thời để xác định đường chuyển mạch nhãn (Label-Switched Paths) trong mạng của nhà cung cấp Một luồng dữ liệu được sử dụng để chuyển tiếp dữ liệu khách hàng. Ta giải thích cơ chế hoạt động thông qua mô hình sau: Hình 5. 2: Mô hình hoạt động của BGP/MPLS Trong mô hình trên, các host trong site1 có thể liên lạc với các host trong site2 và ngược lại. Các host trong site3 có thể liên lạc với các host trong site4 và ngược lại 5. 2. 1. 2. 1. Luồng điều khiển Trong mạng BGP/MPLS, luồng điều khiển gồm hai luồng chính: Luồng điều khiển thứ nhất có trách nhiệm trao đổi thông tin định tuyến giữa CE và PE ở những biên của mạng đường trục nhà cung cấp và giữa bộ định tuyến PE qua mạng đường trục của nhà cung cấp Luồng điều khiển thứ hai có trách nhiệm thiết lập LSP giữa các PE của nhà cung cấp sau khi đã có được các thông tin định tuyến và các thông tin từ luồng dữ liệu mà khách hàng yêu cầu chuyển tiếp Thiết lập đường chuyển mạch nhãn Để có thể sử dụng được VPN trong công nghệ MPLS để chuyển tiếp dữ liệu qua mạng của nhà cung cấp dịch vụ thì các LSP phải được thiết lập giữa các PE trước khi vận chuyển qua hệ thống mạng. LSP có thể được thiết lập và duy trì qua mạng của nhà cung cấp dịch vụ bằng cách sử dụng giao thức phân phối nhãn ( Label Distribution Protocol – LDP) hoặc giao thức dành trước tài nguyên RSVP (Resource Reservation Protocol) Hình 5. 3: Đường chuyển mạch nhãn trong mạng nhà cung cấp Nhà cung cấp sử dụng LDP nếu nó cần để thiết lập LSP cố ngắn tối đa giữa hai bộ định tuyến PE. Trong trường hợp này, LSP như tuyến lưu lượng tối đa. Nhà cung cấp sử dụng RSVP nếu cần gán băng thông tới LSP hay sử dụng kỹ thuật lưu lượng TE (Traffice Engineering) để lựa chọn một đường cụ thể (Explicit Path) cho LSP. LSP với giao thức RSVP hỗ trợ đảm bảo chất lượng dịch vụ QoS cụ thể và kỹ thuật lưu lượng Có thể có một hoặc nhiều LSP song song (với khả năng về dịch vụ khác nhau) được thiết lập giữa các PE. Một bộ phản tuyến (Router Reflect) hoạt động như một máy chủ, nó phản xạ các tuyến từ một PE vào (Ingress) tới các PE đầu ra (Engress). Nếu một nhà cung cấp sử dụng phản xạ tuyến thì vẫn phải thiết lập LSP giữa các PE bởi vì các bộ phản xạ tuyến không phải là thành phần thiết yếu của đường chuyển tiếp giữa các PE. 5. 2. 1. 2. 2. Luồng dữ liệu (Data flow) Ta hãy xét sự di chuyển dữ liệu trong BGP/MPLS, trong mô hình dưới đây một host từ site2 cần liên lạc với server đặt ở site1. Host có địa chỉ là 10. 2. 3. 4 và server có địa chỉ là 10. 1. 3. 8. Hình 5. 3: Luồng dữ liệu trong BGP/MPLS Host 10. 2. 3. 4 chuyển tiếp tất cả các gói dữ liệu tới máy chủ có địa chỉ IP 10. 1. 3. 8 thông qua cổng mặc định của nó. Khi một gói đến CE2, nó thực hiện tìm kiếm tuyến thỏa mãn nhất (Longest-match route) và chuyển tiếp gói IP tới PE2, thực hiện tìm kiếm trong VRF A và thu nhập các thông tin sau: Nhãn MPLS được thông báo bởi PE1 với tuyến (giả sử có nhãn 222) Điểm tiếp theo BGP cho tuyến (Địa chỉ loopback PE1) Giao diện gửi đi LSP từ PE2 tới PE1 Nhãn ban đầu của LSP từ PE2 tới PE1 Lưu lượng của người sử dụng được truyền trực tiếp từ PE2 tới PE1 bằng cách sử dụng MPLS với một ngăn xếp nhãn chứa hai nhãn. Lưu lượng dữ liệu này, PE2 có LSR lối vào của LSP và PE1 có LSR lối ra của LSP. Trước khi truyền một gói tin, PE2 đẩy nhãn 222 vào trong ngăn xếp nhãn tạo lên nhãn dưới. Nhãn này đầu tiên được thiết lập trong VRF A khi PE2 nhận IBGP của PE1 thông báo tuyến 10. 1/16. Tiếp theo, PE2 đẩy nhãn kết hợp với LSP sử dụng LDP hay RSVP tới PE1 (tuyến BGP tiếp) trong ngăn xếp nhãn tạo lên nhãn đỉnh. Sau khi tạo ngăn xếp nhãn, PE2 chuyển tiếp gói MPLS trên giao diện lối ra tới bộ định tuyến P đầu tiên của LSP từ PE2 tới PE1. Bộ định tuyến P chuyển mạch gói qua lõi mạng đường trục của nhà cung cấp dịch vụ trên nhãn đỉnh. Bộ định tuyến PE1 cuối loại bỏ nhãn đỉnh (lộ ra nhãn dưới hay nhãn nội) và chuyển tiếp gói tin tới PE1. Khi PE1 nhận gói tin, nó loại bỏ nhãn tạo ra một gói IP ban đầu. PE1 sử dụng nhãn 222 dưới để nhận dạng CE được gán trực tiếp nó có chặng tiếp 10. 1/16. Cuối cùng, PE1 chuyển tiếp gói IP cuối cùng tới CE1, CE1 chuyển tiếp gói tới server 10. 1. 3. 8 ở site1. 5. 2. 1. 3. Ưu điểm của BGP/MPLS VPN Ưu điểm lớn nhất của MPLS/VPN là làm đơn giản quá trình vận hành của mạng cho khách hàng trong khi cho phép nhà cung cấp dịch vụ tăng các dịch vụ, mời chào các dịch vụ gia tăng, có lợi nhuận. Cụ thể các lợi ích mà mạng BGP/MPLS VPN đem lại như sau: Không có sự ràng buộc trong việc đánh địa chỉ được sử dụng bởi mỗi khách hàng. Khách hàng có thể sử dụng địa chỉ public hoặc private. Từ góc độ của nhà cung cấp dịch vụ, các khách hàng khác nhau có thể có không gian địa chỉ giống nhau (overlapping address spaces) Định tuyến biên ở mỗi site khách hàng CE không trực tiếp trực tiếp trao đổi thông tin định tuyến với các bộ định tuyến biên của khách hàng khác. Khách hàng cũng không cần quan tâm tới vấn đề định tuyến giữa các site với nhau, bởi vì đó là trách nhiệm của nhà cung cấp dịch vụ Khách hàng VPN không phải quản lý một mạng trục hay một mạng trục ảo. Do vậy khách hàng không cần điều khiển truy cập tới bộ định tuyến PE hay P Nhà cung cấp không dịch vụ không phải quản lý một mạng đường trục hay một mạng trục ảo tách biệt cho từng khách hàng VPN. Do vậy nhà cung cấp không cần quản lý truy cập tới bộ định tuyến biên của khách hàng CE. Các chính sách xác định một site nào đó có là thành viên của một mạng riêng ảo nào đó hay không là do chính sách của khách hàng. Mô hình quản lý RFC 2547 VPN cho phép chính sách của khách hàng được thực hiện bởi một mình nhà cung cấp hoặc bởi nhà cung cấp dịch vụ với khách hàng. VPN có thể mở rộng nhiều nhà cung cấp dịch vụ. Không phải dùng đến kỹ thuật mật mã, bởi vì bảo mật tương đương được hỗ trợ bởi mạng mạng đường trục lớp 2 (ATM hay Frame relay) Nhà cung cấp dịch vụ có thể dùng cơ sở hạ tần thông thường để phân phát cả dịch vụ kết nối Internet và VPN Chất lượng dịch vụ mềm dẻo cho dịch vụ khách hàng VPN được hỗ trợ qua sử dụng bit thí nghiệm trong tiêu đề MPLS hoặc thông kỹ thuật lưu lượng LSP (báo hiệu RSVP) Mô hình RFC 2547 độc lập với lớp liên kết (lớp 2). 5. 2. 2. Tồn tại và giải pháp Mô hình RFC 2547 sử dụng nhiều giải pháp để làm tăng tính mở của khách hàng tiếp cận và giải quyết một số vấn đề của mạng riêng ảo. Những tồn tại đó gồm có: Hỗ trợ không gian địa chỉ dùng chung của khách hàng (overlapping) Kết nối mạng cưỡng bức Duy trì cập nhật thông tin định tuyến mạng riêng ảo Đảm bảo độ rộng băng thông mạng đường trục và tài nguyên xử lý gói tin bộ định tuyến biên nhà cung cấp PE Trong phạm vi luận văn này, chúng ta chỉ đề cập đến không gian địa chỉ dùng chung của khách hàng Hỗ trợ việc việc dùng chung không gian địa chỉ BGP, theo định dạng tiêu chuẩn, chỉ có thể xử lý các tuyến có địa chỉ IPv4 32 bit. Trong cấu trúc MPLS/VPN, bởi vì mỗi một VPN phải có khả năng sử dụng cùng tiền tố IP giống như các VPN khác (khi chúng không liên lạc với nhau), cho nên cần thiết phải có phân biệt tuyến với IPv4.Nên cần phải mở rộng giao thức BGP để thông tin VPN là duy nhất trong miền đường trục MPLS/VPN. Multiprotocol (MP-BGP) và thông tin định tuyến VPN-IPv4 cung cấp khả năng mở rộng này. Mặc dù MP-BGP cung cấp khả năng xác định và truyền các thông tin định tuyến không phải IPv4, nhưng trước hết chúng ta tìm hiểu các tuyến VPN được phân biệt như thế nào và quyết định chọn tuyến ra sao giữa nhiều tuyến khác nhau của khách hàng. Cái này là rất cần thiết vì vậy các quá trình quyết định trên bộ định tuyến nhà cung cấp PE có thế giữ được các thông tin VPN khách hàng một cách riêng biệt nhau. Chúng ta vừa mới thừa nhận với nhau rằng trong cấu trúc của MPLS/VPN thì tất cả các khách hàng phải được định danh với tuyến là duy nhất trong mạn đường trục nhưng không bắt buộc trong việc sử dụng địa chỉ private. Các tuyến là duy nhất vì thế MP-BGP mới có thể xử lý cùng tiền tố từ hai VPN khác nhau là không giống nhau. Ta xét mô hình sau, vấn đề đặt ra là khi bộ định tuyến biên của nhà cung cấp dịch vụ New York nhận được hai thông tin update IPv4 giống hệt nhau. Trong trường hợp này, bộ định tuyến PE chọn ra tuyến tốt nhất giữa hai tuyến vừa mới nhận được dựa trên tiêu chuẩn xử lý BGP. Điều này có nghĩa là cần thiết có một cơ chế để MP-BGP không phải quan tâm tới các tuyến giống nhau thuộc về các VPN khác nhau. Hình 5. 4: Bộ định tuyến PE so sánh các tuyến BGP Cơ chế này bao gồm một chuỗi 61 bit trước địa chỉ IPv4, địa chỉ IPv4 này chứa trong thông tin cập nhật MP-BGP. Chuỗi các bit này được gọi là phân biệt tuyến (route distinguisher) và nó là khác nhau cho mỗi VPN (hoặc cho mỗi subnet của các site trong một VPN) và vì vậy các địa chỉ chứa trong tất cả các VPN là duy nhất trong mạng đường trục MPLS/VPN. BGP phân biệt một địa chỉ IPv4 này với một địa chỉ IPv4 khác là không giống nhau nếu phân biệt tuyến là khác nhau. VPN-IPv4 (hoặc VPNv4) là sự kết hợp của địa chỉ IPv4 với phân biệt tuyến. Sự kết hợp này làm cho tuyến IPv4 là duy nhất toàn cục trên mạng MPLS/VPN. Hình sau mô tả bộ định tuyến PE đã có thể phân biệt hai tuyến IPv4 giống nhau và có thể xử lý chúng giống như các thực thể tách biệt và thuộc về các VPN khác nhau Hình 5. 5: Bộ định tuyến PE so sánh các tuyến VPN-IP v4 Trên hình khi bộ định tuyến PE tại New York nhận một thông tin cập nhật về 10.2.1.0/24 từ bộ định tuyến tại PE tại San Jose và Paris, các thông tin cập nhật này bây giờ là không giống nhau bởi vì các phân biệt tuyến là khác nhau. Thông tin cập nhật từ San Jose sẽ là 100:26:10.2.1.0/24 và thông tin cập nhật từ Paris là 100:27:10.2.1. 0/24. Mặc dù cơ chế phân biệt tuyến cho phép chúng ta giải quyết được vấn đề các khách hàng VPN có thể sử dụng cùng một giải địa chỉ private, nhưng nó không khắc phục được vấn đề nhiều khách hàng bên trong cùng một VPN sử dụng cùng một lược đồ địa chỉ bên trong các site của họ. Để hiểu tại sao lại như vậy, chúng ta cùng xét ví dụ sau: Hình 5. 6: Sử dụng cùng một địa chỉ Private bên trong một VPN Trên hình bộ định tuyến biên của nhà cung cấp dịch vụ tại New York nhận một thông tin update MP-BGP cho subnet 10.2.1.0/24 từ hai VPN khác nhau, trong trường hợp này là từ EuroBank và FastFood VPN. VPN EuroBank được cấu hình để nhận tất cả các tuyến chứa đích đến là 100:26 hoặc 100:27. Điều đó có nghĩa là nó nhận tất cả các tuyến từ các thành viên của VPN EuroBank hoặc FastFoods khi chúng đưa ra đích có sử dụng các tuyến đích trên. Khi bộ định tuyến tại New York so sánh hai tuyến để xác định tuyến nào nhập vào Bảng chuyển tiếp và định tuyến (VRF) của VPN EuroBank; tùy thuộc vào tuyến nào được chọn, thì sự kết nối tới VPN site khác sẽ không thực hiện được. Ví dụ, nếu router New York xác định MP-BGP thông tin định tuyến cho 10.2.1.0/24 nhận được từ bộ định tuyến tại Paris là tuyến tốt nhất, thì sự kết nối từ site tại EuroBank tại NewYork tới đích bên trong subnet 10.2.1.0/24 trong site EuroBank San Francisco sẽ không thực hiện được. Vì lý do này mà khi thiết kế MPLS/VPN phải hạn chế sự sử dụng địa chỉ chồng lấp với VPN mà không liên lạc với VPN khác qua miền MPLS đường trục nếu chia sẻ cùng dải địa chỉ bên trong các site đó. Chương 6: Vấn đề bảo mật và chất lượng dịch vụ MPLS/VPN Trong chương này chúng ta sẽ tìm hiểu về: MPLS cung cấp giải pháp an ninh như thế nào (sự chia cắt các VPN, chống lại các cuộc tấn công, dấu lõi và bảo vệ sự giả mạo) Những cơ chế bảo mật nào mà cấu trúc MPLS không cung cấp So sánh mức độ bảo mật giữa MPLS/VPN với ATM hoặc Frame Relay VPN Các người sử dụng VPN muốn nhà cung cấp dịch vụ bảo đảm về an toàn và mang tính riêng tư. Hay nói cách khác, họ muốn VPN của mình độc lập nhưng vẫn có được tính khả chuyển, linh động trong việc chia sẻ một nền tảng cơ sở hạ tầng chung. Chương này xác định yêu cầu để đảm bảo tính bảo mật cho một VPN, và làm thế nào MPLS có thể thực hiện được điều đó. Bảo bảo cho một VPN cần yêu cầu: Tách biệt VPN (đánh địa chỉ và lưu lượng) Chống lại được các cuộc tấn công Dấu được cấu trúc mạng lõi Chống lại được sự giả mạo 6. 1. Vấn để bảo mật trong MPLS VPN 6. 1. 1. Tách biệt các VPN Điều quan trọng trong vấn đề bảo mật cho các người sử dụng VPN là luồng lưu lượng của họ phải được giữ tách biệt với các luồng lưu lượng VPN khác và luồng lưu lượng trên mạng lõi. Điều đó có nghĩa là các lưu lượng VPN khác cũng như lưu lượng lõi không thể thâm nhập vào VPN của họ. Một yêu cầu khác đó là mỗi VPN có khả năng sử dụng một dải địa chỉ IP mà không ảnh hưởng hoặc bị ảnh hưởng bởi các VPN khác hoặc là mạng lõi. Chúng ta sẽ phân tích tại sao tiêu chuẩn RFC 2547 bits đáp ứng được yêu cầu này. Trước hết là có thể có được dải địa chỉ tách biệt nhau, và ở phần sau là luồng dữ liệu và điều khiển được phân biệt rõ ràng giữa các VPN cũng như giữa một VPN với mạng lõi. 6. 1. 1. 1. Tách biệt không gian địa chỉ. Để có thể phân biệt các địa chỉ khác nhau giữa các VPN khác nhau, RFC 2547 bit không hiểu tiêu chuẩn địa chỉ IPv4 (hoặc IPv6) trên miền điều khiển của các VPN trên mạng lõi. Thay vào đó, tiêu chuẩn này đưa ra khái niệm địa chỉ VPN-IPv4 hoặc VPN-VPNv6. Một địa chỉ VPN-IPv4 bao gồm 8 byte phân biệt tuyến RD (route distinguisher) theo sau đó là 4 byte địa chỉ IPv4, giống như hình 6.1. Tương tự, một địa chỉ VPN-IPv6 bao gồm 8 byte RD, theo sau là 16 byte địa chỉ IPv6. Hình 6. 1: Cấu tạo của một địa chỉ VPN-IPv4 Mục đích của một RD là nó cho phép toàn bộ không gian địa chỉ IPv4 được sử dụng trong hoàn cảnh khác (ở đây là cho các VPN). Trên một bộ định tuyến, một RD có thể xác định một chuyển tiếp và định tuyến VPN (VRF), trong đó toàn bộ địa chỉ IPv4 có thể được sử dụng độc lập. Có nghĩa là RD sẽ làm cho các tuyến sử dụng địa chỉ IPv4 của một VPN là duy nhất trên mạng lõi MPLS/VPN Bởi vì trong cấu trúc của MPLS/VPN chỉ có các bộ định tuyến của nhà cung cấp dịch vụ PE phải biết các tuyến VPN. Bởi vì bộ định tuyến PE sử dụng địa chỉ VPN-IPv4 cho các VPN, không gian địa chỉ là tách biệt giữa các VPN. Hơn thế nữa việc sử dụng IPv4 bên trong mạng lõi, đó là các địa chỉ khác với địa chỉ VPN-IPv4, vì thế mạng lõi cũng có không gian địa chỉ độc lập với các VPN khác nhau. Việc cung cấp này tạo ra sự khác nhau rõ ràng giữa các VPN cũng như giữa các VPN với mạng lõi. Hình 6. 2: Mặt phẳng địa chỉ trong mạng MPLS/VPN 6. 1. 1. 2. Tách biệt về lưu lượng Lưu lượng VPN bao gồm luồng lưu lượng VPN trên miền dữ liệu và miền điều khiển. Người sử dụng VPN đòi hỏi lưu lượng của họ không bị trộn lẫn với lưu lượng VPN khác hoặc với lưu lượng lõi, tức là các gói tin không bị gửi tới một VPN khác và ngược lại. Trên mạng của nhà cung cấp dịch vụ, thì yêu cầu này càng rõ ràng bởi vì lưu lượng sẽ phải được chuyển qua mạng lõi MPLS. Ở đây chúng ta phân biệt lưu lượng miền điều khiển và miền dữ liệu. Miền điều khiển là nơi lưu lượng khởi đầu và kết thúc bên trong mạng lõi, miền dữ liệu bao gồm lưu lượng từ các VPN khác nhau. Luồng lưu lượng VPN này được đóng gói, thường là LSP, và được gửi đi từ PE tới PE. Bởi vì quá trình đóng gói này mà mạng lõi sẽ không bao giờ thấy được luồng lưu lượng VPN. Hình 6. 3: Tách biệt lưu lượng 6. 1. 2. Chống lại các sự tấn công Trong những năm vừa qua, số lượng các cuộc tấn công không chỉ nhằm vào các ứng dụng mà còn tấn công trực tiếp vào cơ sở hạ tầng mạng. Vì thế nhà cung cấp dịch vụ phải chú trọng tới vấn đề bảo mật cho mạng lõi. Tấn công từ chối dịch vụ là một ví dụ, nhưng trên môi trường mạng MPLS/VPN thì nó càng nguy hiểm hơn: nếu kẻ tấn công (tạm gọi là hacker) có thể nắm quyền kiểm soát thiết bị PE, thì bảo mật của bất kỳ VPN trên mạng MPLS lõi nào cũng có thể bị tổn hại, dù kết nối tới PE này hay không. 6. 1. 2. 1. Nơi một mạng lõi MPLS có thể bị tấn công Như đã đề cập đến phần trước, các VPN được tách biệt với nhau và với mạng lõi. Đó cũng là một hạn chế khả năng tấn công các điểm: hình sau mô tả rằng, chỉ interface nơi mà một VPN có thể thấy được mạng lõi và và gửi các gói tin tới một thiết bị của mạng lõi: đó là bộ định tuyến PE bởi vì mạch kết nối giữa các bộ định tuyến CE và PE thuộc về VPN. Vì thế, chỉ có các điểm tấn công nhìn thấy từ một VPN là: tất cả các interface của bộ định tuyến PE kết nối tới bộ định tuyến CE của khách hàng. Trong hình, VPN1 chỉ có thể thấy interface PE nó kết nối tới và không thể với các interface trên PE khác. Chú ý rằng có một điểm tấn công cho một kết nối CE-PE, vì thế tất cả interface của PE này phải được bảo vệ cho toàn không gian VPN. Hình 6. 4: Dải địa chỉ có thể nhận ra từ VPN Chú ý là bộ định tuyến CE luôn luôn không tin cậy, thậm chí nếu một bộ định tuyến CE được kiểm soát bởi nhà cung cấp dịch vụ. Lý do là bởi vì CE luôn được đặt ở phía khách hàng và có thể thay thế bởi các bộ định tuyến khác hoặc thậm chí, trong một số trường hợp, thay bởi một máy trạm. Trong khi đó, một bộ định tuyến PE luôn phải đáng tin cậy, và phải đạt được điều đó, bởi vì một kẻ thâm nhập trên bộ định tuyến PE có thể làm nguy hại tới tất cả các VPN khác. Điều này có nghĩa là bộ định tuyến PE phải luôn luôn trong môi trường an toàn. 6. 1. 2. 2. Mạng lõi MPLS bị tấn công như thế nào Theo lý thuyết, một bộ định tuyến PE có thể bị tấn công hoặc bởi một luồng lưu lượng chuyển tiếp (có nghĩa là mục đích lưu lượng được đưa đến một PE khác) hoặc chính bởi luồng lưu lượng mà đích là PE này. Luồng lưu lượng chuyển tiếp thường ít ảnh hưởng bởi vì các bộ định tuyến được thiết kế để chuyển tiếp gói tin một cách nhanh nhất. Dĩ nhiên, một bộ định tuyến phải có có khả năng kiểm soát luồng lưu lượng chuyển tiếp. Tuy nhiên, có một số dạng gói tin không thể kiểm soát bởi phần cứng và có thể làm tăng tải trên tuyến. Vì thế, nếu có nhiều gói tin kiểu thế này có thể dẫn đến tình huống DoS trên tuyến đó. Các gói tin với lựa chọn IP (IP options) là một ví dụ. Một gói tin với lựa chọn IP có độ dài tiêu đề thay đổi và vì thế không thể tra cứu trên ASICs (microchips). Có nghĩa là các gói tin với lựa chọn IP có thể được chuyển mạch bằng phần mềm, điều này làm cho hiệu suốt của bộ định tuyến giảm đi. Với luồng lưu lượng nhận được, tức là đích đến chính là PE này, thì cần phải quan tâm hơn bởi vì nó ảnh hưởng trực tiếp lên PE. Có hai dạng tấn công là : DoS – Trong trường hợp này, hacker có gắng sử dụng hết tất cả tài nguyên trên bộ định tuyến PE. Điều này có thể thực hiện được bằng cách gửi nhiều gói tin update cho bộ định tuyến, các bộ nhớ sẽ bị sử dụng hết. Intrusion – Hacker thử sử dụng một kênh hợp lệ để cấu hình bộ định tuyến PE. Ví dụ dùng telnet hoặc SSH port hoặc SNMP để cấu hình lên bộ định tuyến 6. 1. 2. 3. Mạng lõi được bảo vệ như thế nào Tất cả các khả năng tấn công đều có thể kiểm soát được bằng cách cấu hình chính xác. Chúng ta có thể dùng Access control list (ACL) cho tất cả các interface của bộ định tuyến PE. Nếu định tuyến được yêu cầu thì cổng định tuyến phải không được khóa bởi ACL. Bây giờ một hacker chỉ có thể tấn công trực tiếp vào giao thức định tuyến. Từ phân tích trên, bộ định tuyến PE sẽ nhận các gói tin trên cổng cho giao thức định tuyến và được bảo đảm. Bất kỳ gói tin nào khác tới PE sẽ bị drop bởi ACL. Trong cấu trúc MPLS VPN, nó cung cấp tính bảo mật cao hơn. Trước tiên là giao diện vào mạng lõi bị giới hạn và chỉ để lộ ra địa chỉ IP của bộ định tuyến PE như thế có nghĩa là tính an toàn sẽ cao hơn. Bằng cách này, một mạng lõi MPLS VPN ít bị lộ ra để có thể tấn công từ bên ngoài hơn so với công nghệ IP truyền thống, nơi mà các giao diện trên tất cả các bộ định tuyến lõi có thể mục tiêu cho các cuộc tấn công mạng. Tiếp đó, một ưu điểm nữa của MPLS đó là nó dùng bộ định tuyến biên tới bên ngoài nên làm cho nó dễ được bảo đảm hơn. So sánh với mạng lõi IP truyền thống, theo mặc định thì khá là mở, mỗi một thành phần của mạng có thể đến được (reachable) từ bên ngoài mạng. Điều này có thể được hạn chế bằng nhiều cách, như dùng ACL hoặc một số kỷ thuật dấu cấu trúc mạng lõi. Nhưng với mạng lõi MPLS thì do cấu trúc nên phần lớn các thiết bị trong lõi này là không thể đạt tới được. Chú ý rằng, tùy thuộc vào cách định tuyến trên mạng Internet được thực hiện như thế nào: nếu ở bảng định tuyến toàn cục (global table) thì nguy cơ bị tấn công càng cao. Với lõi MPLS thì nó có đặc điểm là hạn chế sự truy cập tới bảng định tuyến toàn cục (global routing table) từ bên ngoài, điều này làm cho MPLS mang tính bảo mật cao hơn. 6. 1. 3. Dấu cấu trúc mạng lõi Trong công nghệ VNP lớp 2, như Frame Relay hoặc ATM có đặc tính là người sử dụng VPN không thể thấy kiến trúc của lõi. Đó là bởi vì người sử dụng kết nối một thiết bị lớp 3 tới mạng lớp 2, vì vậy nền tảng mạng ở lớp 2 sẽ bị dấu đi với người dùng. Mạng MPLS VPN dấu đi cơ sở hạ tầng mạng do cấu trúc của nó. Như vừa đề cập ở trên, chỉ có địa chỉ PE ngang hàng (peering PE address) là lộ ra với người sử dụng, còn các bộ định tuyến P hoàn toàn được dấu đi. Điều này là rất quan trọng để hiểu việc dấu mạng lõi không phải bởi vì ACL mà bản chất là việc tách biệt các dải địa chỉ trên mạng lõi MPLS: thậm chí nếu một địa chỉ của một bộ định tuyến P nào đấy bị lộ ra bên ngoài thì do địa chỉ này không thuộc về dải địa chỉ của người sử dụng nên không thể đến được (unreachable). Chỉ có một ngoại lệ đó là địa chỉ ngang hàng của bộ định tuyến PE. Tuy nhiên, dải địa chỉ của kết nối CE-PE thuộc về VPN, không phải là mạng lõi. Trên thực tế, các dải địa chỉ giống nhau có thể được sử dụng trên một vài VPN khác nhau mà không sợ bị xung đột (conflict). Vì thế, mặc dù một địa chỉ PE có thể nhìn thấy từ VPN thì nói đúng ra không có bất kỳ thông tin bi lộ ra bên ngoài bởi vì địa chỉ này là dải địa chỉ VPN. Tuy nhiên, có một cách để dấu hoàn toàn bộ định tuyến PE với người dùng VPN đó là: sử dụng sử dụng dải địa chỉ không đánh số và định tuyến tĩnh giữa PE và CE. 6. 1. 4. Bảo vệ chống lại sự giả mạo Spoofing (giả mạo) – Là một dạng vi phạm an toàn trong đó hacker dưới danh nghĩa một user hợp pháp truy nhập vào hệ thống máy tính một cách bất hợp pháp. Dạng đơn giản nhất của spoofing là lấy được tên và mật khẩu của người dùng để truy cập. Một cách khác là dùng thiết bị khác như bộ phân tích mạng để theo dõi và nắm được luồng giao thông trên mạng, sau đó chèn các gói dữ liệu giả vào dòng dữ liệu Trước đây, khi Internet ở giai đoạn đầu, địa chỉ nguồn của gói tin được dùng để chứng tỏ rằng gói tin đó được gửi từ chính địa chỉ IP này. Ngày nay, sự giả mạo địa chỉ IP là một sự kiện xảy ra hàng ngày ở nhiều dạng tấn công khác nhau. Khi MPLS là một công nghệ lớp 3, người sử dụng lo lắng về vấn đề giả mạo trên mạng, ở cả mức độ IP lẫn sử dụng nhãn bởi các giao thức MPLS. Câu hỏi được đặt ra “ Một người sử dụng VPN khác có thể giả mạo địa chỉ IP của tôi để truy cập vào VPN của tôi? ” và “ Một người khác có thể giả mạo nhãn VPN để xâm nhập vào VPN của tôi? ”. Những câu hỏi này dễ dàng được trả lời như sau: Giả mạo địa chỉ IP – Ta đã biêt một VPN có thể sử dụng toàn bộ dải địa chỉ IP, từ 0.0.0.0 tới 255.255.255.255. Một site VPN hoặc một host nào đó có thế giả mạo địa chỉ IP nhưng địa chỉ giả mạo này vẫn là địa chỉ local đối với VPN kia. Đây chính là điểm mạnh của kiến trúc MPLS VPN: người sử dụng VPN có thể sử dụng toàn bộ dải địa chỉ, gồm cả địa chỉ giả mạo kia, và VPN sẽ giống như là một mạng vật lý đối với người sử dụng VPN kia. Điều đó là có thể bởi vì các bộ định tuyến PE giữ tất cả các gói tin bên trong VRF (VPN Routing and Forwarding), vì thế ngay cả gói tin giả mạo kia cũng không “ thoát ” ra được VPN.Vì thế địa chỉ IP giả mạo trong một VPN không ảnh hưởng tới VPN khác. Giả mạo nhãn – Bên trong một mạng lõi MPLS, các gói tin khác nhau được phân biệt bởi DE (phân biệt tuyến). Một người sử dụng VPN xấu tính nào đấy có thể tạo các gói tin với nhãn giả và chèn vào mạng lõi MPLS, cố gắng đưa các gói tin này vào các VPN khác. Điều này là không thể thực hiện được bởi vì các bộ định tuyến PE không chấp nhận các gói tin đã được gán nhãn từ các bộ định của khách hàng. Vì thế một gói tin giả sẽ bị drop bởi PE. 6. 1. 5. So sánh tính bảo mật với ATM/Frame Relay Rất nhiều công ty đang sử dụng dịch vụ VPN dựa trên công nghệ ATM hoặc Frame Relay trước đây đang chuyển sang sử dụng dịch vụ MPLS VPN. Những người mới sử dụng MPLS thường lo lắng về thực tế rằng một dịch vụ MPLS VPN có một vùng điều khiển ở lớp 3. Tuy nhiên, như đã biết từ trước, các dịch vụ lớp 3 này có thể được đảm bảo an toàn và phù hợp với sự cung cấp các dịch vụ VPN. ATM/Frame Relay có thể nhận ra là an toàn hơn bởi vì chúng không bị tổn thương với các tấn công ở lớp 3 (hơn nữa chuyển mạch ATM/FR có miền điều khiển ở lớp 3, ví dụ như telnet). Tuy nhiên, bảo mật ở lớp 2 trong các công nghệ này thường không đạt được như mong đợi. Chúng ta sẽ thảo luận các vấn đề này và so sánh chúng. Sự tách biệt VPN Một người sử dụng VPN yêu cầu VPN của họ phải tách biệt với các VPN khác và với mạng lõi. Trong công nghệ lớp 2, điều này hoàn toàn đạt được bằng cách chia lớp: mạng lõi dành riêng sử dụng lớp 2, vì thế thông tin lớp 3 của một VPN được tách nhau ra. Trong công nghệ MPLS VPN, sự tách biệt này đạt được là logic và bằng cách duy trì các môi trường tách biệt nhau trên một bộ định tuyến của nhà cung cấp dịch vụ. Hai công nghệ là khác nhau nhưng cùng đem lại một kết quả: mỗi VPN có thể sử dụng toàn bộ dải địa chỉ trong VPN của họ và nó không thể gửi các gói tin tới các VPN khác trong cùng một mạng lõi. Chống lại các cuộc tấn công Người dùng VPN yêu cầu một dịch vụ ổn định và các dịch vụ không bị tấn công từ bên ngoài. Với nhiều người sử dụng VPN, thật là không thể chấp nhận được nếu một dịch vụ VPN bị ảnh hưởng bởi tấn công DoS từ bên ngoài. Tồi tệ hơn, một hacker có quyền kiểm soát một thành phần mạng có thể kiểm soát bất kỳ VPN nào. Vì thế công nghệ VPN phải chống lại được các cuộc tấn công. MPLS VPN thường xuyên có thể truy cập từ Internet. Như thế một hacker giỏi nếu có đủ thời gian có thể truy cập vào bộ định tuyến PE qua môi trường Internet. Trong phần trước, phần lõi có một số điểm giao diện nối tới phần ngoài. Một MPLS lõi không thể so sánh với mạng lõi IP truyền thống, nơi mà mọi bộ định tuyến có thể truy cập tới (giả sử rằng lõi MPLS không có giao diện global với bên ngoài, chỉ có các giao diện VRF). Hơn thế nữa, chỉ có các interface đơn là có thể truy cập được và chúng được bảo đảm tốt. Vì thế, thật là khó để tấn công mạng MPLS một cách trực tiếp. Mạng ATM hoặc Frame Relay cũng chống lại được các cuộc tấn công. Tuy nhiên, các chuyển mạch ATM hoặc Frame Relay cũng có miền điều khiển lớp 3 (ví dụ telnet) và có thể bị tấn công nếu không được bảo vệ tốt. Nhưng nếu cả ai dạng này của VPN nếu được cấu hình chính xác thì chẳng dễ để tấn công. Dấu cơ sở hạ tầng mạng lõi Với mạng lớp 2 thì mạng lõi được dấu đi bởi người sử dụng VPN làm việc trên lớp 3. Lõi MPLS VPN cũng dấu đối với người sử dụng VPN, mặc dù sử dụng một phương pháp khác: phần lớn các địa chỉ được dấu đi bởi cấu trúc của nó; chỉ có một phần được nhìn thấy đó là địa chỉ PE ngang hàng (peering PE address). Tuy nhiên, địa chỉ này là một phần của dải địa chỉ VPN, vì thế trên thực tế sẽ không có thông tin về mạng lõi đối với người dùng từ bên ngoài. Không có sự giả mạo VPN Ta đã biết không thể giả mạo VPN khác hoặc mạng lõi. ATM và Frame Relay cũng thế, không có cách nào để giả mạo cơ chế báo hiệu như Virtual Path Identifier/Circuit Identifier (VPI/VCI) để có thể giả mạo một VPN khác. CE-CE visibility Có một ưu điểm mà dịch vụ kết nối point-to-point ATM/FR hơn so với MPLS VPN đó là: do thực hiện các dịch vụ lớp 2, các CE có thể thiết lập trực tiếp mối quan hệ hàng xóm lớp 3 và có thể thấy các CE khác. Ví dụ, Cisco Discovery Protocol (CDP) có thể được sử dụng để tìm hiểu các đặc tính cơ bản của một bộ định tuyến hàng xóm. Nó bao gồm cả địa chỉ liên kết lớp 3, vì thế một bộ định tuyến khách hàng có thể xác định ở một mức độ nào đó bộ định tuyến CE ở đầu kia của kết nối point-to-point. Đối với kiến trúc MPLS thì không thể thực hiện được điều đó, một bộ định tuyến CE không thể nhìn trực tiếp tới các CE khác trong VPN của mình. Đó là bởi vì kiểu kết nối của kiến trúc MPLS VPN: MPLS VPN cung cấp kết nối từ một CE tới một đám mây mạng. Điều này tránh được sự chồng lấp trong việc thiết lập thiết lập đường hầm tới tất cả các CE khác, nhưng cũng vì thế mà nó sẽ không có được thông tin trực tiếp của CE hàng xóm So sánh tính bảo mật của MPLS với ATM/Frame Relay MPLS ATM/Frame Relay Tách biệt VPN Có Có Chống lại sự tấn công Có Có Dấu kiến trúc mạng lõi Có Có Không thể giả mạo VPN Có Có Thông tin CE-CE Không Có MPLS VPN chỉ có thể bảo mật tốt nếu nó được cấu hình và hoạt động tốt. 6. 2. Chất lượng dịch vụ của mạng MPLS VPN Đối với Chất lượng của dịch vụ QoS, thì các cơ chế được sử dụng phải đủ mềm dẻo để hỗ trợ nhiều loại khách hàng VPN khác nhau, đồng thời chúng phải có khả năng mở rộng để có thể hỗ trợ một số lượng lớn khách hàng VPN. Ví như nhà cung cấp dịch vụ phải cung cấp cho các khách hàng VPN với nhiều mức dịch vụ (CoS) khác nhau cho mỗi VPN, trong đó các ứng dụng khác nhau trong cùng một VPN có thể có một CoS khác nhau. Theo cách này, dịch vụ email có thể có một CoS trong khi một số ứng dụng thời gian thực khác có thể có CoS khác. Hơn nữa, CoS mà một ứng dụng nhận được trong một VPN có thể khác so với CoS mà vẫn ứng dụng này có thể nhận được ở VPN khác. Tức là các cơ chế hỗ trợ QoS cho phép quyết định loại dữ liệu nhận CoS nào phù họp cho từng VPN. Hơn nữa, không phải tất cả các VPN phải sử dụng tất cả các CoS mà một nhà cung cấp dịch vụ VPN đưa ra. Do đó, một tập các cơ chế hỗ trợ QoS cho phép quyết định loại CoS nào được sử dụng để tạo cơ sở cho VPN Lớp dịch vụ (Class of Service) CoS Ở đây QoS liên quan tới toàn bộ chất lượng dịch vụ phất sinh hiện tại qua mạng, lớp dịch vụ CoS định nghĩa mức riêng của dịch vụ cần cho một kiểu lưu lượng: voice, video, hay dữ liệu. Nhiều nhà doanh nghiệp yêu cầu đảm bảo, hội tụ cơ sở hạn tầng, nhà cung cấp dịch vụ cần giúp đỡ nhiều lớp dịch vụ để hỗ trợ ứng dụng nhiệm vụ then chốt. Kỹ thuật QoS trong VPN phân biệt giữa các kiểu lưu lượng và gán ưu tiên tới mhiệm vụ then chốt hay lưu lượng nhậy cẩm trễ như voice và video. Kỹ thuật QoS cũng cho phép VPN quản lý tắt nghẽn qua tốc độ độ rộng băng thông thay đổi. Nhà cung cấp dịch vụ đưa ra các kiểu lớp dịch vụ: lớp đầu cho điều khiển trễ, lớp hai cho điều khiển tải và lớp ba cho hỗ trợ tối đa. Công việc kinh doanh yêu cầu lớp dịch vụ nhiều hơn, gồm: Mức 4: thời gian thực (voice, video) Mức 3: tương tác các công ty (báo hiệu cuộc gọi, cấu trúc mạng hệ thống SNA, tin cậy…) Mức 2: thời gian thực (dòng video, quản lý mạng) Mức 1: khinh doanh LAN-to-LAN (Internet Web, IBM Lotus Workplace…) Mức 0: dữ liệu có ngắn tối đa (giao thức truyền tải Mail, FTP, Internet Web…) Mỗi CoS, nhà cung cấp phải có thuộc tính tiêu chuẩn rõ ràng trễ thích hợp, an toàn và mất gói tin trong thoả thuận mức dịch vụ (SLA), và giá trị thực hiện và kết hợp báo cáo QoS phù hợp với CoS cung cấp. Trước khi đi vào các cơ chế hỗ trợ QoS được sử dụng trong VPN dựa trên BGP/MPLS, chúng ta xem xét hai mô hình được sử dụng để biểu diễn QoS trong VPN đó là mô hình “ống” và mô hình “vòi”. Trong mô hình “ống”, một nhà cung cấp dịch vụ VPN cung cấp cho một khách hàng VPN một QoS đảm bảo cho dữ liệu đi từ một bộ định tuyến CE của khách hàng tới các bộ định tuyến CE khác. Về hình thức ta có thể hình dung mô hình này như một đường ống kết nối hai bộ định tuyến với nhau, và lưu lượng giữa hai bộ định tuyến trong đường ống này đảm bảo QoS xác định. Ví dụ về một loại đảm bảo QoS có thể được cung cấp trong mô hình “ông” là đản bảo giá trị băng thông nhỏ nhất giữa hai site. Ta có thể cải tiến mô hình “ống” bằng việc chỉ cho phép một số loại lưu lượng (ứng với một số ứng dụng) từ một CE tới các CE khác có thể sử dụng đường ống. Quy định lưu lượng nào có thể sử dụng đường ống được xác định tại bộ định tuyến PE phía đầu ống. Chú ý là mô hình “ống” khá giống với mô hình QoS mà các khách hàng VPN có được hiên nay với các giải pháp dựa trên chuyển tiếp khung hoặc ATM. Điểm khác nhau căn bản là với ATM hay chuyển tiếp khung thì các kết nối là song công trong khi ở mô hình “ống” chỉ cung cấp kết nối đảm bảo theo một hướng. Đặc điểm một hướng này của mô hình “ống” chỉ cho phép thiết lập các kết nối cho các ứng dụng sử dụng luồng lưu lượng không đối xứng, trong đó lưu lượng từ một site tới site khác có thể khác với lưu lượng theo hướng ngược lại. Mô hình thứ hai là mô hình “vòi”. Trong mô hình này nhà cung cấp dịch vụ VPN cung cấp cho khách hàng sự đảm bảo cho lưu lượng mà bộ định tuyến CE của khách hàng gửi đi và nhận về từ các bộ định tuyến CE khác trong cùng VPN. Nếu không thì khách hàng phải chỉ định cách phân phối lưu lượng tới các Bộ định tuyến CE khác. Kết quả là ngược với mô hình “ống”, mô hình “vòi” không đòi hỏi khách hàng biết ma trận lưu lượng và nhờ đó giảm bớt gánh nặng đối bới các khách hàng muốn sử dụng dịch vụ VPN. Mô hình “vòi” sử dụng hai tham số ICR và ECR. Trong đó ICR là tổng lưu lượng mà một CE có thể gửi tới các CE khác và ECR là tổng lưu lượng mà một CE có thể nhận từ các CE khác. Nói cách khác ICR đại diện cho tổng lưu lượng từ một CE cụ thể, còn ECR đại diện cho tổng lưu lượng tới một CE cụ thể. Lưu ý rằng đối với CE không nhất thiết ICR phải bằng ECR. Mô hình “vòi” hỗ trợ nhiều mức CoS ứng với các dịch vụ có tham số khac nhau; ví dụ một dịch vụ có thể yêu cầu tham số mấy gói tin ít hơn so với dịch vụ khác. Với các dịch vụ đòi hởi phải có sự đảm bảo lớn (như đảm bảo về băng thông), thì mô hình “ống” phù hợp hơn. Mô hình “ống” và “vòi” không phải là các mô hình đối ngược nhau. Nghĩa là, một nhà cung cấp dịch vụ có thể cung cấp cho khách hàng VPN một mô hình kết hợp giữa các mô hình “ống” và “vòi” giúp khách hàng quyết định mua loại dịch vụ nào ứng với mức CoS nào. Đối với mạng VPN dựa trên BGP/MPLS, để hỗ trợ mô hình “ống” chúng ta sử dụng các LSP đảm bảo băng thông. Những LSP này bắt đầu và kết thúc tại các bộ định tuyến PE và được sử dụng để cung cấp băng thông đảm bảo cho tất cả các ống từ một PE đến các PE khác. Có nghĩa là ứng với một cặp bộ định tuyến PE có nhiều bộ định tuyến CE nối trực tiếp mà giữa chúng đã có các đường ống, thay vì sử dụng một LSP băng thông đảm bảo cho mỗi ống ta sử dụng một LSP đảm bảo băng thông cho tất cả các ống. Sử dụng một LSP băng thông đảm bảo để mang nhiều đường ống giữa một cặp bộ định tuyến PE cho phép tăng khả năng mởi rộng của mô hình này. Với mô hình này số LSP mà nhà cung cấp dịch vụ phải thiết lập và duy trì phụ thuộc vào số cặp bộ định tuyến PE của nhà cung cấp dịch vụ chứ không phụ thuộc vào số đường ống của khách hàng VPN mà nhà cung cấp có thể có. Để hỗ trợ CoS trong mô hình vòi, nhà cung cấp dịch vụ sử dụng thuộc tính hỗ trợ Diff-serv của MPLS. Nhà cung cấp dịch vụ cũng có thể sử dụng chức năng quản lý lưu lượng để cải thiện độ khả dụng của mạng trong khi vẫn đạt được những mục tiêu về chất lượng như mong muốn. Các thủ tục để bộ định tuyến PE lối vào xác định lại lưu lượng nào ứng với CoS nào không phụ thuộc vào đó là mô hình “ống” hay mô hình “vòi” mà hoàn toàn mang tính cục bộ đối với bộ định tuyến PE. Những thủ tục này có thể xem xét các yếu tố như giao diện lối vào, địa chỉ IP nguồn và đích, số cổng TCP, hoặc sự kết hợp của những yếu tố trên. Điều này mang lại cho nhà cung cấp dịch vụ sự mềm dẻo về khía cạnh điều khiển xem loại lưu lượng nào nhận cái nào. Mặc dù trong hợp đồng giữa khách hàng và nhà cung cấp dịch vụ đã chỉ ra băng thông và CoS cụ thể, nhưng khách hàng vẫn có thể gửi lưu lượng vượt qua băng thông đã đăng ký. Để xác định xem lưu lượng có nằm trong bằn thông đã thoả thuận, nhà cung cấp dịch vụ sử dụng các chính sách tại bộ định tuyến PE lối vào. Đối với lưu lượng vượt quá băng thông đã thoả thuận, nhà cung cấp có hai khả năng lựa chọn: hoặc là lại bỏ lưu lượng vượt quá này ngay lập tưc tại bộ định tuyến PE lối vào hoặc gửi đi nhưng đánh dấu nó khác với các lưu lượng nằm trong băng thông thoả thuận. Với lựa chọn thứ hai, để giảm việc truyền các thông tin không đúng thứ tự, cả lưu lượng nằm trong hoặc vượt khỏi hợp đồng đều được gửi theo cùng một LSP. Lưu lượng vượt hợp đồng sẽ được đánh dấu và nó sẽ loại bỏ gói tin trong trường hợp có tắc nghẽn. 6. 3. Xu hướng và cơ hội Khi triển khai công nghệ MPLS VPN, nhà cung cấp dịch vụ khi triển khai MPLS VPN có những cơ hội sau: Khách hàng mở rộng sử dụng và tăng thuận lợi bắng cách tăng lợi nhuận và mềm dẻo dịch vụ VPN trên IP và MPLS MPLS VPN giúp dịch vụ IP quản lý buôn bán trong bổ xung truy cập, tăng giới hạn thuận lợi Khả năng dịch vụ VPN khách hàng cho mỗi khách hàng kinh doanh, tăng sự khác biệt và bổ xung giá trị qua dịch vụ gói dữ liệu, video, voice, bảo mật mạng, truy cập không dây và tuỳ chọn khác Tăng lợi nhuận qua giảm giá cung cấp dịch vụ VPN và điều hành mạng, cũng như quản lý đơn giản hơn cho một mạng đơn Mềm dẻo thay đổi cấu trúc mạng nội để sử dụng tài nguyên hiệu quả. MPLS hỗ trợ mạng khả năng phân phối khách hàng riêng, dịch vụ yêu cầu KẾT LUẬN Sau một thời gian tìm hiểu về công nghệ chuyển mạch nhãn đa giao thức MPLS và tìm hiểu ứng dụng của MPLS VPN, sinh viên đã thu được những kết quả như sau: Hiểu được những khó khăn và tồn tại hiện có của các công nghệ chuyển mạch truyền thống và sự cần thiết phải ra đời công nghệ MPLS. Hiểu được kiến trúc một mạng MPLS, quá trình chuyển mạch nhãn, tạo nhãn. Các chế độ hoạt động khác nhau của MPLS. Các mode hoạt động khác nhau của MPLS, các ứng dụng của chuyển mạch nhãn đa giao thức, trong đó nổi bật là ứng dụng VPN trong MPLS Hiểu về công nghệ VPN, các giao thức dùng trong VPN, tìm hiểu về IPSec, các bước hoạt động của IPSec. Hiểu được về mô hình mạng MPLS VPN, mô hình MPLS VPN lớp 2 và MPLS VPN lớp 3, ưu điểm cũng như những tồn tại của chúng. Nắm bắt được vấn đề bảo mật trong MPLS VPN và chất lượng dịch vụ, những nguy cơ mà một mô hình MPLS VPN gặp phải. Cơ hội và xu hướng của nhà cung cấp dịch vụ khi triển khai MPLS VPN Nhận thấy, MPLS VPN là một công nghệ có nhiều ưu điểm và chắc chắn sẽ càng ngày có nhiều doanh nghiệp lựa chọn để triển khai, MPLS VPN sẽ có một thị trường rộng lớn. Tuy nhiên, đây là một đề tài lớn, đòi hỏi sự hiểu biết sâu rộng, cũng như thời gian tìm hiểu lâu dài. Do đó chắc chắn không tránh khỏi thiếu sót trong khuân khổ luận văn này, rất mong được sự góp ý từ phía các thầy cô và bạn bè. Xin chân thành cám ơn! TÀI LIỆU THAM KHẢO [1] – Cisco System, Inc – Advanced MPLS VPN Solution – 2000 [2] – Chuck Semeria – RFC 2547 bis: BGP/MPLS VPN Fundamentals – Jupiter Networks, Inc. [3] – Eric Osborne, Ajay Simha – Traffic Engineering with MPLS – Cisco Press, July 17, 2002. [4] – James Reagan – MPLS Study Guide - Sybex Press, 2002 [5] – Jim, Guichard, Ivan - MPLS and VPN Architectures – Cisco Press, 2000. [6] – Michael H.Behringer, Monique J. Morrow – MPLS VPN Security- Cisco Press, June 08 2005 [7] – Wey Luo – Layer 2 VPN Architecture – Cisco Press, March 10, 2005 MỤC LỤC