MỞ ĐẦU
Thế kỷ 20 được coi là thế kỷ của những phát minh quan trọng thúc đẩy xã hội phát
triển. Đi đầu trong cuộc cách mạng này không thể không kể tới những tiến bộ vượt bậc
áp dụng trong Thuế, Ngân hàng - một trong những thành phần kinh tế then chốt đáp
ứng các nhu cầu tài chính huyết mạch của nền kinh tế.
Ngày nay, khi mà càng có nhiều công ty kết nối mạng doanh nghiệp của mình với
Intemet, hay một công ty có nhiều trụ sở ở các vị trí địa lý khác nhau cần liên lạc
thông tin nội bộ ngành với nhau khi đó việc bảo mật thông tin ngành là điều bắt buộc
vì vậy phải đối mặt với một vấn đề không tránh khỏi đó là bảo mật thông tin. Viêc chia
sẻ thông tin trên một mạng công cộng cũng có nghĩa là những người muốn tìm kiếm,
khôi phục thông tin đều có thể lên mạng. Điều gì sẽ xảy ra nếu một người tiếp cận
thông tin lại có ý định phá mạng. Nhưng hacker có ý đồ xấu như nghe lén thông tin,
tiếp cận thông tin không chính đáng, trái phép, lừa bịp, sao chép thông tin . đang là
mối đe doạ lớn cho việc bảo mât trên mạng.
Vậy làm thế nào để chúng ta có thể bảo mật thông tin trong quá trình truyền tin
trên một mạng chung? Có rất nhiều phương án để đảm bảo truyền tin trên mạng một
cách an toàn một trong những phương án hữu hiệu nhất hiện nay là triển khai một
mạng riêng ảo (Virtual private network - VPN). VPN là những hệ thống mạng được
triển khai dựa trên quy tắc: vẫn áp dụng tiêu chuẩn bảo mật, quản lý chất lượng dịch
vụ trong hệ thống mạng công cộng vào hệ thống mạng cá nhân. VPN cung cấp cho
chúng ta một sự lựa chọn mới: Xây dựng một mạng cá nhân cho các thông tin liên lạc
klểu site- to- site trên một mạng công cộng hay Intemet. Bởi vì nó hoat động trên một
mạng chung thay vì một mạng cá nhân nên các công ty có thể mở rộng WAN của
mình môt cách hiệu quả, những khách hàng di động hay những văn phòng ở nơi xa
xôi, khách hàng hay nhà cung cấp hay những đối tác kinh doanh. VPN mở rộng WAN
truyền thống bằng cách thay thế những kết nối điểm tới điểm vật lý bằng những kết
nổi điểm tới điểm logic chia sẻ một hạ tầng chung, cho phép tất cả lưu lượng tổng hợp,
hội tụ vào một kết nối vât lý duy nhất. Kết quả là tạo nên băng thông tiềm năng và có
thể tiết kiệm chí phí tại đầu ra. Bởi vì khách hàng không còn phải duy trì một mạng cá
nhân và bản thân VPN cũng rẻ hơn và tiết kiệm chi phí đáng kể so với WAN, do đó
toàn bộ chi phí hoạt động vận hành có thể giảm. VPN chính là sự thay thế cho hạ tầng
WAN, nó thay thế và thậm chí còn tăng cường các hệ thống mạng thương mại cá nhân
sử dụng kênh thuê riêng, frame- relay hay ATM.
Luận văn “Mạng riêng ảo và giải pháp hệ thống trong Tổng Cục Thuế” đi vào
nghiên cứu về mạng riêng ảo, phân tích các loại mạng riêng ảo hiện nay và cho thấy
những mặt tích cực và hạn chế của từng loại, bên cạnh đó nghiên cứu một công nghệ
mới MPLS – công nghệ chuyển mạch nhãn đa giao thức – , Các ứng dụng của công
nghệ MPLS đi sâu vào nghiên cứu một trong ứng dụng quan trọng của công nghệ
MPLS chính là mạng riêng ảo. Trên cơ sở phân tích mang tính lý thuyết trên thì luận
văn cũng đưa ra giải pháp để ứng dụng công nghệ mới này vào hệ thống mạng thực tế
hiện nay ở Tổng cục thuế.
Về bố cục, nội dung luận văn được chia ra làm 3 chương:
Chương 1: Nghiên cứu tổng quan về mạng riêng ảo, các loại mạng riêng ảo hiện
nay.
Chương 2: Nghiên cứu về mạng riêng ảo trên nền công nghệ MPLS
Chương 3: Nghiên cứu về hệ thống mạng truyền thông hiện nay của Tổng cục thuế
trên cơ sở phân tích, khảo sát hiện trạng hệ thống mạng của Bộ tài chính và đưa ra các
giải pháp và mô hình thiết kế mới mang tính ứng dụng khả thi về kỹ thuật công nghệ
và kinh tế.
Chương 4: Kết luận và hướng phát triển
Ngoài ra, luận văn còn có thêm các danh mục các thuật ngữ, các từ viết tắt, danh
mục bảng biểu, hình vẽ và danh mục các tài liệu tham khảo để thuận tiện cho việc tìm
hiểu và tra cứu nội dung của luận văn.
MỤC LỤC
Trang phụ bìa
Lời cam đoan
Lời cảm ơn
Mục lục .1
Danh mục các thuật ngữ và các từ viết tắt 3
Danh mục hình vẽ 5
MỞ ĐẦU 7
CHƯƠNG 1 TỔNG QUAN VỀ MẠNG RIÊNG ẢO .9
1.1 Tổng quan 9
1.2 Khái niệm VPN .9
1.3 Khái niệm đường hầm .10
1.4 Phân loại VPN .10
1.4.1 Overlay VPN . 11
1.4.2 Site to site VPN ( Mô hình VPN ngang cấp) . 15
1.5 Kết luận .21
CHƯƠNG 2 MẠNG RIÊNG ẢO TRÊN NỀN CÔNG NGHỆ MPLS 22
2.1 Vấn đề đặt ra? 22
- Tính khả chuyển .22
- Điều khiển lưu lượng 23
- Chất lượng của dịch vụ (QoS) .23
2.2 Chuyển mạch nhãn đa giao thức là gì? .25
2.2.1 Khái niệm . 25
2.2.2 Đặc điểm mạng MPLS . 25
2.2.3 Một số khái niệm cơ bản trong kiến trúc MPLS . 26
2.2.4 Phương thức hoạt động của công nghệ MPLS 29
2.2.5 Chuyển tiếp gói MPLS và đường chuyển mạch nhãn . 33
2.3 Kết luận .39
CHƯƠNG 3 ỨNG DỤNG MPLS IP VPN VÀO HỆ THỐNG MẠNG NGÀNH
VÀ GIẢI PHÁP HỆ THỐNG 41
3.1 Bối cảnh chung 41
3.2 Đánh giá ưu nhược điểm của hệ thống cơ sở hạ tầng hiện tại 44 2
3.2.1 Mô hình kết nối WAN và những vấn đề đặt ra? 44
3.2.2 Mô hình kết nối Internet và những vấn đề nảy sinh 46
3.3 Giải pháp MPLS IP VPN để nâng cao an ninh cho hệ thống mạng TCT.51
3.3.1 Đề xuất cải tiến để đảm bảo tính dự phòng và an ninh cho hệ thống51
3.3.2 Giải pháp thiết kế hệ thống 54
3.3.3 Đánh giá về hệ thống đảm bảo an ninh . 68
3.3.4 Hoạt động thử nghiệm . 75
3.4 Kết luận .76
CHƯƠNG 4 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN .78
TÀI LIỆU THAM KHẢO 79
DANH MỤC HÌNH VẼ
Hình 1.2 Over lay VPN triển khai ở lớp 2 12
Hình 1.3 Mô hình Overlay VPN triển khai ở lớp 3 13
Hình 1.4 Mô hình triển khai dưới dạng đường hầm .14
Hình 1.5 Mô hình Overlay VPN 14
Hình 1.6 Mô hình site to site VPN 16
Hình 1.7 Mô hình VPN ngang cấp sử dụng router dùng chung 17
Hình 1.8 Mô hình VPN ngang cấp với router dùng chung .18
Hình 1.9 Mô hình VPN ngang cấp sử dụng router dành riêng 19
Hình 1.10 Mô hình router dành riêng 20
Hình 2.1 Full mesh với 6 kết nối ảo .23
Hình 2.2 Một ví dụ về mạng IP dựa trên mạng lõi ATM .24
Hình 2.3 Nhãn kiểu khung 26
Hình 2.4 Nhãn kiểu tế bào 27
Hình 2.5 Cấu trúc cơ bản của một nút MPLS 30
Hình 2.6 Các FEC riêng biệt cho mỗi tiền tố địa chỉ .32
Hình 2.7 Tổng hợp các FEC .32
Hình 2.8 Sự tạo nhãn MPLS và chuyển tiếp 33
Hình 2.9 Các ứng dụng khác nhau của MPLS .34
Hình 2.10 Mô hình mạng MPLS 37
Hình 3.1 Hạ tầng mạng BTC 42
Hình 3.2 Mô hình Overlay layer – 2 – VPN tại mạng trục 44
Hình 3.3 Mô hình Peer – to – Peer VPN tại TTM, TTT 45
Hình 3.4 Mô hình kết nối Internet BTC .47
Hình 3.5 Kết nối mạng diện rộng hệ thống Thuế .49
Hình 3.6 Dòng dữ liệu ngành Thuế 50
Hình 3.7 Kiến trúc hệ thống truyền thông BTC .51
Hình 3.8 Sơ đồ kết nối mạng trục BTC 52
Hình 3.9 Các kết nối WAN giữa hai trung tâm miền .53
Hình 3.10 Sơ đồ hệ thống mạng phân bố từ TTM xuống các TTT 54
Hình 3.11 Cấu trúc mạng trục với WAN truyền thống và MPLS VPN .55
Hình 3.12 Mô hình kết nối sử dụng dịch vụ MPLS IP VPN 55
Hình 3.13 Khả năng định tuyến gói tin trong MPLS IP VPN 56
Hình 3.14 Mô hình các vùng MPLS IP VPN sẽ thuê của nhà cung cấp dịch vụ .56
Hình 3.15 Mô hình kết nối sử dụng IP Sec VPN thông qua Internet .57 6
Hình 3.16 Lớp mạng trục BTC .58
Hình 3.17 Kết nối từ TTT lên TTM .59
Hình 3.18 Lớp mạng phân phối Bộ tài chính .60
Hình 3.19 Các phân lớp mạng 61
Hình 3.20 Virtual Interface với GRE Encapsulation thông qua mạng MPLS VPN
công cộng .62
Hình 3.21 Các kết nối GRE trên hệ thống 63
Hình 3.22 Mạng trung ương các ngành truy cập vào mạng WAN BTC 64
Hình 3.23 Lớp truy cập của các đơn vị vào mạng WAN bộ tài chính .65
Hình 3.24 Sử dụng 02 Router kết nối cho các đơn vị có yêu cầu tính dự phòng rất cao
.65
Hình 3.25 Truy cập IPSec VPN tới MPLS VPN bộ tài chính thông qua Internet .66
Hình 3.26 Mô hình khai báo Thuế On-line 68
Hình 3.27 Kiến trúc bảo mật đề xuất 69
Hình 3.28 Mã hoá đường truyền Leased – lines giữa TTT - TTM 70
Hình 3.29 Mô hình phân tách các lớp mạng, đảm bảo an ninh cho các đơn vị .71
Hình 3.30 An ninh vòng ngoài .73
Hình 3.31 Bảo vệ các hệ thống ứng dụng 74
Hình 3.32 Mô hình thử nghiệm 75
81 trang |
Chia sẻ: lvcdongnoi | Lượt xem: 3013 | Lượt tải: 3
Bạn đang xem trước 20 trang tài liệu Mạng riêng ảo và giải pháp hệ thống trong Tổng cục Thuế, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
hi một site đã được cấu hình xong, ta không cần
đụng chạm đến nó nữa cho dù nếu muốn thêm một site mới vào mạng vì những thay
đổi về cấu hình lúc này chỉ cần thực hiện tại PE mà nó nối tới.
Vấn đề bảo mật thậm chí còn đơn giản hơn nhiều khi triển khai trong các mạng
MPLS VPN vì một VPN khép kín bản thân nó đã đạt được sự an toàn thông tin do
không có kết nối với mạng Internet công cộng. Nếu có nhu cầu truy nhập Internet, một
tuyến sẽ được thiết lập để cung cấp khả năng truy nhập. Lúc này, một firewall sẽ được
sử dụng trên tuyến này để đảm bảo một kết nối bảo mật cho toàn bộ mạng VPN. Cơ
chế hoạt động này rõ ràng dễ dàng hơn nhiều cho hoạt động quản lý mạng vì chỉ cần
duy trì các chính sách bảo mật cho một firewall duy nhất mà vẫn đảm bảo an toàn cho
toàn bộ VPN
Một ưu điểm nữa của các mạng MPLS VPN là chỉ cần một kết nối duy nhất cho
mỗi remote site. So sánh với mạng Frame Relay truyền thống có 1 nút trung tâm và 10
remote site (mỗi một remote site sẽ cần một Frame Relay PVC) thì tại nút trung tâm
(hub) sẽ cần 10 PVCs. Trong khi bên trong một mạng MPLS VPN chỉ cần duy nhất
một PVC tại vị trí hub trung tâm nên chi phí mạng sẽ giảm đáng kể.
2.3 Kết luận
Như vậy có thể nói VPN là một trong những ứng dụng quan trọng nhất của
MPLS. Kỹ thuật MPLS VPN đưa ra một thay đổi cơ bản trong công nghệ VPN đó là
sử dụng khái niệm Virtual Router thay cho Dedicated Router và Shared Router. Từ
40
việc phân tích phương thức hoạt động của MPLS VPN ta thấy nó có nhiều ưu điểm
hơn so với các dịch vụ VPN truyền thống:
Riêng biệt và bảo mật: MPLS VPN giữ các thông tin định tuyến riêng biệt cho
mỗi VPN, đảm bảo người dùng chỉ có thể liên lạc được với các địa chỉ đã được lập sẵn
cho VPN của mình.
Độc lập với khách hàng: MPLS VPN có cách đánh địa chỉ (gán nhãn trong
mạng MPLS) hết sức linh hoạt, người dùng có thể sử dụng bất cứ dải địa chỉ nào (kể
cả các địa chỉ kiểm tra hoặc các địa chỉ không được đăng ký) hoặc có thể sử sụng NAT
(Network Address Translation). Mặt khác, người dùng còn có thể sử dụng các dải địa
chỉ trùng hoặc giống nhau. Một điểm nổi bật khác là mạng của người dùng không yêu
cầu các thiết bị hỗ trợ MPLS, các thiết bị đắt tiền như VPN Router với IP Sec hoặc bất
cứ yêu cầu đặc biệt nào khác ngoài IP.
Linh hoạt và khả năng phát triển: Với các dịch vụ VPN dựa trên IP, số lượng
router trên mạng tăng nhanh chóng theo số lượng các VPN. VPN sẽ phải chứa các
bảng định tuyến ngày một lớn. MPLS VPN sử dụng một tập các BGP (Border
Gateway Protocol) ngang hàng giữa các LSR cạnh (Edge LSR), cho phép số lượng
VPN không hạn chế và hỗ trợ nhiều dạng VPN, dễ dàng tạo thêm các VPN hoặc site
mới (chỉ cần thực hiện tại router của site mới).
Như vậy MPLS là một trong những giải pháp mạng đường trục cho mạng thế
hệ mới, hiện xu hướng phát triển của MPLS là ATOM (Any traffic Over MPLS),
nghĩa là có khả năng đáp ứng bất cứ loại dịch vụ nào: thoại, video, fax, data... MPLS
VPN sẽ là một thị trường đầy tiềm năng và hứa hẹn mang lại nhiều lợi ích cho cả
người dùng và nhà cung cấp dịch vụ viễn thông.
Ngày nay, tuy VPN vẫn đang còn là một công nghệ mới mẻ ở Việt nam, nhưng
việc đầu tư nghiên cứu để chọn giải pháp tối ưu cũng là điều nên làm đối với các nhà
cung cấp dịch vụ mạng./.
41
CHƯƠNG 3 ỨNG DỤNG MPLS IP VPN VÀO HỆ THỐNG MẠNG
NGÀNH VÀ GIẢI PHÁP HỆ THỐNG
Tổng quan hệ thống mạng ngành thuế
Đánh giá ưu nhược điểm của hệ thống cơ sở hạ tầng hiện tại
Giải pháp MPLS IP VPN để nâng cao an ninh mạng cho ngành Thuế
Các đề xuất cải tiến hệ thống
Thiết kế hệ thống cải tiến
Đánh giá về hệ thống đảm bảo an ninh
Tổng quan hệ thống mạng ngành Thuế
3.1 Bối cảnh chung
Hệ thống mạng ngành Thuế nằm trong hệ thống mạng của ngành tài chính.
Ngành Tài chính bắt đầu tiến hành xây dựng hệ thống hạ tầng truyền thông thống nhất
từ năm 1999. Cho đến nay, Ngành Tài Chính đã thu được các thành quả đáng kể như:
Về mặt kết nối: Đã xây dựng Trung tâm Miền Bắc và Nam, kết nối tới các đơn vị cấp
TW như TCT, KBNN, TCHQ, Cục DTQG, Cục QLG, UBCK, Học viện Tài chính,
đồng thời kết nối tới 64 Trung Tâm Tỉnh. Đã xây dựng 64 TTT và kết nối từ TTT tới
các đơn vị Thuế, Kho Bạc và Tài chính của tỉnh, thành phố. Đã triển khai tới cấp
huyện của 3 tỉnh Hà Nội, TpHCM và Hải Phòng. Với hệ thống như vậy đã bước đầu
đáp ứng được yêu cầu của ngành Thuế: Trao đổi mã số thuế, quản lý thuế, trao đổi
thông tin hệ thống,...
Tuy nhiên, kể từ khi có thiết kế hệ thống đầu tiên vào năm 1999 đến nay, đã có
sự phát triển rất nhanh của lĩnh vực công nghệ thông tin trên thế giới và Việt nam, kèm
theo sự ra đời của nhiều loại hình dịch vụ công cộng dựa trên các công nghệ mới. Do
đó, vấn đề đặt ra là cần phải có các phân tích xem xét mức độ phù hợp với các yêu cầu
mới của các thiết kế trước đây và hạ tầng truyền thông hiện tại, qua đó xây dựng cập
nhật hệ thống hạ tầng mới phục vụ cho các nhu cầu cấp bách ngay hiện tại và trong
tương lai xa hơn.
Tổng quan hệ thống mạng hiện tại ngành Thuế
TCT dùng chung hạ tầng mạng của BTC, thông qua việc chia sẻ kinh phí / dịch
vụ với Cục Tin học và Thống kê Tài chính của BTC.
42
Hình 3.1 Hạ tầng mạng BTC
BTC duy trì hạ tầng mạng cho tất cả các đơn vị trực thuộc, bao gồm Tổng cục
Thuế, Tổng cục Hải Quan, Kho Bạc... tại cấp trung ương, cấp tỉnh và cấp huyện. Mỗi
đơn vị trực thuộc được cấp phát một lượng băng thông nhất định từ hạ tầng truyền
thông chung. Công nghệ VPN được dùng để phân chia logic các mạng của các đơn vị
thành viên. Mạng diện rộng của BTC bao gồm hai trung tâm miền, hoạt động như là
đầu kết nối cho miền Bắc và miền Nam. Các tỉnh miền Bắc kết nối thông qua Trung
tâm miền Bắc, các tỉnh miền Nam kết nối qua trung tâm miền Nam. Tổng băng thông
của mạng xưong sống Bắc Nam năm 2007 là 32Mbps
Bởi vì băng thông của mạng xương sống được chia sẻ bới nhiều đơn vị của
BTC, TCT nên có thoả thuận chất lượng dịch vụ với BTC về chất lượng và các cam
kết đảm bảo dịch vụ mạng mà BTC cung cấp cho TCT, điều này hiện chưa có. Chất
lượng dịch vụ mạng mà BTC cung cấp hiện tại được đánh giá là chưa thực sự ổn định
như TCT mong muốn. Hiện tại chưa có sự hỗ trợ 24/7.
Hiện tại TCT kết nối trực tiếp tới trung tâm miền Bắc, văn phòng B tại TPHCM
nối trực tiếp tới trung tâm miền Nam. Các chi cục Thuế kết nối lên Trung tâm tỉnh và
từ Trung tâm tỉnh kết nối tới các Trung tâm miền. Các kết nối này là các đường
truyền cáp quang, đường thuê bao và các đường truyền dự phòng sử dụng công nghệ
MPLS
Các cục thuế đều có hạ tầng mạng giống nhau như hình vẽ phía dưới. Hệ thống
mạng của Cục thuế các Tỉnh sẽ được quy hoạch và tổ chức thành các vùng riêng biệt
với chức năng và nhiệm vụ cụ thể. Các vùng được kết nối với nhau thông qua firewall,
các luật thiết lập trên firewall đảm bảo khả năng truyền tải dữ liệu từ mạng bên ngoài
43
tới mạng bên trong và ngược lại, đồng thời ngăn chặn được các xâm nhập bất hợp
pháp tới các vùng dữ liệu quan trọng.
Kết nối Internet thông qua đường ADSL. Các truy cập không dây cũng được
bảo vệ nghiêm ngặt bởi giải pháp an ninh của Cisco.
Hình 3.1 Hệ thống mạng logic tại Cục Thuế
TCT đang vận hành hệ thống theo dõi cho phép TCT có thể giám sát, và nhận
được cảnh báo về hoạt động không bình thường của tất cả các máy chủ trong mạng và
tình trạng băng thông mạng tại cục thuế, chi cục thuế.
TCT có chính sách duy trì chức năng và cấu hình cho các máy chủ tại các cục
Thuế. Theo đó các cục thuế có số lượng máy chủ giống nhau cùng thực hiện chức
năng mà TCT đã quy định. Chính sách này giúp việc hỗ trợ và duy trì từ TCT, nhưng
không giải quyết vấn đề thực tế là tải của các máy chủ không giống nhau ở các cục
Thuế. (ví dụ tại các cục thuế lớn thì số lượng người dùng truy cập vào máy chủ nhiều
hơn và tần suất truy cập cao hơn so với các cục thuế nhỏ.)
Các máy chủ, đặc biệt là máy chủ cấp cục thuế và chi cục thuế thường không
đáp ứng đủ. Một máy chủ thường phải dùng cho nhiều mục đích. Khó có thể đánh giá
44
và đạt được hiệu năng tối đa của một hệ thống với tài nguyên máy chủ chia sẻ như
vậy.
3.2 Đánh giá ưu nhược điểm của hệ thống cơ sở hạ tầng hiện tại
3.2.1 Mô hình kết nối WAN và những vấn đề đặt ra?
Quan điểm thiết kế ban đầu cho việc sử dụng frame-relay riêng cho mạng WAN
Bộ tài chính là xây dựng 1 cơ sở hạ tầng cung cấp dịch vụ kết nối frame-relay theo mô
hình nhà cung cấp dịch vụ cho các ngành như Tổng cục thuế, KBNN, ... dùng chung 1
kênh thuê công cộng để giảm chi phí cũng như tập trung quản lý ngành. Tuy nhiên,
trong thiết kế cũng như triển khai thực tế thì lại không có sự nhất quán về việc cung
cấp loại hình kết nối đối với các ngành thành viên TCT, KBNN, ...., các mạng này
được kết nối tới mạng WAN Bộ thông qua :
+ Kết nối phân lớp Frame-relay & IP ở mức TT miền, mạng trục
+ Kết nối phân lớp IP ở mức TT tỉnh.
Như vậy, mô hình kết nối sử dụng là sự trộn lẫn giữa 2 mô hình VPN như hình
dưới đây:
Hình 3.2 Mô hình Overlay layer – 2 – VPN tại mạng trục
45
Hình 3.3 Mô hình Peer – to – Peer VPN tại TTM, TTT
Theo đó, tại mạng trục , với mô hình Overlay Layer-2 VPN được áp dụng trên
phần mạng trục tại cấp trung ương & mạng Backbone. Được thực hiện bởi các thiết bị
Cisco IGX, cung cấp kết nối L2 Frame-relay cho các đơn vị cấp trung ương. Các
nhược điểm chính của mô hình này:
Số lượng PVC cần phải tạo nhiều: n(n-1)/2 , khi số lượng site kết nối tăng lên,
số lượng PVC cần tạo ra sẽ lớn, khó khăn trong việc triển khai, quản lý, & giám sát.
Để hệ thống có khả năng định tuyến linh hoạt, cần sử dụng phương thức định
tuyến động. Tuy nhiên trong mô hình kết nối này, các updates của các giao thức định
tuyến IGP sẽ chiếm nhiều băng thông do có nhiều PVC. Ngoài ra, việc có nhiều PVC
dẫn tới việc quản lý, cấu hình, giám sát các giao thức định tuyến IGP cũng phức tạp.
Trong khi đó, từ TTM trở xuống các đơn vị cấp tỉnh, huyện, mô hình mạng sử
dụng lại là peer-to-peer shared-router. Được thực hiện bởi việc dùng chung router cấp
TTM, cấp TTT kết nối tới các ngành trực thuộc. Các nhược điểm chính của mô hình
này:
Lưu lượng của các ngành khác nhau đều được truyền dưới dạng IP trên cùng cơ
sở hạ tầng mạng WAN BTC, điều này có thể gây nên các khe hở về bảo mật, đặc biệt
trong trường hợp có cả các lưu lượng từ bên ngoài như Internet, phân hệ mạng truy
cập công cộng, ...
Việc phân chia địa chỉ IP giữa các ngành trực thuộc không thể độc lập với nhau,
toàn bộ BTC và các ngành trực thuộc chia sẻ dải địa chỉ 10.x.x.x.
Việc tách biệt hệ thống mạng của các ngành trực thuộc khi kết nối vào mạng
WAN BTC, nhằm mục đích đảm bảo cho các ngành có sự độc lập nhất định được dựa
theo các Access-Control-List rất phức tạp.
Dải địa chỉ IP được dùng chung cho Bộ tài chính và các ngành trực thuộc, kết
nối IP để trao đổi số liệu giữa các đơn vị, do đó tổng thể toàn bộ hệ thống truyền thông
46
Bộ tài chính thực tế lại đi theo mô hình doanh nghiệp với dịch vụ truy cập "toàn IP",
không có sự phân tách tại phân lớp dưới là frame-relay ý tưởng khi như khi đưa hệ
thống Cisco IGX vào để phân tách các mạng ngành dọc ra thành từng mạng ảo riêng.
Do đó, cần phải giải quyết các vấn đề về mô hình kết nối trên hệ thống mạng
WAN BTC nêu trên: Các nhược điểm Mô hình peer-to-peer dùng chung router cấp
TTM, TTT.
Toàn bộ các kết nối WAN của BTC đều sử dụng các công nghệ kết nối truyền
thống (các công nghệ như TDM, Frame-relay, X.25, ATM được gọi là công nghệ
truyền thống), trong đó chủ yếu sử dụng TDM ( các đường leased-lines của VNPT ).
Việc sử dụng các kết nối leased-lines có ưu điểm là dịch vụ lâu đời, sẵn có nhất của
nhà cung cấp dịch vụ tại Việt nam hiện nay. Tuy nhiên, với chi phí thuê kênh hàng
tháng cao, việc tăng băng thông kênh thuê lên cao để đáp ứng các nhu cầu sử dụng đa
dịch vụ hiện tại và tương lai là không khả thi đối với những hệ thống mạng lớn, nhiều
ngừoi sử dụng nhu hệ thống của Bộ tài chính.
3.2.2 Mô hình kết nối Internet và những vấn đề nảy sinh
Các thiết kế bổ sung sau không đưa ra giải pháp chi tiết hoàn chỉnh với các
chính sách về an toàn, bảo mật. Một trong những lý do chính là các kết nối WAN có
tốc độ thấp, do đó không thể cung cấp cổng kết nối internet tập trung.
Kết nối Internet được thiết lập theo nhu cầu phát sinh tùy thuộc các ngành, đơn
vị, không có một chính sách chung, điều này dẫn tới các lỗ hổng tiềm tàng về bảo mật.
47
Error!
Hình 3.4 Mô hình kết nối Internet BTC
Các Internet Gateway được các ngành phân bố tùy ý ở mức trung ương, cấp
tỉnh, cấp huyện thông qua các kết nối Leased-lines, ADSL, dialup. Trong khi đó, các
biện pháp đảm bảo an ninh hệ thống chỉ là Access-Control-List trên các Routers, NAT
trên các thiết bị kết nối Internet, hầu hết không có các thiết bị bảo vệ khác như IDS,
IPS, Virus-scan, URL-filtering, ...
Truy cập Internet cho trung tâm BTC, các ngành TCT, KBNN, Hải quan,...
được cung cấp riêng biệt, không có một chính sách, quy định chung bắt buộc về 1 hệ
thống kết nối Internet. Các truy cập Internet tại trung ương, Trung tâm Tỉnh hiện sử
dụng thông qua Proxy-Server, các truy cập tại địa phương đi thẳng ra Internet mà
không hề sử dụng các Server scan virus.
Phương pháp kết nối hiện tại tiết kiệm được băng thông kết nối WAN, tuy
nhiên an ninh hệ thống không được đảm bảo.
Từ những tìm hiểu phân tích trên ta thấy hệ thống an ninh hiện tại tồn tại hàng
loạt các vấn đề cần giải quyết
Phân lớp truy cập LAN: không có biện pháp an ninh cho phép những thiết bị
cụ thể được phép kết nối vào mạng LAN. Trên thực tế, > 70% các tấn công là xảy ra từ
bên trong. (Ví dụ: hoàn toàn có thể gắn một máy tính vào mạng LAN với phần mềm
monitor trên switched-LAN, qua đó giám sát tất cả các số liệu trao đổi trên hệ thống
LAN)
48
Các kết nối WAN, cáp đồng sử dụng HDSL: hiện tại không có các thiết bị mã
hóa đường truyền trên các kết nối WAN, cáp đồng sử dụng HDSL. Hoàn toàn có thể
gắn các thiết bị nghe trộm vào các đường truyền số liệu này, qua đó giám sát được tất
cả các số liệu trao đổi trên kết nối WAN, cáp đồng sử dụng HDLC)
Thiết bị Firewall: Hiện chỉ có một Checkpoint Firewall trên hệ điều hành MS
Windows. Có những lỗ hổng tiềm tàng tại phân lớp OS, đặc biệt là với Hệ điều hành
thông dụng và cũng nhiều lỗi như MS Windows.
Access-Control-List: được sử dụng như là một biện pháp an ninh trên các Cisco
Router, ACL chỉ bảo vệ ở phân lớp 3,4, do đó không đủ tính linh hoạt cũng như khả
năng xử lý thông tin ở các phân lớp cao hơn. Các ACL được sử dụng như là firewall
ngăn cách hệ thống mạng BTC với các ngành khác như TCT, KBNN, ...
Các truy cập Internet: trừ trung tâm BTC có firewall là Checkpoint trên nền MS
Windows và Proxy Server với Virus scan, các sở TC kết nối Internet qua dial-up trực
tiếp từ máy tính. Như vậy toàn bộ mạng của BTC chỉ được bảo vệ bởi ACL trên các
Router, NAT, Checkpoint Firewall trên nền MS Windows. Ngoài ra, trên hệ thống
không có các thiết bị bảo vệ khác như: IDS, IPS, Transparent Network Virus-scan,
URL-filtering.
Không có quy định, chính sách bắt buộc tổng thể đối với hệ thống Internet
gateway cho các ngành khác như TCT, KBNN, Hải quan,.... Trong khi các hệ thống
mạng các ngành này đều bám vào mạng WAN của BTC với kết nối IP đan xen nhau từ
cấp trung ương đến cấp tỉnh, nếu hệ thống mạng các ngành này bị tấn công sẽ đe dọa
đến hệ thống mạng của BTC, nhất là khi việc bảo vệ của BTC với các tấn công xuất
phát từ các ngành TCT, KBNN, ... chỉ là các ACL thông thường được triển khai rất
hạn chế trên Cisco Routers TTT, TTM.
Bên cạnh những vấn đề về an ninh còn xuất hiện các vấn đề về chất lượng dịch
vụ:
Chính do không có một chính sách cũng như kế hoạch về QoS rõ ràng cho toàn
bộ hệ thống mạng Bộ tài chính mà các cấu hình QoS được thực hiện trên các kết nối
WAN một cách thụ động theo nhu cầu phát sinh trên từng kết nối. Cơ chế QoS sử
dụng chỉ là WFQ, chỉ phân chia băng thông đều cho các ứng dụng chứ không có khả
năng đảm bảo băng thông, độ trễ cho các ứng dụng khi xảy ra tắc nghẽn, cũng như
không có khả năng giới hạn băng thông tối đa cho 1 ứng dụng cụ thể nào.
Các thực tế này dẫn đến việc đảm bảo QoS "end-to-end" đối với các loại hình
dịch vụ khác nhau không nhất quán, dẫn đến chất lượng không ổn định.
Hiện trạng kết nối WAN hệ thống thuế
49
Hệ thống mạng nghành Thuế nằm trong hệ thống mạng của BTC nên ngoài các
vấn đề chung của hệ thống mạng tổng TCT còn vướng mắc phải một vài vấn đề khi
thực hiện các công việc mang tính đặc thù nghành:
Hình vẽ dưới đây mô tả kết nối mạng hệ thống thuế trên hệ thống mạng WAN
BTC
Error!
Hình 3.5 Kết nối mạng diện rộng hệ thống Thuế
Mục đích yêu cầu của hệ thống mạng ngành Thuế là:
Trao đổi mã số thuế
Quản lý thuế
Trao đổi thông tin hệ thống: email, ftp, update virus, hỗ trợ từ xa về ứng dụng,
xử lý sự cố, chỉnh sửa web
Portal tại tổng cục
Quản lý thu nhập cá nhân
Khi thực hiện các yêu cầu nghiệp vụ vấn đề chính đối với hệ thống mạng ngành
Thuế khi sử dụng kết nối WAN BTC là băng thông thấp, chất lượng dịch vụ kém dẫn
đến các khó khăn trong việc sử dụng.các loại hình dịch vụ mới. Việc kết nối từ các
50
Cục thuế tỉnh và chi cục thuế tỉnh lên các đơn vị bên trên, tổng cục thuế dữ liệu đi lòng
vòng không tối ưu nên khả năng bị hỏng, lỗi đường truyền lớn, thời gian khắc phục lỗi
khá lâu do chưa có đội ngũ quản lý mạng chuyên nghiệp và phụ thuộc nhiều vào BTC.
Dữ liệu ngành Thuế được xử lý tập trung tại Cục Thuế Tỉnh và cấp Tổng cục,
trong đó 80% số liệu được xử lý cấp tỉnh, 20% sẽ được chuyển tiếp xử lý tại cấp tổng
cục. Yêu cầu về an toàn thông tin, về khả năng dự phòng tại các Cục thuế, Tổng cục
thuế là cao, không cho phép gián đoạn thông tin. Cơ chế dial-up backup hiện tại cho
Cục thuế Tỉnh không đáp ứng được nhu cầu ứng dụng ngành Thuế. Không có trao đổi
trực tiếp giữa các Chi cục Thuế với nhau, giữa các Cục thuế với nhau. Tất cả đều phải
thông qua xử lý tại Cục thuế, Tổng cục thuế.
Hình 3.6 Dòng dữ liệu ngành Thuế
Tóm lại : Đối với hệ thống mạng hiện tại còn rất nhiều vấn đề cần khắc phục
đặc biệt về phía an ninh hệ thống
Kết nối WAN có băng thông thấp, với giá thuê đường truyền cao đối với dịch
vụ truyền thống TDM, Frame-relay khiến cho việc tăng băng thông kết nối WAN khó
khăn. Kết quả là tắc nghẽn xảy ra thường xuyên trên các kết nối WAN.
Truy cập Internet: không có thiết kế tổng thể cho toàn bộ hệ thống, không có
các chính sách, quy định bắt buộc cho các điểm kết nối ra Internet trên toàn bộ hệ
thống
51
An toàn bảo mật hệ thống: không có chính sách tổng thể về an toàn bảo mật hệ
thống do đó tồn tại hàng loạt các lỗ hỏng tiềm tàng về anh ninh hệ thống. Không triển
khai các cơ chế mã hóa gói tin trên đường truyền WAN, cáp đồng sử dụng HDSL.
Chất lượng dich vụ ( QoS) thấp, không có chính sách chung cho việc đảm bảo
QoS end-to-end.
Chưa có một hệ thống quản lý tập trung cho toàn bộ hạ tầng truyền thông, hiện
tại chỉ sử dụng một vài công cụ quản lý mang tính đơn lẻ.
3.3 Giải pháp MPLS IP VPN để nâng cao an ninh cho hệ thống mạng TCT
Dưới đây là sơ đồ tổng thể cho hệ thống hạ tầng truyền thông Bộ tài chính. Mô
tả chi tiết từng phân hệ được trình bày trong các phần dưới đây.
(Hình vẽ cụ thể trang cuối)
3.3.1 Đề xuất cải tiến để đảm bảo tính dự phòng và an ninh cho hệ thống
Thiết kế hệ thống truyền thông Bộ tài chính bao gồm cấu trúc khối theo như
hình vẽ dưới đây:
Hình 3.7 Kiến trúc hệ thống truyền thông BTC
Và mô hình kết nối mạng trục Bộ tài chính được đề xuất như hình vẽ dưới đây,
trong đó sẽ xây dựng thêm trung tâm miền Trung, tạo nên tam giác mạng trục dự
phòng. Ví dụ, khi kết nối giữa 2 miền Nam-Bắc bị gián đoạn, lưu lượng sẽ được định
52
tuyến chạy vòng qua miền Trung, việc định tuyến này được thực hiện hoàn toàn tự
động
Error!
Hình 3.8 Sơ đồ kết nối mạng trục BTC
Ngoài việc dự phòng bằng việc xây dựng thêm một trung tâm miền Trung, kết
nối WAN giữa 2 miền còn được đảm bảo bằng 3 kết nối khác nhau, hoạt động dự
phòng, phân tải lẫn nhau ( xem hình vẽ dưới đây)
Kết nối chính, có băng thông lớn nhất là kết nối MPLS IP VPN.
Kết nối thứ hai là kết nối truyền thống TDM, frame-relay, hoặc có thể là ATM (
nếu có trong tương lai). Do giá thành cao, kết nối truyền thống này sẽ được duy trì ở
mức thấp nhất, tạo kết nối dự phòng, phân tải cho kết nối chính là MPLS IP VPN.
Kết nối thứ ba là IPSec VPN, tận dụng cổng ra Internet sẵn có ở 3 trung tâm
miền Bắc, trung, Nam. Kết nối này cũng chỉ mang tính dự phòng, phân tải cho kết nối
chính MPLS IP VPN. Do chất lượng dịch vụ khi truyền qua Internet không được đảm
bảo, do đó kết nối này không nên sử dụng cho các ứng dụng như thoại, video-
conference.
Ở chế độ hoạt động bình thường, các lưu lượng của các loại hình ứng dụng
khác nhau sẽ được thiết lập chạy trên các kết nối cụ thể trong 3 kết nối MPLS IP VPN,
IPSec VPN, và kết nối truyền thống nói trên, trong trường hợp một trong 3 kết nối bị
đứt, lưu lượng ứng dụng sẽ được định tuyến chuyển sang 2 kết nối còn lại, hoặc có thể
đi vòng qua trung tâm miền thứ 3. Tất cả việc định tuyến này được thực hiện thông
qua các giao thức định tuyến động.
53
Hình 3.9 Các kết nối WAN giữa hai trung tâm miền
Các kết nối từ trung tâm miền xuống các trung tâm tỉnh cũng được dự phòng,
chia tải thông qua việc sử dụng 2 kết nối song song, kết nối chính có băng thông lớn là
MPLS IP VPN, kết nối phụ là các dịch vụ truyền thống TDM, Frame-relay, và có thể
la ATM nếu có trong tương lai. ( xem hình vẽ dưới đây)
Tại TTM, TTT, hệ thống Access-Server phục vụ truy cập từ xa qua dial-up,
backup cũng được thiết kế dự phòng.
54
Hình 3.10 Sơ đồ hệ thống mạng phân bố từ TTM xuống các TTT
3.3.2 Giải pháp thiết kế hệ thống
3.3.2.1 Kết nối Wan
Như đã trình bày ở trên, các công nghệ mới sẽ được sử dụng cho kết nối WAN
ở cấp trung ương và cấp tỉnh bổ sung cho kết nối truyền thống là: MPLS IP VPN hiện
tại cung cấp bởi VTN và CPT và có thể một số nhà cung cấp dịch vụ khác nữa trong
tương lai. Kết nối truyền thống như Leased-lines, Frame-relay sẽ chỉ được duy trì ở
mức độ thấp nhất mang tính chất dự phòng, phân tải và những nơi chưa thể sử dụng
được các dịch vụ mới.
55
Hình 3.11 Cấu trúc mạng trục với WAN truyền thống và MPLS VPN
Khi sử dụng kết nối MPLS VPN của nhà cung cấp dịch vụ, mô hình kết nối
WAN sẽ như hình vẽ dưới đây:
Hình 3.12 Mô hình kết nối sử dụng dịch vụ MPLS IP VPN
Hình vẽ dưới đây mô tả khả năng khác biệt giữa đường đi của gói tin giữa dịch
vụ MPLS IP VPN và các dịch vụ truyền thống TDM, frame-relay. Cụ thể, gói tin đi từ
trung tâm tỉnh thuộc khu vực phía Bắc tới trung tâm tỉnh thuộc khu vực phía nam sẽ
không cần phải đi qua các trung tâm miền mà có thể đi thẳng trên hệ thống hạ tầng của
nhà cung cấp dịch vụ. Tương tự, gói tin giữa 2 trung tâm tỉnh của cùng một miền sẽ
không phải đi qua trung tâm Miền.
56
Hình 3.13 Khả năng định tuyến gói tin trong MPLS IP VPN
Sự khác biệt này khiến cho tải trên router tại trung tâm miền sẽ giảm đi. Tuy
nhiên, để không phá vỡ tính cấu trúc phân cấp của hệ thống toàn bộ hệ thống sẽ sử
dụng các VPN khác nhau cho các vùng mạng khác nhau:
VPN cho vùng mạng trục nối 3 miền Bắc, Trung, Nam
VPN cho vùng mạng phân phối từ TTM xuống cấp tỉnh miền Bắc
VPN cho vùng mạng phân phối từ TTM xuống cấp tỉnh miền Trung
VPN cho vùng mạng phân phối từ TTM xuống cấp tỉnh miền Nam
VPN cho vùng mạng phân phối từ TTT tới các đơn vị trực thuộc tỉnh.
Hình 3.14 Mô hình các vùng MPLS IP VPN sẽ thuê của nhà cung cấp dịch vụ
57
Bên cạnh việc sử dụng công nghệ mới MPLS IP VPN, sẽ tận dụng kết nối lên
Internet sẵn có tại các Internet Gateway, tạo thêm kết nối IPSec VPN qua Internet với
mục đích tăng thêm tính dự phòng của hệ thống cũng như băng thông kết nối giữa 3
miền. Ngược với dịch vụ MPLS IP VPN là trong suốt đối với khía cạnh Bộ tài chính,
IPsec VPN lại trong suốt đối với nhà cung cấp dịch vụ.
Hình 3.15 Mô hình kết nối sử dụng IP Sec VPN thông qua Internet
3.3.2.2 Xây dựng Hệ thống MPLS cung cấp dịch vụ MPLS VPN riêng ngành tài
chính
3.3.2.2.1 Lớp mạng trục
Lớp mạng trục cung cấp hạ tầng MPLS cho các đơn vị thuộc Bộ tài chính. Giải
pháp dựa trên các yêu cầu tiên quyết như độ sẵn sàng cao, tính dự phòng cao, khả năng
mở rộng lớn, năng lực chuyển mạch của các thiết bị phải lớn để có thể phục vụ các
ứng dụng đa dạng cho toàn ngành Tài chính trong tương lai.
58
Hình 3.16 Lớp mạng trục BTC
Theo sơ đồ trên, các cặp Backbone Router đặt tại 3 miền sẽ làm nhiệm vụ kết
nối các miền với nhau. Mỗi cặp Backbone Router bao gồm BB-1 và BB-2 có nhiệm vụ
kết nối WAN và năng lực xử lý khác nhau, cụ thể:
Các cặp router tại 3 miền ( TTM-1, TTM-2) sẽ có trách nhiệm kết nối tới các
Trung Tâm Tỉnh, đổng thời kết nối trực tiếp tới cơ quan đầu não các ngành ( Tổng cục
thuế, Kho bạc NN, tổng cục Hải quan, ... ). Mỗi cặp TTM-1, TTM-2 có nhiệm vụ kết
nối WAN và năng lực xử lý khác nhau, cụ thể:
Các router thuộc lớp mạng trục ( BB-1, BB-2, TTM-1, TTM-2) đóng vai trò là
các P-router trên hệ thống mạng trục MPLS của Bộ Tài Chính, ngoài ra, trường hợp
ngoại lệ, các router phân phối như TTM-1, TTM-2 còn đóng vai trò là PE-router trong
hệ thống mạng trục MPLS khi kết nối trực tiếp tới các cơ quan đầu não các ngành (
Datacenter thuộc Bộ Tài chính, Tổng cục thuế, Kho bạc NN, Tổng cục Hải quan, ... ).
Hình vẽ dưới mô tả kết nối WAN từ các TTT lên TTM. Kết nối truyền thống
(Leased-lines) TTT lên TTM ngoài nhiệm vụ dự phòng còn làm nhiệm vụ phân tải.
Đối với các Tỉnh chưa có sẵn dịch vụ MPLS VPN, để có thể đáp ứng được nhu cầu sử
dụng của các đơn vị, tạm thời sử dụng 2 kết nối Leased-lines đồng thời ( 1 giữa TTT-1
& TTM2, 1 giữa TTT-2 & TTM-2). Đến khi dịch vụ MPLS VPN sẵn sàng, sẽ giảm
bớt kết nối leased-lines giữa TTT-1 & TTM-2 đi và thay thế bằng kết nối từ TTT-1 lên
mạng MPLS VPN.
59
Hình 3.17 Kết nối từ TTT lên TTM
3.3.2.2.2 Lớp mạng phân phối
Các router thuộc lớp mạng phân phối bao gồm các cặp router tại các Trung tâm
Tỉnh ( TTT-1, TTT-2). Theo sơ đồ dưới đây, các cặp Router đặt tại các Trung Tâm
Tỉnh sẽ làm nhiệm vụ kết nối lên Trung Tâm Miền tương ứng (TTM-1, TTM-2) và
phân phối tới các đơn vị trong phạm vi tỉnh ( bao gồm cả cấp huyện). Mỗi cặp Router
tại Trung Tâm Tỉnh bao gồm có nhiệm vụ kết nối WAN và năng lực xử lý khác nhau.
60
Hình 3.18 Lớp mạng phân phối Bộ tài chính
Các router tại Trung Tâm Tỉnh này (TTT-1, TTT-2) đóng vai trò là các PE-
router trên hệ thống mạng MPLS của Bộ Tài Chính kết nối trực tiếp tới các đơn vị trực
thuộc tỉnh (bao gồm cả cấp huyện)
3.3.2.2.3 MPLS và hệ thống MPLS VPN
Công nghệ MPLS được áp dụng trên hạ tầng truyền thông BTC nhằm cung cấp
các kết nối MPLS VPN cho các đơn vị trong ngành cũng như các đơn vị bên ngoài có
nhu cầu kết nối vào hạ tầng truyền thông BTC.
61
Hình 3.19 Các phân lớp mạng
Cấu trúc toàn bộ hệ thống bao gồm các P-Router thuộc lớp mạng Trục, các PE-
Router thuộc lớp mạng phân phối. Trên hệ thống mạng MPLS Bộ Tai Chính, sử dụng
giao thức định tuyến IGP là OSPF đảm bảo kết nối IP giữa các MPLS Router trên hệ
thống, Sử dụng giao thức LDP ( Label Distribution Protocol) cho việc phân phối Label
trên hệ thống. Giao thức MP-BGP ( Multi-protocol BGP) được sử dụng bắt buộc trên
tất cả các PE-Router để phân phối định tuyến cho dịch vụ MPLS VPN. Ngoài ra, giao
thức định tuyên IGP OSPF còn được sử dụng trong việc cung cấp dịch vụ TE ( Traffic
Engineering) trên hệ thống mạng MPLS BTC.
3.3.2.2.4 Quan hệ giữa MPLS riêng ngành tài chính với MPLS công cộng
Từ khía cạnh hệ thống của Bộ Tài Chính, sẽ áp dụng đồng thời 2 dạng dịch vụ
MPLS VPN khác nhau:
MPLS VPN của các nhà cung cấp dịch vụ công cộng (VNPT): Chỉ có vai trò là
kết nối WAN tốc độ cao trên hạ tầng truyền thông Ngành Tài Chính.
MPLS VPN của Bộ Tài Chính: Đây là dich vụ riêng của Bộ Tài Chính được
cung cấp bởi hạ tầng truyền thông MPLS nội bộ Ngành Tài Chính, cung cấp dịch vụ
62
MPLS VPN cho các đơn vị trực thuộc ( và có thể các truy cập công cộng từ bên
ngoài).
Như vậy, vấn đề đặt ra là làm sao có thể triển khai được hệ thống MPLS VPN
riêng ngành tài chính trên các kết nối MPLS VPN sử dụng của các nhà cung cấp dịch
vụ công cộng
Sử dụng Tunnel: ở đây sẽ tạo các GRE Tunnel (có thể sử dụng các kiểu
encapsulation để tạo IP tunnel khác, nhưng GRE được sử dụng phổ biến nhất) đi qua
kết nối MPLS VPN của nhà cung cấp dịch vụ công cộng, các GRE Tunnel sẽ tạo nên
các giao diện ảo ( Virtual Interface) kết nối trực tiếp với nhau đóng vai trò hoàn toàn
như các giao diện vật lý sử dụng kết nối WAN truyền thống ( như leased-lines hiện
tại). Phương án này hoàn toàn trong suốt với nhà cung cấp dịch vụ công cộng, không
cần đạt được thỏa thuận kết nối đặc biệt gì với nhà cung cấp dịch vụ MPLS VPN công
cộng.
Phương án này có nhược điểm là lãng phí một phần băng thông do phải gánh
thêm phần header cho GRE Encapsulation, đồng thời cũng yêu cầu thiết bị Router kết
nối dịch vụ MPLS VPN phải xử lý nhiều hơn. Tuy nhiên, phần băng thông lãng phí
do GRE Encapsulation chỉ chiếm phần nhỏ, đồng thời, hiện vẫn phải sử dụng mã hóa
IPSec để đảm bảo tính bảo mật khi truyền số liệu qua hệ thống MPLS VPN công cộng,
các công nghệ về phần cứng tiên tiến đã giúp tạo năng lực xử lý lớn trên các loại
Router hiện có trên thị trường.
Hình 3.20 Virtual Interface với GRE Encapsulation thông qua mạng MPLS
VPN công cộng
63
Hình vẽ dưới đây mô tả các kết nối GRE trên toàn hê thống.
Hình 3.21 Các kết nối GRE trên hệ thống
Với việc thiết lập các kết nối GRE qua mạng MPLS VPN công cộng, các
Router kết nối không cần phải quảng bá bảng định tuyến nội bộ BTC ra mạng MPLS
VPN bên ngoài. Điều này được thực hiện bằng các giao thức định tuyến động qua kết
nối GRE đã được thiết lập, hoàn toàn trong suốt đối với nhà cung cấp dịch vụ. Việc
không quảng bá bảng định tuyến mạng nội bộ ra bên ngoài nhằm đảm bảo an ninh hệ
thống.
3.3.2.3 Lớp mạng truy cập vào hệ thống MPLS VPN riêng của ngành tài chính
3.3.2.3.1 Kết nối mạng trung ương của các ngành vào hệ thống
Mạng Trung ương của các ngành được kết nối vào hệ thống tương tự như việc
kết nối các TTT vào hệ thống mạng trục. Các cặp router tại 3 miền ( TTM-1, TTM-2)
sẽ có trách nhiệm kết nối trực tiếp tới cơ quan đầu não các ngành ( Tổng cục thuế, Kho
bạc NN, tổng cục Hải quan, ... ). Xem hình vẽ dưới đây.
64
Hình 3.22 Mạng trung ương các ngành truy cập vào mạng WAN BTC
3.3.2.3.2 Kết nối mạng của đơn vị vào hệ thống
Các đơn vị cấp tỉnh, huyện của các ngành trực thuộc sẽ kết nối thẳng tới TTT.
TTT bao gồm 1 cặp router TTT-1 và TTT-2. Theo như đã nêu, mỗi Router này có
nhiệm vụ kết nối WAN và năng lực xử lý khác nhau:
Do yêu cầu về tính sẵn sàng kết nối vào mạng trục BTC của các điểm kết nối
trong địa bàn tỉnh không đồng đều nhau, do đó không nhất thiết phải sử dụng cả hai
loại hình kết nối WAN là MPLS VPN và 1 loại kết nối truyền thống khác.
Hình vẽ dưới đây mô tả việc truy cập của các đơn vị thuộc 1 tỉnh vào hệ thống
mạng Bộ Tài chính:
65
Hình 3.23 Lớp truy cập của các đơn vị vào mạng WAN bộ tài chính
Đối với các đơn vị như cục Thuế Tỉnh, Tổng cục thuế có yêu cầu khả năng dự
phòng cao hơn nữa, Bộ tài chính có thể chọn lựa giải pháp sử 02 Router kết nối, một
Router kết nối MPLS VPN, một router cho kết nối Leased-lines và backup như sơ đồ
dưới đây:
Hình 3.24 Sử dụng 02 Router kết nối cho các đơn vị có yêu cầu tính dự phòng rất cao
66
3.3.2.4 Truy cập Internet tới MPLS VPN
Hình vẽ dưới đây mô tả quá trình người sử dụng ở bên ngoài Internet muốn
truy cập vào hệ thống mạng MPLS VPN của Bộ tài chính, qua đó truy cập tới hệ thống
mạng của đơn vị mình.
Hình 3.25 Truy cập IPSec VPN tới MPLS VPN bộ tài chính thông qua Internet
Trước hết, cần một thiết bị vừa đóng vai trò là PE-Router trên hệ thống mạng
MPLS VPN riêng của Bộ tài chính, vừa đóng vai trò là IPSec VPN Server cho các kết
nối từ các VPN client ngoài Internet. Sau khi người sử dụng xác thực thành công, PE-
router đóng vai trò VPN Server này có khả năng ánh xạ IPSec Tunnel của người sử
dụng này tới VRF tương ứng với MPLS VPN của đơn vị mình. Kết quả là người sử
dụng thuộc một ngành sẽ chỉ được gán với một MPLS VPN thuộc ngành đó như khi ở
tại văn phòng của mình.
Cụ thể, IPSec VPN Server ( xem hình vẽ) bao gồm 2 giao diện FastEthernet,
một giao diện kết nối tới mạng trục MPLS VPN ( FastEthernet 0 trên hình vẽ), một
giao diện kết nối ra cổng truy cập Internet ( FastEthernet 1). Giao diện FastEthernet 1
67
sẽ có 1 địa chỉ Public IP, là địa chỉ kết cuối của VPN Server cho các kết nối VPN (
VPN client, hoặc site-to-site) từ người sử dụng bên ngoài Internet.
3.3.2.5 Kết nối tới các mạng bên ngoài
Hệ thống hạ tầng truyền thông ngành Tài chính theo thiết kế đề xuất là một hệ
thống mở, cho phép các đơn vị khác bên ngoài ngành Tài chính có thể truy cập vào các
đơn vị thuộc Ngành Tài chính trong khi vẫn đảm bảo an ninh, chất lượng dịch vụ của
toàn bộ hệ thống. Một số các kết nối từ bên ngoài vào hạ tầng Truyền thông ngành
Tài chính như:
Kết nối của các Ngân hàng bên ngoài
Kết nối Tới mạng MAN Hồ Chí Minh
Kết nối VAN cho hải quan
Các kết nối phục vụ khai báo Thuế online.
....
Về nguyên tắc, tất cả các lưu lượng của các đơn vị bên ngoài khác nhau khi đi
trên hạ tầng dùng chung ngành Tài chính sẽ được phân tách trên các MPLS VPN khác
nhau của mạng MPLS VPN riêng BTC. Dưới đây là ví dụ kết nối cụ thể.
Mô hình khai báo Thuế online
Hình vẽ dưới đây là mô hình khai báo Thuế online có thể được triển khai trên
hạ tầng BTC. Theo đó, các cá nhân, tổ chức sẽ truy cập qua Internet, qua cổng kết nối
Internet ngành tài chính, tới IPSec VPN Server. Tại đây, người khai báo thuế sẽ sử
dụng username/password công cộng ( giả sử: user= thue_online, pass=public), sau khi
xác thực thành công, kết nối IPSec VPN từ máy tính người khai báo thuế tới VPN
Server sẽ được ánh xạ tới 1 VPN dùng chung cho khai báo thuế online. Qua đó, người
sử dụng có thể truy cập Server khai báo Thuê online đặt tại Thuế. Các lưu lượng khai
báo thuế online hoàn toàn được phân tách bởi 1 VPN riêng trên hệ thống MPLS VPN
riêng ngành Tài chính, vì vậy an ninh tổng thể toàn hệ thống được đảm bảo.
68
Hình 3.26 Mô hình khai báo Thuế On-line
Ngoài ra, với sự hỗ trợ của dịch vụ truy cập từ Internet hoặc dial-up vào MPLS
VPN Bộ tài chính, cho phép Các ngành trực thuộc Bộ Tài chính triển khai các loại
hình truy cập cho công cộng một cách an toàn và dễ dàng mở rộng. Khách hàng công
cộng sẽ truy cập VPN bằng ‘username’ công cộng và chỉ được ánh xạ tương ứng tới
các MPLS VPN công cộng trên hệ thống Bộ Tài chính, qua đó khách hàng có thể truy
cập các tài nguyên công cộng được phép Các truy cập công cộng hoàn toàn được tách
riêng với các MPLS VPN khác trên hệ thống, do đó an ninh tổng thể toàn bộ hệ thống
Bộ tài chính được đảm bảo.
3.3.3 Đánh giá về hệ thống đảm bảo an ninh
Ngày nay, hầu như doanh nghiệp nào có kết nối Internet cũng sử dụng các
Firewall để tự bảo vệ mình trước thế giới nhiều biến động bên ngoài. Và đây chính là
lớp phòng vệ bên ngoài của các doanh nghiệp. Với sự tiến bộ vượt bậc của công nghệ,
các công cụ, kỹ thuật tấn công ngày dễ dàng hơn, có vô số những website hướng dẫn
và cung cấp miễn phí các công cụ tấn công trên Internet. Do đó, phòng thủ vòng ngoài
hoặc chỉ phòng thủ một lớp không thôi thì không đủ để đảm bảo các vấn đề an ninh
mạng.
69
Cho đến nay, các doanh nghiệp buộc phải triển khai nhiều thứ trong công nghệ
bảo mật để đối phó với một mối đe dọa mới khi nó xuất hiện. Phòng ngừa virus, các
bộ lọc chống thư rác (spam mail), tường lửa để kiểm soát truy cập, phát hiện xâm nhập
để chống hacker, ..... Toàn bộ quá trình này rất tốn kém, cồng kềnh và dư thừa. Mục
tiêu thực hiện bảo mật là đưa ra giải pháp bảo mật tốt với chi phí đầu tư thấp nhất.
Hình 3.27 Kiến trúc bảo mật đề xuất
Kiến trúc bảo mật bao gồm nhiều phân lớp bảo mật:
Phân lớp bảo vệ: sử dụng các công nghệ bảo mật như Firewall, IDS, IPS để
chống lại các tấn công xuất phát từ bên trong lẫn bên ngoài.
Bảo mật các kết nối mạng: đảm bảo các thông tin quan trọng được bảo mật trên
đường truyền.
Xác thực và nhận dạng, và cấp quyền truy cập tới các tài nguyên hệ thống.
Kiểm soát truy cập, đảm bao an ninh tại phân lớp ứng dụng
Áp dụng vào hệ thống mạng Bộ tài chính, việc đảm bảo an ninh cho toàn bộ hệ
thống được chia ra thành các phần chính:
An ninh cho các kết nối WAN
An ninh cho phần mạng trục MPLS Bộ tài chính
An ninh giữa các đơn vị sử dụng dịch vụ MPLS VPN nội bộ ngành Tài chính
An ninh hệ thống cho cổng kết nối Internet ( Internet gateway)
3.3.3.1 An ninh cho các kết nối WAN
Trên hạ tầng mạng Bộ tài Chính ( Bao gồm các TTT & TTM), đối với các kết
nối sử dụng MPLS VPN của các nhà cung cấp dịch vụ công cộng, đã sử dụng phương
70
thức mã hóa IPSec cho các GRE tunnel theo như đã mô tả ở trên do đó hoàn toàn đảm
bảo tính an toàn.
Đối với các kết nối WAN truyền thống ( hiện sử dụng leased-lines), sử dụng
các thiết bị mã hóa đường truyền Layer-1 cho các đường leased-lines, Layer-2 cho
Frame-Relay. Hình vẽ dưới đây mô tả việc sử dụng các thiết bị mã hóa Layer-1 điểm-
điểm cho các kết nối Leased-lines từ TTT, trụ sở chính các Ngành lên thiết bị TTM-2.
Ưu điểm của việc sử dụng các thiết bị mã hóa Layer-1 điểm-điểm ở đây là không làm
phức tạp hóa cấu trúc lôgíc của toàn bộ hệ thống.
Hình 3.28 Mã hoá đường truyền Leased – lines giữa TTT - TTM
3.3.3.2 An ninh cho phần mạng trục của MPLS VPN của bộ tài chính
MPLS cung cấp khả năng tách biệt định tuyến, địa chỉ mạng đầy đủ như các
dịch vụ layer-2 VPN truyền thống khác. MPLS dấu các cấu trúc địa chỉ lớp mạng core
và các VPN khác.
Cần thực hiện biện pháp chống giả mạo địa chỉ (IP Spoofing): Yêu cầu triển
khai trên tất cả các PE router để chống IP spoofing. Cho phép kiểm tra từng gói tin
71
nhận được của một giao diện. Căn cứ vào địa chỉ IP nguồn của gói tin, nếu trong bảng
định tuyến không có đường định tuyến nào trỏ tới cùng một cổng giao tiếp nơi mà gói
tin đã đến, thì router sẽ loại bỏ gói tin này.
Có biện pháp chống tấn công từ chối dịch vụ kiểu phân bố (DDoS):
Lọc, giới hạn các route.
Áp dụng các bước ingress & egress filter (xem RFC 2267) bằng các access lists
(ACLs).
Các PE router cần được cấu hình chỉ chấp nhận các gói tin đi vào từ phía CE
khi gói tin đó thuộc về các CE. Kết quả là các PE router sẽ loại bỏ bất kỳ gói tin nào đi
vào PE từ CE với địa chỉ nguồn trùng với địa chỉ trên mạng Core hoặc thuộc về CE
khác.
3.3.3.3 An ninh cho các đơn vị sử dụng dịch vụ MPLS VPN riêng ngành tài chính
Hình vẽ dưới đây thể hiện mô hình phân tách các lớp mạng, đảm bảo an ninh
cho các ngành trực thuộc khi sử dụng dịch vụ MPLS VPN trên cùng hạ tầng mạng của
Bộ tài chính.
Hình 3.29 Mô hình phân tách các lớp mạng, đảm bảo an ninh cho các đơn vị
72
Trong đó, mạng nội bộ của các ngành trực thuộc như Thuế, KB, HQ,... được
tách biệt bởi các VPN khác nhau, có thể sử dụng dải địa chỉ IP trùng nhau ( ví dụ
10.1.x.x như trên hình vẽ). Giữa các mạng nội bộ này không thể có sự trao đổi số liệu
trực tiếp với nhau.
Để có thể tách riêng Server dùng chung của các đơn vị thành 1 VRF riêng, có
thể áp dụng tính năng Multi-VRF trên các CE router. ( Multi-VRF là một tính năng
cho phép cấu hình nhiều bảng VRF trên cùng 1 CE router vật lý, ứng dụng được mô tả
như hình vẽ dưới đây:
Trong chính sách đánh số RD, RT đưa ra ở đây, mạng nội bộ của ngành này không
truy cập trực tiếp được tới phân hệ Server dùng chung của ngành khác, mà phải thông
qua phân hệ Server dùng chung của ngành mình.
Ví dụ, User ở mạng trong của Thuế không trực tiếp truy cập tới Servers dùng
chung của KB, mà phải gián tiếp thông qua các Servers dùng chung của Thuế.
Địa chỉ IP sử dụng trên sơ đồ mang tính chất mô tả, theo đó, mạng nội bộ thuộc
các ngành hoàn toàn tách biệt với nhau, việc trao đổi số liệu giữa các ngành được thực
hiện thông qua các phân hệ Server dùng chung. Do đó, việc bảo vệ an ninh giữa các
ngành với nhau, chống các loại hình tấn công xuất phát từ bên trong sang các ngành
khác, chống việc lan tràn virus, worm trên hệ thống được thực hiện bởi các thiết bị
đảm bảo an ninh hệ thống trên kết nối giữa CE-Router của một đơn vị ( kết nối tới
mạng MPLS BTC) và phân hệ Server dùng chung của đơn vị đó. Các thiết bị đảm bảo
an ninh hệ thống này bao gồm các Firewall, IDS/IPS, Anti-virus, Anti-worm, ngoài ra,
trên các Server ứng dụng quan trọng có thể bổ sung thêm các phần mềm bảo vệ H-IPS
3.3.3.4 An ninh hệ thống cho kết nối Internet
Việc bảo vệ an ninh hệ thống chống lại các mối đe dọa từ bên ngoài Internet
được thực hiện thông qua nhiều mức bảo vệ khác nhau.
Bảo vệ vòng ngoài:
73
Hình 3.30 An ninh vòng ngoài
Bắt đầu từ kết nối Internet, Internet router thực hiện các công việc bảo vệ chống
các tấn công cơ bản từ bên ngoài dựa vào các danh sách điều khiển truy cập ( Access-
Control-List), sau đó trước khi lưu lượng đến được firewall, hệ thống chống xâm nhập
(IPS) được đặt ngay tại vòng ngoài. Hệ thống IPS được đặt trước tường lửa làm lớp
bảo vệ đầu tiên và phản ứng lại với các cuộc xâm nhập, không cần sự can thiêp của
người quản trị hệ thống
Kiểm soát truy cập từ Internet được bảo vệ bởi tường lửa. Đây là lớp phòng vệ
đầu tiên trước các mạng không có độ tin cậy cao về mạng an ninh hệ thống như BTC.
Hệ thống Firewall vòng ngoài này được nối thẳng tới PE-router của mạng
MPLS BTC, hệ thống firewall này cần hỗ trợ khả năng phân chia VLAN trên các giao
diện Ethernet, khả năng tạo nhiều ‘virtual-firewall’, để qua đó có thể gán mỗi ‘virtual-
firewall’ cho một ngành trực thuộc, gán các VLAN các VRF tương ứng với VPN của
các ngành. Như vậy, khi các ngành sử dụng kết nối ra ngoài Internet trên hạ tầng
chung của BTC, các ngành này sẽ có thể được trao quyền quản lý ‘virtual-firewall’ đó
cho các ngành trực thuộc tự thiết lập các chính sách bảo mật riêng phù hợp với đặc thù
của từng ngành.
Tầng Firewall thứ hai bảo vệ hệ thống các ứng dụng
74
Hình 3.31 Bảo vệ các hệ thống ứng dụng
Tường lửa thứ hai của bộ tài chánh là lớp phòng vệ thứ hai và phòng vệ chiều
sâu để bảo vệ hệ thống những ứng dụng.
Một đặc điểm của các ứng dụng ngành Tài chính là việc sử dụng giao thức https
cho các ứng dụng quan trọng, do đó các thiết bị chống xâm nhập IDS cần hỗ trợ khả
năng phân tích giám sát lưu lượng dạng mã hóa SSL.
Phân hệ các Server cơ sở dữ liệu ( backend server)
Được bảo vệ bởi tầng firewall thứ ba. Firewall thuộc các tầng khác nhau được
sử dụng của các hãng khác nhau nhằm mục đích giảm thiểu khả năng bị tấn công do lỗ
hổng bảo mật trên tại một thời điểm của một chủng loại firewall nào đó.
Ngoài ra, cần có các hệ thống chống Virus, Worm, lọc URL làm việc với các
Firewall, cho phép hoạt động trong suốt đối với người sử dụng.
Xác thực và Nhận dạng
Các truy cập từ bên ngoài vào một số Server ứng dụng đặc biệt nào đó trên
vùng DMZ cần được xác thực username/password và cấp quyền truy cập. Việc này
được thực hiện nhờ các RADIUS Server. Các firewall có khả năng xác thực & cấp
quyền truy cập sẽ làm việc với các RADIUS Server. RADIUS Server được đặt trong
phân hệ quản trị mạng.
75
3.3.4 Hoạt động thử nghiệm
Qua những phân tích đánh giá trên. Hiện tại Tổng cục thuế đã tiến hành thử
nghiệm trên hệ thống đang sử dụng đối với Cục thuế Hải Dương, chi cục Thuế Hải
Dương, chi cục thuế Huyện Chí Linh, chi cục Thuế Huyện Gia Lộc và đã thu được kết
quả như mong muốn đối với các tiêu chí đã đặt ra cụ thể:
Hình 3.32 Mô hình thử nghiệm
Truyền số liệu thực tế qua hệ thống MPLS VPN của VNPT
Trên các Cisco router tham gia thử nghiệm, sử dụng lệnh “Ping” kiểm tra xem
kết nối IP tới các Virtual-Template của các Router khác tham gia vào hệ thống thử
nghiệm có thành công.
Kiểm tra với lưu lượng thật.
Kiểm nghiệm độ ổn định của hệ thống dịch vụ công cộng MPLS VPN
Giám sát độ ổn định của kết nối qua hệ thống MPLS VPN.
Chất lượng dịch vụ, tốc độ truyền số liệu thực tế so với tốc độ cam kết của dịch
vụ công cộng MPLS VPN
Thực hiện download với nhiều session khác nhau, từ các máy tính khác nhau,
xác định tốc độ truyền thực tế lớn nhất có thể.
Kiểm nghiệm khả năng đảm bảo security thực tế cho kết nối MPLS VPN của
nhà cung cấp dịch vụ.
Giả mạo địa chỉ: Từ 1 máy tính trong mạng LAN của 1 đơn vị (giả sử Cục thuế
Hải dương) ping tới địa chỉ nào đó ( có thể ping được) với địa chỉ nguồn IP của 1 máy
tính khác trên mạng LAN của 1 đơn vị khác ( giả sử chi cục thuế Chí Linh). Kiểm tra
xem máy tính trên mạng LAN của đơn vị bị giả mạo ( Chí linh) có nhận được gói tin
76
phản hồi hay không. Nếu nhận được, chức năng chống giả mạo địa chỉ của hệ thống
mạng MPLS VPN đối với người sử dụng không có.
Với công nghệ MPLS VPN, đã được kiểm chứng là không thể gửi 1 gói tin từ 1
VPN này tới 1 VPN khác, do đó không cần kiểm tra đặc tính này ( trong mạng thử
nghiệm chỉ có 1 VPN).
Cần duy trì hệ thống thử nghiệm hoạt động với lưu lượng thực tế sau 1 khoảng
thời gian đủ dài ( ít nhất 1 tháng) để có thể kết luận về tính khả thi trong việc triển khai
sử dụng rộng rãi dịch vụ MPLS VPN trên toàn ngành Tài chính.
3.4 Kết luận
Tóm lại với giải pháp thiết kế hệ thống đưa ra đối với hệ thống mạng truyền
thông Bộ Tài chính nói chung và Tổng cục Thuế nói riêng đã khắc phục được nhược
điểm của mô hình kết nối hiện tại và thu được một hệ thống tổng thể mới đáp ứng
được nhu cầu về tốc độ truyền và an toàn dữ liệu.
Hệ thống với thiết kế cập nhật mới ứng dụng các thành tựu mới của CNTT kết
hợp với sự kế thừa hệ thống hiện tại, cho phép tạo nên một hệ thống linh hoạt, có khả
năng phát triển, mở rộng cao, tính dự phòng cao đáp ứng được các nhu cầu mới của
toàn Bộ Tài Chính nói chung và Tổng cục Thuế nói riêng trong tương lai.
Tuy nhiên, hiệu quả của hệ thống mới không thể tính được bằng các giá trị vật
chất, bằng các số liệu cụ thể. Với thiết kế mới, các thông tin trên toàn Bộ Tài Chính
được xử lý an toàn, chính xác, kịp thời và vì vậy đảm bảo hoạt động ổn định của toàn
Bộ Tài Chính trước những yêu cầu mới.
Việc áp dụng công nghệ MPLS IP VPN đối với hệ thống mạng ngành
Tài chính thu được những lợi ích đáng kể trước tiên ta thấy rõ hệ thống này không yêu
cầu thêm bất kỳ thiết bị mạng như Router, switch nào so với xây dựng hệ thống mạng
IP truyền thống. Tất cả các thiết bị Router, Switch tại TTT, TTM đều hỗ trợ sẵn sàng
các tính năng, giao thức MPLS, do đó việc xây dựng hệ thống MPLS VPN riêng chỉ
đơn thuần là triển khai sử dụng các tính năng MPLS sẵn trên các thiết bị này.
Với việc xây dựng MPLS VPN riêng ngành tài chính, Bộ tài chính sẽ tiết kiệm
được khoản đầu tư đáng kể để đảm bảo an ninh hệ thống, phân tách các đơn vị khác
nhau bằng các hệ thống Firewall, IPS, Anti-Virus cần thiết trên tất cả 64 TTT, TTM so
với khi không xây dựng hệ thống MPLS VPN riêng.
Hệ thống phù hợp với định hướng về CNTT của Bộ Tài Chính, đồng thời
phù hợp với xu thế phát triển công nghệ trên thế giới, không bị lãng phí, lạc hậu trong
77
tương lai. Phù hợp với môi trường tin học và viễn thông của Việt nam trong thời điểm
hiện tại, đón bắt được xu hướng công nghệ tại Việt nam trong tương lai.
78
CHƯƠNG 4 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN
Ngày nay, các ứng dụng Internet đã được sử dụng rộng rãi trong mọi lĩnh vực, ở
khắp mọi nơi trên thế giới. Sự mở rộng của Internet kéo theo sự cải tiến không ngừng
của các mô hình mạng, kéo theo đó là các dịch vụ mạng để đáp ứng nhu cầu truyền
thông tin một cách an toàn, hiệu quả. Một trong những ứng dụng quan trọng đó là
mạng riêng ảo.
Ngoài việc giới thiệu khái niệm về mạng riêng ảo, luận văn còn đi sâu vào phân
tích các loại mạng riêng ảo hiện nay, những hạn chế còn tồn tại trong mỗi mô hình,
những thế mạnh của mỗi mô hình đó giúp người đọc có cái nhìn tổng quan về mỗi mô
hình để từ đó lựa chọn áp dụng vào mỗi mô hình sao cho có hiệu qủa nhất.
Hiện nay có nhiều công nghệ mới ra đời nhằm nghiên cứu phương thức truyền
tin trên mạng một cách an toàn một trong những công nghệ đang được ứng dụng rộng
rãi hiện nay đó là MPLS VPN. Luận văn trình bày khái niệm và phương thức hoạt
động của công nghệ MPLS đi sâu vào phân tích cấu trúc MPLS cũng như cách thức
truyền gói tin gắn nhãn đi trong mạng từ một địa chỉ nguồn tới một địa chỉ đích một
cách an toàn.
Trên cơ sở phân tích hệ thống mạng hiện trạng của Bộ tài chính nói chung,
Tổng cục Thuế nói riêng luận văn cũng đưa ra các giải pháp thiết kế hệ thống cụ thể
để thu được một hệ thống mới có mức độ đảm bảo an ninh hơn.
Để có được một hệ thống mạng đáp ứng được nhu cầu thực tế của Bộ tài chính
Luận văn xin đề xuất một số hướng nghiên cứu trong tương lai sau:
- Xây dựng giải pháp thiết kế một trung tâm dự phòng thông tin.
- Xây dựng một hệ thống vận hành bảo dưỡng ở đó hệ thống này có thể phân
tích, chuẩn đoán các kết nối mạng chi tiết theo thời gian thực, hệ thống quản lý các
vấn đề an ninh, bảo mật, hệ thống cho phép thực hiện khảo sát và tập hợp dữ liệu và
lập báo cáo chi tiết và đo đạc hiệu xuất của mạng - điều mà BTC quan tâm.
- Qui hoạch lại địa chỉ IP cho Bộ tài chính, sao cho có thể khai thác được ưu
điểm và tận dụng hết tài nguyên mạng.
79
TÀI LIỆU THAM KHẢO
Tiếng Việt
1. Mô hình hạ tầng truyền thông Bộ tài chính
2. Mô hình hạ tầng truyền thông Tổng cục Thuế
Tiếng Anh
3.
4. 2.
60/ArticleID/525/tid/585/Default.aspx
5. Ina Minei, Junian Lucek “ MPLS – Enable Application” Emering
Development and New Technologies
6. “MPLS – Enable Application”
7.
paper.pdf
8.
9. Rosen E., Viswanathan, A. and R. Callon, "Multiprotocol
Label Switching Architecture", Work in Progress.
10. Callon R., et al., "A Framework for Multiprotocol Label
Switching", Work in Progress.
11.
81
Các file đính kèm theo tài liệu này:
- Mạng riêng ảo và giải pháp hệ thống trong Tổng cục Thuế.pdf