Luận văn Mạng riêng ảo và giải pháp hệ thống trong tổng cục thuế

1 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Nguyễn Thị Phương MẠNG RIÊNG ẢO VÀ GIẢI PHÁP HỆ THỐNG TRONG TỔNG CỤC THUẾ Ngành: Công nghệ Thông tin Chuyên ngành: Truyền dữ liệu và Mạng máy tính Mã số: 60 48 15 LUẬN VĂN THẠC SĨ NGƯỜI HƯỚNG DẪN KHOA HỌC PGS TS. NGUYỄN VĂN TAM \Hà Nội - 2009 2 MỤC LỤC Trang phụ bìa Lời cam đoan Lời cảm ơn Mục lục .....................................................................................................1 Danh mục các thuật ngữ và các từ viết tắt ..............................................3 Danh mục hình vẽ ....................................................................................5 MỞ ĐẦU...................................................................................................7 CHƯƠNG 1 TỔNG QUAN VỀ MẠNG RIÊNG ẢO .........................................10 1.1 Tổng quan..............................................................................................10 1.2 Khái niệm VPN......................................................................................10 1.3 Khái niệm đường hầm............................................................................11 1.4 Phân loại VPN .......................................................................................11 1.4.1 Overlay VPN .................................................................................12 1.4.2 Site to site VPN ( Mô hình VPN ngang cấp) ..................................16 1.5 Kết luận .................................................................................................22 CHƯƠNG 2 MẠNG RIÊNG ẢO TRÊN NỀN CÔNG NGHỆ MPLS...............23 2.1 Vấn đề đặt ra? ........................................................................................23 - Tính khả chuyển .........................................................................................23 - Điều khiển lưu lượng ...................................................................................24 - Chất lượng của dịch vụ (QoS).....................................................................24 2.2 Chuyển mạch nhãn đa giao thức là gì? ...................................................26 2.2.1 Khái niệm ......................................................................................26 2.2.2 Đặc điểm mạng MPLS...................................................................26 2.2.3 Một số khái niệm cơ bản trong kiến trúc MPLS .............................27 2.2.4 Phương thức hoạt động của công nghệ MPLS................................30 2.2.5 Chuyển tiếp gói MPLS và đường chuyển mạch nhãn .....................34 2.3 Kết luận .................................................................................................40 CHƯƠNG 3 ỨNG DỤNG MPLS IP VPN VÀO HỆ THỐNG MẠNG NGÀNH VÀ GIẢI PHÁP HỆ THỐNG ...................................................................42 3.1 Bối cảnh chung ......................................................................................42 3.2 Đánh giá ưu nhược điểm của hệ thống cơ sở hạ tầng hiện tại .................45 3 3.2.1 Mô hình kết nối WAN và những vấn đề đặt ra? .............................45 3.2.2 Mô hình kết nối Internet và những vấn đề nảy sinh ........................47 3.3 Giải pháp MPLS IP VPN để nâng cao an ninh cho hệ thống mạng TCT 52 3.3.1 Đề xuất cải tiến để đảm bảo tính dự phòng và an ninh cho hệ thống52 3.3.2 Giải pháp thiết kế hệ thống ............................................................55 3.3.3 Đánh giá về hệ thống đảm bảo an ninh...........................................69 3.3.4 Hoạt động thử nghiệm....................................................................76 3.4 Kết luận .................................................................................................77 CHƯƠNG 4 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN......................................79 4 DANH MỤC CÁC THUẬT NGỮ VÀ CÁC TỪ VIẾT TẮT Tên viết tắt Nội dung BTC Bộ tài chính C (Custommer network) – C network Hệ thống khách hàng sử dụng dịch vụ của nhà cung cấp CE(Customer network device) Các thiết bị trong hệ thống C – network mà dùng để kết nối với hệ thống của nhà cung cấp CEF Cisco Express Forwarding CPE Chính là các CE router và các CE router này được nối với các PE router khi đó một mạng VPN bao gồm nhóm các CE router kết nối với PE router của nhà cung cấp dịch vụ, Tuy nhiên chỉ có PE router mới có khái niệm về VPN còn CE router không nhận thấy những gì đang diễn ra trong mạng của nhà cung cấp và coi như chúng đang được kết nối với nhau thông qua mạng riêng Customer site Một phần trong hệ thống C network mà các thành phần này là láng giềng của nhau giữa chúng có nhiều liên kết vật lý FEC Lớp chuyển tiếp tương đương FEC Lớp chuyển tiếp tương đương Frame Relay Công nghệ chuyển mạch khung IP Internet Protocol L2PT ( Layer 2 Tunnening Protocol) Giao thức đường hầm lớp 2 MPLS (Multiprotocol Label Switching ) Chuyển mạch nhãn đa giao thức P: Provider – P network Nhà cung cấp dịch vụ VPN 5 Tên viết tắt Nội dung PE (Provider edge device) Các thiết bị trong hệ thống mạng P network mà dùng để kết nối với hệ thống của khách hàng PPTP (Point to Point Tunnening Protocol) Giao thức đường hầm điểm điểm PVC Kênh ảo cố định PVC ( permanent virtual circuit) Mạch ảo cố định QoS (Quality of Service) Chất lượng dịch vụ Router Bộ định tuyến SVC (switch virtual circuit) Mạch ảo chuyển đổi TCT Tổng cục thuế TDM ( time divisor multiplexing) Công nghệ chuyển mạch kênh, tách ghép kênh theo thời gian TTM Trung tâm miền TTT Trung tâm tỉnh VC(Vitual chanel) Kênh ảo VPN (Vitual private network) Mạng riêng ảo VRF(vitual routing/forwarding table) Bảng định tuyến ảo X.25 Công nghệ chuyển mạch gói 6 DANH MỤC HÌNH VẼ Hình 1.2 Over lay VPN triển khai ở lớp 2 .................................................................13 Hình 1.3 Mô hình Overlay VPN triển khai ở lớp 3....................................................14 Hình 1.4 Mô hình triển khai dưới dạng đường hầm...................................................15 Hình 1.5 Mô hình Overlay VPN ................................................................................15 Hình 1.6 Mô hình site to site VPN .............................................................................17 Hình 1.7 Mô hình VPN ngang cấp sử dụng router dùng chung ..................................18 Hình 1.8 Mô hình VPN ngang cấp với router dùng chung..........................................19 Hình 1.9 Mô hình VPN ngang cấp sử dụng router dành riêng ....................................20 Hình 1.10 Mô hình router dành riêng .........................................................................21 Hình 2.1 Full mesh với 6 kết nối ảo ..........................................................................24 Hình 2.2 Một ví dụ về mạng IP dựa trên mạng lõi ATM ...........................................25 Hình 2.3 Nhãn kiểu khung ........................................................................................27 Hình 2.4 Nhãn kiểu tế bào ........................................................................................28 Hình 2.5 Cấu trúc cơ bản của một nút MPLS............................................................31 Hình 2.6 Các FEC riêng biệt cho mỗi tiền tố địa chỉ .................................................33 Hình 2.7 Tổng hợp các FEC......................................................................................33 Hình 2.8 Sự tạo nhãn MPLS và chuyển tiếp..............................................................34 Hình 2.9 Các ứng dụng khác nhau của MPLS...........................................................35 Hình 2.10 Mô hình mạng MPLS...............................................................................38 Hình 3.1 Hạ tầng mạng BTC.....................................................................................43 Hình 3.2 Mô hình Overlay layer – 2 – VPN tại mạng trục.........................................45 Hình 3.3 Mô hình Peer – to – Peer VPN tại TTM, TTT ............................................46 Hình 3.4 Mô hình kết nối Internet BTC ....................................................................48 Hình 3.5 Kết nối mạng diện rộng hệ thống Thuế.......................................................50 Hình 3.6 Dòng dữ liệu ngành Thuế ...........................................................................51 Hình 3.7 Kiến trúc hệ thống truyền thông BTC.........................................................52 Hình 3.8 Sơ đồ kết nối mạng trục BTC .....................................................................53 Hình 3.9 Các kết nối WAN giữa hai trung tâm miền.................................................54 Hình 3.10 Sơ đồ hệ thống mạng phân bố từ TTM xuống các TTT ............................55 Hình 3.11 Cấu trúc mạng trục với WAN truyền thống và MPLS VPN......................56 Hình 3.12 Mô hình kết nối sử dụng dịch vụ MPLS IP VPN ......................................56 Hình 3.13 Khả năng định tuyến gói tin trong MPLS IP VPN ....................................57 Hình 3.14 Mô hình các vùng MPLS IP VPN sẽ thuê của nhà cung cấp dịch vụ.........57 Hình 3.15 Mô hình kết nối sử dụng IP Sec VPN thông qua Internet..........................58 7 Hình 3.16 Lớp mạng trục BTC .................................................................................59 Hình 3.17 Kết nối từ TTT lên TTM ..........................................................................60 Hình 3.18 Lớp mạng phân phối Bộ tài chính.............................................................61 Hình 3.19 Các phân lớp mạng...................................................................................62 Hình 3.20 Virtual Interface với GRE Encapsulation thông qua mạng MPLS VPN công cộng...........................................................................................................63 Hình 3.21 Các kết nối GRE trên hệ thống .................................................................64 Hình 3.22 Mạng trung ương các ngành truy cập vào mạng WAN BTC.....................65 Hình 3.23 Lớp truy cập của các đơn vị vào mạng WAN bộ tài chính ........................66 Hình 3.24 Sử dụng 02 Router kết nối cho các đơn vị có yêu cầu tính dự phòng rất cao ...........................................................................................................................66 Hình 3.25 Truy cập IPSec VPN tới MPLS VPN bộ tài chính thông qua Internet.......67 Hình 3.26 Mô hình khai báo Thuế On-line................................................................69 Hình 3.27 Kiến trúc bảo mật đề xuất.........................................................................70 Hình 3.28 Mã hoá đường truyền Leased – lines giữa TTT - TTM .............................71 Hình 3.29 Mô hình phân tách các lớp mạng, đảm bảo an ninh cho các đơn vị ...........72 Hình 3.30 An ninh vòng ngoài ..................................................................................74 Hình 3.31 Bảo vệ các hệ thống ứng dụng..................................................................75 Hình 3.32 Mô hình thử nghiệm.................................................................................76 8 MỞ ĐẦU Thế kỷ 20 được coi là thế kỷ của những phát minh quan trọng thúc đẩy xã hội phát triển. Đi đầu trong cuộc cách mạng này không thể không kể tới những tiến bộ vượt bậc áp dụng trong Thuế, Ngân hàng - một trong những thành phần kinh tế then chốt đáp ứng các nhu cầu tài chính huyết mạch của nền kinh tế. Ngày nay, khi mà càng có nhiều công ty kết nối mạng doanh nghiệp của mình với Intemet, hay một công ty có nhiều trụ sở ở các vị trí địa lý khác nhau cần liên lạc thông tin nội bộ ngành với nhau khi đó việc bảo mật thông tin ngành là điều bắt buộc vì vậy phải đối mặt với một vấn đề không tránh khỏi đó là bảo mật thông tin. Viêc chia sẻ thông tin trên một mạng công cộng cũng có nghĩa là những người muốn tìm kiếm, khôi phục thông tin đều có thể lên mạng. Điều gì sẽ xảy ra nếu một người tiếp cận thông tin lại có ý định phá mạng. Nhưng hacker có ý đồ xấu như nghe lén thông tin, tiếp cận thông tin không chính đáng, trái phép, lừa bịp, sao chép thông tin... đang là mối đe doạ lớn cho việc bảo mât trên mạng. Vậy làm thế nào để chúng ta có thể bảo mật thông tin trong quá trình truyền tin trên một mạng chung? Có rất nhiều phương án để đảm bảo truyền tin trên mạng một cách an toàn một trong những phương án hữu hiệu nhất hiện nay là triển khai một mạng riêng ảo (Virtual private network - VPN). VPN là những hệ thống mạng được triển khai dựa trên quy tắc: vẫn áp dụng tiêu chuẩn bảo mật, quản lý chất lượng dịch vụ trong hệ thống mạng công cộng vào hệ thống mạng cá nhân. VPN cung cấp cho chúng ta một sự lựa chọn mới: Xây dựng một mạng cá nhân cho các thông tin liên lạc klểu site- to- site trên một mạng công cộng hay Intemet. Bởi vì nó hoat động trên một mạng chung thay vì một mạng cá nhân nên các công ty có thể mở rộng WAN của mình môt cách hiệu quả, những khách hàng di động hay những văn phòng ở nơi xa xôi, khách hàng hay nhà cung cấp hay những đối tác kinh doanh. VPN mở rộng WAN truyền thống bằng cách thay thế những kết nối điểm tới điểm vật lý bằng những kết nổi điểm tới điểm logic chia sẻ một hạ tầng chung, cho phép tất cả lưu lượng tổng hợp, hội tụ vào một kết nối vât lý duy nhất. Kết quả là tạo nên băng thông tiềm năng và có thể tiết kiệm chí phí tại đầu ra. Bởi vì khách hàng không còn phải duy trì một mạng cá nhân và bản thân VPN cũng rẻ hơn và tiết kiệm chi phí đáng kể so với WAN, do đó toàn bộ chi phí hoạt động vận hành có thể giảm. VPN chính là sự thay thế cho hạ tầng WAN, nó thay thế và thậm chí còn tăng cường các hệ thống mạng thương mại cá nhân sử dụng kênh thuê riêng, frame- relay hay ATM. Luận văn “Mạng riêng ảo và giải pháp hệ thống trong Tổng Cục Thuế” đi vào nghiên cứu về mạng riêng ảo, phân tích các loại mạng riêng ảo hiện nay và cho thấy 9 những mặt tích cực và hạn chế của từng loại, bên cạnh đó nghiên cứu một công nghệ mới MPLS – công nghệ chuyển mạch nhãn đa giao thức – , Các ứng dụng của công nghệ MPLS đi sâu vào nghiên cứu một trong ứng dụng quan trọng của công nghệ MPLS chính là mạng riêng ảo. Trên cơ sở phân tích mang tính lý thuyết trên thì luận văn cũng đưa ra giải pháp để ứng dụng công nghệ mới này vào hệ thống mạng thực tế hiện nay ở Tổng cục thuế. Về bố cục, nội dung luận văn được chia ra làm 3 chương: Chương 1: Nghiên cứu tổng quan về mạng riêng ảo, các loại mạng riêng ảo hiện nay. Chương 2: Nghiên cứu về mạng riêng ảo trên nền công nghệ MPLS Chương 3: Nghiên cứu về hệ thống mạng truyền thông hiện nay của Tổng cục thuế trên cơ sở phân tích, khảo sát hiện trạng hệ thống mạng của Bộ tài chính và đưa ra các giải pháp và mô hình thiết kế mới mang tính ứng dụng khả thi về kỹ thuật công nghệ và kinh tế. Chương 4: Kết luận và hướng phát triển Ngoài ra, luận văn còn có thêm các danh mục các thuật ngữ, các từ viết tắt, danh mục bảng biểu, hình vẽ và danh mục các tài liệu tham khảo để thuận tiện cho việc tìm hiểu và tra cứu nội dung của luận văn. 10 CHƯƠNG 1 TỔNG QUAN VỀ MẠNG RIÊNG ẢO Trong chương này, báo cáo luận văn sẽ giới thiệu tổng quan về mạng riêng ảo, khái niệm VPN, khái niệm đường hầm, phân loại VPN. Đi sâu vào hai loại VPN chính đó là: mô hình Overlay VPN và site to site VPN. Trên cơ sở phân tích nội dung của từng loại cho ta thấy rõ được những ưu, nhược còn tồn tại trong mỗi mô hình. 1.1 Tổng quan VPN là một thuật ngữ quen thuộc hiện nay, nó là một sự lựa chọn gần như tối ưu đối với một công ty có từ 2 chi nhánh trở lên có nhu cầu kết nối mạng với nhau, hoặc có nhu cầu thiết lập một mối quan hệ thân thiết với khách hàng, đối tác, hoặc đặc thù công việc là có nhiều nhân viên làm việc từ xa. Ai cũng biết VPN không còn là một thuật ngữ mới, tuy nhiên không phải ai cũng biết VPN đã được đề cập và xây dựng từ cuối thập kỷ 80 của thế kỷ trước, và nó cũng trải qua nhiều giai đoạn phát triển. Thế hệ VPN thứ nhất do AT&T phát triển có tên là SDNs (Software Defined Networks) Thế hệ thứ 2 là ISDN và X25 Thế hệ thứ 3 là FR và ATM Và thế hệ hiện nay, thế hệ thứ 4 là VPN trên nền mạng IP Thế hệ tiếp theo sẽ là VPN trên nền mạng MPLS. 1.2 Khái niệm VPN VPN là công nghệ cung cấp một phương thức giao tiếp an toàn giữa các mạng riêng dựa vào kỹ thuật đường hầm để tạo ra một mạng riêng trên cơ sở hạ tầng mạng dùng chung (mạng Internet). Về bản chất đây là quá trình đặt toàn bộ gói tin vào trong một lớp tiêu đề chứa thông tin định tuyến có thể truyền an toàn qua mạng công cộng. VPN là một mạng riêng sử dụng để kết nối các mạng riêng lẻ hay nhiều người sử dụng ở xa thông qua các kết nối ảo dẫn qua đường Internet thay cho một kết nối thực, chuyên dụng như đường leased line. VPN bao gồm hai phần: mạng của nhà cung cấp dịch vụ và mạng của khách hàng trong đó mạng của nhà cung cấp dịch vụ chạy dọc cơ sở hạ tầng mạng công cộng, bao gồm các bộ định tuyến cung cấp dịch vụ cho mạng của khách hàng. 11 1.3 Khái niệm đường hầm Đường hầm là một cách thức mà ở đó dữ liệu có thể truyền đi giữa hai mạng một cách an toàn. Toàn bộ dữ liệu truyền đi được phân mảnh thành các gói nhỏ hơn hoặc thành các khung sau đó được đẩy vào trong đường hầm. Cách thức này khác với cách vận chuyển dữ liệu thông thường giữa các điểm. Ở đây các gói dữ liệu di chuyển trong đường hầm sẽ được đóng gói và mã hoá với thông tin định tuyến tới một địa chỉ xác định. Sau khi tới được địa chỉ mong muốn thì dữ liệu được khôi phục nhờ việc giải mã. Một đường hầm là một con đường logic được thiết lập giữa điểm nguồn và điểm đích của hai mạng. Các gói dữ liệu được đóng gói tại nguồn và mở gói tại điểm đích. Đường hầm logic giữa hai mạng này được duy trì trong suốt tiến trình gửi dữ liệu. Đường hầm dùng để vận chuyển dữ liệu cho mục đích riêng tư, thông thường là hệ thống mạng của một tập đoàn thông qua hệ thống mạng công cộng. Với cách hiểu đó các nút định tuyến trong hệ thống mạng công cộng không biết rằng luồng vận chuyển đó là của hệ thống mạng riêng hay chung. Có nhiều loại đường hầm được thực thi trên các tầng khác nhau của mô hình OSI. Ví dụ hai loại đường hầm PPTP và L2TP thực thi trên tầng 2. Hai loại đường hầm này sẽ không kích hoạt tại các phiên làm việc nội mạng, trong trường hợp có sự kết nối hai mạng thì loại đường hầm sẽ được xác định hoặc PPTP hoặc L2TP sau khi lựa chọn được loại đường hầm thì các tham số như mã hóa, cách đăng ký địa chỉ, nén …vv. Được cấu hình để đạt được sự an toàn ở mức cao nhất khi đi qua mạng Internet dựa trên sự kết nối đường hầm logic địa phương. Kết nối được tạo ra duy trì và kết thúc sử dụng giao thức quản lý đường hầm. 1.4 Phân loại VPN Mạng riêng ảo có thể là hệ thống mạng ảo giữa hai đầu cuối hệ thống hay giữa hai hay nhiều mạng riêng. Do đó ta có thể chia mạng mạng riêng ảo thành hai loại chính đó là: Customer – based VPN ( hay còn gọi là Overlay VPN): là mạng riêng ảo được cấu hình trên các thiết bị của khách hàng sử dụng các giao thức đường hầm xuyên qua mạng công cộng. Nhà cung cấp dịch vụ sẽ cung cấp các kênh ảo, kết nối ảo giữa các mạng của khách hàng. Network – based VPN ( hay còn gọi là site to site VPN): là mạng riêng ảo được cấu hình trên các thiết bị của nhà cung cấp dịch vụ và được quản lý bởi nhà cung 12 cấp dịch vụ. Ở đây nhà cung cấp trao đổi thông tin định tuyến với khách hàng và sắp đặt dữ liệu của khách hàng vào các đường đi tối ưu nhất. 1.4.1 Overlay VPN Mô hình Overlay VPN được triển khai dưới nhiều công nghệ khác nhau. Ban đầu VPN được xây dựng bằng cách sử dụng các đường kết nối leased line để cung cấp kết nối giữa các khách hàng ở nhiều vị trí khác nhau. Khách hàng mua các dịch vụ đường kết nối của nhà cung cấp. Đường kết nối này được thiết lập giữa các mạng của khách hàng và đường này là đường riêng cho khách hàng. Cho đến những năm 1990, Frame Relay được giới thiệu. Frame Relay được xem như là một công nghệ VPN vì nó đáp ứng kết nối cho khách hàng như dịch vụ leased line, chỉ khác ở chỗ là khách hàng không được cung cấp các đường dành riêng cho mỗi khách hàng mà các khách hàng sử dụng một đường chung nhưng được chỉ định các kênh ảo, các kênh ảo này sẽ đảm bảo lưu lượng cho mỗi khách hàng riêng biệt. Khi cung cấp kênh ảo cho khách hàng nghĩa là nhà cung cấp dịch vụ đã xây dựng một đường hầm riêng cho lưu lượng khách hàng chảy qua mạng dùng chung của nhà cung cấp dịch vụ. Sau này công nghệ ATM ra đời về cơ bản ATM cũng giống như Frame Relay nhưng đáp ứng được tốc độ chuyền dẫn cao hơn. Khách hàng thiết lập việc liên lạc giữa các thiết bị đầu phía khách hàng với nhau thông qua kênh ảo. Giao thức định tuyến chạy trực tiếp giữa các bộ định tuyến khách hàng thiết lập các mối quan hệ cận kề và trao đổi thông tin định tuyến với nhau. Nhà cung cấp dịch vụ không hề biết đến thông tin định tuyến của khách hàng và nhiệm vụ của nhà cung cấp trong mô hình này chỉ là đảm bảo vận chuyển dữ liệu từ điểm tới điểm giữa các mạng của khách hàng mà thôi. Mô hình Overlay VPN được triển khai theo các rãnh riêng thông qua cơ sở hạ tầng của nhà cung cấp dịch vụ. Hệ thống này có thể được thi hành tại lớp 1 sử dụng đường leased line/dialup line, tại lớp 2 sử dụng X25/Frame Relay/ ATM kênh ảo hoặc tại lớp 3 sử dụng đường hầm IP (GRE) Với mô hình VPN triển khai ở lớp 1, mô hình này kế thừa giải pháp ghép kênh theo thời gian truyền thống - thời gian sử dụng đường truyền được chia ra làm nhiều khung, mỗi khung được chia thành nhiều khe thời gian và mỗi người sử dụng một khe cho mình để phục vụ việc truyền tin. Ở đây nhà cung cấp ấn định nhiều dòng bit và thiết lập các kết nối vật lý giữa các site khách hàng thông qua ISDN, DSO, T1, E1, SONET hoặc SDH và khách hàng chịu trách nhiệm thi hành ở tất cả các lớp cao hơn ví như PPP, HDLC, IP 13 Với mô hình Overlay VPN thực hiện ở lớp 2, mô hình này kế thừa giải pháp chuyển mạch trong mạng WAN. Ở đây nhà cung cấp dịch vụ chịu trách nhiệm thiết lập các kênh ảo ở lớp 2 giữa các sites khách hàng thông qua X.25, Frame Relay hoặc ATM và khách hàng có nhiệm vụ ở lớp IP và các lớp cao hơn. Hình 1.2 Over lay VPN triển khai ở lớp 2 Với mô hình Overlay triển khai ở lớp 3, mô hình này được thực hiện các kết nối điểm tới điểm thông qua đường hầm IP. Thông qua đường hầm IP thì việc lưu thông là trong suốt đối với đích và nguồn song vấn đề là ta phải biết rõ ràng topo mạng. Chính vì vậy hệ thống mạng ảo có thể được tạo ra bởi sự phối hợp các các thiết bị không kết nối hoặc máy chủ với nhau thông qua một đường hầm. Việc triển khai đường hầm đảm bảo được tính riêng tư của hệ thống địa chỉ mạng dọc theo mạng xương sống của nhà cung cấp dịch vụ mà không cần chuyển đổi địa chỉ mạng. Đường hầm được thiết lập với hai công nghệ phổ biến là GRE - generic routing encapsulation - và IPSec – IP secrity. Triển khai theo GRE đơn giản và nhanh hơn song độ an toàn kém trái lại triển khai theo IPSec phức tạp và tốn tài nguyên hơn nhưng tính an toàn lại cao. Hình 1.1 Mô hình Overlay VPN triển khai ở lớp 1 14 Hình 1.3 Mô hình Overlay VPN triển khai ở lớp 3 Đường hầm GRE cung cấp một ống cố định dọc theo hệ thống chia sẻ mạng diện rộng ở đây các gói tin được bọc bởi một tiêu đề đầu sau đó được truyền đi tới những đích cố định. Vì vậy hệ thống mạng đảm bảo tính riêng tư nhờ đưa lộ trình vào trong đường hầm tới một điểm đến. Hệ thống đường hầm GRE không có khả năng đảm bảo tính an toàn, để hệ thống được tốt hơn thì có thể kết hợp GRE và IPSec. Khi ta triển khai VPN trên lớp 3 thông qua hệ thống mạng công cộng thì hệ thống đường hầm được thiết lập. IPSec cung cấp dịch vụ đảm bảo tính an toàn thông tin cao nó đảm bảo thông tin qua mạng là an toàn. IPSec là một chuẩn trong Internet, nó quy định các chuẩn quy ước giữa người dùng và các thiết bị. Nó được triển khai một cách “trong suốt” trong hệ thống cơ sở hạ tầng của mạng. Người sử dụng đầu cuối không cần quan tâm xem gói tin bị chặn hay chuyển đi như thế nào trên mạng bởi IPSec Overlay VPN được triển khai dưới dạng đường hầm. Việc triển khai thành công các công nghệ gắn với địa chỉ IP nên một vài nhà cung cấp dịch vụ bắt đầu triển khai VPN qua IP. Thực vậy, nếu khách hàng nào xây dựng mạng của riêng họ qua Internet thì có thể dùng giải pháp này vì chi phí thấp. Bên cạnh lý do kinh tế thì mô hình đường hầm còn đáp ứng cho khách hàng việc bảo mật dữ liệu. 15 Hình 1.4 Mô hình triển khai dưới dạng đường hầm Trong mô hình Overlay VPN, nhà cung cấp dịch vụ chỉ có nhiệm vụ cung cấp các đường kết nối điểm tới điểm hoặc các kênh ảo. Nhà cung cấp không tham gia vào quá trình định tuyến mà đơn thuần cung cấp việc vận chuyển dữ liệu giữa các mạng của khách hàng và giao thức định tuyến nằm ở bộ định tuyến của khách hàng. Hình 1.5 Mô hình Overlay VPN Hình trên minh hoạ một mô hình Overlay VPN. Với 3 site khách hàng là HÀNỘI, TPHCM và Đà Nẵng. Ở đây Hà nội kết nối với TPHCM qua một kết nối vật lý do nhà cung cấp cấp, tương tự cũng có một kết nốii Hà nội với Đà nẵng. Trong mô hình này định tuyến lớp 3 được thiết lập trực tiếp tại các thiết bị định tuyến biên của phía khách hàng là Hà nội, TPHCM và Đà nẵng và bản thân nhà cung cấp không tham gia vào quá trình định tuyến. 16 Do nhà cung cấp không tham gia vào quá trình định tuyến của khách hàng và họ chỉ cung cấp các dịch vụ vận chuyển dữ liệu qua các kết nối điểm tới điểm ảo ( các kết nối này có thể là cố định hoặc là các kết nối chuyển đổi) Như vậy nhà cung cấp chỉ cung cấp cho khách hàng các kết nối ảo ở lớp 2. Nên ta thấy mô hình này có xuất hiện vài ưu điểm : Nhà cung cấp dịch vụ không tham gia vào phía định tuyến của khách hàng. Mạng của nhà cung cấp dịch vụ và mạng của khách hàng hoàn toàn tách biệt. Có thể tái tạo và sử dụng lại địa chỉ IP Bên cạnh những ưu điểm trên mô hình Overlay VPN còn một số nhược điểm: Nhược điểm chính của mô hình này là các mạch ảo kết nối các site khách hàng đều ở dạng full mesh nghĩa là nếu có N site khách hàng thì tổng mạch ảo tối ưu cho việc định tuyến là N*(N-1)/2. Hai phía khách hàng đếu phải thực hiện các giao thức bảo mật và mã hoá dữ liệu như IP Sec, SSL, GRE.. do đó gây ra độ trễ lớn và việc triển khai các ứng dụng thời gian thực là không khả thi. Khi muốn mở rộng mạng ( bổ sung site mới) thì nhà cung cấp dịch vụ phải cấu hình thêm một VC mới việc này tốn công sức và băng thông của nhà cung cấp. Mặt khác ta thấy các cam kết về chất lượng dịch vụ trong mô hình Overlay VPN thường là cam kết về băng thông trên một kênh ảo, băng thông có thể sử dụng được tối đa trên một kênh ảo. Việc cam kết này được thực hiện thông qua các thống kê tự nhiên của dịch vụ lớp 2 nhưng lại phụ thuộc vào chiến lược của nhà cung cấp. Điều này có nghĩa là tốc độ cam kết không thực sự được bảo đảm mặc dù nhà cung cấp có thể đảm bảo tốc độ nhỏ nhất. Cam kết về băng thông cũng chỉ là cam kết về hai điểm trong mạng khách hàng. Nếu không có ma trận lưu lượng thì thật khó có thể thực hiện cam kết này cho khách hàng trong mô hình Overlay VPN và thật khó có thể cung cấp nhiều lớp dịch vụ vì nhà cung cấp dịch vụ không thể phân biệt được lưu lượng ở giữa mạng. Để làm được việc này đòi hỏi phải tạo ra nhiều kết nối như trong mạng Frame relay hay ATM là có các kênh ảo cố định giữa các site khách hàng tuy nhiên nhiều kết nối chỉ làm tăng thêm chi phí của mạng 1.4.2 Site to site VPN ( Mô hình VPN ngang cấp) Mô hình VPN ngang cấp ra đời nhằm giải quyết các hạn chế của mô hình Overlay VPN. Mô hình này cho phép nhà cung cấp dịch vụ cung cấp cho khách hàng việc vận chuyển dữ liệu một cách tối ưu qua hệ thống mạng xương sống và với mô hình này 17 nhà cung cấp dịch vụ và khách hàng sử dụng chung một loại giao thức mạng và toàn bộ việc định tuyến của khách hàng được thực hiện trong lõi mạng của nhà cung cấp. Bộ định tuyến nhà cung cấp dịch vụ trao đổi thông tin định tuyến với bộ định tuyến của khách hàng, tại mỗi mạng liền kề. Định tuyến lớp 3 được thiết lập giữa bộ định tuyến biên của khách hàng với bộ định tuyến biên của nhà cung cấp. Bởi việc định tuyến giữa các nút đã được triển khai nên việc định tuyến giữa các mạng giờ đây là tối ưu. Đa kết nối được thiết lập từ điểm tới điểm hay việc kết nối thông qua hệ thống xương sống của mạng nhà cung cấp đã giúp cho việc định tuyến đạt được ở mức tối ưu. Trong mô hình này việc bổ xung các mạng con dễ dàng hơn khi đó khả năng của các vi mạch không còn là vấn đề phải quan tâm. Địa chỉ IP của phía khách hàng do nhà cung cấp kiểm soát. Nhà cung cấp dịch vụ chia sẻ việc định tuyến với khách hàng, nhà cung cấp dịch vụ ấn định hoặc đưa ra một khoảng địa chỉ cần thiết để triển khai hệ thống mạng của khách hàng vì vậy địa chỉ riêng không còn là sự lựa chọn nữa. Hình 1.6 Mô hình site to site VPN Hình trên mô phỏng cách triển khai của mô hình site to site VPN. Trong mô hình này thông tin định tuyến được trao đổi giữa bộ định tuyến biên của khách hàng và nhà cung cấp dịch vụ cụ thể ở đây là giữa Hà nội CE và Hà nội PE. Sau đó bộ định tuyến của nhà cung cấp trao đổi với bộ định tuyến của khách hàng khác thông qua hệ thống mạng lõi ở đây bộ định tuyến Hà nội PE sẽ quảng bá qua hệ thống lõi tới TPHCM PE và Đà nẵng PE. Mặt khác các thông tin định tuyến lớp 3 được trao đổi trực tiếp giữa bộ định tuyến của khách hàng với bộ định tuyến của nhà cung cấp. 18 Như vậy ta thấy mô hình này không yêu cầu tạo ra các mạch ảo mà bộ định tuyến CE trao đổi trực tiếp thông tin về tuyến với các bộ định tuyến PE của nhà cung cấp dịch vụ và thông tin định tuyến của khách hàng được quảng bá trong mạng lõi của nhà cung cấp do đó sẽ xác định được đường đi tối ưu giữa một site khách hàng này tới một site khách hàng khác. Nhà cung cấp dịch vụ triển khai hai ứng dụng khác sử dụng mạng riêng ảo ngang cấp: Phương pháp chia sẻ router: Bộ định tuyến dùng chung, nghĩa là khách hàng chia sẻ cùng bộ định tuyến biên mạng của nhà cung cấp. Ở phương pháp này nhiều khách hàng có thể kết nối trên cùng một bộ định tuyến của nhà cung cấp Hình 1.7 Mô hình VPN ngang cấp sử dụng router dùng chung Trên bộ định tuyến biên mạng của nhà cung cấp phải cấu hình một danh sách truy cập cho giao diện của mỗi nhà cung cấp - để đảm bảo chắc chắn sự cách ly giữa các khách hàng VPN, để ngăn chăn mạng riêng ảo của khách hàng này thực hiện các tấn công từ chối dịch vụ vào mạng riêng ảo của khách hàng khác. Nhà cung cấp dịch vụ chia mỗi phần trong không gian địa chỉ của nó cho khách hàng và quản lý việc lọc gói tin trên router của nhà cung cấp 19 Hình 1.8 Mô hình VPN ngang cấp với router dùng chung Ở mô hình trên có 3 mô hình VPN riêng biệt VPN-101, VPN-201, VPN-301. Những mô hình này được triển khai trên 4 site khách hàng khác nhau. VPN-101 được triển khai cho Paris cũng như Lyon. VPN-201 được triển khai cho Brussels và VPN- 301 được triển khai cho Munic. Ta thấy Lodon PE chứa toàn bộ thông tin định tuyến của cả 3 mô hình VPN. Việc cách ly giữa các mô hình VPN được thực hiện bởi một danh sách truy cấp trên giao diện của PE và CE: Serial0/0, Serial0/1, Serial0/2, Serial0/3. Phương pháp router riêng: là phương pháp mà khách hàng VPN có router của nhà cung cấp dịch vụ riêng. Trong phương pháp này, mỗi khách hàng VPN phải có router của nhà cung cấp dành riêng và do đó chỉ truy cập đến các router trong bảng định tuyến của router nhà cung cấp đó. 20 Hình 1.9 Mô hình VPN ngang cấp sử dụng router dành riêng Mô hình router dành trước sử dụng giao thức định tuyến để tạo ra bảng định tuyến trên một mạng riêng ảo trên router nhà cung cấp. Bảng định tuyến chỉ có các router được quảng bá bởi khách hàng VPN kết nối đến chúng, kết quả là tạo ra sự cách ly tuyệt vời giữa các mạng riêng ảo. Việc định tuyến router dành trước có thể thực hiện: Giao thức định tuyến chạy giữa PE và CE là bất kỳ BGP là giao thức chạy giữa PE và CE PE phân phối các router nhận được từ CE vào BGP, đánh dấu với ID của khách hàng và truyền các router đến router P, router P sẽ có tất cả các router từ tất cả các VPN của khách hàng. Router P chỉ truyền các định tuyến với BGP community thích hợp đến router PE. Do đó router PE chỉ nhận các tuyến từ router CE trong VPN của chúng. Sự chia tách giữa các khách hàng đạt được thông qua việc thiếu thông tin định tuyến của nó trong bộ định tuyến biên của khách hàng. Bộ định tuyến của nhà cung cấp chứa toàn bộ bộ định tuyến của khách hàng và lọc thông tin định tuyến giữa các bộ định tuyến biên của mỗi khách hàng trong mạng nhà cung cấp sử dụng BGP. Bởi mỗi khách hàng có một bộ định tuyến biên riêng của nhà cung cấp nên mô hình này khá đắt để triển khai do đó nó không phải là giải pháp hiệu quả về giá cả 21 Hình 1.10 Mô hình router dành riêng Trong mô hình này có 2 mạng riêng biệt: VPN-101, VPN-201 và triển khai qua 4 site khách hàng khác nhau. VPN-101 được triển khai cho hai nơi Paris và Brussels và VPN-201 được triển khai cho một nơi là London. Bộ định tuyến của nhà cung cấp dịch vụ trong mạng của nhà cung cấp chứa toàn bộ bộ định tuyến của hai mạng riêng ảo VPn-101 và VPN-201 và nó lọc các thông tin định tuyến cập nhật của các Paris PE, London PE, và Brussels PE sử dụng BGP Communities. Từ hai phương pháp trên ta thấy: Phương pháp dùng chung router rất khó duy trì vì nó yêu cầu cần phải có danh sách truy cập dài và phức tạp trên giao diện của router. Còn phương pháp dùng router riêng, mặc dù có vẻ đơn giản về cấu hình và dễ duy trì hơn nhưng nhà cung cấp dịch vụ phải bỏ ra chi phí lớn để đảm bảo được phục vụ tốt cho khách hàng. Tất cả khách hàng dùng chung không gian địa chỉ IP, nên họ phải sử dụng hoặc là địa chỉ IP thật trong mạng riêng của họ hoặc là phụ thuộc vào nhà cung cấp dịch vụ để có được địa chỉ IP. Trong cả hai trường hợp, kết nối một khách hàng mới đến dịch vụ VPN ngang cấp đòi hỏi phải đăng ký lại địa chỉ IP trong mạng khách hàng. Khách hàng không thể thêm router mặc định vào mạng riêng ảo. Giới hạn này đã ngăn chặn việc định tuyến tối ưu và cấm khách hàng truy cập Internet từ nhà cung cấp dịch vụ khác. 22 Việc định tuyến đơn giản hơn nhìn từ phía khách hàng khi router khách hàng chỉ trao đổi thông tin định tuyến với một hoặc một vài router PE. Trong khi ở mô hình Overlay VPN, số lượng router láng giềng có thể phát triển với số lượng lớn. Định tuyến giữa các site khách hàng luôn luôn là tối ưu vì nhà cung cấp dịch vụ biết topo mạng khách hàng và do đó có thể thiết lập định tuyến tối ưu cho các router của họ. Việc cung cấp băng thông đơn giản hơn bởi vì khách hàng chỉ phải quan tâm đến băng thông đầu vào và ra ở mỗi site mà không cần phải chính xác toàn bộ lưu lượng từ site này đến site như mô hình Overlay. Hơn nữa mô hình này có khả năng mở rộng vì nhà cung cấp dịch vụ chỉ cần thêm vào một site và thay đổi cấu hình trên router PE. Trong mô hình Overlay, nhà cung cấp dịch vụ phải tham gia vào toàn bộ tập hợp các kênh ảo từ site này đến site khác của VPN khách hàng. Tuy nhiên khi triển khai mô hình site to site có một số hạn chế: Nhà cung cấp dịch vụ phải đáp ứng được định tuyến khách hàng cho đúng và đảm bảo việc hội tụ của mạng khách hàng khi có lỗi liên kết. Router P của nhà cung cấp dịch vụ phải mang tất cả các tuyến của khách hàng. Nhà cung cấp dịch vụ phải biết rõ chi tiết về định tuyến IP, mà điều này thực sự không cần thiết đối với nhà cung cấp từ xưa đến nay. 1.5 Kết luận Ngày nay, hệ thống mạng phát triển mạnh, nhu cầu chia sẻ tài nguyên trên mạng là một vấn đề tất yếu. Một yêu cầu cấp bách đặt ra hiện nay đó là việc an toàn dữ liệu khi đi trên hệ thống mạng. Có rất nhiều giải pháp, VPN là một trong những giải pháp hiệu quả, và được ứng dụng rộng rãi. Dịch vụ VPN cho phép kết nối mạng riêng với chỉ 1 đường kênh vật lý duy nhất, chi phí rẻ so với công nghệ truyền thống, tận dụng khả năng xử lý của các thiết bị trong lõi mạng của nhà cung cấp. Bên cạnh đó còn có tính năng bảo mật an toàn, khả năng mỏ rộng mạng dễ dàng đặc biệt rất hiệu quả trong việc công ty muốn mở rộng thêm chi nhánh khi đó khách hàng chỉ cần đăng ký thêm điểm kết nối mà không cần đầu tư gì trên mạng. Nhờ những tính năng ưu việt nên VPN là một mô hình đang được ứng dụng rộng rãi tại Việt Nam. Việc nghiên cứu và phân tích các loại VPN hiện nay cho ta thấy được ưu cũng như nhược điểm của từng mô hình để từ đó ứng dụng vào thực tế cho phép ta có những lựa chọn đúng đắn phù hợp với từng nhu cầu của ứng dụng. 23 CHƯƠNG 2 MẠNG RIÊNG ẢO TRÊN NỀN CÔNG NGHỆ MPLS Trong chương này báo cáo luận văn sẽ trình bày về công nghệ MPLS- là một công nghệ đang được ứng dụng rộng rãi hiện nay, khái niệm MPLS, đặc điểm của công nghệ MPLS, phương thức hoạt động MPLS và đi sâu vào ứng dụng MPLS VPN. 2.1 Vấn đề đặt ra? Mạng internet ra đời mở màn cho kỷ nguyên tiến bộ vượt bậc của nhân loại, nó không ngừng phát triển về phạm vi cũng như chất lượng. Khi mạng Internet phát triển và mở rộng, lưu lượng Internet bùng nổ. Các nhà cung cấp dịch vụ xử lý bằng cách tăng dung lượng các kết nối và nâng cấp các router nhưng vẫn không tránh khỏi nghẽn mạch. Lý do là các giao thức định tuyến thường hướng lưu lượng vào một số các kết nối nhất định dẫn đến kết nối này bị quá tải trong khi một số tài nguyên khác không được sử dụng. Đây chính là tình trạng phân bổ không đều và sử dụng lãng phí tài nguyên mạng Internet. Vào những thập niên 90, các nhà cung cấp dịch vụ phát triển mạng của họ theo mô hình chồng lớp bằng cách đưa ra giao thức IP over ATM. ATM là một công nghệ hướng kết nối thiết lập các kênh ảo, tuyến ảo tạo thành một mạng logic nằm trên mạng vật lý, giúp định tuyến, phân bổ tải đồng đều trên toàn mạng. Tuy nhiên IP và ATM là hai công nghệ hoàn toàn khác nhau, được thiết kế cho những môi trường mạng khác nhau, khác nhau về giao thức, cách đánh địa chỉ, định tuyến, báo hiệu, phân bổ tài nguyên… và khi các nhà cung cấp dịch vụ phát triển mạng theo hướng IP over ATM họ càng nhận rõ nhược điểm của mô hình này: - Tính khả chuyển Một vấn đề mà nhà cung cấp dịch vụ gặp phải là tính khả chuyển. Tức là để đảm bảo việc dự phòng và tối ưu trong quá trình định tuyến thì mô hình full mesh của các mạch ảo (VCs) phải được tạo ra mà kết quả có quá nhiều kết nối. 24 Hình 2.1 Full mesh với 6 kết nối ảo Và càng nhiều các địa điểm thêm vào mạng lõi thì càng cần phải có nhiều kết nối ảo (VCs) được tạo ra. Điều đó cũng có nghĩa là các router sẽ phải trao đổi cập nhật bảng thông tin định tuyến với nhiều router liền kề gây ra một sự lưu thông lớn trên mạng. Sự quá tải này cũng sẽ làm ảnh hưởng tới hiệu suất của router là làm giảm tốc độ xử lý của chúng. - Điều khiển lưu lượng Điều khiển lưu lượng là quá trình xử lý mà lưu lượng được vận chuyển một cách tối ưu theo yêu cầu. Mặc dù cả hai công nghệ IP và ATM đều có nhưng rõ ràng IP không thể sánh được với ATM về đặc tính này. ATM và IP là hai công nghệ hoàn toàn tách biệt nhau cho nên thật khó để kết hợp triển khai điều khiển lưu lượng đầu cuối - Chất lượng của dịch vụ (QoS) Cả IP và ATM đều có khả năng đảm bảo chất lượng dịch vụ. Một sự khác nhau giữa chúng chính là IP là giao thức không kết nối (connectionless) còn ATM là giao thức có kết nối (connection-oriented). Vì vậy vấn đề đặt ra ở đây chính là các nhà cung cấp dịch vụ phải làm thế nào để kết hợp được 2 cách triển khai chất lượng dịch vụ thành một giải pháp duy nhất Chúng ta cũng có thể thấy rõ sự bất cập tồn tại ở chuyển tiếp gói tin ở lớp mạng truyền thống (ví dụ chuyển tiếp gói tin IP qua mạng Internet). Sự chuyển tiếp gói tin dựa trên các thông tin được cung cấp bởi các giao thức định tuyến (ví dụ RIP, OSPF, EIGRP, BGP…), hoặc định tuyến tĩnh để đưa ra quyết định chuyển tiếp gói tin tới bước tiếp theo trong mạng. Sự chuyển tiếp này chỉ duy nhất dựa trên địa chỉ đích. Tất cả các gói tin có cùng một đích đến sẽ đi theo cùng một con đường. Thông thường là con đường có giá nhỏ nhất điều đó dễ dàng dẫn đến hiện tượng mất cân bằng tải. 25 Hình 2.2 Một ví dụ về mạng IP dựa trên mạng lõi ATM Để đảm bảo quá trình chuyển tiếp gói tin trong mạng là tối ưu, một mạch ảo ATM phải tồn tại giữa bất kỳ hai router kết nối tới mạng lõi ATM. Điều đó có nghĩa là nếu quy mô của mạng lớn, có đến vài chục hoặc thậm chí hàng trăm router kết nối với nhau thì xảy ra một vấn đề khá trầm trọng Ta có thể gặp các vấn đề sau: Khi một router mới được nối vào mạng lõi WAN thì một mạch ảo phải được thiết lập Nếu một mạng chạy giao thức định tuyến thì mọi router sẽ thông báo sự thay đổi trong mạng tới mọi router khác cùng kết nối tới WAN đường trục, kết quả là có quá nhiều lưu lượng trong mạng. Sử dụng các mạch ảo giữa các router là phức tạp bởi vì thật là khó để dự đoán chính xác lưu lượng giữa bất kỳ hai router trong mạng. Mặt khác sự bùng nổ của mạng Internet dẫn tới xu hướng hội tụ các mạng viễn thông khác như mạng thoại, truyền hình dựa trên Internet, khi đó giao thức IP trở thành giao thức chủ đạo trong lĩnh vực mạng. Xu hướng của nhà cung cấp dịch vụ là thiết kế và sử dụng các router chuyên dụng với dung lượng truyền tải lớn hỗ trợ các giải pháp tích hợp, chuyển mạch đa lớp cho mạng trục Internet. Nhu cầu cấp thiết trong bối cảnh này là phải ra đời một công nghệ lai có khả năng kết hợp những đặc điểm tốt của chuyển mạch kênh ATM và chuyển mạch gói IP. Công nghệ MPLS ra đời trong bối cảnh đáp ứng nhu cầu của thị trường theo đúng tiêu chí phát triển của Internet đã mang lại những lợi ích thiết thực, đánh dấu một 26 bước phát triển mới của Internet trước xu thế tích hợp công nghệ thông tin và viễn thông 2.2 Chuyển mạch nhãn đa giao thức là gì? 2.2.1 Khái niệm Chuyển mạch nhãn đa giao thức (Multiprotocol Label Switching – MPLS) là một công nghệ được đưa ra với mục đích giải quyết nhiều vấn đề đang tồn tại liên quan tới chuyển mạch gói trong môi trường kết nối Internet. MPLS là một công nghệ kết hợp đặc điểm tốt nhất giữa định tuyến lớp ba và chuyển mạch lớp hai cho phép chuyển tải các gói rất nhanh trong mạng lõi (core) và định tuyến tốt ở mạng biên (edge) bằng cách dựa vào nhãn (label). MPLS là một phương pháp cải tiến việc chuyển tiếp gói trên mạng bằng các nhãn được gắn với mỗi gói IP, tế bào ATM, hoặc frame lớp hai. Phương pháp chuyển mạch nhãn giúp các Router và MPLS-enable ATM switch ra quyết định theo nội dung nhãn tốt hơn việc định tuyến phức tạp theo địa chỉ IP đích. MPLS kết nối tính thực thi và khả năng chuyển mạch lớp hai với định tuyến lớp ba. Cho phép các nhà cung cấp dịch vụ cung cấp nhiều dịch vụ khác nhau mà không cần phải bỏ đi cơ sở hạ tầng sẵn có. Cấu trúc MPLS có tính mềm dẻo trong bất kỳ sự phối hợp với công nghệ lớp hai nào. MPLS hỗ trợ mọi giao thức lớp hai, triển khai hiệu quả các dịch vụ IP trên một mạng chuyển mạch IP. MPLS hỗ trợ việc tạo ra các tuyến khác nhau giữa nguồn và đích trên một đường trục Internet. Bằng việc tích hợp MPLS vào kiến trúc mạng, Các nhà cung cấp dịch vụ có thể giảm chi phí, tăng lợi nhuận, cung cấp nhiều hiệu quả khác nhau và đạt được hiệu quả cạnh tranh cao. 2.2.2 Đặc điểm mạng MPLS Không cần có một giao diện lập trình ứng dụng, cũng không có thành phần giao thức phía host. - MPLS chỉ nằm trên các router. - MPLS là giao thức độc lập nên có thể hoạt động cùng với giao thức khác IP như IPX, ATM, Frame Relay,… - MPLS giúp đơn giản hoá quá trình định tuyến và làm tăng tính linh động của các tầng trung gian. 27 2.2.3 Một số khái niệm cơ bản trong kiến trúc MPLS 2.2.3.1 Nhãn Nhãn là một khung nhận dạng ngắn, chiều dài cố định . Nhãn không tực tiếp mã hóa thông tin của header như địa chỉ lớp mạng. Nhãn được gói vào một gói tin cụ thể sẽ đại diện cho một FEC mà gói tin đó đã được ấn định. Có hai kiểu nhãn Kiểu khung: Hình 2.3 Nhãn kiểu khung Kiểu khung là thuật ngữ khi chuyển tiếp một gói với nhãn gắn trước tiêu đề lớp ba. Một nhãn được mã hoá với 20bit, nghĩa là có thể có 220 giá trị khác nhau. Một gói có nhiều nhãn, gọi là chồng nhãn (label stack). Ở mỗi chặng trong mạng chỉ có một nhãn bên ngoài được xem xét. Hình trên mô tả định dạng tiêu đề của MPLS - Kiểu tế bào Thuật ngữ này dùng khi có một mạng gồm các ATM LSR dùng MPLS trong mặt phẳng điều khiển để trao đổi thông tin VPI/VCI thay vì dùng báo hiệu ATM. Trong kiểu tế bào, nhãn là trường VPI/VCI của tế bào. Sau khi trao đổi nhãn trong mặt phẳng điều khiển, ở mặt phẳng chuyển tiếp, bộ định tuyến ngõ vào (ingress router) phân tách gói thành các tế bào ATM, dùng giá trị VCI/VPI tương ứng đã trao đổi trong mặt phẳng điều khiển và truyền tế bào đi. Các ATM LSR ở phía trong hoạt động như chuyển mạch ATM – chúng chuyển tiếp một tế bào dựa trên VPI/VCI vào và thông tin cổng ra tương ứng. Cuối cùng, bộ định tuyến ngõ ra (egress router) sắp xếp lại các tế bào thành một gói. Bảng này gồm những trường sau 28 Hình 2.4 Nhãn kiểu tế bào GFC(generic Flow Control): Điều khiển luồng chung VPI(Vitual Parth Identifier): Nhận dạng đường ảo VCI ( Vitual Chanel Identifier): Nhận dạng kênh ảo PT ( Payload Type) chỉ thị kiểu trường tin CLP (Cell loss Priority) chức năng chỉ thị ưu tiên huỷ bỏ tế bào HEC ( Header Error Check) : Kiểm tra lỗi tiêu đề 2.2.3.2 Chồng nhãn Một tập hợp có thứ tự các nhãn gắn theo các gói tin để chuyển tải thông tin về nhiều FEC và về các LSP tương ứng mà gói sẽ đi qua. Ngăn xếp nhãn cho phép MPLS hỗ trợ định tuyến phân cấp (Một nhãn cho EGP – exterior gateway và một nhãn cho IGP – interior gateway protocol) và tổ chức đa LSP trong một trung kế LSP. 2.2.3.3 Lớp chuyển tiếp tương đương FEC ( Forward Equivalence Class) FEC mô tả sự kết hợp các gói tin có cùng địa chỉ đích của người nhận cuối thành các lớp để có những chính sách xử lý tương ứng. Giá trị FEC trong gói tin có thể thiết lập mức độ ưu tiên cho việc điều khiển gói nhằm hỗ trợ hiệu quả hoạt động của QoS (Quality of Service). Đối với các dịch vụ khác nhau thì các FEC khác nhau với các thông số ánh xạ khác nhau. Việc ánh xạ một gói vào một FEC có thể đạt được nhờ vào một số thông số sau: - Địa chỉ IP nguồn, đích. - Cổng nguồn, đích - Nhận dạng giao thức - Luồng FEC được ấn định ngay từ đầu vào của mạng MPLS và phụ thuộc vào hoạt động của LSR ngõ vào, ra. Do đó thường thì các LSR ngõ vào và ra là các router có khả năng xử lý mạnh. 29 2.2.3.4 Đường chuyển mạch nhãn LSP ( label Switching Parth) Đường chuyển mạch nhãn được thiết lập từ ingress LSR (ingress Label S=witching Router – dữ liệu đầu vào là gói IP truyền thống, ingress LSR sẽ ấn định nhãn cho gói thông tin này) đến egress LSR (egress Label Switching Router – gỡ bỏ nhãn cho gói dữ liệu khi ra khỏi mạng lõi MPLS). LSP được xây dựng bằng các giao thức như LDP (Label Distributed Protocol), RSVP (Resource Reservation Protocol),… Một LSP nối từ đầu cuối đến đầu cuối gọi là đường hầm LSP (LSP tunnel) – liên kết các đoạn LSP giữa các nút. 2.2.3.5 Cơ sở thông tin nhãn LIB ( label Information Base) Mỗi LSR phải xây dựng một bảng thông tin sử dụng cho việc định tuyến và chuyển tiếp các gói tin trong mạng. Trong bảng sẽ chứa những thông tin liên quan đến nhãn, địa chỉ, trạm kế,… để xác định rõ ràng cách thức chuyển tiếp của gói dữ liệu như thế nào. 2.2.3.6 Một số khái niệm khác LSR - Label Switch Router là các router hoặc switch triển khai phân phối nhãn và có thể chuyển tiếp các gói dựa trên các nhãn. Chức năng cơ bản của quá trình phân phối nhãn này cho phép một LSR phân phối nhãn thông tin chuyển tiếp của nó tới các LSRs khác trong mạng MPLS. Có một vài loại LSR khác nhau và chúng được phân biệt nhờ chức năng của chúng trong cơ sở hạ tầng mạng. Sự khác nhau giữa các loại LSR chỉ là cấu trúc bởi một loại có thể đóng nhiều vai trò khác nhau. Chúng ta có thể tóm tắt các chức năng của các loại LSR. Chú ý rằng bất kỳ một thiết bị trên mạng nào có thể có nhiều hơn một chức năng (một thiết bị có thể vừa là LSR biên vừa là ATM LSR biên. Kiểu LSR Chức năng LSR Chuyển tiếp các gói tin đã được gán nhãn LSR biên - Có thể nhận một gói tin IP, thực hiện kiểm tra lớp 3, và gán một ngăn xếp nhãn trước khi chuyển tiếp gói vào miền MPLS - Có thể nhận một gói IP, thực hiện việc kiểm tra ở lớp 3, chuyển tiếp gói IP tới điểm tiếp theo (next-hop) ATM-LSR - Chạy các giao thức MPLS trong mặt phẳng điều khiển để tạo ra 30 2.2.4 Phương thức hoạt động của công nghệ MPLS - MPLS hoạt động trong lõi của mạng IP. Các Router trong lõi phải kích hoạt MPLS trên từng giao tiếp. Nhãn được gắn thêm vào gói IP khi gói đi vào mạng MPLS. Nhãn được tách ra khi gói ra khỏi mạng MPLS. Nhãn (Label) được chèn vào giữa header lớp ba và header lớp hai. Sử dụng nhãn trong quá trình gửi gói sau khi đã thiết lập đường đi. MPLS tập trung vào quá trình hoán đổi nhãn. Một trong những thế mạnh của khiến trúc MPLS là tự định nghĩa chồng nhãn. - Công thức để gán nhãn gói tin là: Network Layer Packet + MPLS Label Stack - Không gian nhãn (Label Space): có hai loại. Một là, các giao tiếp dùng chung giá trị nhãn (per-platform label space). Hai là, mỗi giao tiếp mang giá trị nhãn riêng, (Per-interface Label Space). - Bộ định tuyến chuyển nhãn (LSR – Label Switch Router): ra quyết định chặng kế tiếp dựa trên nội dung của nhãn, các LSP làm việc ít và hoạt động gần giống như Switch. - Con đường chuyển nhãn (LSP – Label Switch Path): xác định đường đi của gói tin MPLS. Gồm hai loại: Hop by hop signal LSP - xác định đường đi khả thi nhất và Explicit route signal LSP - xác định đường đi từ nút gốc.. Sự khác nhau cơ bản giữa MPLS và các công nghệ WAN truyền thống chính là cách mà các nhãn được gán và khả năng mang một ngăn xếp của các nhãn cho một gói tin. Khái niệm ngăn xếp nhãn cho phép chúng ta có nhiều ứng dụng mới ví dụ như Điều khiển lưu lượng (Traffic Engineering), Mạng riêng ảo (Virtual Private Network – VPN )…. các mạch ảo ATM, và chuyển tiếp các tế bào tới ATM-LSR ở điểm tiếp theo(next-hop) ATM LSR- biên - Có thể nhận 1 gói đã được gán nhãn hoặc chưa, chia nó thành các tế bào ATM và chuyển tiếp các tế bào tới ATM-LSR tiếp theo - Có thể nhận các tế bào ATM từ một ATM-LSR kề cận, lắp ghép các tế bào này trở lại gói tin gốc và sau đó chuyển tiếp gói tin này dưới dạng đã được gán nhãn hoặc chưa. 31 Cấu trúc của một nút MPLS bao gồm 2 mặt thành phần: thành phần chuyển tiếp (hay còn được gọi là mặt phẳng dữ liệu) và thành phần điều khiển (còn được gọi là mặt phẳng điều khiển). Thành phần chuyển tiếp sử dụng một cơ sở dữ liệu chuyển tiếp nhãn để chuyển tiếp dữ liệu dựa trên các nhãn đi kèm với gói tin. Thành phần điều khiển chịu trách nhiệm tạo và duy trì các thông tin chuyển tiếp nhãn (còn được gọi là bindings ) giữa nhóm các chuyển mạch nhãn với nhau. Tất cả các nút MPLS phải chạy một hoặc nhiều giao thức định tuyến IP (hoặc dựa trên định tuyến tĩnh) để có thể trao đổi thông tin định tuyến với các nút MPLS khác trên mạng. Theo đó, mỗi một nút MPLS (bao gồm cả chuyển mạch ATM) là một router trên mặt phẳng điều khiển. Hình 2.5 Cấu trúc cơ bản của một nút MPLS Tương tự như các router truyền thống, các giao thức định tuyến IP sẽ dùng để xây dựng nên bảng định tuyến. Bảng định tuyến IP được sử dụng để đẩy gói tin đi. Tại một nút MPLS, bảng định tuyến được sử dụng để xác định việc trao đổi thông tin nhãn chuyển tiếp, nơi mà các nút MPLS kề cận với nó trao đổi các nhãn cho các mạng con (subnets) cụ thể được chứa trong bảng định tuyến. Các quá trình điều khiển định tuyến MPLS IP (MPLS IP Routing Control) sử dụng các nhãn để trao đổi với các nút MPLS cạnh nó để tạo ra bảng chuyển tiếp nhãn (Label Forwarding Table), bảng này là vùng cơ sở dữ liệu được sử dụng để chuyển tiếp các gói được gán nhãn qua mạng MPLS Tạo nhãn ở mạng biên Các gói tin phải được đánh nhãn trước khi chuyển tiếp tới miền mạng MPLS. Để thực hiện được nhiệm vụ này, LSR biên phải biết nơi gói tin được đánh tiêu đề, 32 hoặc ngăn xếp nhãn, nó phải khai báo cho gói tin. Để chuyển tiếp gói tin IP lớp 3 tới chặng tiếp theo, nó kiểm tra trong bảng định tuyến địa chỉ IP đích được chứa trong tiêu đề lớp 3 của gói tin. Sau đó lựa chọn bước tiếp theo để chuyển tiếp gói tin. Và cứ như thế cho đến khi gói tin đi đến đích. Có 2 cách để gói IP tới chặng tiếp theo. Cách thứ nhất là toàn bộ các gói được coi là như nhau khi chuyển qua mạng. Cách thứ hai là ánh xạ từng địa chỉ IP đích tới một IP của chặng tiếp theo. Trong mạng MPLS cách thứ nhất được gọi là nhóm chuyển tiếp tương đương – FECs (Forwarding Equivalence Classes). FEC là một nhóm các gói, nhóm các gói này chia sẻ cùng yêu cầu trong sự chuyển tiếp chúng qua mạng. Tất cả các gói trong một nhóm như vậy được cung cấp cùng cách chọn đường tới đích. Khác với chuyển tiếp IP truyền thống, trong MPLS việc gán một gói cụ thể vào một FEC cụ thể chỉ được thực hiện một lần khi các gói vào trong mạng. MPLS không ra quyết định chuyển tiếp với mỗi datagram ( một gói thông tin và cả thông tin bàn giao kết hợp thường là địa chỉ ) lớp 3 mà sử dụng khái niệm FEC. FEC phụ thuộc vào một số các yếu tố, ít nhất là phụ thuộc vào địa chỉ IP và có thể là phụ thuộc cả vào kiểu lưu lượng trong datagram (thoại, dữ liệu, fax…). Sau đó dựa trên FEC, nhãn được thoả thuận giữa các LSR lân cận từ lối vào tới lối ra trong một vùng định tuyến. Mỗi LSR xây dựng một bảng để xác định xem một gói phải được chuyển tiếp như thế nào. Bảng này được gọi là cơ sở thông tin nhãn (LIB: Label Information Base), nó là tổ hợp các ràng buộc FEC với nhãn (FEC-to-label). Và nhãn lại được sử dụng để chuyển tiếp lưu lượng qua mạng. Một cách để phân chia lưu lượng vào trong các FEC là tạo một FEC riêng biệt cho mỗi tiền tố địa chỉ xuất hiện trong bảng định tuyến. Cách này có thể tạo ra một tập hợp các FEC cho phép cùng đi một đường tới đích. Theo cách này thì bên trong một miền MPLS, sẽ có nhiều FEC riêng biệt và như thế sẽ không hiệu quả. Trên thực tế MPLS hợp nhất những FEC đó thành một FEC duy nhất. 33 Hình 2.6 Các FEC riêng biệt cho mỗi tiền tố địa chỉ Egress Node Routing Table 172.16.10.5/16 172.16.17.3/16 172.16.12.8/16 192.168.14.7/24 192.168.14.20/24 Ingress Node n Prefix = 1 FEC Hình 2.7 Tổng hợp các FEC 34 Hình 2.8 Sự tạo nhãn MPLS và chuyển tiếp Với cơ chế chuyển tiếp IP truyền thống, thì mỗi gói tin được xử lý tại một chặng trong mạng. Tuy nhiên với MPLS, một gói tin cụ thể được gán tới một FEC cụ thể, và được thực hiện tại thiết bị mạng biên khi mà gói tin tham gia vào mạng. Nhóm chuyển tiếp tương đương cho mỗi gói được khai báo sau đó mã hóa thành một chỉ số định dạng ngắn có chiều dài cố định, được gọi là nhãn. 2.2.5 Chuyển tiếp gói MPLS và đường chuyển mạch nhãn Mỗi một gói tin khi tham gia mạng MPLS tại LSR vào và ra khỏi mạng MPLS tại một LSR ra. Cơ chế này tạo ra Đường chuyển mạch nhãn – Label Switched Path (LSP), được mô tả như là một nhóm các LSRs mà các gói được gán nhãn phải đi qua để tới LSR đầu ra cho một FEC cụ thể. LSP là một hướng kết nối (connection-oriented) bởi vì đường dẫn được tạo ra trước khi có sự vận chuyển lưu lượng. Tuy nhiên, việc thiết lập kết nối này dựa trên thông tin về mô hình mạng hơn là yêu cầu về luồng lưu lượng. Khi gói tin đi qua mạng MPLS, mỗi LSR sẽ hoán đổi nhãn đi vào với một nhãn đi ra cho đến LSR cuối cùng, được biết đến là LSR ra. (giống như cơ chế được sử dụng trong mạng ATM nơi mà một cặp VPI/VCI này được tráo đổi với một cặp VPI/VCI khác khi ra khỏi chuyển mạch ATM) 35 2.2.5.1 Các ứng dụng của MPLS Hình 2.9 Các ứng dụng khác nhau của MPLS MPLS được tạo ra để kết hợp của định tuyến truyền thống và chuyển mạch ATM trong một mạng lõi IP thống nhất ( IP-ATM cấu trúc). Tuy nhiên ưu thế thực sự của MPLS chính là các ứng dụng khác mà nó đem lại, từ điều khiển lưu lượng (Traffic Engineering) tới mạng riêng ảo (Virtual Private Networks). Tất cả các ứng dụng này sử dụng chức năng miền điều khiển để thiết lập một cơ sở dữ liệu chuyển mạch 2.2.5.2 Điều khiển lưu lượng Vấn đề quan trọng trong các mạng IP là thiếu khả năng điều khiển linh hoạt các luồng lưu lượng IP để sử dụng hiệu quả dải thông mạng có sẵn. Do vậy, thiếu hụt này liên quan đến khả năng gửi các luồng được chọn xuống các đường được chọn ví dụ như chọn các đường trung kế được bảo đảm cho các lớp dịch vụ riêng. MPLS sử dụng các đường chuyển mạch nhãn LSP mà có thể được thiết lập trên cả ATM và thiết bị dựa trên gói tin. Khả năng kỹ thuật lưu lượng của MPLS sử dụng thiết lập các LSP để điều khiển một cách linh hoạt các luồng lưu lượng IP. 2.2.5.3 Tích hợp IP và ATM Do “chuyển mạch nhãn” có thể thực hiện được bởi các chuyển mạch ATM, MPLS là một phương pháp tích hợp các dịch vụ IP trực tiếp trên chuyển mạch ATM. Sự tích hợp này cần phải đặt định tuyến IP và phần mềm LDP trực tiếp trên chuyển mạch ATM. Do tích hợp hoàn toàn IP trên chuyển mạch ATM, MPLS cho phép chuyển mạch ATM hỗ trợ tối ưu các dịch vụ IP như IP đa hướng (multicast), lớp dịch vụ IP, RSVP và mạng riêng ảo VPN 36 2.2.5.4 Hỗ trợ chất lượng dịch vụ Một thiếu sót của mạng IP so với mạng Frame Relay và ATM, là sự bất lực của chúng để cung cấp dịch vụ thoả mãn nhu cầu lưu lượng. Ví dụ lưu lượng thời gian thực như voice hay video cần dịch vụ chất lượng cao (độ trễ luồng thấp, mất luồng thấp…) khi truyền qua mạng. Tương tự dữ liệu trong kinh tế thương mại phải được ưu tiên qua trình duyệt web thông thường. Kết nối định hướng mang tính tự nhiên của MPLS cung cấp khung làm việc hợp lý để đảm bảo chất lượng lưu lượng IP. Trong khi QoS và lớp dịch vụ CoS (Class of Service) không phải là cơ sở đặc biệt của MPLS, chúng có thể ứng dụng trong mạng MPLS khi kỹ thuật lưu lượng được sử dụng. Điều này cho phép nhà cung cấp thiết lập hợp đồng mức dịch vụ SLA (Service Level Agreements) với khách hàng để đảm bảo dịch vụ như độ rộng băng thông, độ trễ, mức thất thoát. Dịch vụ giá trị gia tăng có thể được phân phối bổ sung như truyền tải dữ liệu cơ sở, tăng thu nhập và cuối cùng cho tiến tới mạng hội tụ. Intserv and Diffserv, qua thời gian một số kỹ thuật được phát triển để thiết lập QoS/CoS trong một mạng. Trong mô hình dịch vụ tích hợp Intserv (Integrated Services), RSVP đã phát triển thủ tục báo hiệu QoS qua một mạng, cho phép thiết bị sắp xếp và thiết lập thông số lưu lượng đảm bảo như độ rộng băng thông và độ trễ đầu cuối - đầu cuối. Nó sử dụng nguồn tài nguyên tại chỗ, đảm bảo dịch vụ xuống theo luồng cơ sở. Mô hình dịch vụ khác nhau Diffserv (Differentiated Services) giảm bớt cứng nhắc, cung cấp phân phối CoS để đối xử như nhau đối với lớp lưu lượng có mức ưu tiên như nhau, nhưng không có báo hiệu hay đảm bảo dịch vụ đầu cuối đầu cuối. Diffserv định nghĩa lại kiểu dịch vụ ToS (Type of Service) trong tiêu đề gói IP để cung cấp sự phân loại này. Trong khi Intserv đảm bảo độ rộng băng lưu lượng, nó xác nhận không thể tăng hay thực hiện hoạt động qua mạng lớn. IETF kết hợp Difserv và kỹ thuật lưu lượng MPLS để cung cấp QoS đảm bảo trong mạng MPLS. Thông tin Diffserv trong tiêu đề gói IP được ánh xạ trong thông tin nhãn của gói MPLS. Bộ định tuyến MPLS cập nhật thông tin ưu tiên để truyển tiếp dữ liệu thích hợp. Một số cơ chế sử dụng gồm chia sẻ lưu lượng, đợi, và phân loại gói. QoS thực hiện ở biên của đám mây MPLS, ở nơi lưu lượng phi nhãn từ mạng khách hàng đi vào mạng truyền thông. Tại cổng vào này, lưu lượng thời gian thực dễ bị ảnh hưởng như lưu lượng định dạng voice IP hay hội nghị video có thể được ưu tiên phân phát qua sự chuyển giao dữ liệu lớn. 37 2.2.5.5 Mạng riêng ảo Dịch vụ VPN là dịch vụ mạng Intranet và Extranet mà các mạng đó được cung cấp bởi nhà cung cấp dịch vụ đến nhiều tổ chức khách hàng. MPLS kết hợp với giao thức BGP cho phép một nhà cung cấp mạng hỗ trợ hàng nghìn VPN của khách hàng. Như vậy, mạng MPLS cùng với BGP tạo ra cách thức cung cấp dịch vụ VPN trên cả ATM và các thiết bị dựa trên gói tin rất linh hoạt, dễ mở rộng quy mô và dễ quản lý. Thậm chí trên các mạng của nhà cung cấp khá nhỏ, khả năng linh hoạt và dễ quản lý của các dịch vụ BGP/MPLS VPN là ưu điểm chủ yếu. Không giống như các mạng VPN truyền thống, các mạng MPLS VPN không sử dụng hoạt động đóng gói và mã hóa gói tin để đạt được mức độ bảo mật cao. MPLS VPN sử dụng bảng chuyển tiếp và các nhãn “tags” để tạo nên tính bảo mật cho mạng VPN. Kiến trúc mạng loại này sử dụng các tuyến mạng xác định để phân phối các dịch vụ VPN, và các cơ chế xử lý thông minh của MPLS VPN lúc này nằm hoàn toàn trong phần lõi của mạng. Trước tiên, ta hãy xem xét một số thuật ngữ được dùng trong mạng MPLS VPN. Thiết bị CPE trong MPLS-VPN chính là các CE (Customer Edge) router và các CE router này được nối với mạng của nhà cung cấp dịch vụ thông qua các PE (Provider Edge) router. Một mạng VPN sẽ bao gồm một nhóm các CE router kết nối với các PE router của nhà cung cấp dịch vụ. Tuy nhiên, chỉ những PE router mới có khái niệm về VPN, còn các CE router thì không “nhận thấy” những gì đang diễn ra bên trong mạng của nhà cung cấp dịch vụ và sẽ coi như chúng đang được kết nối với nhau thông qua một mạng riêng. Mỗi VPN được kết hợp với một bảng định tuyến - chuyển tiếp VPN (VRF) riêng biệt. VRF cung cấp các thông tin về mối quan hệ trong VPN của một mạng khách hàng khi được nối với PE router. Bảng VRF bao gồm thông tin bảng định tuyến IP (IP routing table), bảng CEF (Cisco Express Forwarding), các giao diện của bảng định tuyến; các quy tắc, các tham số của giao thức định tuyến... Mỗi mạng chỉ có thể kết hợp với một và chỉ một VRF. Các VRF của mạng khách hàng mang toàn bộ thông tin về các “tuyến” có sẵn từ mạng tới VPN mà nó là thành viên. Đối với mỗi VRF, thông tin sử dụng để chuyển tiếp các gói tin được lưu trong các bảng định tuyến IP và bảng CEF. Các bảng này được duy trì riêng rẽ cho từng VRF nên nó ngăn chặn được hiện tượng thông tin bị chuyển tiếp ra ngoài mạng VPN cũng như ngăn chặn các gói tin bên ngoài mạng VPN chuyển tiếp vào các router bên trong mạng VPN. đây chính là cơ chế bảo mật của MPLS VPN. Bên trong mỗi một MPLS VPN, có thể kết nối bất kỳ hai điểm nào với nhau và các mạng có thể gửi thông tin trực tiếp cho nhau mà không cần thông qua mạng trung tâm. 38 Tham số phân biệt tuyến RD (Route Distinguisher) giúp nhận biết các địa chỉ IP thuộc VPN riêng biệt nào. Xét mô hình mạng như hình dưới, có 3 VPN khác nhau và được xác định bởi các RD: 10, 20 và 30. Một mạng MPLS có thể hỗ trợ hàng trăm đến hàng nghìn VPN. Phần bên trong của kiến trúc mạng MPLS VPN được kết cấu bởi các thiết bị của nhà cung cấp. Những thiết bị này hình thành mạng lõi (core) MPLS và không được nối trực tiếp đến các CE router. Các chức năng VPN của một mạng MPLS-VPN sẽ được thực hiện bởi các PE router bao quanh mạng lõi này. Cả P router và PE router đều là các bộ định tuyến chuyển mạch nhãn LSR (Label Switch Router) trong mạng MPLS. Các site khách hàng có thể được kết nối với các PE router bằng nhiều cách khác nhau như T1, Frame Relay, DSL, ATM, v.v... Hình 2.10 Mô hình mạng MPLS Trong một mạng MPLS VPN, site phía khách hàng sẽ sử dụng IP thông thường mà không cần biết đến MPLS, IPSec hay bất cứ một chức năng VPN đặc biệt nào. Tại các PE router, một cặp VRF và RD sẽ tương ứng với mỗi liên kết đến site của khách hàng (customer site). Liên kết này có thể là một liên kết vật lý T1, Frame Relay hay ATM VC, DSL... Giá trị RD sẽ hoàn toàn “ẩn” và sẽ không được cấu hình tại các thiết bị của khách hàng. Sau đây ta xét một ví dụ cụ thể đường đi của một gói tin trong mạng VPN của khách hàng từ PC A thuộc site A tới PC B thuộc site B thông qua mạng MPLS. - Gói tin đến từ site A của PE router R1 như một gói IP thông thường với địa chỉ đích 10.2.1.100. Site này thuộc mạng VPN với RD:10. - R1 sẽ tra cứu bảng chuyển tiếp VPN của nó và dựa vào bảng này để gán nhãn cho gói tin, trong trường hợp này là nhãn 56. Nhãn này mang thông tin về đích đến của gói tin trong mạng VPN với RD:10 RD Prefix Destination PE Label 10 10.1.0.0/16 216.70.128.216 318 39 10 10.2.0.0/16 216.70.128.192 56 10 10.3.0.0/16 216.70.128.133 32 10 10.4.0.0/16 216.70.128.60 210 10 10.5.0.0/16 216.70.128.84 109 - R1 chuyển tiếp gói tin dựa vào địa chỉ PE đích trong bảng FIB (Label Forwarding Information Base). Khi gói tin này được chuyển đi, nó sẽ được gán một nhãn MPLS trong bảng LIB. Nhãn này (188) tương ứng với nhãn được yêu cầu để chuyển tiếp gói tin đến R2, có địa chỉ IP là 216.70.128.192. - LSR1 tiếp nhận gói tin và thưc hiện hoạt động chuyển mạch nhãn thông thường. Trong ví dụ này, LSR1 tráo đổi nhãn 188 với nhãn 62, sau đó chuyển tiếp gói tin đến LSR2. - LSR2 tiếp nhận gói tin và thực hiện chức năng Penultimate Hop Popping bởi vì đây là chặng cuối cùng trước khi gói tin đến PE đích, LSR2 sẽ loại bỏ nhãn (62) và gửi gói tin tới R2 với nhãn 56. - Sau khi R2 tiếp nhận gói tin, nó sẽ tra nhãn 56 trong bảng chuyển tiếp VPN, trong trường hợp này, nhãn sẽ tương ứng với RD:10. Sau đó, R2 tham chiếu địa chỉ IP trong gói tin để xác định ra đích đến là RD:10 với địa chỉ IP 10.2.1.100. R2 xác định RD:10 và địa chỉ IP:10.2.1.100 là thuộc site được liên kết trực tiếp với R2 bởi một liên kết IP thông thường nên nó sẽ loại bỏ nhãn và chuyển tiếp gói IP tới site đó. RD Prefix Destination PE Label 10 10.1.0.0/16 216.70.128.216 318 10 10.2.0.0/16 216.70.128.192 56 10 10.3.0.0/16 216.70.128.133 32 10 10.4.0.0/16 216.70.128.60 210 10 10.5.0.0/16 216.70.128.84 109 Chú ý rằng địa chỉ IP 10.2.1.100 và 216.70.128.192 khác nhau về phạm vi, địa chỉ IP 10.2.1.100 thuộc mạng VPN với RD:10 và chỉ những gói tin bên trong VPN này mới có thể đến được địa chỉ này. Có thể có một địa chỉ IP 10.2.1.100 khác ở các VPN khác, nhưng chúng được đặc trưng bởi những RD khác nhau. địa chỉ 216.70.128.192 thuộc mạng đường trục và nó không thuộc một VPN nào. Một trong những ưu điểm lớn nhất của các MPLS VPN là không đòi hỏi các thiết bị CPE thông minh bởi vì toàn bộ các chức năng VPN được thực hiện ở phía 40 trong mạng lõi của nhà cung cấp dịch vụ và hoàn toàn “trong suốt” đối với các CPE. Các CPE không đòi hỏi chức năng VPN và hỗ trợ IPSec. điều này có nghĩa là khách hàng không phải chi phí quá cao cho các thiết bị CPE. Trễ trong mạng được giữ ở mức thấp nhất vì các gói tin lưu chuyển trong mạng không phải thông qua các hoạt động như đóng gói và mã hóa. Sở dĩ không cần chức năng mã hóa là vì MPLS VPN tạo nên một mạng riêng. Phương pháp bảo mật này gần giống như bảo mật trong mạng Frame Relay. Thậm chí trễ trong MPLS VPN còn thấp hơn là trong mạng MPLS IP sử dụng chuyển mạch nhãn Việc tạo một mạng đầy đủ (full mesh) VPN là hoàn toàn đơn giản vì các MPLS VPN không sử dụng cơ chế tạo đường hầm. Vì vậy, cấu hình mặc định cho các mạng MPLS VPN là full mesh, trong đó các site được nối trực tiếp với PE vì vậy các site bất kỳ có thể trao đổi thông tin với nhau trong VPN. Và thậm chí, nếu site trung tâm gặp trục trặc, các spoke site vẫn có thể liên lạc với nhau. Hoạt động khai thác và bảo dưỡng cũng đơn giản hơn trong mạng MPLS-VPN. Hoạt động này chỉ cần thực hiện tại các thiết bị bên trong mạng core mà không cần phải tiếp xúc đến các CPE. Một khi một site đã được cấu hình xong, ta không cần đụng chạm đến nó nữa cho dù nếu muốn thêm một site mới vào mạng vì những thay đổi về cấu hình lúc này chỉ cần thực hiện tại PE mà nó nối tới. Vấn đề bảo mật thậm chí còn đơn giản hơn nhiều khi triển khai trong các mạng MPLS VPN vì một VPN khép kín bản thân nó đã đạt được sự an toàn thông tin do không có kết nối với mạng Internet công cộng. Nếu có nhu cầu truy nhập Internet, một tuyến sẽ được thiết lập để cung cấp khả năng truy nhập. Lúc này, một firewall sẽ được sử dụng trên tuyến này để đảm bảo một kết nối bảo mật cho toàn bộ mạng VPN. Cơ chế hoạt động này rõ ràng dễ dàng hơn nhiều cho hoạt động quản lý mạng vì chỉ cần duy trì các chính sách bảo mật cho một firewall duy nhất mà vẫn đảm bảo an toàn cho toàn bộ VPN Một ưu điểm nữa của các mạng MPLS VPN là chỉ cần một kết nối duy nhất cho mỗi remote site. So sánh với mạng Frame Relay truyền thống có 1 nút trung tâm và 10 remote site (mỗi một remote site sẽ cần một Frame Relay PVC) thì tại nút trung tâm (hub) sẽ cần 10 PVCs. Trong khi bên trong một mạng MPLS VPN chỉ cần duy nhất một PVC tại vị trí hub trung tâm nên chi phí mạng sẽ giảm đáng kể. 2.3 Kết luận Như vậy có thể nói VPN là một trong những ứng dụng quan trọng nhất của MPLS. Kỹ thuật MPLS VPN đưa ra một thay đổi cơ bản trong công nghệ VPN đó là sử dụng khái niệm Virtual Router thay cho Dedicated Router và Shared Router. Từ 41 việc phân tích phương thức hoạt động của MPLS VPN ta thấy nó có nhiều ưu điểm hơn so với các dịch vụ VPN truyền thống: Riêng biệt và bảo mật: MPLS VPN giữ các thông tin định tuyến riêng biệt cho mỗi VPN, đảm bảo người dùng chỉ có thể liên lạc được với các địa chỉ đã được lập sẵn cho VPN của mình. Độc lập với khách hàng: MPLS VPN có cách đánh địa chỉ (gán nhãn trong mạng MPLS) hết sức linh hoạt, người dùng có thể sử dụng bất cứ dải địa chỉ nào (kể cả các địa chỉ kiểm tra hoặc các địa chỉ không được đăng ký) hoặc có thể sử sụng NAT (Network Address Translation). Mặt khác, người dùng còn có thể sử dụng các dải địa chỉ trùng hoặc giống nhau. Một điểm nổi bật khác là mạng của người dùng không yêu cầu các thiết bị hỗ trợ MPLS, các thiết bị đắt tiền như VPN Router với IP Sec hoặc bất cứ yêu cầu đặc biệt nào khác ngoài IP. Linh hoạt và khả năng phát triển: Với các dịch vụ VPN dựa trên IP, số lượng router trên mạng tăng nhanh chóng theo số lượng các VPN. VPN sẽ phải chứa các bảng định tuyến ngày một lớn. MPLS VPN sử dụng một tập các BGP (Border Gateway Protocol) ngang hàng giữa các LSR cạnh (Edge LSR), cho phép số lượng VPN không hạn chế và hỗ trợ nhiều dạng VPN, dễ dàng tạo thêm các VPN hoặc site mới (chỉ cần thực hiện tại router của site mới). Như vậy MPLS là một trong những giải pháp mạng đường trục cho mạng thế hệ mới, hiện xu hướng phát triển của MPLS là ATOM (Any traffic Over MPLS), nghĩa là có khả năng đáp ứng bất cứ loại dịch vụ nào: thoại, video, fax, data... MPLS VPN sẽ là một thị trường đầy tiềm năng và hứa hẹn mang lại nhiều lợi ích cho cả người dùng và nhà cung cấp dịch vụ viễn thông. Ngày nay, tuy VPN vẫn đang còn là một công nghệ mới mẻ ở Việt nam, nhưng việc đầu tư nghiên cứu để chọn giải pháp tối ưu cũng là điều nên làm đối với các nhà cung cấp dịch vụ mạng./. 42 CHƯƠNG 3 ỨNG DỤNG MPLS IP VPN VÀO HỆ THỐNG MẠNG NGÀNH VÀ GIẢI PHÁP HỆ THỐNG Tổng quan hệ thống mạng ngành thuế Đánh giá ưu nhược điểm của hệ thống cơ sở hạ tầng hiện tại Giải pháp MPLS IP VPN để nâng cao an ninh mạng cho ngành Thuế Các đề xuất cải tiến hệ thống Thiết kế hệ thống cải tiến Đánh giá về hệ thống đảm bảo an ninh Tổng quan hệ thống mạng ngành Thuế 3.1 Bối cảnh chung Hệ thống mạng ngành Thuế nằm trong hệ thống mạng của ngành tài chính. Ngành Tài chính bắt đầu tiến hành xây dựng hệ thống hạ tầng truyền thông thống nhất từ năm 1999. Cho đến nay, Ngành Tài Chính đã thu được các thành quả đáng kể như: Về mặt kết nối: Đã xây dựng Trung tâm Miền Bắc và Nam, kết nối tới các đơn vị cấp TW như TCT, KBNN, TCHQ, Cục DTQG, Cục QLG, UBCK, Học viện Tài chính, đồng thời kết nối tới 64 Trung Tâm Tỉnh. Đã xây dựng 64 TTT và kết nối từ TTT tới các đơn vị Thuế, Kho Bạc và Tài chính của tỉnh, thành phố. Đã triển khai tới cấp huyện của 3 tỉnh Hà Nội, TpHCM và Hải Phòng. Với hệ thống như vậy đã bước đầu đáp ứng được yêu cầu của ngành Thuế: Trao đổi mã số thuế, quản lý thuế, trao đổi thông tin hệ thống,... Tuy nhiên, kể từ khi có thiết kế hệ thống đầu tiên vào năm 1999 đến nay, đã có sự phát triển rất nhanh của lĩnh vực công nghệ thông tin trên thế giới và Việt nam, kèm theo sự ra đời của nhiều loại hình dịch vụ công cộng dựa trên các công nghệ mới. Do đó, vấn đề đặt ra là cần phải có các phân tích xem xét mức độ phù hợp với các yêu cầu mới của các thiết kế trước đây và hạ tầng truyền thông hiện tại, qua đó xây dựng cập nhật hệ thống hạ tầng mới phục vụ cho các nhu cầu cấp bách ngay hiện tại và trong tương lai xa hơn. Tổng quan hệ thống mạng hiện tại ngành Thuế TCT dùng chung hạ tầng mạng của BTC, thông qua việc chia sẻ kinh phí / dịch vụ với Cục Tin học và Thống kê Tài chính của BTC. 43 Hình 3.1 Hạ tầng mạng BTC BTC duy trì hạ tầng mạng cho tất cả các đơn vị trực thuộc, bao gồm Tổng cục Thuế, Tổng cục Hải Quan, Kho Bạc... tại cấp trung ương, cấp tỉnh và cấp huyện. Mỗi đơn vị trực thuộc được cấp phát một lượng băng thông nhất định từ hạ tầng truyền thông chung. Công nghệ VPN được dùng để phân chia logic các mạng của các đơn vị thành viên. Mạng diện rộng của BTC bao gồm hai trung tâm miền, hoạt động như là đầu kết nối cho miền Bắc và miền Nam. Các tỉnh miền Bắc kết nối thông qua Trung tâm miền Bắc, các tỉnh miền Nam kết nối qua trung tâm miền Nam. Tổng băng thông của mạng xưong sống Bắc Nam năm 2007 là 32Mbps Bởi vì băng thông của mạng xương sống được chia sẻ bới nhiều đơn vị của BTC, TCT nên có thoả thuận chất lượng dịch vụ với BTC về chất lượng và các cam kết đảm bảo dịch vụ mạng mà BTC cung cấp cho TCT, điều này hiện chưa có. Chất lượng dịch vụ mạng mà BTC cung cấp hiện tại được đánh giá là chưa thực sự ổn định như TCT mong muốn. Hiện tại chưa có sự hỗ trợ 24/7. Hiện tại TCT kết nối trực tiếp tới trung tâm miền Bắc, văn phòng B tại TPHCM nối trực tiếp tới trung tâm miền Nam. Các chi cục Thuế kết nối lên Trung tâm tỉnh và từ Trung tâm tỉnh kết nối tới các Trung tâm miền. Các kết nối này là các đường truyền cáp quang, đường thuê bao và các đường truyền dự phòng sử dụng công nghệ MPLS Các cục thuế đều có hạ tầng mạng giống nhau như hình vẽ phía dưới. Hệ thống mạng của Cục thuế các Tỉnh sẽ được quy hoạch và tổ chức thành các vùng riêng biệt với chức năng và nhiệm vụ cụ thể. Các vùng được kết nối với nhau thông qua firewall, các luật thiết lập trên firewall đảm bảo khả năng truyền tải dữ liệu từ mạng bên ngoài 44 tới mạng bên trong và ngược lại, đồng thời ngăn chặn được các xâm nhập bất hợp pháp tới các vùng dữ liệu quan trọng. Kết nối Internet thông qua đường ADSL. Các truy cập không dây cũng được bảo vệ nghiêm ngặt bởi giải pháp an ninh của Cisco. Hình 3.1 Hệ thống mạng logic tại Cục Thuế TCT đang vận hành hệ thống theo dõi cho phép TCT có thể giám sát, và nhận được cảnh báo về hoạt động không bình thường của tất cả các máy chủ trong mạng và tình trạng băng thông mạng tại cục thuế, chi cục thuế. TCT có chính sách duy trì chức năng và cấu hình cho các máy chủ tại các cục Thuế. Theo đó các cục thuế có số lượng máy chủ giống nhau cùng thực hiện chức năng mà TCT đã quy định. Chính sách này giúp việc hỗ trợ và duy trì từ TCT, nhưng không giải quyết vấn đề thực tế là tải của các máy chủ không giống nhau ở các cục Thuế. (ví dụ tại các cục thuế lớn thì số lượng người dùng truy cập vào máy chủ nhiều hơn và tần suất truy cập cao hơn so với các cục thuế nhỏ.) Các máy chủ, đặc biệt là máy chủ cấp cục thuế và chi cục thuế thường không đáp ứng đủ. Một máy chủ thường phải dùng cho nhiều mục đích. Khó có thể đánh giá 45 và đạt được hiệu năng tối đa của một hệ thống với tài nguyên máy chủ chia sẻ như vậy. 3.2 Đánh giá ưu nhược điểm của hệ thống cơ sở hạ tầng hiện tại 3.2.1 Mô hình kết nối WAN và những vấn đề đặt ra? Quan điểm thiết kế ban đầu cho việc sử dụng frame-relay riêng cho mạng WAN Bộ tài chính là xây dựng 1 cơ sở hạ tầng cung cấp dịch vụ kết nối frame-relay theo mô hình nhà cung cấp dịch vụ cho các ngành như Tổng cục thuế, KBNN, ... dùng chung 1 kênh thuê công cộng để giảm chi phí cũng như tập trung quản lý ngành. Tuy nhiên, trong thiết kế cũng như triển khai thực tế thì lại không có sự nhất quán về việc cung cấp loại hình kết nối đối với các ngành thành viên TCT, KBNN, ...., các mạng này được kết nối tới mạng WAN Bộ thông qua : + Kết nối phân lớp Frame-relay & IP ở mức TT miền, mạng trục + Kết nối phân lớp IP ở mức TT tỉnh. Như vậy, mô hình kết nối sử dụng là sự trộn lẫn giữa 2 mô hình VPN như hình dưới đây: Hình 3.2 Mô hình Overlay layer – 2 – VPN tại mạng trục 46 Hình 3.3 Mô hình Peer – to – Peer VPN tại TTM, TTT Theo đó, tại mạng trục , với mô hình Overlay Layer-2 VPN được áp dụng trên phần mạng trục tại cấp trung ương & mạng Backbone. Được thực hiện bởi các thiết bị Cisco IGX, cung cấp kết nối L2 Frame-relay cho các đơn vị cấp trung ương. Các nhược điểm chính của mô hình này: Số lượng PVC cần phải tạo nhiều: n(n-1)/2 , khi số lượng site kết nối tăng lên, số lượng PVC cần tạo ra sẽ lớn, khó khăn trong việc triển khai, quản lý, & giám sát. Để hệ thống có khả năng định tuyến linh hoạt, cần sử dụng phương thức định tuyến động. Tuy nhiên trong mô hình kết nối này, các updates của các giao thức định tuyến IGP sẽ chiếm nhiều băng thông do có nhiều PVC. Ngoài ra, việc có nhiều PVC dẫn tới việc quản lý, cấu hình, giám sát các giao thức định tuyến IGP cũng phức tạp. Trong khi đó, từ TTM trở xuống các đơn vị cấp tỉnh, huyện, mô hình mạng sử dụng lại là peer-to-peer shared-router. Được thực hiện bởi việc dùng chung router cấp TTM, cấp TTT kết nối tới các ngành trực thuộc. Các nhược điểm chính của mô hình này: Lưu lượng của các ngành khác nhau đều được truyền dưới dạng IP trên cùng cơ sở hạ tầng mạng WAN BTC, điều này có thể gây nên các khe hở về bảo mật, đặc biệt trong trường hợp có cả các lưu lượng từ bên ngoài như Internet, phân hệ mạng truy cập công cộng, ... Việc phân chia địa chỉ IP giữa các ngành trực thuộc không thể độc lập với nhau, toàn bộ BTC và các ngành trực thuộc chia sẻ dải địa chỉ 10.x.x.x. Việc tách biệt hệ thống mạng của các ngành trực thuộc khi kết nối vào mạng WAN BTC, nhằm mục đích đảm bảo cho các ngành có sự độc lập nhất định được dựa theo các Access-Control-List rất phức tạp. Dải địa chỉ IP được dùng chung cho Bộ tài chính và các ngành trực thuộc, kết nối IP để trao đổi số liệu giữa các đơn vị, do đó tổng thể toàn bộ hệ thống truyền thông 47 Bộ tài chính thực tế lại đi theo mô hình doanh nghiệp với dịch vụ truy cập "toàn IP", không có sự phân tách tại phân lớp dưới là frame-relay ý tưởng khi như khi đưa hệ thống Cisco IGX vào để phân tách các mạng ngành dọc ra thành từng mạng ảo riêng. Do đó, cần phải giải quyết các vấn đề về mô hình kết nối trên hệ thống mạng WAN BTC nêu trên: Các nhược điểm Mô hình peer-to-peer dùng chung router cấp TTM, TTT. Toàn bộ các kết nối WAN của BTC đều sử dụng các công nghệ kết nối truyền thống (các công nghệ như TDM, Frame-relay, X.25, ATM được gọi là công nghệ truyền thống), trong đó chủ yếu sử dụng TDM ( các đường leased-lines của VNPT ). Việc sử dụng các kết nối leased-lines có ưu điểm là dịch vụ lâu đời, sẵn có nhất của nhà cung cấp dịch vụ tại Việt nam hiện nay. Tuy nhiên, với chi phí thuê kênh hàng tháng cao, việc tăng băng thông kênh thuê lên cao để đáp ứng các nhu cầu sử dụng đa dịch vụ hiện tại và tương lai là không khả thi đối với những hệ thống mạng lớn, nhiều ngừoi sử dụng nhu hệ thống của Bộ tài chính. 3.2.2 Mô hình kết nối Internet và những vấn đề nảy sinh Các thiết kế bổ sung sau không đưa ra giải pháp chi tiết hoàn chỉnh với các chính sách về an toàn, bảo mật. Một trong những lý do chính là các kết nối WAN có tốc độ thấp, do đó không thể cung cấp cổng kết nối internet tập trung. Kết nối Internet được thiết lập theo nhu cầu phát sinh tùy thuộc các ngành, đơn vị, không có một chính sách chung, điều này dẫn tới các lỗ hổng tiềm tàng về bảo mật. 48 Error! Hình 3.4 Mô hình kết nối Internet BTC Các Internet Gateway được các ngành phân bố tùy ý ở mức trung ương, cấp tỉnh, cấp huyện thông qua các kết nối Leased-lines, ADSL, dialup. Trong khi đó, các biện pháp đảm bảo an ninh hệ thống chỉ là Access-Control-List trên các Routers, NAT trên các thiết bị kết nối Internet, hầu hết không có các thiết bị bảo vệ khác như IDS, IPS, Virus-scan, URL-filtering, ... Truy cập Internet cho trung tâm BTC, các ngành TCT, KBNN, Hải quan,... được cung cấp riêng biệt, không có một chính sách, quy định chung bắt buộc về 1 hệ thống kết nối Internet. Các truy cập Internet tại trung ương, Trung tâm Tỉnh hiện sử dụng thông qua Proxy-Server, các truy cập tại địa phương đi thẳng ra Internet mà không hề sử dụng các Server scan virus. Phương pháp kết nối hiện tại tiết kiệm được băng thông kết nối WAN, tuy nhiên an ninh hệ thống không được đảm bảo. Từ những tìm hiểu phân tích trên ta thấy hệ thống an ninh hiện tại tồn tại hàng loạt các vấn đề cần giải quyết Phân lớp truy cập LAN: không có biện pháp an ninh cho phép những thiết bị cụ thể được phép kết nối vào mạng LAN. Trên thực tế, > 70% các tấn công là xảy ra từ bên trong. (Ví dụ: hoàn toàn có thể gắn một máy tính vào mạng LAN với phần mềm monitor trên switched-LAN, qua đó giám sát tất cả các số liệu trao đổi trên hệ thống LAN) 49 Các kết nối WAN, cáp đồng sử dụng HDSL: hiện tại không có các thiết bị mã hóa đường truyền trên các kết nối WAN, cáp đồng sử dụng HDSL. Hoàn toàn có thể gắn các thiết bị nghe trộm vào các đường truyền số liệu này, qua đó giám sát được tất cả các số liệu trao đổi trên kết nối WAN, cáp đồng sử dụng HDLC) Thiết bị Firewall: Hiện chỉ có một Checkpoint Firewall trên hệ điều hành MS Windows. Có những lỗ hổng tiềm tàng tại phân lớp OS, đặc biệt là với Hệ điều hành thông dụng và cũng nhiều lỗi như MS Windows. Access-Control-List: được sử dụng như là một biện pháp an ninh trên các Cisco Router, ACL chỉ bảo vệ ở phân lớp 3,4, do đó không đủ tính linh hoạt cũng như khả năng xử lý thông tin ở các phân lớp cao hơn. Các ACL được sử dụng như là firewall ngăn cách hệ thống mạng BTC với các ngành khác như TCT, KBNN, ... Các truy cập Internet: trừ trung tâm BTC có firewall là Checkpoint trên nền MS Windows và Proxy Server với Virus scan, các sở TC kết nối Internet qua dial-up trực tiếp từ máy tính. Như vậy toàn bộ mạng của BTC chỉ được bảo vệ bởi ACL trên các Router, NAT, Checkpoint Firewall trên nền MS Windows. Ngoài ra, trên hệ thống không có các thiết bị bảo vệ khác như: IDS, IPS, Transparent Network Virus-scan, URL-filtering. Không có quy định, chính sách bắt buộc tổng thể đối với hệ thống Internet gateway cho các ngành khác như TCT, KBNN, Hải quan,.... Trong khi các hệ thống mạng các ngành này đều bám vào mạng WAN của BTC với kết nối IP đan xen nhau từ cấp trung ương đến cấp tỉnh, nếu hệ thống mạng các ngành này bị tấn công sẽ đe dọa đến hệ thống mạng của BTC, nhất là khi việc bảo vệ của BTC với các tấn công xuất phát từ các ngành TCT, KBNN, ... chỉ là các ACL thông thường được triển khai rất hạn chế trên Cisco Routers TTT, TTM. Bên cạnh những vấn đề về an ninh còn xuất hiện các vấn đề về chất lượng dịch vụ: Chính do không có một chính sách cũng như kế hoạch về QoS rõ ràng cho toàn bộ hệ thống mạng Bộ tài chính mà các cấu hình QoS được thực hiện trên các kết nối WAN một cách thụ động theo nhu cầu phát sinh trên từng kết nối. Cơ chế QoS sử dụng chỉ là WFQ, chỉ phân chia băng thông đều cho các ứng dụng chứ không có khả năng đảm bảo băng thông, độ trễ cho các ứng dụng khi xảy ra tắc nghẽn, cũng như không có khả năng giới hạn băng thông tối đa cho 1 ứng dụng cụ thể nào. Các thực tế này dẫn đến việc đảm bảo QoS "end-to-end" đối với các loại hình dịch vụ khác nhau không nhất quán, dẫn đến chất lượng không ổn định. Hiện trạng kết nối WAN hệ thống thuế 50 Hệ thống mạng nghành Thuế nằm trong hệ thống mạng của BTC nên ngoài các vấn đề chung của hệ thống mạng tổng TCT còn vướng mắc phải một vài vấn đề khi thực hiện các công việc mang tính đặc thù nghành: Hình vẽ dưới đây mô tả kết nối mạng hệ thống thuế trên hệ thống mạng WAN BTC Error! Hình 3.5 Kết nối mạng diện rộng hệ thống Thuế Mục đích yêu cầu của hệ thống mạng ngành Thuế là: Trao đổi mã số thuế Quản lý thuế Trao đổi thông tin hệ thống: email, ftp, update virus, hỗ trợ từ xa về ứng dụng, xử lý sự cố, chỉnh sửa web Portal tại tổng cục Quản lý thu nhập cá nhân Khi thực hiện các yêu cầu nghiệp vụ vấn đề chính đối với hệ thống mạng ngành Thuế khi sử dụng kết nối WAN BTC là băng thông thấp, chất lượng dịch vụ kém dẫn đến các khó khăn trong việc sử dụng.các loại hình dịch vụ mới. Việc kết nối từ các 51 Cục thuế tỉnh và chi cục thuế tỉnh lên các đơn vị bên trên, tổng cục thuế dữ liệu đi lòng vòng không tối ưu nên khả năng bị hỏng, lỗi đường truyền lớn, thời gian khắc phục lỗi khá lâu do chưa có đội ngũ quản lý mạng chuyên nghiệp và phụ thuộc nhiều vào BTC. Dữ liệu ngành Thuế được xử lý tập trung tại Cục Thuế Tỉnh và cấp Tổng cục, trong đó 80% số liệu được xử lý cấp tỉnh, 20% sẽ được chuyển tiếp xử lý tại cấp tổng cục. Yêu cầu về an toàn thông tin, về khả năng dự phòng tại các Cục thuế, Tổng cục thuế là cao, không cho phép gián đoạn thông tin. Cơ chế dial-up backup hiện tại cho Cục thuế Tỉnh không đáp ứng được nhu cầu ứng dụng ngành Thuế. Không có trao đổi trực tiếp giữa các Chi cục Thuế với nhau, giữa các Cục thuế với nhau. Tất cả đều phải thông qua xử lý tại Cục thuế, Tổng cục thuế. Hình 3.6 Dòng dữ liệu ngành Thuế Tóm lại : Đối với hệ thống mạng hiện tại còn rất nhiều vấn đề cần khắc phục đặc biệt về phía an ninh hệ thống Kết nối WAN có băng thông thấp, với giá thuê đường truyền cao đối với dịch vụ truyền thống TDM, Frame-relay khiến cho việc tăng băng thông kết nối WAN khó khăn. Kết quả là tắc nghẽn xảy ra thường xuyên trên các kết nối WAN. Truy cập Internet: không có thiết kế tổng thể cho toàn bộ hệ thống, không có các chính sách, quy định bắt buộc cho các điểm kết nối ra Internet trên toàn bộ hệ thống 52 An toàn bảo mật hệ thống: không có chính sách tổng thể về an toàn bảo mật hệ thống do đó tồn tại hàng loạt các lỗ hỏng tiềm tàng về anh ninh hệ thống. Không triển khai các cơ chế mã hóa gói tin trên đường truyền WAN, cáp đồng sử dụng HDSL. Chất lượng dich vụ ( QoS) thấp, không có chính sách chung cho việc đảm bảo QoS end-to-end. Chưa có một hệ thống quản lý tập trung cho toàn bộ hạ tầng truyền thông, hiện tại chỉ sử dụng một vài công cụ quản lý mang tính đơn lẻ. 3.3 Giải pháp MPLS IP VPN để nâng cao an ninh cho hệ thống mạng TCT Dưới đây là sơ đồ tổng thể cho hệ thống hạ tầng truyền thông Bộ tài chính. Mô tả chi tiết từng phân hệ được trình bày trong các phần dưới đây. (Hình vẽ cụ thể trang cuối) 3.3.1 Đề xuất cải tiến để đảm bảo tính dự phòng và an ninh cho hệ thống Thiết kế hệ thống truyền thông Bộ tài chính bao gồm cấu trúc khối theo như hình vẽ dưới đây: Hình 3.7 Kiến trúc hệ thống truyền thông BTC Và mô hình kết nối mạng trục Bộ tài chính được đề xuất như hình vẽ dưới đây, trong đó sẽ xây dựng thêm trung tâm miền Trung, tạo nên tam giác mạng trục dự phòng. Ví dụ, khi kết nối giữa 2 miền Nam-Bắc bị gián đoạn, lưu lượng sẽ được định 53 tuyến chạy vòng qua miền Trung, việc định tuyến này được thực hiện hoàn toàn tự động Error! Hình 3.8 Sơ đồ kết nối mạng trục BTC Ngoài việc dự phòng bằng việc xây dựng thêm một trung tâm miền Trung, kết nối WAN giữa 2 miền còn được đảm bảo bằng 3 kết nối khác nhau, hoạt động dự phòng, phân tải lẫn nhau ( xem hình vẽ dưới đây) Kết nối chính, có băng thông lớn nhất là kết nối MPLS IP VPN. Kết nối thứ hai là kết nối truyền thống TDM, frame-relay, hoặc có thể là ATM ( nếu có trong tương lai). Do giá thành cao, kết nối truyền thống này sẽ được duy trì ở mức thấp nhất, tạo kết nối dự phòng, phân tải cho kết nối chính là MPLS IP VPN. Kết nối thứ ba là IPSec VPN, tận dụng cổng ra Internet sẵn có ở 3 trung tâm miền Bắc, trung, Nam. Kết nối này cũng chỉ mang tính dự phòng, phân tải cho kết nối chính MPLS IP VPN. Do chất lượng dịch vụ khi truyền qua Internet không được đảm bảo, do đó kết nối này không nên sử dụng cho các ứng dụng như thoại, video- conference. Ở chế độ hoạt động bình thường, các lưu lượng của các loại hình ứng dụng khác nhau sẽ được thiết lập chạy trên các kết nối cụ thể trong 3 kết nối MPLS IP VPN, IPSec VPN, và kết nối truyền thống nói trên, trong trường hợp một trong 3 kết nối bị đứt, lưu lượng ứng dụng sẽ được định tuyến chuyển sang 2 kết nối còn lại, hoặc có thể đi vòng qua trung tâm miền thứ 3. Tất cả việc định tuyến này được thực hiện thông qua các giao thức định tuyến động. 54 Hình 3.9 Các kết nối WAN giữa hai trung tâm miền Các kết nối từ trung tâm miền xuống các trung tâm tỉnh cũng được dự phòng, chia tải thông qua việc sử dụng 2 kết nối song song, kết nối chính có băng thông lớn là MPLS IP VPN, kết nối phụ là các dịch vụ truyền thống TDM, Frame-relay, và có thể la ATM nếu có trong tương lai. ( xem hình vẽ dưới đây) Tại TTM, TTT, hệ thống Access-Server phục vụ truy cập từ xa qua dial-up, backup cũng được thiết kế dự phòng. 55 Hình 3.10 Sơ đồ hệ thống mạng phân bố từ TTM xuống các TTT 3.3.2 Giải pháp thiết kế hệ thống 3.3.2.1 Kết nối Wan Như đã trình bày ở trên, các công nghệ mới sẽ được sử dụng cho kết nối WAN ở cấp trung ương và cấp tỉnh bổ sung cho kết nối truyền thống là: MPLS IP VPN hiện tại cung cấp bởi VTN và CPT và có thể một số nhà cung cấp dịch vụ khác nữa trong tương lai. Kết nối truyền thống như Leased-lines, Frame-relay sẽ chỉ được duy trì ở mức độ thấp nhất mang tính chất dự phòng, phân tải và những nơi chưa thể sử dụng được các dịch vụ mới. 56 Hình 3.11 Cấu trúc mạng trục với WAN truyền thống và MPLS VPN Khi sử dụng kết nối MPLS VPN của nhà cung cấp dịch vụ, mô hình kết nối WAN sẽ như hình vẽ dưới đây: Hình 3.12 Mô hình kết nối sử dụng dịch vụ MPLS IP VPN Hình vẽ dưới đây mô tả khả năng khác biệt giữa đường đi của gói tin giữa dịch vụ MPLS IP VPN và các dịch vụ truyền thống TDM, frame-relay. Cụ thể, gói tin đi từ trung tâm tỉnh thuộc khu vực phía Bắc tới trung tâm tỉnh thuộc khu vực phía nam sẽ không cần phải đi qua các trung tâm miền mà có thể đi thẳng trên hệ thống hạ tầng của nhà cung cấp dịch vụ. Tương tự, gói tin giữa 2 trung tâm tỉnh của cùng một miền sẽ không phải đi qua trung tâm Miền. 57 Hình 3.13 Khả năng định tuyến gói tin trong MPLS IP VPN Sự khác biệt này khiến cho tải trên router tại trung tâm miền sẽ giảm đi. Tuy nhiên, để không phá vỡ tính cấu trúc phân cấp của hệ thống toàn bộ hệ thống sẽ sử dụng các VPN khác nhau cho các vùng mạng khác nhau: VPN cho vùng mạng trục nối 3 miền Bắc, Trung, Nam VPN cho vùng mạng phân phối từ TTM xuống cấp tỉnh miền Bắc VPN cho vùng mạng phân phối từ TTM xuống cấp tỉnh miền Trung VPN cho vùng mạng phân phối từ TTM xuống cấp tỉnh miền Nam VPN cho vùng mạng phân phối từ TTT tới các đơn vị trực thuộc tỉnh. Hình 3.14 Mô hình các vùng MPLS IP VPN sẽ thuê của nhà cung cấp dịch vụ 58 Bên cạnh việc sử dụng công nghệ mới MPLS IP VPN, sẽ tận dụng kết nối lên Internet sẵn có tại các Internet Gateway, tạo thêm kết nối IPSec VPN qua Internet với mục đích tăng thêm tính dự phòng của hệ thống cũng như băng thông kết nối giữa 3 miền. Ngược với dịch vụ MPLS IP VPN là trong suốt đối với khía cạnh Bộ tài chính, IPsec VPN lại trong suốt đối với nhà cung cấp dịch vụ. Hình 3.15 Mô hình kết nối sử dụng IP Sec VPN thông qua Internet 3.3.2.2 Xây dựng Hệ thống MPLS cung cấp dịch vụ MPLS VPN riêng ngành tài chính 3.3.2.2.1 Lớp mạng trục Lớp mạng trục cung cấp hạ tầng MPLS cho các đơn vị thuộc Bộ tài chính. Giải pháp dựa trên các yêu cầu tiên quyết như độ sẵn sàng cao, tính dự phòng cao, khả năng mở rộng lớn, năng lực chuyển mạch của các thiết bị phải lớn để có thể phục vụ các ứng dụng đa dạng cho toàn ngành Tài chính trong tương lai. 59 Hình 3.16 Lớp mạng trục BTC Theo sơ đồ trên, các cặp Backbone Router đặt tại 3 miền sẽ làm nhiệm vụ kết nối các miền với nhau. Mỗi cặp Backbone Router bao gồm BB-1 và BB-2 có nhiệm vụ kết nối WAN và năng lực xử lý khác nhau, cụ thể: Các cặp router tại 3 miền ( TTM-1, TTM-2) sẽ có trách nhiệm kết nối tới các Trung Tâm Tỉnh, đổng thời kết nối trực tiếp tới cơ quan đầu não các ngành ( Tổng cục thuế, Kho bạc NN, tổng cục Hải quan, ... ). Mỗi cặp TTM-1, TTM-2 có nhiệm vụ kết nối WAN và năng lực xử lý khác nhau, cụ thể: Các router thuộc lớp mạng trục ( BB-1, BB-2, TTM-1, TTM-2) đóng vai trò là các P-router trên hệ thống mạng trục MPLS của Bộ Tài Chính, ngoài ra, trường hợp ngoại lệ, các router phân phối như TTM-1, TTM-2 còn đóng vai trò là PE-router trong hệ thống mạng trục MPLS khi kết nối trực tiếp tới các cơ quan đầu não các ngành ( Datacenter thuộc Bộ Tài chính, Tổng cục thuế, Kho bạc NN, Tổng cục Hải quan, ... ). Hình vẽ dưới mô tả kết nối WAN từ các TTT lên TTM. Kết nối truyền thống (Leased-lines) TTT lên TTM ngoài nhiệm vụ dự phòng còn làm nhiệm vụ phân tải. Đối với các Tỉnh chưa có sẵn dịch vụ MPLS VPN, để có thể đáp ứng được nhu cầu sử dụng của các đơn vị, tạm thời sử dụng 2 kết nối Leased-lines đồng thời ( 1 giữa TTT-1 & TTM2, 1 giữa TTT-2 & TTM-2). Đến khi dịch vụ MPLS VPN sẵn sàng, sẽ giảm bớt kết nối leased-lines giữa TTT-1 & TTM-2 đi và thay thế bằng kết nối từ TTT-1 lên mạng MPLS VPN. 60 Hình 3.17 Kết nối từ TTT lên TTM 3.3.2.2.2 Lớp mạng phân phối Các router thuộc lớp mạng phân phối bao gồm các cặp router tại các Trung tâm Tỉnh ( TTT-1, TTT-2). Theo sơ đồ dưới đây, các cặp Router đặt tại các Trung Tâm Tỉnh sẽ làm nhiệm vụ kết nối lên Trung Tâm Miền tương ứng (TTM-1, TTM-2) và phân phối tới các đơn vị trong phạm vi tỉnh ( bao gồm cả cấp huyện). Mỗi cặp Router tại Trung Tâm Tỉnh bao gồm có nhiệm vụ kết nối WAN và năng lực xử lý khác nhau. 61 Hình 3.18 Lớp mạng phân phối Bộ tài chính Các router tại Trung Tâm Tỉnh này (TTT-1, TTT-2) đóng vai trò là các PE- router trên hệ thống mạng MPLS của Bộ Tài Chính kết nối trực tiếp tới các đơn vị trực thuộc tỉnh (bao gồm cả cấp huyện) 3.3.2.2.3 MPLS và hệ thống MPLS VPN Công nghệ MPLS được áp dụng trên hạ tầng truyền thông BTC nhằm cung cấp các kết nối MPLS VPN cho các đơn vị trong ngành cũng như các đơn vị bên ngoài có nhu cầu kết nối vào hạ tầng truyền thông BTC. 62 Hình 3.19 Các phân lớp mạng Cấu trúc toàn bộ hệ thống bao gồm các P-Router thuộc lớp mạng Trục, các PE- Router thuộc lớp mạng phân phối. Trên hệ thống mạng MPLS Bộ Tai Chính, sử dụng giao thức định tuyến IGP là OSPF đảm bảo kết nối IP giữa các MPLS Router trên hệ thống, Sử dụng giao thức LDP ( Label Distribution Protocol) cho việc phân phối Label trên hệ thống. Giao thức MP-BGP ( Multi-protocol BGP) được sử dụng bắt buộc trên tất cả các PE-Router để phân phối định tuyến cho dịch vụ MPLS VPN. Ngoài ra, giao thức định tuyên IGP OSPF còn được sử dụng trong việc cung cấp dịch vụ TE ( Traffic Engineering) trên hệ thống mạng MPLS BTC. 3.3.2.2.4 Quan hệ giữa MPLS riêng ngành tài chính với MPLS công cộng Từ khía cạnh hệ thống của Bộ Tài Chính, sẽ áp dụng đồng thời 2 dạng dịch vụ MPLS VPN khác nhau: MPLS VPN của các nhà cung cấp dịch vụ công cộng (VNPT): Chỉ có vai trò là kết nối WAN tốc độ cao trên hạ tầng truyền thông Ngành Tài Chính. MPLS VPN của Bộ Tài Chính: Đây là dich vụ riêng của Bộ Tài Chính được cung cấp bởi hạ tầng truyền thông MPLS nội bộ Ngành Tài Chính, cung cấp dịch vụ 63 MPLS VPN cho các đơn vị trực thuộc ( và có thể các truy cập công cộng từ bên ngoài). Như vậy, vấn đề đặt ra là làm sao có thể triển khai được hệ thống MPLS VPN riêng ngành tài chính trên các kết nối MPLS VPN sử dụng của các nhà cung cấp dịch vụ công cộng Sử dụng Tunnel: ở đây sẽ tạo các GRE Tunnel (có thể sử dụng các kiểu encapsulation để tạo IP tunnel khác, nhưng GRE được sử dụng phổ biến nhất) đi qua kết nối MPLS VPN của nhà cung cấp dịch vụ công cộng, các GRE Tunnel sẽ tạo nên các giao diện ảo ( Virtual Interface) kết nối trực tiếp với nhau đóng vai trò hoàn toàn như các giao diện vật lý sử dụng kết nối WAN truyền thống ( như leased-lines hiện tại). Phương án này hoàn toàn trong suốt với nhà cung cấp dịch vụ công cộng, không cần đạt được thỏa thuận kết nối đặc biệt gì với nhà cung cấp dịch vụ MPLS VPN công cộng. Phương án này có nhược điểm là lãng phí một phần băng thông do phải gánh thêm phần header cho GRE Encapsulation, đồng thời cũng yêu cầu thiết bị Router kết nối dịch vụ MPLS VPN phải xử lý nhiều hơn. Tuy nhiên, phần băng thông lãng phí do GRE Encapsulation chỉ chiếm phần nhỏ, đồng thời, hiện vẫn phải sử dụng mã hóa IPSec để đảm bảo tính bảo mật khi truyền số liệu qua hệ thống MPLS VPN công cộng, các công nghệ về phần cứng tiên tiến đã giúp tạo năng lực xử lý lớn trên các loại Router hiện có trên thị trường. Hình 3.20 Virtual Interface với GRE Encapsulation thông qua mạng MPLS VPN công cộng 64 Hình vẽ dưới đây mô tả các kết nối GRE trên toàn hê thống. Hình 3.21 Các kết nối GRE trên hệ thống Với việc thiết lập các kết nối GRE qua mạng MPLS VPN công cộng, các Router kết nối không cần phải quảng bá bảng định tuyến nội bộ BTC ra mạng MPLS VPN bên ngoài. Điều này được thực hiện bằng các giao thức định tuyến động qua kết nối GRE đã được thiết lập, hoàn toàn trong suốt đối với nhà cung cấp dịch vụ. Việc không quảng bá bảng định tuyến mạng nội bộ ra bên ngoài nhằm đảm bảo an ninh hệ thống. 3.3.2.3 Lớp mạng truy cập vào hệ thống MPLS VPN riêng của ngành tài chính 3.3.2.3.1 Kết nối mạng trung ương của các ngành vào hệ thống Mạng Trung ương của các ngành được kết nối vào hệ thống tương tự như việc kết nối các TTT vào hệ thống mạng trục. Các cặp router tại 3 miền ( TTM-1, TTM-2) sẽ có trách nhiệm kết nối trực tiếp tới cơ quan đầu não các ngành ( Tổng cục thuế, Kho bạc NN, tổng cục Hải quan, ... ). Xem hình vẽ dưới đây. 65 Hình 3.22 Mạng trung ương các ngành truy cập vào mạng WAN BTC 3.3.2.3.2 Kết nối mạng của đơn vị vào hệ thống Các đơn vị cấp tỉnh, huyện của các ngành trực thuộc sẽ kết nối thẳng tới TTT. TTT bao gồm 1 cặp router TTT-1 và TTT-2. Theo như đã nêu, mỗi Router này có nhiệm vụ kết nối WAN và năng lực xử lý khác nhau: Do yêu cầu về tính sẵn sàng kết nối vào mạng trục BTC của các điểm kết nối trong địa bàn tỉnh không đồng đều nhau, do đó không nhất thiết phải sử dụng cả hai loại hình kết nối WAN là MPLS VPN và 1 loại kết nối truyền thống khác. Hình vẽ dưới đây mô tả việc truy cập của các đơn vị thuộc 1 tỉnh vào hệ thống mạng Bộ Tài chính: 66 Hình 3.23 Lớp truy cập của các đơn vị vào mạng WAN bộ tài chính Đối với các đơn vị như cục Thuế Tỉnh, Tổng cục thuế có yêu cầu khả năng dự phòng cao hơn nữa, Bộ tài chính có thể chọn lựa giải pháp sử 02 Router kết nối, một Router kết nối MPLS VPN, một router cho kết nối Leased-lines và backup như sơ đồ dưới đây: Hình 3.24 Sử dụng 02 Router kết nối cho các đơn vị có yêu cầu tính dự phòng rất cao 67 3.3.2.4 Truy cập Internet tới MPLS VPN Hình vẽ dưới đây mô tả quá trình người sử dụng ở bên ngoài Internet muốn truy cập vào hệ thống mạng MPLS VPN của Bộ tài chính, qua đó truy cập tới hệ thống mạng của đơn vị mình. Hình 3.25 Truy cập IPSec VPN tới MPLS VPN bộ tài chính thông qua Internet Trước hết, cần một thiết bị vừa đóng vai trò là PE-Router trên hệ thống mạng MPLS VPN riêng của Bộ tài chính, vừa đóng vai trò là IPSec VPN Server cho các kết nối từ các VPN client ngoài Internet. Sau khi người sử dụng xác thực thành công, PE- router đóng vai t