Tài liệu Luận văn Mạng riêng ảo và giải pháp hệ thống trong tổng cục thuế: 1
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
Nguyễn Thị Phương
MẠNG RIÊNG ẢO VÀ GIẢI PHÁP HỆ THỐNG
TRONG TỔNG CỤC THUẾ
Ngành: Công nghệ Thông tin
Chuyên ngành: Truyền dữ liệu và Mạng máy tính
Mã số: 60 48 15
LUẬN VĂN THẠC SĨ
NGƯỜI HƯỚNG DẪN KHOA HỌC
PGS TS. NGUYỄN VĂN TAM
\Hà Nội - 2009
2
MỤC LỤC
Trang phụ bìa
Lời cam đoan
Lời cảm ơn
Mục lục .....................................................................................................1
Danh mục các thuật ngữ và các từ viết tắt ..............................................3
Danh mục hình vẽ ....................................................................................5
MỞ ĐẦU...................................................................................................7
CHƯƠNG 1 TỔNG QUAN VỀ MẠNG RIÊNG ẢO .........................................10
1.1 Tổng quan..............................................................................................10
1.2 Khá...
83 trang |
Chia sẻ: haohao | Lượt xem: 1219 | Lượt tải: 0
Bạn đang xem trước 20 trang mẫu tài liệu Luận văn Mạng riêng ảo và giải pháp hệ thống trong tổng cục thuế, để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên
1
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
Nguyễn Thị Phương
MẠNG RIÊNG ẢO VÀ GIẢI PHÁP HỆ THỐNG
TRONG TỔNG CỤC THUẾ
Ngành: Công nghệ Thông tin
Chuyên ngành: Truyền dữ liệu và Mạng máy tính
Mã số: 60 48 15
LUẬN VĂN THẠC SĨ
NGƯỜI HƯỚNG DẪN KHOA HỌC
PGS TS. NGUYỄN VĂN TAM
\Hà Nội - 2009
2
MỤC LỤC
Trang phụ bìa
Lời cam đoan
Lời cảm ơn
Mục lục .....................................................................................................1
Danh mục các thuật ngữ và các từ viết tắt ..............................................3
Danh mục hình vẽ ....................................................................................5
MỞ ĐẦU...................................................................................................7
CHƯƠNG 1 TỔNG QUAN VỀ MẠNG RIÊNG ẢO .........................................10
1.1 Tổng quan..............................................................................................10
1.2 Khái niệm VPN......................................................................................10
1.3 Khái niệm đường hầm............................................................................11
1.4 Phân loại VPN .......................................................................................11
1.4.1 Overlay VPN .................................................................................12
1.4.2 Site to site VPN ( Mô hình VPN ngang cấp) ..................................16
1.5 Kết luận .................................................................................................22
CHƯƠNG 2 MẠNG RIÊNG ẢO TRÊN NỀN CÔNG NGHỆ MPLS...............23
2.1 Vấn đề đặt ra? ........................................................................................23
- Tính khả chuyển .........................................................................................23
- Điều khiển lưu lượng ...................................................................................24
- Chất lượng của dịch vụ (QoS).....................................................................24
2.2 Chuyển mạch nhãn đa giao thức là gì? ...................................................26
2.2.1 Khái niệm ......................................................................................26
2.2.2 Đặc điểm mạng MPLS...................................................................26
2.2.3 Một số khái niệm cơ bản trong kiến trúc MPLS .............................27
2.2.4 Phương thức hoạt động của công nghệ MPLS................................30
2.2.5 Chuyển tiếp gói MPLS và đường chuyển mạch nhãn .....................34
2.3 Kết luận .................................................................................................40
CHƯƠNG 3 ỨNG DỤNG MPLS IP VPN VÀO HỆ THỐNG MẠNG NGÀNH
VÀ GIẢI PHÁP HỆ THỐNG ...................................................................42
3.1 Bối cảnh chung ......................................................................................42
3.2 Đánh giá ưu nhược điểm của hệ thống cơ sở hạ tầng hiện tại .................45
3
3.2.1 Mô hình kết nối WAN và những vấn đề đặt ra? .............................45
3.2.2 Mô hình kết nối Internet và những vấn đề nảy sinh ........................47
3.3 Giải pháp MPLS IP VPN để nâng cao an ninh cho hệ thống mạng TCT 52
3.3.1 Đề xuất cải tiến để đảm bảo tính dự phòng và an ninh cho hệ thống52
3.3.2 Giải pháp thiết kế hệ thống ............................................................55
3.3.3 Đánh giá về hệ thống đảm bảo an ninh...........................................69
3.3.4 Hoạt động thử nghiệm....................................................................76
3.4 Kết luận .................................................................................................77
CHƯƠNG 4 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN......................................79
4
DANH MỤC CÁC THUẬT NGỮ VÀ CÁC TỪ VIẾT TẮT
Tên viết tắt Nội dung
BTC Bộ tài chính
C (Custommer network) – C
network
Hệ thống khách hàng sử dụng dịch vụ của nhà
cung cấp
CE(Customer network
device)
Các thiết bị trong hệ thống C – network mà
dùng để kết nối với hệ thống của nhà cung cấp
CEF Cisco Express Forwarding
CPE
Chính là các CE router và các CE router này
được nối với các PE router khi đó một mạng VPN
bao gồm nhóm các CE router kết nối với PE
router của nhà cung cấp dịch vụ, Tuy nhiên chỉ có
PE router mới có khái niệm về VPN còn CE
router không nhận thấy những gì đang diễn ra
trong mạng của nhà cung cấp và coi như chúng
đang được kết nối với nhau thông qua mạng riêng
Customer site
Một phần trong hệ thống C network mà các
thành phần này là láng giềng của nhau giữa chúng
có nhiều liên kết vật lý
FEC Lớp chuyển tiếp tương đương
FEC Lớp chuyển tiếp tương đương
Frame Relay Công nghệ chuyển mạch khung
IP Internet Protocol
L2PT ( Layer 2 Tunnening
Protocol)
Giao thức đường hầm lớp 2
MPLS (Multiprotocol Label
Switching )
Chuyển mạch nhãn đa giao thức
P: Provider – P network Nhà cung cấp dịch vụ VPN
5
Tên viết tắt Nội dung
PE (Provider edge device)
Các thiết bị trong hệ thống mạng P network
mà dùng để kết nối với hệ thống của khách hàng
PPTP (Point to Point
Tunnening Protocol)
Giao thức đường hầm điểm điểm
PVC Kênh ảo cố định
PVC ( permanent virtual
circuit)
Mạch ảo cố định
QoS (Quality of Service) Chất lượng dịch vụ
Router Bộ định tuyến
SVC (switch virtual circuit) Mạch ảo chuyển đổi
TCT Tổng cục thuế
TDM ( time divisor
multiplexing)
Công nghệ chuyển mạch kênh, tách ghép kênh
theo thời gian
TTM Trung tâm miền
TTT Trung tâm tỉnh
VC(Vitual chanel) Kênh ảo
VPN (Vitual private
network)
Mạng riêng ảo
VRF(vitual
routing/forwarding table)
Bảng định tuyến ảo
X.25 Công nghệ chuyển mạch gói
6
DANH MỤC HÌNH VẼ
Hình 1.2 Over lay VPN triển khai ở lớp 2 .................................................................13
Hình 1.3 Mô hình Overlay VPN triển khai ở lớp 3....................................................14
Hình 1.4 Mô hình triển khai dưới dạng đường hầm...................................................15
Hình 1.5 Mô hình Overlay VPN ................................................................................15
Hình 1.6 Mô hình site to site VPN .............................................................................17
Hình 1.7 Mô hình VPN ngang cấp sử dụng router dùng chung ..................................18
Hình 1.8 Mô hình VPN ngang cấp với router dùng chung..........................................19
Hình 1.9 Mô hình VPN ngang cấp sử dụng router dành riêng ....................................20
Hình 1.10 Mô hình router dành riêng .........................................................................21
Hình 2.1 Full mesh với 6 kết nối ảo ..........................................................................24
Hình 2.2 Một ví dụ về mạng IP dựa trên mạng lõi ATM ...........................................25
Hình 2.3 Nhãn kiểu khung ........................................................................................27
Hình 2.4 Nhãn kiểu tế bào ........................................................................................28
Hình 2.5 Cấu trúc cơ bản của một nút MPLS............................................................31
Hình 2.6 Các FEC riêng biệt cho mỗi tiền tố địa chỉ .................................................33
Hình 2.7 Tổng hợp các FEC......................................................................................33
Hình 2.8 Sự tạo nhãn MPLS và chuyển tiếp..............................................................34
Hình 2.9 Các ứng dụng khác nhau của MPLS...........................................................35
Hình 2.10 Mô hình mạng MPLS...............................................................................38
Hình 3.1 Hạ tầng mạng BTC.....................................................................................43
Hình 3.2 Mô hình Overlay layer – 2 – VPN tại mạng trục.........................................45
Hình 3.3 Mô hình Peer – to – Peer VPN tại TTM, TTT ............................................46
Hình 3.4 Mô hình kết nối Internet BTC ....................................................................48
Hình 3.5 Kết nối mạng diện rộng hệ thống Thuế.......................................................50
Hình 3.6 Dòng dữ liệu ngành Thuế ...........................................................................51
Hình 3.7 Kiến trúc hệ thống truyền thông BTC.........................................................52
Hình 3.8 Sơ đồ kết nối mạng trục BTC .....................................................................53
Hình 3.9 Các kết nối WAN giữa hai trung tâm miền.................................................54
Hình 3.10 Sơ đồ hệ thống mạng phân bố từ TTM xuống các TTT ............................55
Hình 3.11 Cấu trúc mạng trục với WAN truyền thống và MPLS VPN......................56
Hình 3.12 Mô hình kết nối sử dụng dịch vụ MPLS IP VPN ......................................56
Hình 3.13 Khả năng định tuyến gói tin trong MPLS IP VPN ....................................57
Hình 3.14 Mô hình các vùng MPLS IP VPN sẽ thuê của nhà cung cấp dịch vụ.........57
Hình 3.15 Mô hình kết nối sử dụng IP Sec VPN thông qua Internet..........................58
7
Hình 3.16 Lớp mạng trục BTC .................................................................................59
Hình 3.17 Kết nối từ TTT lên TTM ..........................................................................60
Hình 3.18 Lớp mạng phân phối Bộ tài chính.............................................................61
Hình 3.19 Các phân lớp mạng...................................................................................62
Hình 3.20 Virtual Interface với GRE Encapsulation thông qua mạng MPLS VPN
công cộng...........................................................................................................63
Hình 3.21 Các kết nối GRE trên hệ thống .................................................................64
Hình 3.22 Mạng trung ương các ngành truy cập vào mạng WAN BTC.....................65
Hình 3.23 Lớp truy cập của các đơn vị vào mạng WAN bộ tài chính ........................66
Hình 3.24 Sử dụng 02 Router kết nối cho các đơn vị có yêu cầu tính dự phòng rất cao
...........................................................................................................................66
Hình 3.25 Truy cập IPSec VPN tới MPLS VPN bộ tài chính thông qua Internet.......67
Hình 3.26 Mô hình khai báo Thuế On-line................................................................69
Hình 3.27 Kiến trúc bảo mật đề xuất.........................................................................70
Hình 3.28 Mã hoá đường truyền Leased – lines giữa TTT - TTM .............................71
Hình 3.29 Mô hình phân tách các lớp mạng, đảm bảo an ninh cho các đơn vị ...........72
Hình 3.30 An ninh vòng ngoài ..................................................................................74
Hình 3.31 Bảo vệ các hệ thống ứng dụng..................................................................75
Hình 3.32 Mô hình thử nghiệm.................................................................................76
8
MỞ ĐẦU
Thế kỷ 20 được coi là thế kỷ của những phát minh quan trọng thúc đẩy xã hội phát
triển. Đi đầu trong cuộc cách mạng này không thể không kể tới những tiến bộ vượt bậc
áp dụng trong Thuế, Ngân hàng - một trong những thành phần kinh tế then chốt đáp
ứng các nhu cầu tài chính huyết mạch của nền kinh tế.
Ngày nay, khi mà càng có nhiều công ty kết nối mạng doanh nghiệp của mình với
Intemet, hay một công ty có nhiều trụ sở ở các vị trí địa lý khác nhau cần liên lạc
thông tin nội bộ ngành với nhau khi đó việc bảo mật thông tin ngành là điều bắt buộc
vì vậy phải đối mặt với một vấn đề không tránh khỏi đó là bảo mật thông tin. Viêc chia
sẻ thông tin trên một mạng công cộng cũng có nghĩa là những người muốn tìm kiếm,
khôi phục thông tin đều có thể lên mạng. Điều gì sẽ xảy ra nếu một người tiếp cận
thông tin lại có ý định phá mạng. Nhưng hacker có ý đồ xấu như nghe lén thông tin,
tiếp cận thông tin không chính đáng, trái phép, lừa bịp, sao chép thông tin... đang là
mối đe doạ lớn cho việc bảo mât trên mạng.
Vậy làm thế nào để chúng ta có thể bảo mật thông tin trong quá trình truyền tin
trên một mạng chung? Có rất nhiều phương án để đảm bảo truyền tin trên mạng một
cách an toàn một trong những phương án hữu hiệu nhất hiện nay là triển khai một
mạng riêng ảo (Virtual private network - VPN). VPN là những hệ thống mạng được
triển khai dựa trên quy tắc: vẫn áp dụng tiêu chuẩn bảo mật, quản lý chất lượng dịch
vụ trong hệ thống mạng công cộng vào hệ thống mạng cá nhân. VPN cung cấp cho
chúng ta một sự lựa chọn mới: Xây dựng một mạng cá nhân cho các thông tin liên lạc
klểu site- to- site trên một mạng công cộng hay Intemet. Bởi vì nó hoat động trên một
mạng chung thay vì một mạng cá nhân nên các công ty có thể mở rộng WAN của
mình môt cách hiệu quả, những khách hàng di động hay những văn phòng ở nơi xa
xôi, khách hàng hay nhà cung cấp hay những đối tác kinh doanh. VPN mở rộng WAN
truyền thống bằng cách thay thế những kết nối điểm tới điểm vật lý bằng những kết
nổi điểm tới điểm logic chia sẻ một hạ tầng chung, cho phép tất cả lưu lượng tổng hợp,
hội tụ vào một kết nối vât lý duy nhất. Kết quả là tạo nên băng thông tiềm năng và có
thể tiết kiệm chí phí tại đầu ra. Bởi vì khách hàng không còn phải duy trì một mạng cá
nhân và bản thân VPN cũng rẻ hơn và tiết kiệm chi phí đáng kể so với WAN, do đó
toàn bộ chi phí hoạt động vận hành có thể giảm. VPN chính là sự thay thế cho hạ tầng
WAN, nó thay thế và thậm chí còn tăng cường các hệ thống mạng thương mại cá nhân
sử dụng kênh thuê riêng, frame- relay hay ATM.
Luận văn “Mạng riêng ảo và giải pháp hệ thống trong Tổng Cục Thuế” đi vào
nghiên cứu về mạng riêng ảo, phân tích các loại mạng riêng ảo hiện nay và cho thấy
9
những mặt tích cực và hạn chế của từng loại, bên cạnh đó nghiên cứu một công nghệ
mới MPLS – công nghệ chuyển mạch nhãn đa giao thức – , Các ứng dụng của công
nghệ MPLS đi sâu vào nghiên cứu một trong ứng dụng quan trọng của công nghệ
MPLS chính là mạng riêng ảo. Trên cơ sở phân tích mang tính lý thuyết trên thì luận
văn cũng đưa ra giải pháp để ứng dụng công nghệ mới này vào hệ thống mạng thực tế
hiện nay ở Tổng cục thuế.
Về bố cục, nội dung luận văn được chia ra làm 3 chương:
Chương 1: Nghiên cứu tổng quan về mạng riêng ảo, các loại mạng riêng ảo hiện
nay.
Chương 2: Nghiên cứu về mạng riêng ảo trên nền công nghệ MPLS
Chương 3: Nghiên cứu về hệ thống mạng truyền thông hiện nay của Tổng cục thuế
trên cơ sở phân tích, khảo sát hiện trạng hệ thống mạng của Bộ tài chính và đưa ra các
giải pháp và mô hình thiết kế mới mang tính ứng dụng khả thi về kỹ thuật công nghệ
và kinh tế.
Chương 4: Kết luận và hướng phát triển
Ngoài ra, luận văn còn có thêm các danh mục các thuật ngữ, các từ viết tắt, danh
mục bảng biểu, hình vẽ và danh mục các tài liệu tham khảo để thuận tiện cho việc tìm
hiểu và tra cứu nội dung của luận văn.
10
CHƯƠNG 1 TỔNG QUAN VỀ MẠNG RIÊNG ẢO
Trong chương này, báo cáo luận văn sẽ giới thiệu tổng quan về mạng riêng ảo,
khái niệm VPN, khái niệm đường hầm, phân loại VPN. Đi sâu vào hai loại VPN chính
đó là: mô hình Overlay VPN và site to site VPN. Trên cơ sở phân tích nội dung của
từng loại cho ta thấy rõ được những ưu, nhược còn tồn tại trong mỗi mô hình.
1.1 Tổng quan
VPN là một thuật ngữ quen thuộc hiện nay, nó là một sự lựa chọn gần như tối
ưu đối với một công ty có từ 2 chi nhánh trở lên có nhu cầu kết nối mạng với nhau,
hoặc có nhu cầu thiết lập một mối quan hệ thân thiết với khách hàng, đối tác, hoặc đặc
thù công việc là có nhiều nhân viên làm việc từ xa. Ai cũng biết VPN không còn là
một thuật ngữ mới, tuy nhiên không phải ai cũng biết VPN đã được đề cập và xây
dựng từ cuối thập kỷ 80 của thế kỷ trước, và nó cũng trải qua nhiều giai đoạn phát
triển.
Thế hệ VPN thứ nhất do AT&T phát triển có tên là SDNs (Software Defined
Networks)
Thế hệ thứ 2 là ISDN và X25
Thế hệ thứ 3 là FR và ATM
Và thế hệ hiện nay, thế hệ thứ 4 là VPN trên nền mạng IP
Thế hệ tiếp theo sẽ là VPN trên nền mạng MPLS.
1.2 Khái niệm VPN
VPN là công nghệ cung cấp một phương thức giao tiếp an toàn giữa các mạng
riêng dựa vào kỹ thuật đường hầm để tạo ra một mạng riêng trên cơ sở hạ tầng mạng
dùng chung (mạng Internet). Về bản chất đây là quá trình đặt toàn bộ gói tin vào trong
một lớp tiêu đề chứa thông tin định tuyến có thể truyền an toàn qua mạng công cộng.
VPN là một mạng riêng sử dụng để kết nối các mạng riêng lẻ hay nhiều người
sử dụng ở xa thông qua các kết nối ảo dẫn qua đường Internet thay cho một kết nối
thực, chuyên dụng như đường leased line.
VPN bao gồm hai phần: mạng của nhà cung cấp dịch vụ và mạng của khách
hàng trong đó mạng của nhà cung cấp dịch vụ chạy dọc cơ sở hạ tầng mạng công
cộng, bao gồm các bộ định tuyến cung cấp dịch vụ cho mạng của khách hàng.
11
1.3 Khái niệm đường hầm
Đường hầm là một cách thức mà ở đó dữ liệu có thể truyền đi giữa hai mạng
một cách an toàn. Toàn bộ dữ liệu truyền đi được phân mảnh thành các gói nhỏ hơn
hoặc thành các khung sau đó được đẩy vào trong đường hầm. Cách thức này khác với
cách vận chuyển dữ liệu thông thường giữa các điểm. Ở đây các gói dữ liệu di chuyển
trong đường hầm sẽ được đóng gói và mã hoá với thông tin định tuyến tới một địa chỉ
xác định. Sau khi tới được địa chỉ mong muốn thì dữ liệu được khôi phục nhờ việc giải
mã.
Một đường hầm là một con đường logic được thiết lập giữa điểm nguồn và
điểm đích của hai mạng. Các gói dữ liệu được đóng gói tại nguồn và mở gói tại điểm
đích. Đường hầm logic giữa hai mạng này được duy trì trong suốt tiến trình gửi dữ
liệu. Đường hầm dùng để vận chuyển dữ liệu cho mục đích riêng tư, thông thường là
hệ thống mạng của một tập đoàn thông qua hệ thống mạng công cộng. Với cách hiểu
đó các nút định tuyến trong hệ thống mạng công cộng không biết rằng luồng vận
chuyển đó là của hệ thống mạng riêng hay chung.
Có nhiều loại đường hầm được thực thi trên các tầng khác nhau của mô hình
OSI. Ví dụ hai loại đường hầm PPTP và L2TP thực thi trên tầng 2. Hai loại đường
hầm này sẽ không kích hoạt tại các phiên làm việc nội mạng, trong trường hợp có sự
kết nối hai mạng thì loại đường hầm sẽ được xác định hoặc PPTP hoặc L2TP sau khi
lựa chọn được loại đường hầm thì các tham số như mã hóa, cách đăng ký địa chỉ, nén
…vv. Được cấu hình để đạt được sự an toàn ở mức cao nhất khi đi qua mạng Internet
dựa trên sự kết nối đường hầm logic địa phương. Kết nối được tạo ra duy trì và kết
thúc sử dụng giao thức quản lý đường hầm.
1.4 Phân loại VPN
Mạng riêng ảo có thể là hệ thống mạng ảo giữa hai đầu cuối hệ thống hay giữa
hai hay nhiều mạng riêng. Do đó ta có thể chia mạng mạng riêng ảo thành hai loại
chính đó là:
Customer – based VPN ( hay còn gọi là Overlay VPN): là mạng riêng ảo được
cấu hình trên các thiết bị của khách hàng sử dụng các giao thức đường hầm xuyên qua
mạng công cộng. Nhà cung cấp dịch vụ sẽ cung cấp các kênh ảo, kết nối ảo giữa các
mạng của khách hàng.
Network – based VPN ( hay còn gọi là site to site VPN): là mạng riêng ảo
được cấu hình trên các thiết bị của nhà cung cấp dịch vụ và được quản lý bởi nhà cung
12
cấp dịch vụ. Ở đây nhà cung cấp trao đổi thông tin định tuyến với khách hàng và sắp
đặt dữ liệu của khách hàng vào các đường đi tối ưu nhất.
1.4.1 Overlay VPN
Mô hình Overlay VPN được triển khai dưới nhiều công nghệ khác nhau. Ban
đầu VPN được xây dựng bằng cách sử dụng các đường kết nối leased line để cung cấp
kết nối giữa các khách hàng ở nhiều vị trí khác nhau. Khách hàng mua các dịch vụ
đường kết nối của nhà cung cấp. Đường kết nối này được thiết lập giữa các mạng của
khách hàng và đường này là đường riêng cho khách hàng.
Cho đến những năm 1990, Frame Relay được giới thiệu. Frame Relay được xem
như là một công nghệ VPN vì nó đáp ứng kết nối cho khách hàng như dịch vụ leased
line, chỉ khác ở chỗ là khách hàng không được cung cấp các đường dành riêng cho mỗi
khách hàng mà các khách hàng sử dụng một đường chung nhưng được chỉ định các
kênh ảo, các kênh ảo này sẽ đảm bảo lưu lượng cho mỗi khách hàng riêng biệt. Khi
cung cấp kênh ảo cho khách hàng nghĩa là nhà cung cấp dịch vụ đã xây dựng một
đường hầm riêng cho lưu lượng khách hàng chảy qua mạng dùng chung của nhà cung
cấp dịch vụ. Sau này công nghệ ATM ra đời về cơ bản ATM cũng giống như Frame
Relay nhưng đáp ứng được tốc độ chuyền dẫn cao hơn. Khách hàng thiết lập việc liên
lạc giữa các thiết bị đầu phía khách hàng với nhau thông qua kênh ảo. Giao thức định
tuyến chạy trực tiếp giữa các bộ định tuyến khách hàng thiết lập các mối quan hệ cận
kề và trao đổi thông tin định tuyến với nhau. Nhà cung cấp dịch vụ không hề biết đến
thông tin định tuyến của khách hàng và nhiệm vụ của nhà cung cấp trong mô hình này
chỉ là đảm bảo vận chuyển dữ liệu từ điểm tới điểm giữa các mạng của khách hàng
mà thôi.
Mô hình Overlay VPN được triển khai theo các rãnh riêng thông qua cơ sở hạ tầng
của nhà cung cấp dịch vụ. Hệ thống này có thể được thi hành tại lớp 1 sử dụng đường
leased line/dialup line, tại lớp 2 sử dụng X25/Frame Relay/ ATM kênh ảo hoặc tại lớp
3 sử dụng đường hầm IP (GRE)
Với mô hình VPN triển khai ở lớp 1, mô hình này kế thừa giải pháp ghép kênh
theo thời gian truyền thống - thời gian sử dụng đường truyền được chia ra làm nhiều
khung, mỗi khung được chia thành nhiều khe thời gian và mỗi người sử dụng một khe
cho mình để phục vụ việc truyền tin. Ở đây nhà cung cấp ấn định nhiều dòng bit và
thiết lập các kết nối vật lý giữa các site khách hàng thông qua ISDN, DSO, T1, E1,
SONET hoặc SDH và khách hàng chịu trách nhiệm thi hành ở tất cả các lớp cao hơn ví
như PPP, HDLC, IP
13
Với mô hình Overlay VPN thực hiện ở lớp 2, mô hình này kế thừa giải pháp
chuyển mạch trong mạng WAN. Ở đây nhà cung cấp dịch vụ chịu trách nhiệm thiết
lập các kênh ảo ở lớp 2 giữa các sites khách hàng thông qua X.25, Frame Relay hoặc
ATM và khách hàng có nhiệm vụ ở lớp IP và các lớp cao hơn.
Hình 1.2 Over lay VPN triển khai ở lớp 2
Với mô hình Overlay triển khai ở lớp 3, mô hình này được thực hiện các kết nối
điểm tới điểm thông qua đường hầm IP. Thông qua đường hầm IP thì việc lưu thông là
trong suốt đối với đích và nguồn song vấn đề là ta phải biết rõ ràng topo mạng. Chính
vì vậy hệ thống mạng ảo có thể được tạo ra bởi sự phối hợp các các thiết bị không kết
nối hoặc máy chủ với nhau thông qua một đường hầm. Việc triển khai đường hầm đảm
bảo được tính riêng tư của hệ thống địa chỉ mạng dọc theo mạng xương sống của nhà
cung cấp dịch vụ mà không cần chuyển đổi địa chỉ mạng. Đường hầm được thiết lập
với hai công nghệ phổ biến là GRE - generic routing encapsulation - và IPSec – IP
secrity. Triển khai theo GRE đơn giản và nhanh hơn song độ an toàn kém trái lại triển
khai theo IPSec phức tạp và tốn tài nguyên hơn nhưng tính an toàn lại cao.
Hình 1.1 Mô hình Overlay VPN triển khai ở lớp 1
14
Hình 1.3 Mô hình Overlay VPN triển khai ở lớp 3
Đường hầm GRE cung cấp một ống cố định dọc theo hệ thống chia sẻ mạng
diện rộng ở đây các gói tin được bọc bởi một tiêu đề đầu sau đó được truyền đi tới
những đích cố định. Vì vậy hệ thống mạng đảm bảo tính riêng tư nhờ đưa lộ trình vào
trong đường hầm tới một điểm đến. Hệ thống đường hầm GRE không có khả năng
đảm bảo tính an toàn, để hệ thống được tốt hơn thì có thể kết hợp GRE và IPSec. Khi
ta triển khai VPN trên lớp 3 thông qua hệ thống mạng công cộng thì hệ thống đường
hầm được thiết lập. IPSec cung cấp dịch vụ đảm bảo tính an toàn thông tin cao nó đảm
bảo thông tin qua mạng là an toàn.
IPSec là một chuẩn trong Internet, nó quy định các chuẩn quy ước giữa người
dùng và các thiết bị. Nó được triển khai một cách “trong suốt” trong hệ thống cơ sở hạ
tầng của mạng. Người sử dụng đầu cuối không cần quan tâm xem gói tin bị chặn hay
chuyển đi như thế nào trên mạng bởi IPSec
Overlay VPN được triển khai dưới dạng đường hầm. Việc triển khai thành công
các công nghệ gắn với địa chỉ IP nên một vài nhà cung cấp dịch vụ bắt đầu triển khai
VPN qua IP. Thực vậy, nếu khách hàng nào xây dựng mạng của riêng họ qua Internet
thì có thể dùng giải pháp này vì chi phí thấp. Bên cạnh lý do kinh tế thì mô hình đường
hầm còn đáp ứng cho khách hàng việc bảo mật dữ liệu.
15
Hình 1.4 Mô hình triển khai dưới dạng đường hầm
Trong mô hình Overlay VPN, nhà cung cấp dịch vụ chỉ có nhiệm vụ cung cấp các
đường kết nối điểm tới điểm hoặc các kênh ảo. Nhà cung cấp không tham gia vào quá
trình định tuyến mà đơn thuần cung cấp việc vận chuyển dữ liệu giữa các mạng của
khách hàng và giao thức định tuyến nằm ở bộ định tuyến của khách hàng.
Hình 1.5 Mô hình Overlay VPN
Hình trên minh hoạ một mô hình Overlay VPN. Với 3 site khách hàng là HÀNỘI,
TPHCM và Đà Nẵng. Ở đây Hà nội kết nối với TPHCM qua một kết nối vật lý do nhà
cung cấp cấp, tương tự cũng có một kết nốii Hà nội với Đà nẵng. Trong mô hình này
định tuyến lớp 3 được thiết lập trực tiếp tại các thiết bị định tuyến biên của phía khách
hàng là Hà nội, TPHCM và Đà nẵng và bản thân nhà cung cấp không tham gia vào quá
trình định tuyến.
16
Do nhà cung cấp không tham gia vào quá trình định tuyến của khách hàng và họ
chỉ cung cấp các dịch vụ vận chuyển dữ liệu qua các kết nối điểm tới điểm ảo ( các kết
nối này có thể là cố định hoặc là các kết nối chuyển đổi) Như vậy nhà cung cấp chỉ
cung cấp cho khách hàng các kết nối ảo ở lớp 2. Nên ta thấy mô hình này có xuất hiện
vài ưu điểm :
Nhà cung cấp dịch vụ không tham gia vào phía định tuyến của khách hàng.
Mạng của nhà cung cấp dịch vụ và mạng của khách hàng hoàn toàn tách biệt.
Có thể tái tạo và sử dụng lại địa chỉ IP
Bên cạnh những ưu điểm trên mô hình Overlay VPN còn một số nhược điểm:
Nhược điểm chính của mô hình này là các mạch ảo kết nối các site khách hàng đều
ở dạng full mesh nghĩa là nếu có N site khách hàng thì tổng mạch ảo tối ưu cho việc
định tuyến là N*(N-1)/2.
Hai phía khách hàng đếu phải thực hiện các giao thức bảo mật và mã hoá dữ liệu
như IP Sec, SSL, GRE.. do đó gây ra độ trễ lớn và việc triển khai các ứng dụng thời
gian thực là không khả thi.
Khi muốn mở rộng mạng ( bổ sung site mới) thì nhà cung cấp dịch vụ phải cấu
hình thêm một VC mới việc này tốn công sức và băng thông của nhà cung cấp.
Mặt khác ta thấy các cam kết về chất lượng dịch vụ trong mô hình Overlay VPN
thường là cam kết về băng thông trên một kênh ảo, băng thông có thể sử dụng được tối
đa trên một kênh ảo. Việc cam kết này được thực hiện thông qua các thống kê tự nhiên
của dịch vụ lớp 2 nhưng lại phụ thuộc vào chiến lược của nhà cung cấp. Điều này có
nghĩa là tốc độ cam kết không thực sự được bảo đảm mặc dù nhà cung cấp có thể đảm
bảo tốc độ nhỏ nhất. Cam kết về băng thông cũng chỉ là cam kết về hai điểm trong
mạng khách hàng. Nếu không có ma trận lưu lượng thì thật khó có thể thực hiện cam
kết này cho khách hàng trong mô hình Overlay VPN và thật khó có thể cung cấp nhiều
lớp dịch vụ vì nhà cung cấp dịch vụ không thể phân biệt được lưu lượng ở giữa mạng.
Để làm được việc này đòi hỏi phải tạo ra nhiều kết nối như trong mạng Frame relay
hay ATM là có các kênh ảo cố định giữa các site khách hàng tuy nhiên nhiều kết nối
chỉ làm tăng thêm chi phí của mạng
1.4.2 Site to site VPN ( Mô hình VPN ngang cấp)
Mô hình VPN ngang cấp ra đời nhằm giải quyết các hạn chế của mô hình Overlay
VPN. Mô hình này cho phép nhà cung cấp dịch vụ cung cấp cho khách hàng việc vận
chuyển dữ liệu một cách tối ưu qua hệ thống mạng xương sống và với mô hình này
17
nhà cung cấp dịch vụ và khách hàng sử dụng chung một loại giao thức mạng và toàn
bộ việc định tuyến của khách hàng được thực hiện trong lõi mạng của nhà cung cấp.
Bộ định tuyến nhà cung cấp dịch vụ trao đổi thông tin định tuyến với bộ định tuyến
của khách hàng, tại mỗi mạng liền kề. Định tuyến lớp 3 được thiết lập giữa bộ định
tuyến biên của khách hàng với bộ định tuyến biên của nhà cung cấp.
Bởi việc định tuyến giữa các nút đã được triển khai nên việc định tuyến giữa các
mạng giờ đây là tối ưu. Đa kết nối được thiết lập từ điểm tới điểm hay việc kết nối
thông qua hệ thống xương sống của mạng nhà cung cấp đã giúp cho việc định tuyến
đạt được ở mức tối ưu.
Trong mô hình này việc bổ xung các mạng con dễ dàng hơn khi đó khả năng của
các vi mạch không còn là vấn đề phải quan tâm. Địa chỉ IP của phía khách hàng do
nhà cung cấp kiểm soát. Nhà cung cấp dịch vụ chia sẻ việc định tuyến với khách hàng,
nhà cung cấp dịch vụ ấn định hoặc đưa ra một khoảng địa chỉ cần thiết để triển khai hệ
thống mạng của khách hàng vì vậy địa chỉ riêng không còn là sự lựa chọn nữa.
Hình 1.6 Mô hình site to site VPN
Hình trên mô phỏng cách triển khai của mô hình site to site VPN. Trong mô hình
này thông tin định tuyến được trao đổi giữa bộ định tuyến biên của khách hàng và nhà
cung cấp dịch vụ cụ thể ở đây là giữa Hà nội CE và Hà nội PE. Sau đó bộ định tuyến
của nhà cung cấp trao đổi với bộ định tuyến của khách hàng khác thông qua hệ thống
mạng lõi ở đây bộ định tuyến Hà nội PE sẽ quảng bá qua hệ thống lõi tới TPHCM PE
và Đà nẵng PE. Mặt khác các thông tin định tuyến lớp 3 được trao đổi trực tiếp giữa
bộ định tuyến của khách hàng với bộ định tuyến của nhà cung cấp.
18
Như vậy ta thấy mô hình này không yêu cầu tạo ra các mạch ảo mà bộ định tuyến
CE trao đổi trực tiếp thông tin về tuyến với các bộ định tuyến PE của nhà cung cấp
dịch vụ và thông tin định tuyến của khách hàng được quảng bá trong mạng lõi của nhà
cung cấp do đó sẽ xác định được đường đi tối ưu giữa một site khách hàng này tới một
site khách hàng khác.
Nhà cung cấp dịch vụ triển khai hai ứng dụng khác sử dụng mạng riêng ảo
ngang cấp:
Phương pháp chia sẻ router: Bộ định tuyến dùng chung, nghĩa là khách hàng
chia sẻ cùng bộ định tuyến biên mạng của nhà cung cấp. Ở phương pháp này nhiều
khách hàng có thể kết nối trên cùng một bộ định tuyến của nhà cung cấp
Hình 1.7 Mô hình VPN ngang cấp sử dụng router dùng chung
Trên bộ định tuyến biên mạng của nhà cung cấp phải cấu hình một danh sách truy
cập cho giao diện của mỗi nhà cung cấp - để đảm bảo chắc chắn sự cách ly giữa các
khách hàng VPN, để ngăn chăn mạng riêng ảo của khách hàng này thực hiện các tấn
công từ chối dịch vụ vào mạng riêng ảo của khách hàng khác. Nhà cung cấp dịch vụ
chia mỗi phần trong không gian địa chỉ của nó cho khách hàng và quản lý việc lọc gói
tin trên router của nhà cung cấp
19
Hình 1.8 Mô hình VPN ngang cấp với router dùng chung
Ở mô hình trên có 3 mô hình VPN riêng biệt VPN-101, VPN-201, VPN-301.
Những mô hình này được triển khai trên 4 site khách hàng khác nhau. VPN-101 được
triển khai cho Paris cũng như Lyon. VPN-201 được triển khai cho Brussels và VPN-
301 được triển khai cho Munic. Ta thấy Lodon PE chứa toàn bộ thông tin định tuyến
của cả 3 mô hình VPN. Việc cách ly giữa các mô hình VPN được thực hiện bởi một
danh sách truy cấp trên giao diện của PE và CE: Serial0/0, Serial0/1, Serial0/2,
Serial0/3.
Phương pháp router riêng: là phương pháp mà khách hàng VPN có router của
nhà cung cấp dịch vụ riêng. Trong phương pháp này, mỗi khách hàng VPN phải có
router của nhà cung cấp dành riêng và do đó chỉ truy cập đến các router trong bảng
định tuyến của router nhà cung cấp đó.
20
Hình 1.9 Mô hình VPN ngang cấp sử dụng router dành riêng
Mô hình router dành trước sử dụng giao thức định tuyến để tạo ra bảng định
tuyến trên một mạng riêng ảo trên router nhà cung cấp. Bảng định tuyến chỉ có các
router được quảng bá bởi khách hàng VPN kết nối đến chúng, kết quả là tạo ra sự cách
ly tuyệt vời giữa các mạng riêng ảo. Việc định tuyến router dành trước có thể thực
hiện:
Giao thức định tuyến chạy giữa PE và CE là bất kỳ
BGP là giao thức chạy giữa PE và CE
PE phân phối các router nhận được từ CE vào BGP, đánh dấu với ID của khách
hàng và truyền các router đến router P, router P sẽ có tất cả các router từ tất cả các
VPN của khách hàng.
Router P chỉ truyền các định tuyến với BGP community thích hợp đến router
PE. Do đó router PE chỉ nhận các tuyến từ router CE trong VPN của chúng. Sự chia
tách giữa các khách hàng đạt được thông qua việc thiếu thông tin định tuyến của nó
trong bộ định tuyến biên của khách hàng. Bộ định tuyến của nhà cung cấp chứa toàn
bộ bộ định tuyến của khách hàng và lọc thông tin định tuyến giữa các bộ định tuyến
biên của mỗi khách hàng trong mạng nhà cung cấp sử dụng BGP. Bởi mỗi khách hàng
có một bộ định tuyến biên riêng của nhà cung cấp nên mô hình này khá đắt để triển
khai do đó nó không phải là giải pháp hiệu quả về giá cả
21
Hình 1.10 Mô hình router dành riêng
Trong mô hình này có 2 mạng riêng biệt: VPN-101, VPN-201 và triển khai qua 4
site khách hàng khác nhau. VPN-101 được triển khai cho hai nơi Paris và Brussels và
VPN-201 được triển khai cho một nơi là London. Bộ định tuyến của nhà cung cấp dịch
vụ trong mạng của nhà cung cấp chứa toàn bộ bộ định tuyến của hai mạng riêng ảo
VPn-101 và VPN-201 và nó lọc các thông tin định tuyến cập nhật của các Paris PE,
London PE, và Brussels PE sử dụng BGP Communities.
Từ hai phương pháp trên ta thấy:
Phương pháp dùng chung router rất khó duy trì vì nó yêu cầu cần phải có danh
sách truy cập dài và phức tạp trên giao diện của router. Còn phương pháp dùng router
riêng, mặc dù có vẻ đơn giản về cấu hình và dễ duy trì hơn nhưng nhà cung cấp dịch
vụ phải bỏ ra chi phí lớn để đảm bảo được phục vụ tốt cho khách hàng.
Tất cả khách hàng dùng chung không gian địa chỉ IP, nên họ phải sử dụng hoặc
là địa chỉ IP thật trong mạng riêng của họ hoặc là phụ thuộc vào nhà cung cấp dịch vụ
để có được địa chỉ IP. Trong cả hai trường hợp, kết nối một khách hàng mới đến dịch
vụ VPN ngang cấp đòi hỏi phải đăng ký lại địa chỉ IP trong mạng khách hàng. Khách
hàng không thể thêm router mặc định vào mạng riêng ảo. Giới hạn này đã ngăn chặn
việc định tuyến tối ưu và cấm khách hàng truy cập Internet từ nhà cung cấp dịch vụ
khác.
22
Việc định tuyến đơn giản hơn nhìn từ phía khách hàng khi router khách hàng
chỉ trao đổi thông tin định tuyến với một hoặc một vài router PE. Trong khi ở mô hình
Overlay VPN, số lượng router láng giềng có thể phát triển với số lượng lớn.
Định tuyến giữa các site khách hàng luôn luôn là tối ưu vì nhà cung cấp dịch vụ
biết topo mạng khách hàng và do đó có thể thiết lập định tuyến tối ưu cho các router
của họ.
Việc cung cấp băng thông đơn giản hơn bởi vì khách hàng chỉ phải quan tâm
đến băng thông đầu vào và ra ở mỗi site mà không cần phải chính xác toàn bộ lưu
lượng từ site này đến site như mô hình Overlay. Hơn nữa mô hình này có khả năng mở
rộng vì nhà cung cấp dịch vụ chỉ cần thêm vào một site và thay đổi cấu hình trên
router PE. Trong mô hình Overlay, nhà cung cấp dịch vụ phải tham gia vào toàn bộ tập
hợp các kênh ảo từ site này đến site khác của VPN khách hàng.
Tuy nhiên khi triển khai mô hình site to site có một số hạn chế:
Nhà cung cấp dịch vụ phải đáp ứng được định tuyến khách hàng cho đúng và
đảm bảo việc hội tụ của mạng khách hàng khi có lỗi liên kết.
Router P của nhà cung cấp dịch vụ phải mang tất cả các tuyến của khách hàng.
Nhà cung cấp dịch vụ phải biết rõ chi tiết về định tuyến IP, mà điều này thực sự
không cần thiết đối với nhà cung cấp từ xưa đến nay.
1.5 Kết luận
Ngày nay, hệ thống mạng phát triển mạnh, nhu cầu chia sẻ tài nguyên trên mạng là
một vấn đề tất yếu. Một yêu cầu cấp bách đặt ra hiện nay đó là việc an toàn dữ liệu khi
đi trên hệ thống mạng. Có rất nhiều giải pháp, VPN là một trong những giải pháp hiệu
quả, và được ứng dụng rộng rãi. Dịch vụ VPN cho phép kết nối mạng riêng với chỉ 1
đường kênh vật lý duy nhất, chi phí rẻ so với công nghệ truyền thống, tận dụng khả
năng xử lý của các thiết bị trong lõi mạng của nhà cung cấp. Bên cạnh đó còn có tính
năng bảo mật an toàn, khả năng mỏ rộng mạng dễ dàng đặc biệt rất hiệu quả trong việc
công ty muốn mở rộng thêm chi nhánh khi đó khách hàng chỉ cần đăng ký thêm điểm
kết nối mà không cần đầu tư gì trên mạng. Nhờ những tính năng ưu việt nên VPN là
một mô hình đang được ứng dụng rộng rãi tại Việt Nam.
Việc nghiên cứu và phân tích các loại VPN hiện nay cho ta thấy được ưu cũng như
nhược điểm của từng mô hình để từ đó ứng dụng vào thực tế cho phép ta có những lựa
chọn đúng đắn phù hợp với từng nhu cầu của ứng dụng.
23
CHƯƠNG 2 MẠNG RIÊNG ẢO TRÊN NỀN CÔNG NGHỆ MPLS
Trong chương này báo cáo luận văn sẽ trình bày về công nghệ MPLS- là một
công nghệ đang được ứng dụng rộng rãi hiện nay, khái niệm MPLS, đặc điểm của
công nghệ MPLS, phương thức hoạt động MPLS và đi sâu vào ứng dụng MPLS VPN.
2.1 Vấn đề đặt ra?
Mạng internet ra đời mở màn cho kỷ nguyên tiến bộ vượt bậc của nhân loại, nó
không ngừng phát triển về phạm vi cũng như chất lượng. Khi mạng Internet phát triển
và mở rộng, lưu lượng Internet bùng nổ. Các nhà cung cấp dịch vụ xử lý bằng cách
tăng dung lượng các kết nối và nâng cấp các router nhưng vẫn không tránh khỏi nghẽn
mạch. Lý do là các giao thức định tuyến thường hướng lưu lượng vào một số các kết
nối nhất định dẫn đến kết nối này bị quá tải trong khi một số tài nguyên khác không
được sử dụng. Đây chính là tình trạng phân bổ không đều và sử dụng lãng phí tài
nguyên mạng Internet.
Vào những thập niên 90, các nhà cung cấp dịch vụ phát triển mạng của họ theo
mô hình chồng lớp bằng cách đưa ra giao thức IP over ATM. ATM là một công nghệ
hướng kết nối thiết lập các kênh ảo, tuyến ảo tạo thành một mạng logic nằm trên mạng
vật lý, giúp định tuyến, phân bổ tải đồng đều trên toàn mạng. Tuy nhiên IP và ATM là
hai công nghệ hoàn toàn khác nhau, được thiết kế cho những môi trường mạng khác
nhau, khác nhau về giao thức, cách đánh địa chỉ, định tuyến, báo hiệu, phân bổ tài
nguyên… và khi các nhà cung cấp dịch vụ phát triển mạng theo hướng IP over ATM
họ càng nhận rõ nhược điểm của mô hình này:
- Tính khả chuyển
Một vấn đề mà nhà cung cấp dịch vụ gặp phải là tính khả chuyển. Tức là để đảm
bảo việc dự phòng và tối ưu trong quá trình định tuyến thì mô hình full mesh của các
mạch ảo (VCs) phải được tạo ra mà kết quả có quá nhiều kết nối.
24
Hình 2.1 Full mesh với 6 kết nối ảo
Và càng nhiều các địa điểm thêm vào mạng lõi thì càng cần phải có nhiều kết
nối ảo (VCs) được tạo ra. Điều đó cũng có nghĩa là các router sẽ phải trao đổi cập
nhật bảng thông tin định tuyến với nhiều router liền kề gây ra một sự lưu thông lớn
trên mạng. Sự quá tải này cũng sẽ làm ảnh hưởng tới hiệu suất của router là làm giảm
tốc độ xử lý của chúng.
- Điều khiển lưu lượng
Điều khiển lưu lượng là quá trình xử lý mà lưu lượng được vận chuyển một cách
tối ưu theo yêu cầu. Mặc dù cả hai công nghệ IP và ATM đều có nhưng rõ ràng IP
không thể sánh được với ATM về đặc tính này. ATM và IP là hai công nghệ hoàn toàn
tách biệt nhau cho nên thật khó để kết hợp triển khai điều khiển lưu lượng đầu cuối
- Chất lượng của dịch vụ (QoS)
Cả IP và ATM đều có khả năng đảm bảo chất lượng dịch vụ. Một sự khác nhau
giữa chúng chính là IP là giao thức không kết nối (connectionless) còn ATM là giao
thức có kết nối (connection-oriented).
Vì vậy vấn đề đặt ra ở đây chính là các nhà cung cấp dịch vụ phải làm thế nào để
kết hợp được 2 cách triển khai chất lượng dịch vụ thành một giải pháp duy nhất
Chúng ta cũng có thể thấy rõ sự bất cập tồn tại ở chuyển tiếp gói tin ở lớp mạng
truyền thống (ví dụ chuyển tiếp gói tin IP qua mạng Internet). Sự chuyển tiếp gói tin
dựa trên các thông tin được cung cấp bởi các giao thức định tuyến (ví dụ RIP, OSPF,
EIGRP, BGP…), hoặc định tuyến tĩnh để đưa ra quyết định chuyển tiếp gói tin tới
bước tiếp theo trong mạng. Sự chuyển tiếp này chỉ duy nhất dựa trên địa chỉ đích. Tất
cả các gói tin có cùng một đích đến sẽ đi theo cùng một con đường. Thông thường là
con đường có giá nhỏ nhất điều đó dễ dàng dẫn đến hiện tượng mất cân bằng tải.
25
Hình 2.2 Một ví dụ về mạng IP dựa trên mạng lõi ATM
Để đảm bảo quá trình chuyển tiếp gói tin trong mạng là tối ưu, một mạch ảo ATM
phải tồn tại giữa bất kỳ hai router kết nối tới mạng lõi ATM. Điều đó có nghĩa là nếu
quy mô của mạng lớn, có đến vài chục hoặc thậm chí hàng trăm router kết nối với
nhau thì xảy ra một vấn đề khá trầm trọng
Ta có thể gặp các vấn đề sau:
Khi một router mới được nối vào mạng lõi WAN thì một mạch ảo phải được thiết
lập
Nếu một mạng chạy giao thức định tuyến thì mọi router sẽ thông báo sự thay đổi
trong mạng tới mọi router khác cùng kết nối tới WAN đường trục, kết quả là có quá
nhiều lưu lượng trong mạng.
Sử dụng các mạch ảo giữa các router là phức tạp bởi vì thật là khó để dự đoán
chính xác lưu lượng giữa bất kỳ hai router trong mạng.
Mặt khác sự bùng nổ của mạng Internet dẫn tới xu hướng hội tụ các mạng viễn
thông khác như mạng thoại, truyền hình dựa trên Internet, khi đó giao thức IP trở
thành giao thức chủ đạo trong lĩnh vực mạng. Xu hướng của nhà cung cấp dịch vụ là
thiết kế và sử dụng các router chuyên dụng với dung lượng truyền tải lớn hỗ trợ các
giải pháp tích hợp, chuyển mạch đa lớp cho mạng trục Internet. Nhu cầu cấp thiết
trong bối cảnh này là phải ra đời một công nghệ lai có khả năng kết hợp những đặc
điểm tốt của chuyển mạch kênh ATM và chuyển mạch gói IP.
Công nghệ MPLS ra đời trong bối cảnh đáp ứng nhu cầu của thị trường theo
đúng tiêu chí phát triển của Internet đã mang lại những lợi ích thiết thực, đánh dấu một
26
bước phát triển mới của Internet trước xu thế tích hợp công nghệ thông tin và viễn
thông
2.2 Chuyển mạch nhãn đa giao thức là gì?
2.2.1 Khái niệm
Chuyển mạch nhãn đa giao thức (Multiprotocol Label Switching – MPLS) là một
công nghệ được đưa ra với mục đích giải quyết nhiều vấn đề đang tồn tại liên quan tới
chuyển mạch gói trong môi trường kết nối Internet.
MPLS là một công nghệ kết hợp đặc điểm tốt nhất giữa định tuyến lớp ba và
chuyển mạch lớp hai cho phép chuyển tải các gói rất nhanh trong mạng lõi (core) và
định tuyến tốt ở mạng biên (edge) bằng cách dựa vào nhãn (label). MPLS là một
phương pháp cải tiến việc chuyển tiếp gói trên mạng bằng các nhãn được gắn với mỗi
gói IP, tế bào ATM, hoặc frame lớp hai. Phương pháp chuyển mạch nhãn giúp các
Router và MPLS-enable ATM switch ra quyết định theo nội dung nhãn tốt hơn việc
định tuyến phức tạp theo địa chỉ IP đích. MPLS kết nối tính thực thi và khả năng
chuyển mạch lớp hai với định tuyến lớp ba. Cho phép các nhà cung cấp dịch vụ cung
cấp nhiều dịch vụ khác nhau mà không cần phải bỏ đi cơ sở hạ tầng sẵn có. Cấu trúc
MPLS có tính mềm dẻo trong bất kỳ sự phối hợp với công nghệ lớp hai nào.
MPLS hỗ trợ mọi giao thức lớp hai, triển khai hiệu quả các dịch vụ IP trên một
mạng chuyển mạch IP. MPLS hỗ trợ việc tạo ra các tuyến khác nhau giữa nguồn và
đích trên một đường trục Internet. Bằng việc tích hợp MPLS vào kiến trúc mạng, Các
nhà cung cấp dịch vụ có thể giảm chi phí, tăng lợi nhuận, cung cấp nhiều hiệu quả
khác nhau và đạt được hiệu quả cạnh tranh cao.
2.2.2 Đặc điểm mạng MPLS
Không cần có một giao diện lập trình ứng dụng, cũng không có thành phần giao
thức phía host.
- MPLS chỉ nằm trên các router.
- MPLS là giao thức độc lập nên có thể hoạt động cùng với giao thức khác IP
như IPX, ATM, Frame Relay,…
- MPLS giúp đơn giản hoá quá trình định tuyến và làm tăng tính linh động
của các tầng trung gian.
27
2.2.3 Một số khái niệm cơ bản trong kiến trúc MPLS
2.2.3.1 Nhãn
Nhãn là một khung nhận dạng ngắn, chiều dài cố định . Nhãn không tực tiếp mã
hóa thông tin của header như địa chỉ lớp mạng. Nhãn được gói vào một gói tin cụ thể
sẽ đại diện cho một FEC mà gói tin đó đã được ấn định.
Có hai kiểu nhãn
Kiểu khung:
Hình 2.3 Nhãn kiểu khung
Kiểu khung là thuật ngữ khi chuyển tiếp một gói với nhãn gắn trước tiêu đề lớp
ba. Một nhãn được mã hoá với 20bit, nghĩa là có thể có 220 giá trị khác nhau. Một gói
có nhiều nhãn, gọi là chồng nhãn (label stack). Ở mỗi chặng trong mạng chỉ có một
nhãn bên ngoài được xem xét. Hình trên mô tả định dạng tiêu đề của MPLS
- Kiểu tế bào
Thuật ngữ này dùng khi có một mạng gồm các ATM LSR dùng MPLS trong
mặt phẳng điều khiển để trao đổi thông tin VPI/VCI thay vì dùng báo hiệu ATM.
Trong kiểu tế bào, nhãn là trường VPI/VCI của tế bào. Sau khi trao đổi nhãn
trong mặt phẳng điều khiển, ở mặt phẳng chuyển tiếp, bộ định tuyến ngõ vào (ingress
router) phân tách gói thành các tế bào ATM, dùng giá trị VCI/VPI tương ứng đã trao
đổi trong mặt phẳng điều khiển và truyền tế bào đi. Các ATM LSR ở phía trong hoạt
động như chuyển mạch ATM – chúng chuyển tiếp một tế bào dựa trên VPI/VCI vào
và thông tin cổng ra tương ứng. Cuối cùng, bộ định tuyến ngõ ra (egress router) sắp
xếp lại các tế bào thành một gói.
Bảng này gồm những trường sau
28
Hình 2.4 Nhãn kiểu tế bào
GFC(generic Flow Control): Điều khiển luồng chung
VPI(Vitual Parth Identifier): Nhận dạng đường ảo
VCI ( Vitual Chanel Identifier): Nhận dạng kênh ảo
PT ( Payload Type) chỉ thị kiểu trường tin
CLP (Cell loss Priority) chức năng chỉ thị ưu tiên huỷ bỏ tế bào
HEC ( Header Error Check) : Kiểm tra lỗi tiêu đề
2.2.3.2 Chồng nhãn
Một tập hợp có thứ tự các nhãn gắn theo các gói tin để chuyển tải thông tin về
nhiều FEC và về các LSP tương ứng mà gói sẽ đi qua. Ngăn xếp nhãn cho phép MPLS
hỗ trợ định tuyến phân cấp (Một nhãn cho EGP – exterior gateway và một nhãn cho
IGP – interior gateway protocol) và tổ chức đa LSP trong một trung kế LSP.
2.2.3.3 Lớp chuyển tiếp tương đương FEC ( Forward Equivalence Class)
FEC mô tả sự kết hợp các gói tin có cùng địa chỉ đích của người nhận cuối thành
các lớp để có những chính sách xử lý tương ứng. Giá trị FEC trong gói tin có thể thiết
lập mức độ ưu tiên cho việc điều khiển gói nhằm hỗ trợ hiệu quả hoạt động của QoS
(Quality of Service). Đối với các dịch vụ khác nhau thì các FEC khác nhau với các
thông số ánh xạ khác nhau. Việc ánh xạ một gói vào một FEC có thể đạt được nhờ vào
một số thông số sau:
- Địa chỉ IP nguồn, đích.
- Cổng nguồn, đích
- Nhận dạng giao thức
- Luồng
FEC được ấn định ngay từ đầu vào của mạng MPLS và phụ thuộc vào hoạt động của
LSR ngõ vào, ra. Do đó thường thì các LSR ngõ vào và ra là các router có khả năng xử
lý mạnh.
29
2.2.3.4 Đường chuyển mạch nhãn LSP ( label Switching Parth)
Đường chuyển mạch nhãn được thiết lập từ ingress LSR (ingress Label S=witching
Router – dữ liệu đầu vào là gói IP truyền thống, ingress LSR sẽ ấn định nhãn cho gói
thông tin này) đến egress LSR (egress Label Switching Router – gỡ bỏ nhãn cho gói
dữ liệu khi ra khỏi mạng lõi MPLS). LSP được xây dựng bằng các giao thức như LDP
(Label Distributed Protocol), RSVP (Resource Reservation Protocol),…
Một LSP nối từ đầu cuối đến đầu cuối gọi là đường hầm LSP (LSP tunnel) – liên
kết các đoạn LSP giữa các nút.
2.2.3.5 Cơ sở thông tin nhãn LIB ( label Information Base)
Mỗi LSR phải xây dựng một bảng thông tin sử dụng cho việc định tuyến và
chuyển tiếp các gói tin trong mạng. Trong bảng sẽ chứa những thông tin liên quan đến
nhãn, địa chỉ, trạm kế,… để xác định rõ ràng cách thức chuyển tiếp của gói dữ liệu như
thế nào.
2.2.3.6 Một số khái niệm khác
LSR - Label Switch Router là các router hoặc switch triển khai phân phối nhãn và
có thể chuyển tiếp các gói dựa trên các nhãn. Chức năng cơ bản của quá trình phân
phối nhãn này cho phép một LSR phân phối nhãn thông tin chuyển tiếp của nó tới các
LSRs khác trong mạng MPLS.
Có một vài loại LSR khác nhau và chúng được phân biệt nhờ chức năng của chúng
trong cơ sở hạ tầng mạng. Sự khác nhau giữa các loại LSR chỉ là cấu trúc bởi một loại
có thể đóng nhiều vai trò khác nhau.
Chúng ta có thể tóm tắt các chức năng của các loại LSR. Chú ý rằng bất kỳ một
thiết bị trên mạng nào có thể có nhiều hơn một chức năng (một thiết bị có thể vừa là
LSR biên vừa là ATM LSR biên.
Kiểu LSR Chức năng
LSR Chuyển tiếp các gói tin đã được gán nhãn
LSR biên - Có thể nhận một gói tin IP, thực hiện kiểm tra lớp 3, và gán một
ngăn xếp nhãn trước khi chuyển tiếp gói vào miền MPLS
- Có thể nhận một gói IP, thực hiện việc kiểm tra ở lớp 3, chuyển
tiếp gói IP tới điểm tiếp theo (next-hop)
ATM-LSR - Chạy các giao thức MPLS trong mặt phẳng điều khiển để tạo ra
30
2.2.4 Phương thức hoạt động của công nghệ MPLS
- MPLS hoạt động trong lõi của mạng IP. Các Router trong lõi phải kích hoạt
MPLS trên từng giao tiếp. Nhãn được gắn thêm vào gói IP khi gói đi vào
mạng MPLS. Nhãn được tách ra khi gói ra khỏi mạng MPLS. Nhãn (Label)
được chèn vào giữa header lớp ba và header lớp hai. Sử dụng nhãn trong
quá trình gửi gói sau khi đã thiết lập đường đi. MPLS tập trung vào quá
trình hoán đổi nhãn. Một trong những thế mạnh của khiến trúc MPLS là tự
định nghĩa chồng nhãn.
- Công thức để gán nhãn gói tin là:
Network Layer Packet + MPLS Label Stack
- Không gian nhãn (Label Space): có hai loại. Một là, các giao tiếp dùng
chung giá trị nhãn (per-platform label space). Hai là, mỗi giao tiếp mang giá
trị nhãn riêng, (Per-interface Label Space).
- Bộ định tuyến chuyển nhãn (LSR – Label Switch Router): ra quyết định
chặng kế tiếp dựa trên nội dung của nhãn, các LSP làm việc ít và hoạt động
gần giống như Switch.
- Con đường chuyển nhãn (LSP – Label Switch Path): xác định đường đi của
gói tin MPLS. Gồm hai loại: Hop by hop signal LSP - xác định đường đi
khả thi nhất và Explicit route signal LSP - xác định đường đi từ nút gốc..
Sự khác nhau cơ bản giữa MPLS và các công nghệ WAN truyền thống chính là
cách mà các nhãn được gán và khả năng mang một ngăn xếp của các nhãn cho một gói
tin. Khái niệm ngăn xếp nhãn cho phép chúng ta có nhiều ứng dụng mới ví dụ như
Điều khiển lưu lượng (Traffic Engineering), Mạng riêng ảo (Virtual Private Network –
VPN )….
các mạch ảo ATM, và chuyển tiếp các tế bào tới ATM-LSR ở điểm tiếp
theo(next-hop)
ATM LSR-
biên
- Có thể nhận 1 gói đã được gán nhãn hoặc chưa, chia nó thành các
tế bào ATM và chuyển tiếp các tế bào tới ATM-LSR tiếp theo
- Có thể nhận các tế bào ATM từ một ATM-LSR kề cận, lắp ghép
các tế bào này trở lại gói tin gốc và sau đó chuyển tiếp gói tin này dưới
dạng đã được gán nhãn hoặc chưa.
31
Cấu trúc của một nút MPLS bao gồm 2 mặt thành phần: thành phần chuyển tiếp
(hay còn được gọi là mặt phẳng dữ liệu) và thành phần điều khiển (còn được gọi là
mặt phẳng điều khiển). Thành phần chuyển tiếp sử dụng một cơ sở dữ liệu chuyển
tiếp nhãn để chuyển tiếp dữ liệu dựa trên các nhãn đi kèm với gói tin. Thành phần điều
khiển chịu trách nhiệm tạo và duy trì các thông tin chuyển tiếp nhãn (còn được gọi là
bindings ) giữa nhóm các chuyển mạch nhãn với nhau.
Tất cả các nút MPLS phải chạy một hoặc nhiều giao thức định tuyến IP (hoặc
dựa trên định tuyến tĩnh) để có thể trao đổi thông tin định tuyến với các nút MPLS
khác trên mạng. Theo đó, mỗi một nút MPLS (bao gồm cả chuyển mạch ATM) là một
router trên mặt phẳng điều khiển.
Hình 2.5 Cấu trúc cơ bản của một nút MPLS
Tương tự như các router truyền thống, các giao thức định tuyến IP sẽ dùng để
xây dựng nên bảng định tuyến. Bảng định tuyến IP được sử dụng để đẩy gói tin đi.
Tại một nút MPLS, bảng định tuyến được sử dụng để xác định việc trao đổi
thông tin nhãn chuyển tiếp, nơi mà các nút MPLS kề cận với nó trao đổi các nhãn cho
các mạng con (subnets) cụ thể được chứa trong bảng định tuyến.
Các quá trình điều khiển định tuyến MPLS IP (MPLS IP Routing Control) sử
dụng các nhãn để trao đổi với các nút MPLS cạnh nó để tạo ra bảng chuyển tiếp nhãn
(Label Forwarding Table), bảng này là vùng cơ sở dữ liệu được sử dụng để chuyển
tiếp các gói được gán nhãn qua mạng MPLS
Tạo nhãn ở mạng biên
Các gói tin phải được đánh nhãn trước khi chuyển tiếp tới miền mạng MPLS.
Để thực hiện được nhiệm vụ này, LSR biên phải biết nơi gói tin được đánh tiêu đề,
32
hoặc ngăn xếp nhãn, nó phải khai báo cho gói tin. Để chuyển tiếp gói tin IP lớp 3 tới
chặng tiếp theo, nó kiểm tra trong bảng định tuyến địa chỉ IP đích được chứa trong tiêu
đề lớp 3 của gói tin. Sau đó lựa chọn bước tiếp theo để chuyển tiếp gói tin. Và cứ như
thế cho đến khi gói tin đi đến đích.
Có 2 cách để gói IP tới chặng tiếp theo. Cách thứ nhất là toàn bộ các gói được
coi là như nhau khi chuyển qua mạng. Cách thứ hai là ánh xạ từng địa chỉ IP đích tới
một IP của chặng tiếp theo. Trong mạng MPLS cách thứ nhất được gọi là nhóm
chuyển tiếp tương đương – FECs (Forwarding Equivalence Classes). FEC là một
nhóm các gói, nhóm các gói này chia sẻ cùng yêu cầu trong sự chuyển tiếp chúng qua
mạng. Tất cả các gói trong một nhóm như vậy được cung cấp cùng cách chọn đường
tới đích. Khác với chuyển tiếp IP truyền thống, trong MPLS việc gán một gói cụ thể
vào một FEC cụ thể chỉ được thực hiện một lần khi các gói vào trong mạng. MPLS
không ra quyết định chuyển tiếp với mỗi datagram ( một gói thông tin và cả thông tin
bàn giao kết hợp thường là địa chỉ ) lớp 3 mà sử dụng khái niệm FEC. FEC phụ thuộc
vào một số các yếu tố, ít nhất là phụ thuộc vào địa chỉ IP và có thể là phụ thuộc cả vào
kiểu lưu lượng trong datagram (thoại, dữ liệu, fax…). Sau đó dựa trên FEC, nhãn
được thoả thuận giữa các LSR lân cận từ lối vào tới lối ra trong một vùng định tuyến.
Mỗi LSR xây dựng một bảng để xác định xem một gói phải được chuyển tiếp như thế
nào. Bảng này được gọi là cơ sở thông tin nhãn (LIB: Label Information Base), nó là
tổ hợp các ràng buộc FEC với nhãn (FEC-to-label). Và nhãn lại được sử dụng để
chuyển tiếp lưu lượng qua mạng.
Một cách để phân chia lưu lượng vào trong các FEC là tạo một FEC
riêng biệt cho mỗi tiền tố địa chỉ xuất hiện trong bảng định tuyến. Cách này có thể tạo
ra một tập hợp các FEC cho phép cùng đi một đường tới đích. Theo cách này thì bên
trong một miền MPLS, sẽ có nhiều FEC riêng biệt và như thế sẽ không hiệu quả. Trên
thực tế MPLS hợp nhất những FEC đó thành một FEC duy nhất.
33
Hình 2.6 Các FEC riêng biệt cho mỗi tiền tố địa chỉ
Egress
Node
Routing Table
172.16.10.5/16
172.16.17.3/16
172.16.12.8/16
192.168.14.7/24
192.168.14.20/24
Ingress Node
n Prefix = 1 FEC
Hình 2.7 Tổng hợp các FEC
34
Hình 2.8 Sự tạo nhãn MPLS và chuyển tiếp
Với cơ chế chuyển tiếp IP truyền thống, thì mỗi gói tin được xử lý tại một
chặng trong mạng. Tuy nhiên với MPLS, một gói tin cụ thể được gán tới một FEC cụ
thể, và được thực hiện tại thiết bị mạng biên khi mà gói tin tham gia vào mạng. Nhóm
chuyển tiếp tương đương cho mỗi gói được khai báo sau đó mã hóa thành một chỉ số
định dạng ngắn có chiều dài cố định, được gọi là nhãn.
2.2.5 Chuyển tiếp gói MPLS và đường chuyển mạch nhãn
Mỗi một gói tin khi tham gia mạng MPLS tại LSR vào và ra khỏi mạng MPLS
tại một LSR ra. Cơ chế này tạo ra Đường chuyển mạch nhãn – Label Switched Path
(LSP), được mô tả như là một nhóm các LSRs mà các gói được gán nhãn phải đi qua
để tới LSR đầu ra cho một FEC cụ thể.
LSP là một hướng kết nối (connection-oriented) bởi vì đường dẫn được tạo ra
trước khi có sự vận chuyển lưu lượng. Tuy nhiên, việc thiết lập kết nối này dựa trên
thông tin về mô hình mạng hơn là yêu cầu về luồng lưu lượng.
Khi gói tin đi qua mạng MPLS, mỗi LSR sẽ hoán đổi nhãn đi vào với một nhãn
đi ra cho đến LSR cuối cùng, được biết đến là LSR ra. (giống như cơ chế được sử
dụng trong mạng ATM nơi mà một cặp VPI/VCI này được tráo đổi với một cặp
VPI/VCI khác khi ra khỏi chuyển mạch ATM)
35
2.2.5.1 Các ứng dụng của MPLS
Hình 2.9 Các ứng dụng khác nhau của MPLS
MPLS được tạo ra để kết hợp của định tuyến truyền thống và chuyển mạch
ATM trong một mạng lõi IP thống nhất ( IP-ATM cấu trúc). Tuy nhiên ưu thế thực sự
của MPLS chính là các ứng dụng khác mà nó đem lại, từ điều khiển lưu lượng (Traffic
Engineering) tới mạng riêng ảo (Virtual Private Networks). Tất cả các ứng dụng này
sử dụng chức năng miền điều khiển để thiết lập một cơ sở dữ liệu chuyển mạch
2.2.5.2 Điều khiển lưu lượng
Vấn đề quan trọng trong các mạng IP là thiếu khả năng điều khiển linh hoạt các
luồng lưu lượng IP để sử dụng hiệu quả dải thông mạng có sẵn. Do vậy, thiếu hụt này
liên quan đến khả năng gửi các luồng được chọn xuống các đường được chọn ví dụ
như chọn các đường trung kế được bảo đảm cho các lớp dịch vụ riêng. MPLS sử dụng
các đường chuyển mạch nhãn LSP mà có thể được thiết lập trên cả ATM và thiết bị
dựa trên gói tin. Khả năng kỹ thuật lưu lượng của MPLS sử dụng thiết lập các LSP để
điều khiển một cách linh hoạt các luồng lưu lượng IP.
2.2.5.3 Tích hợp IP và ATM
Do “chuyển mạch nhãn” có thể thực hiện được bởi các chuyển mạch ATM,
MPLS là một phương pháp tích hợp các dịch vụ IP trực tiếp trên chuyển mạch ATM.
Sự tích hợp này cần phải đặt định tuyến IP và phần mềm LDP trực tiếp trên chuyển
mạch ATM. Do tích hợp hoàn toàn IP trên chuyển mạch ATM, MPLS cho phép
chuyển mạch ATM hỗ trợ tối ưu các dịch vụ IP như IP đa hướng (multicast), lớp dịch
vụ IP, RSVP và mạng riêng ảo VPN
36
2.2.5.4 Hỗ trợ chất lượng dịch vụ
Một thiếu sót của mạng IP so với mạng Frame Relay và ATM, là sự bất lực của
chúng để cung cấp dịch vụ thoả mãn nhu cầu lưu lượng. Ví dụ lưu lượng thời gian
thực như voice hay video cần dịch vụ chất lượng cao (độ trễ luồng thấp, mất luồng
thấp…) khi truyền qua mạng. Tương tự dữ liệu trong kinh tế thương mại phải được ưu
tiên qua trình duyệt web thông thường.
Kết nối định hướng mang tính tự nhiên của MPLS cung cấp khung làm việc
hợp lý để đảm bảo chất lượng lưu lượng IP. Trong khi QoS và lớp dịch vụ CoS (Class
of Service) không phải là cơ sở đặc biệt của MPLS, chúng có thể ứng dụng trong mạng
MPLS khi kỹ thuật lưu lượng được sử dụng. Điều này cho phép nhà cung cấp thiết lập
hợp đồng mức dịch vụ SLA (Service Level Agreements) với khách hàng để đảm bảo
dịch vụ như độ rộng băng thông, độ trễ, mức thất thoát. Dịch vụ giá trị gia tăng có thể
được phân phối bổ sung như truyền tải dữ liệu cơ sở, tăng thu nhập và cuối cùng cho
tiến tới mạng hội tụ.
Intserv and Diffserv, qua thời gian một số kỹ thuật được phát triển để thiết lập
QoS/CoS trong một mạng. Trong mô hình dịch vụ tích hợp Intserv (Integrated
Services), RSVP đã phát triển thủ tục báo hiệu QoS qua một mạng, cho phép thiết bị
sắp xếp và thiết lập thông số lưu lượng đảm bảo như độ rộng băng thông và độ trễ đầu
cuối - đầu cuối. Nó sử dụng nguồn tài nguyên tại chỗ, đảm bảo dịch vụ xuống theo
luồng cơ sở. Mô hình dịch vụ khác nhau Diffserv (Differentiated Services) giảm bớt
cứng nhắc, cung cấp phân phối CoS để đối xử như nhau đối với lớp lưu lượng có mức
ưu tiên như nhau, nhưng không có báo hiệu hay đảm bảo dịch vụ đầu cuối đầu cuối.
Diffserv định nghĩa lại kiểu dịch vụ ToS (Type of Service) trong tiêu đề gói IP để
cung cấp sự phân loại này.
Trong khi Intserv đảm bảo độ rộng băng lưu lượng, nó xác nhận không thể tăng
hay thực hiện hoạt động qua mạng lớn. IETF kết hợp Difserv và kỹ thuật lưu lượng
MPLS để cung cấp QoS đảm bảo trong mạng MPLS. Thông tin Diffserv trong tiêu đề
gói IP được ánh xạ trong thông tin nhãn của gói MPLS. Bộ định tuyến MPLS cập nhật
thông tin ưu tiên để truyển tiếp dữ liệu thích hợp. Một số cơ chế sử dụng gồm chia sẻ
lưu lượng, đợi, và phân loại gói.
QoS thực hiện ở biên của đám mây MPLS, ở nơi lưu lượng phi nhãn từ mạng
khách hàng đi vào mạng truyền thông. Tại cổng vào này, lưu lượng thời gian thực dễ
bị ảnh hưởng như lưu lượng định dạng voice IP hay hội nghị video có thể được ưu tiên
phân phát qua sự chuyển giao dữ liệu lớn.
37
2.2.5.5 Mạng riêng ảo
Dịch vụ VPN là dịch vụ mạng Intranet và Extranet mà các mạng đó được cung
cấp bởi nhà cung cấp dịch vụ đến nhiều tổ chức khách hàng. MPLS kết hợp với giao
thức BGP cho phép một nhà cung cấp mạng hỗ trợ hàng nghìn VPN của khách hàng.
Như vậy, mạng MPLS cùng với BGP tạo ra cách thức cung cấp dịch vụ VPN trên cả
ATM và các thiết bị dựa trên gói tin rất linh hoạt, dễ mở rộng quy mô và dễ quản lý.
Thậm chí trên các mạng của nhà cung cấp khá nhỏ, khả năng linh hoạt và dễ quản lý
của các dịch vụ BGP/MPLS VPN là ưu điểm chủ yếu.
Không giống như các mạng VPN truyền thống, các mạng MPLS VPN không sử
dụng hoạt động đóng gói và mã hóa gói tin để đạt được mức độ bảo mật cao. MPLS
VPN sử dụng bảng chuyển tiếp và các nhãn “tags” để tạo nên tính bảo mật cho mạng
VPN. Kiến trúc mạng loại này sử dụng các tuyến mạng xác định để phân phối các dịch
vụ VPN, và các cơ chế xử lý thông minh của MPLS VPN lúc này nằm hoàn toàn trong
phần lõi của mạng.
Trước tiên, ta hãy xem xét một số thuật ngữ được dùng trong mạng MPLS
VPN. Thiết bị CPE trong MPLS-VPN chính là các CE (Customer Edge) router và các
CE router này được nối với mạng của nhà cung cấp dịch vụ thông qua các PE
(Provider Edge) router. Một mạng VPN sẽ bao gồm một nhóm các CE router kết nối
với các PE router của nhà cung cấp dịch vụ. Tuy nhiên, chỉ những PE router mới có
khái niệm về VPN, còn các CE router thì không “nhận thấy” những gì đang diễn ra
bên trong mạng của nhà cung cấp dịch vụ và sẽ coi như chúng đang được kết nối với
nhau thông qua một mạng riêng.
Mỗi VPN được kết hợp với một bảng định tuyến - chuyển tiếp VPN
(VRF) riêng biệt. VRF cung cấp các thông tin về mối quan hệ trong VPN của một
mạng khách hàng khi được nối với PE router. Bảng VRF bao gồm thông tin bảng định
tuyến IP (IP routing table), bảng CEF (Cisco Express Forwarding), các giao diện của
bảng định tuyến; các quy tắc, các tham số của giao thức định tuyến... Mỗi mạng chỉ có
thể kết hợp với một và chỉ một VRF. Các VRF của mạng khách hàng mang toàn bộ
thông tin về các “tuyến” có sẵn từ mạng tới VPN mà nó là thành viên.
Đối với mỗi VRF, thông tin sử dụng để chuyển tiếp các gói tin được lưu trong
các bảng định tuyến IP và bảng CEF. Các bảng này được duy trì riêng rẽ cho từng
VRF nên nó ngăn chặn được hiện tượng thông tin bị chuyển tiếp ra ngoài mạng VPN
cũng như ngăn chặn các gói tin bên ngoài mạng VPN chuyển tiếp vào các router bên
trong mạng VPN. đây chính là cơ chế bảo mật của MPLS VPN. Bên trong mỗi một
MPLS VPN, có thể kết nối bất kỳ hai điểm nào với nhau và các mạng có thể gửi thông
tin trực tiếp cho nhau mà không cần thông qua mạng trung tâm.
38
Tham số phân biệt tuyến RD (Route Distinguisher) giúp nhận biết các địa chỉ IP
thuộc VPN riêng biệt nào. Xét mô hình mạng như hình dưới, có 3 VPN khác nhau và
được xác định bởi các RD: 10, 20 và 30. Một mạng MPLS có thể hỗ trợ hàng trăm đến
hàng nghìn VPN. Phần bên trong của kiến trúc mạng MPLS VPN được kết cấu bởi các
thiết bị của nhà cung cấp. Những thiết bị này hình thành mạng lõi (core) MPLS và
không được nối trực tiếp đến các CE router. Các chức năng VPN của một mạng
MPLS-VPN sẽ được thực hiện bởi các PE router bao quanh mạng lõi này. Cả P router
và PE router đều là các bộ định tuyến chuyển mạch nhãn LSR (Label Switch Router)
trong mạng MPLS. Các site khách hàng có thể được kết nối với các PE router bằng
nhiều cách khác nhau như T1, Frame Relay, DSL, ATM, v.v...
Hình 2.10 Mô hình mạng MPLS
Trong một mạng MPLS VPN, site phía khách hàng sẽ sử dụng IP thông thường
mà không cần biết đến MPLS, IPSec hay bất cứ một chức năng VPN đặc biệt nào.
Tại các PE router, một cặp VRF và RD sẽ tương ứng với mỗi liên kết đến site
của khách hàng (customer site). Liên kết này có thể là một liên kết vật lý T1, Frame
Relay hay ATM VC, DSL... Giá trị RD sẽ hoàn toàn “ẩn” và sẽ không được cấu hình
tại các thiết bị của khách hàng.
Sau đây ta xét một ví dụ cụ thể đường đi của một gói tin trong mạng VPN của
khách hàng từ PC A thuộc site A tới PC B thuộc site B thông qua mạng MPLS.
- Gói tin đến từ site A của PE router R1 như một gói IP thông thường với địa
chỉ đích 10.2.1.100. Site này thuộc mạng VPN với RD:10.
- R1 sẽ tra cứu bảng chuyển tiếp VPN của nó và dựa vào bảng này để gán nhãn
cho gói tin, trong trường hợp này là nhãn 56. Nhãn này mang thông tin về đích đến của
gói tin trong mạng VPN với RD:10
RD Prefix Destination PE Label
10 10.1.0.0/16 216.70.128.216 318
39
10 10.2.0.0/16 216.70.128.192 56
10 10.3.0.0/16 216.70.128.133 32
10 10.4.0.0/16 216.70.128.60 210
10 10.5.0.0/16 216.70.128.84 109
- R1 chuyển tiếp gói tin dựa vào địa chỉ PE đích trong bảng FIB (Label
Forwarding Information Base). Khi gói tin này được chuyển đi, nó sẽ được gán một
nhãn MPLS trong bảng LIB. Nhãn này (188) tương ứng với nhãn được yêu cầu để
chuyển tiếp gói tin đến R2, có địa chỉ IP là 216.70.128.192.
- LSR1 tiếp nhận gói tin và thưc hiện hoạt động chuyển mạch nhãn thông
thường. Trong ví dụ này, LSR1 tráo đổi nhãn 188 với nhãn 62, sau đó chuyển tiếp gói
tin đến LSR2.
- LSR2 tiếp nhận gói tin và thực hiện chức năng Penultimate Hop Popping bởi
vì đây là chặng cuối cùng trước khi gói tin đến PE đích, LSR2 sẽ loại bỏ nhãn (62) và
gửi gói tin tới R2 với nhãn 56.
- Sau khi R2 tiếp nhận gói tin, nó sẽ tra nhãn 56 trong bảng chuyển tiếp VPN,
trong trường hợp này, nhãn sẽ tương ứng với RD:10. Sau đó, R2 tham chiếu địa chỉ IP
trong gói tin để xác định ra đích đến là RD:10 với địa chỉ IP 10.2.1.100. R2 xác định
RD:10 và địa chỉ IP:10.2.1.100 là thuộc site được liên kết trực tiếp với R2 bởi một liên
kết IP thông thường nên nó sẽ loại bỏ nhãn và chuyển tiếp gói IP tới site đó.
RD Prefix Destination PE Label
10 10.1.0.0/16 216.70.128.216 318
10 10.2.0.0/16 216.70.128.192 56
10 10.3.0.0/16 216.70.128.133 32
10 10.4.0.0/16 216.70.128.60 210
10 10.5.0.0/16 216.70.128.84 109
Chú ý rằng địa chỉ IP 10.2.1.100 và 216.70.128.192 khác nhau về phạm vi, địa
chỉ IP 10.2.1.100 thuộc mạng VPN với RD:10 và chỉ những gói tin bên trong VPN này
mới có thể đến được địa chỉ này. Có thể có một địa chỉ IP 10.2.1.100 khác ở các VPN
khác, nhưng chúng được đặc trưng bởi những RD khác nhau. địa chỉ 216.70.128.192
thuộc mạng đường trục và nó không thuộc một VPN nào.
Một trong những ưu điểm lớn nhất của các MPLS VPN là không đòi hỏi các
thiết bị CPE thông minh bởi vì toàn bộ các chức năng VPN được thực hiện ở phía
40
trong mạng lõi của nhà cung cấp dịch vụ và hoàn toàn “trong suốt” đối với các CPE.
Các CPE không đòi hỏi chức năng VPN và hỗ trợ IPSec. điều này có nghĩa là khách
hàng không phải chi phí quá cao cho các thiết bị CPE.
Trễ trong mạng được giữ ở mức thấp nhất vì các gói tin lưu chuyển trong mạng
không phải thông qua các hoạt động như đóng gói và mã hóa. Sở dĩ không cần chức
năng mã hóa là vì MPLS VPN tạo nên một mạng riêng. Phương pháp bảo mật này gần
giống như bảo mật trong mạng Frame Relay. Thậm chí trễ trong MPLS VPN còn thấp
hơn là trong mạng MPLS IP sử dụng chuyển mạch nhãn
Việc tạo một mạng đầy đủ (full mesh) VPN là hoàn toàn đơn giản vì các MPLS
VPN không sử dụng cơ chế tạo đường hầm. Vì vậy, cấu hình mặc định cho các mạng
MPLS VPN là full mesh, trong đó các site được nối trực tiếp với PE vì vậy các site bất
kỳ có thể trao đổi thông tin với nhau trong VPN. Và thậm chí, nếu site trung tâm gặp
trục trặc, các spoke site vẫn có thể liên lạc với nhau.
Hoạt động khai thác và bảo dưỡng cũng đơn giản hơn trong mạng MPLS-VPN.
Hoạt động này chỉ cần thực hiện tại các thiết bị bên trong mạng core mà không cần
phải tiếp xúc đến các CPE. Một khi một site đã được cấu hình xong, ta không cần
đụng chạm đến nó nữa cho dù nếu muốn thêm một site mới vào mạng vì những thay
đổi về cấu hình lúc này chỉ cần thực hiện tại PE mà nó nối tới.
Vấn đề bảo mật thậm chí còn đơn giản hơn nhiều khi triển khai trong các mạng
MPLS VPN vì một VPN khép kín bản thân nó đã đạt được sự an toàn thông tin do
không có kết nối với mạng Internet công cộng. Nếu có nhu cầu truy nhập Internet, một
tuyến sẽ được thiết lập để cung cấp khả năng truy nhập. Lúc này, một firewall sẽ được
sử dụng trên tuyến này để đảm bảo một kết nối bảo mật cho toàn bộ mạng VPN. Cơ
chế hoạt động này rõ ràng dễ dàng hơn nhiều cho hoạt động quản lý mạng vì chỉ cần
duy trì các chính sách bảo mật cho một firewall duy nhất mà vẫn đảm bảo an toàn cho
toàn bộ VPN
Một ưu điểm nữa của các mạng MPLS VPN là chỉ cần một kết nối duy nhất cho
mỗi remote site. So sánh với mạng Frame Relay truyền thống có 1 nút trung tâm và 10
remote site (mỗi một remote site sẽ cần một Frame Relay PVC) thì tại nút trung tâm
(hub) sẽ cần 10 PVCs. Trong khi bên trong một mạng MPLS VPN chỉ cần duy nhất
một PVC tại vị trí hub trung tâm nên chi phí mạng sẽ giảm đáng kể.
2.3 Kết luận
Như vậy có thể nói VPN là một trong những ứng dụng quan trọng nhất của
MPLS. Kỹ thuật MPLS VPN đưa ra một thay đổi cơ bản trong công nghệ VPN đó là
sử dụng khái niệm Virtual Router thay cho Dedicated Router và Shared Router. Từ
41
việc phân tích phương thức hoạt động của MPLS VPN ta thấy nó có nhiều ưu điểm
hơn so với các dịch vụ VPN truyền thống:
Riêng biệt và bảo mật: MPLS VPN giữ các thông tin định tuyến riêng biệt cho
mỗi VPN, đảm bảo người dùng chỉ có thể liên lạc được với các địa chỉ đã được lập sẵn
cho VPN của mình.
Độc lập với khách hàng: MPLS VPN có cách đánh địa chỉ (gán nhãn trong
mạng MPLS) hết sức linh hoạt, người dùng có thể sử dụng bất cứ dải địa chỉ nào (kể
cả các địa chỉ kiểm tra hoặc các địa chỉ không được đăng ký) hoặc có thể sử sụng NAT
(Network Address Translation). Mặt khác, người dùng còn có thể sử dụng các dải địa
chỉ trùng hoặc giống nhau. Một điểm nổi bật khác là mạng của người dùng không yêu
cầu các thiết bị hỗ trợ MPLS, các thiết bị đắt tiền như VPN Router với IP Sec hoặc bất
cứ yêu cầu đặc biệt nào khác ngoài IP.
Linh hoạt và khả năng phát triển: Với các dịch vụ VPN dựa trên IP, số lượng
router trên mạng tăng nhanh chóng theo số lượng các VPN. VPN sẽ phải chứa các
bảng định tuyến ngày một lớn. MPLS VPN sử dụng một tập các BGP (Border
Gateway Protocol) ngang hàng giữa các LSR cạnh (Edge LSR), cho phép số lượng
VPN không hạn chế và hỗ trợ nhiều dạng VPN, dễ dàng tạo thêm các VPN hoặc site
mới (chỉ cần thực hiện tại router của site mới).
Như vậy MPLS là một trong những giải pháp mạng đường trục cho mạng thế
hệ mới, hiện xu hướng phát triển của MPLS là ATOM (Any traffic Over MPLS),
nghĩa là có khả năng đáp ứng bất cứ loại dịch vụ nào: thoại, video, fax, data... MPLS
VPN sẽ là một thị trường đầy tiềm năng và hứa hẹn mang lại nhiều lợi ích cho cả
người dùng và nhà cung cấp dịch vụ viễn thông.
Ngày nay, tuy VPN vẫn đang còn là một công nghệ mới mẻ ở Việt nam, nhưng
việc đầu tư nghiên cứu để chọn giải pháp tối ưu cũng là điều nên làm đối với các nhà
cung cấp dịch vụ mạng./.
42
CHƯƠNG 3 ỨNG DỤNG MPLS IP VPN VÀO HỆ THỐNG MẠNG
NGÀNH VÀ GIẢI PHÁP HỆ THỐNG
Tổng quan hệ thống mạng ngành thuế
Đánh giá ưu nhược điểm của hệ thống cơ sở hạ tầng hiện tại
Giải pháp MPLS IP VPN để nâng cao an ninh mạng cho ngành Thuế
Các đề xuất cải tiến hệ thống
Thiết kế hệ thống cải tiến
Đánh giá về hệ thống đảm bảo an ninh
Tổng quan hệ thống mạng ngành Thuế
3.1 Bối cảnh chung
Hệ thống mạng ngành Thuế nằm trong hệ thống mạng của ngành tài chính.
Ngành Tài chính bắt đầu tiến hành xây dựng hệ thống hạ tầng truyền thông thống nhất
từ năm 1999. Cho đến nay, Ngành Tài Chính đã thu được các thành quả đáng kể như:
Về mặt kết nối: Đã xây dựng Trung tâm Miền Bắc và Nam, kết nối tới các đơn vị cấp
TW như TCT, KBNN, TCHQ, Cục DTQG, Cục QLG, UBCK, Học viện Tài chính,
đồng thời kết nối tới 64 Trung Tâm Tỉnh. Đã xây dựng 64 TTT và kết nối từ TTT tới
các đơn vị Thuế, Kho Bạc và Tài chính của tỉnh, thành phố. Đã triển khai tới cấp
huyện của 3 tỉnh Hà Nội, TpHCM và Hải Phòng. Với hệ thống như vậy đã bước đầu
đáp ứng được yêu cầu của ngành Thuế: Trao đổi mã số thuế, quản lý thuế, trao đổi
thông tin hệ thống,...
Tuy nhiên, kể từ khi có thiết kế hệ thống đầu tiên vào năm 1999 đến nay, đã có
sự phát triển rất nhanh của lĩnh vực công nghệ thông tin trên thế giới và Việt nam, kèm
theo sự ra đời của nhiều loại hình dịch vụ công cộng dựa trên các công nghệ mới. Do
đó, vấn đề đặt ra là cần phải có các phân tích xem xét mức độ phù hợp với các yêu cầu
mới của các thiết kế trước đây và hạ tầng truyền thông hiện tại, qua đó xây dựng cập
nhật hệ thống hạ tầng mới phục vụ cho các nhu cầu cấp bách ngay hiện tại và trong
tương lai xa hơn.
Tổng quan hệ thống mạng hiện tại ngành Thuế
TCT dùng chung hạ tầng mạng của BTC, thông qua việc chia sẻ kinh phí / dịch
vụ với Cục Tin học và Thống kê Tài chính của BTC.
43
Hình 3.1 Hạ tầng mạng BTC
BTC duy trì hạ tầng mạng cho tất cả các đơn vị trực thuộc, bao gồm Tổng cục
Thuế, Tổng cục Hải Quan, Kho Bạc... tại cấp trung ương, cấp tỉnh và cấp huyện. Mỗi
đơn vị trực thuộc được cấp phát một lượng băng thông nhất định từ hạ tầng truyền
thông chung. Công nghệ VPN được dùng để phân chia logic các mạng của các đơn vị
thành viên. Mạng diện rộng của BTC bao gồm hai trung tâm miền, hoạt động như là
đầu kết nối cho miền Bắc và miền Nam. Các tỉnh miền Bắc kết nối thông qua Trung
tâm miền Bắc, các tỉnh miền Nam kết nối qua trung tâm miền Nam. Tổng băng thông
của mạng xưong sống Bắc Nam năm 2007 là 32Mbps
Bởi vì băng thông của mạng xương sống được chia sẻ bới nhiều đơn vị của
BTC, TCT nên có thoả thuận chất lượng dịch vụ với BTC về chất lượng và các cam
kết đảm bảo dịch vụ mạng mà BTC cung cấp cho TCT, điều này hiện chưa có. Chất
lượng dịch vụ mạng mà BTC cung cấp hiện tại được đánh giá là chưa thực sự ổn định
như TCT mong muốn. Hiện tại chưa có sự hỗ trợ 24/7.
Hiện tại TCT kết nối trực tiếp tới trung tâm miền Bắc, văn phòng B tại TPHCM
nối trực tiếp tới trung tâm miền Nam. Các chi cục Thuế kết nối lên Trung tâm tỉnh và
từ Trung tâm tỉnh kết nối tới các Trung tâm miền. Các kết nối này là các đường
truyền cáp quang, đường thuê bao và các đường truyền dự phòng sử dụng công nghệ
MPLS
Các cục thuế đều có hạ tầng mạng giống nhau như hình vẽ phía dưới. Hệ thống
mạng của Cục thuế các Tỉnh sẽ được quy hoạch và tổ chức thành các vùng riêng biệt
với chức năng và nhiệm vụ cụ thể. Các vùng được kết nối với nhau thông qua firewall,
các luật thiết lập trên firewall đảm bảo khả năng truyền tải dữ liệu từ mạng bên ngoài
44
tới mạng bên trong và ngược lại, đồng thời ngăn chặn được các xâm nhập bất hợp
pháp tới các vùng dữ liệu quan trọng.
Kết nối Internet thông qua đường ADSL. Các truy cập không dây cũng được
bảo vệ nghiêm ngặt bởi giải pháp an ninh của Cisco.
Hình 3.1 Hệ thống mạng logic tại Cục Thuế
TCT đang vận hành hệ thống theo dõi cho phép TCT có thể giám sát, và nhận
được cảnh báo về hoạt động không bình thường của tất cả các máy chủ trong mạng và
tình trạng băng thông mạng tại cục thuế, chi cục thuế.
TCT có chính sách duy trì chức năng và cấu hình cho các máy chủ tại các cục
Thuế. Theo đó các cục thuế có số lượng máy chủ giống nhau cùng thực hiện chức
năng mà TCT đã quy định. Chính sách này giúp việc hỗ trợ và duy trì từ TCT, nhưng
không giải quyết vấn đề thực tế là tải của các máy chủ không giống nhau ở các cục
Thuế. (ví dụ tại các cục thuế lớn thì số lượng người dùng truy cập vào máy chủ nhiều
hơn và tần suất truy cập cao hơn so với các cục thuế nhỏ.)
Các máy chủ, đặc biệt là máy chủ cấp cục thuế và chi cục thuế thường không
đáp ứng đủ. Một máy chủ thường phải dùng cho nhiều mục đích. Khó có thể đánh giá
45
và đạt được hiệu năng tối đa của một hệ thống với tài nguyên máy chủ chia sẻ như
vậy.
3.2 Đánh giá ưu nhược điểm của hệ thống cơ sở hạ tầng hiện tại
3.2.1 Mô hình kết nối WAN và những vấn đề đặt ra?
Quan điểm thiết kế ban đầu cho việc sử dụng frame-relay riêng cho mạng WAN
Bộ tài chính là xây dựng 1 cơ sở hạ tầng cung cấp dịch vụ kết nối frame-relay theo mô
hình nhà cung cấp dịch vụ cho các ngành như Tổng cục thuế, KBNN, ... dùng chung 1
kênh thuê công cộng để giảm chi phí cũng như tập trung quản lý ngành. Tuy nhiên,
trong thiết kế cũng như triển khai thực tế thì lại không có sự nhất quán về việc cung
cấp loại hình kết nối đối với các ngành thành viên TCT, KBNN, ...., các mạng này
được kết nối tới mạng WAN Bộ thông qua :
+ Kết nối phân lớp Frame-relay & IP ở mức TT miền, mạng trục
+ Kết nối phân lớp IP ở mức TT tỉnh.
Như vậy, mô hình kết nối sử dụng là sự trộn lẫn giữa 2 mô hình VPN như hình
dưới đây:
Hình 3.2 Mô hình Overlay layer – 2 – VPN tại mạng trục
46
Hình 3.3 Mô hình Peer – to – Peer VPN tại TTM, TTT
Theo đó, tại mạng trục , với mô hình Overlay Layer-2 VPN được áp dụng trên
phần mạng trục tại cấp trung ương & mạng Backbone. Được thực hiện bởi các thiết bị
Cisco IGX, cung cấp kết nối L2 Frame-relay cho các đơn vị cấp trung ương. Các
nhược điểm chính của mô hình này:
Số lượng PVC cần phải tạo nhiều: n(n-1)/2 , khi số lượng site kết nối tăng lên,
số lượng PVC cần tạo ra sẽ lớn, khó khăn trong việc triển khai, quản lý, & giám sát.
Để hệ thống có khả năng định tuyến linh hoạt, cần sử dụng phương thức định
tuyến động. Tuy nhiên trong mô hình kết nối này, các updates của các giao thức định
tuyến IGP sẽ chiếm nhiều băng thông do có nhiều PVC. Ngoài ra, việc có nhiều PVC
dẫn tới việc quản lý, cấu hình, giám sát các giao thức định tuyến IGP cũng phức tạp.
Trong khi đó, từ TTM trở xuống các đơn vị cấp tỉnh, huyện, mô hình mạng sử
dụng lại là peer-to-peer shared-router. Được thực hiện bởi việc dùng chung router cấp
TTM, cấp TTT kết nối tới các ngành trực thuộc. Các nhược điểm chính của mô hình
này:
Lưu lượng của các ngành khác nhau đều được truyền dưới dạng IP trên cùng cơ
sở hạ tầng mạng WAN BTC, điều này có thể gây nên các khe hở về bảo mật, đặc biệt
trong trường hợp có cả các lưu lượng từ bên ngoài như Internet, phân hệ mạng truy
cập công cộng, ...
Việc phân chia địa chỉ IP giữa các ngành trực thuộc không thể độc lập với nhau,
toàn bộ BTC và các ngành trực thuộc chia sẻ dải địa chỉ 10.x.x.x.
Việc tách biệt hệ thống mạng của các ngành trực thuộc khi kết nối vào mạng
WAN BTC, nhằm mục đích đảm bảo cho các ngành có sự độc lập nhất định được dựa
theo các Access-Control-List rất phức tạp.
Dải địa chỉ IP được dùng chung cho Bộ tài chính và các ngành trực thuộc, kết
nối IP để trao đổi số liệu giữa các đơn vị, do đó tổng thể toàn bộ hệ thống truyền thông
47
Bộ tài chính thực tế lại đi theo mô hình doanh nghiệp với dịch vụ truy cập "toàn IP",
không có sự phân tách tại phân lớp dưới là frame-relay ý tưởng khi như khi đưa hệ
thống Cisco IGX vào để phân tách các mạng ngành dọc ra thành từng mạng ảo riêng.
Do đó, cần phải giải quyết các vấn đề về mô hình kết nối trên hệ thống mạng
WAN BTC nêu trên: Các nhược điểm Mô hình peer-to-peer dùng chung router cấp
TTM, TTT.
Toàn bộ các kết nối WAN của BTC đều sử dụng các công nghệ kết nối truyền
thống (các công nghệ như TDM, Frame-relay, X.25, ATM được gọi là công nghệ
truyền thống), trong đó chủ yếu sử dụng TDM ( các đường leased-lines của VNPT ).
Việc sử dụng các kết nối leased-lines có ưu điểm là dịch vụ lâu đời, sẵn có nhất của
nhà cung cấp dịch vụ tại Việt nam hiện nay. Tuy nhiên, với chi phí thuê kênh hàng
tháng cao, việc tăng băng thông kênh thuê lên cao để đáp ứng các nhu cầu sử dụng đa
dịch vụ hiện tại và tương lai là không khả thi đối với những hệ thống mạng lớn, nhiều
ngừoi sử dụng nhu hệ thống của Bộ tài chính.
3.2.2 Mô hình kết nối Internet và những vấn đề nảy sinh
Các thiết kế bổ sung sau không đưa ra giải pháp chi tiết hoàn chỉnh với các
chính sách về an toàn, bảo mật. Một trong những lý do chính là các kết nối WAN có
tốc độ thấp, do đó không thể cung cấp cổng kết nối internet tập trung.
Kết nối Internet được thiết lập theo nhu cầu phát sinh tùy thuộc các ngành, đơn
vị, không có một chính sách chung, điều này dẫn tới các lỗ hổng tiềm tàng về bảo mật.
48
Error!
Hình 3.4 Mô hình kết nối Internet BTC
Các Internet Gateway được các ngành phân bố tùy ý ở mức trung ương, cấp
tỉnh, cấp huyện thông qua các kết nối Leased-lines, ADSL, dialup. Trong khi đó, các
biện pháp đảm bảo an ninh hệ thống chỉ là Access-Control-List trên các Routers, NAT
trên các thiết bị kết nối Internet, hầu hết không có các thiết bị bảo vệ khác như IDS,
IPS, Virus-scan, URL-filtering, ...
Truy cập Internet cho trung tâm BTC, các ngành TCT, KBNN, Hải quan,...
được cung cấp riêng biệt, không có một chính sách, quy định chung bắt buộc về 1 hệ
thống kết nối Internet. Các truy cập Internet tại trung ương, Trung tâm Tỉnh hiện sử
dụng thông qua Proxy-Server, các truy cập tại địa phương đi thẳng ra Internet mà
không hề sử dụng các Server scan virus.
Phương pháp kết nối hiện tại tiết kiệm được băng thông kết nối WAN, tuy
nhiên an ninh hệ thống không được đảm bảo.
Từ những tìm hiểu phân tích trên ta thấy hệ thống an ninh hiện tại tồn tại hàng
loạt các vấn đề cần giải quyết
Phân lớp truy cập LAN: không có biện pháp an ninh cho phép những thiết bị
cụ thể được phép kết nối vào mạng LAN. Trên thực tế, > 70% các tấn công là xảy ra từ
bên trong. (Ví dụ: hoàn toàn có thể gắn một máy tính vào mạng LAN với phần mềm
monitor trên switched-LAN, qua đó giám sát tất cả các số liệu trao đổi trên hệ thống
LAN)
49
Các kết nối WAN, cáp đồng sử dụng HDSL: hiện tại không có các thiết bị mã
hóa đường truyền trên các kết nối WAN, cáp đồng sử dụng HDSL. Hoàn toàn có thể
gắn các thiết bị nghe trộm vào các đường truyền số liệu này, qua đó giám sát được tất
cả các số liệu trao đổi trên kết nối WAN, cáp đồng sử dụng HDLC)
Thiết bị Firewall: Hiện chỉ có một Checkpoint Firewall trên hệ điều hành MS
Windows. Có những lỗ hổng tiềm tàng tại phân lớp OS, đặc biệt là với Hệ điều hành
thông dụng và cũng nhiều lỗi như MS Windows.
Access-Control-List: được sử dụng như là một biện pháp an ninh trên các Cisco
Router, ACL chỉ bảo vệ ở phân lớp 3,4, do đó không đủ tính linh hoạt cũng như khả
năng xử lý thông tin ở các phân lớp cao hơn. Các ACL được sử dụng như là firewall
ngăn cách hệ thống mạng BTC với các ngành khác như TCT, KBNN, ...
Các truy cập Internet: trừ trung tâm BTC có firewall là Checkpoint trên nền MS
Windows và Proxy Server với Virus scan, các sở TC kết nối Internet qua dial-up trực
tiếp từ máy tính. Như vậy toàn bộ mạng của BTC chỉ được bảo vệ bởi ACL trên các
Router, NAT, Checkpoint Firewall trên nền MS Windows. Ngoài ra, trên hệ thống
không có các thiết bị bảo vệ khác như: IDS, IPS, Transparent Network Virus-scan,
URL-filtering.
Không có quy định, chính sách bắt buộc tổng thể đối với hệ thống Internet
gateway cho các ngành khác như TCT, KBNN, Hải quan,.... Trong khi các hệ thống
mạng các ngành này đều bám vào mạng WAN của BTC với kết nối IP đan xen nhau từ
cấp trung ương đến cấp tỉnh, nếu hệ thống mạng các ngành này bị tấn công sẽ đe dọa
đến hệ thống mạng của BTC, nhất là khi việc bảo vệ của BTC với các tấn công xuất
phát từ các ngành TCT, KBNN, ... chỉ là các ACL thông thường được triển khai rất
hạn chế trên Cisco Routers TTT, TTM.
Bên cạnh những vấn đề về an ninh còn xuất hiện các vấn đề về chất lượng dịch
vụ:
Chính do không có một chính sách cũng như kế hoạch về QoS rõ ràng cho toàn
bộ hệ thống mạng Bộ tài chính mà các cấu hình QoS được thực hiện trên các kết nối
WAN một cách thụ động theo nhu cầu phát sinh trên từng kết nối. Cơ chế QoS sử
dụng chỉ là WFQ, chỉ phân chia băng thông đều cho các ứng dụng chứ không có khả
năng đảm bảo băng thông, độ trễ cho các ứng dụng khi xảy ra tắc nghẽn, cũng như
không có khả năng giới hạn băng thông tối đa cho 1 ứng dụng cụ thể nào.
Các thực tế này dẫn đến việc đảm bảo QoS "end-to-end" đối với các loại hình
dịch vụ khác nhau không nhất quán, dẫn đến chất lượng không ổn định.
Hiện trạng kết nối WAN hệ thống thuế
50
Hệ thống mạng nghành Thuế nằm trong hệ thống mạng của BTC nên ngoài các
vấn đề chung của hệ thống mạng tổng TCT còn vướng mắc phải một vài vấn đề khi
thực hiện các công việc mang tính đặc thù nghành:
Hình vẽ dưới đây mô tả kết nối mạng hệ thống thuế trên hệ thống mạng WAN
BTC
Error!
Hình 3.5 Kết nối mạng diện rộng hệ thống Thuế
Mục đích yêu cầu của hệ thống mạng ngành Thuế là:
Trao đổi mã số thuế
Quản lý thuế
Trao đổi thông tin hệ thống: email, ftp, update virus, hỗ trợ từ xa về ứng dụng,
xử lý sự cố, chỉnh sửa web
Portal tại tổng cục
Quản lý thu nhập cá nhân
Khi thực hiện các yêu cầu nghiệp vụ vấn đề chính đối với hệ thống mạng ngành
Thuế khi sử dụng kết nối WAN BTC là băng thông thấp, chất lượng dịch vụ kém dẫn
đến các khó khăn trong việc sử dụng.các loại hình dịch vụ mới. Việc kết nối từ các
51
Cục thuế tỉnh và chi cục thuế tỉnh lên các đơn vị bên trên, tổng cục thuế dữ liệu đi lòng
vòng không tối ưu nên khả năng bị hỏng, lỗi đường truyền lớn, thời gian khắc phục lỗi
khá lâu do chưa có đội ngũ quản lý mạng chuyên nghiệp và phụ thuộc nhiều vào BTC.
Dữ liệu ngành Thuế được xử lý tập trung tại Cục Thuế Tỉnh và cấp Tổng cục,
trong đó 80% số liệu được xử lý cấp tỉnh, 20% sẽ được chuyển tiếp xử lý tại cấp tổng
cục. Yêu cầu về an toàn thông tin, về khả năng dự phòng tại các Cục thuế, Tổng cục
thuế là cao, không cho phép gián đoạn thông tin. Cơ chế dial-up backup hiện tại cho
Cục thuế Tỉnh không đáp ứng được nhu cầu ứng dụng ngành Thuế. Không có trao đổi
trực tiếp giữa các Chi cục Thuế với nhau, giữa các Cục thuế với nhau. Tất cả đều phải
thông qua xử lý tại Cục thuế, Tổng cục thuế.
Hình 3.6 Dòng dữ liệu ngành Thuế
Tóm lại : Đối với hệ thống mạng hiện tại còn rất nhiều vấn đề cần khắc phục
đặc biệt về phía an ninh hệ thống
Kết nối WAN có băng thông thấp, với giá thuê đường truyền cao đối với dịch
vụ truyền thống TDM, Frame-relay khiến cho việc tăng băng thông kết nối WAN khó
khăn. Kết quả là tắc nghẽn xảy ra thường xuyên trên các kết nối WAN.
Truy cập Internet: không có thiết kế tổng thể cho toàn bộ hệ thống, không có
các chính sách, quy định bắt buộc cho các điểm kết nối ra Internet trên toàn bộ hệ
thống
52
An toàn bảo mật hệ thống: không có chính sách tổng thể về an toàn bảo mật hệ
thống do đó tồn tại hàng loạt các lỗ hỏng tiềm tàng về anh ninh hệ thống. Không triển
khai các cơ chế mã hóa gói tin trên đường truyền WAN, cáp đồng sử dụng HDSL.
Chất lượng dich vụ ( QoS) thấp, không có chính sách chung cho việc đảm bảo
QoS end-to-end.
Chưa có một hệ thống quản lý tập trung cho toàn bộ hạ tầng truyền thông, hiện
tại chỉ sử dụng một vài công cụ quản lý mang tính đơn lẻ.
3.3 Giải pháp MPLS IP VPN để nâng cao an ninh cho hệ thống mạng TCT
Dưới đây là sơ đồ tổng thể cho hệ thống hạ tầng truyền thông Bộ tài chính. Mô
tả chi tiết từng phân hệ được trình bày trong các phần dưới đây.
(Hình vẽ cụ thể trang cuối)
3.3.1 Đề xuất cải tiến để đảm bảo tính dự phòng và an ninh cho hệ thống
Thiết kế hệ thống truyền thông Bộ tài chính bao gồm cấu trúc khối theo như
hình vẽ dưới đây:
Hình 3.7 Kiến trúc hệ thống truyền thông BTC
Và mô hình kết nối mạng trục Bộ tài chính được đề xuất như hình vẽ dưới đây,
trong đó sẽ xây dựng thêm trung tâm miền Trung, tạo nên tam giác mạng trục dự
phòng. Ví dụ, khi kết nối giữa 2 miền Nam-Bắc bị gián đoạn, lưu lượng sẽ được định
53
tuyến chạy vòng qua miền Trung, việc định tuyến này được thực hiện hoàn toàn tự
động
Error!
Hình 3.8 Sơ đồ kết nối mạng trục BTC
Ngoài việc dự phòng bằng việc xây dựng thêm một trung tâm miền Trung, kết
nối WAN giữa 2 miền còn được đảm bảo bằng 3 kết nối khác nhau, hoạt động dự
phòng, phân tải lẫn nhau ( xem hình vẽ dưới đây)
Kết nối chính, có băng thông lớn nhất là kết nối MPLS IP VPN.
Kết nối thứ hai là kết nối truyền thống TDM, frame-relay, hoặc có thể là ATM (
nếu có trong tương lai). Do giá thành cao, kết nối truyền thống này sẽ được duy trì ở
mức thấp nhất, tạo kết nối dự phòng, phân tải cho kết nối chính là MPLS IP VPN.
Kết nối thứ ba là IPSec VPN, tận dụng cổng ra Internet sẵn có ở 3 trung tâm
miền Bắc, trung, Nam. Kết nối này cũng chỉ mang tính dự phòng, phân tải cho kết nối
chính MPLS IP VPN. Do chất lượng dịch vụ khi truyền qua Internet không được đảm
bảo, do đó kết nối này không nên sử dụng cho các ứng dụng như thoại, video-
conference.
Ở chế độ hoạt động bình thường, các lưu lượng của các loại hình ứng dụng
khác nhau sẽ được thiết lập chạy trên các kết nối cụ thể trong 3 kết nối MPLS IP VPN,
IPSec VPN, và kết nối truyền thống nói trên, trong trường hợp một trong 3 kết nối bị
đứt, lưu lượng ứng dụng sẽ được định tuyến chuyển sang 2 kết nối còn lại, hoặc có thể
đi vòng qua trung tâm miền thứ 3. Tất cả việc định tuyến này được thực hiện thông
qua các giao thức định tuyến động.
54
Hình 3.9 Các kết nối WAN giữa hai trung tâm miền
Các kết nối từ trung tâm miền xuống các trung tâm tỉnh cũng được dự phòng,
chia tải thông qua việc sử dụng 2 kết nối song song, kết nối chính có băng thông lớn là
MPLS IP VPN, kết nối phụ là các dịch vụ truyền thống TDM, Frame-relay, và có thể
la ATM nếu có trong tương lai. ( xem hình vẽ dưới đây)
Tại TTM, TTT, hệ thống Access-Server phục vụ truy cập từ xa qua dial-up,
backup cũng được thiết kế dự phòng.
55
Hình 3.10 Sơ đồ hệ thống mạng phân bố từ TTM xuống các TTT
3.3.2 Giải pháp thiết kế hệ thống
3.3.2.1 Kết nối Wan
Như đã trình bày ở trên, các công nghệ mới sẽ được sử dụng cho kết nối WAN
ở cấp trung ương và cấp tỉnh bổ sung cho kết nối truyền thống là: MPLS IP VPN hiện
tại cung cấp bởi VTN và CPT và có thể một số nhà cung cấp dịch vụ khác nữa trong
tương lai. Kết nối truyền thống như Leased-lines, Frame-relay sẽ chỉ được duy trì ở
mức độ thấp nhất mang tính chất dự phòng, phân tải và những nơi chưa thể sử dụng
được các dịch vụ mới.
56
Hình 3.11 Cấu trúc mạng trục với WAN truyền thống và MPLS VPN
Khi sử dụng kết nối MPLS VPN của nhà cung cấp dịch vụ, mô hình kết nối
WAN sẽ như hình vẽ dưới đây:
Hình 3.12 Mô hình kết nối sử dụng dịch vụ MPLS IP VPN
Hình vẽ dưới đây mô tả khả năng khác biệt giữa đường đi của gói tin giữa dịch
vụ MPLS IP VPN và các dịch vụ truyền thống TDM, frame-relay. Cụ thể, gói tin đi từ
trung tâm tỉnh thuộc khu vực phía Bắc tới trung tâm tỉnh thuộc khu vực phía nam sẽ
không cần phải đi qua các trung tâm miền mà có thể đi thẳng trên hệ thống hạ tầng của
nhà cung cấp dịch vụ. Tương tự, gói tin giữa 2 trung tâm tỉnh của cùng một miền sẽ
không phải đi qua trung tâm Miền.
57
Hình 3.13 Khả năng định tuyến gói tin trong MPLS IP VPN
Sự khác biệt này khiến cho tải trên router tại trung tâm miền sẽ giảm đi. Tuy
nhiên, để không phá vỡ tính cấu trúc phân cấp của hệ thống toàn bộ hệ thống sẽ sử
dụng các VPN khác nhau cho các vùng mạng khác nhau:
VPN cho vùng mạng trục nối 3 miền Bắc, Trung, Nam
VPN cho vùng mạng phân phối từ TTM xuống cấp tỉnh miền Bắc
VPN cho vùng mạng phân phối từ TTM xuống cấp tỉnh miền Trung
VPN cho vùng mạng phân phối từ TTM xuống cấp tỉnh miền Nam
VPN cho vùng mạng phân phối từ TTT tới các đơn vị trực thuộc tỉnh.
Hình 3.14 Mô hình các vùng MPLS IP VPN sẽ thuê của nhà cung cấp dịch vụ
58
Bên cạnh việc sử dụng công nghệ mới MPLS IP VPN, sẽ tận dụng kết nối lên
Internet sẵn có tại các Internet Gateway, tạo thêm kết nối IPSec VPN qua Internet với
mục đích tăng thêm tính dự phòng của hệ thống cũng như băng thông kết nối giữa 3
miền. Ngược với dịch vụ MPLS IP VPN là trong suốt đối với khía cạnh Bộ tài chính,
IPsec VPN lại trong suốt đối với nhà cung cấp dịch vụ.
Hình 3.15 Mô hình kết nối sử dụng IP Sec VPN thông qua Internet
3.3.2.2 Xây dựng Hệ thống MPLS cung cấp dịch vụ MPLS VPN riêng ngành tài
chính
3.3.2.2.1 Lớp mạng trục
Lớp mạng trục cung cấp hạ tầng MPLS cho các đơn vị thuộc Bộ tài chính. Giải
pháp dựa trên các yêu cầu tiên quyết như độ sẵn sàng cao, tính dự phòng cao, khả năng
mở rộng lớn, năng lực chuyển mạch của các thiết bị phải lớn để có thể phục vụ các
ứng dụng đa dạng cho toàn ngành Tài chính trong tương lai.
59
Hình 3.16 Lớp mạng trục BTC
Theo sơ đồ trên, các cặp Backbone Router đặt tại 3 miền sẽ làm nhiệm vụ kết
nối các miền với nhau. Mỗi cặp Backbone Router bao gồm BB-1 và BB-2 có nhiệm vụ
kết nối WAN và năng lực xử lý khác nhau, cụ thể:
Các cặp router tại 3 miền ( TTM-1, TTM-2) sẽ có trách nhiệm kết nối tới các
Trung Tâm Tỉnh, đổng thời kết nối trực tiếp tới cơ quan đầu não các ngành ( Tổng cục
thuế, Kho bạc NN, tổng cục Hải quan, ... ). Mỗi cặp TTM-1, TTM-2 có nhiệm vụ kết
nối WAN và năng lực xử lý khác nhau, cụ thể:
Các router thuộc lớp mạng trục ( BB-1, BB-2, TTM-1, TTM-2) đóng vai trò là
các P-router trên hệ thống mạng trục MPLS của Bộ Tài Chính, ngoài ra, trường hợp
ngoại lệ, các router phân phối như TTM-1, TTM-2 còn đóng vai trò là PE-router trong
hệ thống mạng trục MPLS khi kết nối trực tiếp tới các cơ quan đầu não các ngành (
Datacenter thuộc Bộ Tài chính, Tổng cục thuế, Kho bạc NN, Tổng cục Hải quan, ... ).
Hình vẽ dưới mô tả kết nối WAN từ các TTT lên TTM. Kết nối truyền thống
(Leased-lines) TTT lên TTM ngoài nhiệm vụ dự phòng còn làm nhiệm vụ phân tải.
Đối với các Tỉnh chưa có sẵn dịch vụ MPLS VPN, để có thể đáp ứng được nhu cầu sử
dụng của các đơn vị, tạm thời sử dụng 2 kết nối Leased-lines đồng thời ( 1 giữa TTT-1
& TTM2, 1 giữa TTT-2 & TTM-2). Đến khi dịch vụ MPLS VPN sẵn sàng, sẽ giảm
bớt kết nối leased-lines giữa TTT-1 & TTM-2 đi và thay thế bằng kết nối từ TTT-1 lên
mạng MPLS VPN.
60
Hình 3.17 Kết nối từ TTT lên TTM
3.3.2.2.2 Lớp mạng phân phối
Các router thuộc lớp mạng phân phối bao gồm các cặp router tại các Trung tâm
Tỉnh ( TTT-1, TTT-2). Theo sơ đồ dưới đây, các cặp Router đặt tại các Trung Tâm
Tỉnh sẽ làm nhiệm vụ kết nối lên Trung Tâm Miền tương ứng (TTM-1, TTM-2) và
phân phối tới các đơn vị trong phạm vi tỉnh ( bao gồm cả cấp huyện). Mỗi cặp Router
tại Trung Tâm Tỉnh bao gồm có nhiệm vụ kết nối WAN và năng lực xử lý khác nhau.
61
Hình 3.18 Lớp mạng phân phối Bộ tài chính
Các router tại Trung Tâm Tỉnh này (TTT-1, TTT-2) đóng vai trò là các PE-
router trên hệ thống mạng MPLS của Bộ Tài Chính kết nối trực tiếp tới các đơn vị trực
thuộc tỉnh (bao gồm cả cấp huyện)
3.3.2.2.3 MPLS và hệ thống MPLS VPN
Công nghệ MPLS được áp dụng trên hạ tầng truyền thông BTC nhằm cung cấp
các kết nối MPLS VPN cho các đơn vị trong ngành cũng như các đơn vị bên ngoài có
nhu cầu kết nối vào hạ tầng truyền thông BTC.
62
Hình 3.19 Các phân lớp mạng
Cấu trúc toàn bộ hệ thống bao gồm các P-Router thuộc lớp mạng Trục, các PE-
Router thuộc lớp mạng phân phối. Trên hệ thống mạng MPLS Bộ Tai Chính, sử dụng
giao thức định tuyến IGP là OSPF đảm bảo kết nối IP giữa các MPLS Router trên hệ
thống, Sử dụng giao thức LDP ( Label Distribution Protocol) cho việc phân phối Label
trên hệ thống. Giao thức MP-BGP ( Multi-protocol BGP) được sử dụng bắt buộc trên
tất cả các PE-Router để phân phối định tuyến cho dịch vụ MPLS VPN. Ngoài ra, giao
thức định tuyên IGP OSPF còn được sử dụng trong việc cung cấp dịch vụ TE ( Traffic
Engineering) trên hệ thống mạng MPLS BTC.
3.3.2.2.4 Quan hệ giữa MPLS riêng ngành tài chính với MPLS công cộng
Từ khía cạnh hệ thống của Bộ Tài Chính, sẽ áp dụng đồng thời 2 dạng dịch vụ
MPLS VPN khác nhau:
MPLS VPN của các nhà cung cấp dịch vụ công cộng (VNPT): Chỉ có vai trò là
kết nối WAN tốc độ cao trên hạ tầng truyền thông Ngành Tài Chính.
MPLS VPN của Bộ Tài Chính: Đây là dich vụ riêng của Bộ Tài Chính được
cung cấp bởi hạ tầng truyền thông MPLS nội bộ Ngành Tài Chính, cung cấp dịch vụ
63
MPLS VPN cho các đơn vị trực thuộc ( và có thể các truy cập công cộng từ bên
ngoài).
Như vậy, vấn đề đặt ra là làm sao có thể triển khai được hệ thống MPLS VPN
riêng ngành tài chính trên các kết nối MPLS VPN sử dụng của các nhà cung cấp dịch
vụ công cộng
Sử dụng Tunnel: ở đây sẽ tạo các GRE Tunnel (có thể sử dụng các kiểu
encapsulation để tạo IP tunnel khác, nhưng GRE được sử dụng phổ biến nhất) đi qua
kết nối MPLS VPN của nhà cung cấp dịch vụ công cộng, các GRE Tunnel sẽ tạo nên
các giao diện ảo ( Virtual Interface) kết nối trực tiếp với nhau đóng vai trò hoàn toàn
như các giao diện vật lý sử dụng kết nối WAN truyền thống ( như leased-lines hiện
tại). Phương án này hoàn toàn trong suốt với nhà cung cấp dịch vụ công cộng, không
cần đạt được thỏa thuận kết nối đặc biệt gì với nhà cung cấp dịch vụ MPLS VPN công
cộng.
Phương án này có nhược điểm là lãng phí một phần băng thông do phải gánh
thêm phần header cho GRE Encapsulation, đồng thời cũng yêu cầu thiết bị Router kết
nối dịch vụ MPLS VPN phải xử lý nhiều hơn. Tuy nhiên, phần băng thông lãng phí
do GRE Encapsulation chỉ chiếm phần nhỏ, đồng thời, hiện vẫn phải sử dụng mã hóa
IPSec để đảm bảo tính bảo mật khi truyền số liệu qua hệ thống MPLS VPN công cộng,
các công nghệ về phần cứng tiên tiến đã giúp tạo năng lực xử lý lớn trên các loại
Router hiện có trên thị trường.
Hình 3.20 Virtual Interface với GRE Encapsulation thông qua mạng MPLS
VPN công cộng
64
Hình vẽ dưới đây mô tả các kết nối GRE trên toàn hê thống.
Hình 3.21 Các kết nối GRE trên hệ thống
Với việc thiết lập các kết nối GRE qua mạng MPLS VPN công cộng, các
Router kết nối không cần phải quảng bá bảng định tuyến nội bộ BTC ra mạng MPLS
VPN bên ngoài. Điều này được thực hiện bằng các giao thức định tuyến động qua kết
nối GRE đã được thiết lập, hoàn toàn trong suốt đối với nhà cung cấp dịch vụ. Việc
không quảng bá bảng định tuyến mạng nội bộ ra bên ngoài nhằm đảm bảo an ninh hệ
thống.
3.3.2.3 Lớp mạng truy cập vào hệ thống MPLS VPN riêng của ngành tài chính
3.3.2.3.1 Kết nối mạng trung ương của các ngành vào hệ thống
Mạng Trung ương của các ngành được kết nối vào hệ thống tương tự như việc
kết nối các TTT vào hệ thống mạng trục. Các cặp router tại 3 miền ( TTM-1, TTM-2)
sẽ có trách nhiệm kết nối trực tiếp tới cơ quan đầu não các ngành ( Tổng cục thuế, Kho
bạc NN, tổng cục Hải quan, ... ). Xem hình vẽ dưới đây.
65
Hình 3.22 Mạng trung ương các ngành truy cập vào mạng WAN BTC
3.3.2.3.2 Kết nối mạng của đơn vị vào hệ thống
Các đơn vị cấp tỉnh, huyện của các ngành trực thuộc sẽ kết nối thẳng tới TTT.
TTT bao gồm 1 cặp router TTT-1 và TTT-2. Theo như đã nêu, mỗi Router này có
nhiệm vụ kết nối WAN và năng lực xử lý khác nhau:
Do yêu cầu về tính sẵn sàng kết nối vào mạng trục BTC của các điểm kết nối
trong địa bàn tỉnh không đồng đều nhau, do đó không nhất thiết phải sử dụng cả hai
loại hình kết nối WAN là MPLS VPN và 1 loại kết nối truyền thống khác.
Hình vẽ dưới đây mô tả việc truy cập của các đơn vị thuộc 1 tỉnh vào hệ thống
mạng Bộ Tài chính:
66
Hình 3.23 Lớp truy cập của các đơn vị vào mạng WAN bộ tài chính
Đối với các đơn vị như cục Thuế Tỉnh, Tổng cục thuế có yêu cầu khả năng dự
phòng cao hơn nữa, Bộ tài chính có thể chọn lựa giải pháp sử 02 Router kết nối, một
Router kết nối MPLS VPN, một router cho kết nối Leased-lines và backup như sơ đồ
dưới đây:
Hình 3.24 Sử dụng 02 Router kết nối cho các đơn vị có yêu cầu tính dự phòng rất cao
67
3.3.2.4 Truy cập Internet tới MPLS VPN
Hình vẽ dưới đây mô tả quá trình người sử dụng ở bên ngoài Internet muốn
truy cập vào hệ thống mạng MPLS VPN của Bộ tài chính, qua đó truy cập tới hệ thống
mạng của đơn vị mình.
Hình 3.25 Truy cập IPSec VPN tới MPLS VPN bộ tài chính thông qua Internet
Trước hết, cần một thiết bị vừa đóng vai trò là PE-Router trên hệ thống mạng
MPLS VPN riêng của Bộ tài chính, vừa đóng vai trò là IPSec VPN Server cho các kết
nối từ các VPN client ngoài Internet. Sau khi người sử dụng xác thực thành công, PE-
router đóng vai t
Các file đính kèm theo tài liệu này:
- LUẬN VĂN-MẠNG RIÊNG ẢO VÀ GIẢI PHÁP HỆ THỐNG TRONG TỔNG CỤC THUẾ.pdf