Application Server
VPN
Concentrator
ISP
ISP
Telecommuter with VPN 3000 Client
Computer
Internet
PPP
Computer
connectivity
Computer
IPSec Tunnel
Hình 2.18: Các thành phần của kết nối Client-to-LAN
Có thể thấy trên hình 3.4, kết nối Client-to-LAN bao gồm 4 thành phần: IPSec client Software, Point-to-Point Protocol (PPP), IPSec Protocol, và VPN 3000 Concentrator.
- Phần mềm IPSec (IPSec Client Software) không có sẵn trong hệ điều hành Windows nên phải được cài đặt trên máy tính có yêu cầu truy nhập từ xa. Nó được sử dụng để mật mã, xác thực và đóng gói dữ liệu, đồng thời là một điểm cuối của đường ngầm.
- Giao thức PPP được các ứng dụng truy nhập từ xa sử dụng để thiết lập một kết nối vật lí tới nhà cung cấp dịch vụ ISP.
- Sau khi được ISP xác thực, người sử dụng khởi động phần mềm IPSec Client để thiết lập một đường ngầm an toàn (secure tunnel), thông qua Internet để tới VPN 3000 Concentrantor.
- Mạng trung tâm, VPN 3000 Concentrator là một điểm cuối còn lại của đường ngầm. Nó thực hiện giải mã, xác thực, và mở gói dữ liệu.
Application Server
Computer
192.168.1.10
VPN private IP 192.168.1.5
VPN public IP 172.26.26.1
Internet
ISP
Telecommuter with VPN 3000 Client
Computer
172.26.26.1 203.16.5.19 |
ESP |
192.168.1.10 192.168.1.20 |
DATA |
Có thể bạn quan tâm!
- Khuôn Dạng Ipv4 Trước Và Sau Khi Xử Lý Esp Ở Kiểu Transport
- Kết Hợp Sa Kiểu Tunnel Khi 2 Điểm Cuối Trùng Nhau
- Truy Nhập Ip-Vpn Từ Xa Khởi Tạo Từ Phía Người Sử Dụng
- Tìm hiểu công nghệ chuyển mạch nhãn đa giao thức trong VPN - 10
- Tìm hiểu công nghệ chuyển mạch nhãn đa giao thức trong VPN - 11
Xem toàn bộ 97 trang tài liệu này.
Adapter (NIC) IP Address 203.162.5.19
Client IP address 192.168.1.20
Hình 2.19: Đường ngầm IPSec Client-to-LAN
Hình 2.19 cho thấy đường ngầm IPSec Client-to-LAN. Người sử dụng từ xa cần truy nhập thông tin tại máy chủ của mạng trung tâm tại địa chỉ 192.168.1.10. Địa chỉ nguồn thường là địa chỉ ảo của client, 192.168.1.20. Địa chỉ này thường được cấp cho client từ máy chủ DHCP hoặc chính VPN Concentrator. Địa chỉ ảo giúp cho client có thể hoạt động như đang ở ngay mạng trung tâm.
Bất cứ dữ liệu nào khi truyền từ server tới client đều phải được bảo vệ. Do đó
chúng được mật mã, xác thực và đóng gói bằng giao thức ESP. Sau khi đóng gói dữ liệu bằng ESP thì một IP header mới được thêm vào gói dữ liệu (gọi là header ngoài) để định tuyến gói tin qua mạng. Địa chỉ nguồn của outside IP header là địa chỉ card mạng (NIC) của client. Địa chỉ đích là giao diện công cộng của VPN 3000 Concentrator.
Ngoài thiết bị VPN 3000 Concentrator ở mạng trung tâm, mỗi máy tính truy nhập từ xa cần cài đặt phần mềm IPSec client. Phần mềm này làm việc với VPN 3000 Concentrator để tạo một đường ngầm an toàn giữa máy tính truy nhập từ xa và mạng trung tâm. IPSec client sử dụng IKE và giao thức đường ngầm IPSec để tạo và quản lý đường ngầm.
Trong quá trình hoạt động, các bước sau thực hiện gần như tự động đối với người sử dụng.
- Thỏa thuận các thông số đường ngầm: địa chỉ, thuật toán.
- Thiết lập đường ngầm dựa trên các thông số đã thiết lập.
- Xác thực người sử dụng thông qua username, groupname, password, digital certificate.
- Thiết lập các quyền truy nhập của người sử dụng: thời gian, số giờ truy nhập, các giao thức được phép…
- Quản trị các khóa an ninh để mật mã va giải mã.
- Thiết lập phiên trao đổi IPSec .
- Xác thực, mật mã và giải mã các dữ liệu đi qua đường ngầm.
2.6.4.2 Kết nối LAN-to-LAN
Trong trường hợp này, giả thiết người sử dụng từ mạng LAN ở xa muốn truy nhập vào máy chủ ứng dụng ở mạng trung tâm. Một phương án để thực hiện kết nối này là sử dụng hai VPN 3000 Concentrator, một ở mạng trung tâm, một ở mạng xa.
Một gói tin IP được xây dựng với địa chỉ nguồn là 192.168.1.20 và địa chỉ đích là 192.168.1.10. Gói tin được định tuyến tới VPN Concentrantor, VPN Concentrator mật mã và đóng gói IP ban đầu với ESP header. Gói tin này được bảo vệ nhưng không định tuyến được do các trường địa chỉ ở dạng mật mã. Vì vậy, một IP header bên ngoài được thêm vào. Các địa chỉ bên ngoài này (203.16.5.19, 172.26.26.1) giúp định tuyến gói tin qua Internet. Sau khi đã có đường ngầm thì một phiên trao đổi được thiết lập cho phép truyền thông giữa hai mạng riêng.
Tunnel
Computer
VPN
Concentrator
VPN public IP 172.26.26.1
Internet
VPN
Concentrator
172.26.26.1 203.16.5.19 |
ESP |
192.168.1.10 192.168.1.20 |
DATA |
VPN public IP 203.16.5.19
Computer
Application Server 192.168.1.10
PC IP Address 192.168.1.20
Hình 2.20: Đường ngầm IPSec LAN-to-LAN
2.6.5 Tình hình triển khai VPN ở Việt Nam
Hiện nay, tại Viêt Nam có rất nhiều hãng đang cung cấp giải pháp VPN cho các doanh nghiệp. Trong đó, đứng đầu thị trường VPN Việt Nam là hãng Juniper Networks. Juniper là hãng thiết bị hàng đầu của Mỹ trong các lĩnh vực bảo mật và an toàn cho các giao dịch truyền thông trong môi trường mạng IP đơn lẻ. Hiện tại Juniper đang hợp tác với VNPT phát triển mạng thế hệ sau NGN. Theo như số liệu từ doanh nghiệp này thì thị trường SSL VPN (Secure Socket Layer) phát triển rất mạnh với tốc độ tăng trưởng bình quân hàng năm là 67%. Hãng này đang cung cấp thiết bị cho nhiều công ty lớn của Viêt Nam, trong đó có Bảo Việt. Bên cạnh đó, Juniper Network đang tìm cách để liên kết với các ISP để đưa ra sản phẩm SA 6000 SP cung cấp VPN như là dịch vụ gia tăng cho các doanh nghiệp vừa và nhỏ.
Bên cạnh đó, VDC cũng là một công ty hiện tại cung cấp dịch vụ VPN cho khách hàng ở Việt Nam. VDC đã liên kết với Singtel (Singapore Telecommunications Limited) và có điểm kết nối IP-VPN tại Hà Nội, Đà Nẵng, TP.HCM, Vũng Tàu, Cần Thơ, Đồng Nai, Bình Dương. Dung lượng dịch vụ kết nối giữa VDC và Singtel đối với IP-VPN là 5MB. Đối tượng khách hàng hướng tới của VDC và Singtel là những công ty hoạt động phân bố trên địa bàn khác nhau và mong muốn tăng kết nối từ xa với chi phí giảm như bảo hiểm, ngân hàng, hàng hải, các doanh nghiệp hoạt động ở khu công nghiệp, các văn phòng đại diện của công ty nước ngoài.
CHƯƠNG 3: CHUYỂN MẠCH NHÃN ĐA GIAO THỨC TRONG VPN
3.1. Giới thiệu chương
Để khắc phục những nhược điểm của IP-VPN trên thì công nghệ chuyển mạch nhãn đa giao thức MPLS (Multiple Protocol Lable Switching) đã ra đời để đáp ứng các nhu cầu về tốc độ và chuyển mạch nhanh của Internet. MPLS là công nghệ kết hợp những ưu điểm của định tuyến lớp 3 và chuyển mạch lớp 2, cho phép chuyển tải các gói rất nhanh trong mạng lõi (Core Network) và định tuyến tốt ở mạng biên (Edge Network) bằng cách dựa vào nhãn (label). MPLS được các thành viên IETF xây dựng và chuẩn hóa.
Một trong những ứng dụng tiêu biểu của công nghệ MPLS là MPLS - VPN . Với MPLS, độ trễ trong mạng được giữ ở mức thấp nhất do các gói tin trong mạng không phải thông qua các hoạt động đóng gói và mã hóa. MPLS - VPN đảm bảo tính riêng biệt và bảo mật, có cách đánh địa chỉ linh hoạt, cơ chế xử lý thông tin của MPLS
- VPN nằm trong phần lõi độc lập với khách hàng. Điểm nổi bật là mạng khách hàng không cần yêu cầu thiết bị hỗ trợ MPLS, đồng thời dễ mở rộng và phát triển
3.2. Tổng quan Về Mpls
MPLS là chữ viết tắt của Multi Protocol Label Switching, chuyển mạch nhãn đa giao thức. Mỗi gói tin IP bao gồm cả IPv4 và IPv6 hoặc cả những khung Frame lớp 2 khi đi vào miền MPLS sẽ được gán nhãn và truyền đi trong môi trường mạng. Bằng cách này gói tin có thể chuyển mạch nhanh hơn và có thể kết hợp được đa tầng mạng hợp nhất.
3.2.1 Các khái niệm cơ bản MPLS
Nhãn: là một thực thể ngắn gọn có độ dài cố định và không có cấu trúc bên trong, nhãn mang giá trị bằng số được thỏa thuận bởi các nút MPLS để chỉ thị cho kết nối dọc theo các đường chuyển mạch nhãn LSP. Nhãn được gán vào một gói tin cụ thể đại diện cho một lớp chuyển tiếp tương đương.
Ngăn sếp nhãn (Label stack): Một tập hợp có thứ tự các nhãn gắn theo gói để truyền tải thông tin về nhiều FEC mà gói nằm trong và về các LSP tương ứng mà gói sẽ đi qua. Ngăn xếp nhãn cho phép MPLS hỗ trợ định tuyến phân cấp ( một nhãn cho EGP và một nhãn cho IGP ) và tổ chúc đa LSP trong một trung kế LSP.
LSR: là thiết bị sử dụng trong mạng MPLS để chuyển các gói tin bằng thủ tục
phân phối nhãn.
FEC: là khái niệm được dùng để chi một nhóm các gói được đối xử như nhau qua mạng MPLS ngay cả khi có sự khác biệt giữa các gói tin này thể hiện trong mào đầu lớp mạng
Bảng chuyển mạch chuyển tiếp nhãn: là bảng chuyển tiếp nhãn có chứa thông tin về nhãn đầu vào, nhãn đầu ra, giao diện đầu ra và địa chỉ điểm tiếp theo
Đường chuyển mạch nhãn: là tuyến tạo ra đầu ra của mạng MPLS dùng để chuyển gói tin của một EFC nào đó sử dụng cơ chế chuyển đổi nhãn
Cơ sở dữ liệu nhãn LIB: là bảng kết nối trong LSR có chứa giá trị nhãn/EFC được gán và cổng ra cũng như thông tin về đóng gói phương tiện truyền.
Gói tin dán nhãn: một gói tin dán nhãn là một gói tin mà nhãn được mã hóa trong đó. Trong một vài trường hợp, nhẵn nằm trong mào đầu của gói tin dành riêng cho mục đích dán nhãn. Trong các trường hợp khác, nhãn có thể được đặt chung trong mào đầu lớp mạng và lớp liên kết dữ liệu miễn là ở đây có trường có thể dùng được cho mục đích dán nhãn
3.2.2 Thành phần cơ bản của MPLS
Thiết bị LSR: thành phần quan trọng cơ bản của mạng MPLS là thiết bị định
tuyến chuyển mạch LSR. Thiết bị này thực hiện chức năng chuyển tiếp gới thông tin
trong phạm vi mạng MPLS bằng thủ tục phân phối nhãn.
Căn cứ vào vị trí và chức năng của LSR có thể phân thành các loại chính sau
đây:
LSR biên: nằm ở biên của mạng MPLS. LSR này tiếp nhận hay gởi đi các gói
thông tin từ hay đến mạng khác. LSR biên gán hay loại bỏ nhãn cho các gói thông tin đến hoặc đi khỏi mạng MPLS. Các LSR này có thể là Ingress Router (router lối vào) hay egree router (router lối ra)
ATM-LSR: là các tổng đài ATM có thể thực hiện chức năng như LSR. CácATM-LSR thực hiện chức năng định tuyến gói IP và gán nhãn trong mảng điều khiển
và chuyển tiếp số liệu trên cơ chế chuyển mạch tế bào ATM trong mảng số liệu.
3.2.2.1 Cấu trúc MPLS
Cấu trúc của MPLS sẽ chia làm 02 mặt phẳng riêng biệt
- Mặt phẳng điều khiển: chứa các giao thức định tuyến để thiết lập các đường đi được sử dụng cho việc chuyển tiếp gói tin ở lớp 3. Ngoài ra mặt phẳng điều khiển còn
chứa giao thức phân phối nhãn để đáp ứng cho việc tạo và duy trì thông tin chuyển tiếp nhãn (gọi là binding) giữa một nhóm switch chuyển mạch nhãn kết nối với nhau. Các giao thức định tuyến như OSPF, ISIS, EIGRP và các giao thức trao đổi nhãn như LDP, BGP.
- Mặt phẳng dữ liệu: sử dụng cơ sở dữ liệu chuyển tiếp nhãn (LFIB-label forwarding information base) được duy trì bởi một thiết bị chuyển mạch nhãn để thực hiện việc chuyển tiếp gói tin dựa trên thông tin nhãn mang trên gói tin. Mặt phẳng dữ liệu chỉ là một thành phần chuyển tiếp dựa trên nhãn đơn giản độc lập với các giao thức định tuyến và các giao thức trao đổi nhãn.
Hình 3.1: Cấu trúc MPLS
3.2.2.2. Cấu trúc nhãn
Nhãn của MPLS là 1 trường 32 bit cố định với cấu trúc xác định. Trong đó :
Label : có giá trị từ 0->220 -1. Giá trị từ 0 à15 là giá trị dành riêng, sử dụng giá trị từ 16 -> 220 -1.
EXP (Experimental) : dùng cho QoS.
S (Bottom of Stack) : cho biết đây là nhãn cuối cùng của chồng nhãn (label stack) chưa.
TTL (Time – To – Live) : tương tự như trường TTL của IP header.
Hình 3.2: Nhãn MPLS
Một số nhãn đặt biệt trong công nghệ MPLS:
Hình 3.3: Nhãn đặc biệt trong MPLS
Nhãn untagged: gói MPLS được chuyển thành gói IP và được chuyển tiếp đến đích. Untagged được dùng trong thực thi MPLS VPN.
Nhãn pop hay implicit null:
Nhãn này được gán bằng P Router gần LSR nhất khi gói tin MPLS được chuyển đến LSR.
Dùng 1 giá trị riêng là 3 khi được quảng bá bởi LSR láng giềng.
Nhãn được dùng trong mạng MPLS cho những trạm kế cuối.
Nhãn Explicit-null:
Được gán để giữ giá trị EXP cho nhãn top của gói đến.
Được sử dụng khi thực hiện QoS với MPLS.
Nhãn aggregate: với nhãn này, khi gói tin MPLS đến nó bị bóc tất cả nhãn trong chồng nhãn ra thành gói IP, sau đó tìm kiếm trong FIB để xác định giao thức ngõ ra cho gói tin này.
3.2.2.3. Quá trình gán nhãn cho gói tin
Xây dựng bảng định tuyến
Các Router sau khi khởi tạo sẽ dựa vào giao thức định tuyến để xây dựng bảng định tuyến RIB (Routing Table Information Base) và được lưu trữ trong mặt phẳng điều khiển.
Dựa vào bảng RIB, Router sẽ tạo ra bảng FIB (Forwarding Information Base) và được lưu trữ trong mặt phẳng dữ liệu.
Hình 3.4: Xây dựng bảng FIB
Xây dựng bảng LIB
Giao thức trao đổi nhãn LDP sẽ khởi tạo và trao đổi nhãn giữa những Router trong miền MPLS để tạo ra bảng LIB (Label Information Base)
Hình 3.5: Xây dựng bảng LIB
Xây dựng bản LFIB
Sự kết hợp giữa bản LIB và bảng FIB sẽ tạo ra bảng LFIB.
Hình 3.6: Xây dựng bảng LFIB