H
Ọ
C VI
Ệ
N CÔNG NGH
Ệ

BƯU CHÍNH VI
Ễ
N THÔNG QUÁCH NHƯ THẾ NGHIÊN CỨU BẢO MẬT MẠNG RIÊNG ẢO TRÊN CÔNG NGHỆ
CHUYỂN MẠCH NHÃN ĐA GIAO THỨC

Chuyên ngành: Truyền dữ liệu và mạng máy tính

Mã số: 60.48.15

TÓM TẮT LUẬN VĂN THẠC SĨ KỸ THUẬT

NGƯỜI HƯỚNG DẪN KHOA HỌC :

PGS.TS NGUYỄN VĂN TAM

CHƯƠNG I: TỔNG QUAN VỀ MẠNG RIÊNG ẢO
1. Tổng quan về mạng riêng ảo
1.1 Giới thiệu về mạng riêng ảo
 Khái niệm mạng riêng ảo.
Mạng riêng ảo là phương pháp làm cho một mạng công
cộng hoạt động như một mạng cục bộ kết hợp với các giải pháp
bảo mật trên đường truyền. VPN cho phép thành lập các kết nối
riêng với người dùng ở xa, các văn phòng chi nhánh của công
ty và các đối tác của công ty đang sử dụng chung một mạng
công cộng.
VPN = định đường hầm + bảo mật + các thoả thuận QoS
1.2 Ưu và nhược điểm của VPN
 Ưu điểm:
 Giảm chi phí đường truyền
 Giảm chi phí đầu tư
 Giảm chi phí quản lý và hỗ trợ
 Truy cập mọi lúc mọi nơi
 Cải thiện kết nối.
 An toàn trong giao dịch.
 Hiệu quả về băng thông.
 Enhanced scalability
 Nhược điểm:
 Phụ thuộc trong môi trường Internet.
 Thiếu sự hổ trợ cho một số giao thức kế thừa
3

1.3 Phân loại mạng và các mô hình VPN
 Các loại mạng VPN
 Remote access VPN
 Intranet VPN

1.5.2 Giao thức L2TP (Layer 2 Tunneling Protocol)
Giao thức L2TP sử dụng hai loại thông điệp, thông điệp
điều khiển (Control Message) và thông điệp dữ liệu (Data
Message). Thông điệp điều khiển được sử dụng trong việc thiết
lập và duy trì đường ống. Thông điệp dữ liệu được sử dụng để
đóng gói PPP frame để chuyển qua đường ống.
1.5.3 Giao thức IPSec (IP Security Protocol)
IPSec là một giao thức bảo mật tích hợp với tầng IP,
cung cấp dịch vụ bảo mật mã hóa linh hoạt. Những dịch vụ này
là
1.5.3.1 Chứng thực nguồn gốc dữ liệu/Tính toàn vẹn
dữ liệu phi kết nối
17 KẾT LUẬN
Mạng riêng ảo VPN là một trong những ứng dụng rất
quan trọng trong mạng MPLS. Các công ty, doanh nghiệp đặc
biệt các công ty đa quốc gia có nhu cầu rất lớn về loại hình dịch
vụ này. Với VPN họ hoàn toàn có thể sử dụng các dịch vụ viễn
thông, truyền số liệu nội bộ với chi phí thấp, an ninh bảo đảm.
Đây là một ứng dụng rất quan trọng đáp ứng các yêu cầu của
các mạng riêng sử dụng hạ tầng cơ sở thông tin quốc gia với
những yêu cầu khác nhau về độ an toàn, bảo mật và chất lượng
dịch vụ. Bên cạnh đó là việc nghiên cứu các công nghệ bảo mật
trong MPLS VPN, nổi bật hiện nay chính là sử dụng IPSec.
Sau nghiên cứu đề tài đã tổng kết được các vấn đề sau:
 Tổng quan VPN: Giới thiệu tổng quan VPN
 Giải pháp bảo mật VPN trên nền MPLS, tìm hiểu IPsec
MPLS

lõi
(core) và định
tuyến tốt mạng biên (edge) bằng cách dựa vào nhãn
(label).
Đặc điểm mạng
MPLS:

- Không có MPLS API, cũng không có thành phần giao
thức phía
host.

- MPLS chỉ nằm trên các
router.

- MPLS là giao thức độc lập nên có thể hoạt động
cùng với giao
thức
khác IP như IPX, ATM, Frame
Relay,…

- MPLS giúp đơn giản hoá quá trình định tuyến và
làm tăng tính linh động của các tầng trung gian.
6

Phương thức hoạt
động:

Thay thế cơ chế định tuyến lớp ba bằng cơ chế chuyển
mạch lớp
hai. MPLS

hoặc chuyển mạch
lớp hai.
2.1.2.1 Mặt phẳng chuyển tiếp (Forwarding plane):
Mặt phẳng chuyển tiếp có trách nhiệm chuyển tiếp
gói dựa trên giá
trị
chứa trong nhãn. Mặt phẳng chuyển tiếp
sử dụng một cơ sở thông tin
chuyển
tiếp nhãn LFIB để chuyển
tiếp các gói.
15

IPsec tĩnh: trong mô hình này, mỗi nút IPsec được cấu
hình tĩnh với tất cả IPsec đồng cấp của nó, thông tin nhận thực
và chính sách bảo mật.
IPsec tĩnh được mô tả trong RFC 2401, 2412. Nó có thể
được áp dụng trên CE-CE và PE-PE
IPsec động: trong môi trường hub- và-spoke, hub có thể
được cấu hình mà không cần thông tin đặc điểm của spoke; chỉ
các spoke biết cách đến được hub, và một đường hầm IPsec
được thiết lập chỉ khi nào spoke có thể xác thực được chính nó.
IPsec truy cập từ xa sử dụng ý tưởng tương tự, nhưng xác thực
thường được thực hiện trên máy chủ AAA. IPsec động có thể
được sử dụng cho CE-CE cũng như PE-PE.
14

tương tự như trong bảo mật nhưng dễ thực thi hơn
nhiều, đặc biệt đối với khách hàng.
Ngoại trừ trong trường hợp đặc biệt, IPsec PE-PE

định tuyến IP với các nút
MPLS khác trong mạng.
Các môđun điều khiển MPLS
gồm:

•
Định tuyến Unicast (Unicast
Routing)

•
Định tuyến Multicast (Multicast
Routing)

•
Kỹ thuật lưu lượng (Traffic
Engineer)

•
Mạng riêng ảo (VPN – Virtual private
Network)

•
Chất lượng dịch vụ (QoS – Quality of
Service)

2.1.3 Các phần tử chính của MPLS
2.1.3.1 LSR (label switch Router)
Có 3 loại LSR trong mạng
MPLS:


mà chuyển mạch
một
gói có nhãn qua mạng MPLS hoặc
một phần của mạng MPLS. Về cơ
bản,
LSP là một đường
dẫn qua mạng MPLS hoặc một phần mạng mà gói đi
qua.
LSR
đầu tiên của LSP là một LSR vào, ngược lại LSR cuối cùng
của LSP
là
một LSR ra.
2.1.3.3 FEC (Forwarding Equivalence Class)
Lớp chuyển tiếp tương đương (FEC) là một nhóm hoặc
luồng các gói
được
chuyển tiếp dọc theo cùng một tuyến
và được xử lý theo cùng một
cách
chuyển tiếp. Tất cả các
gói cùng thuộc một FEC sẽ có nhãn giống nhau.
Tuy
nhiên,
không phải tất cả các gói có cùng nhãn đều thuộc cùng một
FEC, bởi
vì
giá trị EXP của chúng có thể khác nhau; phương
thức chuyển tiếp khác
nhau

PE), cũng như toàn bộ lõi MPLS bao gồm các PE, các P và các
đường dẫn
IPsec CE-CE không bảo vệ chống lại các mối đe dọa
sau đây:
 Tấn công từ chối dịch vụ (DoS)
 Các mối đe dọa trong khu vực đáng tin cậy
Nhìn chung, CE-CE IPsec cung cấp một phương
tiện lý tưởng đảm bảo một MPLS VPN vượt quá
tiêu chuẩn an ninh của các mạng MPLS. Đây là kỹ
thuật của sự lựa chọn cho việc cung cấp an ninh bổ
sung, chẳng hạn như mã hóa lưu lượng truy cập đến
một MPLS VPN.
2.3.2.2 PE-PE IPsec
Thường, PE-PE IPsec được xem như một cách để
tránh khách hàng VPN phải thiết lập CE dựa trên
IPsec. Một vài vị trí tư vấn này là một cấu trúc
12

2.3.1.1 Tổng quan IPsec
IPsec là một kỹ thuật cung cấp các dịch vụ bảo mật qua
mạng IP:
 Tính bảo mật thông qua sử dụng mã hóa.
 Tính xác thực thông qua việc sử dụng xác thực
đồng cấp và xác thực thông điệp.
 Tính toàn vẹn thông qua việc sử dụng kiểm tra
toàn vẹn thông điệp.
 Chống lại việc phát lại, bằng cách sử dụng các
chuỗi số đã được xác thực để đảm bảo tính mới mẻ của thông
điệp.
Một trong những lợi ích quan trọng của IPsec là các

ng d
ụ
ng VPN trên m
ạ
ng MPLS2.2.1 Gi
ớ
i thi
ệ
u v
ề
MPLS trong VNP
2.2.4 Các b
ộ

đị
nh tuy
ế
n
ả
o MPLS
Một bộ định tuyến ảo là một tập các chức năng, cả tĩnh
và động trong thiết bị định tuyến, nó cung cấp các dịch vụ định
tuyến và gửi chuyển tiếp giống các bộ định tuyến vật lý
Các đặc tính mà bộ định tuyến ảo cần có là:
 Cấu hình của bất cứ sự kết hợp giữa các giao
thức định tuyến.
 Giám sát mạng

Các gói tin VPN được gửi chuyển tiếp sử dụng LSP này
nếu LSP riêng với băng thông xác định và các đặc tính QoS
hoặc không được cấu hình hoặc hiện tại không sẵn sàng. LSP
được sử dụng là một LSP được tính trước cho bộ định tuyến lối
ra trong VPN0. VPNID trong tiêu đề chèn thêm được sử dụng
để phân các gói dữ liệu từ các VPN khác nhau tại bộ định tuyến
lối ra.
2.2.3.2 Nh
ậ
n bi
ế
t
đồ
ng b
ộ

đị
nh tuy
ế
n lân c
ậ
n trong
MPLS VPN
Các VR trong một VPN cho trước thuộc về một số các
SPED trong mạng. Những VR này cần phải nhận biết về các
VR khác và phải được kết nối với các VR khác. Một cách để
thực hiện điều này là yêu cầu thiết lập cấu hình của các VR lân
cận
11