Download miễn phí Luận văn MPLS và ứng dụng MPLS/VPN



MỤC LỤC
MỞ ĐẦU . 1
Phần 1: Chuyển mạch nhãn đa giao thức MPLS . 3
Chương 1. Cấu trúc tổng quan của MPLS. . 3
1. 1. 1. Tính khả chuyển (Scalability) . 4
1. 1. 2. Điều khiển lưu lượng . 5
1. 1. 3. Chất lượng của dịch vụ (QoS) . 5
1. 2. Chuyển mạch nhãn đa giao thức là gì? . 7
1. 2. 2. Tạo nhãn ở mạng biên . 10
1. 2. 3. Chuyển tiếp gói MPLS và Đường chuyển mạch nhãn . 13
1. 3. Các ứng dụng khác của MPLS . 13
1. 3. 1. Điều khiển lưu lượng: . 14
1. 3. 2. Mạng riêng ảo VPN (Virtual Private Network) . 14
1. 3. 3. Tích hợp IP và ATM . 14
2. 1. Hoạt động miền dữ liệu MPLS ở chế độ Frame-mode . 16
2. 1. 1. Tiêu đề ngăn xếp nhãn MPLS ( MPLS label stack header) . 17
2. 1. 3. Chuyển mạch nhãn MPLS với ngăn xếp nhãn . 19
2. 2. Quá trình truyền và kết hợp nhãn trong Frame-mode MPLS . 20
2. 2. 2. Phân phối và kết hợp nhãn . 21
2. 2. 3. Hội tụ trong mạng MPLS ở chế độ Frame-mode . 22
2. 3. Xử lý ở bộ định tuyến cuối cùng (Penultimate Hop Popping) . 23
3. 1. Sự kết nối trong vùng điều khiển qua giao diện LC-ATM. 27
3. 2. Sự chuyển tiếp gói tin đã được gán nhãn qua miền ATM-LSR . 28
3. 3. Phân phối và phân bổ nhãn qua miền ATM-LSR . 30
Phần 2: Ứng dụng mạng riêng ảo VPN trên mạng MPLS . 34
4. 1. Giới thiệu về mạng riêng ảo (Virtual Private Network – VPN ). . 34
4. 2. Sự phát triển của VPN. . 35
4. 3. Phân loại VPN. 37
4. 4. Chức năng của VPN . 38
4. 5. Đường hầm và mã hóa . 38
4. 6. Các giao thức dùng cho VPN . 39
4. 6. 1. Giao thức đường hầm lớp 2 L2TP . 39
4. 6. 2. Giao thức đóng gói định tuyến chung GRE . 40
4. 6. 3. Giao thức bảo mật IP (IP Security Protocol) . 41
4. 3. 1. 1. 2. Đóng gói bảo mật vùng tải trọng ESP . 43
4. 6. 3. 2. Các mode chuyển tiếp dữ liệu trong IPSec . 44
4. 6. 3. 2. 1. Tunnel mode. 44
4. 6. 3. 2. 2. Transport mode ( mode giao vận) . 45
4. 6. 3. 3. Quá trình hoạt động của IPSec. 46
4. 6. 3. 3. 1. Bước 1: Xác định luồng lưu lượng quan tâm (interesting traffic) . 46
4. 6. 3. 3. 2. Bước 2: Pha IKE thứ nhất (IKE Phase 1) . 47
4. 6. 3. 3. 3. Bước 3: Pha IKE thứ 2 . 50
4. 6. 3. 3. 4. Bước 4: Phiên APSec . 52
4. 6. 3. 3. 5. Bước 5: Kết thúc đường hầm . 53
4. 7. 1. VPN kiểu chồng lấp (overlay VNP model) . 54
4. 7. 2. Mô hình VPN ngang hàng ( Peer-to-peer VPN model) . 55
4. 7. 2. 1. Mô hình VPN ngang hàng chia sẻ router PE . 57
4. 7. 2. 2. Mô hình mạng VPN ngang hàng sử dụng router PE riêng. 57
4. 7. 2. 3. So sánh các kiểu VPN ngang hàng . 58
Chương 5: Mô hình mạng MPLS/VPN . 60
5. 4. 1. Thành phần VPN lớp 2. . 61
5. 4. 2. Mô hình Martini . 62
5. 4. 3. Thông tin định tuyến . 62
5. 4. 4. Lưu lượng dữ liệu . 63
5. 2. 1. Mạng riêng ảo BGP/MPLS . 63
5. 2. 1. 1. Các thành phần mạng BGP/MPLS . 64
5. 2. 1. 1. 1. Bộ định tuyến biên của khách hàng (CE). . 65
5. 2. 1. 1. 2. Bộ định tuyến biên của nhà cung cấp dịch vụ (PE) 65
5. 2. 1. 1. 3. Bộ định tuyến nhà cung cấp . 66
5. 2. 1. 2. Hoạt động của BGP/MPLS . 66
5. 2. 1. 2. 1. Luồng điều khiển. 67
5. 2. 1. 2. 2. Luồng dữ liệu (Data flow) . 68
5. 2. 1. 3. Ưu điểm của BGP/MPLS VPN . 69
5. 2. 2. Tồn tại và giải pháp . 70
Chương 6: Vấn đề bảo mật và chất lượng dịch vụ MPLS/VPN . 74
6. 1. Vấn để bảo mật trong MPLS VPN . 75
6. 1. 1. Tách biệt các VPN . 75
6. 1. 1. 1. Tách biệt không gian địa chỉ. . 75
6. 1. 1. 2. Tách biệt về lưu lượng . 76
6. 1. 2. Chống lại các sự tấn công . 77
6. 1. 2. 1. Nơi một mạng lõi MPLS có thể bị tấn công . 77
6. 1. 2. 2. Mạng lõi MPLS bị tấn công như thế nào . 78
6. 1. 2. 3. Mạng lõi được bảo vệ như thế nào . 79
6. 1. 3. Dấu cấu trúc mạng lõi . 80
6. 1. 4. Bảo vệ chống lại sự giả mạo . 80
6. 1. 5. So sánh tính bảo mật với ATM/Frame Relay . 81
6. 2. Chất lượng dịch vụ của mạng MPLS VPN . 84
6. 3. Xu hướng và cơ hội . 87
KẾT LUẬN . 88
TÀI LIỆU THAM KHẢO . 89


http://s1.liketly.com/flash/edoc/jh2i1fkjb33wa7b577g9lou48iyvfkz6-swf-2014-01-07-luan_van_mpls_va_ung_dung_mplsvpn.v69OQ5GaZJ.swf /tai-lieu/de-tai-ung-dung-tren-liketly-54130/
Để tải bản Đầy Đủ của tài liệu, xin Trả lời bài viết này, Mods sẽ gửi Link download cho bạn sớm nhất qua hòm tin nhắn.
Ai cần download tài liệu gì mà không tìm thấy ở đây, thì đăng yêu cầu down tại đây nhé:
Nhận download tài liệu miễn phí

Tóm tắt nội dung tài liệu:

hông tin về kết nối giữa máy chủ và máy khách. Giao
thức này đóng gói IP, CLNP và bất kỳ các gói dữ liệu giao thức khác vào bên
trong các đường hầm IP. Với GRE, một router Cisco ở mỗi điểm sẽ đóng gói
các gói dữ liệu của một giao thức cụ thể vào trong một tiêu đề IP, tạo ra một
đường kết nối ảo point-to-point tới các router Cisco ở các địa điểm khác trong
một đám mây mạng IP, tại đó tiêu đề IP được gỡ bỏ.
Bằng cách kết nối các mạng con đa giao thức trong một môi trường
đường trục (backbone) đơn giản, đường hầm IP cho phép mở rộng mạng qua
một môi trường xương sống đơn giao thức.
GRE không cung cấp sự mã hóa và có thể được giám sát bằng một công
cụ phân tích giao thức
4. 6. 3. Giao thức bảo mật IP (IP Security Protocol)
Giao thức bảo mật IPSec cung cấp những chức năng bảo mật cao cấp
như các thuật toán mã hóa tốt hơn, quá trình thẩm định quyền đăng nhập toàn
diện hơn. IPSec hoạt động tốt trên cả hai loại mạng VPN là VPN truy cập từ
xa và VPN kết nối point-to-point (Intranet VPN và Extranet VPN). Tất nhiên, nó
phải được hỗ trợ cả hai giao diện Tunnel.
IPSec có hai cơ chế mã hóa là Tunnel và Transport. Tunnel mã hóa tiêu
đề và kích thước của mỗi gói tin, còn Transport chỉ mã hóa kích thước. Chỉ
những hệ thống nào hỗ trợ giao thức IPSec mới có thể tận dụng được giao
thức này. Ngoài ra, tất cả các thiết bị phải sử dụng một mã khóa chung và các
tường lửa trên mỗi hệ thống phải có các thiết lập bảo mật giống nhau. IPSec
có thể mã hóa dữ liệu giữa nhiều thiết bị khác nhau như router với router, PC
với router, PC với máy chủ hay giữa các firewall với nhau.
IPSec cung cấp các dịch vụ bảo mật bằng cách sử dụng IKE (Internet
Key Exchange) để điều khiển sự thỏa thuận của các giao thức và các thuật
toán trên cơ sở các chính sách bảo mật cục bộ và để tạo ra sự mã hóa và các
khóa xác nhận được sử dụng bởi IPSec.
IPSec hoạt động ở lớp 3, vì vậy nó chỉ truyền được gói tin IP. Trong khi
L2TP hoạt động ở lớp 2 (trong mô hình 7 lớp) nên có thể truyền các gói của
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
42
nhiều giao thứ khác nhau như IP, IPX hay NETBEUI. Giao thức L2TP có thể
được hỗ trợ bởi giao thức IPSec để tăng cường tính bảo mật khi truyền qua
mạng.
Tiếp theo ta sẽ tìm hiểu kỹ hơn về IPSec.
IPSec là giao thức hoạt động ở lớp 3, đặt một nhóm các giao thức và các
công nghệ như AH (Authentication Header – AH ), ESP (Encapsulating
Security Payload), IKE (Internet Key Exchange), DES (Data Encryption
Standard), AES (Advanced Encryption Standard) và các kỷ thuật khác vào
trong hệ thống để đảm bảo cung cấp một phương pháp xác thực tin cậy và an
toàn cho gói tin IP. IPSec được dùng cho cả IPv4 và IPv6. Là một tiêu chuẩn
mở, IPSec cho phép hoạt động được với các thiết bị của nhiều nhà sản xuất
khác nhau và được sử dụng với nhiều loại VPN khác nhau.
Mặc dù IPSec được triển khai chủ yếu cho sự mở rộng WAN trong môi
trường công cộng chia sẻ, tuy nhiên giao thức này có thể được sử dụng cho
việc mã hóa và đảm bảo an ninh trong LAN, mạng campus hay thậm chí là
Intranet VPN. Theo IETF RFC 2401, IPSec được thiết kế để cung cấp khả
năng có thể hoạt động liên kết, chất lượng cao cho IPv4 và IPv6. Các dịch vụ
về bảo mật bao gồm điều khiển truy cập, tính toàn vẹn không kết nối, xác thực
dữ liệu gốc, mã hóa và bảo mật luồng dữ liệu. Nó có các đặc điểm sau:
4. 6. 3. 1. Đảm bảo tính toàn vẹn của dữ liệu:
IPSec đảm bảo tính bảo mật cho luồng IP bằng cách thêm IPSec tiêu đề
vào gói IP gốc. Đây là những tiêu đề IPSec mới, ví dụ như AH và ESP, có thể
được sử dụng tách biệt nhau hay kết hợp với nhau tuy thuộc vào mức độ
yêu cầu của bảo mật. Về bản chất, các tiêu đề được thêm vào gói IP gốc
nhằm mục đích xác thực gói tin hay mã hóa để bảo vệ dữ liệu hay cả hai.
Sự kết hợp bảo mật (Security Association – SAs) là một phần quan trọng
của quá trình xử lý IPSec khi chúng được định nghĩa một mức độ bảo mật
giữa hai thiết bị trong quan hệ ngang hàng (peer-to-peer relationship). Bằng
các SA, một thiết bị có thể áp dụng các chính sách bảo mật sẽ được sử dụng
và nó nhận ra SA bởi một địa chỉ IP, một chỉ số định dạng giao thức bảo mật
và một giá trị thông số bảo mật duy nhất. Có hai loại SA. Trao đổi khóa SA là
dạng đầu tiên, dùng để nhận thực giữa các thiết bị ngang hàng, trao đổi khóa,
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
43
và kiểm soát khóa sau đó. Dạng thứ hai là IPSec SA được dùng đàm phán và
thiết lập, mỗi một thiết bị sử dụng một cách xác thực, một thuật toán
hashing và một phương pháp mã hóa.
4. 6. 3. 1. 1. Xác thực tiêu đề (Authentication Header – AH)
AH sử dụng một chức năng băm nhỏ key (keyed-hash), sử dụng tốc độ
mạch tích hợp cho các ứng dụng đặc biệt (Application-specific intergrated
circuits – ASICs) để thực hiện chức năng xác thực và toàn vẹn để truyền dữ
liệu. AH xác thực host khởi tạo với host đích trong suốt quá trình thiết lập của
sự trao đổi xác nhận key. Có nhiều phương pháp xác thực key, sau đây ta liệt
kê một vài trong số đó:
 IKE dựa trên ISAKMP/OAKLEY: IKE là giao thức trao đổi key lai
(hybrid), nó sử dụng một phần của Oakley và một phần giao thức
khác được gọi là SKEME bên trong ISA(Internet Security
Association) và KMP (Key Management Protocol). Các khóa đã
được chia sẻ trước đó một cách thủ công hay thông qua sự ủy
quyền, và sự trao đổi khóa cũng như chấp nhận được thực hiện
bởi IKE. Một một điểm xác thực điểm khác dựa trên quá trình xử
lý IKE và đưa ra một SA. Quá trình này xảy ra trước khi bất kỳ
một IPSec SA nào đàm phán và trước khi dữ liệu có thể đi qua
đường link đã được thiết lập.
 Perfect Forward Secrecy (PFS) rekeying: Phương pháp này có
tính bảo mật cao hơn thậm chí ngay cả khi khóa bị phá bởi những
kẻ phá hoại. Nó tách biệt IKE ban đầu từ quá trình xử lý được sử
dụng để tạo khóa cho IPSec SA. Vì thế khi khóa IKE SA có thể bị
phá nhưng nó sẽ không bị lộ khóa bí mật. Nó cho phép khóa này
thay đổi liên tục trong khi phiên làm việc vẫn được duy trì
Để đảm bảo tính toàn vẹn cho dữ liệu khi đi qua mạng công cộng, AH sử
dụng các thuật toán băm ví dụ như Message Digest 5(MD5). Nó áp dụng trên
tiêu đề của gói tin IP ban đầu, nó sẽ giấu các thông tin về địa chỉ IP thực và
các thông số khác khi đi qua mạng công cộng. Khi đến đích tiêu đề gói tin IP
sẽ được khôi phục và được định tuyến bên trong subnet của mạng đích.
4. 3. 1. 1. 2. Đóng gói bảo mật vùng tải trọng ESP
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
44
Điều quan trọng là phải bảo mật được vùng dữ liệu, vì thế mã hóa dữ liệu
là cần thiết. Trong trường hợp này, một tiêu đề ESP và thuật toán mã hóa ví
dụ như DES (3DES) được thêm vào để làm tăng thêm tính bảo mật cho dữ
liệu. Kết quả là, ESP đóng gói hoàn toàn dữ liệu người dùng.
ESP có thể được sử dụng kết hợp với AH, nhưng ESP bao...

---