Đồ án Xây dựng mạng riêng ảo VPN Trường T/C nghề Số 8

Chương 1 Giới thiệu chung về VPN Internet ngày một phổ biến và gia tăng một cách mạnh mẽ, các công ty kinh doanh đầu tư vào nó như một phương tiện quảng bá công ty của họ và đồng thời cũng mở rộng các mạng mà họ sở hữu. Ban đầu là các mạng nội bộ, mà các site được bảo mật bằng mật khẩu được thiết kế cho việc sử dụng chỉ bởi các thành viên trong công ty. Có rất nhiều công ty đang tạo ra các mạng riêng ảo VPN để điều tiết và quản lý các nhân viên hay các văn phòng đại diện từ xa. VPN là từ thường dùng trong suốt khoảng mấy năm qua. Từ đó, chúng ta hiểu về nó và ứng dụng VPN vào những mục đích phục vụ cuộc sống như trong kinh doanh và văn hoá hiện đại. Có thể nói rằng VPN là một sự kết hợp của đường hầm, sự mật mã, sự xác thực, công nghệ điều khiển truy cập và sự phục vụ đã từng lưu thông trên Internet, mạng IP được quản trị hoặc mạng Backbone của nhà cung cấp dịch vụ. Phạm vi đi lại của đường trục của mạng này dùng sự kết hợp của công nghệ truy cập bao gồm frame relay, ISDN, ATM hoặc Aimple-Dial Access. VPN có thể được hiểu như là mạng kết nối các site người dùng đảm bảo an ninh trên cơ sở hạ tầng mạng chung cùng với các chính sách điều khiển truy nhập và bảo mật một mạng riêng biệt. Tuy được xây dựng trên cơ sở hạ tầng sẵn có của mạng công cộng nhưng VPN lại có được các tính chất của một mạng cục bộ như khi sử dụng các đường thuê riêng. Chương này trình bày nhưng khái niệm cơ bản về VPN, các chức năng và đặc điểm của VPN, từ đó làm cơ sở để phân loại VPN và đưa ra các thuận lợi cũng như khó khăn khi sử dụng các loại hình VPN khác nhau. Trong chương này chúng ta giới thiệu về một số nội dung sau: Khái niệm về VPN Chức năng và lợi ích của VPN Mô hình VPN Phân loại VPN 1.1 Khái niệm về VPN Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạng chung, thường là Internet để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa. Trong thời gian gần đây cơ sở hạ tầng mạng IP đã làm cho VPN thực sự có tính mới mẻ và tốt hơn. Các kiểu mạng riêng ảo xây dựng trên cơ sở hạ tầng mạng Internet công cộng đã mang lại một khả năng mới, tốt hơn hiệu quả và linh động hơn cho người sử dụng. Thay cho việc sử dụng bởi một kết nối thực, chuyên dụng như đường mạng riêng (Leased Line), mỗi VPN sử dụng các kết nối ảo được dẫn đường qua Internet từ mạng riêng của các công ty tới các site hay các nhân viên từ xa. Ngày nay với sự phát triển của cộng nghệ và bùng nổ của mạng Internet, khả năng của VPN ngày càng được hoàn thiện hơn về dịch vụ cũng như khai thác được hết các ưu điểm của nó. Mạng riêng ảo được định nghĩa như là một kết nối mạng triển khai trên cơ sở hạ tầng mạng công cộng với các quản lý và bảo mật giống như mạng cục bộ. Mạng riêng ảo như là sự mở rộng của mạng LAN mà không hạn chế về mặt khoảng cách, mà không thay đổi về sự bảo mật của nó trong công việc. Sử dụng Internet cho truy cập từ xa sẽ tiết kiệm được chi phí. Ta có thể quay số ở bất cứ đâu chỉ cần tại đó có nhà cung cấp dịch vụ (ISP) có thể truy nhập đến điểm kết nối. Nếu ISP có các điểm POP mang tính quốc gia thì đối với mạng LAN sẽ chỉ là các cuộc gọi nội hạt. Một vài ISP có thể có mở rộng quốc tế hoặc có sự thỏa thuận với các ISP khác. Việc lựa chọn ISP sẽ rẻ hơn cho việc truy cập từ xa đối với những người sử dụng roarming. VPN được thiết lập giữa các Router tại hai chi nhánh của công ty thông qua Internet. Hơn nữa, VPN cho phép hợp nhất các kết nối Internet và WAN vào một Router và một đường truyền, điều này giúp tiết kiệm chi phí thiết bị và hạ tầng cơ sở viễn thông. Tính cá nhân của VPN tin cậy thể hiện ở chổ nhà cung cấp dịch vụ sễ đảm bảo không cho ai sử dụng cùng mạch thuê riêng đó. Người dùng của mạng riêng ảo loại này tin cậy hoàn toàn vào nhà cung cấp dịch vụ để duy trì tính toàn vẹn và bảo mật dữ liệu cá nhân nội bộ của người dùng khi truyền trên mạng. Các mạng riêng xây dựng trên các đường dây thuê thuộc loại tin cậy . Mạng riêng ảo an toàn là các mạng riêng ảo có thể sử dụng mật mã về thông tin của dữ liệu. Dữ liệu ở đâu ra của một mạng được mã hoá rồi chuyển vào mạng công cộng như các dữ liệu khác để truyền tới đích và sau đó được giải mã tại phía thu một cách bình thường. Dữ liệu được mật mã và đi trong mạng như là đi một đường riêng được gọi là đường hầm, dữ liệu được bảo vệ từ nguồn tới đích. Có thể có sự tấn công bên ngoài nhưng dữ liệu được mã hoá nên không thể đọc được. Về giao thức sử dụng trong việc mã hoá để đảm bảo an toàn là IPSec. Đó là một tiêu chuẩn cho mã hoá cũng như xác thực các gói IP tại tầng mạng. IPSec hỗ trợ một tập hợp các giao thức mã hoá với hai mục đích: An ninh gói mạng và thay đổi các khoá mã hoá. Mạng riêng ảo xây dựng dựa trên Internet, sử dụng cơ sở hạ tầng mở và phân tán của Internet cho việc truyền dữ liệu các site của mạng Tóm lại mạng riêng ảo VPN là thuật ngữ được các nhà cung cấp dịch vụ và các khai thác sử dụng. Như đúng tên gọi của nó, VPN là một mạng riêng của người dùng dựa trên cơ sở hạ tầng mạng công cộng. Chúng có thể được tạo ra bằng cách sử dụng phần mềm, phần cứng hay kết hợp cả hai phần đó để tạo ra một kết nối bảo mật giữa hai mạng riêng đi qua mạng công cộng. 1.2 Chức năng và lợi ích của VPN 1.2.1 Chức năng của mạng riêng ảo Tính xác thực Thiết lập kết nối trong VPN cả hai phía của thiết bị đầu cuối phải xác thực lẫn nhau để khẳng định một điều là thông tin mình muốn trao đổi đúng với đối tượng mình mong muốn không phải là một người khác mà mình không mong muốn. Tính Toàn vẹn Khi truyền dữ liệu việc đảm bảo là dữ liệu không bị mất đi hoặc bị xáo trộn là một việc làm vô cùng quan trọng. Vì vậy VPN đã làm được điều đó một cách hoàn hảo. Tính bảo mật Việc mã hoá các dữ liệu trước khi đưa vào truyền trong mạng công cộng và dữ liệu sẽ được giải mã ở phía thu. Bằng cách làm như vậy, thì việc đánh cắp thông tin dữ liệu là vô cùng khó khăn đối với người khác. 1.2.2 Tiện ích chính của mạng riêng ảo VPN đem lại lợi ích thực sự và tức thời cho công ty và các doanh nghiệp trong công việc kinh doanh của mình. Có thể dùng VPN để đơn giản hoá việc truy cập đối với các nhân viên làm việc và người dùng lưu động, mở rộng mạng nội bộ đến từng văn phòng chi nhánh, thậm chí triển khai mạng mở rộng đến tận khách hàng và các đối tác chủ chốt và điều quan trọng là những công việc trên đều có chi phí thấp hơn nhiều so với việc mua thiết bị và đường dây cho mạng WAN riêng. Những lợi ích của VPN có thể được dẫn dưới đây. Mặt kinh tế Khi sử dụng mạng riêng ảo VPN các công ty có thể giảm chi phí được tới một cách tối đa trong việc đầu tư và vận hành chúng. Sử dụng VPN thì các công ty chỉ việc thuê các kênh riêng trên hạ tầng chung của các nhà cung cấp dịch vụ viễn thông không cần phải đầu tư thiết bị đầu cuối cũng như thiết bị truyền dẫn. Các thiết bị truyền dẫn là tương đối đắt, nên việc giảm chí phí khi đầu tư khi sử dụng VPN là quá rõ ràng và thiết yếu. Giảm được các loại cước phí đường dài truy cập VPN cho các nhân viên di động và các nhân viên đi công tác xa công ty nhờ vào việc họ truy nhập vào mạng thông qua các điểm kết nối ở nơi mình cư trú, hạn chế gọi đường dài tới các modem tập trung. Tính linh hoạt Tính linh động ở đây không chỉ thể hiện trong quá trình vận hành và khai thác mà nó còn thực sự mềm dẻo đối với yêu cầu sử dụng của người sử dụng. Người sử dụng có thể sử dụng nhiều kết nối hay các đối tượng di chuyển do đặc thù công việc. Khách hàng của VPN qua mạng mở rộng này, cũng có quyền truy cập và khả năng như nhau đối với các dịch vụ trung tâm bao gồm. Cũng như các ứng dụng thiết yếu khác, khi truy cập chúng thông qua những phương tiện khác nhau như qua mạng cục bộ LAN, modem, modem cáp, đường dây thuê bao số v..v, mà không cần quan tâm đến những phần phức tạp bên dưới. Mở rộng và phát triển Như chúng ta đã biết mạng riêng ảo VPN được phát triển và hoạt động dựa trên mạng công cộng. Ngay nay mạng Internet có mặt khắp nơi nên việc đó tao cho việc xây dựng và phát triển mạng VPN ngày càng đơn giản. Việc kết nối giữa các chi nhánh ở xa với công ty là quá đơn giản thông qua đường dây điện thoại hoặc qua đường dây số DSL. Việc nâng cấp cũng qua đơn giản khi băng thông đường truyền lớn. Và việc gỡ bỏ VPN cũng quá đơn giản khi không cần thiết. 1.2.3 Nhược điểm và nhưng giải pháp khắc phục Sự tin cậy và thực thi Mạng riêng ảo sử dụng các phương pháp mã hoá để bảo mật dữ liệu, và sử dụng một số hàm mật mã phức tạp nên việc đó đã làm cho dụng lượng của máy chủ là khá nặng và việc ấy rất ảnh hưởng đến việc xử lý tốc độ của máy. Khi dữ liệu được truyền tải trong VPN quá lớn thì việc tắc nghẽn và có thể mất thông tin dữ liệu là chuyện thường xẩy ra. Việc thiết lập các dịch vụ proxy và một số dịch vụ khác để có thể hạn chế và điều chỉnh được lưu lượng truyền tải trong mạng một các hợp lý nhất. Sự rủi ro về an ninh Như chúng ta đã biết thì mạng riêng ảo là dùng chung đường truyền của mạng công cộng nên việc bị tấn công là không thể tránh khỏi và điều đó như là nhưng điều được cảnh báo trước. Nên các nhà cung cấp dịch đã đưa ra nhưng giải pháp an toàn cho việc dùng mạng riêng ảo, nhưng vấn đề an toàn không bao giờ là tuyệt đối. Vấn đề càng đưa các giải pháp bảo mật vào bao nhiều thì nó cũng ảnh hưởng đến giá thành của dịch vụ, và điều đó là một điều không mong muốn từ nhà cung cấp dịch vụ cũng như người sử dụng dịch vụ. Nên việc sử nhưng giải pháp trong VPN cũng phải được cân nhắc làm sao tối ưu nhất. 1.3 Mô hình VPN Hai mô hình triển khai VPN, dự trên các yêu cầu của người dùng và dựa trên mạng. - Mô hình dựa trên khách hàng còn được gọi là mô hình chồng lấn, trong đó VPN được cấu hình trên các thiết bị của người dùng và sử dụng giao thức đường hầm qua mạng công cộng. Nhà cung cấp dịch vụ sẽ đưa các mạng riêng ảo giữa các site của người dùng như là các đường kết nối riêng. - Mô hình dựa trên mạng được gọi là mô hình ngang hàng, trong đó VPN được cấu hình trên các thiết bị của nhà cung cấp dịch vụ và được quản lý bởi nhà cung cấp dịch vụ. Các nhà cung cấp dịch vụ và người dùng trao đổi thông tin dữ liệu qua định tuyến lớp 3, các nhà cung cấp dịch vụ sẽ sắp đặt dữ liệu từ các site người dùng vào đường đi tối ưu nhất mà không cần phải có sự tham gia của người dùng. 1.3.1 Mô hình VPN chồng lấn Mô hình chồng lấn VPN ra đời rất sớm và được triển khai dưới nhiều công nghệ khác nhau. Lúc đầu VPN được xây dựng bằng cách sử dụng các đường thuê riêng để cung cấp và kết nối giữa các người dùng ở các vị trí khác nhau. Người dùng sử dụng dịch vụ kênh thuê riêng của nhà cung cấp dịch vụ. Các đường thuê riêng này được thiết lập giữa các site của người dùng cần kết nối. Đường này là đường dùng riêng cho người dùng khi có nhu cầu sử dụng. Frame Relay được xem như là một công nghệ VPN được đua ra trong những năm 1990, vì nó có thể đáp ứng kết nối cho người dùng như dịch vụ thuê kênh riêng (leased line), ở đây người dùng không được cung cấp các đường dành riêng cho mỗi người dùng, người dùng sử dụng một đường chung nhưng được chỉ định các mạch ảo. Các mạch ảo này sẽ đảm bảo lưu lượng cho mỗi người dùng là riêng biệt. Cung cấp mạch ảo cho người dùng nghĩa là nhà cung cấp dịch vụ đã xây dựng một đường hầm riêng cho dữ liệu người dùng đi qua mạng dùng chung của nhà cung cấp dịch vụ. Sau này công nghệ ATM ra đời, về cơ bản ATM cũng hoạt động giống như Frame Relay nhưng đáp ứng tốc độ truyền dẫn cao hơn. Người dùng thiết lập việc kết nối giữa các thiết bị đầu phía người dùng CE với nhau qua kênh ảo. Giao thức định tuyến chạy trực tiếp giữa các Router người dùng thiết lập mối quan hệ cận kề và trao đổi thông tin định tuyến với nhau. Nhà cung cấp dịch vụ không thể biết đến thông tin định tuyến của người dùng trao đổi. Nhiệm vụ của nhà cung cấp dịch vụ trong mô hình này chỉ là đảm bảo truyền dữ liệu điểm - điểm giữa các site của người dùng. VPN chồng lấn còn được triển khai dưới dạng đường hầm (Tunneling). Việc triển khai thành công các công nghệ gắn với IP nên một vài nhà cung cấp dịch vụ bắt đầu triển khai VPN qua IP. Nếu người dùng nào muốn xây dựng mạng riêng của họ qua mạng công cộng thì có thể dùng giải pháp này là hợp lý nhất vì chi phí thấp. Bên cạnh lý do kinh tế, mô hình đường hầm còn đáp ứng cho người dùng việc bảo mật dữ liệu và thông tin trên đường truyền. Hai công nghệ VPN đường hầm phổ biến là IPSec và Gói định tuyến chung (GRE). Các nhà cung cấp dịch vụ cam kết về QoS trong mô hình overlay VPN thường là cam kết về băng thông trên một mạch ảo (VC), giá trị này được gọi là tốc độ thông tin ràng buộc (CIR). Băng thông có thể sử dụng được tối đa trên một kênh ảo đó, giá trị này được gọi là tốc độ thông tin tối đa (PIR). Việc cam kết này được thực hiện thông qua các thống kê tự nhiên của dịch vụ lớp 2 nhưng lại phụ thuộc vào chiến lược của nhà cung cấp. Điều này có nghĩa là tốc độ cam kết không thật sự được bảo đảm mặc dù nhà cung cấp có thể đảm bảo tốc độ lớn nhất. Cam kết về băng thông cũng chỉ là cam kết về hai điểm trong mạng người dùng. Nếu không có ma trận lưu lượng đầy đủ cho tất cả các lớp lưu lượng thì thật khó có thể thực hiện cam kết này cho người dùng trong mô hình overlay. Để làm được việc này bằng cách tạo ra nhiều kết nối, như trong công nghệ chuyển mạch khung Frame Relay hay chuyển mạch không đồng bộ ATM là có các mạch ảo cố định (PVC) giữa các site người dùng. Tuy nhiên, kết nối mạng lưới rộng thì chỉ làm tăng thêm chi phí của mạng. Nên để cam kết theo lời hứa của mình thì việc tính toán lưu lượng đường truyền phải cẩn thận, và chính xác nhất. Hình 1.1: Mô hình VPN chồng lấn Một số ưu điểm của VPN chồng lấn Đó là mô hình dễ thực hiện, nhìn theo quan điểm của người dùng và của cả nhà cung cấp dịch vụ. Nhà cung cấp dịch vụ không tham gia vào định tuyến người dùng trong mạng VPN chồng lấn. Nhiệm vụ của họ là vận chuyển dữ liệu điểm - điểm giữa các site của người dùng, việc đánh dấu điểm tham chiếu giữa nhà cung cấp dịch vụ và người dùng sẽ quản lý dễ dàng hơn. Hạn chế của mô hình VPN chồng lấn VPN thích hợp trong các mạng không cần độ dự phòng với ít site trung tâm và nhiều site ở đầu xa, nhưng lại khó quản lý nếu như cần nhiều cấu hình nút khác nhau. Việc cung cấp càng nhiều mạch ảo đòi hỏi phải có sự hiểu biết sâu sắc về loại lưu lượng giữa hai site với nhau mà điều này thường không thật sự thích hợp. Khi thực hiện mô hình này với các công nghệ lớp 2 thì chỉ tạo ra một lớp mới không cần thiết đối với các nhà cung cấp hầu hết chỉ dựa trên IP, dẫn đến sự phải có sự đầu tư lớn trong việc này. 1.3.2 Mô hình VPN ngang cấp Với những nhược điểm của VPN chồng lấn thì việc đưa ra mô hình VPN ngang cấp để khắc phục những nhược điểm đó và chuẩn hoá việc truyền dữ liệu qua mạng đường trục. Với mô hình này các nhà cung cấp dịch vụ sẽ tham gia vào hoạt động định tuyến của người dùng. Tức là Router biên mạng nhà cung cấp (Provider Edge - PE) thực hiện trao đổi thông tin định tuyến trực tiếp với Router CE của người dùng. Hình 1.2: Mô hình VPN ngang cấp Vùng ở giữa bao gồm tập hợp một hay nhiều nhà cung cấp dịch vụ VPN. Xung quanh là các site tạo nên các kết nối mạng VPN. Trong hình này thể hiện hai mạng VPN là A và B. Mỗi site của VPN A kết nối với nhà cung cấp dịch vụ VPN thông qua một bộ định tuyến biên khách hàng (CE). Mỗi site có thể có một hay nhiều bộ định tuyến CE ví dụ như site 1 trong VPN B có hai CE là CE1B1 và CE2B1 còn site 3 trong VPN B chỉ có 1 CE đó là CEB3. Hình vẽ còn thể hiện các đích có thể truy nhập đến trong mỗi site Về phía nhà sử dụng dịch vụ, mỗi bộ định tuyến CE được kết nối đến một bộ định tuyến biên nhà cung cấp dịch vụ (PE). Lưu ý cùng một bộ định tuyến PE có thể kết nối các site thuộc nhiều VPN khác nhau, hơn nữa các site này có thể sử dụng cùng địa chỉ IP cho các đích trong các site (địa chỉ IP phải là duy nhất trong một VPN, tuy nhiên nó không nhất thiết phải là duy nhất trong nhiều VPN). Ví dụ như PE2 được kết nối tới các site thuộc VPN A (site 2) và VPN B (site 2). Hơn nữa cả hai site này đều sử dụng cùng một miền địa chỉ là 192.168.2.12 cho các đích bên trong chúng. Một site có thể được kết nối tới một hoặc nhiều bộ định tuyến PE, như site 1 của VPN B được kết nối tới PE1 và PE2. Bộ định tuyến loại thứ 3 được thể hiện trên hình là bộ định tuyến nhà cung cấp dịch vụ (P). Các bộ định tuyến loại này không kết nối các site của người dùng. Việc cung cấp băng thông cũng đơn giản hơn bởi vì người dùng chỉ phải quan tâm đến băng thông đầu vào và ra ở mỗi site mà không cần quan tâm đến toàn bộ lưu lượng từ site này đến site kia như trong mô hình VPN chồng lấn. Khả năng mở rộng trong mô hình VPN ngang hàng dễ dàng hơn vì nhà cung cấp dịch vụ chỉ cần thêm vào một site và thay đổi cấu hình trên bộ định tuyến PE. Trong mô hình VPN chồng lấn, nhà cung cấp dịch vụ phải tham gia vào toàn bộ tập hợp các kênh ảo từ site này đến site khác của site của VPN người dùng. Nhà cung cấp dịch vụ có thể triển khai hai hiệu ứng dụng VPN ngang hàng là chia sẽ bộ định tuyến dành riêng cho mỗi kênh thuê bao. Mô hình VPN ngang cấp đã giải quyết được các hạn chế của VPN chồng lấn: Việc định tuyến đơn giản hơn khi Router người dùng chỉ trao đổi thông tin định tuyến với một hoặc một vài Router PE. Trong khi ở mô hình chồng lấn VPN, số lượng Router láng giềng có thể phát triển với số lượng lớn. Định tuyến giữa các site người dùng luôn luôn được tối ưu vì nhà cung cấp dịch vụ biết Topology mạng người dùng và do đó có thể thiết lập định tuyến tối ưu cho các Route của họ. Nhà cung cấp dịch vụ triển khai hai ứng dụng khác sử dụng VPN ngang cấp: Phương pháp chia sẻ Router: Router dùng chung, tức là người dùng VPN chia sẽ cùng Router biên mạng nhà cung cấp. Ở phương pháp này, nhiều người dùng có thể kết nối đến cùng Router PE. Hình 1.3: Mô hình VPN ngang cấp dùng Router chung Phương pháp chia sẻ bộ định tuyến Trong mạng VPN các người dùng sử dụng và cùng chia sẻ một bộ định tuyến biên mạng nhà cung cấp PE. Ở phương pháp này, nhiều người dùng có thể kết nối đến cùng một bộ định tuyến PE. Do đó, trên bộ định tuyến này phải cấu hình một dang sách truy cập mạng (Access List) cho mỗi giao diện PE-CE để đảm bảo chắc chắn sự cách ly giữa các người dùng VPN. Đồng thời ngăn chặn VPN của người dùng này thực hiện các tấn công từ chối dịch vụ DoS (Denial of Serverce) vào VPN của người dùng khác. Nhà cung cấp dịch vụ chia các phần trong không gian địa chỉ của nó cho người dùng và quản lý việc chọn lọc gói tin trên bộ định tuyến PE. Nên việc các nhà cung cấp dịch vụ phải quan tâm và đầu tư vào vấn để bảo mất dữ liệu của mỗi người dùng. Phương pháp sử dụng bộ định tuyến dành riêng Là phương pháp mà mỗi người dùng VPN có bộ định tuyến PE riêng biệt dành riêng. Trong phương pháp này, người dùng VPN chỉ truy cập đến các bộ định tuyến trong bảng định tuyến PE dành riêng mà không ảnh hưởng đến các bộ định tuyến khác trong mạng. Mỗi bộ định tuyến sử dụng một giao thức định tuyến riêng để tạo ra bảng định tuyến cho mỗi VPN. Các bảng định tuyến này được tạo ra riêng biệt khác nhau để có sự phân biệt giữa các VPN. Phương pháp dùng chung bộ định tuyến rất khó duy trì vì nó cần phải có dải truy nhập dài và phức tạp trên mỗi giao diện của bộ định tuyến. Còn trong phương pháp này dùng bộ định tuyến riêng, mặc dù không phức tạp về cấu hình và dễ duy trì, nhưng nhà cung cấp dịch vụ phải đầu tư lớn để có thể hoạt động tốt hệ thống của mình và phục vụ tốt nhu cầu của người dùng. Nhưng hạn chế của mô hình VPN ngang hàng là nhà cung cấp dịch vụ phải đáp ứng được định tuyến người dùng cho đúng và bảo đảm việc hội tụ của mạng người dùng khi có lỗi liên kết. Ngoài ra bộ định tuyến PE của nhà cung cấp dịch vụ phải mang tất cả các tuyến của người dùng. 1.4 Phân loại VPN VPN là một công nghệ mà nhà sản xuất đưa ra nhằm đáp ứng được một số nhu cầu cơ bản sau đây: Cung cấp được nhiều ứng dụng khác nhau trong cùng một dịch vụ khi người dùng yêu cầu. Có thể điều khiển được quyền truy cập của người dùng, các nhà cung cấp dịch vụ cũng như các đối tượng bên ngoài khác. Dựa vào các ứng dụng cũng như nhưng đặc điểm của VPN mà người ta chia thành ba loại VPN cơ bản. VPN truy nhập từ xa VPN cục bộ VPN mở rộng 1.4.1 VPN truy nhập từ xa Những thành phần chính trong mô hình VPN truy nhập từ xa : Máy chủ của hệ thống truy nhập từ xa (RAS) được đặt tại trung tâm có nhiệm vụ xác nhận và chứng nhận các yêu cầu gửi tới. Nó chịu trách nhiệm điều hành toàn bộ hệ thống thông tin và dữ liệu nhận và gửi qua mạng này. Kết nối nhanh chóng thuận tiện đến trung tâm để lấy dữ liệu một cách nhanh chóng nhằm giảm được một phần chi phí khi người dùng ở xa trung tâm máy chủ Hỗ trợ nhân viên kĩ thuật một phần trong việc cấu hình, bảo trì hệ thống và quản lý bộ xử lý trung tâm. Và hỗ trợ truy cập từ xa bởi người dùng. Khi triển khai VPN truy nhập từ xa, những người dùng truy nhập từ xa hoặc các văn phòng đại diện chỉ cần kết nội nội bộ đến nhà cung cấp dịch vụ ISP hoặc ISP’s POP và kết nối đến tài nguyên thông qua mạng Internet. Hệ thống VPN truy nhập từ xa có mô hình dưới đây. Hình 1.4: Cấu hình VPN truy nhập từ xa Một hướng phát triển mới trong VPN truy nhập từ xa là dùng VPN sử dụng sóng vô tuyến, trong đó một người dùng có thể truy nhập về mạng của mình thông qua kết nối không dây. Việc thiết kế kết nối không dây phải cần một bộ thu phát không dây về mạng của mình. Trong cả hai trường hợp có dây và không dây, phần mềm máy khách PC đều cho phép khởi tạo các kết nối bảo mật, còn gọi là đường hầm. Trong việc thiết kế quá trình xác thực ban đầu để đảm bảo yêu cầu thông tin được xuất phát từ một nguồn tin đáng tin cậy. Hình 1.5: Mô hình VPN truy nhập từ xa Một số ưu điểm của VPN truy nhập từ xa so với một số phương pháp truy nhâp truyền thống. VPN truy nhập từ xa không cần hỗ trợ nhân viên mạng bởi vì quá trình kết nối từ xa được các nhà cung cấp dịch vụ thực hiện. Các khoản chi phí cho các kết nối từ xa bởi các kết nối khoảng cách được thay thế bởi các kết nối cục bộ thông qua mạng Internet. Cung cấp các dịch vụ giá rẻ cho người dùng ở xa, tạo sự thuận lợi cho việc phát triển mạng. VPN cung cấp khả năng truy nhập tốt hơn đến các site của các công ty vì chúng hỗ trợ mức thấp nhất chi phí dịch kết nối. Một số nhược điểm của mang VPN truy nhập từ xa: VPN truy nhập từ xa không hỗ trợ các dịch vụ bảo đảm chất lượng dịch vụ điều đó rất bất lợi cho người dùng mỗi khi có nhưng thông tin quan trọng muốn gửi đi, không được đảm bảo an toàn. Nên việc mất cắp dữ liệu và các gói dữ liệu không đến đích là có thể xẩy ra. Khi sử dụng các loại thuật toán mã hoá phức tạp nên tiêu đề giao thức tăng một cách đáng kể. Điều đó bất lợi cho việc giải mã và truyền đi trên mạng. Do phải truyền dữ liệu thông qua Internet, nên khi trao đổi các dữ liệu lớn như các gói dữ liệu truyền thông, video, âm thanh sẽ rất chậm. 1.4.2 VPN cục bộ VPN cục bộ (Intranet VPN) là một dạng cấu hình của VPN điểm tới điểm, được sử dụng để bảo mật các kết nối giữa các điểm khác nhau của một công ty. VPN liên kết trụ sở chính, các văn phòng, chi nhánh trên một cơ sở hạ tầng chung sử dụng các kết nối truy nhập luôn được mã hoá bảo mật. Cách này cho phép tất cả các địa điểm có thể truy nhập an toàn các nguồn dữ liệu được phép trong toàn bộ mạng công ty. Hình 1.6: Kiến trúc VPN cục bộ VPN cục bộ được sử dụng để kết nối đến các chi nhánh văn phòng của tổ chức đến nhóm mạng sử dụng Router biên. Theo mô hình này sẽ rất tốn kém do phải sử dụng 2 Router để thiết lập được mạng, hơn thế nữa việc triển khai, bảo trì và quản lý mạng đường trục sẽ rất tốn kém còn tùy thuộc vào lượng lưu thông trên mạng đi trên nó và phạm vi địa lý của toàn bộ mạng cục bộ. Ðể giải quyết vấn đề trên, mạng WAN backbone được thay thế bởi các kết nối Internet với chi phí thấp, điều này có thể một lượng chi phí đáng kể của việc triển khai mạng cục bộ, xem hình bên dưới:  Hình 1.7: Cấu hình cục bộ trên cơ sở VPN Nhưng ưu điểm của mạng VPN cục bộ Mạng VPN cục bộ có thể được thiết lập thông qua một hay nhiều nhà cung cấp dịch vụ, trong kết nối này đều có tiêu chuẩn kết nối chung. Giảm thiểu đáng kể số lượng hỗ trợ yêu cầu người dùng cá nhân qua toàn cầu, các trạm ở một số Remote site khác nhau. Việc thiết lập mạng ngang hàng mới ở đây rất dễ dàng vì VPN được sử dụng trên cơ sở hạ tầng của mạng cục bộ. Kết nối nhanh hơn và tốt hơn do về bản chất kết nối đến nhà cung cấp dịch vụ, loại bỏ vấn đề về khoảng cách xa và thêm nữa giúp tổ chức giảm thiểu chi phí cho việc thực hiện mạng cục bộ. Tiết kiệm chi phí từ việc sử dụng đường hầm VPN thông qua Internet kết hợp với các công nghệ chuyển mạch tốc độ cao. Nhưng nhược điểm của mạng VPN cục bộ Khi dữ liệu vẫn còn trên đường hầm trong suốt quá trình chia sẽ trên mạng công cộng và những nguy cơ tấn công, như tấn công bằng từ chối dịch vụ vẫn còn là một mối đe doạ an toàn thông tin. Khả năng mất dữ liệu khi truyền trên đường truyền là tương đối lớn. Khi cần truyền dữ liệu lớn, tốc độ cao và việc bảo đảm tính thời gian thực là một vấn lớn trong môi trường truyền Internet. 1.4.3 VPN mở rộng VPN mở rộng (Extranet VPN) được cấu hình như một VPN điểm tới điểm, cung cấp đường hầm bảo mật giữa các người dùng, nhà cung cấp và đối tác thông qua hạ tầng mạng công cộng. Kiểu VPN này sử dụng các kết nối luôn được bảo mật và không bị cô lập với mạng bên ngoài như các trường hợp VPN cục bộ hay truy nhập từ xa. Hình 1.8: Mô hình VPN mở rộng VPN mở rộng cung cấp khả năng điều khiển truy nhập tới những nguồn tài nguyên mạng cần thiết để mở rộng tới những đối tượng người dùng. Có sự khác nhau giữa VPN cục bộ và VPN mở rộng là sự truy nhập mạng được công nhận ở một trong hai đầu cuối của VPN Cho phép truy cập những tài nguyên mạng cần thiết của các đối tác kinh doanh, chẳng hạn như khách hàng, nhà cung cấp, đối tác những người giữ vai trò quan trọng trong tổ chức. Hình 1.9: Một ví dụ về VPN mở rộng truyền thống Mạng mở rộng truyền thống rất tốn kém do có nhiều đoạn mạng riêng biệt trên mạng nội bộ kết hợp lại với nhau để tạo ra một mạng mở rộng. Ðiều này làm cho khó triển khai và quản lý do có nhiều mạng, đồng thời cũng khó khăn cho cá nhân trong công việc bảo trì và quản trị. Thêm nữa là mạng mở rộng sẽ dễ mở rộng do điều này sẽ làm rối toàn bộ mạng cục bộ và có thể ảnh hưởng đến các kết nối bên ngoài mạng. Sẽ có những khó khăn có xẩy ra khi kết nối một mạng nội bộ vào một mạng mở rộng. Triển khai và thiết kế một mạng mở rộng có thể là một điều khó của các nhà thiết kế và quản trị mạng Hình 1.10: Thiết lập VPN mở rộng Một số ưu điểm của VPN mở rộng: Khi triển khai VPN mở rộng thì giá thành sẽ thấp hơn so với triển khai một mô hình khác có cùng chức năng và mục đích với VPN mở rộng Trong công việc bảo dưỡng có thể thực hiện được khi mạng đang hoạt động không gây ảnh hưởng nhiều đến tốc độ cũng như tính bảo mật của nó VPN được xây dựng dựa trên mạng công cộng nên nên nhà cung cấp dịch vụ có thể đa dạng nhiều loại gói cước khác nhau phù hợp với mỗi đối tượng người dùng. Các kết nối Internet được nhà cung cấp dịch vụ Internet bảo trì nên có thể giảm được số lượng nhân viên kĩ thuật, giảm được chi phí vận hành của hệ thống mạng. Bên cạnh nhưng ưu điểm nổi bật trên thì VPN mở rộng còn có một số nhược điểm cần được khắc phục: Sự đe dọa về tính an toàn, như bị tấn công bằng từ chối dịch vụ vẫn có thể xẩy ra trong quá trình hoạt động của mạng. Do dựa trên Internet nên khi dữ liệu lớn khi đua lên đường truyền thì việc trao đổi diễn ra chậm. Chất lượng dịch vụ cũng không đảm bảo được một cách hoàn hảo va tuyệt đối vì nó dựa trên mạng Internet. 1.5 Kết thúc chương Mạng Internet hiện nay là một cở sở hạ tầng tốt cho phép người dùng thay đổi mạng của họ theo ý muốn của mình. Đối với các công ty lớn có thể dễ dàng nhận thấy rằng các kết nối mạng WAN qua kênh thuê riêng là rất tốn kém và được thay thế bởi kết nối VPN. Đối với dịch vụ truy nhập từ xa, thay vì các đường kết nối tốc độ chậm hoặc các dịch vụ thuê kênh riêng đắt tiền, người sử dụng bây giờ có thể được cung cấp các dịch vụ truy nhập tốc độ cao với giá thành rẻ. Những người dùng có tính chất công việc phải di động thường phải di chuyển trong công việc có thể sử dụng kết nối tốc độ cao của Enthernet trong nhưng nơi mình đến để phục vụ công việc của mình một cách có hiệu quả hơn. Việc tiết kiệm chi phí trong công việc là một yếu tố vô cùng quan trọng mang VPN mang lại. Trong nhiều trường hợp này một vài yếu tố cũng cần được xem xét một cách cẩn thận, trong việc bảo mật của thông tin vì VPN sử dụng đường truyền là Internet. VPN được định nghĩa như là mạng kết nối các site người dùng đảm bảo tính bảo mật trên cở sở hạ tầng mạng chung cùng với các chính sách điều khiển truy nhập và bảo mật như một mạng riêng. Với sự linh hoạt trong việc kết nối trong mạng thì kết nối nhiều chi nhánh của công ty cũng như là các đối tác, cung cấp điều khiển quyền truy nhập của người dùng, các nhà cung cấp dịch vụ hoặc các đối tượng bên ngoài khác. Trong chương này đã trình bày về mô hình VPN và sơ lược một số phương pháp cơ bản để thiết lập VPN. Với những lợi ích cũng như một số nhược điểm của VPN trong quá trình triển khai trong thực tế, chương sau sẽ đi sâu hơn vào việc triển khai cũng như nhưng tính năng tiêu biểu của VPN trên một số mô hình mạng cụ thể. Chương 2 Mạng riêng ảo VPN trong MPLS và các giao thức VPN MPLS-VPN như là sự kết hợp các ưu điểm của hai mô hình công nghệ mạng riêng ảo đó là chồng lấn và ngang hàng. Khi thiết lập các mạng riêng ảo trên nền MPLS cho phép đảm bảo định tuyến một cách tối ưu giữa các site người dùng, phân biệt địa chỉ người dùng thông qua nhận dạng tuyến và hỗ trợ xây dựng các mô hình VPN phức tạp trên cơ sở đích định tuyến. Trong chương này những vấn đề cơ bản về mạng riêng ảo trên nền MPLS, nguyên lý hoạt động cũng như khả năng mà MPLS-VPN mang lại. Các đặc điểm chính của loại hình mạng riêng ảo trên nền IPSec và MPLS cũng được so sánh qua đó làm nổi bật những ưu nhược điểm của giải pháp công nghệ MPLS-VPN. Nội dung trong chương này gồm có: Công nghệ chuyển mạch nhãn MPLS Các thành phần của mạng MPLS-VPN Các mô hình MPLS-VPN Hoạt động của MPLS-VPN Bảo mật trong MPLS-VPN Giao thức đường hầm trong VPN 2.1. Công nghệ chuyển mạch nhãn MPLS: 2.1.1. Tổng quan: MPLS (Multi-Protocol Label Switching) kết hợp đặc tính tốc độ và hiệu suất của các mạng chuyển gói với đặc tính linh hoạt các mạng chuyển mạch nhằm cung cấp giải pháp tốt nhất cho việc tích hợp voice, video và dữ liệu. Giống như các mạng chuyển mạch, MPLS thiết lập con đường kết nối cuối đến cuối trước khi truyền tải thông tin, và các con đường này được chọn dựa vào yêu cầu của ứng dụng. Mặt khác, giống như các mạng gói, các ứng dụng và người dùng có thể chia sẻ chung một kết nối. Các ứng dụng MPLS có thể thay đổi rất rộng, từ mạng phân phát dữ liệu đơn giản tới các mạng nâng cao với khả năng đảm bảo phân phát dữ liệu có kèm thông tin dành cho con đường phụ. Một công nghệ mới MPLS đã xuất hiện và hứa hẹn những năng lực hỗ trợ rất lớn của WAN cho các doanh nghiệp. Các doanh nghiệp, tổ chức được đề cập ở đây có thể là bất kỳ một tổ chức nào, tập đoàn kinh tế, cơ quan chính phủ, hay hệ thống giáo dục. Một phương thức tiếp cận đáp ứng được các yêu cầu trên được biết đến hiện nay là công nghệ chuyển mạch nhãn MPLS. Các nhà cung cấp dịch vụ đang triển khai MPLS trên khắp mạng đường trục với sự quan tâm đặc biệt bởi khả năng vượt trội trong cung cấp dịch vụ chất lượng cao qua mạng IP, bởi tính đơn giản, hiệu quả và quan trọng nhất là khả năng triển khai VPN. Công nghệ chuyển mạch nhãn đa giao thức là một trong nhưng công nghệ tiến được một số hãng nổi tiếng chuyên về viễn thông đầu tư, nghiên cứu và đưa ra được nhưng tiêu chuẩn quốc tế. Với những ưu điểm nổi bật của MPLS mà nó đưa lại cho ngành viễn thông. Chuyển mạch nhãn đa giao thức là cơ chế ánh xạ địa chỉ lớp 3 vào nhãn ở lớp 2 và chuyển tiếp gói dữ liệu, thích hợp với cơ chế định tuyến ở tầng mạng. Nguyên tắc cơ bản của MPLS là thay đổi các thiết bị lớp 2 trong mạng như các thiết bị chuyển mạch ATM thành các bộ định tuyến chuyển mạch nhãn LSR. LSR có thể được xem như một sự kết hợp giữa hệ thống chuyển mạch ATM với các bộ định tuyến truyền thống. Trên đường truyền dữ liệu, LSR đầu được gọi là quyền lối vào (Ingress) LSR; LSR cuối cùng được gọi là quyền được ra (Egress) LSR, còn lại các LSR trung gian gọi là các Core LSR. Trong một mạng MPLS mỗi gói dữ liệu sẽ chứa một nhãn dài 20 bits nằm trong tiêu đề MPLS dài 32 bits. Đầu tiên, một nhãn sẽ được gán tại lối vào LSR để sau đó sẽ được chuyển tiếp qua mạng theo thông tin của bảng định tuyến. Khối chức năng điều khiển của mạng sẽ tạo ra và duy trì các bảng định tuyến này và đồng thời cũng có sự trao đổi về thông tin định tuyến với các nút mạng khác. Hình 2.1: Mô hình mạng MPLS Việc chia tách riêng hai khối chức năng độc lập nhau là: chuyển tiếp và điều khiển là một trong các thuộc tính quan trọng của MPLS. Khối chức năng điều khiển sử dụng một giao thức định tuyến truyền thống (OSPF) để tạo ra và duy trì một bảng chuyến tiếp. Khi gói dữ liệu đến một LSR, chức năng chuyển tiếp sẽ sử dụng thông tin ghi trong tiêu đề để tìm kiếm bảng chuyển tiếp phù hợp và LSR đó sẽ gán một nhãn vào gói tin và chuyển nó đi theo tuyến chuyển mạch nhãn LSP (Label-Switched Path). Tất cả các gói có nhãn giống nhau sẽ đi theo cùng tuyến LSP từ điểm đầu đến điểm cuối. Đây là điểm khác với các giao thức định tuyến truyền thống, có thể có nhiều tuyến đường nối giữa hai điểm. Các Core LSR sẽ bỏ qua phần tiêu đề lớp mạng của gói, khối chức năng chuyển tiếp của những LSR này sử dụng số cổng vào và nhãn để thực hiện việc tìm kiếm bảng chuyển tiếp phù hợp rồi sau đó thay thế nhãn mới và chuyển ra ngoài vào tuyến LSP. MPLS được xây dựng dựa trên các công nghệ của hai tầng nên nó không phụ thuộc vào công nghệ của tầng nào, hướng tiếp cận khác cho rằng công nghệ MPLS là công nghệ lớp 2.5, nên MPLS được gọi là đa giao thức. Ngoài ra không yêu cầu một giao thức phân bố nhãn cụ thể nào. MPLS có một số ứng dụng quan trọng như kỹ thuật điều khiển lưu lượng, hỗ trợ QoS và mạng riêng ảo. Công nghệ MPLS là một dạng phiên bản của công nghệ IPOA (IP over ATM) truyền thống, nên MPLS có cả ưu điểm của ATM, tốc độ cao, QoS và điều khiển luồng và của IP độ mềm dẻo và khả năng mở rộng. Giải quyết được nhiều vấn đề của mạng hiện tại và hỗ trợ được nhiều chức năng mới, MPLS được cho là công nghệ mạng trục IP lý tưởng. Hình 2.2: Mô hình lớp MPLS trong OSI 2.1.2. Nguyên tắc hoạt động của MPLS Chế độ hoạt động này xuất hiện khi sử dụng MPLS trong môi trường các thiết bị định tuyến thuần nhất định tuyến các gói tin IP điểm-điểm. Các gói tin gán nhãn được chuyển tiếp trên cơ sơ khung lớp 2. Các hoạt động trong mảng số liệu Quá trình chuyển tiếp một gói tin IP qua mạng MPLS được thực hiện qua một số bước cơ bản sau: LSR biên lối vào nhận gói IP, phân loại gói vào nhóm chuyển tiếp tương đương FEC và gán nhãn cho gói với ngăn xếp nhãn tương ứng FEC đã xác định. Trong trường hợp định tuyến một địa chỉ đích, FEC sẽ tương ứng với mạng con đích và việc phân loại gói sẽ đơn giản là việc so sánh bảng định tuyến lớp 3 truyền thống. Hình 2.3: Chế độ hoạt động khung của MPLS LSR lõi nhận gói tin có nhãn sử dụng bảng chuyển tiếp nhãn để thay đổi nhãn nội vùng trong gói đến với nhãn ngoài vùng tương ứng cùng với vùng FEC. Khi LSR biên lối ra của vùng FEC này nhận được gói có nhãn, nó loại bỏ nhãn và thực hiện việc chuyển tiếp gói IP theo bảng định tuyến lớp 3 truyền thống. Mào đầu nhãn MPLS Vì rất nhiều lý do nên nhãn MPLS phải được chèn trước số liệu đánh nhãn trong chế độ hoạt động khung. Như vậy nhãn MPLS được chèn giữa mào đầu lớp 2 và nội dung thông tin lớp 3 của khung lớp 2 như thể hiện trong hình dưới đây: Hình 2.4: Vị trí của nhãn MPLS trong khung lớp 2 Do nhãn MPLS được chèn vào vị trí như vậy nên Router gửi thông tin phải có phương tiện gì đó thông báo cho Router nhận rằng gói đang được gửi đi không phải là gói IP thuần mà là gói có nhãn. Để đơn giản chức năng này, một số dạng giao thức mới được định nghĩa trên lớp 2 như sau: Trong môi trường LAN, các gói có nhãn các gói có nhãn truyền tải gói lớp 3 unicast hay multicast sử dụng giá trị 8847H và 8848H cho dạnh Ethernet. Trên kênh điểm - điểm sử dụng tạo dạng PPP, sử dụng giao thức điều khiển mạng mới được gọi là MPLSCP (giao thức điều khiển MPLS). Các gói MPLS được đánh dấu bởi giá trị 8281H trong trường giao thức PPP. Các gói MPLS truyền qua chuyển dịch khung DLCI giữa một cặp Router được đánh dấu bởi nhận dạng giao thức lớp mạng SNAP của chuyển dịch khung (NLPID), tiếp theo mào đầu SNAP với giá trị 8847H cho dạng Ethernet. Các gói MPLS truyền giữa một cặp Router qua kênh ảo ATM Forum được bọc với mào đầu SNAP sử dụng giá trị cho dạng Ethernet như trong môi trường LAN. 2.2 Các thành phần của MPLS-VPN 2.2.1 Mô hình hệ thống cung cấp dịch vụ MPLS-VPN MPLS-VPN là một dạng đầy đủ của mô hình ngang cấp. MPLS-VPN Backbone và các site người dùng trao đổi thông tin định tuyến lớp 3 và dữ liệu được chuyển tiếp giữa các site người dùng sử dụng. MPLS-VPN Domain giống như VPN truyền thống, gồm mạng của người dùng và mạng của nhà cung cấp. Mô hình MPLS-VPN giống với mô hình Router PE dành riêng trong các dạng thực thi VPN ngang cấp VPN. Tuy nhiên vì phải triển khai các Router PE khác nhau cho từng người dùng, lưu lượng người dùng được tách riêng trên cùng Router PE nhằm cung cấp khả năng kết nối vào mạng của nhà cung cấp cho nhiều người dùng. VPN là những tập hợp nhiều site chia sẽ cùng thông tin định tuyến chung. Mỗi site có thể thuộc nhiều hoặc hơn một VPN khác nhau, nếu nó nắm giữ các tuyến từ mỗi VPN riêng. Điều này cung cấp khả năng xây dựng các VPN nội bộ, mở rộng cũng như các VPN truy nhập từ xa. Các site của VPN thuộc về một công ty thì VPN đó được gọi là VPN cục bộ, còn nếu các site của VPN thuộc về những công ty khác thì được gọi là VPN mở rộng. Một mô hình hệ thống cung cấp dịch vụ MPLS-VPN được minh hoạ như hình dưới đây. Hình 2.5: Hệ thống cung cấp dịch vụ MPLS-VPN và các thành phần Những thành phần cơ bản trong công nghệ MPLS-VPN bao gồm: Mạng lõi IP-MPLS được quản lý bởi nhà cung cấp dịch vụ. Bộ định tuyến lõi của mạng nhà cung cấp. Bộ định tuyến của mạng cung cấp thông tin định tuyến của người dùng và thực hiện đáp ứng dịch vụ cho người dùng từ phía nhà cung cấp dịch vụ. Bộ định tuyến biên của các hệ thống tự trị độc lập AS, thực hiện vai trò kết nối với các hệ thống tự trị độc lập khác. Những hệ thống tự trị độc lập này có thể có cùng hoặc khác nhau nhà điều hành. Mạng người dùng, là mạng để truy cập tới mạng lõi. Bộ định tuyến người dùng, đóng vai trò là cầu nối giữa mạng người dùng và mạng nhà cung cấp. Những bộ định tuyến này có thể được quản trị bởi người dùng hoặc nhà cung cấp dịch vụ 2.2.2 Mô hình bộ định tuyến biên nhà cung cấp dịch vụ Thành phần quan trọng khi triển khai MPS-VPN là các thiết bị định tuyến biên PE trong MPLS-VPN có cấu trúc giống như kiến trúc VPN ngang hàng dùng chung bộ định tuyến chia sẽ, chỉ có sự khác biệt là toàn bộ mọi thứ được tập trung trong thiết bị vật lý được mô tả dưới đây: Hình 2.6: Mô hình Bộ định tuyến PE và sơ đồ kết nối các site người dùng Theo mô hình trên mỗi người dùng đăng kí một bảng định tuyến độc lập gọi là bảng định tuyến ảo, tương ứng với một bộ định tuyến ảo như trong mô hình VPN ngang hàng. Mỗi bộ định tuyến ảo cho phép nhiều site của người dùng cùng kết nối tới nó. Việc định tuyến qua mạng của nhà cung cấp dịch vụ được thể hiện bởi một tiến trình định tuyến khác, sử dụng bảng định tuyến toàn cục. 2.2.3 Mô hình bảng định tuyến và chuyển tiếp ảo Sự kết hợp giữa bảng định tuyến và bảng chuyển tiếp VPN tạo thành một bảng định tuyến chuyển tiếp ảo VRF (Vitual Routing and Forwarding). Mỗi VPN đều có bảng định tuyến và chuyển tiếp riêng của nó trong bộ định tuyến PE, và mỗi bộ định tuyến PE duy trì một hoặc nhiều bảng VRF. Mỗi site mà có bộ định tuyến PE nối vào đó sẽ liên kết với một trong các bảng này. Địa chỉ đích IP của một gói tin chỉ được kiểm tra trong bảng VRF mà nó thuộc về nếu gói tin này đến trực tiếp từ site tương đương với bảng VRF đó. Mỗi VRF đơn giản chỉ là một tập hợp các tuyến thích hợp cho mỗi site nào đó. Kết nối đến bộ định tuyến PE. Các tuyến này có thể thuộc về một hoặc nhiều VPN. Nếu một site thuộc về nhiều VPN, bảng chuyển tiếp tương ứng với site đó có thể có nhiều tuyến liên quan đến VPN mà nó phụ thuộc. PE chỉ duy trì một bảng VPF cho một site. Các site khác nhau có thể chia sẻ cùng một bảng VPF nếu sử dụng tập hợp các tuyến một cách chính xác như trong bảng VRF đó. Nếu tất cả các site có thông tin định tuyến giống nhau thường ở cùng một VPN, thì chúng sẽ được phép liên lạc trực tiếp với nhau, và nếu kết nối đến cùng một bộ định tuyến PE thì chúng sẽ đặt vào cùng một bảng VRF chung. Bộ định tuyến PE nhận được gói tin từ một site nối trực tiếp với nó, nhưng địa chỉ đích của gói tin không có trong tất cả các thực thể của bảng chuyển tiếp tương ứng với site đó. Nếu nhà cung cấp dịch vụ không cung cấp khả năng truy nhập Internet cho site đó thì gói tin sẽ bị loại bỏ vì không thể phân phối được đến đích. Nhưng nếu nhà cung cấp dịch vụ có hỗ trợ truy nhập Internet cho site đó thì lúc này địa chỉ đích của gói tin sẽ được tìm kiếm trong bảng định tuyến toàn cục. Do đó bất kì bộ định tuyến PE nào trong mạng MPLS-VPN cũng đều có nhiều bảng định tuyến trên mỗi VRF và một bảng định tuyến toàn cục. Bảng định tuyến này được sử dụng để tìm các bộ định tuyến khác trong mạng nhà cung cấp dịch vụ cũng như các đích thuộc về mạng bên ngoài như Internet. Nói tóm lại VRF được sử dụng cho một site VPN hoặc cho nhiều site kết nối đến cùng một bộ định tuyến PE miễn sao là nhưng site này chia sẽ chính xác các yêu cầu kết nối giống nhau. Do đó cấu trúc của bảng định tuyến của bảng VRF bao gồm : Bảng định tuyến IP Bảng chuyển tiếp Tập hợp các quy tắc và các tham số giao thức định tuyến Danh sách các giao diện sử dụng trong VRF 2.3 Các mô hình MPLS-VPN 2.3.1 Mô hình mạng riêng ảo tầng 2 (L2VPN) Mô hình mạng riêng ảo lớp 2 được phát triển và hoàn thiện và đang được chuẩn hoá và đang được dần hoàn thiện. L2VPN hướng tới việc triển khai các đường hầm qua mạng MPLS để thực hiện các kiểu lưu lượng khác nhau. Trong chuẩn xây dựng L2VPN có hai dạng cơ bản là: Điểm tới điểm: là công nghệ thiết lập đường dẫn chuyển mạch ảo qua mạng công cộng trên nền tảng công nghệ MPLS. Điểm tới đa điểm: Được triển khai và cấu hình mắt lưới và phân cấp. Mô hình L2VPN đa điểm dự trên nguyên tắc mạng LAN ảo và công nghệ truy nhập Ethernet đã được triển khai rộng rãi. Giải pháp này cho phép chúng liên kết các mạng Ethernet qua cơ sở hạ tầng MPLS trên cở sở nhận dạng lớp 2, vì vậy nên có thể giảm được độ phức tạp của bảng định tuyến ở lớp 3. Trong mô hình này các bộ định tuyến biên người dùng và bộ định tuyến biên nhà cung cấp dịch vụ không nhất thiết phải coi là ngang hàng. Thay vào đó chỉ cần kết nối lớp 2 giữa các bộ định tuyến này. Bộ định tuyến biên nhà cung cấp dịch vụ chuyển mạch các luồng lưu lượng vào trong các đường hầm đã được cấu hình trước tới các bộ định tuyến biên nhà cung cấp dịch vụ khác. Hình 2.7: Mô hình mạng MPLS L2VPN Mạng riêng ảo tầng 2 có khả năng tìm kiếm qua mặt dữ liệu bằng địa chỉ học được từ bộ định lân cận. L2VPN sử dụng ngăn xếp nhãn tương tự như trong các giao thức khác. Nhãn trong MPLS bên ngoài được sử dụng để xác định đường dẫn cho lưu lượng qua miền MPLS, còn nhãn kênh ảo nhận dạng các mạng LAN ảo, VPN hoặc kết nối tại các điểm cuối. Trong trường hợp nhãn tuỳ chọn sử dụng để điều khiển đóng các kết nối lớp 2 được đặt trong cùng ngăn xếp sát với trường dữ liệu. L2VPN có ưu điểm quan trọng là cho phép các giao thức lớp cao được truyền trong suốt với MPLS. Nó có thể hoạt động trên hầu hết các công nghệ lớp 2 như ATM, Ethernet và mở rộng ra các khả năng thích hợp các mạng phi kết nối IP với các mạng định hướng kết nối. Ngoài ra trong giải pháp này người ta sử dụng được đầu cuối không cần phải cấu hình định tuyến cho các bộ định tuyến biên người dùng. Một cấu hình đầy đủ cho các LSP phải được sử dụng để kết nối các VPN trong mạng. Mạng riêng ảo lớp 2 không có khả năng tự động định tuyến giữa các site. Nên tuỳ thuộc vào cấu hình mạng MPLS và nhu cầu thực tế mà có thể lựa chọn một trong nhưng mô hình trên để thực hiện. 2.3.2 Mô hình mạng riêng ảo lớp ba (L3VPN) Cấu tạo của mô hình mạng riêng ảo lớp ba (L3VPN) được chia thành hai lớp, tương ứng với các lớp 3 và lớp 2 của mô hình OSI. L3VPN dựa trên RFC 2547bit, mở rộng một số đặc tính cần thiết của giao thức cổng biên BGP và tập trung vào hướng đa giao thức của BGP nhằm chia sẽ thông tin định tuyến qua mạng lõi của nhà cung cấp dịch vụ cũng như là chuyển tiếp các lưu lượng VPN qua lõi. Trong mô hình L3VPN, các bộ định tuyến người dùng và của nhà cung cấp dịch vụ được coi là ngang hàng. Bộ định tuyến biên người dùng gửi thông tin định tuyến tới bộ định tuyến và chuyển tiếp ảo VRF. Người dùng VPN chỉ được phép truy nhập tới các site hoặc máy chủ trong cùng một mạng riêng này. Bộ định tuyến biên nhà cung cấp dịch vụ còn hỗ trợ các bảng định tuyến thông thường nhằm chuyển lưu lượng thông tin của người dùng qua mạng công cộng. Dưới đây là kiến trúc của mô hình mạng riêng ảo lớp 3 trên nền tảng MPLS. Hình 2.8: Mô hình mạng riêng ảo tầng 3 (L3VPN) Các gói tin IP qua miền MPLS được gắn hai loại nhãn đó là nhãn MPLS chỉ đường dẫn chuyển mạch nhãn LSP và nhãn chỉ thị định tuyến chuyển mạch ảo VRF. Ngăn xếp nhãn được tạo lập để xử lý LSP để chuyển các gói tin qua MPLS. Nhãn VRF chỉ được xử lý tại thiết bị định tuyến biên nhà cung cấp dịch vụ PE nối với bộ định tuyến người dùng. Kiến trúc mạng riêng ảo lớp 3 có những ưu điểm là vùng địa chỉ người dùng được quản lý bởi các nhà khai thác, do đó nó cho phép đơn giản hoá việc triển khai kết nối với nhà cung cấp dịch vụ. L3VPN còn cung cấp khả năng định tuyến động phân phối các thông tin định tuyến tới các bộ định tuyến VPN. Tuy nhiên L3VPN chỉ hỗ trợ các lưu lượng IP hoặc lưu lượng đóng gói vào gói tin IP. Việc tồn tại hai bảng định tuyến tại các thiết bị biên mạng cũng là một vấn đề phức tạp trong việc khả năng mở rộng hệ thống thiết bị. 2.4 Hoạt động của MPLS-VPN 2.4.1 Truyền tải gói tin định tuyến Các bộ định tuyến PE cần phải trao đổi thông tin trong các bảng định tuyến ảo để đảm bảo việc định tuyến dữ liệu giữa các site người dùng kết nối với những bộ định tuyến này. Giao thức định tuyến để truyền thông tin của tất cả các tuyến người dùng dọc theo mạng nhà cung cấp dịch vụ mà vẫn duy trì được không gian địa chỉ độc lập giữa các người dùng với nhau. Một biện pháp được đưa ra dự trên cơ sở sử dụng giao thức định tuyến riêng cho mỗi người dùng. Các bộ định tuyến PE có thể kết nối thông qua các đường hầm điểm tới điểm, hoặc là bộ định tuyến P của nhà cung cấp dịch vụ có thể tham gia vào quá trình định tuyến của người dùng. Những khó khăn này liên quan đến việc các bộ định tuyến PE phải xử lý một số lượng giao thực định tuyến, còn bộ định tuyến P thì phải lưu thông tin của tất cả các tuyến người dùng. Giải pháp khác dựa trên việc triển khai một giao thức định tuyến để trao đổi thông tin của tất cả các tuyến người dùng dọc theo mạng nhà cung cấp dịch vụ. Giải pháp này nhiều ưu điểm hơn nhưng bộ định tuyến P vẫn tham gia vào bộ định tuyến người dùng, do đó vẫn không giải quyết được vấn đề mở rộng. Giải pháp tối ưu hơn là việc truyền gói tin định tuyến người dùng sẽ do một giao thức riêng định tuyến giữa các bộ định tuyến PE thực hiện, còn các bộ định tuyến P không tham gia vào quá trình định tuyến này. Giải pháp này mang lại hiệu quả cao vì nó có khả năng mở rộng do số lượng giao thức định tuyến giữa các bộ định tuyến PE không tăng khi tăng số lượng người dùng, đồng thời bộ định tuyến P cũng không mang thông tin về các tuyến người dùng khi số lượng người dùng quá lớn, giao thức định tuyến được lựa chọn để sử dụng là BGP vì giao thức này có thể hổ trợ số lượng lớn các định tuyến. BGP được thiết lập để trao đổi thông tin định tuyến giữa các bộ định tuyến không kết nối trực tiếp, và đặc điểm này hỗ trợ việc lưu giữ thông tin định tuyến tại các thiết bị biên mà không cần phải trao đổi với các bộ định tuyến lõi của mạng nhà cung cấp dich vụ. 2.4.2 Địa chỉ VPN-IP trong mạng riêng ảo Khi sử dụng giao thức BGP để định tuyến để chuyển tải gói tin người dùng qua Router biên nhà cung cấp dịch vụ phải truyền nhiều thông tin xác định khác nhau qua nó. Giao thức định tuyến BGP đã sử dụng và đua vào địa chỉ IP để xác định đích đến của gói tin, mỗi người dùng phải có một không gian địa chỉ riêng để BGP có thể định tuyến đúng hướng cho gói tin. Để có tài nguyên địa chỉ rộng lớn tránh khỏi sự trùng lắp địa chỉ thì việc mở rộng tiền tố địa chỉ IP là một việc làm bắt buộc khi mô hình mạng được mở rộng. Vấn đề được khắc phục khi mở rộng mô hình mạng khi người dùng tăng lên là mỗi bộ định tuyến sẽ được BGP sử dụng duy nhất trong bảng định tuyến ảo VRF. Việc mở rộng tiền tố địa chỉ đã đua ra một khái niệm địa chỉ VPN-IP, địa chỉ này chính là sự nối ghép địa chỉ IP của gói tin có độ dài là 32 bits và trường phân biệt tuyến (RD) có độ dài 64 bits. Trong trường hợp các gói tin có địa chỉ IP trùng nhau thì trường phân biệt tuyến sẽ được có nhiệm vụ phân biệt các gói tin. Trường phân biệt địa chỉ này được tạo ra là duy nhất cho mỗi nhà cung cấp dịch vụ để không có sự trùng lặp dẫn tới xung đột gói tin khi địa chỉ gói tin trùng nhau. Trong trường phân biệt tuyến có các trường con bao gồm.Trường hệ số tự trị ASN (Autonomous System number) chứa giá trị số đặc trung cho hệ thống nhà cung cấp dịch vụ VPN. Trường số gán (Assigned Number) do mỗi nhà cung cấp dịch vụ VPN quản lý. Nhà quản lý dịch vụ tự đặt ra giá trị cho trường số gán mạng VPN. Không thể xẩy ra việc hai nhà cung cấp dịch vụ trùng nhau về việc đặt giá trị trường số nhãn, vì thế hệ số tự trị cũng khác nhau, dẫn đến việc địa chỉ VPN cũng khác nhau hoàn toàn trên tất cả các mạng. Khi sử dụng giao thức BGP trong việc quản lý VPN-IP không khác quản lý địa chỉ IP. Giao thức BGP không thật sự hiểu được địa chỉ VPN-IP nên BGP chỉ nắm rõ phần mào đầu của hai địa chỉ VPN-IP chứ không quan tâm đến cấu trúc bên trong của địa chỉ, nên nó không cần thêm các giao thức phụ mà sử dụng những đặc tính của chúng sẵn có. Một số đặc tính mà giao thức BGP được hỗ trợ sẵn đó là: đặc tính cộng đồng sử dụng tuyến dự phòng. Các đặc tính này được áp dụng trong VPN-IP cũng giống như áp dụng trong địa chỉ IP. VPN-IP được được sử dụng giới hạn trong nhà cung cấp dịch vụ VPN và người dùng VPN. Địa chỉ VPN-IP được gán ở bộ định tuyến biên PE, Mỗi kết nối VPN bộ định tuyến PE được cấu hình ứng với mỗi giá trị của trường phân biệt định tuyến. Mỗi khi bộ định tuyến biên người dùng CE gửi một gói tin trực tiếp cho PE thì PE có nhiệm vụ xác định gói tin đó thuộc về VPN nào trước khi chuyển thông tin gói tin đó cho BGP của nhà cung cấp dịch vụ, và chuyển địa chỉ IP gói tin thành địa chỉ VPN-IP bằng cách sử dụng trường phân biệt tuyến có sẵn trong VPN đó. Và nó cũng làm ngược lại đó là chuyển địa chỉ VPN-IP thành IP Khi áp dụng địa chỉ VPN-IP thì phải hai yếu tố quan trọng đó là trường phân biệt tuyến và đặc tính cộng đồng của giao thức BGP. Mỗi cái đảm nhiệm một nhiệm vụ riêng trong khi áp dụng, một trong những vấn đề đặt ra khi giải quyết vấn đề trong khi chuyển gói tin trong VPN đó là giải quyết được việc không duy nhất của địa chỉ IP trong mạng toàn cầu. Vấn đề này thì trường phân biết tuyến đã giải quyết được làm cho đia chỉ IP trở thành duy nhất, nhưng trường phân biệt địa chỉ không sử dụng được vào cho định tuyến lọc. Và vấn đề quan trọng đó là làm thế nào để kết nối đúng các điều kiện ràng buộc trong giao thức. Cái này được giải quyết dựa trên quá trình lọc các đặc tính cộng đồng của BGP. Nhưng các đặc tính cộng đồng của giao thức BGP không làm được cho địa chỉ IP là duy nhất. Một trường phân biết tuyến không được sử dụng chung cho nhiều VPN khác nhau, nhưng một VPN có thể sử dụng nhiều trường phân biệt tuyến. Đối với đặc tính cộng đồng của giao thức BGP cũng vây, một đặc tính cộng đồng BGP chỉ có thể sử dụng được trong một VPN, còn một VPN có thể sử dụng nhiều đặc tính cộng đồng của BGP. Nên trường phân biệt định tuyến cũng như đặc tính cộng đồng không thể xác định được một VPN. Nguyên tắc hoạt động của gói tin IP trong mạng VPN là khi một CE chuyển một gói tin có địa chỉ IP có độ dài là 32 bits đến một PE, PE có nhiệm vụ thêm trường phân biệt định tuyến có độ dài 64 bits vào tạo ra một địa chỉ VPN-IP có độ dài 96 bits duy nhất và truyền đi theo giao thức mở rộng MP-IBGP đến PE khác. PE này có nhiệm vụ lọc bỏ trường phân biệt định tuyến lấy địa chỉ IP của gói tin và chuyển đến cho CE đích để CE cập nhật địa chỉ trong bảng định tuyến của nó. 2.4.3 Hoạt động gói tin MPLS - VPN qua các PE và CE Trong mạng IP thông thường, các quyết định chuyển tiếp cho gói tin được thực hiện bằng cách tìm kiếm địa chỉ trong bảng thông tin địa chỉ IP để xác định bước truyền tiếp theo và giao diện lối ra. Tuy nhiên, trong mạng MPLS thì mỗi LSR duy trì một cơ sở thông tin chuyển mạch nhãn (LFIB). Bảng LFIB bao gồm nhiều lối vào cho nhiều loại như lối vào chuyển tiếp nhãn đến bước tiếp theo (NHLFE), lối vào ánh xạ nhãn vào (ILM), lối vào ánh xạ FEC-to-NHLFE (FTN). NHLFE được sử dụng khi chuyển tiếp gói tin có gắn nhãn. Lối vào NHLFE bao gồm nhiều trường như địa chỉ của bước truyền tiếp theo, các hoạt động ngăn xếp nhãn, giao diện lối ra, thông tin mào đầu lớp hai. Lối vào ILM sẽ liên kết một nhãn vào cho một hoặc nhiều lối vào NHLFE. ILM được sử dụng khi chuyển tiếp gói tin có gắn nhãn. Nhãn của gói tin đi vào chọn một lối vào ILM cụ thể nào đó mà nó định nghĩa NHLFE. FTN ánh xạ mỗi FEC đến một hay nhiều NHLFE. Có nghĩa là, thông qua các lối vào FTN, gói tin không có nhãn sẽ được gán nhãn vào. Hoạt động chuyển tiếp nhãn của MPLS có thể được diễn tả bằng các hoạt động sau: Chèn nhãn: được bộ định tuyến lối vào thực hiện, nó sẽ chuyển đổi từ gói tin không nhãn thành gói tin có gắn nhãn bằng cách chèn nhãn vào phía trước mào đầu của gói tin. Để thực hiện được điều này, LSR lối vào đầu tiên phải ánh xạ gói tin đến FEC cụ thể nào đó bằng cách dò tìm địa chỉ trên bảng IP FIB, sau đó so sáng bảng LFIB để xác định nhãn lối ra, giao diện lối ra, và loại hình thức đóng gói lớp 2 cho gói tin. Chuyển đổi nhãn: Các bộ định tuyến này sử dụng nhãn trên đỉnh của ngăn xếp nhãn trong gói tin để tìm ánh xạ nhãn vào (ILM) lối vào trong LFIB. ILM lối vào sẽ nhận diện NHLFE tương ứng, vì NHLFE cung cấp tất cả thông tin cần thiết cho việc truyền gói tin. LSR trung gian sử dụng thông tin trong NHLFE để tìm giao diện lối ra cho nhãn lối ra cho gói tin này. Sau đó nó chuyển đổi nhãn lối vào thành nhãn lối ra thích hợp và gửi gói tin ra ngoài giao diện đến bước truyền tiếp theo. Rút nhãn: LSR sử dụng nhãn ở đỉnh trong ngăn xếp nhãn trong gói tin để xác định ILM lối vào và NHLFE tương ứng trong LFIB. Hoạt động ngăn xếp nhãn cho biết gói tin này cần được truyền đi là gói tin không có gán nhãn. LSR sẽ rút nhãn ra và chuyển đi gói tin không nhãn đến bước truyền tiếp theo. Do đó ta thấy LSR lối ra trong mạng MPLS có thể phải thực hiện hai quá trình kiểm tra trên gói tin mà nó nhận được từ LSR quá giang cận kề với nó. Thứ nhất, nó phải kiểm tra nhãn trong mào đầu để quyết định xem hoạt động cần thiết đối với gói tin này, trong trường hợp này là rút nhãn ra khỏi gói tin. Thứ hai, nó phải thực hiện kiểm tra lớp 3 trên gói tin IP trước khi chuyển tiếp gói tin đến đích. Việc thực hiện cả hai lần kiểm tra có thể làm giảm hoạt động của node đó. Egress LSR có thể yêu cầu hoạt động rút nhãn từ láng giềng dòng ngược của nó thông qua các giao thức phân phối nhãn như LDP bằng cách sử dụng các giá trị nhãn đặc biệt gọi là nhãn có giá trị implicit-null. Với các tuyến người dùng được truyền dọc theo mạng đường trục MPLS-VPN lưu lượng giữa các bộ định tuyến CE và PE mặc định là lưu lượng của các gói tin IP. Bộ định tuyến người dùng CE hỗ trợ các giao thức định tuyến IP chuẩn và không tham gia vào MPLS-VPN. Trong trường hợp này để chuyển tiếp gói tin dọc theo mạng đường trục MPLS-VPN, bộ định tuyến PE chỉ phải chuyển tiếp gói tin IP nhận được từ bộ định tuyến người dùng đến các bộ định tuyến PE khác. Với giải pháp này rất khó thực hiện bởi vì bộ định tuyến P không rõ về các tuyến của người dùng và vì chỉ thế một số yêu cầu chất lượng dịch vụ sẽ khó có khả năng đáp ứng. Trường hợp này tốt hơn là khi sử dụng đường dẫn chuyển mạch nhãn LSP giữa các bộ định tuyến PE để chuyển tiếp các gói tin IP theo giá trị nhãn gắn vào chúng. Hình 2.9: Sử dụng nhãn để chuyển tiếp gói tin VPN Trong phương pháp này, gói tin của người dùng được gắn một nhãn đăng kí cho bộ định tuyến PE đầu ra. Các bộ định tuyến lõi không cần biết địa chỉ IP của người dùng, và chỉ có gói tin nào được gắn nhãn sẽ được chuyển đến bộ định tuyến PE đầu ra. Các bộ định tuyến lõi chỉ thực hiện các hoạt động chuyển tiếp và phân phối gói tin người dùng đến bộ định tuyến PE đầu ra. Tuy nhiên tại các bộ định tuyến PE đầu ra, các gói tin IP của người dùng không có thông tin nào về VPN hay VRF để bộ định tuyến có thể thực hiện kiểm tra VRF, nên gói tin IP có thể bị mất đi. Một phương pháp tối ưu hơn có thể được lựa chọn để chuyển tiếp các gói tin là sử dụng ngăn xếp nhãn. Hình 2.10: Mô hình sử dụng ngăn xếp nhãn để chuyển tiếp gói tin VPN Ngăn xếp nhãn MPLS được sử dụng để chỉ thị cho bộ định tuyến PE đầu ra biết phải làm gì với gói tin VPN. Ngăn xếp nhãn bao gồm hai nhãn xếp chồng lên nhau gọi là nhãn bên trong (Inner Label) và nhãn bên ngoài (Outer Label). Khi gói tin IP đi vào bộ định tuyến PE đầu vào gán hai nhãn này vào gói tin IP. Nhãn trên cùng nằm trong ngăn xếp là của đường dẫn chuyển mạch nhãn. Đảm bảo cho gói tin được truyền qua mạng MPLS-VPN đường trục đến bộ định tuyến PE đầu ra. MPLS sử dụng nhãn ngoài để chuyển tiếp gói tin từ bộ định tuyến PE đầu vào qua mạng lõi. Ở mỗi bộ định tuyến P được sử dụng để chuyển tiếp gói tin, đó chính là chỉ số trong bảng chuyển tiếp của bộ định tuyến. Các bộ định tuyến P chuyển tiếp gói tin dọc theo LSP theo phương pháp hoán đổi nhãn và không bao giờ kiểm tra nhãn bên trong hoặc địa chỉ IP của gói tin. Khi gói tin đến PE đầu ra, bộ định tuyến này thực hiện việc tác bỏ nhãn ngoài rồi xử lý thông tin nhãn bên trong. Nhãn trong là nhãn được bộ định tuyến PE đăng kí cho mỗi VRF và PE sẽ sử dụng nó để quyết định VRF nào mà gói tin thuộc về nó. Nhãn trong quyết định CE nào gói tin sẽ được gửi đến. Bộ định tuyến PE đầu ra thực hiện tìm kiếm trong bảng chuyển tiếp VRF sử dụng địa chỉ IP đích của gói tin. Sau đó nó chuyển tiếp gói tin IP không nhãn đến site người dùng thích hợp. Ngay cả nhãn bên trong được liên lạc giữa các PE trong các bản tin cập nhật mở rộng MP-IBGP. Nhãn thứ hai trong ngăn xếp nhãn còn được sử dụng để chỉ trực tiếp để giao diện đầu ra tới người dùng. Trong trường hợp này bộ định tuyến PE đầu ra chỉ thực hiện kiểm tra nhãn trên gói tin VPN. Trường hợp thường được sử dùng khi bộ định tuyến CE là bước kế tiếp của tuyến VPN và nhãn này có thể chỉ đến một VRF đơn nhất. Bộ định tuyến PE đầu ra thức hiện kiểm tra nhãn trước để tìm được VRF đích, sau đó mới thực hiện kiểm tra địa chỉ IP trong VRF. 2.4.4 Hoạt động gói tin VPN dọc mạng backbone MPLS Với các Router người dùng được truyền dọc mạng Backbone MPLS-VPN, tất cả các Router đều tham gia vào chuyển tiếp dữ liệu người dùng. Lưu lượng người dùng giữa các Router CE và Router PE luôn luôn được gửi đi là gói tin IP, đáp ứng được yêu cầu là Router CE chạy các giao thức định tuyến IP chuẩn và không tham gia vào MPLS-VPN. Trong phương pháp này, để chuyển tiếp gói tin dọc mạng Backbone MPLS-VPN, Router PE chỉ phải chuyển gói tin IP nhận được từ Router người dùng đến các Router PE khác. Đây là giải pháp không thể thực hiện được bởi vì Router P không có biết gì về các Router của người dùng, và do đó không thể chuyển tiếp gói tin IP của người dùng. Phương pháp được xác định tốt hơn là sử dụng đường hầm chuyển mạch nhãn MPLS, dùng LSP giữa các Router PE. Trong phương pháp này, gói tin IP của ngươi dùng được gán vào một nhãn được đăng kí cho Egress Router PE. Các Router lõi không bao giờ thấy gói tin IP của người dùng, chỉ có gói tin nào được gán nhãn sẽ được chuyển đến Egress Router PE. Các Router lõi chỉ thực hiện các hoạt động chuyển mạch đơn giản, cuối cùng phân phối gói tin người dùng đến Egress Router PE. Nhưng tại đây, gói tin IP của người dùng không có thông tin nào về VPN hoặc là VRF để thực hiện kiểm tra VRF trên Egress Router PE. Egress PE không biết VRF nào sử dụng cho hoạt động kiểm tra IP và do đó nó sẽ đánh rơi gói tin. Chồng nhãn MPLS có thể được sử dụng để chỉ thị cho Egress Router PE biết phải làm gì với gói tin VPN. Chồng nhãn bao gồm hai nhãn xếp chồng lên nhau gọi là nhãn bên trong và nhãn bên ngoài. Khi sử dụng chồng nhãn, Ingress Router PE gán nhãn vào gói tin IP với hai nhãn đó. Nhãn trên cùng của chồng nhãn là nhãn bên ngoài, đây là nhãn cho Egress Router PE, nhãn này sẽ đảm bảo gói tin được truyền qua mạng MPLS-VPN Backbone và đến ở Egress Router PE. MPLS sử dụng nhãn bên ngoài để chuyển tiếp gói tin từ Ingress PE thông qua mạng lõi MPLS. Ở mỗi Router P, MPLS loại bỏ nhãn bên ngoài từ gói tin. Nhãn này chính là index trong bảng chuyển tiếp của Router P. Từ đó nó quyết định next-hop dọc LSP và nhãn khác. Ở Router PE Egress, MPLS lấy nhãn bên ngoài ra, sau đó mới đến nhãn bên trong. Nhãn bên trong quyết định CE nào gói tin sẽ gửi đến. Router P không bao giờ kiểm tra nhãn bên trong hoặc địa chỉ đích IP của gói tin. Nhãn thứ hai trong chồng nhãn, nhãn bên trong, là nhãn được Router PE đăng kí cho mỗi VRF. Khi một gói tin MPLS đến ở Egress PE, Egress Router đó sử dụng nhãn phía trong để quyết định VRF nào mà gói tin thuộc về Router CE nào. Mặc định, Egress PE thực hiện tìm kiếm IP trong bảng chuyển tiếp của VRF sử dụng địa chỉ IP đích trong gói tin IP được đóng gói trong gói MPLS. Egress PE sau đó chuyển tiếp gói IP đến site người dùng thích hợp. Bản thân các nhãn bên trong được liên lạc giữa các PE trong các bản tin cập nhật mở rộng MP-IBGP. Nhãn thứ hai trong chồng nhãn có thể chỉ trực tiếp đến Interface ngõ ra, trong trường hợp này Egress Router PE chỉ thực hiện kiểm tra nhãn trên gói tin VPN. Tình huống này thường được dùng khi Router CE là nút tiếp theo của VPN Route. Và nhãn này có thể chỉ đến một VRF, Egress Router PE thực hiện kiểm tra nhãn trước để tìm được VRF đích, sau đó mới thực hiện kiểm tra IP trong VRF. Router P thực hiện chuyển mạch nhãn dựa trên nhãn LDP được đăng kí chuyển đến Egress Router PE. Egress Router PE thực hiện chuyển mạch nhãn trên nhãn bên trong chồng nhãn và sau đó, hoặc là chuyển tiếp gói tin IP đến Router CE hoặc là thực hiện kiểm tra IP trong VRF do nhãn bên trong chỉ ra. Router P cuối cùng thực hiện lấy nhãn ở đỉnh ra khỏi chồng nhãn trên Router đứng trước Egress Router PE. Router đó là Router P cuối cùng trong đường dẫn chuyển mạch nhãn, Router này sẽ lấy nhãn phía ngoài trong chồng nhãn ra, Router PE nhận được gói tin chỉ còn một nhãn là nhãn Inner (nhãn VPN). Trong hầu hết các trường hợp, một lần kiểm tra nhãn được thực hiện trên gói tin đó ở Egress Router PE cũng đủ thông tin để chuyển gói tin đến Router CE, kết quả làm cho quá trình kiểm tra trở nên nhanh hơn và đơn giản hơn. Còn việc kiểm tra IP đầy đủ thông qua FIB được thực hiện chỉ một lần ở Ingress Router PE. Gói tin IP được nhận trên Interface của Router PE. Interface này được cấu hình với VPN/ID. BGP ánh xạ nhãn đến các Route VPN. Sau đó giao thức phân phối giao thức phân phối nhãn LSP sẽ ánh xạ đến các Router IGP 2.4.5 Truyền nhãn trên mạng riêng ảo VPN Nhãn Inner được đăng kí bởi Egress Router PE. Nhãn này được truyền đi giữa các Router PE để có thể chuyển tiếp gói tin thông qua các phiên làm việc của MP-IBGP. Do đó mỗi lần cập nhật MP-IBGP mang nhãn được đăng kí bởi Egress Router PE cùng với địa chỉ IP với đia chỉ VPN có độ dài 96 bits (prefix VPNv4). Egress Router PE đăng kí một nhãn đến mỗi VPN Route nhận được từ các Router CE kết nối vào nó và đăng kí nhãn đến chức năng tóm tắt thông tin định tuyến được trong Router PE. Nhãn này sau đó được Ingress Router PE sử dụng như là nhãn bên trong trong chồng nhãn MPLS khi nó gãn nhãn cho các gói tin VPN. Các nhãn VPN được đăng kí bởi Egress Router PE được quảng bá đến tất cả Router PE khác cùng với prefix VPNv4 trong các cập nhật MP-IBGP. Các Route có một nhãn ngõ vào mà không có nhãn ngõ ra là các Route được nhận từ Router CE. Các Route mà có nhãn ngõ ra nhưng không có nhãn ngõ vào là các Route được nhận từ Router PE khác. Ingress Router PE có hai nhãn liên quan với Route VPN đầu xa một nhãn dành cho BGP next-hop được đăng kí bởi Router P kế tiếp thông qua LDP và nhãn được đăng kí bởi Router PE đầu xa và được truyền đi thông qua các cập nhật MP-IBGP. Cả hai nhãn được kết hợp trong chồng nhãn và được đưa vào bảng VRF. Do đó nhãn bên ngoài còn được gọi là nhãn ngõ vào. 2.4.6 Các phương pháp để Router PE giao tiếp với nhau thông qua Router CE Để cung cấp dịch vụ VPN, Router PE cần được cấu hình để bất kì thông tin định tuyến nào được học từ Interface người dùng VPN có thể được liên kết với một VRF nào đó. Điều này có thể được thực hiện thông qua tiến trình giao thức định tuyến chuẩn, tiến trình này được gọi là Routing context. Mỗi VRF sử dụng một Routing context riêng. Bất kì Route nào được học dọc Interface liên kết với một Routing context nào đó sẽ được nhập vào bảng VRF tương ứng. Nhưng với những Route không phải thuộc về Routing context VRF nào sẽ được đặt vào bảng định tuyến global. Điều này cho phép sự cách ly thông tin định tuyến thành những context khác nhau ngay cả nếu thông tin đó được học bởi cùng một tiến trình giao thức định tuyến. Tạo ra các giao thức định tuyến thích hợp cho từng VPN một cách hiệu quả. Trong trường hợp thiết bị CE là host hoặc là switch, địa chỉ này thường được cấu hình trên Router PE mà thiết bị đó kết nối vào. Nhưng trong trường hợp thiết bị CE là Router, thì có nhiều cách để Router PE có thể học được các địa chỉ từ Router CE. Router PE chuyển những địa chỉ này thành địa chỉ VPNv4 bằng cách sử dụng phân biệt tuyến (RD). Các Route VPNv4 phải được quảng bá dọc phiên MP-BGP đến Router PE khác. Điều này xảy ra khi Routing context phải được cấu hình trong tiến trình BGP để thông báo cho BGP biết Route VRF nào quảng bá. Kết nối trên CE và PE có thể thực hiện thông qua định tuyến tĩnh hoặc định tuyến động (OSPF, EBGP, RIPv2, EIGRP) để Router PE có thể học được các Route của người dùng và đặt vào bảng VRF tương ứng. Mỗi Routing context của người dùng nào đó có thể chạy những giao thức định tuyến khác nhau. 2.5 Khả năng mở rộng và các mô hình MPLS-VPN nâng cao Để cung cấp dịch vụ mạng riêng ảo dựa trên khối kiến trúc MPLS, MPLS phải đáp ứng đựơc yêu cầu cung cấp dịch vụ cho người dùng ở nhiều nơi khác nhau. Nó phải có khả năng truyền thông tin định tuyến từ người dùng này dọc mạng Backbone để quảng bá cho site người dùng khác cũng thuộc về cùng một VPN. Để đạt được điều này thì phiên MP-IBGP phải được thiết lập giữa các Router PE. Rõ ràng đây là mô hình Full-mesh giữa các phiên MP-IBGP. Trong overlay VPN cũng tương tự như vậy. Nhưng mô hình Full-mesh hoàn toàn không có khả năng mở rộng vì số lượng phiên MP-IBGP là rất lớn, và càng tăng lên khi số lượng người dùng VPN tăng lên. Và khi có một Router mới được thêm vào mạng Backbone của nhà cung cấp thì láng giềng BGP mới này phải thêm vào cấu hình BGP lõi trên tất cả các Router chạy BGP đã tồn tại trước đó để duy trì mô hình full-mesh. Đối với mạng có n Router thì kết nối trong mạng là n(n-1)/2 kết nối. Số lượng phiên BGP phụ thuộc vào nhiều nhân tố, mà nhân tố chính là bộ nhớ trong Router và tốc độ của CPU. Thực sự thì mô hình Full-mesh có thể vẫn được triển khai trong những mạng có kích thước khá nhỏ vì bộ nhớ và CPU của Router có thể đáp ứng được số lượng phiên MP-IBGP. Nhưng khi quan tâm đến vấn đề mở rộng mạng thì ta không nên sử dụng mô hình Full-mesh. Trong MPLS-VPN sử dụng các kĩ thuật đã có sẵn trong BGP-4 để triển khai mô hình mạng riêng ảo đảm bảo được khả năng mở rộng là sử dụng tuyến phản xạ (Route reflector) và confederation. Tuyến phản xạ và confederation trong MPLS-VPN hoạt động giống như trong BGP-4. Chính nhờ vào hai khả năng trên mà nhà cung cấp có thể triển khai nhiều mô hình MPLS-VPN phức tạp. Mô hình mạng MPLS-VPN mà ta đã thảo luận từ trước đến nay chỉ dành cho các site VPN người dùng kết nối đến cùng một nhà cung cấp dịch vụ dọc kết nối giữa PE và CE, việc trao đổi thông tin định tuyến dọc những liên kết này không cần có sự tham gia của MPLS, cũng như không có sự trao đổi trực tiếp nào giữa các site người dùng. Trong trường hợp này, Router PE duy trì toàn bộ quá trình điều khiển giữa các site với nhau thông qua sự cách ly giữa các VPN. Trong phần sau ta đi sâu vào thảo luận các mô hình MPLS-VPN phức tạp hơn, mô hình này cho phép trao đổi thông tin nhãn và các gói tin có gắn nhãn đến từ các thiết bị nằm ngoài sự điều khiển của nhà cung cấp dịch vụ. 2.5.1 Hệ thống tự trị MPLS-VPN Hệ thống tự trị (Autonomous system) là một mạng hoặc một nhóm nhiều mạng chia sẽ cùng một chính sách và hoạt động trong một miền nhất định. AS được điều khiển bởi nhà quản trị hệ thống. Khi dịch vụ MPLS-VPN lớp 3 đã trở nên phổ biến hơn, lúc này nó cần phải hỗ trợ kết nối nhiều hệ tự trị khác nhau. Người dùng là doanh nghiệp lớn thường là sử dụng mô hình AS-Multihomed, vì vị trí địa lý khác nhau, rất khó đạt được kết nối VPN đầy đủ qua một nhà cung cấp dịch vụ. Ngay cả nếu kết nối đó có thể đạt được thì trong mô hình mạng này cũng có thể bị chia ra thành nhiều AS nhỏ hơn. Do đó, dịch vụ MPLS VPN lớp 3 cần phải được mở rộng ra ngoài một AS. Cho phép một VPN đi qua nhiều mạng Backbone của nhiều nhà cung cấp dịch vụ. Mỗi nhà cung cấp dịch vụ, quản trị mỗi AS khác nhau, có thể đáp ứng dịch vụ MPLS-VPN cho cùng một người dùng đầu cuối. Một VPN có thể bắt đầu ở một site người dùng và di duyển qua nhiều mạng Backbone của nhà cung cấp dịch vụ khác nhau trước khi đến site khác của cùng người dùng đó. Đặc điểm này cho phép nhiều AS thành lập một mạng liên tục giữa các site người dùng với của một nhà cung cấp. Cho phép một VPN tồn tại trong nhiều vùng khác nhau. Một nhà cung cấp dịch vụ có thể tạo ra VPN trong nhiều vùng địa lý khác nhau. Và việc có tất cả lưu lượng VPN chảy qua một điểm giữa các vùng cho phép điều khiển tốc độ lưu lượng mạng tốt hơn giữa các vùng đó. Sử dụng Confederation để tối ưu IBGP meshing, đáp ứng khả năng mở rộng. Mô hình hệ thống tự trị được chia ra thành 2 kết nối như sau: Kết nối giữa các nhà cung cấp với nhau Kết nối giữa các AS với nhau 2.5.2 Nhà cung cấp dịch vụ hạ tầng Từ những ưu điểm của công nghệ MPLS-VPN và cộng với sự phát triển, mở rộng mạng ra nhiều vùng địa lý khác nhau. Nhiều doanh nghiệp lớn, doanh nghiệp trung bình, nhiều nhà cung cấp dịch vụ MPLS-VPN nhỏ hơn, và nhiều nhà cung cấp dịch vụ Internet đã nhận thấy rằng khi kết nối vào mạng Backbone MPLS-VPN họ có thể tránh được việc phải xây dựng cơ sở hạ tầng lớp 2 cho mạng của mình. Thay vào đó sử dụng mạng Backbone của nhà cung cấp MPLS-VPN để kết nối các site lại với nhau. Ngoài vấn đề giảm thiểu được chi phí thì mỗi site có thể kết nối đến toàn bộ các site ngang cấp với nó. Do đó sẽ cung cấp được định tuyến tối ưu nhất. Điều này có nghĩa là để cho phép tất cả các người dùng như vậy truy cập vào mạng MPLS-VPN Backbone thì mạng Backbone phải có khả năng mang một số lượng cực kì lớn thông tin định tuyến cho mỗi cá nhân người dùng. Các nhà cung cấp dịch vụ Internet hầu như cần phải trao đổi một phần, nếu không nói là toàn bộ, bảng định tuyến Internet giữa các site của họ để người dùng của họ có thể truy cập được Internet. Việc truy cập đến những người dùng này gây ra vấn đề khó khăn khi mở rộng, vì mỗi Router PE phải duy trì tất cả thông tin định tuyến nội bộ trong một VRF. Thông tin định tuyến này sau đó được phân phối đến tất cả các Router PE có liên quan, lúc đó Router CE hoàn toàn có thể đạt được thông tin định tuyến thích hợp. Để giải quyết vấn đề mở rộng trong trường hợp trên, một giải pháp mới được mở rộng ra từ MPLS-VPN chuẩn, được gọi là hỗ trợ hạ tầng thiết bị cho nhau. Các nhà cung cấp dịch vụ được sử dụng hạ tầng thiết bị của nhà cung cấp dịch vụ khác được gọi là nhà cung cấp dịch vụ người dùng. Hỗ trợ dịch vụ hạ tầng sử dụng để mô tả một tình huống khi một nhà cung cấp dịch vụ cho phép nhà cung cấp dịch vụ khác sử dụng một phần trong mạng Backbone của họ. Nhà cung cấp dịch vụ cung cấp một phần trong mạng Backbone cho nhà cung cấp dịch vụ khác được gọi là hỗ trợ hạ tầng đường trục. Một số ưu điểm khi sử dụng hỗ trợ hạ tầng thiết bị kĩ thuật Mạng MPLS-VPN hỗ trợ hạ tầng thiết bị kĩ thuật cung cấp nhiều ưu điểm cho nhà cung cấp dịch vụ, kể cả hỗ trợ hạ tầng backbone. Ưu điểm đối với hỗ trợ hạ tầng Backbone. Hỗ trợ hạ tầng thiết bị Backbone có thể cung cấp cho nhiều nhà cung cấp dịch vụ khách hàng và cho phép họ truy cập vào mạng Backbone. hạ tầng thiết bị Backbone không cần phải tạo và duy trì mỗi Backbone riêng cho nhà cung cấp dịch vụ khách hàng. Sử dụng một mạng Backbone để hỗ trợ nhiều nhà cung cấp dịch vụ khách hàng chỉ đơn giản thông qua hoạt động VPN của hạ tầng thiết bị Backbone. Hạ tầng thiết bị Backbone chỉ cần sử dụng một phương pháp cố định để quản lý và duy trì mạng Backbone. Điều này có nghĩa là tiết kiệm được chi phí và hiệu quả hơn so với việc phải duy trì riêng từng Backbone. Đặc điểm MPLS hỗ trợ hạ tầng thiết bị kĩ thuật có khả năng mở rộng, nó có thể thay đổi VPN để đáp ứng nhu cầu băng thông và kết nối. Nó có thể hỗ trợ đến mười ngàn VPN qua cùng một mạng, và cho phép nhà cung cấp dịch vụ có thể vừa đáp ứng dịch vụ VPN vừa đáp ứng được dịch vụ Internet. Hỗ trợ hạ tầng thiết bị Backbone có thể hỗ trợ nhiều loại nhà cung cấp dịch vụ khách hàng. Hỗ trợ hạ tầng thiết bị Backbone có thể chấp nhận các nhà cung cấp dịch vụ khách hàng là nhà cung cấp dịch vụ hoặc là nhà cung cấp dịch vụ VPN, hoặc cả hai. Nó có thể hỗ trợ nhà cung cấp dịch vụ khách hàng yêu cầu bảo mật và nhiều loại băng thông. Ưu điểm của nhà cung cấp dịch vụ khách hàng MPLS-VPN hỗ trợ hạ tầng thiết bị kĩ thuật giúp cho nhà cung cấp dịch vụ khách hàng loại bỏ việc phải cấu hình, hoạt động và duy trì mạng Backbone của riêng họ. nhà cung cấp dịch vụ khách hàng sử dụng mạng Backbone của hạ tầng thiết bị Backbone. Nhà cung cấp dịch vụ khách hàng sử dụng dịch vụ VPN của hạ tầng thiết bị Backbone nhận cùng mức độ bảo mật như các VPN lớp 2 như Frame Relay, ATM. Nhà cung cấp dịch vụ khách hàng cũng có thể sử dụng IPSec trong VPN của họ để bảo mật ở mức cao hơn, việc này hoàn toàn trong suốt đối với hỗ trợ hạ tầng thiết bị Backbone. Nhà cung cấp dịch vụ khách hàng có thể sử dụng bất kì mô hình địa chỉ nào và vẫn được hỗ trợ bởi hỗ trợ hạ tầng thiết bị Backbone. Không gian địa chỉ khách hàng và thông tin định tuyến của một nhà cung cấp dịch vụ khách hàng độc lập với nhà cung cấp dịch vụ khách hàng khác, và độc lập với hỗ trợ hạ tầng thiết bị Backbone. 2.6 Vấn đề bảo mật trong mạng MPLS-VPN Trong lĩnh vực bảo mật, mục tiêu của mô hình mạng MPLS-VPN lớp 3 là đạt được sự bảo mật có thể so sánh với sự bảo mật trong mô hình mạng overlay VPN như ATM hay Frame Relay mang lại Bảo mật cho VPN phải đảm bảo được sự cách ly về thông tin định tuyến, về không gian địa chỉ của mỗi VPN. Nghĩa là việc cấp địa chỉ của mỗi VPN là hoàn toàn độc lập nhau. Thông tin định tuyến từ VPN này không được đưa vào VPN khác và ngược lại. Thứ hai là bảo mật phải đảm bảo được cấu trúc mạng lõi hoàn toàn trong suốt với người dùng sử dụng dịch vụ. Thứ ba, bảo mật phải đảm bảo được việc tránh làm giả nhãn như việc làm giả địa chỉ IP và chống các cuộc tấn công từ chối dịch vụ cũng như tấn công truy nhập dịch vụ. Trước hết ta biết rằng trong mạng MPLS-VPN cho phép sử dụng cùng không gian giữa các VPN nhưng vẫn tạo được tính duy nhất là dựa vào giá trị 64 bits nhờ trường phân biệt tuyến. Do đó, người dùng sử dụng dịch vụ MPLS-VPN không cần phải thay đổi địa chỉ hiện tại của mình. Mỗi Router PE duy trì một bảng VRF riêng cho mỗi VPN, và VRF này chỉ phổ biến các Router thuộc về VPN đó. Do đó đảm bảo được sự cách ly thông tin định tuyến giữa các VPN với nhau. MPLS là kỹ thuật chuyển mạch nhãn, vì thế sự chuyển gói dữ liệu đi trong mạng không dựa vào địa chỉ IP trên mào đầu gói tin. Hơn nữa, tất cả các LSP đều kết thúc tại các Router biên PE chứ không phải kết thúc tại các Router P trong mạng. Do đó mạng lõi bên trong hoàn toàn trong suốt đối với người dùng. Trong mạng MPLS-VPN, thật khó có thể tấn công trực tiếp vào VPN. Chỉ có thể tấn công vào mạng lõi MPLS, rồi từ đó tấn công vào VPN. Mạng lõi có thể tấn công theo hai cách: Bằng cách tấn công trực tiếp vào Router PE. Bằng cách tấn công vào các cơ chế báo hiệu MPLS. Để muốn tấn công vào mạng, trước hết cần phải biết địa chỉ IP của nó. Nhưng mạng lõi MPLS hoàn toàn trong suốt so với bên ngoài, do đó kẻ tấn công không thể biết được địa chỉ IP của bất kì Router nào trong mạng lõi. Họ có thể đoán địa chỉ và gửi gói tin đến những địa chỉ này. Tuy nhiên, trong mạng MPLS, mỗi gói tin đi vào đều được xem như là thuộc về không gian địa chỉ nào đó của người dùng. Do đó, thật khó có thể tìm được các Router bên trong ngay cả khi đoán được địa chỉ. Có thể việc trao đổi thông tin định tuyến giữa Router PE và CE sẽ là điểm yếu trong mạng MPLS-VPN nhưng trên Router PE có thể dùng các phương pháp truy nhập, các phương pháp xác thực của giao thức định tuyến dùng trên kết nối đó sẽ đảm bảo được vấn đề bảo mật. Việc làm giả nhãn cũng khó có thể xảy ra tại vì Router PE chỉ chấp nhận những gói tin từ Router CE gửi đến là gói tin không có nhãn, nếu gói tin là có nhãn thì nhãn đó là do PE kiểm soát và quản lý. Từ những vấn đề nêu trên, ta thấy việc bảo mật trong mạng MPLS-VPN hoàn toàn có thể so sánh ngang bằng với việc bảo mật trong mạng ATM. 2.7 Các giao thức đường hầm mạng riêng ảo Giao thức đường hầm là một nền tảng trong VPN. Giao thức đường hầm đóng vai trò quan trọng trong việc thực hiện đóng gói và vận chuyển gói tin để truyền trên đường mạng công cộng. Có ba giao thức đường hầm cơ bản và được sử dụng nhiều trong thực tế và đang được sử dụng hiện nay là giao thức tầng hầm chuyển tiếp lớp 2 L2F, Giao thức đường hầm điểm tới điểm (PPTP), giao thức tầng hầm lớp 2 Layer. Trong chương này sẽ đi sâu hơn và cụ thể hơn các giao thức đường hầm nói trên. Nó liên quan đến việc thực hiện IP-VPN trên mạng công cộng. Nội dung phần này bao gồm: Giới thiệu các giao thức đường hầm Giao thức đường hầm điểm tới điểm Giao thức chuyển tiếp lớp 2 Giao thức đường hầm lớp 2 2.7.1 Giới thiệu các giao thức đường hầm Có rất nhiều giao thức đường hầm khác nhau trong công nghệ VPN, và việc sử dụng các giao thức nào lên quan đến các phương pháp xác thực và mật mã đi kèm. Một số giao thức đường hầm phổ biến hiện nay là: Giao thức tầng hầm chuyển tiếp lớp 2 (L2F). Giao thức đường hầm điểm tới điểm (PPTP). Giao thức tầng hầm lớp 2 (L2TP). Hai giao thức L2F và PPTP đều được kế thừa và phát triển dựa trên giao thức PPP (Point to Point Protocol). Có thể nói PPP là một giao thức cơ bản và được sử dụng nối tiếp lớp 2, Có thể sử dụng để chuyển gói tin dữ liệu qua các mạng IP và hỗ trợ đa giao thức lớp trên. Giao thức L2F được hãng Cisco nghiên cứu và phát triển độc quyền, còn PPTP được nhiều công ty cùng nhau hợp tác nghiên cứu và phát triển. Dựa vào hai giao thức trên được tổ chức kĩ thuật Internet (IETF) đã phát triển giao thức đường hầm L2TP. Và hiện nay các giao thức PPTP và L2TP được sử dụng phổ biến hơn L2F. Trong các giao thức đường hầm nói trên, giao thức IPSec là một trong nhưng giải pháp tối ưu về mặt an toàn dữ liệu của gói tin. Nó được sử dụng các phương pháp xác thực và mật mã tương đối cao. IPSec được mang tính linh động hơn, không bị ràng buộc bởi các thuật toán xác thực hay mật mã nào cả. 2.7.2 Giao thức đường hầm điểm tới điểm Giao thức này được nghiên cứu và phát triển bởi công ty chuyên về thiết bị công nghệ viễn thông. Trên cơ sở của giao thức này là tách các chức năng chung và riêng của việc truy nhập từ xa, dự trên cơ sở hạ tầng Internet có sẵn để tạo kết nối đường hầm giữa người dùng và mạng riêng ảo. Người dùng ở xa có thể dùng phương pháp quay số tới các nhà cung cấp dịch vụ Internet để có thể tạo đường hầm riêng để kết nối tới truy nhập tới mạng riêng ảo của người dùng đó. Giao thức PPTP được xây dựng dựa trên nền tảng của PPP, nó có thể cung cấp khả năng truy nhập tạo đường hầm thông qua Internet đến các site đích. PPTP sử dụng giao thức đóng gói tin định tuyến chung GRE được mô tả để đóng lại và tách gói PPP. Giao thức này cho phép PPTP linh hoạt trong xử lý các giao thức khác. 2.7.2.1 Nguyên tắc hoạt động của PPTP PPP là giao thức truy nhập vào Internet và các mạng IP phổ biến hiện nay. Nó làm việc ở lớp liên kết dữ liệu trong mô hình OSI, PPP bao gồm các phương thức đóng gói, tách gói IP, là truyền đi trên chổ kết nối điểm tới điểm từ máy này sang máy khác. PPTP đóng các gói tin và khung dữ liệu của giao thức PPP vào các gói tin IP để truyền qua mạng IP. PPTP dùng kết nối TCP để khởi tạo và duy trì, kết thức đường hầm và dùng một gói định tuyến chung GRE để đóng gói các khung PPP. Phần tải của khung PPP có thể được mã hoá và nén lại. PPTP sử dụng PPP để thực hiện các chức năng thiết lập và kết thức kết nối vật lý, xác định người dùng, và tạo các gói dữ liệu PPP. PPTP có thể tồn tại một mạng IP giữa PPTP khách và PPTP chủ của mạng. PPTP khách có thể được đấu nối trực tiếp tới máy chủ thông qua truy nhập mạng NAS để thiết lập kết nối IP. Khi kết nối được thực hiện có nghĩa là người dùng đã được xác nhận. Đó là giai đoạn tuy chọn trong PPP, tuy nhiên nó luôn luôn được cung cấp bởi ISP. Việc xác thực trong quá trình thiết lập kết nối dựa trên PPTP sử dụng các cơ chế xác thực của kết nối PPP. Một số cơ chế xác thực được sử dụng là: Giao thức xác thực mở rộng EAP. Giao thức xác thực có thử thách bắt tay CHAP. Giao thức xác định mật khẩu PAP. Giao thức PAP hoạt động trên nguyên tắc mật khẩu được gửi qua kết nối dưới dạng văn bản đơn giản và không có bảo mật. CHAP là giao thức các thức mạnh hơn, sử dụng phương pháp bắt tay ba chiều để hoạt động, và chống lại các tấn công quay lại bằng cách sử dụng các giá trị bí mật duy nhất và không thể đoán và giải được. PPTP cũng được các nhà phát triển công nghệ đua vào việc mật mã và nén phần tải tin của PPP. Để mật mã phần tải tin PPP có thể sử dụng phương thức mã hoá điểm tới điểm MPPE. MPPE chỉ cung cấp mật mã trong lúc truyền dữ liệu trên đường truyền không cung cấp mật mã tại các thiết bị đầu cuối tới đầu cuối. Nếu cần sử dụng mật mã đầu cuối đến đầu cuối thì có thể dùng giao thức IPSec để bảo mật lưu lượng IP giữa các đầu cuối sau khi đường hầm PPTP được thiết lập. Khi PPP được thiết lập kết nối, PPTP sử dụng quy luật đóng gói của PPP để đóng gói các gói truyền trong đường hầm. Để có thể dự trên những ưu điểm của kết nối tạo bởi PPP, PPTP định nghĩa hai loại gói là điểu khiển và dữ liệu, sau đó gán chúng vào hai kênh riêng là kênh điều khiển và kênh dữ liệu. PPTP tách các kênh điều khiển và kênh dữ liệu thành những luồng điều khiển với giao thức điều khiển truyền dữ liệu TCP và luồng dữ liệu với giao thức IP. Kết nối TCP tạo ra giữa các máy khách và máy chủ được sử dụng để truyền thông báo điều khiển. Các gói dữ liệu là dữ liệu thông thường của người dùng. Các gói điều khiển được đua vào theo một chu kì để lấy thông tin và trạng thái kết nối và quản lý báo hiệu giữa ứng máy khách PPTP và máy chủ PPTP. Các gói điều khiển cũng được dùng để gửi các thông tin quản lý thiết bị, thông tin cấu hình giữa hai đầu đường hầm. Kênh điều khiển được yêu cầu cho việc thiết lập một đường hầm giữa các máy khách và máy chủ PPTP. Máy chủ PPTP là một Server có sử dụng giao thức PPTP với một giao diện được nối với Internet và một giao diện khác nối với Intranet, còn phần mềm client có thể nằm ở máy người dùng từ xa hoặc tại các máy chủ ISP. 2.7.2.2 Nguyên tắc kết nối điều khiển đường hầm theo giao thức PPTP Kết nối điều khiển PPTP là kết nối giữa địa chỉ IP của máy khách PPTP và địa chỉ máy chủ. Kết nối điều khiển PPTP mang theo các gói tin điều khiển và quản lý được sử dụng để duy trì đường hầm PPTP. Các bản tin này bao gồm PPTP yêu cầu phản hồi và PPTP đáp lại phải hồi định kì để phát hiện các lỗi kết nối giữa các máy trạm và máy chủ PPTP. Các gói tin của kết nối điều khiển PPTP bao gồm tiêu đề IP, tiêu đề TCP và bản tin điều khiển PPTP và tiêu đề, phần cuối của lớp liên kết dữ liệu. Hình 2.11: Gói dữ liệu kết nối điều khiển PPTP 2.7.2.3 Nguyên lý đóng gói dữ liệu đường hầm PPTP Đóng gói khung PPP và gói định tuyến chung GRE Dữ liệu đường hầm PPTP được đóng gói thông qua các mức được mô tả theo mô hình. Hình 2.12: Mô hình đóng gói dữ liệu đường hầm PPTP Phần tải của khung PPP ban đầu được mã hoá và đóng gói với tiêu đề PPP để tạo ra khung PPP. Khung PPP sau đó được đóng gói với phần tiêu đề của phiên bản giao thức GRE sửa đổi. GRE là giao thức đóng gói chung, cung cấp cơ chế đóng gói dữ liệu để định tuyến qua mạng IP. Đối với PPTP, phần tiêu đề của GRE được sửa đổi một số điểm đó là. Một trường xác nhận dài 32 bits được thêm vào. Một bits xác nhận được sử dụng để chỉ định sự có mặt của trường xác nhận 32 bits. trường Key được thay thế bằng trường độ dài Payload 16 bits và trường chỉ số cuộc gọi 16 bits. Trường chỉ số cuộc gọi được thiết lập bởi máy trạm PPTP trong quá trình khởi tạo đường hầm. Đóng gói IP Trong khi truyền tải phần tải PPP và các tiêu đề GRE sau đó được đóng gói với một tiêu đề IP chứa các thông tin địa chỉ nguồn và đích thích hợp cho máy trạm và máy chủ PPTP. Đóng gói lớp liên kết dữ liệu Để có thể truyền qua mạng LAN hay WAN thì gói tin IP cuối cùng sẽ đựơc đóng gói với một tiêu đề và phần cuối của lớp liên kết dữ liệu ở giao diện vật lý đầu ra. Như trong mạng LAN thì nếu gói tin IP đựơc gửi qua giao diện Ethernet, nó sẽ được gói với phần tiêu đề và đuôi Ethernet. Nếu gói tin IP được gửi qua đường truyền WAN điểm tới điểm nó sẽ được đóng gói với phần tiêu đề và đuôi của giao thức PPP. Sơ đồ đóng gói trong giao thức PPTP Quá trình đóng gói PPTP từ một máy trạm qua kết nối truy nhập VPN từ xa sử dụng modem được mô phỏng theo hình dưới đây. Hình 2.13: Sơ đồ đóng gói PPTP Các gói tin IP, IPX, hoặc khung NetBEUI được đưa tới giao diện ảo đại diện cho kết nối VPN bằng các giao thức tương ứng sử dụng đặc tả giao diện thiết bị mạng NDIS. NDIS đưa gói tin dữ liệu tới NDISWAN, nơi thực hiện việc mã hoá và nén dữ liệu, cũng như cung cấp tiêu đề PPP phần tiêu đề PPP này chỉ gồm trường mã số giao thức PPP không có trường Flags và trường chuổi kiểm tra khung (FCS). Giả định trường địa chỉ và điều khiển được thoả thuận ở giao thức điều khiển đường truyền (LCP) trong quá trình kết nối PPP. NDISWAN gửi dữ liệu tới giao thức PPTP, nơi đóng gói khung PPP với phần tiêu đề GRE. Trong tiêu đề GRE, trường chỉ số cuộc gọi được đặt giá trị thích hợp xác định đường hầm. Giao thức PPTP sau đó sẽ gửi gói tin vừa tạo ra tới TCP/IP. TCP/IP đóng gói dữ liệu đường hầm PPTP với phần tiêu đề IP sau đó gửi kết quả tới giao diện đại diện cho kết nối quay số tới ISP cục bộ NDIS. NDIS gửi gói tin tới NDISWAN, cung cấp các tiêu đề và đuôi PPP. NDISWAN gửi khung PPP kết quả tới cổng WAN tương ứng đại diện cho phần cứng quay số. 2.7.2.4 Nguyên tắc thực hiện gói tin dữ liệu tại đầu cuối đường hầm PPTP Khi nhận được được dữ liệu đường hầm PPTP, máy trạm và máy chủ PPTP, sẽ thực hiện các bước sau. Xử lý và loại bỏ gói phần tiêu đề và đuôi của lớp liên kết dữ liệu hay gói tin. Xử lý và loại bỏ tiêu đề IP. Xử lý và loại bỏ tiêu đề GRE và PPP. Giải mã hoặc nén phần tải tin PPP. Xử lý phần tải tin để nhận hoặc chuyển tiếp. 2.7.2.5 Triển khai VPN dựa trên PPTP Khi triển khai VPN dự trên giao thức PPTP yêu cầu hệ thống tối thiểu phải có các thành phần thiết bị như chỉ ra ở hình trên nó bao gồm. Một máy chủ truy nhập mạng dùng cho phương thức quay số truy nhập bảo mật VPN. Một máy chủ PPTP. Máy trạm PPTP với phần mềm client cần thiết. Hình 2.14: Các thành phần hệ thống cung cấp VPN dựa trên PPTP Máy chủ PPTP Máy chủ PPTP có hai chức năng chính, đóng vai trò là điểm kết nối của đường hầm PPTP và chuyển các gói tin đến từng đường hầm mạng LAN riêng. Máy chủ PPTP chuyển các gói tin đến máy đích bằng cách xử lý gói tin PPTP để có thể được địa chỉ mạng của máy đích. Máy chủ PPTP cũng có khả năng lọc gói, bằng cách sử dụng cơ chế lọc gói PPTP máy chủ có thể ngăn cấm, chỉ có thể cho phép truy nhập vào Internet, mạng riêng hay truy nhập cả hai. Thiết lập máy chủ PPTP tại site mạng có thể hạn chế nếu như máy chủ PPTP nằm sau tường lửa. PPTP được thiết kế sao cho chỉ có một cổng TCP 1723 được sử dụng để chuyển dữ liệu đi. Nhược điểm của cấu hình cổng này có thể làm cho bức tường lửa dễ bị tấn công. Nếu như bức tường được cấu hình để lọc gói tin thì cần phải thiết lập nó cho phép GRE đi qua. Một thiết bị khác được đua ra năm 1998 do hãng 3 Com có chức năng tương tự như máy chủ PPTP gọi là chuyển mạch đường hầm. Mục đích của chuyển mạch đường hầm là mở rộng đường hầm từ một mạng đến một mạng khác, trải rộng đường hầm từ mạng của ISP đến mạng riêng. Chuyển mạch đường hầm có thể được sử dụng tại bức tường lửa làm tăng khả năng quản lý truy nhập từ xa vào tài nguyên của mạng nội bộ. Nó có thể kiểm tra các gói tin đến và đi, giao thức của các khung PPP hoặc tên của người dùng từ xa. Phần mềm Client PPTP Các thiết bị của ISP đã hỗ trợ PPTP thì không cần phần cứng hay phần mềm bổ sung nào cho các máy trạm, chỉ cần một kết nối PPP chuẩn. Nếu như các thiết bị của ISP không hỗ trợ PPTP thì một phần mềm ứng dụng Client vẫn có thể tạo liên kết nối bảo mật bằng các đầu tiên quay số kết nối tới ISP bằng PPP, sau đó quay số một lần nữa thông qua cổng PPTP ảo được thiết lập ở máy trạm. Máy chủ truy nhập mạng Máy chủ truy nhập mạng Network Access Server (NAS) còn có tên gọi là máy chủ truy nhập từ xa hay bộ tập trung truy nhập. NAS cung cấp khả năng truy nhập đường dây dựa trên phần mềm, có khả năng tính cước và có khẳ năng chịu đừng lỗi tại ISP, POP. NAS của ISP được thiết kế cho phép một số lượng lớn người dùng có thể quay số truy nhập vào cùng một lúc. Nếu một ISP cung cấp dịch vụ PPTP thì cần phải cài một NAS cho phép PPTP để hỗ trợ các client chạy trên các hệ điều hành khác nhau. Trong trường hợp này máy chủ ISP đóng vai trò như một client PPTP kết nối với máy chủ PPTP tại mạng riêng và máy chủ ISP trở thành một điểm cuối của đường hầm, điểm cuối còn lại máy chủ tại đầu mạng riêng 2.7.2.6 Một số ưu nhược điểm và khả năng ứng dụng của PPTP Ưu điểm của PPTP là được thiết kế để hoạt động ở lớp 2 trong khi IPSec chạy ở lớp 3 của mô hình OSI. Việc hỗ trợ truyền dữ liệu ở lớp 2, PPTP có thể lan truyền trong đường hầm bằng các giao thức khác IP trong khi IPSec chỉ có thể truyền các gói tin IP trong đường hầm. PPTP là một giải pháp tạm thời vì hầu hết các nhà cung cấp dịch vụ đều có kế hoạch thay đổi PPTP bằng L2TP khi giao thức này đã được mã hoá. PPTP thích hợp cho việc quay số truy nhập với số lượng người dùng giới hạn hơn là VPN kết nối LAN-LAN. Một vấn đề của PPTP là xử lý xác thực người thông qua hệ điều hành. Máy chủ PPTP cũng quá tải với một số lượng người dùng quay số truy nhập hay một lưu lượng lớn dữ liệu truyền qua, điều này là một yêu cầu của kết nối LAN-LAN. Khi sử dụng VPN dựa trên PPTP mà có hỗ trợ thiết bị ISP một số quyền quản lý phải chia sẽ cho ISP. Tính bảo mật của PPTP không mạng bằng IPSec. Nhưng quản lý bảo mật trong PPTP lại đơn giản hơn. Khó khăn lớn nhất gắn kèm với PPTP là cơ chế yếu kém về bảo mật do nó dùng mã hóa đồng bộ trong khóa được xuất phát từ việc nó sử dụng mã hóa đối xứng là cách tạo ra khóa từ mật khẩu của người dùng. Điều này càng nguy hiểm hơn vì mật khẩu thường gửi dưới dạng phơi bày hoàn toàn trong quá trình xác nhận. Giao thức tạo đường hầm kế tiếp (L2F) được phát triển nhằm cải thiện bảo mật với mục đích này. 2.7.3 Giao thức chuyển tiếp lớp 2 (L2F) Giao thức L2F được nghiên cứu và phát triển sớm nhất và là một trong những phương pháp truyền thống để cho người sử dụng ở truy nhập từ xa vào mang các doanh nghiêp thông qua thiết bị. L2F cung cấp các giải cho dịch vụ quay số ảo bằng thiết bị một đường hầm bảo mật thông qua cơ sở hạ tầng công cộng như Internet. Nó cho phép đóng gói các gói tin PPP trong khuôn dạng L2F và định đường hầm ở lớp liên kết dữ liệu. 2.7.3.1 Nguyên tắc hoạt động của L2F Giao thức chuyển tiếp L2F đóng gói những gói tin lớp 2, sau đó trong truyền chúng đi qua mạng. Hệ thống sử dụng L2F gồm các thành phần sau. Máy trạm truy nhập mạng NAS: hướng lưu lượng đến và đi giữa các máy khách ở xa và Home Gateway. Một hệ thống ERX có thể hoạt động như NAS. Đường hầm: định hướng đường đi giữa NAS và Home Gateway. Một đường hầm gồm một số kết nối. Kết nối: Là một kết nối PPP trong đường hầm. Trong LCP, một kết nối L2F được xem như một phiên. Điểm đích: Là điểm kết thúc ở đâu xa của đường hầm. Trong trường hợp này thì Home Gateway là đích. Hình 2.15: Hệ thống sử dụng L2F Quá trình hoạt động của giao thức đường hầm chuyển tiếp là một quá trình tương đối phức tạp. Một người sử dụng ở xa quay số tới hệ thống NAS và khởi đầu một kết nối PPP tới ISP. Với hệ thống NAS và máy trạm có thể trao đổi các gói giao thức điều khiển liên kết. NAS sử dụng cơ sở dữ liệu cục bộ liên quan tới điểm tên miền để quyết định xem người sử dụng có hay không yêu cầu dịch vụ L2F. Nếu người sử dụng yêu cầu L2F thì quá trình tiếp tục, NAS thu nhận địa chỉ của Gateway đích. Một đường hầm được thiết lập từ NAS tới Gateway đích nếu giữa chúng có chưa có đường hầm nào. Sự thành lập đường hầm bao gồm giai đoạn xác thực từ ISP tới Gateway đích để chống lại tấn công bởi những kẻ thứ ba. Một kết nối PPP mới được tạo ra trong đường hầm, điều này có tác động kéo dài phiên PPP mới được tạo ra người sử dụng ở xa tới Home Gateway. Kết nối này được thiết lập theo một quy trình như sau. Home Gateway tiếp nhận các lựa chọn và tất cả thông tin xác thực PAP/CHAP như thoả thuận bởi đầu cuối người sử dụng và NAS. Home Gateway chấp nhận kết nối hay thoả thuận lại LCP và xác thực lại người sử dụng. Khi NAS tiếp nhận lưu lượng dữ liệu từ người sử dụng, nó đóng gói lưu lượng vào trong các khung L2F và hướng chúng vào trong đường hầm. Tại Home Gateway khung được tách bỏ và dữ liệu đóng gói được hướng tới mạng một doanh nghiệp hay người dùng. Khi hệ thống đã thiết lập điểm đích đường hầm và những phiên kết nối, ta phải điều khiển và quản lý lưu lượng L2F bằng cách. Ngăn cản tạo những đích đến, đường hầm và các phiên mới. Đóng và mở lại tất cả hay chọn lựa những điểm đích, đường hầm và phiên, có khả năng kiểm tra tổng UDP. Thiết lập thời gian rỗi cho hệ thống và lưu giữ cơ sở dữ liệu vào các đường hầm kết nối. 2.7.3.2 Những ưu điểm và nhược điểm của L2F Mặc dù L2F yêu cầu mở rộng xử lý với các LCP và phương pháp tùy chọn khác nhau, nó được dùng rộng rãi hơn so với PPTP bởi vì nó là một giải pháp chuyển hướng khung ở cấp thấp. Nó cũng cung cấp một nền tảng giải pháp VPN tốt hơn PPTP đối với mạng doanh nghiệp. Những thuận lợi chính của việc triển khai giải pháp L2F bao gồm: Nâng cao bảo mật cho quá trình giao dịch. Có nền tảng độc lập. Không cần những sự lắp đặt đặc biệt với ISP. Hỗ trợ một phạm vi rộng rãi các công nghệ mạng  như  ATM, IPX, NetBEUI, và Frame Relay Những khó khăn của việc triển khai L2F bao gồm: L2F yêu cầu cấu hình và hỗ trợ lớn. Thực hiện L2F dựa trên ISP. Nếu trên ISP không hỗ trợ L2F thì không thể triển khai L2F được. 2.7.4 Giao thức đường hầm lớp 2 (L2TP) 2.7.4.1 Các khái niệm về đường hầm lớp 2 Được phát triển bởi IETF và được chứng nhận bởi những nhà công nghiệp lớn như Cisco, Microsoft, và Ascend, L2TP là một giao thức VPN được kết hợp sớm nhất, PPTP và L2F. Thật vậy, nó kết hợp những đặc điểm tốt nhất của PPTP và L2F. L2TP cung cấp tính linh động, có thể thay đổi, và hiệu quả chi phí cho giải pháp truy cập từ xa của L2F và khả năng kết nối điểm điểm nhanh của PPTP. Do đó L2TP là sự trộn lẫn cả hai đặc tính của PPTP và L2F, bao gồm: L2TP hỗ trợ đa giao thức và đa công nghệ mạng, như IP, ATM, FR, và PPP. L2TP không yêu cầu việc triển khai thêm bất cứ phần mềm nào, như điều khiển và hệ điều hành hỗ trợ. Do đó, cả người dùng và mạng riêng nội bộ cũng không cần triển khai thêm các phần mềm chuyên biệt. L2TP cho phép người dùng từ xa truy cập vào mạng từ xa thông qua mạng công cộng với một địa chỉ IP chưa đăng ký. Quá trình xác nhận và chứng thực của L2TP được thực hiện bởi cổng mạng máy chủ. Do đó, ISP không cần giữ dữ liệu xác nhận hoặc quyền truy cập của người dùng từ xa. Hơn nữa, mạng nội bộ có thể định nghĩa những chính sách truy cập riêng cho chính bản thân. Điều này làm quy trình xử lý của việc thiết lập đường hầm nhanh hơn so với giao thức tạo hầm trước đây. Điểm chính của đường hầm L2TP, là L2TP thiết lập đường hầm PPP không giống như PPTP, không kết thúc ở gần vùng của ISP. Thay vào đó, những đường hầm mở rộng đến cổng của mạng máy chủ. Hình 2.16: Đường hầm L2TP Khi khung PPP được gửi thông qua L2TP đường hầm, chúng được đóng gói như những thông điệp UDP. L2TP dùng những thông điệp UDP này cho việc tạo hầm dữ liệu cũng như duy trì đường hầm. Ngoài ra, đường hầm dữ liệu và đường hầm duy trì gói tin, không giống những giao thức tạo hầm trước, cả hai có cùng cấu trúc gói dữ liệu. 2.7.4.2 Các thành phần của L2TP Quá trình giao dịch L2TP đảm nhiệm 3 thành phần cơ bản, một máy chủ truy cập mạng (NAS), một bộ truy cập tập trung (LAC), và một máy chủ L2TP (LNS). Máy chủ truy cập mạng L2TP NAS là thiết bị truy cập điểm-điểm cung cấp dựa trên yêu cầu kết nối Internet đến người dùng từ xa, là những người quay số thông qua PSTN hoặc ISDN sử dụng kết nối PPP. NAS phản hồi lại xác nhận người dùng từ xa ở nhà cung cấp ISP cuối và xác định nếu có yêu cầu kết nối ảo. Giống như PPTP NAS, L2TP NAS được đặt tại ISP site và hoạt động như client trong qui trình thiết lập đường hầm L2TP. NAS có thể hồi đáp và hỗ trợ nhiều yêu cầu kết nối đồng thời và có thể hỗ trợ một phạm vi rộng các client như các sản phẩm mạng của Microsoft, Unix, Linux. Bộ tập kết truy cập L2TP Vai trò của LAC trong công nghệ tạo hầm L2TP thiết lập một đường hầm thông qua một mạng công cộng đến LNS ở tại điểm cuối mạng chủ. LAC phục vụ như điểm kết thúc của môi trường vật lý giữa client và LNS của mạng chủ. Mạng chủ L2TP LNS được đặt tại cuối mạng chủ. Do đó, chúng dùng để kết thúc kết nối L2TP ở cuối mạng chủ theo cùng cách kết thúc đường hầm từ client của LAC. Khi một LNS nhận một yêu cầu cho một kết nối ảo từ một LAC, nó thiết lập đường hầm và xác nhận người dùng, là người khởi tạo yêu cầu kết nối. Nếu LNS chấp nhận yêu cầu kết nối, nó tạo giao diện ảo. Qui trình xử lý L2TP Khi một người dùng từ xa cần thiết lập một đường hầm L2TP thông qua Internet hoặc mạng chung khác, theo các bước tuần tự sau đây: Người dùng từ xa gửi yêu cầu kết nối đến ISP’s NAS gần nhất của nó, và bắt đầu khởi tạo một kết nối PPP với nhà ISP cuối. NAS chấp nhận yêu cầu kết nối sau khi xác nhận người dùng cuối. NAS dùng phương pháp xác nhận PPP, như PAP, CHAP, SPAP, và EAP cho mục đích này. Sau đó NAS kích hoạt LAC, nhằm thu nhập thông tin cùng với LNS của mạng đích. Kế tiếp, LAC thiết lập một đường hầm LAC-LNS thông qua mạng trung gian giữa hai đầu cuối. Đường hầm trung gian có thể là ATM, Frame Relay, hoặc IP/UDP. Sau khi đường hầm đã được thiết lập thành công, LAC chỉ định một Call ID đến kết nối và gửi một thông điệp thông báo đến LNS. Thông báo xác định này chứa thông tin có thể được dùng để xác nhận người dùng. Thông điệp cũng mang theo LCP options dùng để thoả thuận giữa người dùng và LAC. LNS dùng thông tin đã nhận được từ thông điệp thông báo để xác nhận người dùng cuối. Nếu người dùng được xác nhận thành công và LNS chấp nhận yêu cầu đường hầm, một giao diện PPP ảo được thiết lập cùng với sự giúp đỡ của LCP options nhận được trong thông điệp thông báo. Sau đó người dùng từ xa và LNS bắt đầu trao đổi dữ liệu thông qua đường hầm. Hình 2.17: Mô tả qui trình thiết lập đường hầm L2TP L2TP, giống PPTP và L2F, hỗ trợ hai chế độ hoạt động L2TP, bao gồm: Chế độ gọi đến, yêu cầu kết nối được khởi tạo bởi người dùng từ xa. Chế độ gọi đi, yêu cầu kết nối được khởi tạo bởi LNS. Do đó, LNS chỉ dẫn LAC lập một cuộc gọi đến người dùng từ xa. Sau khi LAC thiết lập cuộc gọi, người dùng từ xa và LNS có thể trao đổi những gói dữ liệu đã qua đường hầm. Dữ liệu trên đường hầm L2TP Tương tự PPTP gói tin đi qua đường hầm, L2TP đóng gói dữ liệu trải qua nhiều tầng đóng gói. Sau đây là một số giai đoạn đóng gói của dữ liệu trên đường hầm L2TP: PPP đóng gói dữ liệu không giống phương