1 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Nguyễn Thị Phương MẠNG RIÊNG ẢO VÀ GIẢI PHÁP HỆ THỐNG TRONG TỔNG CỤC THUẾ Ngành: Công nghệ Thông tin Chuyên ngành: Truyền dữ liệu và Mạng máy tính Mã số: 60 48 15 LUẬN VĂN THẠC SĨ NGƯỜI HƯỚNG DẪN KHOA HỌC PGS TS. NGUYỄN VĂN TAM \Hà Nội - 2009 2 MỤC LỤC Trang phụ bìa Lời cam đoan Lời cảm ơn Mục lục 1 Danh mục các thuật ngữ và các từ viết tắt 3 Danh mục hình vẽ 5 MỞ ĐẦU 7 CHƯƠNG 1 TỔNG QUAN VỀ MẠNG RIÊNG ẢO 10 1.1 Tổng quan 10 1.2 Khái niệm VPN 10 1.3 Khái niệm đường hầm 11 1.4 Phân loại VPN 11 1.4.1 Overlay VPN 12 1.4.2 Site to site VPN ( Mô hình VPN ngang cấp) 16 1.5 Kết luận 22 CHƯƠNG 2 MẠNG RIÊNG ẢO TRÊN NỀN CÔNG NGHỆ MPLS 23 2.1 Vấn đề đặt ra? 23 - Tính khả chuyển 23 - Điều khiển lưu lượng 24 - Chất lượng của dịch vụ (QoS) 24 2.2 Chuyển mạch nhãn đa giao thức là gì? 26 2.2.1 Khái niệm 26 2.2.2 Đặc điểm mạng MPLS 26 2.2.3 Một số khái niệm cơ bản trong kiến trúc MPLS 27 2.2.4 Phương thức hoạt động của công nghệ MPLS 30 2.2.5 Chuyển tiếp gói MPLS và đường chuyển mạch nhãn 34 2.3 Kết luận 40 CHƯƠNG 3 ỨNG DỤNG MPLS IP VPN VÀO HỆ THỐNG MẠNG NGÀNH VÀ GIẢI PHÁP HỆ THỐNG 42 3.1 Bối cảnh chung 42 3.2 Đánh giá ưu nhược điểm của hệ thống cơ sở hạ tầng hiện tại 45 3 3.2.1 Mô hình kết nối WAN và những vấn đề đặt ra? 45 3.2.2 Mô hình kết nối Internet và những vấn đề nảy sinh 47 3.3 Giải pháp MPLS IP VPN để nâng cao an ninh cho hệ thống mạng TCT 52 3.3.1 Đề xuất cải tiến để đảm bảo tính dự phòng và an ninh cho hệ thống52 3.3.2 Giải pháp thiết kế hệ thống 55 3.3.3 Đánh giá về hệ thống đảm bảo an ninh 69 3.3.4 Hoạt động thử nghiệm 76 3.4 Kết luận 77 CHƯƠNG 4 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 79 4 DANH MỤC CÁC THUẬT NGỮ VÀ CÁC TỪ VIẾT TẮT Tên viết tắt Nội dung BTC Bộ tài chính C (Custommer network) – C network Hệ thống khách hàng sử dụng dịch vụ của nhà cung cấp CE(Customer network device) Các thiết bị trong hệ thống C – network mà dùng để kết nối với hệ thống của nhà cung cấp CEF Cisco Express Forwarding CPE Chính là các CE router và các CE router này được nối với các PE router khi đó một mạng VPN bao gồm nhóm các CE router kết nối với PE router của nhà cung cấp dịch vụ, Tuy nhiên chỉ có PE router mới có khái niệm về VPN còn CE router không nhận thấy những gì đang diễn ra trong mạng của nhà cung cấp và coi như chúng đang được kết nối với nhau thông qua mạng riêng Customer site Một phần trong hệ thống C network mà các thành phần này là láng giềng của nhau giữa chúng có nhiều liên kết vật lý FEC Lớp chuyển tiếp tương đương FEC Lớp chuyển tiếp tương đương Frame Relay Công nghệ chuyển mạch khung IP Internet Protocol L2PT ( Layer 2 Tunnening Protocol) Giao thức đường hầm lớp 2 MPLS (Multiprotocol Label Switching ) Chuyển mạch nhãn đa giao thức P: Provider – P network Nhà cung cấp dịch vụ VPN 5 Tên viết tắt Nội dung PE (Provider edge device) Các thiết bị trong hệ thống mạng P network mà dùng để kết nối với hệ thống của khách hàng PPTP (Point to Point Tunnening Protocol) Giao thức đường hầm điểm điểm PVC Kênh ảo cố định PVC ( permanent virtual circuit) Mạch ảo cố định QoS (Quality of Service) Chất lượng dịch vụ Router Bộ định tuyến SVC (switch virtual circuit) Mạch ảo chuyển đổi TCT Tổng cục thuế TDM ( time divisor multiplexing) Công nghệ chuyển mạch kênh, tách ghép kênh theo thời gian TTM Trung tâm miền TTT Trung tâm tỉnh VC(Vitual chanel) Kênh ảo VPN (Vitual private network) Mạng riêng ảo VRF(vitual routing/forwarding table) Bảng định tuyến ảo X.25 Công nghệ chuyển mạch gói 6 DANH MỤC HÌNH VẼ Hình 1.2 Over lay VPN triển khai ở lớp 2 13 Hình 1.3 Mô hình Overlay VPN triển khai ở lớp 3 14 Hình 1.4 Mô hình triển khai dưới dạng đường hầm 15 Hình 1.5 Mô hình Overlay VPN 15 Hình 1.6 Mô hình site to site VPN 17 Hình 1.7 Mô hình VPN ngang cấp sử dụng router dùng chung 18 Hình 1.8 Mô hình VPN ngang cấp với router dùng chung 19 Hình 1.9 Mô hình VPN ngang cấp sử dụng router dành riêng 20 Hình 1.10 Mô hình router dành riêng 21 Hình 2.1 Full mesh với 6 kết nối ảo 24 Hình 2.2 Một ví dụ về mạng IP dựa trên mạng lõi ATM 25 Hình 2.3 Nhãn kiểu khung 27 Hình 2.4 Nhãn kiểu tế bào 28 Hình 2.5 Cấu trúc cơ bản của một nút MPLS 31 Hình 2.6 Các FEC riêng biệt cho mỗi tiền tố địa chỉ 33 Hình 2.7 Tổng hợp các FEC 33 Hình 2.8 Sự tạo nhãn MPLS và chuyển tiếp 34 Hình 2.9 Các ứng dụng khác nhau của MPLS 35 Hình 2.10 Mô hình mạng MPLS 38 Hình 3.1 Hạ tầng mạng BTC 43 Hình 3.2 Mô hình Overlay layer – 2 – VPN tại mạng trục 45 Hình 3.3 Mô hình Peer – to – Peer VPN tại TTM, TTT 46 Hình 3.4 Mô hình kết nối Internet BTC 48 Hình 3.5 Kết nối mạng diện rộng hệ thống Thuế 50 Hình 3.6 Dòng dữ liệu ngành Thuế 51 Hình 3.7 Kiến trúc hệ thống truyền thông BTC 52 Hình 3.8 Sơ đồ kết nối mạng trục BTC 53 Hình 3.9 Các kết nối WAN giữa hai trung tâm miền 54 Hình 3.10 Sơ đồ hệ thống mạng phân bố từ TTM xuống các TTT 55 Hình 3.11 Cấu trúc mạng trục với WAN truyền thống và MPLS VPN 56 Hình 3.12 Mô hình kết nối sử dụng dịch vụ MPLS IP VPN 56 Hình 3.13 Khả năng định tuyến gói tin trong MPLS IP VPN 57 Hình 3.14 Mô hình các vùng MPLS IP VPN sẽ thuê của nhà cung cấp dịch vụ 57 Hình 3.15 Mô hình kết nối sử dụng IP Sec VPN thông qua Internet 58 7 Hình 3.16 Lớp mạng trục BTC 59 Hình 3.17 Kết nối từ TTT lên TTM 60 Hình 3.18 Lớp mạng phân phối Bộ tài chính 61 Hình 3.19 Các phân lớp mạng 62 Hình 3.20 Virtual Interface với GRE Encapsulation thông qua mạng MPLS VPN công cộng 63 Hình 3.21 Các kết nối GRE trên hệ thống 64 Hình 3.22 Mạng trung ương các ngành truy cập vào mạng WAN BTC 65 Hình 3.23 Lớp truy cập của các đơn vị vào mạng WAN bộ tài chính 66 Hình 3.24 Sử dụng 02 Router kết nối cho các đơn vị có yêu cầu tính dự phòng rất cao 66 Hình 3.25 Truy cập IPSec VPN tới MPLS VPN bộ tài chính thông qua Internet 67 Hình 3.26 Mô hình khai báo Thuế On-line 69 Hình 3.27 Kiến trúc bảo mật đề xuất 70 Hình 3.28 Mã hoá đường truyền Leased – lines giữa TTT - TTM 71 Hình 3.29 Mô hình phân tách các lớp mạng, đảm bảo an ninh cho các đơn vị 72 Hình 3.30 An ninh vòng ngoài 74 Hình 3.31 Bảo vệ các hệ thống ứng dụng 75 Hình 3.32 Mô hình thử nghiệm 76 8 MỞ ĐẦU Thế kỷ 20 được coi là thế kỷ của những phát minh quan trọng thúc đẩy xã hội phát triển. Đi đầu trong cuộc cách mạng này không thể không kể tới những tiến bộ vượt bậc áp dụng trong Thuế, Ngân hàng - một trong những thành phần kinh tế then chốt đáp ứng các nhu cầu tài chính huyết mạch của nền kinh tế. Ngày nay, khi mà càng có nhiều công ty kết nối mạng doanh nghiệp của mình với Intemet, hay một công ty có nhiều trụ sở ở các vị trí địa lý khác nhau cần liên lạc thông tin nội bộ ngành với nhau khi đó việc bảo mật thông tin ngành là điều bắt buộc vì vậy phải đối mặt với một vấn đề không tránh khỏi đó là bảo mật thông tin. Viêc chia sẻ thông tin trên một mạng công cộng cũng có nghĩa là những người muốn tìm kiếm, khôi phục thông tin đều có thể lên mạng. Điều gì sẽ xảy ra nếu một người tiếp cận thông tin lại có ý định phá mạng. Nhưng hacker có ý đồ xấu như nghe lén thông tin, tiếp cận thông tin không chính đáng, trái phép, lừa bịp, sao chép thông tin đang là mối đe doạ lớn cho việc bảo mât trên mạng. Vậy làm thế nào để chúng ta có thể bảo mật thông tin trong quá trình truyền tin trên một mạng chung? Có rất nhiều phương án để đảm bảo truyền tin trên mạng một cách an toàn một trong những phương án hữu hiệu nhất hiện nay là triển khai một mạng riêng ảo (Virtual private network - VPN). VPN là những hệ thống mạng được triển khai dựa trên quy tắc: vẫn áp dụng tiêu chuẩn bảo mật, quản lý chất lượng dịch vụ trong hệ thống mạng công cộng vào hệ thống mạng cá nhân. VPN cung cấp cho chúng ta một sự lựa chọn mới: Xây dựng một mạng cá nhân cho các thông tin liên lạc klểu site- to- site trên một mạng công cộng hay Intemet. Bởi vì nó hoat động trên một mạng chung thay vì một mạng cá nhân nên các công ty có thể mở rộng WAN của mình môt cách hiệu quả, những khách hàng di động hay những văn phòng ở nơi xa xôi, khách hàng hay nhà cung cấp hay những đối tác kinh doanh. VPN mở rộng WAN truyền thống bằng cách thay thế những kết nối điểm tới điểm vật lý bằng những kết nổi điểm tới điểm logic chia sẻ một hạ tầng chung, cho phép tất cả lưu lượng tổng hợp, hội tụ vào một kết nối vât lý duy nhất. Kết quả là tạo nên băng thông tiềm năng và có thể tiết kiệm chí phí tại đầu ra. Bởi vì khách hàng không còn phải duy trì một mạng cá nhân và bản thân VPN cũng rẻ hơn và tiết kiệm chi phí đáng kể so với WAN, do đó toàn bộ chi phí hoạt động vận hành có thể giảm. VPN chính là sự thay thế cho hạ tầng WAN, nó thay thế và thậm chí còn tăng cường các hệ thống mạng thương mại cá nhân sử dụng kênh thuê riêng, frame- relay hay ATM. Luận văn “Mạng riêng ảo và giải pháp hệ thống trong Tổng Cục Thuế” đi vào nghiên cứu về mạng riêng ảo, phân tích các loại mạng riêng ảo hiện nay và cho thấy 9 những mặt tích cực và hạn chế của từng loại, bên cạnh đó nghiên cứu một công nghệ mới MPLS – công nghệ chuyển mạch nhãn đa giao thức – , Các ứng dụng của công nghệ MPLS đi sâu vào nghiên cứu một trong ứng dụng quan trọng của công nghệ MPLS chính là mạng riêng ảo. Trên cơ sở phân tích mang tính lý thuyết trên thì luận văn cũng đưa ra giải pháp để ứng dụng công nghệ mới này vào hệ thống mạng thực tế hiện nay ở Tổng cục thuế. Về bố cục, nội dung luận văn được chia ra làm 3 chương: Chương 1: Nghiên cứu tổng quan về mạng riêng ảo, các loại mạng riêng ảo hiện nay. Chương 2: Nghiên cứu về mạng riêng ảo trên nền công nghệ MPLS Chương 3: Nghiên cứu về hệ thống mạng truyền thông hiện nay của Tổng cục thuế trên cơ sở phân tích, khảo sát hiện trạng hệ thống mạng của Bộ tài chính và đưa ra các giải pháp và mô hình thiết kế mới mang tính ứng dụng khả thi về kỹ thuật công nghệ và kinh tế. Chương 4: Kết luận và hướng phát triển Ngoài ra, luận văn còn có thêm các danh mục các thuật ngữ, các từ viết tắt, danh mục bảng biểu, hình vẽ và danh mục các tài liệu tham khảo để thuận tiện cho việc tìm hiểu và tra cứu nội dung của luận văn. 10 CHƯƠNG 1 TỔNG QUAN VỀ MẠNG RIÊNG ẢO Trong chương này, báo cáo luận văn sẽ giới thiệu tổng quan về mạng riêng ảo, khái niệm VPN, khái niệm đường hầm, phân loại VPN. Đi sâu vào hai loại VPN chính đó là: mô hình Overlay VPN và site to site VPN. Trên cơ sở phân tích nội dung của từng loại cho ta thấy rõ được những ưu, nhược còn tồn tại trong mỗi mô hình. 1.1 Tổng quan VPN là một thuật ngữ quen thuộc hiện nay, nó là một sự lựa chọn gần như tối ưu đối với một công ty có từ 2 chi nhánh trở lên có nhu cầu kết nối mạng với nhau, hoặc có nhu cầu thiết lập một mối quan hệ thân thiết với khách hàng, đối tác, hoặc đặc thù công việc là có nhiều nhân viên làm việc từ xa. Ai cũng biết VPN không còn là một thuật ngữ mới, tuy nhiên không phải ai cũng biết VPN đã được đề cập và xây dựng từ cuối thập kỷ 80 của thế kỷ trước, và nó cũng trải qua nhiều giai đoạn phát triển. Thế hệ VPN thứ nhất do AT&T phát triển có tên là SDNs (Software Defined Networks) Thế hệ thứ 2 là ISDN và X25 Thế hệ thứ 3 là FR và ATM Và thế hệ hiện nay, thế hệ thứ 4 là VPN trên nền mạng IP Thế hệ tiếp theo sẽ là VPN trên nền mạng MPLS. 1.2 Khái niệm VPN VPN là công nghệ cung cấp một phương thức giao tiếp an toàn giữa các mạng riêng dựa vào kỹ thuật đường hầm để tạo ra một mạng riêng trên cơ sở hạ tầng mạng dùng chung (mạng Internet). Về bản chất đây là quá trình đặt toàn bộ gói tin vào trong một lớp tiêu đề chứa thông tin định tuyến có thể truyền an toàn qua mạng công cộng. VPN là một mạng riêng sử dụng để kết nối các mạng riêng lẻ hay nhiều người sử dụng ở xa thông qua các kết nối ảo dẫn qua đường Internet thay cho một kết nối thực, chuyên dụng như đường leased line. VPN bao gồm hai phần: mạng của nhà cung cấp dịch vụ và mạng của khách hàng trong đó mạng của nhà cung cấp dịch vụ chạy dọc cơ sở hạ tầng mạng công cộng, bao gồm các bộ định tuyến cung cấp dịch vụ cho mạng của khách hàng. [...]... định Vì vậy hệ thống mạng đảm bảo tính riêng tư nhờ đưa lộ trình vào trong đường hầm tới một điểm đến Hệ thống đường hầm GRE không có khả năng đảm bảo tính an toàn, để hệ thống được tốt hơn thì có thể kết hợp GRE và IPSec Khi ta triển khai VPN trên lớp 3 thông qua hệ thống mạng công cộng thì hệ thống đường hầm được thiết lập IPSec cung cấp dịch vụ đảm bảo tính an toàn thông tin cao nó đảm bảo thông tin... hầm logic địa phương Kết nối được tạo ra duy trì và kết thúc sử dụng giao thức quản lý đường hầm 1.4 Phân loại VPN Mạng riêng ảo có thể là hệ thống mạng ảo giữa hai đầu cuối hệ thống hay giữa hai hay nhiều mạng riêng Do đó ta có thể chia mạng mạng riêng ảo thành hai loại chính đó là: Customer – based VPN ( hay còn gọi là Overlay VPN): là mạng riêng ảo được cấu hình trên các thiết bị của khách hàng... đóng gói tại nguồn và mở gói tại điểm đích Đường hầm logic giữa hai mạng này được duy trì trong suốt tiến trình gửi dữ liệu Đường hầm dùng để vận chuyển dữ liệu cho mục đích riêng tư, thông thường là hệ thống mạng của một tập đoàn thông qua hệ thống mạng công cộng Với cách hiểu đó các nút định tuyến trong hệ thống mạng công cộng không biết rằng luồng vận chuyển đó là của hệ thống mạng riêng hay chung... 1.5 Kết luận Ngày nay, hệ thống mạng phát triển mạnh, nhu cầu chia sẻ tài nguyên trên mạng là một vấn đề tất yếu Một yêu cầu cấp bách đặt ra hiện nay đó là việc an toàn dữ liệu khi đi trên hệ thống mạng Có rất nhiều giải pháp, VPN là một trong những giải pháp hiệu quả, và được ứng dụng rộng rãi Dịch vụ VPN cho phép kết nối mạng riêng với chỉ 1 đường kênh vật lý duy nhất, chi phí rẻ so với công nghệ truyền... là giải pháp hiệu quả về giá cả 21 Hình 1.10 Mô hình router dành riêng Trong mô hình này có 2 mạng riêng biệt: VPN-101, VPN-201 và triển khai qua 4 site khách hàng khác nhau VPN-101 được triển khai cho hai nơi Paris và Brussels và VPN-201 được triển khai cho một nơi là London Bộ định tuyến của nhà cung cấp dịch vụ trong mạng của nhà cung cấp chứa toàn bộ bộ định tuyến của hai mạng riêng ảo VPn-101 và. .. qua đường hầm IP Thông qua đường hầm IP thì việc lưu thông là trong suốt đối với đích và nguồn song vấn đề là ta phải biết rõ ràng topo mạng Chính vì vậy hệ thống mạng ảo có thể được tạo ra bởi sự phối hợp các các thiết bị không kết nối hoặc máy chủ với nhau thông qua một đường hầm Việc triển khai đường hầm đảm bảo được tính riêng tư của hệ thống địa chỉ mạng dọc theo mạng xương sống của nhà cung cấp... rộng rãi tại Việt Nam Việc nghiên cứu và phân tích các loại VPN hiện nay cho ta thấy được ưu cũng như nhược điểm của từng mô hình để từ đó ứng dụng vào thực tế cho phép ta có những lựa chọn đúng đắn phù hợp với từng nhu cầu của ứng dụng 23 CHƯƠNG 2 MẠNG RIÊNG ẢO TRÊN NỀN CÔNG NGHỆ MPLS Trong chương này báo cáo luận văn sẽ trình bày về công nghệ MPLS- là một công nghệ đang được ứng dụng rộng rãi hiện... thức chủ đạo trong lĩnh vực mạng Xu hướng của nhà cung cấp dịch vụ là thiết kế và sử dụng các router chuyên dụng với dung lượng truyền tải lớn hỗ trợ các giải pháp tích hợp, chuyển mạch đa lớp cho mạng trục Internet Nhu cầu cấp thiết trong bối cảnh này là phải ra đời một công nghệ lai có khả năng kết hợp những đặc điểm tốt của chuyển mạch kênh ATM và chuyển mạch gói IP Công nghệ MPLS ra đời trong bối... riêng ảo VPn-101 và VPN-201 và nó lọc các thông tin định tuyến cập nhật của các Paris PE, London PE, và Brussels PE sử dụng BGP Communities Từ hai phương pháp trên ta thấy: Phương pháp dùng chung router rất khó duy trì vì nó yêu cầu cần phải có danh sách truy cập dài và phức tạp trên giao diện của router Còn phương pháp dùng router riêng, mặc dù có vẻ đơn giản về cấu hình và dễ duy trì hơn nhưng nhà... một chuẩn trong Internet, nó quy định các chuẩn quy ước giữa người dùng và các thiết bị Nó được triển khai một cách trong suốt” trong hệ thống cơ sở hạ tầng của mạng Người sử dụng đầu cuối không cần quan tâm xem gói tin bị chặn hay chuyển đi như thế nào trên mạng bởi IPSec Overlay VPN được triển khai dưới dạng đường hầm Việc triển khai thành công các công nghệ gắn với địa chỉ IP nên một vài nhà cung . thế và thậm chí còn tăng cường các hệ thống mạng thương mại cá nhân sử dụng kênh thuê riêng, frame- relay hay ATM. Luận văn “Mạng riêng ảo và giải pháp hệ thống trong Tổng Cục Thuế đi vào. TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Nguyễn Thị Phương MẠNG RIÊNG ẢO VÀ GIẢI PHÁP HỆ THỐNG TRONG TỔNG CỤC THUẾ Ngành: Công nghệ Thông tin Chuyên ngành: Truyền dữ liệu và Mạng máy tính Mã. công nghệ mới này vào hệ thống mạng thực tế hiện nay ở Tổng cục thuế. Về bố cục, nội dung luận văn được chia ra làm 3 chương: Chương 1: Nghiên cứu tổng quan về mạng riêng ảo, các loại mạng riêng