đại học quốc gia hà nội đại học công nghệ Tr-ơng Hoài Nam Nghiên cứu công nghệ mạng riêng ảo vpn/mpls triển khai ứng dụng ngân hàng nhà n-ớc việt nam luận văn thạc sỹ Hà Nội - 2006 đại học quốc gia hà nội đại học công nghệ Tr-ơng Hoài Nam Nghiên cứu công nghệ mạng riêng ảo vpn/mpls triển khai ứng dụng ngân hàng nhà n-ớc việt nam Ngành : Công nghệ Điện tử Viễn thông Chuyên Ngành : Kỹ thuật vô tuyến điện tử thông tin liên lạc Mã Số : 07 00 luận văn thạc sỹ Ng-ời h-ớng dẫn khoa häc: psg Ts Ngun viÕt kÝnh Hµ Néi - 2006 MỤC LỤC MỤC LỤC Danh mục ký hiệu, chữ viết tắt Danh mục hình vẽ MỞ ĐẦU 10 CHƢƠNG TỔNG QUAN VỀ CÔNG NGHỆ MẠNG RIÊNG ẢO VPNERROR! BOOKMARK NOT DEFINED 1.1 Giới thiệu VPN Error! Bookmark not defined 1.2 Các loại mạng VPN Error! Bookmark not defined 1.2.1 VPN truy cập từ xa (Remote access VPN) Error! Bookmark not defined 1.2.2 Intranet VPN Error! Bookmark not defined 1.2.3 Extranet VPN Error! Bookmark not defined 1.3 Các thành phần mạng VPN Error! Bookmark not defined 1.4 Các giao thức tạo đường hầm VPN Error! Bookmark not defined 1.4.1 Giao thức PPTP (Point-To-Point Tunning Protocol) Error! Bookmark not defined 1.4.2 Giao thức L2TP (Layer Tunneling Protocol) Error! Bookmark not defined 1.4.3 Giao thức IPSec (IP Security Protocol) Error! Bookmark not defined 1.4.4 SSL VPN (Secure Socket Layer VPN) Error! Bookmark not defined CHƢƠNG BẢO MẬT TRONG VPN ERROR! BOOKMARK NOT DEFINED 2.1 Các dịch vụ bảo mật Error! Bookmark not defined 2.1.1 Xác thực Error! Bookmark not defined 2.1.2 Chữ ký điện tử Error! Bookmark not defined 2.1.3 Kiểm soát truy cập Error! Bookmark not defined 2.1.4 Tính bí mật liệu Error! Bookmark not defined 2.1.5 Tính tồn vẹn liệu Error! Bookmark not defined 2.2 Bảo mật giao thức PPTP Error! Bookmark not defined 2.3 Bảo mật giao thức L2TP Error! Bookmark not defined 2.4 Bảo mật giao thức IPSec Error! Bookmark not defined 2.4.1 Bảo mật AH Error! Bookmark not defined 2.4.1.1 Thuật toán băm MD5 Error! Bookmark not defined 2.4.1.2 Thuật toán SHA1 Error! Bookmark not defined 2.4.1.3 Thuật toán HMAC Error! Bookmark not defined 2.4.2 Bảo mật ESP Error! Bookmark not defined 2.4.3 Quản lý trao đổi khoá Error! Bookmark not defined CHƢƠNG CÔNG NGHỆ CHUYỂN MẠCH NHÃN ĐA GIAO THỨC MPLSERROR! BOOKMARK NOT D 3.1 Giới thiệu công nghệ MPLS Error! Bookmark not defined 3.2 Chuẩn hoá MPLS Error! Bookmark not defined 3.3 Các thành phần, khái niệm MPLS Error! Bookmark not defined 3.4 Các chế độ hoạt động MPLS Error! Bookmark not defined 3.4.1 Chế độ hoạt động khung Error! Bookmark not defined 3.4.2 Chế độ hoạt động tế bào Error! Bookmark not defined 3.5 Các giao thức sử dụng mạng MPLS Error! Bookmark not defined 3.5.1 Giao thức phân phối nhãn LDP Error! Bookmark not defined 3.5.1.1 Các tính chất LDP Error! Bookmark not defined 3.5.1.2 Phát LSR lân cận Error! Bookmark not defined 3.5.1.3 Các tin LDP Error! Bookmark not defined 3.5.2 Giao thức định tuyến cưỡng CR-LDP Error! Bookmark not defined 3.5.2.1 Khái niệm định tuyến cưỡng Error! Bookmark not defined 3.5.2.2 Các phần tử định tuyến cưỡng bứcError! Bookmark not defined 3.5.3 Giao thức báo hiệu RSVP Error! Bookmark not defined CHƢƠNG ỨNG DỤNG MẠNG RIÊNG ẢO VPN TRÊN MẠNG MPLSERROR! BOOKMARK NOT DEFINE 4.1 Mơ hình chồng lấn Error! Bookmark not defined 4.2 Mơ hình ngang hàng Error! Bookmark not defined 4.3 Các định tuyến ảo MPLS VPN Error! Bookmark not defined 4.4 Kiến trúc MPLS VPN Error! Bookmark not defined 4.4.1 Gửi chuyển tiếp MPLS VPN Error! Bookmark not defined 4.4.2 Nhận biết động định tuyến lân cận MPLS VPNError! Bookmark not defined 4.4.3 DiffSer MPLS VPN Error! Bookmark not defined 4.5 Vấn đề bảo mật MPLS VPN Error! Bookmark not defined 4.5.1 Bảo mật định tuyến Error! Bookmark not defined 4.5.2 Bảo mật liệu Error! Bookmark not defined 4.5.3 Bảo mật mạng vật lý Error! Bookmark not defined 4.6 Chất lượng dịch vụ MPLS VPN Error! Bookmark not defined 4.6.1 Mơ hình “ống” hỗ trợ QoS Error! Bookmark not defined 4.6.2 Mơ hình “vòi” hỗ trợ QoS Error! Bookmark not defined 4.6.3 Các tham số chất lượng Error! Bookmark not defined CHƢƠNG TRIỂN KHAI VPN/MPLS THỰC TẾ ERROR! BOOKMARK NOT DEFINED 5.1 So sánh IPSec MPLS Error! Bookmark not defined 5.1.1 Vai trò MPLS Error! Bookmark not defined 5.1.2 Vai trò IPSec Error! Bookmark not defined 5.1.3 Tích hợp VPN IPSec VPN MPLS Error! Bookmark not defined 5.2 Triển khai ứng dụng VPN Ngân hàng Nhà nước Việt Nam Error! Bookmark not defined 5.2.1 Giải pháp VPN Nokia Checkpoint 104 5.2.2 Giải pháp VPN Cisco 109 5.2.3 Giải pháp VPN Microsoft 110 KẾT LUẬN ERROR! BOOKMARK NOT DEFINED TÀI LIỆU THAM KHẢO 12 Danh mục ký hiệu, chữ viết tắt Viết tắt AH ATM AS BGP CE CHAP CoS Tiếng Anh Tiếng Việt Authentication Header Xác thực tiêu đề Asynchronous Transfer Mode Phương thức truyền dẫn không đồng Autonomous System Hệ thống tự trị Border Gateway Protocol Giao thức biên Customer Edge Bộ định tuyến biên khách hàng Challenge Handshake Authentication Protocol Giao thức xác thực bắt tay theo yêu cầu Class of Service Lớp dịch vụ CR-LDP Constraint Routing - LDP Giao thức định tuyến cưỡng CSPF Constraint base Shortest Path First Định tuyến cưỡng chọn đường ngắn DES Data Encryption Standard Chuẩn mã hoá liệu DLCI Data Link Connection Identifier Nhận dạng kết nối liên kết liệu Frame Relay ESP Encapsulating Security Payload Phương thức đóng gói bảo mật tải tin FEC Forwarding equivalence class Nhóm chuyển tiếp tương đương FIB Forward Information Base Cơ sở liệu chuyển tiếp FR Frame Relay Chuyển tiếp khung IETF Internet Engineering Task Force Tổ chức chuyên trách kỹ thuật Internet IGP Interior Gateway Protocol Giao thức định tuyến, giao thức thông dụng RIP OSPF IKE Internet Key Exchange Phương thức trao đổi khoá Internet Internet Protocol Security Giao thức IP bảo mật ISO International Organization for Standardization Tổ chức quốc tế tiêu chuẩn hoá ISP Internet Service Provider Nhà cung cấp dịch vụ L2TP Layer Tunnel Protocol Giao thức đường hầm lớp LAN Local Area Network Mạng nội LDP Label Distribution Protocol Giao thức phân phối nhãn LER Label Edge Router Router chuyển mạch nhãn biên LFIB Label Forwarding Information Base Cơ sở liệu nhãn chuyển tiếp LIB Label Information Base Cơ sở liệu nhãn LSP Label Switched Path Đường chuyển mạch nhãn LSR Label Switching Router Router chuyển mạch nhãn MD5 Message-Digest Algorithm Thuật toán mã hoá MD5 MPLS Multiprotocol Label Switching Chuyển mạch nhãn đa giao thức MPPE Microsoft Point to Point Encryption Phương thức mật mã hoá điểm điểm Microsoft NAS Network Access Server Máy phục vụ truy cập mạng NAT Network Address Traslation Chuyển đổi địa mạng OSPF Open Shortest Path First Giao thức tìm đường ngắn PAP Password Authentication Protocol Giao thức xác thực mật PE Provider Edge Router Bộ định tuyến biên nhà cung cấp PPP Point to Point Protocol Giao thức điểm điểm PNA Private Network Administrator Nhà quản trị mạng riêng IPSec Giao thức đường hầm điểm điểm PPTP Point-to-Point Tunneling Protocol PSTN Public Switched Telephone Network Mạng điện thoại công cộng Quality of Service Chất lượng dịch vụ Remote Authentication Dial – In User Serviece Dịch vụ xác thực người dùng quay số từ xa RAS Remote Access Server Máy chủ truy cập từ xa RIP Routing Information Protocol Giao thức thông tin định tuyến - giao thức định tuyến distance- vector RSVP Resource Reservation Protocol Giao thức dành riêng tài nguyên SHA Secure Hash Algorithm Thuật toán băm bảo mật SPED Service Provider Edge Device Thiết bị biên nhà cung cấp dịch vụ Terminal Access Controller Access Control System Hệ thống điều khiển truy cập điều khiển truy cập đầu cuối TOS Tunnel Origination Server Máy nguồn đường hầm VC Vitual Circuit Mạch ảo Virtual Private Network Mạng riêng ảo VPNID VPN Identifier Giá trị định danh mạng VPN VR Vitual Router Bộ định tuyến ảo QoS RADIUS TACACS VPN Danh mục hình vẽ Hình 1.1 - Mạng riêng ảo VPN Hình 1.2 – VPN truy cập từ xa Hình 1.3 - Mơ hình Remote Access VPN, Intranet Extranet VPN Hình 1.4 - Mơ hình đường hầm Tunnel Hình 1.5 - Kết nối PPP máy khách máy phục vụ truy cập mạng Hình 1.6 - Kiến trúc PPTP Hình 1.7 - Kết nối điều khiển PPTP tới máy phục vụ PPTP qua PPP Hình 1.8 - Đường hầm chủ động Hình 1.9 - Đường hầm thụ động Hình 1.10 - Q trình chuyển gói tin mã hố qua đường hầm PPTP Hình 1.11 - Kiến trúc L2TP Hình 1.12 - Q trình chuyển gói tin qua đường hầm L2TP Hình 1.13 - Kiến trúc IPSec Hình 2.1 - Máy chủ xác thực cấp quyền truy cập từ xa Hình 2.2 - Chữ ký điện tử Hình 2.3 - Chữ ký RSA Hình 2.4 - Thuật tốn băm Hình 2.5 - Mã hố theo chuỗi khối liên tục (CBC) Hình 2.6 - Trao đổi khố Diffie Hellman Hình 3.1- Các định dạng nhãn Hình 3.2 - Mạng MPLS chế độ hoạt động khung Hình 3.3 - Cấu trúc LSR biên Hình 3.4 - Nhãn MPLS khung lớp Hình 3.5 - Phân bổ nhãn mạng ATM-MPLS Hình 3.6 - Trao đổi thơng tin LSR cận kề Hình 3.7 - Cơ chế thiết lập kênh ảo điều khiển MPLS Hình 3.8 - Ví dụ CSPF Hình 3.9 - Các tin PATH, RESV Hình 3.10 - Nhãn phân phối bảng tin RESV Hình 4.1 - Mơ hình chồng lấn Hinh 4.2 - Mơ hình ngang hàng Hình 4.3 - Kiến trúc mạng MPLS VPN Hình 4.4 - Dán nhãn định tuyến PE Hình 4.5 - Sử dụng tập nhãn hai mức Hình 4.6 - Miền định tuyến vật lý Hình 4.7 - Miền định tuyến ảo Hình 4.8 - Mơ hình ống QoS Hình 4.9 - Mơ hình vòi QoS Hình 5.1 - Vị trí IPSec MPLS Hình 5.2 - Tích hợp IPSec MPLS Hình 5.3 - Thiết lập IPSec VPN Site với giải pháp Nokia Checkpoint Hình 5.4 - Mơ hình triển khai VPN giải pháp Cisco Hình 5.5 - Thiết lập VPN giải pháp Microsoft Hình 5.6 - Một số đặc tính VPN PPTP tạo MỞ ĐẦU Ngày nay, phát triển nhanh chóng cơng nghệ viễn thơng tiên tiến ISDN, ATM, ASDL đặc biệt Internet năm qua kéo theo phát triển hàng loạt dịch vụ đáp ứng nhu cầu đa dạng việc ứng dụng công nghệ thông tin Một loại dịch vụ cơng nghệ mạng riêng ảo – VPN (Virtual Private Network) Theo IETF, VPN mạng diện rộng sử dụng thiết bị, phương tiện truyền thông mạng công cộng với chức bảo mật tạo đường hầm (tunnel), mật mã hoá liệu (encryption), xác thực (authentication) với mục đích đạt tính bảo mật mạng thiết lập dùng riêng Trong xu hướng tồn cầu hố, đặc biệt Việt Nam nhập Tổ chức thương mại giới WTO, kéo theo phát triển công ty xuyên quốc gia, chi nhánh văn phòng đại diện cơng ty lớn khơng phụ thuộc vào vị trí địa lý; nhu cầu truy cập từ xa (làm việc nhà); xu hướng hội nhập mở rộng dẫn đến phát triển dịch vụ VPN tất yếu, kết hợp hoàn hảo Internet mạng dùng riêng Xã hội ngày phát triển, nhu cầu sử dụng dịch vụ tác nghiệp trực tuyến ngày cao, phát triển mạnh mẽ nhiều nhà cung cấp dịch vụ với hệ thống kiến trúc mạng khác trang thiết bị, sản phẩm viễn thông đa dạng tạo thách thức, rào cản lớn mạng dùng riêng việc kết nối mạng với nhau, VPN giải pháp thích hợp trường hợp Hơn nữa, chi phí cho việc thiết lập quản trị mạng diện rộng lớn, sử dụng VPN vừa tiết kiệm mà bảo đảm tính an tồn bảo mật, điều đặc biệt có ý nghĩa cơng ty lớn có chi nhánh Tỉnh, Thành phố hay Quốc gia khác Hai công nghệ trội để ứng dụng tạo VPN MPLS IPSec Mỗi kỹ thuật có giá trị vị trí riêng hệ thống mạng VPN MPLS triển khai tốt vùng lõi (core) mạng nhà cung cấp dịch vụ Trong VPN IPSec phù hợp với cấu hình bảo mật end-to-end Việc thực thi mơ hình mạng bao gồm VPN MPLS IPSec đem lại hiệu lợi ích tốt Cơng nghệ MPLS cung cấp công cụ cải thiện kỹ thuật lƣu lƣợng mạng IP cho phép nhà cung cấp dịch vụ dễ dàng đo đạc, giám sát đáp ứng mức dịch vụ khác MPLS đem đến nhiều ƣu điểm, tận dụng thông minh định tuyến tốc độ chuyển mạch, cung cấp phƣơng thức ánh xạ gói tin IP vào kết nối có hƣớng nhƣ ATM FR Nó cung cấp chế định nghĩa QoS tiêu đề MPLS MPLS sử dụng thông tin định tuyến lớp để thiết lập bảng định tuyến định rõ tài nguyên, đồng thời sử dụng giao thức lớp (FR, ATM) để chuyển mạch định hƣớng thông tin đƣờng dẫn tƣơng ứng MPLS đƣợc coi công nghệ mạng tân tiến giải đƣợc nhiều nhƣợc điểm mạng IP, ATM Vì cơng nghệ MPLS lựa chọn phù hợp cho mạng hệ sau NGN Vì lý trên, đề tài tập trung nghiên cứu công nghệ mạng riêng ảo VPN mạng cơng cộng IPSec, MPLS…, đồng thời phân tích, thiết kế mơ hình, kiến trúc mạng VPN/MPLS đưa sở khoa học để ứng dụng triển khai Ngân hàng Nhà nước Việt Nam Nội dung luận văn trình bày chương: Chƣơng 1: Trình bày tổng quan mạng riêng ảo, kiến thức thành phần mạng riêng ảo, loại mạng riêng ảo giao thức Chƣơng 2: Nghiên cứu chế an ninh, bảo mật sử dụng mạng VPN: xác thức, mã hoá, chữ ký điện tử, tạo đường hầm, tìm hiểu thuật tốn MD5, SHA, HMAC, Diffie Hellman … Chƣơng 3: Đề cập đến công nghệ chuyển mạch nhãn đa giao thức MPLS, sâu nghiên cứu chế hoạt động MPLS, giao thức phân phối nhãn LDP, giao thức định tuyến cưỡng CR LDP, giao thức báo hiệu RSVP… Chƣơng 4: Trên sở chương 3, triển khai ứng dụng mạng riêng ảo MPLS: mơ hình mạng ngang hàng, mơ hình mạng chồng lấn, kiến trúc MPLS/VPN, sau trình bày vấn đề bảo mật chất lượng dịch vụ MPLS/VPN với mơ hình “ống”, mơ hình “vòi” Chƣơng 5: Triển khai MPLS/VPN thực tế, so sánh hai công nghệ mạng riêng ảo IPSec MPLS, sở triển khai ứng dụng mạng riêng ảo VPN Ngân hàng Nhà nước Việt Nam với ba giải pháp Nokia Checkpoint, Cisco Microsoft TÀI LIỆU THAM KHẢO [1] - Brian Williams, Quality of Service Differentiated Services and Multiprotocol Label Switching, White paper, Ericsson, Australia 2000 [2] - Cisco Systems, Overview of Virtual Private Networks and IPSec Technologies [3] – Cisco VPN solution, www.cisco.com/go/vpn [4] - Christopher Y.Metz, IP Switching Protocol and Architectures, McGraw-Hill, NewYork 1998 [5] - Dave Kosiur - Building and Managing Virtual Private Network, USA, 1998 [6] - Harkins, D and Carrel, D (1998), “The Internet Key Exchange”, RFC 2409, November 1998 [7] - IETF Working Group, RFCxxxx http://www.ietf.org/rfc [7a] - IETF RFC 2637 “Point – to – Point Tunneling Protocol (PPTP)” [7b] - IETF RFC 1701 “Generic Routing Encapsulation (GRE)” [7c] - IETF RFC 2661 “Layer Two Tunneling Protocol (L2TP)" [7d] - IETF RFC 2409 “ The Internet Key Exchange (IKE)” [8] – International Business Machines Corporation - Using IPSec to Construct Secure Virtual Private Networks, 1998 [9] - Ivan Pepelnjak and Jim Guichard, MPLS and VPN Architectures - A pratical guide to understanding, designing and deploying MPLS and MPLS-VPN enabled VPNs, Cisco Systems, IN-USA, 2001 [10] - Paul Brittain, Adrian Farrel, MPLS Traffic Engineering: a choice of signalling protocols, Data connection Ltd., UK 2000 [11] - Peter Gutmann - Encryption and Security Tutorial, University of Auckland [12] - R.C.Streijl - Analysis of Managed Virtual Private Network, 2000 [13] - RSA Security Inc - A Guide to Security Technologies, www.rsasecurity.com [14] - Tổng hợp tài liệu từ Internet [15] - Xipeng Xiao, Aln Hannan, Brook Bailey and Lionel M.Ni, Traffic Engineering with MPLS in the Internet  ... mơ hình “vòi” Chƣơng 5: Triển khai MPLS /VPN thực tế, so sánh hai công nghệ mạng riêng ảo IPSec MPLS, sở triển khai ứng dụng mạng riêng ảo VPN Ngân hàng Nhà nước Việt Nam với ba giải pháp Nokia...đại học quốc gia hà nội đại học công nghệ Tr-ơng Hoài Nam Nghiên cứu công nghệ mạng riêng ảo vpn/ mpls triển khai ứng dụng ngân hàng nhà n-ớc việt nam Ngành : Công nghệ Điện tử Viễn thông Chuyên... coi công nghệ mạng tân tiến giải đƣợc nhiều nhƣợc điểm mạng IP, ATM Vì công nghệ MPLS lựa chọn phù hợp cho mạng hệ sau NGN Vì lý trên, đề tài tập trung nghiên cứu công nghệ mạng riêng ảo VPN mạng