Đang truy cập : 596
•Máy chủ tìm kiếm : 3
•Khách viếng thăm : 593
Hôm nay : 103069
Tháng hiện tại : 700648
Tổng lượt truy cập : 49357394
Tổng quan về mạng VPN truyền thống
Các mạng VPN truyền thống sử dụng các chức năng bảo mật như: tạo đường hầm (Tunneling), mã hoá dữ liệu (Encription), nhận thực (Authentication) với mục đích đạt được khả năng bảo mật khi truyền dữ liệu giữa hai đầu cuối. Có rất nhiều các giao thức khác nhau được sử dụng cho các mạng VPN này như: GRE, PPTP, L2TP, và IPSec. Chúng đều dựa trên hoạt động tạo đường truyền dẫn riêng và sử dụng các thuật toán mã hóa dữ liệu. Bài viết này chỉ tập trung nghiên cứu giao thức IPSec vì hiện nay nó được sử dụng rộng rãi cho các mạng VPN và các giao thức trên đều có những hạn chế so với IPSec.
Xét một ví dụ đơn giản về một đường hầm IPSec giữa hai Site trong mạng VPN. Site A nối với site B thông qua mạng của nhà cung cấp dịch vụ hoặc mạng Internet công cộng sử dụng giao thức IPSec với mã hóa 3DES (Hình1).
Hình 1. Kết nối giữa máy tính A và máy tính B trong mạng VPN
Hạn chế đầu tiên và cũng là dễ nhận thấy nhất ở IPSec đó là làm giảm hiệu năng của mạng. Khi xét đường đi của một gói tin được gửi từ máy tính A trong mạng A đến máy tính B trong mạng B. Gói tin từ máy tính A sẽ được gửi đến CPE (Customer Premise Equipment) A. CPE-A sẽ kiểm tra gói tin xem liệu nó có cần thiết phải chuyển đến CPEB hay không. Trong một môi trường mạng không có VPN thì gói tin sẽ được truyền ngay đến CPE-B. Tuy nhiên, với giao thức IPSec, CPE-A phải thực hiện một số thao tác trước khi gửi gói tin đi. đầu tiên, gói tin được mã hóa, sau đó đóng gói vào các gói IP, hoạt động này tiêu tốn thời gian và gây trễ cho gói tin. Tiếp theo gói tin sẽ được đưa vào trong mạng của nhà cung cấp dịch vụ. Lúc này, nếu gói tin mới được tạo thành có kích thước lớn hơn kích thước tối đa cho phép truyền (MTU-Maximum Transmission Unit) trên bất cứ một liên kết nào giữa CPE-A và CPE-B thì gói tin sẽ cần phải được phân mảnh thành hai hay nhiều gói tin nhỏ hơn. điều này chỉ xảy ra trong trường hợp bit DF (Don't Fragment) không được thiết lập, còn trong trường hợp bit DF được thiết lập thì gói tin sẽ bị mất và một bản tin ICMP (Internet Control Message Protocol) sẽ được gửi lại phía phát. Khi gói tin đến được CPE-B, nó sẽ được mở gói và giải mã, hai hoạt động này tiếp tục làm trễ gói tin trong mạng. Cuối cùng, CPE-B sẽ chuyển tiếp gói tin đến máy tính B.
Thời gian trễ trong mạng sẽ phụ thuộc vào độ phức tạp và tốc độ xử lý của các CPE. Các thiết bị CPE chất lượng thấp thường phải thực hiện hầu hết các chức năng IPSec bằng phần mềm khiến trễ trong mạng lớn. Các thiết bị CPE với khả năng thực hiện các chức năng IPSec bằng phần cứng có thể tăng tốc độ xử lý gói tin lên rất nhiều nhưng chi phí cho các thiết bị này là rất đắt. điều này dẫn đến chi phí triển khai một mạng IPSec VPN là rất tốn kém.
Từ ví dụ trên, ta dễ dàng nhận thấy các mạng IPSec VPN là mạng lớp trên của mạng IP và sự trao đổi thông tin trong mạng được thực hiện bằng cách thiết lập các đường hầm giữa các site. điều này sẽ tạo nên những cấu hình mạng không tối ưu. để rõ hơn về vấn đề này, ta sẽ xét hai cấu hình mạng, cấu hình hình sao và cấu hình mạng lưới (full mesh).
Cấu hình mạng hình sao bao gồm một site trung tâm (hub) được nối với rất các site ở xa (spoke) khác. Trong cấu hình này, CPE của site trung tâm thường là một thiết bị rất đắt tiền và phụ thuộc vào số lượng spoke cần kết nối đến. Và mỗi một spoke này sẽ thiết lập một đường hầm IPSec (IPSec tunnel) đến site trung tâm. Cấu hình mạng này không phù hợp cho truyền thông giữa các site nhánh (spoke) với nhau vì gói tin từ spoke này đến spoke kia phải đi qua site trung tâm và tại site trung tâm này sẽ lặp lại các tác vụ như đóng mở gói tin, xác định đường chuyển tiếp, mã hóa và giải mã đối với mỗi gói tin đi qua nó. Có nghĩa là mỗi gói tin sẽ phải đi qua hai đường hầm IPSec dẫn đến trễ xử lý cho mỗi gói tin sẽ tăng gấp đôi so với trường hợp hai spoke có thể trao đổi thông tin trực tiếp với nhau.
Giải pháp duy nhất để khắc phục hiện tượng trên là thiết lập một mạng mắt lưới (fully meshed network). Tuy nhiên, cấu hình này có rất nhiều hạn chế, và điểm hạn chế lớn nhất là khả năng mở rộng mạng. Số lượng các tunnel cần thiết để hỗ trợ một mạng mắt lưới IPSec về phương diện hình học sẽ tăng cùng với số lượng site. Ví dụ một mạng với 20 site sẽ cần 210 đường hầm IPSec và mỗi một site cần có thiết bị CPE có khả năng kết cuối với 210 đường hầm IPSec. Một cấu hình mạng như vậy sẽ phải đòi hỏi mỗi site phải có một CPE phức tạp và đắt tiền. Thậm chí trong một số trường hợp, việc thiết lập một cấu hình mạng “full mesh” là không thể, ta hãy tưởng tượng một mạng 100 site VPN với yêu cầu 4,950 đường hầm!
Một điểm chúng ta cần phải cân nhắc khi triển khai các mạng VPN đó là các thiết bị CPE. Mỗi nhà cung cấp cần phải chắc chắn rằng tất cả các CPE sẽ hoạt động tương thích với nhau. Giải pháp đơn giản và và hiệu quả nhất là sử dụng cùng một loại CPE trong mỗi vùng, tuy nhiên, điều này không phải bao giờ cũng thực hiện được do nhiều yếu tố khác nhau. Tuy ngày nay sự tương thích không phải là một vấn đề lớn nhưng nó vẫn cần phải được quan tâm khi hoạch định một giải pháp mạng IPSec VPN.
Mỗi một CPE phải đóng vai trò như là một router và có khả năng hỗ trợ tunneling. Những CPE với chức năng bổ sung này đòi có giá thành rất cao nên cách duy nhất để triển khai IPSec trong một mạch cầu là tải các phần mềm IPSec client vào tất cả các PC phía sau cầu. Giải pháp này đòi hỏi sự hỗ trợ khách hàng cao dẫn đến những khó khăn trong quản lý mạng.
Khai thác và bảo dưỡng cũng là một vấn đề nữa của các mạng IPSec VPN vì mỗi một đường hầm IPSec đều phải được thiết lập bằng tay. Cấu hình cho một đường hầm IPSec đơn lẻ không phải là vấn đề thế nhưng thời gian để thiết lập và duy trì một mạng VPN với nhiều site sẽ tăng lên đáng kể khi kích thước mạng được mở rộng. đặc biệt là với mạng VPN có cấu hình “full mesh” thì các nhà cung cấp dịch vụ sẽ gặp nhiều khó khăn trong hỗ trợ và xử lý sự cố kỹ thuật.
Vấn đề bảo mật cũng cần được quan tâm trong các mạng VPN. Mỗi CPE có thể truy nhập vào mạng Internet công cộng nhưng tin tức vẫn cần được bảo mật trong quá trình truyền giữa các site. Vì vậy, mỗi thiết bị CPE phải có biện pháp bảo mật nhất định (như Firewall). Và sự quản lý các firewall này sẽ trở nên rất khó khăn nhất là khi kích thước của mạng rất lớn. Với một mạng VPN khoảng 100 nút mạng, sẽ cần 100 firewall và mỗi khi cần một sự thay đổi nhỏ trong chính sách (policy) của firewall, chúng ta phải tiếp cận cả 100 firewall này trong mạng. Rõ ràng đây là một điểm hạn chế lớn của các mạng IPSec VPN về khía cạnh bảo mật.
MPLS-VPN
Không giống như các mạng VPN truyền thống, các mạng MPLS VPN không sử dụng hoạt động đóng gói và mã hóa gói tin để đạt được mức độ bảo mật cao. MPLS VPN sử dụng bảng chuyển tiếp và các nhãn “tags” để tạo nên tính bảo mật cho mạng VPN. Kiến trúc mạng loại này sử dụng các tuyến mạng xác định để phân phối các dịch vụ VPN, và các cơ chế xử lý thông minh của MPLS VPN lúc này nằm hoàn toàn trong phần lõi của mạng.
Trước tiên, ta hãy xem xét một số thuật ngữ được dùng trong mạng MPLS VPN. Thiết bị CPE trong MPLS-VPN chính là các CE (Customer Edge) router và các CE router này được nối với mạng của nhà cung cấp dịch vụ thông qua các PE (Provider Edge) router. Một mạng VPN sẽ bao gồm một nhóm các CE router kết nối với các PE router của nhà cung cấp dịch vụ. Tuy nhiên, chỉ những PE router mới có khái niệm về VPN, còn các CE router thì không “nhận thấy” những gì đang diễn ra bên trong mạng của nhà cung cấp dịch vụ và sẽ coi như chúng đang được kết nối với nhau thông qua một mạng riêng.
Mỗi VPN được kết hợp với một bảng định tuyến - chuyển tiếp VPN (VRF) riêng biệt. VRF cung cấp các thông tin về mối quan hệ trong VPN của một site khách hàng khi được nối với PE router. Bảng VRF bao gồm thông tin bảng định tuyến IP (IP routing table), bảng CEF (Cisco Express Forwarding), các giao diện của bảng định tuyến; các quy tắc, các tham số của giao thức định tuyến... Mỗi site chỉ có thể kết hợp với một và chỉ một VRF. Các VRF của site khách hàng mang toàn bộ thông tin về các “tuyến” có sẵn từ site tới VPN mà nó là thành viên.
Đối với mỗi VRF, thông tin sử dụng để chuyển tiếp các gói tin được lưu trong các bảng định tuyến IP và bảng CEF. Các bảng này được duy trì riêng rẽ cho từng VRF nên nó ngăn chặn được hiện tượng thông tin bị chuyển tiếp ra ngoài mạng VPN cũng như ngăn chặn các gói tin bên ngoài mạng VPN chuyển tiếp vào các router bên trong mạng VPN. đây chính là cơ chế bảo mật của MPLS VPN. Bên trong mỗi một MPLS VPN, có thể kết nối bất kỳ hai điểm nào với nhau và các site có thể gửi thông tin trực tiếp cho nhau mà không cần thông qua site trung tâm.
Tham số phân biệt tuyến RD (Route Distinguisher) giúp nhận biết các địa chỉ IP thuộc VPN riêng biệt nào. Xét mô hình mạng như hình 2, có 3 VPN khác nhau và được xác định bởi các RD: 10, 20 và 30. Một mạng MPLS có thể hỗ trợ hàng trăm đến hàng nghìn VPN. Phần bên trong của kiến trúc mạng MPLS VPN được kết cấu bởi các thiết bị của nhà cung cấp. Những thiết bị này hình thành mạng lõi (core) MPLS và không được nối trực tiếp đến các CE router. Các chức năng VPN của một mạng MPLS-VPN sẽ được thực hiện bởi các PE router bao quanh mạng lõi này. Cả P router và PE router đều là các bộ định tuyến chuyển mạch nhãn LSR (Label Switch Router) trong mạng MPLS. Các site khách hàng có thể được kết nối với các PE router bằng nhiều cách khác nhau như T1, Frame Relay, DSL, ATM, v.v...
Hình 2. Mô hình mạng MPLS
Trong một mạng MPLS VPN, site phía khách hàng sẽ sử dụng IP thông thường mà không cần biết đến MPLS, IPSec hay bất cứ một chức năng VPN đặc biệt nào.
Tại các PE router, một cặp VRF và RD sẽ tương ứng với mỗi liên kết đến site của khách hàng (customer site). Liên kết này có thể là một liên kết vật lý T1, Frame Relay hay ATM VC, DSL... Giá trị RD sẽ hoàn toàn “ẩn” và sẽ không được cấu hình tại các thiết bị của khách hàng.
Sau đây chúng ta sẽ xem xét một ví dụ cụ thể đường đi của một gói tin trong mạng VPN của khách hàng từ PC A thuộc site A tới PC B thuộc site B thông qua mạng MPLS.
- Gói tin đến từ site A của PE router R1 như một gói IP thông thường với địa chỉ đích 10.2.1.100. Site này thuộc mạng VPN với RD:10.
- R1 sẽ tra cứu bảng chuyển tiếp VPN của nó và dựa vào bảng này để gán nhãn cho gói tin, trong trường hợp này là nhãn 56. Nhãn này mang thông tin về đích đến của gói tin trong mạng VPN với RD:10
RD |
Prefix |
Destination PE |
Label |
10 |
10.1.0.0/16 |
216.70.128.216 |
318 |
10 |
10.2.0.0/16 |
216.70.128.192 |
56 |
10 |
10.3.0.0/16 |
216.70.128.133 |
32 |
10 |
10.4.0.0/16 |
216.70.128.60 |
210 |
10 |
10.5.0.0/16 |
216.70.128.84 |
109 |
- R1 chuyển tiếp gói tin dựa vào địa chỉ PE đích trong bảng FIB (Label Forwarding Information Base). Khi gói tin này được chuyển đi, nó sẽ được gán một nhãn MPLS trong bảng LIB. Nhãn này (188) tương ứng với nhãnđược yêu cầu để chuyển tiếp gói tin đến R2, có địa chỉ IP là 216.70.128.192.
- LSR1 tiếp nhận gói tin và thưc hiện hoạt động chuyển mạch nhãn thông thường. Trong ví dụ này, LSR1 tráo đổi nhãn 188 với nhãn 62, sau đó chuyển tiếp gói tin đến LSR2.
- LSR2 tiếp nhận gói tin và thực hiện chức năng Penultimate Hop Popping bởi vì đây là chặng cuối cùng trước khi gói tin đến PE đích, LSR2 sẽ loại bỏ nhãn (62) và gửi gói tin tới R2 với nhãn 56.
- Sau khi R2 tiếp nhận gói tin, nó sẽ tra nhãn 56 trong bảng chuyển tiếp VPN, trong trường hợp này, nhãn sẽ tương ứng với RD:10. Sau đó, R2 tham chiếu địa chỉ IP trong gói tin để xác định ra đích đến là RD:10 với địa chỉ IP 10.2.1.100. R2 xác định RD:10 và địa chỉ IP:10.2.1.100 là thuộc site được liên kết trực tiếp với R2 bởi một liên kết IP thông thường nên nó sẽ loại bỏ nhãn và chuyển tiếp gói IP tới site đó.
RD |
Prefix |
Destination PE |
Label |
10 |
10.1.0.0/16 |
216.70.128.216 |
318 |
10 |
10.2.0.0/16 |
216.70.128.192 |
56 |
10 |
10.3.0.0/16 |
216.70.128.133 |
32 |
10 |
10.4.0.0/16 |
216.70.128.60 |
210 |
10 |
10.5.0.0/16 |
216.70.128.84 |
109 |
Chú ý rằng địa chỉ IP 10.2.1.100 và 216.70.128.192 khác nhau về phạm vi, địa chỉ IP 10.2.1.100 thuộc mạng VPN với RD:10 và chỉ những gói tin bên trong VPN này mới có thể đến được địa chỉ này. Có thể có một địa chỉ IP 10.2.1.100 khác ở các VPN khác, nhưng chúng được đặc trưng bởi những RD khác nhau. địa chỉ 216.70.128.192 thuộc mạng đường trục và nó không thuộc một VPN nào.
Một trong những ưu điểm lớn nhất của các MPLS VPN là không đòi hỏi các thiết bị CPE thông minh bởi vì toàn bộ các chức năng VPN được thực hiện ở phía trong mạng lõi của nhà cung cấp dịch vụ và hoàn toàn “trong suốt” đối với các CPE. Các CPE không đòi hỏi chức năng VPN và hỗ trợ IPSec. điều này có nghĩa là khách hàng không phải chi phí quá cao cho các thiết bị CPE.
Trễ trong mạng được giữ ở mức thấp nhất vì các gói tin lưu chuyển trong mạng không phải thông qua các hoạt động như đóng gói và mã hóa. Sở dĩ không cần chức năng mã hóa là vì MPLS VPN tạo nên một mạng riêng. Phương pháp bảo mật này gần giống như bảo mật trong mạng Frame Relay. Thậm chí trễ trong MPLS VPN còn thấp hơn là trong mạng MPLS IP sử dụng chuyển mạch nhãn
Việc tạo một mạng đầy đủ (full mesh) VPN là hoàn toàn đơn giản vì các MPLS VPN không sử dụng cơ chế tạo đường hầm. Vì vậy, cấu hình mặc định cho các mạng MPLS VPN là full mesh, trong đó các site được nối trực tiếp với PE vì vậy các site bất kỳ có thể trao đổi thông tin với nhau trong VPN. Và thậm chí, nếu site trung tâm gặp trục trặc, các spoke site vẫn có thể liên lạc với nhau.
Hoạt động khai thác và bảo dưỡng cũng đơn giản hơn trong mạng MPLS-VPN. Hoạt động này chỉ cần thực hiện tại các thiết bị bên trong mạng core mà không cần phải tiếp xúc đến các CPE. Một khi một site đã được cấu hình xong, ta không cần đụng chạm đến nó nữa cho dù nếu muốn thêm một site mới vào mạng vì những thay đổi về cấu hình lúc này chỉ cần thực hiện tại PE mà nó nối tới.
Vấn đề bảo mật thậm chí còn đơn giản hơn nhiều khi triển khai trong các mạng MPLS VPN vì một VPN khép kín bản thân nó đã đạt được sự an toàn thông tin do không có kết nối với mạng Internet công cộng. Nếu có nhu cầu truy nhập Internet, một tuyến sẽ được thiết lập để cung cấp khả năng truy nhập. Lúc này, một firewall sẽ được sử dụng trên tuyến này để đảm bảo một kết nối bảo mật cho toàn bộ mạng VPN. Cơ chế hoạt động này rõ ràng dễ dàng hơn nhiều cho hoạt động quản lý mạng vì chỉ cần duy trì các chính sách bảo mật cho một firewall duy nhất mà vẫn đảm bảo an toàn cho toàn bộ VPN
Một ưu điểm nữa của các mạng MPLS VPN là chỉ cần một kết nối duy nhất cho mỗi remote site. So sánh với mạng Frame Relay truyền thống có 1 nút trung tâm và 10 remote site (mỗi một remote site sẽ cần một Frame Relay PVC) thì tại nút trung tâm (hub) sẽ cần 10 PVCs. Trong khi bên trong một mạng MPLS VPN chỉ cần duy nhất một PVC tại vị trí hub trung tâm nên chi phí mạng sẽ giảm đáng kể.
Kết luận
Như vậy, có thể thấy rằng MPLS-VPN đáp ứng được những yêu cầu đặt ra của một mạng VPN, đồng thời giải quyết được một cách triệt để những hạn chế của các mạng VPN truyền thống dựa trên công nghệ ATM, Frame Relay và đường hầm IP. Ngày nay, tuy VPN vẫn đang còn là một công nghệ mới mẻ ở Việt nam, nhưng việc đầu tư nghiên cứu để chọn giải pháp tối ưu cũng là điều nên làm đối với các nhà cung cấp dịch vụ mạng
Tác giả bài viết: ThS. NGUYỄN HOÀNG HẢI
Nguồn tin: TC CNTT&TT
Những tin mới hơn
Những tin cũ hơn