Tải bản đầy đủ (.pdf) (133 trang)
  1. Trang chủ
    2. >>
  2. Thạc sĩ - Cao học
    3. >>
  3. Công nghệ thông tin

Bảo mật trong mạng MPLS VPN

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.61 MB, 133 trang )

Bảo mật trong mạng MPLS VPN

GVHD: PGS.TS Phạm Hồng Liên

MỤC LỤC
PHẦN I

LÝ THUYẾT TỔNG QUAN ............................................................. 1

Chương 1

GIỚI THIỆU ĐỀ TÀI ........................................................................ 1

1.1
1.2
1.3
1.4
1.5

Tổng quan về đề tài .................................................................................. 1
Tổng quan tình hình nghiên cứu............................................................... 1
Mục tiêu của đề tài ................................................................................... 2
Bố cục của đề tài ...................................................................................... 2
Ý nghĩa của đề tài ..................................................................................... 3

Chương 2

CHUYỂN MẠCH NHÃN ĐA GIAO THỨC MPLS ...................... 4

2.1 Tổng quan ................................................................................................. 4
2.1.1 Khái niệm MPLS ................................................................................. 4


2.1.2 Sự cải tiến của MPLS........................................................................... 5
2.1.3 Vị trí của MPLS trong mơ hình tham chiếu OSI ................................. 5
2.1.4 Lợi ích của MPLS ................................................................................ 7
2.2 Kiến trúc mạng MPLS .............................................................................. 8
2.2.1 Miền MPLS .......................................................................................... 8
2.2.2 Nhãn MPLS.......................................................................................... 9
2.2.2.1 Chế độ frame ................................................................................. 9
2.2.2.2 Chế độ cell .................................................................................... 9
2.2.3 Ngăn xếp nhãn ................................................................................... 10
2.2.4 Mã hóa MPLS .................................................................................... 12
2.2.5 Đường chuyển mạch nhãn LSP ......................................................... 12
2.2.6 Lớp chuyển tiếp tương đương FEC ................................................... 13
2.2.7 Phân phối nhãn MPLS ....................................................................... 15
2.2.7.1 Chế độ phân phối nhãn ............................................................... 15
2.2.7.2 Giao thức LDP (Label Distribution Protocol) ............................ 15
2.2.8 Cấu trúc chức năng của MPLS .......................................................... 17
2.2.8.1 Mặt phẳng chuyển tiếp và mặt phằng điều khiển ....................... 17
2.2.8.2 Bảng LIB và LFIB ...................................................................... 18
2.2.8.3 Quá trình chuyển tiếp nhãn ......................................................... 20
2.2.8.4 Gỡ bỏ nhãn áp cuối PHP (Penultimate Hop Popping)................ 22
2.2.8.5 Ví dụ về hoạt động chuyển tiếp .................................................. 22
Chương 3

CẤU TRÚC MẠNG MPLS VPN.................................................... 23

3.1 Cấu trúc mạng riêng ảo VPN (Virtual Private Network) ....................... 23
3.1.1 Giới thiệu ........................................................................................... 23
3.1.2 Phân loại ............................................................................................. 24
3.1.3 Ưu điểm của mạng VPN .................................................................... 25
3.1.4 Tồn tại của mạng VPN ....................................................................... 25


-i-

HVTH: KS. Nguyễn Đức Duy


Bảo mật trong mạng MPLS VPN

GVHD: PGS.TS Phạm Hồng Liên

3.2 Mạng MPLS VPN .................................................................................. 26
3.2.1 Giới thiệu ........................................................................................... 26
3.2.2 Cấu trúc và thành phần mạng MPLS VPN ........................................ 27
3.2.3 Mô hình định tuyến MPLS VPN ....................................................... 28
3.2.4 Bảng chuyển tiếp và định tuyến ảo VRF ........................................... 29
3.2.5 Route Distinguisher, Route Targets, MP-BGP .................................. 30
3.2.5.1 Route Distinguisher (RD) ........................................................... 30
3.2.5.2 Giao thức định tuyến MP-BGP cho mạng MPLS VPN.............. 31
3.2.5.3 Route Target (RT) ....................................................................... 33
3.2.5.4 Họ địa chỉ (address families) ...................................................... 36
3.2.6 Hoạt động của mặt phẳng điều khiển MPLS VPN ............................ 37
3.2.7 Hoạt động của mặt phẳng dữ liệu MPLS VPN .................................. 39
PHẦN II:

CƠ CHẾ BẢO MẬT TRONG MẠNG MPLS VPN ..................... 42

Chương 4

CÁC KIỂU TẤN CÔNG ĐỐI VỚI MẠNG MPLS VPN ............. 42


4.1 Tấn công vào mạng riêng ảo VPN ......................................................... 42
4.1.1 Tấn công xâm nhập vào VPN ............................................................ 42
4.1.2 Tấn công từ chối dịch vụ ................................................................... 43
4.1.3 Tấn công thầm lặng ............................................................................ 44
4.2 Các dạng tấn công vào MPLS VPN ....................................................... 45
4.2.1 Tấn công vào miền extranet ............................................................... 45
4.2.2 Tấn công vào mạng trục ..................................................................... 46
4.2.3 Tấn công từ Internet ........................................................................... 48
Chương 5

BẢO MẬT DÙNG IPSEC ............................................................... 50

5.1 Khái quát về IP Security ......................................................................... 50
5.1.1 Giới thiệu về IPSec ............................................................................ 50
5.1.2 Cấu trúc của IPSec ............................................................................. 51
5.1.2.1 Sơ đồ hoạt động .......................................................................... 51
5.1.2.2 Security Association ................................................................... 53
5.1.2.3 Chỉ số bảo mật SPI ...................................................................... 54
5.1.3 Giao thức trao đổi khóa IKE .............................................................. 55
5.1.3.1 Các thành phần của IKE ............................................................. 55
5.1.3.2 Pha sử dụng trong IKE ................................................................ 56
5.1.3.3 Các chế độ IKE ........................................................................... 56
5.1.4 Các thuật toán sử dụng khi trao đổi SA ............................................. 57
5.1.4.1 Thuật toán Hash .......................................................................... 57
5.1.4.2 Thuật tốn mã hóa đối xứng và bất đối xứng ............................. 58
5.1.4.3 Thuật tốn trao đổi khóa Diffie-Hellman ................................... 61
5.1.5 Giao thức ESP .................................................................................... 64
5.1.5.1 ESP header .................................................................................. 64

-ii-


HVTH: KS. Nguyễn Đức Duy


Bảo mật trong mạng MPLS VPN

GVHD: PGS.TS Phạm Hồng Liên

5.1.5.2 Chế độ ESP ................................................................................. 66
5.1.6 Giao thức AH ..................................................................................... 67
5.1.6.1 AH header ................................................................................... 67
5.1.6.2 Các chế độ AH ............................................................................ 69
5.2 Xây dựng IPSec VPN ............................................................................. 70
Chương 6

XÂY DỰNG CHƯƠNG TRÌNH MÔ PHỎNG ............................. 77

6.1 Dùng IPsec tăng cường bảo mật cho MPLS VPN ................................. 77
6.1.1 IPsec áp dụng cho PE-to-PE .............................................................. 77
6.1.2 IPSec áp dụng cho CE-to-CE ............................................................. 79
6.2 Xây dựng chương trình mơ phỏng ......................................................... 79
6.2.1 Giới thiệu về chương trình ................................................................. 79
6.2.2 Triển khai IPSec cho PE-to-PE .......................................................... 80
6.2.3 Triển khai IPSec cho CE-to-CE ....................................................... 104
Chương 7

KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN .................................... 121

7.1
7.2

7.3

Kết luận ................................................................................................ 121
Hướng phát triển ................................................................................... 121
Tồn tại trong đề tài ............................................................................... 122

TÀI LIỆU THAM KHẢO ......................................................................................... 123
TÓM TẮT LÝ LỊCH CÁ NHÂN.............................................................................. 125

-iii-

HVTH: KS. Nguyễn Đức Duy


Bảo mật trong mạng MPLS VPN

GVHD: PGS.TS Phạm Hồng Liên

MỤC LỤC HÌNH
Hình 2.1: Mơ hình mạng MPLS....................................................................................... 4
Hình 2.2: MPLS và mơ hình tham chiếu OSI .................................................................. 6
Hình 2.3: so sánh giữa chuyển tiếp IP và chuyển tiếp MPLS .......................................... 6
Hình 2.4: Miền trong MPLS ............................................................................................ 8
Hình 2.5: upstream và downstream LSR ......................................................................... 9
Hình 2.6: Cấu trúc nhãn MPLS ........................................................................................ 9
Hình 2.7: Nhãn trong chế độ cell ATM ......................................................................... 10
Hình 2.8: Gói có nhãn trên ATM ................................................................................... 10
Hình 2.9: Ngăn xếp nhãn ............................................................................................... 11
Hình 2.10: Ngăn xếp nhãn trong các trường hợp khác nhau ......................................... 11
Hình 2.11: Gói đã gắn nhãn ........................................................................................... 12

Hình 2.12: Đường chuyển mạch nhãn LSP.................................................................... 12
Hình 2.13: Phân cấp LSP trong MPLS .......................................................................... 13
Hình 2.14: Một ví dụ LSP lồng vào nhau ...................................................................... 13
Hình 2.15: Lớp chuyển tiếp tương đương FEC trong MPLS ........................................ 14
Hình 2.16: Ví dụ FEC trong MPLS chạy iBGP ............................................................. 14
Hình 2.17: Phân phối nhãn khơng cần u cầu .............................................................. 15
Hình 2.18: Phân phối nhãn theo yêu cầu ....................................................................... 15
Hình 2.19: vùng hoạt động của LDP.............................................................................. 16
Hình 2.20: Trao đổi thơng điệp LDP ............................................................................. 17
Hình 2.21: Cấu trúc chức năng của LER và LSR .......................................................... 18
Hình 2.22: Một ví dụ NHLFE ........................................................................................ 19
Hình 2.23: Mối quan hệ giữa FTN, ILM và NHLFE ..................................................... 20
Hình 2.24: Q trình chuyển tiếp một gói đến một hop kế............................................ 21
Hình 2.25: Một ví dụ bên trong mặt phẳng chuyển tiếp ................................................ 21
Hình 2.26: Ví dụ về hoạt động chuyển tiếp ................................................................... 22
Hình 3.1: Ví dụ về Layer-2 VPN ................................................................................... 24
Hình 3.2: Các thành phần mạng Layer 3 MPLS VPN ................................................... 27
Hình 3.3: Cấu trúc chức năng của router PE trong MPLS VPN .................................... 28
Hình 3.4: Tạo bảng VRF trên PE router ........................................................................ 29
Hình 3.5: Hoạt động của RD trong mạng MPLS VPN .................................................. 31
Hình 3.6: MPLS VPN với định tuyến BGP PE-CE ....................................................... 32
Hình 3.7: Cơ chế chống loop của BGP .......................................................................... 33
Hình 3.8: Định dạng route target ................................................................................... 34
Hình 3.9: Hoạt động RD và RT trong miền MPLS VPN .............................................. 35
Hình 3.10: Tương tác mặt phẳng điều khiển trong MPLS VPN.................................... 38
Hình 3.11: Hoạt động của mặt phẳng điều khiển ........................................................... 38
Hình 3.12: Hoạt động của mặt phẳng dữ liệu MPLS VPN ............................................ 40
Hình 4.1: Tấn công vào VPN ......................................................................................... 42

-iv-


HVTH: KS. Nguyễn Đức Duy


Bảo mật trong mạng MPLS VPN

GVHD: PGS.TS Phạm Hồng Liên

Hình 4.2: Các hướng xâm phạm vào VPN..................................................................... 43
Hình 4.3: Các điểm tấn cơng DoS đối với VPN ............................................................ 44
Hình 4.4: Che khơng gian địa chỉ từ VPN ..................................................................... 45
Hình 4.5: Mơ hình bảo mật với extranet ........................................................................ 46
Hình 4.6: Mơ hình bảo mật cho nhiều nhà cung cấp MPLS VPN ................................. 46
Hình 4.7: Mơ hình bảo mật khi truy xuất Internet ......................................................... 48
Hình 5.1: Sơ đồ IPSec .................................................................................................... 51
Hình 5.2: Gói IP được bảo vệ bởi IPSec trong chế độ transport và tunnel .................... 53
Hình 5.3: Chế độ trong IKE ........................................................................................... 57
Hình 5.4: Thuật tốn hash để bảo tồn dữ liệu .............................................................. 58
Hình 5.5: Sơ đồ hash MD5............................................................................................. 58
Hình 5.6: Mã hóa đối xứng và bất đối xứng .................................................................. 59
Hình 5.7: Sơ đồ thuật tốn DES ..................................................................................... 60
Hình 5.8: Mã hóa 3DES ................................................................................................. 60
Hình 5.9: Thuật tốn RSA .............................................................................................. 61
Hình 5.10: Trao đổi khóa Diffie-Hellman ..................................................................... 62
Hình 5.11: Q trình trao đổi khóa Diffie-Hellman....................................................... 63
Hình 5.12: ESP Header (và trailer) ................................................................................ 64
Hình 5.13: Gói IP được ESP bảo vệ trong 2 chế độ ...................................................... 66
Hình 5.14: Một ví dụ mã hóa ESP ................................................................................. 67
Hình 5.15: AH Header ................................................................................................... 68
Hình 5.16: AH trong chế độ Transport .......................................................................... 69

Hình 5.17: AH trong chế độ tunnel ................................................................................ 69
Hình 5.18: Các bước xây dựng IPsec VPN ................................................................... 70
Hình 5.19: Xử lý interesting traffic trong bước 1 .......................................................... 70
Hình 5.20: Trao đổi IKE pha 1...................................................................................... 71
Hình 5.21: Thiết lập chính sách IKE.............................................................................. 72
Hình 5.22: Thương lượng IPsec SA trong IKE pha 2 .................................................... 73
Hình 5.23: Thiết lập IPsec transform ............................................................................. 74
Hình 5.24: Tạo phiên trao đổi IPsec .............................................................................. 75
Hình 5.25: Kết thúc IPsec tunnel trong bước thứ 5 ....................................................... 76
Hình 6.1: Các điểm áp dụng IPsec trong MPLS VPN ................................................... 77
Hình 6.2: IPsec từ PE-to-PE........................................................................................... 78
Hình 6.3: Đóng gói IPsec để bảo mật PE-PE ................................................................. 78
Hình 6.4: IPsec áp dụng giữa các CE ............................................................................. 79
Hình 6.5: Sơ đồ mơ phỏng cho PE-PE ........................................................................... 80
Hình 6.6: Sơ đồ mơ phỏng chạy trên Dynamips ............................................................ 81
Hình 6.7: Giải thuật mơ phỏng cho PE-PE .................................................................... 81
Hình 6.8: Q trình thiết lập kết nối tại A1 ................................................................... 95
Hình 6.9: Quá trình thiết lập kết nối tại PE1 .................................................................. 95
Hình 6.10: Sơ đồ mô phỏng cho CE-CE ...................................................................... 104

-v-

HVTH: KS. Nguyễn Đức Duy


Bảo mật trong mạng MPLS VPN

GVHD: PGS.TS Phạm Hồng Liên

Hình 6.11: Giải thuật áp dụng IPSec cho CE-CE ........................................................ 105

Hình 6.12: Q trình trao đổi gói tại PE1 khi B1 gởi gói ICMP ................................. 115
Hình 6.13:Q trình thiết lập IPsec tại A1 ................................................................... 120
Hình 6.14: Q trình trao đổi gói có bảo mật IPsec tại PE1 ........................................ 120

-vi-

HVTH: KS. Nguyễn Đức Duy


Bảo mật trong mạng MPLS VPN

GVHD: PGS.TS Phạm Hồng Liên

CÁC THUẬT NGỮ VIẾT TẮT
LSP
NHLFE
NS
MNS
MPLS
OSPF
PFB
POR
PIL
PML
PHP
PSL
QoS
RIB
RSVP
SPF

TCP
TLV
TTL
VC
ATM
BGP
CBQFQ
CR-LDP
CR-LSP
CSPF
DiffServ
DiffServ-TE
E-LSP
ER
ERB
ERO
ER-LSP

Label Switching Router
Next Hop Label Forwarding Entry
Network Simulator
MPLS Network Simulator
MultiProtocol Label Switch
Open Shortest Path First
Partial Forward Table
Point Of Repair
Protection Ingress LSR
Protection/Path Merge LSR
Penultimate Hop Poping
Path Switch LSR

Quality of Service
Routing Information Block
Resource Reservation Protocol
Shortest Path First
Transport Control Protocol
Type Length Value
Time-To-Live
Virtual Circuit
Asynchronous Transfer Mode
Border Gate Protocol
Class-Based Weight Fair Queuing
Constraint-based Routed Label Distribution Protocol
Constraint-based Routed Label Switch Path
Constraint Shortest Path First
Differentiated Services Model
DiffServ-Aware TE
EXP-Infered-PSC LSP
Explicit Route
Explicit Routing Table
Explicit Route Object
Explicit Routed Label Switched Path

-vii-

HVTH: KS. Nguyễn Đức Duy


Bảo mật trong mạng MPLS VPN
EXP
FEC

FIB
FIFO
FIS
FTN
FR
FRS
FRR
IGP
ILM
LER
LDB
LFIB
L-LSP
LIB
IPv4
IPv6
MP-BGP
MP-eBGP
IBGP
IPSec
RIB
OSI
RT
RD
PE
TCP
NRLI
VCI
VPI
SLA


GVHD: PGS.TS Phạm Hồng Liên

Experimential
Forwarding Equivalence Class
Forward Information Block
First in First out
Fault Indication Signal
Forward Equivalence Class – to – Next Hop Label
Frame Relay
Fault Recovery Signal
Fast Reroute
Interior Gateway Protocol
Incoming Label Map
Label Egress Router
Label Distribution Protocol
Label Forwarding Information Block
Label-Only-Inferred-PSC LSP
Label Information Block
Internet Protocol version 4
Internet Protocol version 6
Multi Protocol BGP
Multi Protocol EBGP
Internal BGP
IP Security
Routing Information Block
Open System Interconnection
Route Target
Route Distinguisher
Provider Edge

Transport Control Protocol
Network Layer Reachability Information
Virtual Circuit
Virtual Path Identifier
Service Level Agreement

-viii-

HVTH: KS. Nguyễn Đức Duy


Chương 1. Giới thiệu đề tài

PHẦN I
Chương 1

GVHD: PGS.TS Phạm Hồng Liên

LÝ THUYẾT TỔNG QUAN
GIỚI THIỆU ĐỀ TÀI

1.1 Tổng quan về đề tài
Trong những năm qua, việc kinh doanh qua Internet, hay e-business, đã cải thiện
rất hiệu quả về kinh tế cũng như doanh thu của các công ty. Các ứng dụng e-business
như thương mại điện tử, quản lý hệ thống phân phối, và truy xuất từ xa cho phép các
cơng ty hợp lý hóa các khâu xử lý, giảm chi phí vận hành, và làm hài lịng nhu cầu của
khách hàng. Các ứng dụng này yêu cầu mạng thích hợp để cung cấp các lưu lượng
voice, video, data và có thể nâng cấp dễ dàng khi nhu cầu tăng lên. Tuy nhiên khi một
mạng càng có nhiều ứng dụng và thuê bao sử dụng thì càng dễ bị xâm phạm bởi nhiều
“sâu” bảo mật. Để chống lại các sâu này và ngăn e-business bị xâm phạm thì kỹ thuật

bảo mật đóng vai trị rất quan trọng trong các mạng ngày nay.
Trong sự phát triển bùng nổ của Internet cũng như các dịch vụ thoại, truyền hình
trên Internet.. thì giao thức IP trở thành giao thức chủ đạo trong lĩnh vực mạng. Hướng
của các ISP là thiết kế và sử dụng các router chuyên dụng, dung lượng chuyển tải lớn
hỗ trợ các giải pháp tích hợp, chuyển mạch đa lớp cho mạng trục Internet. Với nhu cầu
cấp thiết như vậy, công nghệ MPLS ra đời trên cơ sở kết hợp những đặc điểm tốt của
chuyển mạch kênh ATM và chuyển mạch gói IP. Một trong những ứng dụng thực tế
đang triển khai hiện nay của MPLS là mạng thế hệ mới NGN có khả năng tích hợp đa
dịch vụ với dung lượng lớn. Các ứng dụng của mạng MPLS là kỹ thuật lưu lượng (TE)
lớp dịch vụ (CoS), mạng riêng ảo (VPN), kênh thuê riêng ảo (VLLs), và dịch vụ LAN
ảo (VPLS). Vấn đề bảo mật trong mạng trục IP/MPLS cũng hết sức quan trọng và
MPLS VPN được xây dựng dựa trên nhu cầu đó. MPLS VPN khơng những cho phép
khách hàng định tuyến trao đổi thông tin với nhau thơng qua nhà cung cấp mà cịn cho
phép nhà cung cấp dịch vụ xây dựng dịch vụ bảo mật, xác thực cho khách hàng. Tuy
nhiên khả năng bảo mật trong mạng MPLS VPN còn nhiều hạn chế và cần sự hỗ trợ từ
nhiều phương pháp khác. Nội dung của đề tài cũng là đi sâu khai thác vấn đề này.
1.2 Tổng quan tình hình nghiên cứu
MPLS được ra đời do một nhóm kỹ sư của cơng ty Ipsilon Network. Sau đó được
Cisco cải thiện thành một giao thức chuyển mạch nhãn đúng nghĩa không bị giới hạn
theo cách truyền của ATM. Cuối cùng, tổ chức IETF (Internet Engineering Task Force)
đã đề nghị một bộ giao thức thống nhất kết hợp các tính năng của các nhà cung cấp
khác nhau. Vấn đề bảo mật trong mạng MPLS cũng được nghiên cứu và cải thiện
khơng ngừng. Nhóm Miercom là một trong những nhóm tiên phong trong lĩnh vực này
và đã kiểm nghiệm thực tế khả năng bảo mật của MPLS. MPLS dần trở thành một
công nghệ phổ biến để cung cấp dịch vụ VPN, tăng tính bảo mật cho nhà cung cấp dịch
vụ cũng như khách hàng sử dụng. MPLS VPN hoàn tồn tương đương và có thể thay

Bảo mật trong mạng MPLS VPN

-1-


HVTH: KS. Nguyễn Đức Duy


Chương 1. Giới thiệu đề tài

GVHD: PGS.TS Phạm Hồng Liên

thế cho VPN lớp 2 truyền thống như ATM, Frame Relay. Cấu trúc được quan tâm chủ
yếu của MPLS VPN là MPLS/BGP VPN.
Với tiện lợi về chi phí đầu tư, khả năng phổ biến cũng như tính bảo mật, VPN dần
thay thế kênh thuê riêng, chuyển mạch truyền thống và đang được các nhà cung cấp
đầu tư, cải thiện không ngừng. Khả năng bảo mật của VPN có thể chia thành 2 nhóm:
VPN tại thiết bị khách hàng (CPE-based VPN) và VPN tại thiết bị của nhà cung cấp
dịch vụ (Network-based VPN ). Với CPE-base VPN, khách hàng có thể thiết lập các
đường hầm bảo mật VPN giữa các miền của họ, có thể sử dụng giải pháp đường hầm
IPsec VPN qua internet hoặc qua mạng trục riêng. Giải pháp này cũng được hỗ trợ bởi
dịch vụ IP VPN. Tuy nhiên các dịch vụ này khó triển khai, tốn kém đối với mạng lớn
hơn và giải pháp MPLS VPN với chính sách bảo mật hợp lý có thể đáp ứng được điều
đó. Giải pháp này khơng những tận dụng tối đa khả năng dễ mở rộng của MPLS VPN
cùng với các dịch vụ mới có thể tăng doanh thu như ưu tiên CoS (Class of service) hay
SLAs (service-level agreements) mà vẫn đảm bảo an tồn bảo mật cho thơng tin trao
đổi của khách hàng.
1.3 Mục tiêu của đề tài
Mục tiêu chính của đề tài là nghiên cứu sự hỗ trợ của phương pháp bảo mật IPSec
để tăng cường bảo mật cho mạng MPLS VPN. Bản chất MPLS VPN là tạo đường dẫn
ảo riêng biệt cho mỗi khách hàng nên đã có khả năng bảo mật nhất định. Tuy nhiên
trong môi trường mạng phức tạp ngày nay cùng với nhu cầu sử dụng internet càng cao
MPLS VPN có thể bị tấn cơng từ nhiều hướng khác nhau. Do đó nghiên cứu thiết lập
các chính sách bảo mật cho mạng MPLS VPN là điều không tránh khỏi. So với các

phương pháp khác mà nhà cung cấp đang triển khai: xây dựng tường lửa, chính sách
lọc gói, quản lý địa chỉ.vv.. IPsec là một phương pháp đơn giản nhưng khá hiệu quả.
IPsec có thể áp dụng cho router PE của nhà cung cấp dịch vụ nếu cần bảo mật số lượng
lớn VPN kết nối vào mạng trục hoặc có thể triển khai bảo mật ngay tại router CE của
khách hàng.
1.4 Bố cục của đề tài
Đề tài trình bày cơ chế hoạt động của mạng MPLS VPN và các khả năng bị tấn
công của mạng này. Sau đó phân tích chi tiết cơ chế bảo mật của IPsec và cách kết hợp
IPsec để tăng cường bảo mật cho mạng MPLS VPN. Đề tài gồm các 2 phần chính: lý
thuyết tổng quan và cơ chế bảo mật trong mạng MPLS. Bố cục chi tiết như sau.
Phần I: Lý thuyết tổng quan
Trình bày cơ sở lý thuyết cơ bản về MPLS
Chương 1: Giới thiệu đề tài
Trình bày tổng quan, mục đích và yêu cầu của các phần được nghiên cứu trong
luận văn.

Bảo mật trong mạng MPLS VPN

-2-

HVTH: KS. Nguyễn Đức Duy


Chương 1. Giới thiệu đề tài

GVHD: PGS.TS Phạm Hồng Liên

Chương 2: Chuyển mạch nhãn đa giao thức MPLS
Trình bày về kiến trúc tổng quan về MPLS: các khái niệm cơ bản và cách thức
hoạt động của giao thức MPLS.

Chương 3: Cấu trúc mạng MPLS VPN
Trình bày chi tiết về các thành phần của MPLS VPN, mặt phẳng điều khiển, mặt
phẳng dữ liệu cũng như cách thức chuyển tiếp gói khi qua mạng MPLS VPN
Phần II: Cơ chế bảo mật trong mạng MPLS VPN
Phần này là phần chính của đề tài sẽ trình bày các lỗ hổng bảo mật trong MPLS
VPN và cơ chế xây dựng IPsec để bảo mật nó.
Chương 4: Các kiểu tấn cơng đối với mạng MPLS VPN
Trình bày các khả năng tấn công xâm nhập vào mạng MPLS VPN và đề nghị các
giải pháp ngăn chặn.
Chương 5: Bảo mật dùng IPsec
Trình bày chi tiết các thành phần của IPsec, cách thức mã hóa và các chế độ hoạt
động của IPsec. Sau cùng là các bước xây dựng IPsec VPN.
Chương 6: Xây dựng chương trình mơ phỏng
Dùng chương trình Dynamips để mơ phỏng hoạt động của IPsec cho hai trường
hợp: áp dụng cho kết nối PE-to-PE và kết nối CE-to-CE.
Chương 7: Kết luận và hướng phát triển
1.5 Ý nghĩa của đề tài
Sự ra đời của MPLS là một bước đột phá về công nghệ và khả năng hỗ trợ đa
dịch vụ. Dựa trên một cơ sở hạ tầng chung như vậy thì vấn đề bảo mật lại càng được
quan tâm và cải thiện liên tục. Nội dung của đề tài cũng nhằm khai thác vấn đề này
nhằm đưa ra một sự kết hợp hiệu quả giữa IPSec và MPLS VPN. Sự kết hợp này
không những đảm bảo những đặc tính ưu việt vốn có của MPLS VPN như khả năng
mở rộng dễ dàng, hỗ trợ đa dịch vụ,vv..mà cịn tạo sự xác thực, bảo mật và tính tồn
vẹn khi có sự hỗ trợ của IPSec. Cơ sở nghiên cứu này tạo tiền đề về cải thiện bảo mật
cho các dịch vụ khác hoạt động trên mạng trục IP/MPLS như VoIP, IPTV, …

Bảo mật trong mạng MPLS VPN

-3-


HVTH: KS. Nguyễn Đức Duy


Chương 2. Chuyển mạch nhãn MPLS

Chương 2

GVHD: PGS.TS Phạm Hồng Liên

CHUYỂN MẠCH NHÃN ĐA GIAO THỨC MPLS

2.1 Tổng quan
2.1.1 Khái niệm MPLS
MPLS là viết tắt của “Multi-protocol Label Switching” . Thuật ngữ Multiprotocol dùng để nhấn mạnh rằng công nghệ này áp dụng cho tất cả giao thức lớp
mạng không chỉ riêng IP. MPLS là một phương pháp chuyển tiếp gói thơng qua mạng
bằng cách sử dụng thơng tin chứa trong nhãn gắn vào gói IP. Đây là cơng nghệ kết hợp
tốt nhất kỹ thuật chuyển mạch lớp 2 và định tuyến lớp 3. Mục đích của MPLS là tạo ra
một cấu trúc mạng có chất lượng và độ ổn định cao. Trong đó bao gồm kỹ thuật lưu
lượng và VPN, khả năng đưa đến chất lượng dịch vụ QoS có nhiều lớp dịch vụ CoS.
Cơng nghệ MPLS ra đời đã đáp ứng được nhu cầu của thị trường hiện tại, đánh dấu
bước phát triển mới của mạng thông tin trước xu thế tích hợp cơng nghệ thơng tin và
viễn thông trong tương lai. MPLS làm tăng khả năng sử dụng tài nguyên mạng một
cách hiệu quả. Dưới đây là một mơ hình của mạng MPLS.

Hình 2.1: Mơ hình mạng MPLS
Trong mạng MPLS, gói tin tới được router chuyển mạch nhãn biên (Edge LSR)
phân nhãn và được chuyển tiếp theo đường chuyển mạch nhãn LSP là nơi LSR quyết
định chuyển tiếp nhãn dựa trên nội dung nhãn. Tại mỗi hop trên đường đi, LSR đổi
nhãn cũ bằng nhãn mới để hop kế tiếp biết được gói tin cần chuyển đi đâu. Khi đến
Edge LSR, nhãn được tháo bỏ và gói tin được chuyển đến đích theo địa chỉ thực của

gói.

Bảo mật trong mạng MPLS VPN

-4-

HVTH: KS. Nguyễn Đức Duy


Chương 2. Chuyển mạch nhãn MPLS

GVHD: PGS.TS Phạm Hồng Liên

Quan điểm của MPLS là tính thơng minh càng đưa ra biên thì mạng càng hoạt
động tốt. Lý do là những thành phần ở mạng lõi phải chịu tải rất cao. Thành phần mạng
lõi nên có độ thơng minh thấp và năng lực chuyển tải cao. MPLS phân tách hai chức
năng định tuyến và chuyển mạch: các router ở biên thực hiện định tuyến và gắn nhãn
cho gói. Cịn các router ở mạng lõi chỉ tập trung làm nhiệm vụ chuyển tiếp gói với tốc
độ cao dựa vào nhãn. Tính thơng minh được đẩy ra ngoài biên là một trong những ưu
điểm lớn nhất của MPLS.
2.1.2 Sự cải tiến của MPLS
Mục đích ban đầu của chuyển mạch nhãn là mang tốc độ chuyển mạch của lớp 2
đến lớp 3. Mục đích này khơng cịn hiệu quả nữa khi chuyển mạch lớp 3 mới hơn ra
đời đó là kỹ thuật dựa trên mạch kết hợp ứng dụng cụ thể (ASIC) có thể tra bảng định
tuyến tại tốc độ vừa đủ cho hầu hết các loại giao tiếp.
Mối quan tâm rất lớn về chuyển mạch nhãn đã cho ra đời nhóm IETF MPLS vào
năm 1997. MPLS được cải tiến từ một số kỹ thuật trước đó, gồm có các phiên bản độc
quyền của chuyển mạch nhãn như Cisco’s Tag Switching, IBM’s Aggregate RouteBased IP Switching (ARIS), Toshiba’s Cell-Switched Router (CSR), Ipsilon's IP
Switching, và Lucent's IP Navigator.
Tag Switching được Cisco phát minh và đưa vào sử dụng từ tháng 3 năm 1998.

Với sự ra đời của Tag Switching, Cisco đã tham gia vào IETF để phát triển và thông
qua chuẩn MPLS nên các chuẩn này đều có sự kết hợp của hầu hết các tính năng và lợi
ích của Tag Switching.
2.1.3 Vị trí của MPLS trong mơ hình tham chiếu OSI

Bảo mật trong mạng MPLS VPN

-5-

HVTH: KS. Nguyễn Đức Duy


Chương 2. Chuyển mạch nhãn MPLS

Layer 7

Application

Layer 6

Presentation

Layer 5

Session

Layer 4

Transport


Layer 3

Network

GVHD: PGS.TS Phạm Hồng Liên

Application

Application

Transport

Transport

Internet / Networking

Internet / Networking
Label Switching

Layer 2
Layer 1

Datalink
Network Access

Network Access

TCP/IP model

IP/MPLS model


Physical
OSI model

Hình 2.2: MPLS và mơ hình tham chiếu OSI
MPLS được xem là cơng nghệ lớp đệm (shim layer), vì nó nằm trên lớp 2 nhưng
dưới lớp 3, vì vậy đơi khi người ta cịn gọi nó là lớp 2,5. Hình 2.3 dưới đây cho thấy sự
chuyển tiếp giữa 2 lớp này khi sử dụng MPLS.

Hình 2.3: So sánh giữa chuyển tiếp IP và chuyển tiếp MPLS

Bảo mật trong mạng MPLS VPN

-6-

HVTH: KS. Nguyễn Đức Duy


Chương 2. Chuyển mạch nhãn MPLS

GVHD: PGS.TS Phạm Hồng Liên

Nguyên lý của MPLS là tất cả các gói IP sẽ được gắn nhãn (label) và được
chuyển tiếp theo một đường dẫn LSP. Các router trên đường dẫn chỉ căn cứ vào nội
dung của nhãn để thực hiện quyết định chuyển tiếp gói mà khơng cần phải kiếm tra
header IP.
2.1.4 Lợi ích của MPLS
Chuyển mạch nhãn cho phép các router và chuyển mạch ATM có hỗ trợ MPLS
thực hiện quyết định chuyển tiếp dựa trên nội dung của nhãn, thay vì phải tra cứu bảng
định tuyến phức tạp theo địa chỉ IP đích. Kỹ thuật này mang đến một số lợi ích cho

mạng IP như:


VPN: dùng MPLS nhà cung cấp dịch vụ có thể tạo layer 3 VPN qua mạng
trục của họ cho nhiều khách hàng, sử dụng cấu trúc chung, khơng cần mã hóa
hay tạo ứng dụng tại đầu cuối người sử dụng.



Kỹ thuật lưu lượng: cung cấp khả năng thiết lập một hay nhiều đường dẫn
rõ ràng để lưu lượng đi qua mạng. Đồng thời có khả năng thiết lập đặc tính
chất lượng cho lớp lưu lượng. Nhờ đó, lưu lượng được phân bố hợp lý qua
toàn bộ hạ tầng mạng, tối ưu hóa hiệu suất sử dụng mạng.



Chất lượng dịch vụ QoS: sử dụng MPLS QoS, các nhà cung cấp dịch vụ có
thể cung cấp nhiều lớp dịch vụ có bảo đảm QoS cho khách hàng VPN của họ



Kết hợp IP và ATM: hầu như các mạng cung cấp đều dùng mơ hình overlay
khi ATM được sử dụng ở lớp 2 và IP được sử dụng ở lớp 3. Cách triển khai
này có khả năng dễ nâng cấp hơn. Khi sử dụng MPLS, nhà khai thác có thể
chuyển nhiều chức năng của mặt phẳng điều khiển ATM đến lớp 3, vì vậy
làm đơn giản hóa mạng cung cấp, cách quản lý và độ phức tạp của mạng. Kỹ
thuật này nâng cao khả năng mở rộng và loại bỏ các phí tổn dư thừa của cell
ATM khi mang lưu lượng IP.

MPLS kết hợp chất lượng và khả năng của chuyển mạch lớp 2 với khả năng mở

rộng định tuyến lớp 3. Điều này cho phép nhà cung cấp đáp ứng được nhu cầu rất lớn
khi phát triển mạng trong khi vẫn cung cấp cơ hội cho các dịch vụ khác mà không phải
hy sinh cơ sở hạ tầng mạng sẵn có. Cấu trúc MPLS linh hoạt và có thể triển khai khi
cần sự kết hợp của kỹ thuật lớp 2.
MPLS có thể hỗ trợ cho các giao thức lớp 3 và có thể mở rộng theo xu hướng
mạng hiện nay. MPLS cho phép phân phối hiệu quả dịch vụ IP qua mạng chuyển mạch
ATM. MPLS hỗ trợ cho việc tạo ra các định tuyến khác nhau giữa nguồn và đích trên
mạng trục Internet sử dụng router thơng thường. Khi kết hợp MPLS vào cấu trúc mạng,
nhiều nhà cung cấp dịch vụ giảm được chi phí, tăng doanh thu và sản phẩm, cung cấp
các dịch vụ khác nhau, và có sự thuận lợi rất lớn về layer 3 VPN, kỹ thuật lưu lượng
khi cạnh tranh với các nhà cung cấp khác.

Bảo mật trong mạng MPLS VPN

-7-

HVTH: KS. Nguyễn Đức Duy


Chương 2. Chuyển mạch nhãn MPLS

GVHD: PGS.TS Phạm Hồng Liên

Khi hợp nhất với chuyển mạch ATM, chuyển mạch nhãn tận dụng những thuận
lợi của các tế bào ATM – chiều dài thích hợp và chuyển với tốc độ cao. Trong mạng đa
dịch vụ chuyển mạch nhãn cho phép chuyển mạch BPX/MGX nhằm cung cấp dịch vụ
ATM, Frame Relay và IP Internet trên một mặt phẳng đơn trong mọt đường đi tốc độ
cao. Các mặt phẳng công cộng hỗ trợ các dịch vụ này để tiết kiệm chi phí và đơn giản
hóa hoạt động cho nhà cung cấp đa dịch vụ. ISP sử dụng chuyển mạch ATM lõi,
chuyển mạch nhãn giúp các dòng Cisco, BPX8600, MGX8800, Router chuyển mạch

đa dịch vụ 8540 và các chuyển mạch Cisco ATM giúp quản lý mạng hiệu quả hơn xếp
chồng (overlay) lớp IP trên mạng ATM. Chuyển mạch nhãn tránh những rắc rối gây ra
do có nhiều router ngang hàng và hỗ trợ cấu trúc phân cấp trong một mạng của ISP.
2.2 Kiến trúc mạng MPLS
2.2.1 Miền MPLS
Miền MPLS được chia thành hai phần MPLS nhân và MPLS biên. MPLS nhân
gồm có các node lân cận có khả năng MPLS node, trong MPLS biên có thể bao gồm
các node lân cận có thể là MPLS node hoặc không là các node MPLS . Các node trong
miền MPLS được gọi là các router chuyển mạch nhãn LSR (Label Switch Router). Các
node trong nhân được gọi là LSR chuyển tiếp,các node nằm tại biên MPLS gọi là các
router biên chuyển mạch nhãn LER (Label Edge Router). Nếu LER là node đầu tiên
nằm trên đường mà gói dữ liệu đi vào miền MPLS gọi là Ingress LER, còn nếu là node
cuối cùng gọi là Egress LER.

Hình 2.4: Miền trong MPLS
Thuật ngữ upstream-LSR và downstream-LSR cũng được sử dụng, phụ thuộc vào
chiều của luồng lưu lượng. Các tài liệu MPLS thường dùng ký hiệu Ru để biểu thị cho
upstream-LSR và dùng ký hiệu Rd để biểu thị cho downstream-LSR.

Bảo mật trong mạng MPLS VPN

-8-

HVTH: KS. Nguyễn Đức Duy


Chương 2. Chuyển mạch nhãn MPLS

GVHD: PGS.TS Phạm Hồng Liên


Hình 2.5: upstream và downstream LSR
2.2.2 Nhãn MPLS
2.2.2.1 Chế độ frame
Nhãn là một trường gồm có 32 bit có cấu trúc như hình 2.6

Hình 2.6: Cấu trúc nhãn MPLS
20 bit đầu tiên là giá trị của nhãn. Giá trị này nằm trong khoảng 0 đến 220-1 hay
1.048.575. Trong đó, 16 giá trị đầu tiên dành riêng cho trường hợp đặc biệt. Bit thứ 20
đến 22 là 3 bit thực nghiệm (EXP). Những bit này được sử dụng cho chất lượng dịch
vụ QoS.
Bit 23 là chỉ nhãn cuối cùng của stack nhãn (BoS). Mặc định là 0, nếu là nhãn
cuối cùng thì có giá trị 1. Stack là tập hợp các nhãn được thấy phần trên của gói. Stack
có thể chỉ gồm 1 hoặc nhiều nhãn nhưng hiếm khi vượt quá 3 nhãn.
Bit 24 đến 31 là 8 bit được sử dụng cho Time To Live (TTL). TTL có chức năng
giống như TTL trong IP header. Giá trị của nó giảm 1 khi qua mỗi hop, và nhiệm vụ
chính là tránh để gói bị loop định tuyến. Nếu xảy ra loop và khơng có TTL, gói bị loop
mãi mãi. Khi TTL có giá trị 0 thì gói sẽ được bỏ qua.
2.2.2.2 Chế độ cell
Chế độ cell được dùng khi ta có một mạng gồm các ATM-LSR (là các chuyển
mạch ATM có hỗ trợ MPLS), trong đó nó sử dụng các giao thức phân phối nhãn MPLS
để trao đổi thông tin VPI/VCI thay cho báo hiệu ATM. Nhãn được mã hóa trong
trường gộp VPI/VCI, trong VPI hoặc VCI của header cell ATM (RFC 3035).
Cell ATM gồm 5 byte header và 48 byte payload. Để chuyển tải gói tin có kích
thước lớn hơn 48 byte từ lớp trên đưa xuống (ví dụ như gói IP), ATM phải chia gói tin
thành nhiều phần nhỏ hơn, việc này gọi là phân đoạn. Quá trình phân đoạn do lớp AAL

Bảo mật trong mạng MPLS VPN

-9-


HVTH: KS. Nguyễn Đức Duy


Chương 2. Chuyển mạch nhãn MPLS

GVHD: PGS.TS Phạm Hồng Liên

(ATM Adaptation Layer) đảm trách. Cụ thể, AAL5 PDU sẽ được chia thành nhiều
đoạn 48 byte, mỗi đoạn 48 byte này được thêm header 5 byte để tạo ra một cell ATM.

Hình 2.7: Nhãn trong chế độ cell ATM

Giá trị thực của nhãn đỉnh chứa trong trường
VCI/VPI của header các cell ATM

Hình 2.8: Gói có nhãn trên ATM
Khi đóng gói có nhãn MPLS trên ATM, toàn bộ stack nhãn được đặt trong AAL5
PDU. Giá trị thực sự của nhãn đỉnh được đặt trong trường VPI/VCI, hoặc đặt trong
trường VCI nếu 2 ATM-LSR kết nối nhau qua một đường ảo ATM (VP). Entry đỉnh
stack nhãn phải chứa giá trị 0 (coi như entry “giữ chỗ”) và được bỏ qua khi nhận. Lý
do các nhãn phải chứa ở cả trong AAL5 PDU và header ATM là để mở rộng độ sâu
stack nhãn. Khi các cell ATM đi đến cuối LSP, nó sẽ được tái hợp lại. Nếu có nhiều
nhãn trong stack nhãn, AAL5 PDU sẽ bị phân đoạn lần nữa và nhãn hiện hành trên
đỉnh stack sẽ được đặt vào trường VPI/VCI.
2.2.3 Ngăn xếp nhãn
Router có MPLS có thể cần nhiều hơn 1 nhãn ở phần trên của gói để định tuyến
gói qua mạng MPLS. Điều này được thực hiện bằng cách đóng gói nhãn vào một stack.
Nhãn đầu tiên trong stack được gọi là top label, và nhãn cuối cùng được gọi là bottom
label. Hình 2.7 cho thấy cấu trúc của ngăn xếp nhãn (label stack).


Bảo mật trong mạng MPLS VPN

-10-

HVTH: KS. Nguyễn Đức Duy


Chương 2. Chuyển mạch nhãn MPLS

GVHD: PGS.TS Phạm Hồng Liên

Một số ứng dụng thực tế cần nhiều hơn 1 nhãn trong ngăn xếp nhãn để chuyển
các gói được gắn nhãn. Điển hình như MPLS VPN và AToM. Cả hai đều đặt 2 nhãn
trong ngăn xếp nhãn và được thấy như hình 2.10.

Hình 2.9: Ngăn xếp nhãn

Hình 2.10: Ngăn xếp nhãn trong các trường hợp khác nhau

Bảo mật trong mạng MPLS VPN

-11-

HVTH: KS. Nguyễn Đức Duy


Chương 2. Chuyển mạch nhãn MPLS

GVHD: PGS.TS Phạm Hồng Liên


2.2.4 Mã hóa MPLS
Ngăn xếp nhãn nằm ở trước gói layer 3 nghĩa là trước header của lớp transport
nhưng sau layer 2 header. Chính vị trí như vậy nên ngăn xếp nhãn MPLS được gọi là
shim header (đệm). Hình 2.8 cho thấy vị trí của stack nhãn khi gói đã gắn nhãn.

Hình 2.11: Gói đã gắn nhãn
Đóng gói layer 2 có thể là PPP, HDLC (High-level Data Link Control),
Ethernet,vv..Nếu giao thức lớp transport là IPv4, đóng gói layer 2 là PPP thì stack nhãn
sẽ ở vị trí sau PPP header và trước IPv4 header. Vì stack nhãn trong layer 2 được đặt
trước layer 3 header hoặc giao thức transport nào khác nên phải có một trường mới cho
trường giao thức lớp Data Link để cho biết theo sau Layer 2 header là một gói có nhãn
MPLS. Ví dụ đối với Frame Relay, tên trường giao thức lớp 2 là NLPID (Network
Level Protocol ID) có giá trị hex là: 0x80 chỉ ra SNAP (Subnetwork Access Protocol)
header được sử dụng. SNAP header sẽ cho nơi nhận biết giao thức vận chuyển là
Frame relay. SNAP header chứa trường OUI (Organizationally Unique Identifier) có
giá trị 0x000000 và Ethertype giá trị 0x8847 để chỉ ra giao thức transport là MPLS.
2.2.5

Đường chuyển mạch nhãn LSP

Đường chuyển mạch nhãn LSP là một đường nối giữa router ngỏ vào và router
ngỏ ra, được thiết lập bởi các nút MPLS để chuyển các gói đi xuyên qua mạng. Đường
dẫn của một LSP qua mạng được định nghĩa bởi sự chuyển đổi các giá trị nhãn ở các
LSR dọc theo LSP bằng cách dùng thủ tục hoán đổi nhãn. Khái niệm LSP tương tự như
khái niệm mạch ảo (VC) trong ATM.

Hình 2.12: Đường chuyển mạch nhãn LSP
Kiến trúc MPLS cho phép nâng cấp các LSP, tương tự như ATM sử dụng VPI và
VCI để tạo ra phân cấp kênh ảo (VC) nằm trong đường ảo (VP). Tuy nhiên ATM chỉ


Bảo mật trong mạng MPLS VPN

-12-

HVTH: KS. Nguyễn Đức Duy


Chương 2. Chuyển mạch nhãn MPLS

GVHD: PGS.TS Phạm Hồng Liên

có thể hỗ trợ 2 mức phân cấp, trong khi với MPLS thì số mức phân cấp cho phép rất
lớn nhờ khả năng chứa nhiều entry nhãn trong stack nhãn. Về lý thuyết, giới hạn số
lượng nhãn trong stack phụ thuộc giá trị MTU (Maximum Transfer Unit) của các giao
thức liên kết được dùng dọc theo một LSP.

Hình 2.13: Phân cấp LSP trong MPLS
Hình 2.14 là một ví dụ về LSP lồng vào nhau. Ingress LSR của LSP không nhất
thiết là router đầu tiên gắn nhãn. Trong hình LSP phía dưới bao gồm tồn bộ mạng
MPLS. LSP phía trên bắt đầu tại LSR thứ 3 và kết thúc tại LSR kế cuối. Do đó gói vào
LSP này đã được gắn nhãn trước đó. Ingress LSR của LSP này gắn thêm một nhãn thứ
2 vào gói làm cho stack nhãn sẽ có 2 nhãn với nhãn trên cùng là của LSP lồng vào.

Hình 2.14: Một ví dụ LSP lồng vào nhau
2.2.6 Lớp chuyển tiếp tương đương FEC
FEC (Forwarding Equivalence Class) là một nhóm hay một luồng gói được
chuyển tiếp theo cùng một đường dẫn và được đối xử như nhau. Các gói cùng FEC có
nhãn giống nhau. Tuy nhiên khơng phải tất cả các gói có cùng nhãn đều cùng FEC bởi
vì giá trị EXP có thể khác nhau nên chúng có thể thuộc một FEC khác. Router quyết


Bảo mật trong mạng MPLS VPN

-13-

HVTH: KS. Nguyễn Đức Duy


Chương 2. Chuyển mạch nhãn MPLS

GVHD: PGS.TS Phạm Hồng Liên

định gói nào thuộc FEC nào là ingress LSR. LSR này phân loại và gán nhãn cho gói
một cách định tính.

Hình 2.15: Lớp chuyển tiếp tương đương FEC trong MPLS
Hình 2.16 là một ví dụ về FEC trong mạng MPLS có các edge LSR đều chạy
iBGP (internal BGP). Tất cả các gói trong ingress LSR đều chỉ đến một nhóm định
tuyến BGP trong bảng định tuyến – tất cả đều có địa chỉ BGP next-hop giống nhau nên
thuộc cùng một FEC. Điều này có nghĩa là tất cả các gói đi vào mạng MPLS được gắn
nhãn tùy thuộc vào BGP next hop là gì.

Hình 2.16: Ví dụ FEC trong MPLS chạy iBGP

Bảo mật trong mạng MPLS VPN

-14-

HVTH: KS. Nguyễn Đức Duy



Chương 2. Chuyển mạch nhãn MPLS

GVHD: PGS.TS Phạm Hồng Liên

2.2.7 Phân phối nhãn MPLS
2.2.7.1 Chế độ phân phối nhãn
MPLS cho phép hai chế độ hoạt động của các LSR để phân phối các ánh xạ nhãn
đó là phân phối khơng cần yêu cầu (Downstream Unsolicited) và phân phối theo yêu
cầu (Downstream on Demand). Thuật ngữ downstream ở đây ngụ ý rằng phía
downstream sẽ thực hiện việc gán kết nhãn và thơng báo gán kết đó cho phía upstream
a) Phân phối nhãn không cần yêu cầu
Downstream-LSR phân phối các gán kết nhãn đến upstream-LSR mà khơng cần
có yêu cầu thực hiện việc kết nhãn. Nếu downstream-LSR chính là hop kế đối với định
tuyến IP cho một FEC cụ thể thì upstream-LSR có thể sử dụng kiểu kết nhãn này để
chuyển tiếp các gói trong FEC đó đến downstream-LSR.

Hình 2.17: Phân phối nhãn không cần yêu cầu
b) Phân phối nhãn theo yêu cầu
Upstream-LSR phải yêu cầu rõ ràng một gán kết nhãn cho một FEC cụ thể thì
downstream-LSR mới phân phối. Trong phương thức này, downstream-router không
nhất thiết phải là hop kế đối với định tuyến IP cho FEC đó, điều này rất quan trọng đối
với các LSP định tuyến tường minh.

Hình 2.18: Phân phối nhãn theo yêu cầu
2.2.7.2 Giao thức LDP (Label Distribution Protocol)
Ngoài các giao thức phân phối nhãn khác như TDP (Tag Distribution Protocol),
RSVP (Resource Reservation Protocol), LDP được nhiều nhà cung cấp sử dụng để
phân phối nhãn mới. LDP được chuẩn hóa trong RFC 3036, nó được thiết lập và duy
trì các LSP định tuyến khơng ràng buộc (unconstraint routing). Vùng hoạt động của
LDP có thể là giữa các LSR láng giềng (neighbor) trực tiếp hoặc gián tiếp.


Bảo mật trong mạng MPLS VPN

-15-

HVTH: KS. Nguyễn Đức Duy


Chương 2. Chuyển mạch nhãn MPLS

GVHD: PGS.TS Phạm Hồng Liên

Hình 2.19: vùng hoạt động của LDP
LDP có 4 chức năng chính là phát hiện LSR láng giềng, thiết lập và duy trì phiên
quảng bá nhãn (label advertisement) và thơng báo (Notification). Tương ứng với các
chức năng trên, có 4 lớp thông điệp LDP sau đây:


Discovery: Để trao đổi định kỳ bản tin Hello nhằm loan báo và kiểm tra một
LSR kết nối gián tiếp hoặc trực tiếp.



Session: để thiết lập, thương lượng các thông số cho việc khởi tạo, duy trì và
chấm dứt các phiên ngang hàng LDP. Nhóm này bao gồm bản tin
Initialization, KeepAlive.



Advertisement: để tạo ra, thay đổi hoặc xóa các ánh xạ FEC tới nhãn. Nhóm

này bao gồm bản tin Label Mapping, Label Withdrawal, Label Release, Label
Request, Label Request Abort.



Notification: để truyền đạt thông tin trạng thái, lỗi hoặc cảnh báo.

Các thông điệp Discovery được trao đổi trên UDP. Các kiểu thơng điệp cịn lại
địi hỏi phân phát tin cậy nên dùng TCP. Trường hợp hai LSR có kết nối lớp 2 trực tiếp
thì thủ tục phát hiện neighbor trực tiếp như sau:


Một LSR định kỳ gửi đi bản tin Hello tới các cổng UDP 646 địa chỉ multicast
(tất cả các router trong subnet).



Tất cả các LSR tiếp nhận bản tin Hello này trên cổng UDP. Đến một thời
điểm nào đó LSR sẽ biết được tất cả các LSR khác mà nó kết nối trực tiếp.



Khi LSR nhận biết địa chỉ của LSR khác bằng cơ chế này thì nó sẽ thiết lập
kết nối TCP đến LSR đó. Khi đó phiên LDP được thiết lập giữa 2 LSR.

Phiên LDP là phiên song hướng nên mỗi LSR ở hai đầu kết nối đều có thể yêu
cầu và gửi liên kết nhãn.

Bảo mật trong mạng MPLS VPN


-16-

HVTH: KS. Nguyễn Đức Duy


Chương 2. Chuyển mạch nhãn MPLS

GVHD: PGS.TS Phạm Hồng Liên

Hình 2.20: Trao đổi thông điệp LDP
Trong trường hợp hai LSR khơng có kết nối lớp 2 trực tiếp (neighbor gián tiếp)
thì LSR định kỳ gửi bản tin Hello đến cổng UDP đã biết tại địa chỉ IP xác định được
khai báo khi lập cấu hình. Đầu nhận bản tin này có thể trả lời lại bằng bản tin Hello
khác và việc thiết lập các phiên LDP được thực hiện như trên.
2.2.8 Cấu trúc chức năng của MPLS
2.2.8.1 Mặt phẳng chuyển tiếp và mặt phằng điều khiển
Về chức năng, MPLS có thể được chia thành 2 phần: điều khiển và chuyển tiếp.
Hình 2.21 minh họa mặt phẳng điều khiển và chuyển tiếp của LSR và LER. Mặt phẳng
điều khiển có chức năng định tuyến IP dùng để giao tiếp với các LSR, LER khác hoặc
các router IP thông thường bằng các giao thức định tuyến IP. Kết quả là một cơ sở
thông tin định tuyến RIB (Routing Information Base) được tạo lập gồm các thông tin
miêu tả các các route khả thi để tìm đến các prefix địa chỉ IP. LER sẽ sử dụng các
thông tin này để xây dựng cơ sở thông tin chuyển tiếp FIB (Forwarding Information
Base) trong mặt phẳng chuyển tiếp. LSR chỉ có chức năng chuyển tiếp gói đã gắn nhãn
nên mặt phẳng chuyển tiếp chỉ có bảng LFIB.
Mặt phẳng điều khiển cịn có chức năng báo hiệu MPLS dùng để giao tiếp với các
LSR khác bằng một giao thức phân phối nhãn. Kết quả là một cơ sở thông tin nhãn LIB
(Label Information Base) gồm các thông tin liên quan đến các gán kết nhãn đã được
thương lượng với các router MPLS khác. Thành phần báo hiệu MPLS nhận thông tin
từ chức năng định tuyến IP và LIB để xây dựng cơ sở thông tin chuyển tiếp nhãn LFIB

(Label Forwarding Information Base) trong mặt phẳng chuyển tiếp. Một LER có thể có
thể chuyển tiếp các gói IP, gắn nhãn vào gói (label push), hoặc gỡ nhãn ra khỏi gói
(label pop), trong khi đó một transit-LSR chỉ có khả năng chuyển tiếp gói có nhãn,
thêm hoặc bỏ bớt nhãn.

Bảo mật trong mạng MPLS VPN

-17-

HVTH: KS. Nguyễn Đức Duy


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×