intTypePromotion=1
zunia.vn Tuyển sinh 2024 dành cho Gen-Z zunia.vn zunia.vn
ADSENSE
 » 
 » 

Đồ án Tốt nghiệp: Tìm hiểu công nghệ chuyển mạch nhãn đa giao thức trong VPN

Chia sẻ: Trạc Thanh | Ngày: | Loại File: PDF | Số trang:84

Thêm vào BST
Báo xấu
50
lượt xem 10
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Mục đích nghiên cứu của đồ án "Tìm hiểu công nghệ chuyển mạch nhãn đa giao thức trong VPN" là tìm hiểu về những vấn đề cơ bản liên quan đến thực hiện IP-VPN và MPLS – VPN; đánh giá hai công nghệ này. Mời các bạn cùng tham khảo nội dung chi tiết.

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Đồ án Tốt nghiệp: Tìm hiểu công nghệ chuyển mạch nhãn đa giao thức trong VPN

  1. LỜI CẢM ƠN Em xin chân thành cảm ơn các thầy cô trong Khoa Công nghệ thông tin ứng dụng cũng như các thầy cô giảng dạy trong trường Cao Đẳng Công Nghệ Thông Tin hữu nghị Việt Hàn đã truyền đạt những kiến thức quý báu cho em cho những năm học vừa qua. Đặc biệt em xin chân thành cảm ơn cô Trần Thị Trà Vinh đã tận tình hướng dẫn, động viên và giúp đỡ em trong suốt thời gian thực hiện đề tài. Xin chân thành cám ơn các bạn trong Khoa Công nghệ thông tin ứng dụng đã ủng hộ, giúp đỡ, chia sẻ kiến thức, kinh nghiệm và tài liệu có được chia sẻ cho em trong quá trình học tập, nghiên cứu và thực hiện đề tài. Một lần nữa xin chân thành cám ơn! Đà nẵng, ngày 29 tháng 05 năm 2013 Phạm Hoàng Vĩ i
  2. MỤC LỤC MỤC LỤC ..................................................................................................................... ii DANH MỤC TỪ VIẾT TẮT .......................................................................................vi DANH MỤC HÌNH VẼ............................................................................................. viii MỞ ĐẦU .........................................................................................................................1 CHƯƠNG 1: BỘ GIAO THỨC TCP/IP VÀ ..............................................................2 CÔNG NGHỆ MẠNG RIÊNG ẢO TRÊN INTERNET IP-VPN .......................2 1.1 Khái niệm mạng Internet ...................................................................................2 1.2 Mô hình phân lớp bộ giao thức TCP/IP ............................................................3 1.3 Các giao thức trong mô hình TCP/IP ................................................................4 1.3.1 Giao thức Internet.........................................................................................4 1.3.1.1 Giới thiệu chung .......................................................................................4 1.3.1.2. Cấu trúc IPv4 ..........................................................................................4 1.3.1.3. Phân mảnh IP và hợp nhất dữ liệu ..........................................................6 1.3.1.4. Địa chỉ và định tuyến IP ..........................................................................6 1.3.1.5. Cấu trúc gói tin IPv6 ...............................................................................7 1.3.2. Giao thức lớp vận chuyển ............................................................................9 1.3.2.1. Giao thức UDP ........................................................................................9 1.3.2.2. Giao thức TCP .........................................................................................9 1.4 Mạng riêng ảo trên Internet IP-VPN ..............................................................11 1.4.1 Khái niệm về mạng riêng ảo trên nền tảng Internet .................................11 1.4.2 Khả năng ứng dụng của IP-VPN...............................................................11 1.4.3 Các khối cơ bản trong mạng IP-VPN ........................................................12 1.4.3.1 Điều khiển truy nhập ..............................................................................12 1.4.3.2 Nhận thực ...............................................................................................13 1.4.3.3 An ninh....................................................................................................13 1.4.3.4 Truyền Tunnel nền tảng IP-VPN ............................................................14 1.4.3.5 Các thỏa thuận mức dịch vụ ...................................................................15 1.5 Phân loại mạng riêng ảo theo kiến trúc ..........................................................15 1.5.1 IP-VPN truy nhập từ xa .............................................................................16 1.5.2 Site-to-Site IP-VPN .....................................................................................17 1.5.2.1 Intranet IP-VPN .....................................................................................18 ii
  3. 1.5.2.2 Extranet IP-VPN.....................................................................................18 1.5.3 Các giao thức đường ngầm trong IP-VPN ................................................19 1.5.3.1 PPTP (Point - to - Point Tunneling Protocol) .......................................20 1.5.3.2 L2TP (Layer Two Tunneling Protocol) ..................................................22 CHƯƠNG 2:GIAO THỨC IPSEC TRONG IP-VPN ..............................................25 2.1 Gới thiệu .............................................................................................................25 2.1.1 Khái niệm về IPSec .....................................................................................25 2.2 Đóng gói thông tin của IPSec ...........................................................................26 2.2.1 Các kiểu sử dụng ........................................................................................26 2.2.1.1 Kiểu Transport .......................................................................................26 2.2.1.2 Kiểu Tunnel ............................................................................................27 2.2.2 Giao thức tiêu đề xác thực AH ...................................................................27 2.2.2.1 Giới thiệu ................................................................................................27 2.2.2.2 Cấu trúc gói tin AH ................................................................................28 2.2.2.3 Quá trình xử lý AH .................................................................................29 2.2.3 Giao thức đóng gói an toàn tải tin ESP .....................................................32 2.2.3.1 Giới thiệu ................................................................................................32 2.2.3.2 Cấu trúc gói tin ESP ...............................................................................33 2.2.3.3 Quá trình xử lý ESP ................................................................................34 2.2.3.4 Ví dụ về hoạt động của một IP-VPN sử dụng IPSec ..............................39 2.3 Kết hợp an ninh SA và giao thức trao đổi khóa IKE.....................................41 2.3.1 Kết hợp an ninh SA.....................................................................................41 2.3.1.1 Mục tiêu ..................................................................................................41 2.3.1.2 Kết hợp các SA .......................................................................................42 2.3.1.3 Cơ sở dữ liệu SA .....................................................................................43 2.3.2 Giao thức trao đổi khóa IKE ......................................................................44 2.4 Những giao thức đang được ứng dụng cho xử lý IPSec ................................44 2.4.1 Mật mã bản tin ............................................................................................44 2.4.1.1 Tiêu chuẩn mật mã dữ liệu DES .............................................................45 2.4.1.2 Tiêu chuẩn mật mã hóa dữ liệu gấp ba 3DES ........................................45 2.4.2 Toàn vẹn bản tin .........................................................................................45 2.4.2.1 Mã nhận thực bản tin băm HMAC .........................................................46 iii
  4. 2.4.2.2 Thuật toán MD5 .....................................................................................46 2.4.2.3 Thuật toán băm an toàn SHA .................................................................47 2.4.3 Nhận thực các bên ......................................................................................47 2.4.3.1 Khóa chia sẻ trước .................................................................................47 2.4.3.2 Chữ ký số RSA ........................................................................................47 2.4.3.3 RSA mật mã nonces ...............................................................................48 2.4.4 Quản lí khóa ................................................................................................48 2.4.4.1 Giao thức Diffie-Hellman .......................................................................48 2.4.4.2 Quyền chứng nhận CA ...........................................................................49 2.5 Ví dụ về hoạt động của một IP-VPN sử dụng IPSec ......................................50 2.6 Thực hiện IP - VPN ...........................................................................................51 2.6.1 Các mô hình thực hiện IP-VPN .................................................................51 2.6.1.1 Access VPN .............................................................................................52 2.6.1.2 Intranet IP-VPN và Extranet IP-VPN ....................................................53 2.6.3 Một số sản phẩm thực hiện VPN ...............................................................54 2.6.4 Ví dụ về thực hiện IP-VPN .........................................................................55 2.6.4.1 Kết nối Client-to-LAN ............................................................................55 2.6.4.2 Kết nối LAN-to-LAN ...............................................................................57 2.6.5 Tình hình triển khai VPN ở Việt Nam.......................................................58 CHƯƠNG 3: CHUYỂN MẠCH NHÃN ĐA GIAO THỨC ....................................59 TRONG VPN ...............................................................................................................59 3.1. Giới thiệu chương .............................................................................................59 3.2. Tổng quan Về Mpls ..........................................................................................59 3.2.1 Các khái niệm cơ bản MPLS......................................................................59 3.2.2 Thành phần cơ bản của MPLS ..................................................................60 3.2.2.1 Cấu trúc MPLS .......................................................................................60 3.2.2.2. Cấu trúc nhãn ........................................................................................61 3.2.2.3. Quá trình gán nhãn cho gói tin .............................................................62 3.3. Ứng dụng công nghệ MPLS - VPN. ................................................................64 3.3.1. Giới thiệu ....................................................................................................64 3.3.2. Mô hình mạng MPLS VPN .......................................................................64 3.3. 3 Thành phần trong cấu trúc MPLS VPN...................................................65 iv
  5. 3.3.4. Thông tin định tuyến qua môi trường MPLS - VPN ...............................66 3.4. Vấn đề bảo mật MPLS – VPN ........................................................................66 3.4.1. Tách biệt các VPN .....................................................................................66 3.4.1.1. Tách biệt không gian địa chỉ .................................................................67 3.4.1.2 Tách biệt về lưu lượng ............................................................................67 3.4.2 Chống lại các sự tấn công ..........................................................................68 3.4.2.1. Nơi một mạng lõi MPLS có thể bị tấn công ..........................................68 3.4.2.2 Mạng lõi MPLS được bảo vệ ..................................................................69 3.4.3. Dấu cấu trúc mạng lõi ...............................................................................69 3.5. Đánh giá giữa IP – VPN và MPLS – VPN .....................................................70 3.5.1. IPSec VPN ..................................................................................................70 3.5.2 MPLS VPN ..................................................................................................72 KẾT LUẬN ..................................................................................................................73 TÀI LIỆU THAM KHẢO.............................................................................................x NHẬN XÉT CỦA CÁN BỘ HƯỚNG DẪN ...............................................................xi v
  6. DANH MỤC TỪ VIẾT TẮT Viết tắt Chú giải tiếng Anh Chú giải tiếng Việt AAA Authentication, Authorization Nhận thực, trao quyền và thanh toán and Accounting AC Access Control Điều khiển truy nhập ACK Acknowledge Chấp nhận ACL Acess Control List Danh sách điều khiển truy nhập ADSL Asymmetric Digital Subscriber Công nghệ truy nhập đường dây thuê Line bao số không đối xứng AH Authentication Header Giao thức tiêu đề xác thực ARP Address Resolution Protocol Giao thức phân giải địa chỉ ARPA Advanced Research Project Cục nghiên cứu các dự án tiên tiến của Agency Mỹ ARPANET Advanced Research Project Mạng viễn thông của cục nghiên cứu Agency dự án tiên tiến Mỹ ATM Asynchronous Transfer Mode Phương thức truyền tải không đồng bộ BOOTP Boot Protocol Giao thức khởi đầu DCE Data communication Equipment Thiết bị truyền thông dữ liệu DES Data Encryption Standard Thuật toán mã DES DH Diffie-Hellman Giao thức trao đổi khóa Diffie-Hellman DNS Domain Name System Hệ thông tên miền DSL Digital Subscriber Line Công nghệ đường dây thuê bao số ESP Encapsulating Sercurity Payload Giao thức đóng gói an toàn tải tin FTP File Transfer Protocol Giao thức truyền file GRE Generic Routing Encapsulation Đóng gói định tuyến chung IBM International Bussiness Machine Công ty IBM ICV Intergrity Check Value Giá trị kiểm tra tính toàn vẹn IETF Internet Engineering Task Force Cơ quan tiêu chuẩn kỹ thuật cho Internet IKE Internet Key Exchange Giao thức trao đổi khóa IPSec IP Security Protocol Giao thức an ninh Internet vi
  7. ISO International Standard Tổ chức chuẩn quốc tế Organization ISP Internet Service Provider Nhà cung cấp dịch vụ Internet L2TP Layer 2 Tunneling Protocol Giao thức đường ngầm lớp 2 LAN Local Area Network Mạng cục bộ MTU Maximum Transfer Unit Đơn vị truyền tải lớn nhất NAS Network Access Server Máy chủ truy nhập mạng NGN Next Generation Network Mạng thế hệ kế tiếp OSPF Open Shortest Path First Giao thức định tuyến OSPF POP Point - Of – Presence Điểm hiển diễn PPP Point-to-Point Protocol Giao thức điểm tới điểm PPTP Point-to-Point Tunneling Giao thức đường ngầm điểm tới điểm Protocol PSTN Public Switched Telephone Mạng chuyển mạch thoại công cộng Network RADIUS Remote Authentication Dial-in Dịch vụ nhận thực người dùng quay số User Service từ xa RFC Request for Comment Các tài liệu về tiêu chuẩn IP do IETF đưa ra SA Security Association Liên kết an ninh SMTP Simple Mail Transfer Protocol Giao thức truyền thư đơn giản SPI Security Parameter Index Chỉ số thông số an ninh TCP Transmission Control Protocol Giao thức điều khiển truyền tải TFTP Trivial File Transfer Protocol Giao thức truyền file bình thường TLS Transport Level Security An ninh mức truyền tải UDP User Data Protocol Giao thức dữ liệu người sử dụng VPN Virtual Private Network Mạng riêng ảo WAN Wide Area Network Mạng diện rộng MPLS Multi Protocol Label Switching Chuyển mạch nhãn đa giao thức vii
  8. DANH MỤC HÌNH VẼ Hình 1.1 Mô hình phân lớp bộ giao thức TCP/IP 3 Hình 1.2 Cấu trúc gói tin IPv4 4 Hình 1.3 Cấu trúc tiêu đề IPv6 8 Hình 1.4 Cấu trúc tiêu đề TCP 9 Hình 1.5 Các yếu tố thúc đẩy sự phát triển của thị trường IP-VPN 12 Hình 1.6 IP-VPN truy nhập từ xa 17 Hình 1.7 Intranet IP-VPN 18 Hình 1.8 Extranet IP-VPN 19 Hình 2.1 Thiết bị mạng thực hiện IPSec kiểu Tunnel 27 Hình 2.2 Cấu trúc tiêu đề AH cho IPSec Datagram 28 Hình 2.3 Khuôn dạng IPv4 trước và sau khi xử lý AH ở kiểu Transport 30 Hình 2.4 Khuôn dạng IPv6 trước và sau khi xử lý AH ở kiểu Traport 30 Hình 2.5 Khuôn dạng gói tin đã xử lý AH ở kiểu Tunnel 31 Hình 2.6 Xử lý đóng gói ESP 33 Hình 2.7 Khuôn dạng IPv4 trước và sau khi xử lý ESP ở kiểu Transport 35 Hình 2.8 Khuôn dạng IPv6 trước và sau khi xử lý ESP ở kiểu Transport 35 Hình 2.9 Khuôn dạng gói tin đã xử lý ESP ở kiểu Tunnel 35 Hình 2.10 Ví dụ về hoạt động của IP-VPN sử dụng IPSec 40 Hình 2.11 Kết hợp SA kiểu Tunnel khi 2 điểm cuối trùng nhau 42 Hình 2.12 Kết hợp SA kiểu Tunnel khi một điểm cuối trùng nhau 43 Hình 2.13 Kết hợp SA kiểu Tunnel khi không có điểm cuối trùng nhau 43 Hình 2.14 Ví dụ về hoạt động của IP-VPN sử dụng IPSec 50 Hình 2.15 Truy nhập IP-VPN từ xa khởi tạo từ phía người sử dụng 53 Hình 2.16 Truy nhập IP-VPN khởi tạo từ máy chủ 53 Hình 2.17 IP-VPN khởi tạo từ routers 54 Hình 2.18 Các thành phần của kết nối Client-to-LAN 56 Hình 2.19 Đường ngầm IPSec Client-to-LAN 56 Hình 2.20 Đường ngầm IPSec LAN-to-LAN 58 viii
  9. Hình 3.1 Cấu trúc MPLS 61 Hình 3.2 Nhãn MPLS 61 Hình 3.3 Nhãn đặc biệt trong MPLS 62 Hình 3.4 Xây dựng bảng FIB 63 Hình 3.5 Xây dựng bảng LIB 63 Hình 3.6 Xây dựng bảng LFIB 63 Hình 3.7 Chuyển tiếp gói tin trong MPLS 64 Hình 3.8 Cấu trúc mạng MPLS - VPN 65 Hình 3.9 Tách biệt lưu lượng 68 Hình 3.10 Dải địa chỉ có thể nhận ra từ VPN 68 ix
  10. Tìm hiểu công nghệ chuyển mạch nhãn đa giao thức trong VPN MỞ ĐẦU Cùng với xu thế toàn cầu hóa, sự mở rộng giao lưu hợp tác quốc tế ngày càng tăng, quan hệ hợp tác kinh doanh không chỉ dừng lại trong phạm vi một huyện, một tỉnh, một nước mà còn mở rộng ra toàn thế giới. Một công ty có thể có chi nhánh, có các đối tác kinh doanh ở nhiều quốc gia và giữa họ luôn có nhu cầu trao đổi thông tin với nhau. Để đảm bảo bí mật các thông tin được trao đổi thì theo cách truyền thông người ta dùng các kênh thuê riêng, nhưng nhược điểm là nó đắt tiền, gây lãng phí tài nguyên khi dữ liệu trao đổi không nhiều và không thường xuyên. Vì thế người ta đã nghiên cứu ra nhưng công nghệ khác vẫn có thể đáp ứng được nhu cầu trao đổi thông tin nhưng đỡ tốn kém và thuận tiện hơn, đó là giải pháp mạng riêng ảo VPN là định nghĩa là mạng kết nối các site khách hàng đảm bảo an ninh trên cơ sở hạ tầng mạng chung cùng với các chính sách điều khiển truy nhập và đảm bảo an ninh như một mạng riêng. Đã có rất nhiều phương án triển VPN như: X.25, ATM, Framer Relay, … Tuy nhiên khi thực hiện các giải pháp này thì chi phí rất lớn để mua sắm các thiết bị, chi phí cho vận hành, duy trì, quản lý rất lớn và do doanh nghiệp phải gánh chịu trong khi các nhà cung cấp dịch vụ chỉ đảm bảo về một kênh riêng cho số liệu và không chắc chắn về vấn đề an ninh của kênh riêng này. Các tổ chức, doanh nghiệp sử dụng dịch vụ IP VPN sẽ tiết kiệm được rất nhiều chi phí trong việc muốn kết nối các chị nhánh văn phòng với nhau, truy cập từ xa vào mạng nội bộ, gọi điện VoIP. Hiện nay ADSL đã trở nên phổ biến, chi phí thấp, nên việc thực hiện IP VPN trở nên rất đơn giản, hiệu quả vì tận dụng được đường truyền Internet tốc độ cao. Mục đích của đồ án là tìm hiểu về những vấn đề cơ bản liên quan đến thực hiện IP-VPN và MPLS – VPN. Đánh giá hai công nghệ này. Bố cục của đồ án gồm 3 chương: Chương 1: Bộ giao thức TCP/IP và công nghệ mạng riêng ảo trên Internet IP- VPN Chương 2: Giao thức IPSec cho IP-VPN Chương 3: Chuyển mạch nhãn đa giao thức trong VPN Mặc dù nhận được rất nhiều sự giúp đỡ của cô hướng dẫn và sự cố gắng của bản thân nhưng đồ án không tránh khỏi sai sót vì vậy tôi mong nhận được sự đóng góp nhiều hơn nữa ý kiến từ phía thầy cô và bạn bè cùng những người quan tâm đến lĩnh vực này. SVTH: Phạm Hoàng Vĩ - Lớp VT03B 1
  11. Tìm hiểu công nghệ chuyển mạch nhãn đa giao thức trong VPN CHƯƠNG 1: BỘ GIAO THỨC TCP/IP VÀ CÔNG NGHỆ MẠNG RIÊNG ẢO TRÊN INTERNET IP-VPN 1.1 Khái niệm mạng Internet Tháng 6/1968, một cơ quan của Bộ Quốc phòng Mỹ là Cục các dự án nghiên cứu tiên tiến (Advanced Research Project Agency - viết tắt là ARPA) đã xây dựng dự án nối kết các trung tâm nghiên cứu lớn trong toàn liên bang với mục tiêu là chia sẻ, trao đổi tài nguyên thông tin, đánh dấu sự ra đời của ARPANET - tiền thân của mạng Internet hôm nay. Ban đầu, giao thức truyền thông được sử dụng trong mạng ARPANET là NCP (Network Control Protocol), nhưng sau đó được thay thế bởi bộ giao thức TCP/IP (Transfer Control Protocol/ Internet Prxxotocol) . Bộ giao thức TCP/IP gồm một tập hợp các chuẩn của mạng, đặc tả chi tiết cách thức cho các máy tính thông tin liên lạc với nhau, cũng như quy ước cho đấu nối liên mạng và định tuyến cho mạng. Trước đây, người ta định nghĩa “Internet là mạng của tất cả các mạng sử dụng giao thức IP”. Nhưng hiện nay, điều đó không còn chính xác nữa vì nhiều mạng có kiến trúc khác nhau nhưng nhờ các cầu nối giao thức nên vẫn có thể kết nối vào Internet và vẫn có thể sử dụng đầy đủ các dịch vụ Internet. Internet không chỉ là một tập hợp các mạng được liên kết với nhau, Internetworking còn có nghĩa là các mạng được liên kết với nhau trên cơ sở cùng đồng ý với nhau về các quy ước mà cho phép các máy tính liên lạc với nhau, cho dù con đường liên lạc sẽ đi qua những mạng mà chúng không được đấu nối trực tiếp tới. Như vậy, kỹ thuật Internet che dấu chi tiết phần cứng của mạng, và cho phép các hệ thống máy tính trao đổi thông tin độc lập với những liên kết mạng vật lý của chúng. TCP/IP có những đặc điểm sau đây đã làm cho nó trở nên phổ biến: - Độc lập với kến trúc mạng: TCP/IP có thể sử dụng trong các kiến trúc Ethernet, Token Ring, trong mạng cục bộ LAN cũng như mạng diện rộng WAN. - Chuẩn giao thức mở: vì TCP/IP có thể thực hiện trên bất kỳ phần cứng hay hệ điều hành nào. Do đó, TCP/IP là tập giao thức lý tưởng để kết hợp phần cứng cũng như phần mềm khác nhau. - Sơ đồ địa chỉ toàn cầu: mỗi máy tính trên mạng TCP/IP có một địa chỉ xác định duy nhất. Mỗi gói dữ liệu được gửi trên mạng TCP/IP có một Header gồm địa chỉ của máy đích cũng như địa chỉ của máy nguồn. SVTH: Phạm Hoàng Vĩ - Lớp VT03B 2
  12. Tìm hiểu công nghệ chuyển mạch nhãn đa giao thức trong VPN - Khung Client - Server: TCP/IP là khung cho những ứng dụng client - server mạnh hoạt động trên mạng cục bộ và mạng diện rộng. 1.2 Mô hình phân lớp bộ giao thức TCP/IP Bộ giao thức TCP/IP là sự kết hợp của các giao thức khác nhau ở các lớp khác nhau, không chỉ có các giao thức TCP và IP. Mỗi lớp có chức năng riêng. Mô hình TCP/IP được tổ chức thành 4 lớp (theo cách nhìn từ phía ứng dụng xuống lớp vật lý) như sau: Hình 1.1: Mô hình phân lớp bộ giao thức TCP/IP  Lớp ứng dụng (Application layer): Điều khiển chi tiết từng ứng dụng cụ thể. Nó tương ứng với các lớp ứng dụng, trình diễn trong mô hình OSI. Nó gồm các giao thức mức cao, mã hóa, điều khiển hội thoại … Các dịch vụ ứng dụng như SMTP, FTP, TFTP … Hiện nay có hàng trăm hoặc thậm chí hàng nghìn các giao thức thuộc lớp này. Các chương trình ứng dụng giao tiếp với các giao thức ở lớp vận chuyển để truyền và nhận dữ liệu. Chương trình ứng dụng truyền dữ liệu ở dạng yêu cầu đến lớp vận chuyển để xử lý trước khi chuyển xuống lớp Internet để tìm đường đi.  Lớp vận chuyển (Transport layer): Chịu trách nhiệm truyền thông điệp (message) từ một số tiến trình (một chương trình đang chạy) tới một tiến trình khác. Lớp vận chuyển sẽ đảm bảo thông tin truyền đến nơi nhận không bị lỗi và đúng theo trật tự. Nó có 2 giao thức rất khác nhau là giao thức điều khiển truyền dẫn TCP và giao thức dữ liệu đồ người sử dụng UDP.  Lớp Internet (Internet layer): Cung cấp chức năng đánh địa chỉ, độc lập phần cứng mà nhờ đó dữ liệu có thể di chuyển giữa các mạng con có kiến trúc vật lý khác nhau. Lớp này điều khiển việc chuyển gói qua mạng, định tuyến gói. (Hỗ trợ giao thức liên IP - khái niệm liên mạng là nói tới mạng lớn hơn: mạng liên kết giữa các mạng SVTH: Phạm Hoàng Vĩ - Lớp VT03B 3
  13. Tìm hiểu công nghệ chuyển mạch nhãn đa giao thức trong VPN LAN). Các giao thức của lớp này là IP, ICMP, ARP, RARP.  Lớp truy cập mạng (Network Access Network): Cung cấp giao tiếp với mạng vật lý. (Thông thường lớp này bao gồm các driver thiết bị trong hệ thống vận hành và các card giao diện mạng tương ứng trong máy tính. Lớp này thực hiện nhiệm vụ điều khiển tất cả các chi tiết phần cứng hoặc thực hiện giao tiếp vật lý với cáp (hoặc với bất kỳ môi trường nào được sử dụng)). Cung cấp kiểm soát lỗi dữ liệu phân bố trên mạng vật lý. Lớp này không định nghĩa một giao thức riêng nào cả, nó hỗ trợ tất cả các giao thức chuẩn và độc quyền. Ví dụ: Ethernet, Tocken Ring, FDDI, X.25, wireless, Async, ATM, SNA… 1.3 Các giao thức trong mô hình TCP/IP 1.3.1 Giao thức Internet 1.3.1.1 Giới thiệu chung Mục đích của giao thức Internet là chuyển thông tin (dữ liệu) từ nguồn tới đích. IP sử dụng các gói tin dữ liệu đồ (datagram). Mỗi datagram có chứa địa chỉ đích và IP sử dụng thông tin này để định tuyến gói tin tới đích của nó theo đường đi thích hợp. Các gói tin của cùng một cặp người sử dụng dùng những tuyến thông tin khác nhau, việc định tuyến là riêng biệt đối với từng gói tin. Giao thức IP không lưu giữ trạng thái, sau khi datagram được chuyển đi thì bên gửi không còn lưu thông tin gì về nó nữa, vì thế mà không có phương pháp nào để phát hiện các gói bị mất và có thể dẫn tới trình trạng lặp gói và sai thứ tự gói tin. 1.3.1.2. Cấu trúc IPv4 Thông tin nhận từ lớp vận chuyển được gán thêm vào tiêu đề IP. Tiêu đề này có chiều dài từ 20 đến 60 bytes trên đường đi tùy thuộc vào các chức năng lựa chọn được sử dụng. Cấu trúc gói IPv4 được mô tả như trong hình 1.2. 00 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 version Hdr length Type of service Total length (bytes) Identification Flags Fragment offset Time - to - live Protocol Header checksum Source IP address Destination IP address Options and padding Data Hình 1.2: Cấu trúc gói tin IPv4 Giải thích ý nghĩa các trường: SVTH: Phạm Hoàng Vĩ - Lớp VT03B 4
  14. Tìm hiểu công nghệ chuyển mạch nhãn đa giao thức trong VPN  Version (phiên bản): chỉ ra phiên bản của giao thức IP dùng để tạo datagram, được sử dụng để máy gửi, máy nhận, các bộ định tuyến cùng thống nhất về định dạng lược đồ dữ liệu. Ở đây phiên bản là IPv4.  IP header length (độ dài tiêu đề IP): cung cấp thông tin về độ dài của tiêu đề datagram được tính theo các từ 32 bit.  Type of service (loại dịch vụ): trường loại phục vụ dài 8 bit gồm 2 phần, trường ưu tiên và kiểu phục vụ. Trường ưu tiên gồm 3 bit dùng để gán mức ưu tiên cho datagram, cung cấp cơ chế cho phép điều khiển các gói tin qua mạng. Các bit còn lại dùng để xác định kiểu lưu lượng datagram tin khi nó chuyển qua mạng như đặc tính thông, độ trễ và độ tin cậy. Tuy nhiên, bản thân mạng Internet không đảm bảo chất lượng dịch vụ, vì vậy trường này chỉ mạng tính yêu cầu chứ không mang tính đòi hỏi đối với các bộ định tuyến.  Total length (tổng độ dài): trường này gồm 16 bit, nó sử dụng để xác định chiều dài của toàn bộ IP datagram.  Identification (nhận dạng): trường nhận dạng dài 16 bit. Trường này được máy chủ dùng để phát hiện và nhóm các đoạn bị chia nhỏ ra của gói tin. Các bộ định tuyến sẽ chia nhỏ các datagram nếu như dơn vị truyền tin lớn nhất của gói tin (MTU-Maximum Transmission Unit) lớn hơn MTU của môi trường truyền.  Flags (cờ): chứa 3 bit được sử dụng cho quá trình điều khiển phân đoạn, bít đầu tiên chỉ thị tới các bộ định tuyến cho phép hoặc không cho phép phân đoạn gói tin, 2 bit giá trị thấp được sử dụng điều khiển phân đoạn, kết hợp với trường nhận dạng để xác định được gói tin nhận sau quá trình phân đoạn.  Fragment offset: mạng thông tin về số lần chỉa một gói tin, kích thước của gói tin phụ thuộc vào mạng cơ sở truyền tin, tức là độ dài gói tin không thể vượt quá MTU của môi trường truyền.  Time - to - live (thời gian sống): được dùng để ngăn việc các gói tin lặp vòng trên mạng. Nó có vai trò như một bộ đếm ngược, tránh hiện tượng các gói tin đi quá lâu trong mạng. Bất kì gói tin nào có thời gian sống bằng 0 thì gói tin đó sẽ bị bộ định tuyến hủy bỏ và thông báo lỗi sẽ được gửi về trạm phát gói tin.  Protocol (giao thức): trường này được dùng để xác nhận giao thức tầng kế tiếp mức cao hơn đang sử dụng dịch vụ IP dưới dạng con số.  Header checksum: trường kiểm tra tổng header có độ dài 16 bit, được tính SVTH: Phạm Hoàng Vĩ - Lớp VT03B 5
  15. Tìm hiểu công nghệ chuyển mạch nhãn đa giao thức trong VPN toán trong tất cả các trường của tiêu đề IPv4. Một gói tin khi đi qua các bộ định tuyến thì các trường trong phần tiêu đề có thể bị thay đổi, vì vậy trường này cần phải được tính toán và cập nhập lại để đảm bảo độ tin cậy của thông tin định tuyến.  Source Address - Destination Address (địa chỉ nguồn và địa chỉ đích): được các bộ định tuyến và các gateway sử dụng để định tuyến các đơn vị số liệu, luôn luôn đi cùng với gói tin từ nguồn tới đích.  Option and Padding (tùy chọn và đệm): có độ dài thay đổi, dùng để thêm thông tin chọn và chèn đầy đảm bảo số liệu bắt đầu trong phạm vi 32 bit. 1.3.1.3. Phân mảnh IP và hợp nhất dữ liệu Giao thức IP khi thực hiện phải luôn có các thuật toán phân chia và hợp nhất dữ liệu. Vì mỗi datagram đều được quy định một kích thước khung cho phép tối đa trên một kết nối điểm - điểm, được gọi là MTU. Khi đi qua các mạng khác nhau có các MTU khác nhau, gói sẽ bị phân chia tùy theo giá trị MTU của mạng đó. Việc xác định MTU của một mạng phụ thuộc vào các đặc điểm của mạng sao cho gói được truyền đi với tốc độ cao nhất. Trong quá trình di chuyển từ nguồn tới đích, một datagram có thể đi qua nhiều mạng khác nhau. Mỗi Router mở gói IP datagram từ khung dữ liệu nó nhận được, xử lý và sau đó đóng gói nó trong một khung dữ liệu khác. Các datagram hình thành sau khi phân chia sẻ được đánh số thứ tự để tiện lợi cho quá trình hợp nhất sau này. Định dạng và kích cỡ của khung dữ liệu nhận được phụ thuộc vào giao thức của mạng vật lý mà khung dữ liệu đi qua. Nếu IP cần chuyển datagram có kích cỡ lớn hơn MTU thì nó gửi datagram trong các mảnh (fragment), các mảnh này sẽ được ghép lại ở đầu thu để trở lại trạng thái ban đầu. Khi phân mảnh, hầu hết các trường sẽ được lặp lại, chỉ có một vài thay đổi và mỗi mảnh sẽ lại được tiếp tục bị chia nhỏ nếu nó gặp phải mạng có MTU nhỏ hơn kích thước của nó. Chỉ có host đích là có khả năng ghép các mảnh lại với nhau. Vì mỗi mảnh được xử lý độc lập nên có thể đi qua nhiều mạng và node khác nhau để tới đích. 1.3.1.4. Địa chỉ và định tuyến IP Địa chỉ: Mỗi trạm trong mạng đều được đặc trưng bởi một số hiệu nhất định gọi là địa chỉ IP. Địa chỉ IP được sử dụng trong lớp mạng để định tuyến các gói tin qua mạng. Do tổ chức và độ lớn của các mạng con trong liên mạng khác nhau, nên người ta chia địa chỉ IP thành các lớp A, B, C, D, E. SVTH: Phạm Hoàng Vĩ - Lớp VT03B 6
  16. Tìm hiểu công nghệ chuyển mạch nhãn đa giao thức trong VPN Định tuyến trong mạng Internet: việc định tuyến trong một hệ thống mạng chuyển gói chỉ ra tiến trình lựa chọn tuyến đường để gửi gói dữ liệu qua hệ thống đó. Router chính là thành phần thực hiện chức năng bộ định tuyến. Việc định tuyến sẽ tạo nên mạng ảo bao gồm nhiều mạng vật lý cung cấp dịch vụ phát chuyển gói tin theo một phương thức phi kết nối. Có nhiều giao thức và phần mềm khác nhau được sử dụng để định tuyến. Việc chọn kênh cho một gói tin dựa trên hai tiêu chuẩn: trạng thái của các nút và liên kết hoặc khoảng cách tới đích (chiều dài quãng đường hoặc số hop trên đường). Một khi tiêu chuẩn khoảng cách được chọn thì các tham số khác như: độ trễ, băng thông hoặc xác suất mất gói…được tính đến khi lựa chọn tuyến. 1.3.1.5. Cấu trúc gói tin IPv6 Thế giới đang đối mặt với việc thiếu địa chỉ IP cho các thiết bị mạng, địa chỉ dài 32 bit không đáp ứng được sự bùng nổ của mạng. Thêm nữa, IPv4 là giao thức cũ, không đáp ứng được các yêu cầu mới về bảo mật, sự linh hoạt trong định tuyến và hỗ trợ lưu lượng. Diễn đàn IPv6 được bắt đầu vào tháng 7-1999 bởi 50 nhà cung cấp Internet hàng đầu với mục đích phát triển giao thức IPv6, nó được thiết kế bao gồm các chức năng và định dạng mở rộng hơn IPv4 để giải quyết vấn đề cải thiện chất lượng và bảo mật của Internet. IPv6 đặc biệt quan trong khi các thiết bị tính toán di động tiếp tục tham gia vào Internet trong tương lai. Do sự thay đổi bản chất của Internet và mạng thương mại mà giao thức liên mạng IP trở nên lỗi thời. Trước đây, Internet và hầu hết mạng TCP cung cấp sự hỗ trợ các ứng dụng phân tán khá đơn giản như truyền file, mail, truy nhập từ xa TELNET. Song ngày nay, Internet ngày càng trở thành phương tiện, môi trường giàu tính ứng dụng, dẫn đầu là dịch vụ www (World Wide Web). Tất cả sự phát triển này đã bỏ xa khả năng đáp ứng chức năng và dịch vụ của IP. Một môi trường liên mạng cần phải hỗ trợ lưu lượng thời gian thực, kế hoạch điều khiển tắc nghẽn linh hoạt và các đặc điểm bảo mật mà IPv4 hiện không đáp ứng được đầy đủ. Hình 1.3 minh họa cấu trúc gói tin IPv6. SVTH: Phạm Hoàng Vĩ - Lớp VT03B 7
  17. Tìm hiểu công nghệ chuyển mạch nhãn đa giao thức trong VPN 00 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 version Traffic Class Flow Label Payload length Next Header Hop Limit 40 octet Source Address Destination Address Hình 1.3: Cấu trúc tiêu đề IPv6  Version (phiên bản): chỉ ra phiên bản IPv6.  Traffic Class (lớp lưu lượng): có độ dài 8 bit, được dùng cho việc phân biệt lưu lượng, từ đó ảnh hưởng đến khả năng ưu tiên của lưu lượng.  Flow Label (nhãn luồng): có độ dài 20 bit, cho phép nguồn chỉ ra loại thông tin trong dữ liệu để xác định cách xử lý đặc biệt từ nguồn tới đích theo thứ tự gói.  Payload Length (độ dài tải tin): có độ dài 16 bit, xác định độ dài của phần tải tin phía sau header.  Hop Limit (giới hạn bước nhảy): có độ dài 8 bit, được dùng để ngăn việc datagram liên tục xoay vòng trở lại. Giá trị này giảm mỗi khi datagram đi qua một router và nếu nó có giá trị bằng 0 trước khi tới được đích chỉ định thì datagram này sẽ bị hủy.  Source Address và Destination Address (địa chỉ nguồn và địa chỉ đích): trường địa chỉ nguồn và địa chỉ đích trong IPv6 có độ dài 128 bit, sử dụng hệ 16 (hecxa), ngăn cách bằng dấu hai chấm.  Những đặc điểm của IPv6  Mở rộng không gian địa chỉ cho phép phân cấp và giải quyết được sự thiếu địa chỉ. Với IPv6 có 2128 địa chỉ (khoảng 3,4x1038 địa chỉ).  Hiệu quả hơn trong việc định tuyến: việc đăng ký địa chỉ IPv6 được thiết kế để kích cỡ của bảng định tuyến đường trục không vượt quá giá trị 10.000 trong khi kích cỡ bảng định tuyến của IPv4 thường lớn hơn 100.000 bản ghi.  Tiêu đề nhỏ hơn so với các mở rộng tùy chọn, vì vậy một số trường bị loại bỏ hoặc thay bằng tùy chọn nên làm giảm gánh nặng cho các quá trình xử lý và giảm chi phí cho băng thông. SVTH: Phạm Hoàng Vĩ - Lớp VT03B 8
  18. Tìm hiểu công nghệ chuyển mạch nhãn đa giao thức trong VPN  Tăng cường chất lượng dịch vụ.  Xây dựng sẵn cơ chế truyền tin an toàn.  Hỗ trợ mạng thông tin di động. 1.3.2. Giao thức lớp vận chuyển 1.3.2.1. Giao thức UDP Giao thức UDP (User Datagram Protocol) cung cấp cơ chế chính yếu mà các chương trình ứng dụng sử dụng để gửi đi các gói tin tới các chương trình ứng dụng khác. UDP cung cấp các cổng để phân biệt các chương trình ứng dụng trên một máy tính đơn. Nghĩa là, cùng với mỗi một bản tin gửi đi, mỗi bản tin UDP còn bao gồm một giá trị cổng nguồn và cổng đích, giúp cho phần mềm UDP tại đích có thể phát chuyển gói tin tới đúng nơi nhận và cho phép nơi nhận gửi trả lại xác nhận tin. UDP cung cấp dịch vụ chuyển phát không định hướng, không đảm bảo độ tin cậy như IP. UDP không sử dụng cơ chế xác nhận để đảm bảo gói tin đến đích hay không, không thực hiện sắp xếp các bản tin và không cung cấp thông tin phản hồi để xác định mức độ truyền thông tin giữa hai máy. Chính vì vậy, một chương trình ứng dụng sử dụng giao thức UDP chấp nhận hoàn toàn trách nhiệm cho vấn đề xử lý độ tin cậy. Các trường cổng nguồn và cổng đích chứa các giá trị 16 bit dùng cho cổng giao thức UDP được sử dụng để tách các gói tin trong tiến trình đang đợi để nhận chúng. Cổng nguồn là trường dữ liệu tùy chọn. Khi sử dụng, nó xác định cổng đáp xác nhận sẽ được gửi đến. Nếu không được dùng, nó có giá trị zero. 1.3.2.2. Giao thức TCP Giao thức TCP (Transmission Control Protocol) cung cấp dịch vụ truyền thông dữ liệu định hướng truyền thống cho các chương trình - dịch vụ chuyển dòng (stream) tin cậy. TCP cung cấp một mạch ảo, còn được gọi là kết nối. Nó cấp khả năng đứt quảng, kiểm tra lỗi và điều khiển luồng. a) Cấu trúc tiêu đề TCP 0 4 10 15 31 Source Port Destination Port Sequence Number Acknowledgement Number 40 octet Header length Unused Flags Window Checksum Urgent Pointer Option Padding Hình 1.4: Cấu trúc tiêu đề TCP SVTH: Phạm Hoàng Vĩ - Lớp VT03B 9
  19. Tìm hiểu công nghệ chuyển mạch nhãn đa giao thức trong VPN Giải thích ý nghĩa các trường:  Source port, Destination port (cổng nguồn, cổng đích): chứa các giá trị cổng TCP để xác định các chương trình ứng dụng tại hai đầu kết nối. Mỗi khi TCP nhận gói dữ liệu từ IP, nó sẽ gỡ bỏ phần đầu IP và đọc phần đầu TCP. Khi đọc Destination port, nó sẽ tìm trong tệp tin chứa các thông tin về dịch vụ để gửi dữ liệu đến chương trình ứng với số cổng đó. Song với TCP, giá trị cổng phức tạp hơn UDP vì một giá trị cổng TCP cho trước không tương ứng với một đối tượng đơn. Thay vì vậy, TCP được xây dựng trên kết nối trừu tượng, trong đó các đối tượng được xác định là những liên kết mạch ảo, không phải từng cổng. Ví dụ như giá trị 192.168.2.3,25 xác định cổng TCP 25 trên máy tính có địa chỉ 192.168.2.3.  Sequence Number (số thứ tự): xác định vị trí trong chuỗi các byte dữ liệu trong segment của nơi gửi.  Acknowledgment Number (số xác nhận): xác định số octet mà nguồn đang đợi để nhận kế tiếp. Lưu ý là Sequence Number để chỉ đến lượng dữ liệu theo cùng chiều với segment, trong khi giá trị Acknowledgment Number để chỉ đến dữ liệu ngược lại với segment đến.  Header length (độ dài tiêu đề): chứa một số nguyên để xác định độ dài của phần đầu segment, được tính theo bội số của 32 bit. Giá trị này là cần thiết vì có phần Options có độ dài thay đổi, tùy thuộc vào những lựa chọn đã được đưa vào.  Unused (dự phòng): được dành riêng để sử dụng trong tương lai.  Flags (bít mã): gồm có 6 bít để xác định mục đích và nội dung của segment, diễn dịch các nội dung trong phần đầu dựa vào nội dung các bit. Ví dụ segment chỉ chuyển tải ACK, hoặc chỉ chuyển đưa dữ liệu hay để tải những yêu cầu để thiết lập hoặc ngắt nối.  Window (cửa sổ): thông báo cho máy tính đầu cuối kích thước vùng đêm cho quá trình truyền.  Urgent pointer (con trỏ khẩn cấp): yêu cầu kết nối gửi dữ liệu ngoài dòng xác định, chương trình nhận phải được thông báo lập tức ngay khi dữ liệu đến cho dù nó nằm ở đâu trong vùng dữ liệu. Sau khi xử lý xong dữ liệu khẩn cấp, TCP thông báo cho chương trình ứng dụng trở về trạn thái thông thường. Đơn vị truyền giữa hai phần mềm TCP trên hai máy được gọi là segment. Các segment được trao đổi để thiết lập kết nối, để truyền dữ liệu, để gửi các ACK (thông SVTH: Phạm Hoàng Vĩ - Lớp VT03B 10
  20. Tìm hiểu công nghệ chuyển mạch nhãn đa giao thức trong VPN báo xác nhận đã nhận dữ liệu), để thông báo kích thước của cửa sổ (nhằm tối ưu hóa quá trình truyền và nhận dữ liệu) và để ngắt kết nối. 1.4 Mạng riêng ảo trên Internet IP-VPN 1.4.1 Khái niệm về mạng riêng ảo trên nền tảng Internet IP-VPN (Internet Protocol Virtual Private Network) kết hợp 2 khái niệm: nối mạng ảo và nối mạng riêng. Trong một mạng ảo, các nút mạng ở xa nhau và phân tán có thể tương tác với nhau theo cách mà chúng thường thực hiện trong một mạng, trong đó các nút đặt tại cùng một vị trí địa lí. Cấu hình topo của mạng ảo độc lập với cấu hình vật lí của các phương tiện sử dụng nó. Một người sử dụng bình thường của một mạng ảo không biết sự thiết lập mạng vật lí, sẽ chỉ có thể nhận biết được cấu hình topo ảo. Cấu hình của mạng ảo được xây dựng dựa trên sự chia sẻ của cơ sở hạ tầng mạng vật lí đã tồn tại. Tuy nhiên, cấu hình mạng ảo và mạng vật lí thường chịu sự quản lí của các nhà quản trị khác nhau. Chúng ta có thể đinh nghĩa IP-VPN như sau: Mạng riêng ảo trên nền Internet là mô phỏng các mạng số liệu riêng đảm bảo an ninh trên cơ sở hạ tầng mạng Internet công cộng chung không đảm bảo an ninh. Các thuộc tính của IP-VPN bao gồm các cơ chế để bảo vệ số liệu và thiết lập tin tưởng giữa các máy trạm và sự kết hợp các phương pháp khác nhau để đảm bảo các thoả thuận mức dịch vụ và chất lượng dịch vụ cho tất cả các thực thể thông qua môi trường Internet. 1.4.2 Khả năng ứng dụng của IP-VPN Mạng riêng ảo có một ý nghĩa rất lớn đối với các tổ chức hoạt động phân tán tại nhiều vùng địa lí khác nhau, nhân viên làm việc luôn di chuyển, hệ thống khách hàng và đối tác kinh doanh rộng lớn … Nó là giải pháp thực hiện truyền thông an toàn trên nền mạng công cộng. Điều này cho phép các tổ chức có thể tiết kiệm đáng kể chi phí so với phương thức thuê kênh riêng. Mặt khác VPN còn đảm bảo cho sự an toàn số liệu trong quá trình truyền thông và khả năng mở rộng hoạt động rộng lớn ngay cả tại những vùng địa lí phức tạp. Trong thực tế, khái niệm mạng riêng ảo không phải là một khái niệm mới. Công nghệ mạng riêng ảo đã xuất hiện vào những năm 80 của thế kỷ trước. Tuy nhiên, trong điều kiện hạn chế về các mạng chuyển mạch gói (ví dụ như X.25, Frame Relay, ATM) hay chuyển mạch kênh thì VPN vẫn chưa có ứng dụng rộng rãi. Trong điều kiện hiện nay, khi Internet trở nên phổ biến trên toàn cầu và các giao ngày một phát triển và SVTH: Phạm Hoàng Vĩ - Lớp VT03B 11
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

LV.01: Bộ Luận Văn Thạc Sĩ Quản Trị Kinh Doanh MBA
165 tài liệu
2069 lượt tải
THÔNG TIN
TRỢ GIÚP
HỖ TRỢ KHÁCH HÀNG
Theo dõi chúng tôi

Chịu trách nhiệm nội dung:

Nguyễn Công Hà - Giám đốc Công ty TNHH TÀI LIỆU TRỰC TUYẾN VI NA

LIÊN HỆ

Địa chỉ: P402, 54A Nơ Trang Long, Phường 14, Q.Bình Thạnh, TP.HCM

Hotline: 093 303 0098

Email: support@tailieu.vn

Giấy phép Mạng Xã Hội số: 670/GP-BTTTT cấp ngày 30/11/2015 Copyright © 2022-2032 TaiLieu.VN. All rights reserved.

 

Đồng bộ tài khoản
4=>1