Professional Documents
Culture Documents
Chuyên ngành :
Hệ :
Lớp :
Mã sinh viên :
Họ và tên :
Giáo viên hướng dấn :
Đại học Kinh Tế Quốc Dân Bộ môn Công Nghệ Thông Tin
Báo cáo chuyên đề thực tập
Hà Nội
Page 2 of 73
Đại học Kinh Tế Quốc Bộ môn Công Nghệ Thông
Báo cáo chuyên đề thực tập
MỤC LỤC
Page 3 of
Đại học Kinh Tế Quốc Bộ môn Công Nghệ Thông
Báo cáo chuyên đề thực tập
LỜI CẢM ƠN
Em xin chân thành cám ơn cô giáo Tống Minh Ngọc đã hướng dẫn em thực hiện đề
tài. Cô đã luôn nhắc nhở và theo sát hướng dẫn trong quá trình thực hiện đề tài. Cô đã
cung cấp các tài liệu và giải đáp các thắc mắc, các sai sót của em trong suốt thời gian
làm đề tài. Xin cám ơn cô đã nhiệt tình giúp đỡ tạo điều kiện tốt nhất cho em hoàn
thành đề tài. Xin chân thành cảm ơn cô.
Em cũng xin chân thành gửi lời cảm ơn đến tất cả những thầy cô trong Bộ Môn
Công Nghệ Thông Tin đã giúp đỡ và đóng góp ý kiến cho em trong suốt quá trình thực
hiện đề tài.
Em cũng rất cảm ơn anh Thắng đã nhiệt tình giúp đỡ, luôn động viên giúp đỡ em
trong quá trình tìm hiểu đề tài, giải đáp câu hỏi và hướng dẫn em làm đề tài.
Do phạm vi đề tài, phạm vi kiến thức khá lớn được thực hiện trong thời gian có hạn
nên đề tài không thể tránh được thiếu sót. Kính mong các thầy cô giáo cùng các bạn
đóng góp ý kiến để đề tài được hoàn thiện hơn.
Em xin chân thành cảm ơn!
1
GVHD : GV. Tống Minh SVTH : Mai Hồng
Đại học Kinh Tế Quốc Bộ môn Công Nghệ Thông
Dân Báo cáo chuyên đề
DANH MỤC HÌNH MINH HỌA
Hình 1.1 : Mô hình remote access VPN.......................................................9
Hình 1.2 : Mô hình site to site của VPN.........................................10
Hình 1.3 : Mô hình overlay của VPN..................................................................10
Hình 1.4 : Mô hình peer to peer của VPN...............................................11
Hình 1.5 : Mô hình shared – router và dedicated – router.................................12
Hình 2.1 : Mô hình chuyển tiếp gói tin IP.........................................................14
Hình 2.2 : Mô hình ATM........................................................................15
Hình 2.3 : Khái niệm về MPLS....................................................16
Hình 2.4 : Cấu trúc mào đầu MPLS.................................................17
Hình 2.5 : Nhãn MPLS...............................................................18
Hình 2.6 : Nhãn của Stack.....................................................................19
Hình 2.7 : Topo mạng MPLS......................................................20
Hình 2.8 : Quá trình khám phá láng giềng.....................................................22
Hình 2.9 : Quá trình trao đổi thông tin nhãn trong LDP...............................23
Hình 2.10 : Mặt phẳng điều khiển và mặt phẳng dữ liệu......................................24
Hình 2.11 : Các module điều khiển MPLS.............................................25
Hình 2.12 : Các thành phần MPLS trong mặt phẳng điều khiển và mặt phẳng dữ liệu. 26
Hình 2.13 : Định tuyến chuyển mạch chuyển tiếp..............................29
Hình 2.14 : Mạng MPLS......................................................29
Hình 2.15 : Quá trình xây dựng bảng routing table........................................30
Hình 2.16 : Quá trình dãn nhãn của Router B..................................................30
Hình 2.17 : Quá trình phân phối nhãn của Router B..................................31
Hình 2.18 : Quá trình tạo bảng LIB...............................................................31
Hình 2.19 : Quá trình phân phối nhãn của Router C........................................31
Hình 2.20 : Quá trình tạo bảng FLIB.............................................................32
Hình 2.21 : Quá trình kiểm nhãn tại ingress LSR................................................32
Hình 2.22 : Quá trình hoán đổi nhãn....................................................................33
Hình 2.23 : Quá trình tháo nhãn tại egress LSR.......................................................33
Hình 3.1 : Bảng VRF..................................................................35
Hình 3.2 : Giá trị RD..............................................................................36
Hình 3.3 Quá trình gán RD.....................................................................37
Hình 3.4 : Quá trình tháo RD......................................................................37
Hình 3.5 : Sơ đồ hoạt động của MPLS lớp 3..........................................38
Hình 3.6 : Hoạt động của MPLS lớp 2.......................................................39
Hình 3.7 : Mặt phẳng điều khiển MPLS/ VPN..................................................39
Hình 3.8 : Mặt phẳng dữ liệu MPLS / VPN....................................................41
Hình 4.1 : Mô hình mạng MegaWAN (nội tỉnh)...................................................48
Hình 4.2 : Mô hình mạng MegaWAN (liên tỉnh).................................................48
Hình 4.3 : Mô hình MegaWAN truy cập mạng riêng ảo đồng thời truy nhập Internet.....48
Hình 4.4 : VoIP thông qua mạng MegaWAN................................................................49
Hình 4.5 : Mô hình truyền hình trực tuyến qua MEGAWAN...............................50
Hình 4.6 : Mô hình thiết lập camera giám sát quan MegaWan..............................50
Hình 5.1 : Mô hình thực nghiệm MPLS/VPN.......................................51
Hình 5.2 Thông tin định tuyến của A1.......................................................60
Hình 5.3 Thông tin định tuyến của A2.........................................................61
2
GVHD : GV. Tống Minh SVTH : Mai Hồng
Đại học Kinh Tế Quốc Bộ môn Công Nghệ Thông
Dân Báo cáo chuyên đề
Hình 5.4 Thông tin định tuyến của B1..............................................................61
Hình 5.5 Thông tin định tuyến của B2.........................................................62
Hình 5.6 Thông tin định tuyến của PE01...................................................62
Hình 5.7 Thông tin định tuyến của PE02....................................................62
Hình 5.8 : Thông tin định tuyến của P.......................................................63
Hình 5.9 show mpls ldp bindings PE01................................................................63
Hình 5.10 show mpls ldp bindings P.....................................................................64
Hình 5.11 : Show mpls ldp bindings PE02............................................................64
Hình 5.12 : Bảng LFIB trên PE01.........................................................................64
Hình 5.13 : Bảng LFIB trên P..................................................................................65
Hình 5.14 : Bảng LFIB trên PE02.......................................................................65
Hình 5.15 : Bảng định tuyến vrf A1 trên PE01...........................................................65
Hình 5.16 : Bảng định tuyến vrf A2 trên PE02........................................................66
Hình 5.17 bảng định tuyến vrf B1 trên PE01...............................................66
Hình 5.18 bảng định tuyến vrf B2 trên PE02...........................................67
3
GVHD : GV. Tống Minh SVTH : Mai Hồng
Đại học Kinh Tế Quốc Bộ môn Công Nghệ Thông
Báo cáo chuyên đề thực tập
DANH SÁCH TỪ VIẾT TẮT
Từ viết tắt Từ tiếng Anh
AS Autonomous system
ATM Asynchronous Transfer Mode
BGP Border Gateway Protocol
B-ISDN Broadband Integrated Services Digital Network
CE customer edge
CEF Cisco Express Forwarding
CIDR Classless Interdomain Routing
CLP Cell Loss Priority
CPE Customer Premise Equipment
CSR Cell switch router
DLCI data link connection identifier
DoS Denial of Service
eBGP External Border Gateway Protocol
EGP Exterior Gateway Protocol
EIGRP Enhanced Interior Gateway Routing Protocol
FEC Fowarding Equivalent Class
FIB Forwarding Information Base
FR Frame Relay
GFC Generic Flow Control
HDLC High Level Data Link Control
HEC Header error check
iBGP Internal Border Gateway Protocol
ICMP Internet Control Message Protocol
IGP Interior Gateway Protocol
IP Internet Protocol
IPSec Internet protocol security
IPv4 Internet protocol v4
ISDN Integrated Services Digital Network
ISP Internet Service Providers
LDP Label Distribute Protocol
LERs Label Edge Router
LFIB Label Forwarding Information Base
LIB Label Information Base
LSP Label Switched Path
LSRs Label Switch Router
MED Media Endpoint Discovery
MP-BGP Multiprotocol BGP
MPLS Multiprotocol Label Switching
MTU Maximum Transmission Unit
NBMA Non-Broadcast Multiple Access
NGN Next Generation Network
OSI Open Systems Interconnection
4
GVHD : GV. Tống Minh SVTH : Mai Hồng
Đại học Kinh Tế Quốc Bộ môn Công Nghệ Thông
Báo cáo chuyên đề thực tập
OSPF Open Shortest Path First
PE provider edge
PPP Point to Point Protocol
PT Payload Type
PVC permanent virtual circuit
QoS Quality of service
RD Route Distinguisher
RIB Routing Information Base
RT Route Targets
SP Service Provider
SDN Software Defined Networks
SVC Switch virtual circuit
TCP Transport Control Protocol
TTL Time To Live
UDP User Datagrame Protocol
VC Virtual channel
VCI Virtual Channel Identifier
VLSM Variable Length Subnet Mask
VPI Virtual Path Identifier
VPDN Virtual private dial-up network
VPN Virtual Private Network
VRF Virtual Routing and Forwarding Table
PHẦN MỞ ĐẦU
1. Tính cấp thiết của đề
tài
Ngày nay, công nghệ thông tin và viễn thông đang hội tụ sâu sắc và cùng đóng góp
rất tích cực trong sự phát triển kinh tế, xã hội toàn cầu. Không một doanh nghiệp, tổ
chức thành đạt nào lại phủ nhận sự gắn bó giữa hệ thống thông tin và hiệu quả hoạt
động sản xuất kinh doanh cũng như lộ trình phát triển của họ. Từ nhu cầu truy cập dữ
liệu của công ty từ xa, đến việc tạo mối quan hệ với khách hàng, giúp họ có thể khai
thác một phần nguồn tài nguyên của mình mà vẫn đảm bảo tính bảo mật cần thiết cho
thông tin. VPN truyền thống dựa trên công nghệ ATM, Frame Relay và IP gặp không
it́ nhược điểm như khả năng quản lý, tính bảo mật, chất lượng dịch vụ. Gần đây, công
nghệ chuyển mạch nhãn đa giao thức - MPLS được các hãng cung cấp dịch vụ quan tâm
đặc biệt bởi khả năng vượt trội trong việc cung cấp dịch vụ chất lượng cao qua mạng
IP, bởi tính đơn giản, hiệu quả và quan trọng nhất là khả năng triển khai trên VPN. Với
ưu điểm chuyển lưu lương nhanh, khả năng linh hoạt, đơn gian, khiê phân
tiêṕ điêù n
5
GVHD : GV. Tống Minh SVTH : Mai Hồng
Đại học Kinh Tế Quốc Bộ môn Công Nghệ Thông
Báo cáo chuyên đề thực tập
luôǹ g và
vụ linh cać h vụ đinh tuyêń , dung đường giu giam
phuc
hoat dic tân đươc truyêǹ ṕ
6
GVHD : GV. Tống Minh SVTH : Mai Hồng
Đại học Kinh Tế Quốc Bộ môn Công Nghệ Thông
Báo cáo chuyên đề thực tập
chi phi.́ Công nghệ MPLS đang dần thay thế các công nghệ truyền thống khác như IP
và ATM. MPLS VPN giải quyết được những hạn chế của các mạng VPN truyền thống
dựa trên công nghệ ATM, Frame Relay và IP như tiết kiệm thời gian, giảm chi phí lắp đặt
và có độ bảo mật cao cho doanh nghiệp. Do vậy việc tìm hiểu và ứng dụng VPN trên nền
MPLS được xem làvấn đề cấp thiết để giúp doanh nghiệp có thể dễ dàng tiếp cận với
công nghệ mới này và từ đó có thể ứng dụng vào việc phát triển của doanh nghiệp mình
cùng với sự đi lên của ngành mạng viễn thông quốc tế.
2. Mục tiêu của đề tài
Mục tiêu của đề tài là:
Tìm hiểu về giao thức chuyển mạch nhãn MPLS trên mạng riêng
ảo VPN, áp
dụng MPLS/VPN để cài đặt thực nghiệm.
Tìm hiểu về MEGAWAN.
Giúp cho người đọc có những khái niệm cơ bản về MPLS và VPN từ đó có thể
xây dựng một mạng MEGAWAN dựa trên MPLS/VPN .
Bố cục của đề tài gồm các chương chính :
CHƯƠNG 1 : GIỚI THIỆU VỀ CÔNG NGHỆ VPN
- VPN là gì?
- Phân loại VPN
- VPN cho các nhà doanh nghiệp
- VPN đối với các nhà cung cấp dịch vụ
CHƯƠNG 2 : CHUYỂN MẠCH NHÃN ĐA GIAO THỨC – MPLS
- Khái niệm cơ bản về MPLS : lợi ích, ứng dụng
- Các thành phần trong MPLS
- Giao thức phân phối nhãn
- Cấu trúc MPLS
- Các giao thức định tuyến trong MPLS
- Phương thức hoạt động của MPLS
CHƯƠNG 3 : MPLS VPN
- MPLS VPN là gì?
- Lợi ích của MPLS VPN
- Các thành phần trong MPLS VPN
7
GVHD : GV. Tống Minh SVTH : Mai Hồng
Đại học Kinh Tế Quốc Bộ môn Công Nghệ Thông
Báo cáo chuyên đề thực tập
- Hoạt động của mặt phẳng điều khiển MPLS VPN
- Hoạt động của mặt phẳng dữ liệu MPLS VPN
- So sánh VPN truyền thống và MPLS VPN
- Vấn đề bảo mật trong MPLS VPN
CHƯƠNG 4 : ỨNG DỤNG MPLS VPN TRÊN MEGAWAN
- Khái niệm chung về MegaWan
- Mô hình ứng dụng thực tế
CHƯƠNG 5 : BẢN DEMO CÀI ĐẶT THỰC NGHIỆM
3. Ý nghĩa thực tiễn của đề tài
Việc tìm hiểu về MPLS VPN giúp cho các nhà cung cấp dịch vụ có thể triển khai
và ứng dụng trong thực tế đồng thời khắc phục được những nhược điểm của các mạng
VPN truyền thống, cung cấp dịch vụ chất lượng cao qua mạng IP một cách đơn giản,
hiệu quả.
8
GVHD : GV. Tống Minh SVTH : Mai Hồng
Đại học Kinh Tế Quốc Bộ môn Công Nghệ Thông
Báo cáo chuyên đề thực tập
Thế hệ thứ 3 là Frame relay và ATM.
Và thế hệ hiện nay, thế hệ thứ 4 là VPN trên nền mạng IP.
Thế hệ tiếp theo sẽ là VPN trên nền mạng MPLS.
VPN gồm các vùng sau:
Mạng khách hàng (Customer network): gồm các router tại các site khách hàng
khác nhau. Các router kết nối các site cá nhân với mạng của nhà cung cấp được
gọi là các router biên phía khách hàng CE.
Mạng nhà cung cấp (Provider network): được dùng để cung cấp các kết nối
point-to-point qua hạ tầng mạng của nhà cung cấp dịch vụ. Các thiết bị của nhà
cung cấp dịch vụ mà nối trực tiếp với CE router được gọi là router biên phía nhà
cung cấp PE. Mạng của nhà cung cấp còn có các thiết bị dùng để chuyển tiếp
dữ liệu trong mạng trục (SPbackbone) được gọi là các router nhà cung cấp (P-
provider).
1.2. PHÂN LOẠI VPN
Phân loại VPN bao gồm:
VPN cho các nhà doanh nghiệp
VPN đối với các nhà cung cấp dịch vụ
1.2.1 VPN cho các nhà doanh nghiệp
1.2.1.1 Remote access VPN
VPN truy cập từ xa hay mạng riêng ảo quay số - VPDN đuợc triển khai, thiết kế
cho những khách hàng riêng lẻ ở xa như những khách hàng đi đường hay những khách
hàng truy cập vô tuyến. Trước đây, các tổ chức, tập đoàn hỗ trợ cho những khách hàng
từ xa theo những hệ thống quay số. Đây không phải là một giải pháp kinh tế, đặc biệt
khi một người gọi lại theo đường truyền quốc tế. Với sự ra đời của VPN truy cập từ
xa, một khách hàng di động gọi điện nội hạt cho nhà cung cấp dịch vụ Internet (ISP) để
truy cập vào mạng tập đoàn của họ chỉ với một máy tính cá nhân được kết nối Internet
cho dù họ đang ở bất kỳ đâu. VPN truy cập từ xa là sự mở rộng những mạng quay số
truyền thống. Trong hệ thống này, phần mềm PC cung cấp một kết nối an toàn, như
một đường hầm cho tổ chức. Bởi vì những người sử dụng chỉ thực hiện các cuộc gọi
nội hạt nên chi phí giảm.
9
GVHD : GV. Tống Minh SVTH : Mai Hồng
Đại học Kinh Tế Quốc Bộ môn Công Nghệ Thông
Báo cáo chuyên đề thực tập
Tóm lại: Bên cạnh những ưu điểm của công nghệ IP và công nghệ ATM còn có
những nhược điểm của nó. Chính vì vậy công nghệ chuyển mạch nhãn đa giao thức
(MPLS) được đề xuất để tải các gói tin trên các kênh ảo và khắc phục được các vấn đề
mà mạng ngày nay đang phải đối mặt, đó là tốc độ, khả năng mở rộng cấp độ mạng,
quản lý chất lượng, quản lý băng thông dựa trên đường trục và có thể hoạt động với
các mạng Frame relay và chế độ truyền tải không đồng bộ (ATM) hiện nay để đáp ứng
các nhu cầu dịch vụ của người sử dụng mạng. Công nghệ MPLS kết hợp những ưu
điểm của IP (độ mềm dẻo, khả năng mở rộng) và của ATM (tốc độ cao, QoS, điều
khiển luồng).
2.2 Khái niệm cơ bản về MPLS
Công nghệ Chuyển mạch nhãn đa giao thức - MPLS là kết quả phát triển của nhiều
công nghệ chuyển mạch IP (IP switching) sử dụng cơ chế hoán đổi nhãn như của ATM
để tăng tốc độ truyền gói tin mà không cần thay đổi các giao thức định tuyến của IP.
Ý tưởng khi đưa ra MPLS là: “Định tuyến ở biên, chuyển mạch ở lõi”
Hình 2.12 : Các thành phần MPLS trong mặt phẳng điều khiển và mặt phẳng dữ
liệu
nó và tìm ra giá trị nhãn ngõ ra cho gói tin có nhãn ngõ vào 25 là 47, router B sẽ swap
nhãn thành 47 và truyền cho next hop là router C.
tìm ra hoạt động tiếp theo cho gói tin có nhãn vào 47 là sẽ pop nhãn ra khoi gói tin và
truyền cho next hop là router D, như vậy gói tin đến D là gói tin IP bình thường không
nhãn.
MPLS cho phép các VPN khác nhau sử dụng một dải địa chỉ như nhau và được sử
dụng như dải địa chỉ riêng [RFC1918]. điều này đạt được nhờ việc đưa thêm Tham số
phân biệt định tuyến (route distinguisher - RD) 64 bit vào mỗi địa chỉ IPv4, làm cho các
địa chỉ VPN duy nhất cũng trở thành duy nhất trong lõi MPLS. Địa chỉ mở rộng này cũng
được gọi là “địa chỉ VPN - IPv4” (hình 1). Do vậy, các khách hàng của một dịch vụ
MPLS không cần thay đổi địa chỉ hiện thời của họ trong mạng.
Vì lý do bảo mật, các công ty cung cấp dịch vụ và khách hàng thường không
muốn cấu trúc mạng của họ bị lộ ra ngoài. Điều này làm cho việc tấn công bị khó
khăn hơn. Nếu một kẻ tấn công không biết về mục tiêu, anh ta chỉ có thể suy đoán địa
Với một địa chỉ IP đã biết, một kẻ tấn công có thể tiến hành một cuộc tấn công
DoS với thiết bị đó. Vì thế tốt hơn hết là không tiết lộ bất cứ thông tin nào về mạng nội
bộ cho bên ngoài. Việc này cần phải được áp dụng cho hệ thống mạng của khách hàng
cũng như lõi MPLS. Trên thực tế, rất nhiều biện pháp cần phải được áp dụng nhưng
quan trọng hơn hết là lọc gói dữ liệu trên quy mô lớn.
Không một bộ định tuyến P (Provider) hay các VPN khác được VPN1 nhìn thấy. Kết
nối giữa bộ định tuyến CE (Customer Edge) và PE (Provider Edge), bao gồm địa chỉ kết
nối của bộ định tuyến PE, thuộc về khoảng địa chỉ của VPN. Tất cả các địa chỉ còn lại
của bộ định tuyến PE, như các kết nối vòng phản hồi, không thuộc khoảng địa chỉ của
VPN.
MPLS không đưa các thông tin không cần thiết ra bên ngoài, cho dù đó là khách hàng
VPN. Việc địa chỉ hóa mạng lõi có thể tiến hành với các địa chỉ riêng [RFC1918] hay các
địa chỉ công cộng. Do giao diện tới VPN - và có thể là Internet - là BGP, do vậy không
có lý do để tiết lộ bất kỳ thông tin nội bộ nào. Thông tin duy nhất cần trong trường hợp
giao thức định tuyến giữa PE và CE là địa chỉ của bộ định tuyến PE (IP PE trong hình 2).
Nếu thông tin này không cần thiết, định tuyến tĩnh có thể được cấu hình giữa PE và CE.
Với phương pháp này, lõi MPLS có thể giữ kín hoàn toàn.
Trong trường hợp dịch vụ VPN với truy nhập Internet được chia xẻ, một nhà cung
cấp dịch vụ thông thường sẽ thông báo các tuyến của khách hàng mong muốn sử dụng
luồng Internet lên hay kết nối tới các nhà cung cấp dịch vụ khác. điều này có thể thực
hiện thông qua chức năng Biên dịch địa chỉ mạng (Network Address Translation - NAT)
để đảm bảo việc che dấu thông tin địa chỉ về mạng của khách hàng. Trong trường hợp
này, khách hàng không tiết lộ thông tin cho Internet nói chung nhiều hơn so với một dịch
vụ Internet. Thông tin lõi cũng sẽ không được tiết lộ, trừ khi cho địa chỉ kết nối (peering
address) của bộ định tuyến PE có chức năng kết nối Internet.
Phần trên chỉ ra rằng không thể nào xâm nhập vào các VPN khác. Khả năng duy
nhất là tấn công vào lõi MPLS và cố gắng tấn công vào VPN khác từ lõi này. Lõi MPLS
có thể bị tấn công theo 2 cách cơ bản:
Để tấn công vào một thành phần của mạng MPLS, việc đầu tiên là cần biết địa chỉ
của thiết bị. Như đã được nói ở trên, cấu trúc địa chỉ của lõi MPLS có thể được che
dấu với bên ngoài. Do đó, kẻ tấn công không biết địa chỉ IP của bất kỳ bộ định tuyến
nào trong lõi mà anh ta muốn tấn công. Kẻ tấn công chỉ có thể đoán các địa chỉ và gửi
các gói dữ liệu đến các địa chỉ này.
Định tuyến giữa VPN và lõi MPLS có thể được cấu hình theo 2 cách:
Tĩnh : Trong trường hợp này các bộ định tuyến PE được cấu hình với định
tuyến tĩnh tới mạng sau mỗi CE, và các CE được cấu hình tĩnh chỉ tới bộ định
tuyến PE cho bất kỳ mạng nào tại các phần còn lại của VPN (thông thường là
tuyến mặc định). Có hai trường hợp nhỏ: bộ định tuyến tĩnh có thể chỉ tới địa
chỉ của bộ định tuyến PE, hoặc tới giao diện của bộ định tuyến CE.
Động : tại đây một giao thức định tuyến (ví dụ: Routing Information Protocol -
RIP, Open Shortest Path First - OSPF, BGP) được sử dụng để trao đổi thông tin
định tuyến giữa các CE và PE tại mỗi điểm kết nối tương ứng.
Trong trường hợp định tuyến tĩnh từ bộ định tuyến CE tới bộ định tuyến PE chỉ
tới một giao diện, bộ định tuyến CE không cần biết bất kỳ một địa chỉ IP của mạng
lõi, thậm chí của cả bộ định tuyến PE. điều này có hạn chế cho các cấu hình lớn hơn
cho
định tuyến tĩnh, nhưng nhìn từ góc độ bảo mật, đây là cách được ưa thích hơn các
trường hợp khác.
Trên thực tế, truy nhập tới bộ định tuyến PE thông qua giao diện CE/PE có thể bị
Trong MPLS, gói dữ liệu mạng được truyền đi không dựa trên địa chỉ IP đích mà
dựa trên các nhãn do các bộ định tuyến PE gán vào. Giống như tấn công kiểu giả IP khi
một kẻ tấn công thay địa chỉ IP nguồn hoặc đích của một gói dữ liệu, về mặt lý thuyết
có thể làm giả nhãn của một gói dữ liệu MPLS. Phần này tập trung vào việc liệu có thể
chèn vào gói dữ liệu với một nhãn sai vào mạng MPLS từ bên ngoài, ví dụ từ một VPN
(bộ định tuyến CE) hay từ Internet.
Theo nguyên tắc, giao tiếp giữa bất kỳ bộ định tuyến CE và bộ định tuyến PE tương
ứng là một giao tiếp IP (không có nhãn). Bộ định tuyến CE không biết đến lõi MPLS, và
cho rằng nó gửi các gói IP đến một bộ định tuyến thường. Độ thông minh được thể
hiện tại thiết bị PE, dựa vào cấu hình mà nhãn được lựa chọn và gán vào gói tin. Đây
là trường hợp cho tất cả bộ định tuyến PE, bộ định tuyến chuyển tiếp CE cũng như
dòng dữ liệu lên của nhà cung cấp dịch vụ. Tất cả các giao tiếp tới đám mây MPLS
chỉ cần gói dữ liệu IP, không có nhãn.
Vì các lý do bảo mật, một bộ định tuyến PE sẽ không bao giờ chấp nhận một gói
dữ liệu có nhãn từ một bộ định tuyến CE. Trong các bộ định tuyến của Cisco, khi các
gói dữ liệu với các nhãn đi đến từ giao tiếp CE thì sẽ bị huỷ bỏ. Vì vậy không thể đưa
vào một nhãn giả vì không một nhãn nào được chấp nhận.
Các khả năng cuối cùng để làm giả địa chỉ IP của một gói dữ liệu là gửi đến lõi
của MPLS. Tuy nhiên, có sự phân chia địa chỉ nghiêm ngặt giữa các bộ định tuyến PE và
mỗi VPN có một bảng định tuyến VRF (Virtual Routing and Forwarding instance) của
riêng nó, nên việc tấn công kiểu này chỉ làm ảnh hưởng đến VPN mà các gói dữ liệu
giả được sinh ra, hay nói cách khác, khách hàng VPN tự tấn công chính mình. MPLS
không tạo ra một nguy cơ bảo mật nào ở đây
MegaWan rất cần thiết cho các tổ chức, doanh nghiệp có nhiều chi nhánh, nhiều
điểm giao dịch cần phải kết nối truyền dữ liệu như: Ngân hàng, Bảo hiểm, Hàng
không, Cty chứng khoán ...MegaWan kết nối các mạng máy tính trong nước và quốc tế
bằng đường dây thuê bao SHDSL (công nghệ đường dây thuê bao số đối xứng) hoặc
ADSL (công nghệ đường dây thuê bao số bất đối xứng) kết hợp với công nghệ
MPLS/VPN.
Cho phép kết nối các mạng máy tính của doanh nghiệp (như các văn phòng, chi
nhánh, cộng tác viên từ xa, v.v... ) thuộc các vị trí địa lý khác nhau tạo thành một mạng
duy nhất và tin cậy thông qua việc sử dụng các liên kết băng rộng xDSL. Cho phép vừa
truy nhập mạng riêng vừa truy cập Internet.
Hình 4.3 : Mô hình MegaWAN truy cập mạng riêng ảo đồng thời truy nhập Internet
4.4.1 Gọi điện thoại miễn phí dựa trên hệ thống tổng đài nội bộ
Với hệ thống tổng đài nội bộ đã có sẵn cộng thêm giải pháp VoIP không phải tốn
chi phí điện thoại đường dài hằng tháng đã tạo ra một bước ngoặt lớn trong quá trình
truyển thông :
Việc gọi điện thoại VoIP thông qua mạng MegaWAN không tốn bất kỳ chi phí
nào.
Giải pháp truyền hình hội nghị thông qua mạng MegaWAN để giảm chi phí đi lại
hội họp giữa các chi nhánh của Công ty ở các Tỉnh khác nhau,. Tại các chi nhánh là các
đầu cầu truyền hình mà có thể nhìn thấy và nghe thấy các đầu cầu truyền hình khác.
Hình 4.6 : Mô hình thiết lập camera giám sát quan MegaWan
Bảng LFIB