Mạng riêng ảo và giải pháp hệ thống trong tổng cục thuế

1 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Nguyễn Thị Phương MẠNG RIÊNG ẢO VÀ GIẢI PHÁP HỆ THỐNG TRONG TỔNG CỤC THUẾ Ngành: Công nghệ Thông tin Chuyên ngành: Truyền dữ liệu và Mạng máy tính Mã số: 60 48 15 LUẬN VĂN THẠC SĨ NGƯỜI HƯỚNG DẪN KHOA HỌC PGS TS. NGUYỄN VĂN TAM \Hà Nội - 2009 2 MỤC LỤC Trang phụ bìa Lời cam đoan Lời cảm ơn Mục lục .....................................................................................................1 Danh mục các thuật ngữ và các từ viết tắt ..............................................3 Danh mục hình vẽ ....................................................................................5 MỞ ĐẦU...................................................................................................7 CHƯƠNG 1 TỔNG QUAN VỀ MẠNG RIÊNG ẢO .........................................10 1.1 Tổng quan..............................................................................................10 1.2 Khái niệm VPN......................................................................................10 1.3 Khái niệm đường hầm............................................................................11 1.4 Phân loại VPN .......................................................................................11 1.4.1 Overlay VPN .................................................................................12 1.4.2 Site to site VPN ( Mô hình VPN ngang cấp) ..................................16 1.5 Kết luận .................................................................................................22 CHƯƠNG 2 MẠNG RIÊNG ẢO TRÊN NỀN CÔNG NGHỆ MPLS...............23 2.1 Vấn đề đặt ra? ........................................................................................23 - Tính khả chuyển .........................................................................................23 - Điều khiển lưu lượng ...................................................................................24 - Chất lượng của dịch vụ (QoS).....................................................................24 2.2 Chuyển mạch nhãn đa giao thức là gì? ...................................................26 2.2.1 Khái niệm ......................................................................................26 2.2.2 Đặc điểm mạng MPLS...................................................................26 2.2.3 Một số khái niệm cơ bản trong kiến trúc MPLS .............................27 2.2.4 Phương thức hoạt động của công nghệ MPLS................................30 2.2.5 Chuyển tiếp gói MPLS và đường chuyển mạch nhãn .....................34 2.3 Kết luận .................................................................................................40 CHƯƠNG 3 ỨNG DỤNG MPLS IP VPN VÀO HỆ THỐNG MẠNG NGÀNH VÀ GIẢI PHÁP HỆ THỐNG ...................................................................42 3.1 Bối cảnh chung ......................................................................................42 3.2 Đánh giá ưu nhược điểm của hệ thống cơ sở hạ tầng hiện tại .................45 3 3.2.1 Mô hình kết nối WAN và những vấn đề đặt ra? .............................45 3.2.2 Mô hình kết nối Internet và những vấn đề nảy sinh ........................47 3.3 Giải pháp MPLS IP VPN để nâng cao an ninh cho hệ thống mạng TCT 52 3.3.1 Đề xuất cải tiến để đảm bảo tính dự phòng và an ninh cho hệ thống52 3.3.2 Giải pháp thiết kế hệ thống ............................................................55 3.3.3 Đánh giá về hệ thống đảm bảo an ninh...........................................69 3.3.4 Hoạt động thử nghiệm....................................................................76 3.4 Kết luận .................................................................................................77 CHƯƠNG 4 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN......................................79 4 DANH MỤC CÁC THUẬT NGỮ VÀ CÁC TỪ VIẾT TẮT Tên viết tắt Nội dung BTC Bộ tài chính C (Custommer network) – C network Hệ thống khách hàng sử dụng dịch vụ của nhà cung cấp CE(Customer network device) Các thiết bị trong hệ thống C – network mà dùng để kết nối với hệ thống của nhà cung cấp CEF Cisco Express Forwarding CPE Chính là các CE router và các CE router này được nối với các PE router khi đó một mạng VPN bao gồm nhóm các CE router kết nối với PE router của nhà cung cấp dịch vụ, Tuy nhiên chỉ có PE router mới có khái niệm về VPN còn CE router không nhận thấy những gì đang diễn ra trong mạng của nhà cung cấp và coi như chúng đang được kết nối với nhau thông qua mạng riêng Customer site Một phần trong hệ thống C network mà các thành phần này là láng giềng của nhau giữa chúng có nhiều liên kết vật lý FEC Lớp chuyển tiếp tương đương FEC Lớp chuyển tiếp tương đương Frame Relay Công nghệ chuyển mạch khung IP Internet Protocol L2PT ( Layer 2 Tunnening Protocol) Giao thức đường hầm lớp 2 MPLS (Multiprotocol Label Switching ) Chuyển mạch nhãn đa giao thức P: Provider – P network Nhà cung cấp dịch vụ VPN 5 Tên viết tắt Nội dung PE (Provider edge device) Các thiết bị trong hệ thống mạng P network mà dùng để kết nối với hệ thống của khách hàng PPTP (Point to Point Tunnening Protocol) Giao thức đường hầm điểm điểm PVC Kênh ảo cố định PVC ( permanent virtual circuit) Mạch ảo cố định QoS (Quality of Service) Chất lượng dịch vụ Router Bộ định tuyến SVC (switch virtual circuit) Mạch ảo chuyển đổi TCT Tổng cục thuế TDM ( time divisor multiplexing) Công nghệ chuyển mạch kênh, tách ghép kênh theo thời gian TTM Trung tâm miền TTT Trung tâm tỉnh VC(Vitual chanel) Kênh ảo VPN (Vitual private network) Mạng riêng ảo VRF(vitual routing/forwarding table) Bảng định tuyến ảo X.25 Công nghệ chuyển mạch gói 6 DANH MỤC HÌNH VẼ Hình 1.2 Over lay VPN triển khai ở lớp 2 .................................................................13 Hình 1.3 Mô hình Overlay VPN triển khai ở lớp 3....................................................14 Hình 1.4 Mô hình triển khai dưới dạng đường hầm...................................................15 Hình 1.5 Mô hình Overlay VPN ................................................................................15 Hình 1.6 Mô hình site to site VPN .............................................................................17 Hình 1.7 Mô hình VPN ngang cấp sử dụng router dùng chung ..................................18 Hình 1.8 Mô hình VPN ngang cấp với router dùng chung..........................................19 Hình 1.9 Mô hình VPN ngang cấp sử dụng router dành riêng ....................................20 Hình 1.10 Mô hình router dành riêng .........................................................................21 Hình 2.1 Full mesh với 6 kết nối ảo ..........................................................................24 Hình 2.2 Một ví dụ về mạng IP dựa trên mạng lõi ATM ...........................................25 Hình 2.3 Nhãn kiểu khung ........................................................................................27 Hình 2.4 Nhãn kiểu tế bào ........................................................................................28 Hình 2.5 Cấu trúc cơ bản của một nút MPLS............................................................31 Hình 2.6 Các FEC riêng biệt cho mỗi tiền tố địa chỉ .................................................33 Hình 2.7 Tổng hợp các FEC......................................................................................33 Hình 2.8 Sự tạo nhãn MPLS và chuyển tiếp..............................................................34 Hình 2.9 Các ứng dụng khác nhau của MPLS...........................................................35 Hình 2.10 Mô hình mạng MPLS...............................................................................38 Hình 3.1 Hạ tầng mạng BTC.....................................................................................43 Hình 3.2 Mô hình Overlay layer – 2 – VPN tại mạng trục.........................................45 Hình 3.3 Mô hình Peer – to – Peer VPN tại TTM, TTT ............................................46 Hình 3.4 Mô hình kết nối Internet BTC ....................................................................48 Hình 3.5 Kết nối mạng diện rộng hệ thống Thuế.......................................................50 Hình 3.6 Dòng dữ liệu ngành Thuế ...........................................................................51 Hình 3.7 Kiến trúc hệ thống truyền thông BTC.........................................................52 Hình 3.8 Sơ đồ kết nối mạng trục BTC .....................................................................53 Hình 3.9 Các kết nối WAN giữa hai trung tâm miền.................................................54 Hình 3.10 Sơ đồ hệ thống mạng phân bố từ TTM xuống các TTT ............................55 Hình 3.11 Cấu trúc mạng trục với WAN truyền thống và MPLS VPN......................56 Hình 3.12 Mô hình kết nối sử dụng dịch vụ MPLS IP VPN ......................................56 Hình 3.13 Khả năng định tuyến gói tin trong MPLS IP VPN ....................................57 Hình 3.14 Mô hình các vùng MPLS IP VPN sẽ thuê của nhà cung cấp dịch vụ.........57 Hình 3.15 Mô hình kết nối sử dụng IP Sec VPN thông qua Internet..........................58 7 Hình 3.16 Lớp mạng trục BTC .................................................................................59 Hình 3.17 Kết nối từ TTT lên TTM ..........................................................................60 Hình 3.18 Lớp mạng phân phối Bộ tài chính.............................................................61 Hình 3.19 Các phân lớp mạng...................................................................................62 Hình 3.20 Virtual Interface với GRE Encapsulation thông qua mạng MPLS VPN công cộng...........................................................................................................63 Hình 3.21 Các kết nối GRE trên hệ thống .................................................................64 Hình 3.22 Mạng trung ương các ngành truy cập vào mạng WAN BTC.....................65 Hình 3.23 Lớp truy cập của các đơn vị vào mạng WAN bộ tài chính ........................66 Hình 3.24 Sử dụng 02 Router kết nối cho các đơn vị có yêu cầu tính dự phòng rất cao ...........................................................................................................................66 Hình 3.25 Truy cập IPSec VPN tới MPLS VPN bộ tài chính thông qua Internet.......67 Hình 3.26 Mô hình khai báo Thuế On-line................................................................69 Hình 3.27 Kiến trúc bảo mật đề xuất.........................................................................70 Hình 3.28 Mã hoá đường truyền Leased – lines giữa TTT - TTM .............................71 Hình 3.29 Mô hình phân tách các lớp mạng, đảm bảo an ninh cho các đơn vị ...........72 Hình 3.30 An ninh vòng ngoài ..................................................................................74 Hình 3.31 Bảo vệ các hệ thống ứng dụng..................................................................75 Hình 3.32 Mô hình thử nghiệm.................................................................................76 8 MỞ ĐẦU Thế kỷ 20 được coi là thế kỷ của những phát minh quan trọng thúc đẩy xã hội phát triển. Đi đầu trong cuộc cách mạng này không thể không kể tới những tiến bộ vượt bậc áp dụng trong Thuế, Ngân hàng - một trong những thành phần kinh tế then chốt đáp ứng các nhu cầu tài chính huyết mạch của nền kinh tế. Ngày nay, khi mà càng có nhiều công ty kết nối mạng doanh nghiệp của mình với Intemet, hay một công ty có nhiều trụ sở ở các vị trí địa lý khác nhau cần liên lạc thông tin nội bộ ngành với nhau khi đó việc bảo mật thông tin ngành là điều bắt buộc vì vậy phải đối mặt với một vấn đề không tránh khỏi đó là bảo mật thông tin. Viêc chia sẻ thông tin trên một mạng công cộng cũng có nghĩa là những người muốn tìm kiếm, khôi phục thông tin đều có thể lên mạng. Điều gì sẽ xảy ra nếu một người tiếp cận thông tin lại có ý định phá mạng. Nhưng hacker có ý đồ xấu như nghe lén thông tin, tiếp cận thông tin không chính đáng, trái phép, lừa bịp, sao chép thông tin... đang là mối đe doạ lớn cho việc bảo mât trên mạng. Vậy làm thế nào để chúng ta có thể bảo mật thông tin trong quá trình truyền tin trên một mạng chung? Có rất nhiều phương án để đảm bảo truyền tin trên mạng một cách an toàn một trong những phương án hữu hiệu nhất hiện nay là triển khai một mạng riêng ảo (Virtual private network - VPN). VPN là những hệ thống mạng được triển khai dựa trên quy tắc: vẫn áp dụng tiêu chuẩn bảo mật, quản lý chất lượng dịch vụ trong hệ thống mạng công cộng vào hệ thống mạng cá nhân. VPN cung cấp cho chúng ta một sự lựa chọn mới: Xây dựng một mạng cá nhân cho các thông tin liên lạc klểu site- to- site trên một mạng công cộng hay Intemet. Bởi vì nó hoat động trên một mạng chung thay vì một mạng cá nhân nên các công ty có thể mở rộng WAN của mình môt cách hiệu quả, những khách hàng di động hay những văn phòng ở nơi xa xôi, khách hàng hay nhà cung cấp hay những đối tác kinh doanh. VPN mở rộng WAN truyền thống bằng cách thay thế những kết nối điểm tới điểm vật lý bằng những kết nổi điểm tới điểm logic chia sẻ một hạ tầng chung, cho phép tất cả lưu lượng tổng hợp, hội tụ vào một kết nối vât lý duy nhất. Kết quả là tạo nên băng thông tiềm năng và có thể tiết kiệm chí phí tại đầu ra. Bởi vì khách hàng không còn phải duy trì một mạng cá nhân và bản thân VPN cũng rẻ hơn và tiết kiệm chi phí đáng kể so với WAN, do đó toàn bộ chi phí hoạt động vận hành có thể giảm. VPN chính là sự thay thế cho hạ tầng WAN, nó thay thế và thậm chí còn tăng cường các hệ thống mạng thương mại cá nhân sử dụng kênh thuê riêng, frame- relay hay ATM. Luận văn “Mạng riêng ảo và giải pháp hệ thống trong Tổng Cục Thuế” đi vào nghiên cứu về mạng riêng ảo, phân tích các loại mạng riêng ảo hiện nay và cho thấy 9 những mặt tích cực và hạn chế của từng loại, bên cạnh đó nghiên cứu một công nghệ mới MPLS – công nghệ chuyển mạch nhãn đa giao thức – , Các ứng dụng của công nghệ MPLS đi sâu vào nghiên cứu một trong ứng dụng quan trọng của công nghệ MPLS chính là mạng riêng ảo. Trên cơ sở phân tích mang tính lý thuyết trên thì luận văn cũng đưa ra giải pháp để ứng dụng công nghệ mới này vào hệ thống mạng thực tế hiện nay ở Tổng cục thuế. Về bố cục, nội dung luận văn được chia ra làm 3 chương: Chương 1: Nghiên cứu tổng quan về mạng riêng ảo, các loại mạng riêng ảo hiện nay. Chương 2: Nghiên cứu về mạng riêng ảo trên nền công nghệ MPLS Chương 3: Nghiên cứu về hệ thống mạng truyền thông hiện nay của Tổng cục thuế trên cơ sở phân tích, khảo sát hiện trạng hệ thống mạng của Bộ tài chính và đưa ra các giải pháp và mô hình thiết kế mới mang tính ứng dụng khả thi về kỹ thuật công nghệ và kinh tế. Chương 4: Kết luận và hướng phát triển Ngoài ra, luận văn còn có thêm các danh mục các thuật ngữ, các từ viết tắt, danh mục bảng biểu, hình vẽ và danh mục các tài liệu tham khảo để thuận tiện cho việc tìm hiểu và tra cứu nội dung của luận văn. 10 CHƯƠNG 1 TỔNG QUAN VỀ MẠNG RIÊNG ẢO Trong chương này, báo cáo luận văn sẽ giới thiệu tổng quan về mạng riêng ảo, khái niệm VPN, khái niệm đường hầm, phân loại VPN. Đi sâu vào hai loại VPN chính đó là: mô hình Overlay VPN và site to site VPN. Trên cơ sở phân tích nội dung của từng loại cho ta thấy rõ được những ưu, nhược còn tồn tại trong mỗi mô hình. 1.1 Tổng quan VPN là một thuật ngữ quen thuộc hiện nay, nó là một sự lựa chọn gần như tối ưu đối với một công ty có từ 2 chi nhánh trở lên có nhu cầu kết nối mạng với nhau, hoặc có nhu cầu thiết lập một mối quan hệ thân thiết với khách hàng, đối tác, hoặc đặc thù công việc là có nhiều nhân viên làm việc từ xa. Ai cũng biết VPN không còn là một thuật ngữ mới, tuy nhiên không phải ai cũng biết VPN đã được đề cập và xây dựng từ cuối thập kỷ 80 của thế kỷ trước, và nó cũng trải qua nhiều giai đoạn phát triển. Thế hệ VPN thứ nhất do AT&T phát triển có tên là SDNs (Software Defined Networks) Thế hệ thứ 2 là ISDN và X25 Thế hệ thứ 3 là FR và ATM Và thế hệ hiện nay, thế hệ thứ 4 là VPN trên nền mạng IP Thế hệ tiếp theo sẽ là VPN trên nền mạng MPLS. 1.2 Khái niệm VPN VPN là công nghệ cung cấp một phương thức giao tiếp an toàn giữa các mạng riêng dựa vào kỹ thuật đường hầm để tạo ra một mạng riêng trên cơ sở hạ tầng mạng dùng chung (mạng Internet). Về bản chất đây là quá trình đặt toàn bộ gói tin vào trong một lớp tiêu đề chứa thông tin định tuyến có thể truyền an toàn qua mạng công cộng. VPN là một mạng riêng sử dụng để kết nối các mạng riêng lẻ hay nhiều người sử dụng ở xa thông qua các kết nối ảo dẫn qua đường Internet thay cho một kết nối thực, chuyên dụng như đường leased line. VPN bao gồm hai phần: mạng của nhà cung cấp dịch vụ và mạng của khách hàng trong đó mạng của nhà cung cấp dịch vụ chạy dọc cơ sở hạ tầng mạng công cộng, bao gồm các bộ định tuyến cung cấp dịch vụ cho mạng của khách hàng. 11 1.3 Khái niệm đường hầm Đường hầm là một cách thức mà ở đó dữ liệu có thể truyền đi giữa hai mạng một cách an toàn. Toàn bộ dữ liệu truyền đi được phân mảnh thành các gói nhỏ hơn hoặc thành các khung sau đó được đẩy vào trong đường hầm. Cách thức này khác với cách vận chuyển dữ liệu thông thường giữa các điểm. Ở đây các gói dữ liệu di chuyển trong đường hầm sẽ được đóng gói và mã hoá với thông tin định tuyến tới một địa chỉ xác định. Sau khi tới được địa chỉ mong muốn thì dữ liệu được khôi phục nhờ việc giải mã. Một đường hầm là một con đường logic được thiết lập giữa điểm nguồn và điểm đích của hai mạng. Các gói dữ liệu được đóng gói tại nguồn và mở gói tại điểm đích. Đường hầm logic giữa hai mạng này được duy trì trong suốt tiến trình gửi dữ liệu. Đường hầm dùng để vận chuyển dữ liệu cho mục đích riêng tư, thông thường là hệ thống mạng của một tập đoàn thông qua hệ thống mạng công cộng. Với cách hiểu đó các nút định tuyến trong hệ thống mạng công cộng không biết rằng luồng vận chuyển đó là của hệ thống mạng riêng hay chung. Có nhiều loại đường hầm được thực thi trên các tầng khác nhau của mô hình OSI. Ví dụ hai loại đường hầm PPTP và L2TP thực thi trên tầng 2. Hai loại đường hầm này sẽ không kích hoạt tại các phiên làm việc nội mạng, trong trường hợp có sự kết nối hai mạng thì loại đường hầm sẽ được xác định hoặc PPTP hoặc L2TP sau khi lựa chọn được loại đường hầm thì các tham số như mã hóa, cách đăng ký địa chỉ, nén …vv. Được cấu hình để đạt được sự an toàn ở mức cao nhất khi đi qua mạng Internet dựa trên sự kết nối đường hầm logic địa phương. Kết nối được tạo ra duy trì và kết thúc sử dụng giao thức quản lý đường hầm. 1.4 Phân loại VPN Mạng riêng ảo có thể là hệ thống mạng ảo giữa hai đầu cuối hệ thống hay giữa hai hay nhiều mạng riêng. Do đó ta có thể chia mạng mạng riêng ảo thành hai loại chính đó là: Customer – based VPN ( hay còn gọi là Overlay VPN): là mạng riêng ảo được cấu hình trên các thiết bị của khách hàng sử dụng các giao thức đường hầm xuyên qua mạng công cộng. Nhà cung cấp dịch vụ sẽ cung cấp các kênh ảo, kết nối ảo giữa các mạng của khách hàng. Network – based VPN ( hay còn gọi là site to site VPN): là mạng riêng ảo được cấu hình trên các thiết bị của nhà cung cấp dịch vụ và được quản lý bởi nhà cung 12 cấp dịch vụ. Ở đây nhà cung cấp trao đổi thông tin định tuyến với khách hàng và sắp đặt dữ liệu của khách hàng vào các đường đi tối ưu nhất. 1.4.1 Overlay VPN Mô hình Overlay VPN được triển khai dưới nhiều công nghệ khác nhau. Ban đầu VPN được xây dựng bằng cách sử dụng các đường kết nối leased line để cung