140
VPN , QoS trên Router Cisco Chương I: Cấu Hình IPSEC/VPN Trên Thiết Bị Cisco I. Tổng Quan Về VPN: Trong thời đại ngày nay, Internet đã phát triển mạnh về mặt hình cho đến công nghệ, đáp ứng các nhu cầu của người sử dụng. Internet đã được thiết kế để kết nối nhiều mạng khác nhau và cho phép thông tin chuyển đến người sử dụng một cách tự do và nhanh chóng mà không xem xét đến máy và mạng mà người sử dụng đó đang dùng. Để làm được điều này người ta sử dụng một máy tính đặc biệt gọi là router để kết nối các LAN và WAN với nhau. Các máy tính kết nối vào Internet thông qua nhà cung cấp dịch vụ (ISP-Internet Service Provider), cần một giao thức chung là TCP/IP. Điều mà kỹ thuật còn tiếp tục phải giải quyết là năng lực truyền thông của các mạng viễn thông công cộng. Với Internet, những dịch vụ như giáo dục từ xa, mua hàng trực tuyến, vấn y tế, và rất nhiều điều khác đã trở thành hiện thực.Tuy nhiên, do Internet phạm vi toàn cầu và không một tổ chức, chính phủ cụ thể nào quản lý nên rất khó khăn trong việc bảo mật và an toàn dữ liệu cũng như trong việc quản lý các dịch vụ. Từ đó người ta đã đưa ra một mô hình mạng mới nhằm thoả mãn những yêu cầu trên vẫn thể tận dụng lại những cơ sở hạ tầng hiện có của Internet, đó chính hình mạng riêng ảo (Virtual Private Network - VPN). Với mô hình mới này, người ta không phải đầu thêm nhiều về cơ sở hạ tầng mà các tính năng như bảo mật, độ tin cậy vẫn đảm bảo, đồng thời có thể quản lý riêng được sự hoạt động của mạng này. VPN cho phép người SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N 1

Vpn Qos trên router cisco

Embed Size (px)

Citation preview

VPN , QoS trên Router Cisco

Chương I: Cấu Hình IPSEC/VPN Trên Thiết Bị Cisco I. Tổng Quan Về VPN:

Trong thời đại ngày nay, Internet đã phát triển mạnh về mặt mô hình cho đến công nghệ, đáp ứng các nhu cầu của người sử dụng. Internet đã được thiết kế để kết nối nhiều mạng khác nhau và cho phép thông tin chuyển đến người sử dụng một cách tự do và nhanh chóng mà không xem xét đến máy và mạng mà người sử dụng đó đang dùng.

Để làm được điều này người ta sử dụng một máy tính đặc biệt gọi là router để kết nối các LAN và WAN với nhau. Các máy tính kết nối vào Internet thông qua nhà cung cấp dịch vụ (ISP-Internet Service Provider), cần một giao thức chung là TCP/IP. Điều mà kỹ thuật còn tiếp tục phải giải quyết là năng lực truyền thông của các mạng viễn thông công cộng.

Với Internet, những dịch vụ như giáo dục từ xa, mua hàng trực tuyến, tư vấn y tế, và rất nhiều điều khác đã trở thành hiện thực.Tuy nhiên, do Internet có phạm vi toàn cầu và không một tổ chức, chính phủ cụ thể nào quản lý nên rất khó khăn trong việc bảo mật và an toàn dữ liệu cũng như trong việc quản lý các dịch vụ. Từ đó người ta đã đưa ra một mô hình mạng mới nhằm thoả mãn những yêu cầu trên mà vẫn có thể tận dụng lại những cơ sở hạ tầng hiện có của Internet, đó chính là mô hình mạng riêng ảo (Virtual Private Network - VPN). Với mô hình mới này, người ta không phải đầu tư thêm nhiều về cơ sở hạ tầng mà các tính năng như bảo mật, độ tin cậy vẫn đảm bảo, đồng thời có thể quản lý riêng được sự hoạt động của mạng này. VPN cho phép người sử dụng làm việc tại nhà, trên đường đi hay các văn phòng chi nhánh có thể kết nối an toàn đến máy chủ của tổ chức mình bằng cơ sở hạ tầng được cung cấp bởi mạng công cộng.[5] Nó có thể đảm bảo an toàn thông tin giữa các đại lý, người cung cấp, và các đối tác kinh doanh với nhau trong môi trường truyền thông rộng lớn. Trong nhiều trường hợp VPN cũng giống như WAN (Wide Area Network), tuy nhiên đặc tính quyết định của VPN là chúng có thể dùng mạng công cộng như Internet mà đảm bảo tính riêng tư và tiết kiệm hơn nhiều. I.1. Định Nghĩa VPN:

VPN được hiểu đơn giản như là sự mở rộng của một mạng riêng (private network) thông qua các mạng công cộng. Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạng chung (thường là internet) để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa.

Thay cho việc sử dụng bởi một kết nối thực, chuyên dụng như đường leased line, mỗi VPN sử dụng các kết nối ảo được dẫn đường qua Internet từ mạng riêng của các công ty tới cá site hay các nhân viên từ xa. Để có thể gửi và nhận dữ liệu thông qua mạng công cộng mà vẫn đảm bảo được tính an toàn và bảo mật VPN cung cấp các cơ chế mã hóa dữ liệu trên đường truyền tạo ra ống bảo mật giữ nơi nhận và nơi gửi (Tunnel) giống như một kết nối point-to-point trên mạng riêng.

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

1

VPN , QoS trên Router Cisco

Hình 1.1. Mỗi VPN có thể có một mạng LAN chung tại toà nhà trung tâm của một công ty, các mạng Lan khác tại các văn phòng từ xa hay các nhân viên

làm việc tại nhà,... kết nối tới

I.2. Lợi ích của VPN: VPN cung cấp nhiều đặc tính hơn so với những mạng truyền thống và những mạng

mạng leased-line.Những lợi ích đầu tiên bao gồm: • Chi phí thấp hơn những mạng riêng: VPN có thể giảm chi phí khi truyền tới 20-

40% so với những mạng thuộc mạng leased=line và giảm việc chi phí truy cập từ xa từ 60-80%.

• Tính linh hoạt cho khả năng kinh tế trên Internet: VPN vốn đã có tính linh hoạt và có thể leo thang những kiến trúc mạng hơn là những mạng cổ điển, bằng cách đó nó có thể hoạt động kinh doanh nhanh chóng và chi phí một cách hiệu quả cho việc kết nối mở rộng.

• Đơn giản hóa những gánh nặng. • Những cấu trúc mạng ống, vì thế giảm việc quản lý những gánh nặng: Sử dụng

một giao thức Internet backbone loại trừ những PVC tĩnh hợp với kết nối hướng những giao thức như là Frame Rely và ATM.

• Tăng tình bảo mật: các dữ liệu quan trọng sẽ được che giấu đối với những người không có quyền truy cập và cho phép truy cập đối với những người dùng có quyền truy cập.

• Hỗ trợ các giao thức mạn thông dụng nhất hiện nay như TCP/IP • Bảo mật địa chỉ IP: bởi vì thông tin được gửi đi trên VPN đã được mã hóa do đó

các địa chỉ bên trọng mạng riêng được che giấu và chỉ sử dụng các địa chỉ bên ngoài Internet.I.3. Các thành phần cần thiết để tạo kết nối VPN:

- User Authentication: cung cấp cơ chế chứng thực người dùng, chỉ cho phép người

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

2

VPN , QoS trên Router Cisco

dùng hợp lệ kết nối và truy cập hệ thống VPN. - Address Management: cung cấp địa chỉ IP hợp lệ cho người dùng sau khi gia

nhập hệ thống VPN để có thể truy cập tài nguyên mạng nội bộ.- Data Encryption: cung cấp giải pháp mã hoá dữ liệu trong quá trình truyền nhằm

bảo đảm tính riêng tư và toàn vẹn dữ liệu.

- Key Management: cung cấp giải pháp quản lý các khoá dùng cho quá trình mã hoá và giải mã dữ liệu.

I.4. Các thành phần chính tạo nên VPN Cisco:a. Cisco VPN Router: sử dụng phần mềm Cisco IOS, IPSec hỗ trợ cho việc bảo

mật trong VPN. VPN tốI ưu hóa các router như là đòn bẩy đang tồn tạI sự đầu tư của Cisco. Hiệu quả nhất trong các mạng WAN hỗn hợp.

b. Cisco Secure PIX FIREWALL: đưa ra sự lựa chọn khác của cổng kết nốI VPN khi bảo mật nhóm “riêng tư” trong VPN.

c. Cisco VPN Concentrator series: Đưa ra những tính năng mạnh trong việc điều khiển truy cập từ xa và tương thích vớI dạng site-to-site VPN. Có giao diện quản lý dễ sử dụng và một VPN client.

d. Cisco Secure VPN Client : VPN client cho phép bảo mật việc truy cập từ xa tới Router Cisco và Pix Firewalls và nó là một chương trình chạy trên hệ điều hành Window.

e. Cisco Secure Intrusion Detection System(CSIDS) và Cisco Secure Scanner thường được sử dụng để giám sát và kiểm tra các vấn đề bảo mật trong VPN.

f. Cisco Secure Policy Manager and Cisco Works 2000 cung cấp việc quản lý hệ thống VPN rộng lớn.I.5. Các giao thức VPN:

Các giao thức để tạo nên cơ chế đường ống bảo mật cho VPN là L2TP, Cisco GRE và IPSec.

a. L2TP: - Trước khi xuất hiện chuẩn L2TP (tháng 8 năm 1999), Cisco sử dụng Layer 2

Forwarding (L2F) như là giao thức chuẩn để tạo kết nối VPN. L2TP ra đời sau với những tính năng được tích hợp từ L2F.

- L2TP là dạng kết hợp của Cisco L2F và Mircosoft Point-to-Point Tunneling Protocol (PPTP). Microsoft hỗ trợ chuẩn PPTP và L2TP trong các phiên bản WindowNT và 2000.

- L2TP được sử dụng để tạo kết nối độc lập, đa giao thức cho mạng riêng ảo quay số (Virtual Private Dail-up Network). L2TP cho phép người dùng có thể kết nối thông qua các chính sách bảo mật của công ty (security policies) để tạo VPN hay VPDN như là sự mở rộng của mạng nội bộ công ty.

-L2TP không cung cấp mã hóa.- L2TP là sự kết hợp của PPP(giao thức Point-to-Point) với giao thức L2F(Layer 2

Forwarding) của Cisco do đó rất hiệu quả trong kết nối mạng dial, ADSL, và các mạng truy cập từ xa khác. Giao thức mở rộng này sử dụng PPP để cho phép truy cập VPN bởi những người sử dụng từ xa.

b. GRE: - Đây là đa giao thức truyền thông đóng gói IP, CLNP và tất cả cá gói dữ liệu bên

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

3

VPN , QoS trên Router Cisco

trong đường ống IP (IP tunnel) - Với GRE Tunnel, Cisco router sẽ đóng gói cho mỗi vị trí một giao thức đặc trưng

chỉ định trong gói IP header, tạo một đường kết nối ảo (virtual point-to-point) tới Cisco router cần đến. Và khi gói dữ liệu đến đích IP header sẽ được mở ra

- Bằng việc kết nối nhiều mạng con với các giao thức khác nhau trong môi trường có một giao thức chính. GRE tunneling cho phép các giao thức khác có thể thuận lợi trong việc định tuyến cho gói IP.

c. IPSec: - IPSec là sự lựa chọn cho việc bảo mật trên VPN. IPSec là một khung bao gồm bảo

mật dữ liệu (data confidentiality), tính tòan vẹn của dữ liệu (integrity) và việc chứng thực dữ liệu.

- IPSec cung cấp dịch vụ bảo mật sử dụng KDE cho phép thỏa thuận các giao thức và thuật tóan trên nền chính sách cục bộ (group policy) và sinh ra các khóa bảo mã hóa và chứng thực được sử dụng trong IPSec.

d. Point to Point Tunneling Protocol (PPTP):- Được sử dụng trện các máy client chạy HĐH Microsoft for NT4.0 và Windows

95+. Giao thức này được sử dụng để mã hóa dữ liệu lưu thông trên LAN. Giống như giao thức NETBEUI và IPX trong một packet gửI lên Internet. PPTP dựa trên chuẩn RSA RC4 và hỗ trợ bởI sự mã hóa 40-bit hoặc 128-bit.

- Nó không được phát triển trên dạng kết nốI LAN-to-LAN và giới hạn 255 kết nối tớI 1 server chỉ có một đường hầm VPN trên một kết nối. Nó không cung cấp sự mã hóa cho các công việc lớn nhưng nó dễ cài đặt và triển khai và là một giảI pháp truy cập từ xa chỉ có thể làm được trên mạng MS. Giao thức này thì được dùng tốt trong Window 2000. Layer 2 Tunneling Protocol thuộc về IPSec. I.6. Thiết lập một kết nối VPN:

a. Máy VPN cần kết nối (VPN client) tạo kết nốt VPN (VPN Connection) tới máy chủ cung cấp dịch vụ VPN (VPN Server) thông qua kết nối Internet.

b. Máy chủ cung cấp dịch vụ VPN trả lời kết nối tới c. Máy chủ cung cấp dịch vụ VPN chứng thực cho kết nối và cấp phép cho kết nối d. Bắt đầu trao đổi dữ liệu giữa máy cần kết nối VPN và mạng công ty

I.7. Các dạng kết nối VPN: a. Remote Access VPNs :

Remote Access VPNs cho phép truy cập bất cứ lúc nào bằng Remote, mobile, và các thiết bị truyền thông của nhân viên các chi nhánh kết nối đến tài nguyên mạng của tổ chức.

Remote Access VPN mô tả việc các người dùng ở xa sử dụng các phần mềm VPN để truy cập vào mạng Intranet của công ty thông qua gateway hoặc VPN concentrator (bản chất là một server). Vì lý do này, giải pháp này thường được gọi là client/server. Trong giải pháp này, các người dùng thường thường sử dụng các công nghệ WAN truyền thống để tạo lại các tunnel về mạng HO của họ.

Một hướng phát triển khá mới trong remote access VPN là dùng wireless VPN, trong đó một nhân viên có thể truy cập về mạng của họ thông qua kết nối không dây. Trong thiết kế này, các kết nối không dây cần phải kết nối về một trạm wireless (wireless terminal) và sau đó về mạng của công ty. Trong cả hai trường hợp, phần mềm client trên máy PC đều cho phép khởi tạo các kết nối bảo mật, còn được gọi là tunnel.

Một phần quan trọng của thiết kế này là việc thiết kế quá trình xác thực ban đầu

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

4

VPN , QoS trên Router Cisco

nhằm để đảm bảo là yêu cầu được xuất phát từ một nguồn tin cậy. Thường thì giai đoạn ban đầu này dựa trên cùng một chính sách về bảo mật của công ty. Chính sách này bao gồm: qui trình (procedure), kỹ thuật, server (such as Remote Authentication Dial-In User Service [RADIUS], Terminal Access Controller Access Control System Plus [TACACS+]…). Một số thành phần chính :

- Remote Access Server (RAS) : được đặt tại trung tâm có nhiệm vụ xác nhận và chứng nhận các yêu cầu gửi tới.

- Quay số kết nối đến trung tâm, điều này sẽ làm giảm chi phí cho một số yêu cầu ở khá xa so với trung tâm.

- Hổ trợ cho những người có nhiệm vụ cấu hình, bảo trì và quản lý RAS và hổ trợ truy cập từ xa bởi người dùng.

- Bằng việc triển khai Remote Access VPNs, những người dùng từ xa hoặc các chi nhánh văn phòng chỉ cần cài đặt một kết nối cục bộ đến nhà cung cấp dịch vụ ISP hoặc ISP’s POP và kết nối đến tài nguyên thông qua Internet. Thông tin Remote Access Setup được mô tả bởi hình vẽ sau :

Hình 1.2. Mô tả thông tin Remote Access SetupNgoài những thuận lợi, VPNs cũng tồn tại một số bất lợi khác như :

- Remote Access VPNs cũng không bảo đảm được chất lượng phục vụ. - Khả năng mất dữ liệu là rất cao, thêm nữa là các phân đoạn của gói dữ liệu có thễ

đi ra ngoài và bị thất thoát. - Do độ phức tạp của thuật toán mã hoá, protocol overhead tăng đáng kể, điều này

gây khó khăn cho quá trình xác nhận. Thêm vào đó, việc nén dữ liệu IP và PPP-based diễn ra vô cùng chậm chạp và tồi tệ.

- Do phải truyền dữ liệu thông qua Internet, nên khi trao đổi các dữ liệu lớn như các gói dữ liệu truyền thông, phim ảnh, âm thanh sẽ rất chậmb. Site - To - Site (Lan - To - Lan):

- Site-to-site VPN(Lan-to-Lan VPN):được áp dụng để cài đặt mạng từ một vị trí này kết nốI tớI mạng của một vị trí khác thông qua VPN. Trong hoàn cảnh này thì việc

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

5

VPN , QoS trên Router Cisco

chứng thực ban đầu giữa các thiết bị mạng được giao cho người sử dụng. Nơi mà có một kết nối VPN được thiết lập giữa chúng. Khi đó các thiết bị này đóng vai trò như là một gateway, và đảm bảo rằng việc lưu thông đã được dự tính trước cho các site khác. Các router và Firewall tương thích vớI VPN, và các bộ tập trung VPN chuyên dụng đều cung cấp chức năng này.

- Lan-to-Lan VPN có thể được xem như là intranet VPN hoặc extranet VPN(xem xét về mặt chính sách quản lý). Nếu chúng ta xem xét dướI góc độ chứng thực nó có thể được xem như là một intranet VPN, ngược lạI chúng được xem như là một extranet VPN. Tính chặt chẽ trong việc truy cập giữa các site có thể được điều khiển bởi cả hai (intranet và extranet VPN) theo các site tương ứng của chúng. Giải pháp Site to site VPN không là một remote access VPN nhưng nó được thêm vào đây vì tính chất hoàn thiện của nó.

- Sự phân biệt giữa remote access VPN và Lan to Lan VPN chỉ đơn thuần mang tính chất tượng trưng và xa hơn là nó được cung cấp cho mục đích thảo luận. Ví dụ như là các thiết bị VPN dựa trên phần cứng mớI(Router cisco 3002 chẳng hạn) ở đây để phân loại được, chúng ta phảI áp dụng cả hai cách, bởI vì harware-based client có thể xuất hiện nếu một thiết bị đang truy cập vào mạng. Mặc dù một mạng có thể có nhiều thiết bị VPN đang vận hành. Một ví dụ khác như là chế độ mở rộng của giảI pháp Ez VPN bằng cách dùng router 806 và 17xx.

- Lan-to-Lan VPN là sự kết nốI hai mạng riêng lẻ thông qua một đường hầm bảo mật. đường hầm bảo mật này có thể sử dụng các giao thức PPTP, L2TP, hoặc IPSec, mục đích của Lan-to-Lan VPN là kết nốI hai mạng không có đường nốI lạI vớI nhau, không có việc thỏa hiệp tích hợp, chứng thực, sự cẩn mật của dữ liệu. bạn có thể thiết lập một Lan-to-Lan VPN thông qua sự kết hợp của các thiết bị VPN Concentrators, Routers, and Firewalls.

- Kết nối Lan-to-Lan được thiết kế để tạo một kết nốI mạng trực tiếp, hiệu quả bất chấp khoảng cách vật lý giữa chúng. Có thể kết nốI này luân chuyển thông qua internet hoặc một mạng không được tin cậy.Bạn phảI đảm bảo vấn đề bảo mật bằng cách sử dụng sự mã hóa dữ liệu trên tất cả các gói dữ liệu đang luân chuyển giữa các mạng đó. I.7.1. Intranet VPNs:

- Intranet VPNs được sữ dụng để kết nối đến các chi nhánh văn phòng của tổ chức đến Corperate Intranet (backbone router) sử dụng campus router, xem hình bên dưới :

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

6

VPN , QoS trên Router Cisco

Hình 1.3. Thiết lập mạng nội bộ bằng cách sử dụng WAN.

- Theo mô hình bên trên sẽ rất tốn chi phí do phải sữ dụng 2 router để thiết lập được mạng, thêm vào đó, việc triển khai, bảo trì và quản lý mạng Intranet Backbone sẽ rất tốn kém còn tùy thuộc vào lượng lưu thông trên mạng đi trên nó và phạm vi địa lý của toàn bộ mạng Intranet.

- Ðể giải quyết vấn đề trên, sự tốn kém của WAN backbone được thay thế bởi các kết nối Internet với chi phí thấp, điều này có thể một lượng chi phí đáng kể của việc triển khai mạng Intranet, xem hình bên dưới :

Hình 1.4. Các thiết lập mạng nội bộ dựa trên VPN

Những thuận lợi chính của Intranet setup dựa trên VPN- Hiệu quả chi phí hơn do giảm số lượng router được sữ dụng theo mô hình WAN

backbone - Giảm thiểu đáng kể số lượng hổ trợ yêu cầu người dùng cá nhân qua toàn cầu, các

trạm ở một số remote site khác nhau. - Bởi vì Internet hoạt động như một kết nối trung gian, nó dễ dàng cung cấp những

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

7

VPN , QoS trên Router Cisco

kết nối mới ngang hàng- Kết nối nhanh hơn và tốt hơn do về bản chất kết nối đến nhà cung cấp dịch vụ, loại

bỏ vấn đề về khoảng cách xa và thêm nữa giúp tổ chức giảm thiểu chi phí cho việc thực hiện Intranet. Những bất lợi chính kết hợp với cách giải quyết :

- Bởi vì dữ liệu vẫn còn tunnel trong suốt quá trình chia sẽ trên mạng công cộngInternet-và những nguy cơ tấn công, như tấn công bằng từ chối dịch vụ (denial-of-service), vẫn còn là một mối đe doạ an toàn thông tin.

- Khả năng mất dữ liệu trong lúc di chuyễn thông tin cũng vẫn rất cao. - Trong một số trường hợp, nhất là khi dữ liệu là loại high-end, như các tập tin

mulltimedia, việc trao đổi dữ liệu sẽ rất chậm chạp do được truyền thông qua Internet. - Do là kết nối dựa trên Internet, nên tính hiệu quả không liên tục, thường xuyên, và

QoS cũng không được đảm bảo.I.7.2. Extranet VPNs:

- Không giống như Intranet và Remote Access-based, Extranet không hoàn toàn cách li từ bên ngoài (outer-world), Extranet cho phép truy cập những tài nguyên mạng cần thiết của các đối tác kinh doanh, chẳng hạn như khách hàng, nhà cung cấp, đối tác những người giữ vai trò quan trọng trong tổ chức.

Hình 1.5. Các thiết lập hệ thống Extranet

- Như hình trên, mạng Extranet rất tốn kém do có nhiều đoạn mạng riêng biệt trên Intranet kết hợp lại với nhau để tạo ra một Extranet. Ðiều này làm cho khó triển khai và quản lý do có nhiều mạng, đồng thời cũng khó khăn cho cá nhân làm công việc bảo trì và quản trị. Thêm nữa là mạng Extranet sẽ dễ mở rộng do điều này sẽ làm rối tung toàn SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

8

VPN , QoS trên Router Cisco

bộ mạng Intranet và có thể ảnh hưởng đến các kết nối bên ngoài mạng. Sẽ có những vấn đề bạn gặp phải bất thình lình khi kết nối một Intranet vào một mạng Extranet. Triển khai và thiết kế một mạng Extranet có thể là một cơn ác mộng của các nhà thiết kế và quản trị mạng. Một số thuận lợi của Extranet :

- Do hoạt động trên môi trường Internet, bạn có thể lựa chọn nhà phân phối khi lựa chọn và đưa ra phương pháp giải quyết tuỳ theo nhu cầu của tổ chức.- Bởi vì một phần Internet-connectivity được bảo trì bởi nhà cung cấp (ISP) nên cũng giảm chi phí bảo trì khi thuê nhân viên bảo trì.- Dễ dàng triển khai, quản lý và chỉnh sữa thông tin. Một số bất lợi của Extranet :

- Sự đe dọa về tính an toàn, như bị tấn công bằng từ chối dịch vụ vẫn còn tồn tại. - Tăng thêm nguy hiểm sự xâm nhập đối với tổ chức trên Extranet. - Do dựa trên Internet nên khi dữ liệu là các loại high-end data thì việc trao đổi diễn

ra chậm chạp. - Do dựa trên Internet, QoS(Quality of Service) cũng không được bảo đảm thường

xuyên. II. Các đặc điểm của một mạng riêng ảo:

An ninh là trọng tâm của bất kỳ thiết kế VPN. VPNs có thể sử dụng kỹ thuật mã hóa tiên tiến và đường hầm để thiết lập an toàn, end-to-end, các kết nối mạng riêng trên mạng của bên thứ ba, chẳng hạn như Internet hay Extranet. Nền tảng của mạng riêng ảo an toàn được dựa trên chứng thực, đóng gói, và mã hóa. Bằng cách thựchiện tốt an ninh, triển khai thành công VPN đáp ứng được ba mục tiêu:

Tính xác thực: xác thực bảo đảm rằng một tin nhắn xuất phát từ một nguồn đáng tin cậy và đi vào một điểm đến đáng tin cậy. Người sử dụng nhận dạng cung cấp cho người dùng một sự tự tin bên người sử dụng các thiết lập liên lạc với ai là người sử dụng nghĩ rằng bên là. VPN sử dụng các công nghệ đang làm cho uy tín của một số phương pháp để thiết lập bản sắc của đảng ở đầu kia của một mạng. Chúng bao gồm mật khẩu, giấy chứng nhận kỹ thuật số, thẻ thông minh, và sinh trắc học.

Bảo mật dữ liệu: Một trong những mối quan tâm an ninh truyền thống đang bảo vệ dữ liệu từ chuẩn khác. Như một tính năng thiết kế, bảo mật dữ liệu nhằm bảo vệ các nội dung tin nhắn không bị chặn bởi các nguồn không được thẩm định hoặc trái phép. VPN đạt được bí mật sử dụng cơ chế đóng gói và mã hóa

Toàn vẹn dữ liệu: Vì bạn không thể kiểm soát, nơi dữ liệu có đi du lịch và những người đã nhìn thấy hoặc xử lý dữ liệu bạn gửi hoặc nhận được trong khi hành trình dữ liệu trên Internet, luôn có khả năng rằng dữ liệu đã được sửa đổi. Đảm bảo tính toàn vẹn dữ liệu mà không giả mạo hoặc thay đổi xảy ra cho dữ liệu trong khi nó đi giữa nguồn và đích. VPNs thường sử dụng một trong ba công nghệ để đảm bảo toàn vẹn dữ liệu: một chiều hàm băm, tin nhắn mã xác thực (MAC), hoặc chữ ký số.

II.1.ENCAPSULATION: Kết hợp khả năng bảo mật dữ liệu thích hợp vào một VPN đảm bảo rằng chỉ có

các nguồn dự định và các điểm đến có khả năng thông dịch các tin nhắn nội dung ban đầu.Đóng gói là một trong những thành phần chính của mật mã.

Tunneling là truyền tải dữ liệu thông qua một mạng công cộng để các nút định tuyến trong mạng công cộng là không biết rằng truyền là một phần của một mạng riêng. Tunneling cho phép sử dụng mạng công cộng (ví dụ, mạng Internet) để mang dữ SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

9

VPN , QoS trên Router Cisco

liệu trên danh nghĩa của người sử dụng như là mặc dù người dùng đã truy cập vào một mạng riêng.

Tunneling là quá trình đặt toàn bộ gói trong gói tin khác và gửi composite, gói dữ liệu mới qua mạng. Trong hình, nguồn gói bên ngoài và điểm đến địa chỉ được phân công giao diện đường hầm "và thể định tuyến chung trên mạng. Khi một gói tin composite đạt tới điểm đến giao diện đường hầm, các gói dữ liệu bên trong được chiết xuất.

Hình 1.6. Sự phân công giao diện đường hầm

Nhà cung cấp giao thức: Các giao thức thông tin là di chuyển hơn. Giao thức đóng gói: Các giao thức (GRE, IPsec, L2F, PPTP, L2TP) được bọc xung quanh các dữ liệu ban đầu. Không phải tất cả các giao thức cung cấp cùng một mức độ an ninh.

Vận tải tâp tin giao thức: Các dữ liệu gốc (IPX, AppleTalk, IPv4, IPv6).PPP mang thông điệp đến thiết bị VPN mà sau đó tin nhắn được gói gọn trong một đóng gói định tuyến chung (GRE) gói tin.

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

10

VPN , QoS trên Router Cisco

Hình 1.7. Đường đi của một tập tin qua mạng Iternet kết nối VPN

Đường hầm giao thức khác nhau về các tính năng mà họ hỗ trợ, những vấn đề mà họ nhằm mục đích để giải quyết, và số lượng an ninh mà họ cung cấp cho các dữ liệu mà họ vận chuyển. Khóa học này tập trung vào việc sử dụng IPsec và IPsec với GRE.

Khi được sử dụng một mình, IPsec cung cấp một đàn hồi, mạng riêng cho IP chỉ unicast. IPsec sử dụng kết hợp với GRE khi hỗ trợ cho IP multicast, năng động, giao thức định tuyến IGP, hoặc giao thức IP không được yêu cầu. Hình  cho thấy một ví dụ về an toàn truy cập từ xa VPN.

Hình 1.8. Mô hình truy cập an toàn từ xa của VPN

IPsec có hai chế độ mã hóa:

Tunnel Mode

Transport Mode Hình thức Tunnel

mã hóa tiêu đề và tải trọng của mỗi gói tin trong khi chế độ vận chuyển chỉ mã hóa tải trọng. Chỉ có hệ thống được tuân thủ IPsec có thể tận dụng chế độ vận chuyển. Ngoài ra, tất cả các thiết bị phải sử dụng một khóa chung và các tường lửa của mỗi mạng phải được thiết lập với các chính sách an ninh tương tự như rất. IPsec có thể mã hóa dữ liệu giữa các thiết bị khác nhau, bao gồm router với router, firewall với router, PC với router, và máy tính đến máy chủ.

GRE bao quanh header IP và tải trọng của các gói dữ liệu đóng gói với một tiêu đề GRE sử dụng. Network thiết kế phương pháp đóng gói để ẩn IP header của gói dữ liệu như một phần của gói gọn trọng tải-GRE. Bằng cách ẩn thông tin, các nhà thiết kế riêng biệt, hoặc "đường hầm", dữ liệu từ một mạng khác mà không làm thay đổi mạng lưới cơ sở hạ tầng thông thường nằm bên dưới.

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

11

VPN , QoS trên Router Cisco

Tunneling trong Site-to-Site VPN :

Trong một-to-site VPN trang web, GRE cung cấp khuôn khổ cho bao bì giao thức hành khách để vận chuyển qua giao thức vận chuyển (thường là IP-based). vận chuyển này bao gồm thông tin về loại gói tin được đóng gói và thông tin về kết nối giữa máy chủ và khách.

Site-to-site VPN cũng có thể dùng IPsec trong chế độ đường hầm là giao thức đóng gói. IPsec hoạt động tốt trên cả hai truy cập từ xa và trang web-to-site VPN. Để sử dụng IPsec, cả hai giao diện đường hầm phải hỗ trợ IPsec.

Tunneling: Remote-Access:

Trong một mạng VPN truy cập từ xa, đường hầm thường được sử dụng giao thức PPP và liên kết. Khi giao tiếp được thiết lập qua mạng giữa các máy chủ và hệ thống truy cập từ xa, PPP là giao thức tàu sân bay.Truy cập từ xa VPN cũng có thể sử dụng các giao thức được liệt kê dưới đây. Mỗi giao thức sử dụng các cấu trúc cơ bản của PPP:

Layer 2 Forwarding (L2F): phát triển bởi Cisco Systems, L2F sử dụng bất kỳ chương trình xác thực được hỗ trợ bởi PPP. Tuy nhiên, L2F không hỗ trợ mã hóa.

Point-to-Point Tunneling Protocol (PPTP): Diễn đàn PPTP, một tập đoàn bao gồm US Robotics, Microsoft, 3Com, Ascend, và ECI chính, Viễn thông, tạo PPTP. PPTP hỗ trợ 40-bit và mã hóa 128-bit và sử dụng bất kỳ chương trình xác thực được hỗ trợ bởi PPP.

Layer 2 Tunneling Protocol (L2TP): L2TP là sản phẩm của sự hợp tác giữa các thành viên của Diễn đàn PPTP, Cisco Systems, và Internet Engineering Task Force (IETF). Nó là sự kết hợp của PPTP và L2F giao thức. Cả hai-to-site VPN trang web và truy cập từ xa VPN có thể sử dụng L2TP là một giao thức đường hầm. Tuy nhiên, do sự thiếu bảo mật cố hữu trong giao thức L2TP, nó thường được thực hiện cùng với IPsec và được gọi là L2TP/IPSec. Một phiên bản mới của giao thức được phát hành vào năm 2005 và được gọi là L2TPv3.

II.2.ENCRYPTION:

Mật mã là quá trình lấy tất cả các dữ liệu mà một máy tính được đưa vào một máy tính khác và mã hóa các dữ liệu vào một biểu mẫu rằng chỉ có máy tính đích dự định sẽ có thể giải mã.

Các phương pháp chính của mã hóa là đối xứng-key (hoặc bí mật quan trọng) và mã hóa bất đối xứng (hay khóa công khai) mã hóa.

Thuật toán mã hóa đối xứng: mã hóa khóa đối xứng, còn gọi là bí mật khoá

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

12

VPN , QoS trên Router Cisco

mật mã, các kĩ thuật khi mà máy tính sử dụng để mã hóa thông tin trước khi thông tin được gửi qua mạng tới một máy tính khác mã hóa khóa đối xứng. yêu cầu một người nào đó biết được máy tính sẽ được nói chuyện với nhau để người có thể cấu hình cho các phím trên mỗi máy tính. Symmetric-key mã hóa là một mã bí mật, hoặc quan trọng, rằng mỗi của hai máy tính phải biết để giải mã thông tin.

Ví dụ, người gửi sẽ tạo ra một thông điệp được mã hoá để gửi cho một người nhận bức thư trong đó mỗi tin nhắn được thay thế bằng chữ đó là hai chữ xuống từ ban đầu trong bảng chữ cái, "A" trở thành "C", và "B" trở thành "D." Trong trường hợp này, những bí mật từ, trở thành UGETGV. Người gửi đã nói với người nhận rằng chìa khóa bí mật là "Shift bởi 2." Khi người nhận nhận được thông báo 'UGETGV', các giải mã máy tính người nhận tin nhắn bằng cách dịch chuyển trở lại và tính toán hai 'bí mật'. Bất cứ ai nhìn thấy tin nhắn chỉ thấy tin nhắn được mã hóa, mà hình như vô nghĩa trừ khi người đó biết khóa bí mật. Hạn chế của-khoá mật mã đối xứng là nó liên quan đến việc trao đổi khóa bí mật trên Internet rất không an toàn

Hình 1.9.Thuật toán mã hóa đối xứng

Bất đối xứng Mật mã: giới thiệu vào năm 1976, mã hóa bất đối xứng sử dụng các phím khác nhau để mã hóa và giải mã. Biết một trong các phím không cho phép một hacker để suy ra chìa khóa thứ hai và giải mã thông tin. Một trong những chìa khóa mã hóa tin nhắn, trong khi một chìa khóa giải mã thông điệp thứ hai. Nó không thể mã hóa và giải mã với cùng một phím. Công khoá mật mã sử dụng một sự kết hợp của một khóa riêng và khóa công khai một. Chỉ có người gửi biết khoá riêng. Người gửi cho một khóa công khai đến người nhận nào mà người gửi với người mà ông muốn giao tiếp. Để giải mã một thông điệp được mã hóa, người nhận phải sử dụng khóa công khai, cung cấp bởi người gửi có nguồn gốc, và người nhận riêng của khóa riêng.

Ví dụ của một hộp thư đã bị khóa với một khe mail giúp giải thích mã hóa khóa công cộng. Một khe mail tiếp xúc và dễ tiếp cận cho công chúng. Các địa chỉ đường phố của khe mail đại diện cho các khóa công khai. Bất cứ ai biết địa chỉ đường phố có thể vào địa chỉ và đặt một tin nhắn thông qua khe. Tuy nhiên, chỉ có người có chìa khóa để các khe mail (của tư nhân khoá mật mã bất đối xứng) có thể mở hộp thư và đọc tin nhắn.

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

13

VPN , QoS trên Router Cisco

Hình 1.10. Thuật toán bất đối xứng mật mã

II.2.1.Thuật toán mã hóa đồng bộ:

Key thuật toán đối xứng có thể được chia thành các thuật toán mã hóa dòng và mật mã khối. Dòng mật mã mã hóa các bit của thông điệp một lần, và mật mã khối có một số bit và mã hóa chúng như một đơn vị duy nhất. Một mã hóa khối hoạt động trên các nhóm có độ dài cố định của các bit, được gọi là khối, với một sự chuyển đổi unvarying.

Khi mã hóa, một thuật toán mã hóa khối có thể kéo dài, ví dụ, một khối 128-bit của bản rõ như đầu vào, và sản lượng một chút tương ứng 128-block của bản mã. Việc chuyển đổi chính xác được kiểm soát bằng cách sử dụng một đầu vào thứ hai chìa khóa bí mật. Giải mã cũng tương tự như: các thuật toán giải mã mất, trong ví dụ này, một khối 128-bit của bản mã cùng với khóa bí mật, và sản lượng khối 128-bit ban đầu của chữ thô. Mặt khác, thuật toán mã hóa dòng chữ số cá nhân hoạt động trên cùng một lúc và chuyển đổi các thay đổi trong quá trình mã hóa.

Hình 1.11. Quá trình giải mã của một khối

Symmetric Encryption: DES 

DES là một thuật toán mã hóa đã được chọn là một quan chức Tiêu chuẩn xử lý thông tin Liên bang (FIPS) cho Hoa Kỳ năm 1976. Vì lý do này, DES đã trở thành triển khai thực hiện rộng rãi quốc tế. Các thuật toán ban đầu gây tranh cãi, với các thành phần phân loại và một độ dài khóa tương đối ngắn. DES do đó đã bị giám sát học tập căng thẳng và thúc đẩy sự hiểu biết hiện đại về mật mã khối và thám mã của họ.

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

14

VPN , QoS trên Router Cisco

Một số tài liệu đề cập đến DES là thuật toán mã hóa dữ liệu (DEA).DES là một thuật toán mã hóa khối mã hóa. Các thuật toán DES có độ dài một chuỗi cố định của các bit thô và biến đổi nó thông qua một loạt các hoạt động phức tạp vào một bitstring mã có độ dài tương tự và trả về mã hóa khối có cùng kích thước. Cho rằng bạn có 64 bit, bạn có 2 ^ 64 kết hợp có thể.

DES chỉ đơn giản là sắp xếp lại các bit vào các kết hợp nào cần các thủ tục ngược lại để giải mã những chữ thô.DES sử dụng một chìa khóa để tùy chỉnh sự chuyển đổi, để giải mã chỉ có thể được thực hiện bởi những người biết chính cụ thể được sử dụng để mã hóa. Điều quan trọng bề ngoài là bao gồm 64 bit, tuy nhiên, chỉ có 56 trong số này thực sự được sử dụng bởi thuật toán. Tám bit được sử dụng chỉ duy nhất để kiểm tra tính chẵn lẻ, và sau đó bỏ đi. Do đó độ dài của khóa là 56 bit, và nó thường được trích dẫn như vậy.

DES là bây giờ được coi là không an toàn cho nhiều ứng dụng, chủ yếu là do kích thước 56 bit chính-DES được các phím quá nhỏ. DES đã bị phá vỡ trong vòng 24 giờ. Ngoài ra còn có một số kết quả phân tích để chứng minh những điểm yếu trong lý thuyết mật mã này. Thuật toán được cho là an toàn trong các hình thức Triple DES (3DES), mặc dù có lý thuyết rằng các cuộc tấn công phá vỡ 3DES. Trong những năm gần đây, các thuật toán mã hóa đã được thay thế bởi AES.

Mã hóa đối xứng: 3DES 

3DES, hoặc Triple DES, là một thuật toán mã hóa khối được hình thành từ các thuật toán mã hóa DES. 3DES được phát triển bởi Walter Tuchman (lãnh đạo của nhóm phát triển DES tại IBM) vào năm 1978 và được quy định trong FIPS PUB 46-3;. Có nhiều cách để sử dụng DES ba lần không phải tất cả những cách là 3DES và không phải tất cả những cách như an toàn là 3DES.3DES được định nghĩa là thực hiện một mã hóa DES, sau đó một giải mã DES, và sau đó một mã hóa DES một lần nữa. Trong quá trình tiến hóa từ DES để 3DES, việc bỏ qua các bước rõ ràng giữa đôi DES cần phải được giải thích.2DES được kết xuất không hiệu quả do một loại tấn công được gọi là-in-the-tấn công trung đáp ứng. The-in-the-tấn công trung đáp ứng là một tìm kiếm sức mạnh vũ phu được thực hiện từ cả hai đầu của khóa 2DES.

Các hoạt động đầu tiên mã hóa văn bản gốc với tất cả các phím DES có thể, và giải mã thứ hai văn bản mật mã sản phẩm với tất cả các phím DES có thể trong khi tìm kiếm trận. Khi kết hợp được tìm thấy, kẻ tấn công có cả phím trong Double DES. Để vượt qua cuộc tấn công này, một DES thứ ba hoạt động đã được bổ sung. Vì vậy, trong khi 3DES có chiều dài chính của 168 bit (ba 56-bit DES phím), chiều dài của nó chính hiệu quả từ một điểm bảo mật của xem là chỉ 112 bit

Symmetric Encryption: AES 

AES, thường được gọi là mã hóa Rijndael (phát âm là "Rhine dahl") là một thuật toán mã hóa khối được chấp nhận như một tiêu chuẩn mã hóa bởi chính phủ Hoa Kỳ. AES dự kiến sẽ được sử dụng rộng rãi trên toàn thế giới và phân tích, như là trường hợp với "người tiền nhiệm của AES, DES. Cũng như, AES là an toàn hơn và nhanh SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

15

VPN , QoS trên Router Cisco

hơn 3DES.thuật toán mã hóa được phát triển bởi hai nhà mật mã học người Bỉ, Joan Daemen và Vincent Rijmen, và nộp cho quá trình lựa chọn AES dưới tên "Rijndael kích cỡ." AES không phải là chính xác giống như bản gốc các Rijndael vì Rijndael hỗ trợ lớn hơn nhiều khối và chính . AES có kích thước khối không đổi của 128 bit và phím kích thước một của 128, 192, hay 256 bit, trong khi Rijndael có thể được chỉ định với các phím và kích thước khối trong bất kỳ bội số của 32 bit, với tối thiểu là 128 bit và tối đa là 256 bit.

II.2.2.Thuật toán mã hóa bất đồng bộ:

Hai thuật toán bất đối xứng được sử dụng để IPsec là Diffie-Hellman (DH) và RSA. Thiết bị Cisco sử dụng RSA và Diffie-Hellman mỗi khi một đường hầm IPsec mới được thành lập. RSA xác nhận thiết bị từ xa trong khi Diffie-Hellman trao đổi các phím được sử dụng cho mã hóa . Các Hiệp hội Internet Security (ISA) thực hiện những giao thức này trong phần cứng chuyên biệt để đảm bảo thiết lập đường hầm nhanh và mã hóa thông qua tổng thể cao.RSA (đặt tên theo nhà thiết kế Rivest, Shamir, và Adelman) là một thuật toán mã hóa và khóa công khai là thuật toán đầu tiên được biết để phù hợp với ký cũng như mật mã. RSA là một trong những tiến bộ lớn đầu tiên trong mật mã khoá công khai.Mật mã hóa khóa công cộng là tính toán chuyên sâu. Để đạt được sự kết hợp tốt nhất về hiệu suất và tính năng, DH kết hợp mật mã hóa khóa công cộng với mật mã hóa khóa bí mật. Chìa khóa thỏa thuận DH được phát minh vào năm 1976 trong sự hợp tác giữa Whitfield Diffie và Martin Hellman và là người đầu tiên thực hiện phương pháp để thiết lập một bí mật chia sẻ qua một kênh thông tin liên lạc không được bảo vệ.

Hình 1.12. Mã hóa đối xứng 3DES

Các DH thuật toán khóa công khai nói rằng nếu người dùng A và B trao đổi khóa công cộng của người dùng và tính toán được thực hiện trên tin trọng điểm cá nhân của họ và trên các khóa công khai của các peer khác, kết quả cuối cùng của quá trình này là một trọng điểm được chia sẻ giống hệt nhau. Các phím được chia sẻ được sử dụng để mã hóa và giải mã dữ liệu

An ninh không phải là một vấn đề với việc trao đổi chính DH. Mặc dù ai đó có thể biết khóa công khai của người sử dụng, những bí mật được chia sẻ không thể được tạo ra bởi vì không bao giờ trở thành khóa riêng nào kiến thức.Với Diffie-Hellman, mỗi peer và tư nhân tạo ra một cặp khóa công cộng. Chìa khóa tư nhân được tạo bởi peer từng được giữ bí mật và không bao giờ chia sẻ. Các khoá công khai được tính từ khóa riêng của từng peer và được trao đổi trên kênh không an toàn. Mỗi peer kết hợp khoá công khai của các peer khác với khóa riêng của mình và tính bí mật được chia sẻ SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

16

VPN , QoS trên Router Cisco

cùng một số. Các số bí mật được chia sẻ là sau đó chuyển đổi thành một khóa bí mật được chia sẻ. Bí mật chính là không bao giờ chia sẻ trao đổi trên kênh không an toàn.

Hình 1.13. Diffie-Hellman Key Exchange

II.2.3.Tính bảo toàn dữ liệu

Đảm bảo tính toàn vẹn dữ liệu mà không giả mạo hoặc thay đổi xảy ra với dữ liệu giữa các dữ liệu của nguồn và đích.VPNs thường sử dụng một trong ba công nghệ để đảm bảo tính toàn vẹn:

Một chiều hash chức năng: Một hàm băm tạo ra một chiều dài cố định Giá trị sản xuất dựa trên một chiều dài đầu vào tập tin tùy ý. Ý tưởng là nó rất dễ dàng để tính giá trị hash của một tập tin nhưng toán học rất khó để tạo ra một tập tin đó sẽ băm để giá trị đó. Để xác nhận tính toàn vẹn của một tập tin, người nhận một phép tính giá trị hash của một tập tin nhận được và so sánh giá trị tính toán với giá trị băm được gửi bởi người gửi. Vì vậy, người nhận có thể yên tâm rằng người gửi có tập tin tại thời điểm người nhận ra giá trị băm. Ví dụ về các thuật toán băm được MD5, Secure Hash Algorithm 1 (SHA-1), và RIPE-MD-160. Thông báo-mã xác thực (Mac): Mac thêm một chìa khóa để hash chức năng. người gửi A tạo ra một tập tin, tính toán một MAC dựa trên một khóa chia sẻ với người nhận, và sau đó gắn thêm các MAC vào tập tin. Khi người nhận nhận được các tập tin, người nhận tính toán một MAC mới và so sánh nó với MAC nối.

Chữ ký kỹ thuật số: Một chữ ký số công cộng chủ yếu là chìa khóa mật mã học trong đảo ngược. Một người gửi kỹ thuật số "dấu hiệu" một tài liệu với khóa riêng của người gửi và người nhận có thể xác minh chữ ký bằng cách sử dụng khoá công khai của người gửi. Một chữ ký kỹ thuật số cũng tương tự như một con dấu sáp ngày một lá thư. Bất cứ ai cũng có thể mở và đọc các bức thư, nhưng các con dấu xác nhận sáp người gửi.

II.2.4.Chứng Thực SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

17

VPN , QoS trên Router Cisco

Các phương pháp chứng thực:

Tên đăng nhập và mật khẩu: Sử dụng định sẵn tên người dùng và mật khẩu cho người dùng khác nhau hoặc các hệ thống

Một Thời gian Password (OTP) (Pin / Tân): Một phương pháp xác thực mạnh hơn so với tên người dùng và mật khẩu, phương pháp này sử dụng mật khẩu mới được tạo ra cho mỗi chứng thực

Sinh trắc học: Sinh trắc học thường đề cập đến công nghệ được sử dụng để đo lường và phân tích các đặc điểm cơ thể con người như dấu vân tay, võng mạc mắt và irises, mô hình giọng nói, mô hình mặt, tay và đo lường, đặc biệt là cho các mục đích xác thực.

Trước khi chia sẻ phím: phương pháp này sử dụng một chìa khóa bí mật có giá trị, cách thủ công được nhập vào mỗi peer, và sau đó được sử dụng để xác thực các bạn đồng trang lứa.

Giấy chứng nhận kỹ thuật số: Sử dụng việc trao đổi giấy chứng nhận kỹ thuật số để xác thực các bạn đồng trang lứa.

Hình 1.14. Chứng thực an ninh VPN

Peer authentication methods: + Username and PassWord

+ OTP(Pin/Tan)

+ Biometric

+ Preshared Keys

+ Digital certificates

III. Tìm Hiểu Về Giao Thức IPSec: IPsec cung cấp một cơ chế để truyền dữ liệu an toàn qua mạng IP, đảm bảo giữ bí

mật, toàn vẹn, và tính xác thực của thông tin liên lạc dữ liệu trên mạng không được bảo vệ như Internet. IPsec bao gồm một bộ các giao thức và không ràng buộc với bất kỳ mã hóa cụ thể, chứng thực các thuật toán, kỹ thuật sinh khóa, hoặc hiệp hội bảo mật (SA). IPsec cung cấp các quy tắc trong khi các thuật toán mã hóa hiện tại cung cấp, SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

18

VPN , QoS trên Router Cisco

chứng thực, quản lý chủ chốt, và như vậy.IPsec hành vi tại tầng mạng, bảo vệ và xác nhận các gói tin IP giữa các thiết bị IPsec (đồng nghiệp), chẳng hạn như Cisco PIX Firewalls, Adaptive Security Apliances (ASA), Cisco router, Cisco Secure VPN Client, và các sản phẩm tương thích IPsec khác.IPsec là một Internet Engineering Task Force (IETF) tiêu chuẩn (RFC 2401-2412) định nghĩa như thế nào một VPN có thể được tạo qua mạng IP. IPsec cung cấp các chức năng an ninh thiết yếu sau:

Dữ liệu bảo mật: IPsec bảo đảm bí mật bằng cách sử dụng mật mã. Mã hóa dữ liệu ngăn chặn các bên thứ ba từ việc đọc dữ liệu, đặc biệt là dữ liệu được truyền qua mạng công cộng hoặc mạng không dây. Người gửi có thể mã hóa IPsec gói trước khi truyền các gói tin trên mạng và ngăn chặn bất cứ ai không nghe hoặc xem các thông tin liên lạc (nghe trộm). Nếu chặn, dữ liệu không thể được giải mã. Mã hóa được cung cấp bằng cách sử dụng thuật toán mã hóa bao gồm DES, 3DES và AES.

Toàn vẹn dữ liệu: IPsec đảm bảo rằng dữ liệu đến không thay đổi tại điểm đến; có nghĩa là, dữ liệu đó không phải là thao tác tại bất kỳ điểm dọc theo con đường truyền thông. IPsec đảm bảo toàn vẹn dữ liệu bằng cách sử dụng băm. băm là một kiểm tra dự phòng đơn giản. Giao thức IPsec cho biết thêm lên những thành phần cơ bản của tin nhắn (thường là số byte) và cửa hàng tổng giá trị. IPsec thực hiện một hoạt động tổng kiểm tra trên dữ liệu nhận được và so sánh kết quả với checksum thực. Nếu số tiền phù hợp, dữ liệu được coi là không thao tác. toàn vẹn dữ liệu được cung cấp thông qua các Hash Message Authentication dựa trên Mã (HMAC) chức năng. Hỗ trợ các chức năng bao gồm HMAC Message Digest 5 (MD5) và Secure Hash Algorithm 1 (SHA-1).

Dữ liệu xác thực nguồn gốc: thu IPsec có thể xác thực nguồn gốc của các gói IPsec. Xác thực bảo đảm rằng các kết nối được thực sự thực hiện với đối tác truyền thông mong muốn. IPsec xác thực người dùng (người) và các thiết bị có thể thực hiện truyền thông độc lập. Chất lượng của chứng thực nguồn gốc dữ liệu phụ thuộc vào các dịch vụ toàn vẹn dữ liệu được cung cấp.

Anti-replay: Anti-replay bảo vệ xác minh rằng mỗi gói dữ liệu là duy nhất, không trùng lặp. gói IPsec được bảo vệ bằng cách so sánh các số thứ tự của các gói tin nhận được và trượt một cửa sổ trên máy chủ đích, hoặc cổng an ninh. Một gói có số thứ tự là trước khi cửa sổ trượt được coi là muộn, hoặc là một bản sao. Hậu và bản sao các gói tin bị bỏ rơi.

Các tiêu chuẩn IPsec cung cấp một phương pháp để quản lý xác thực và bảo vệ dữ liệu giữa nhiều đồng nghiệp tham gia vào chuyển dữ liệu an toàn. IPsec bao gồm một giao thức cho các phím trao đổi được gọi là Internet Key Exchange (IKE) và hai giao thức IP IPsec, Encapsulating Security Payload (ESP) và Authentication Header (AH).

Trong thuật ngữ đơn giản, IPsec cung cấp các đường hầm an toàn giữa hai Peer , chẳng hạn như hai thiết bị định tuyến. người gửi gói tin xác định những gì cần bảo vệ và sẽ được gửi thông qua các đường hầm an toàn và sau đó xác định các thông số cần thiết để bảo vệ các gói tin nhạy cảm bằng cách xác định các đặc tính của các đường hầm. Sau đó, khi các peer IPsec thấy như một gói tin nhạy cảm, các peer IPsec thiết lập các đường hầm an toàn thích hợp và gửi gói tin thông qua các đường hầm tới các peer từ xa.

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

19

VPN , QoS trên Router Cisco

Chính xác hơn, những đường hầm là các thỏa hiệp an ninh (SA) s). thiết lập giữa hai IPsec Peer từ xa. Các thỏa hiệp an ninh xác định mà các giao thức và các thuật toán nên được áp dụng cho các gói tin nhạy cảm và xác định vật liệu keying sẽ được sử dụng do hai đồng nghiệp. Thỏa hiệp an ninh mang tính một chiều và được thành lập bởi các giao thức bảo mật đang được sử dụng (AH hoặc ESP).

Hình 1.15.Các tính năng an ninh của Ipse

IPsec sử dụng ba giao thức chính để tạo ra một khuôn khổ an ninh:

IKE: Cung cấp một khuôn khổ cho việc đàm phán của các thông số thiết lập bảo mật và chứng thực các phím. IPsec sử dụng thuật toán mã hóa đối xứng để bảo vệ dữ liệu, đó là hiệu quả hơn và dễ dàng hơn để thực hiện trong phần cứng hơn các loại khác của các thuật toán. Các thuật toán này cần có một phương pháp an toàn của các trao đổi quan trọng để đảm bảo bảo vệ dữ liệu. Các giao thức IKE cung cấp khả năng để trao đổi khóa an toàn.

AH: Các IP Authentication Header (AH) cung cấp tính toàn vẹn và xác thực nguồn gốc không kết nối dữ liệu cho các IP datagrams và bảo vệ chống lại các tùy chọn replay. AH được nhúng vào trong các dữ liệu cần được bảo vệ. ESP đã thay thế giao thức AH và AH không còn được sử dụng thường xuyên trong IPsec.

ESP: Encapsulating Security Payload (ESP) cung cấp một khuôn khổ cho việc mã hoá, xác thực, và dữ liệu bảo đảm. ESP cung cấp dịch vụ bảo mật dữ liệu, chứng thực dữ liệu tùy chọn, và chống lại các dịch vụ. ESP đóng gói dữ liệu cần bảo vệ. Hầu hết các triển khai IPsec sử dụng giao thức ESP.

IPsec Headers 

IPsec cung cấp xác thực, tính toàn vẹn, và mã hóa thông qua chèn của một hoặc cả hai tiêu đề cụ thể, AH hoặc ESP, vào IP datagram.AH cung cấp chứng thực và kiểm tra tính toàn vẹn trên IP datagram. Xác thực thành công có nghĩa là các gói tin được, quả thật vậy, gửi của người gửi rõ ràng. Liêm có nghĩa là gói tin đã không được thay đổi trong quá trình vận chuyển.Các tiêu đề ESP cung cấp thông tin cho biết mật mã của các nội dung tải trọng datagram. Các tiêu đề ESP cũng cung cấp chứng thực và kiểm

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

20

VPN , QoS trên Router Cisco

tra tính toàn vẹn. AH và ESP được sử dụng giữa hai máy. Những máy trạm có thể được kết thúc hoặc cổng.

AH và ESP là giải pháp đòi hỏi phải có cách dựa trên các tiêu chuẩn để đảm bảo dữ liệu từ các sửa đổi và được đọc bởi một bên thứ ba. IPsec có một sự lựa chọn của encryptions khác nhau (Data Encryption Standard [DES], Triple Data Encryption Standard [3DES], và Advanced Encryption Standard [AES]) để người dùng có thể lựa chọn sức mạnh của bảo vệ dữ liệu của họ.IPsec cũng có một số phương pháp băm để lựa chọn (Hash Message Authentication dựa trên Mã [HMAC], Message Digest 5 [MD5], và Secure Hash Algorithm 1 [SHA-1]), mỗi cấp độ khác nhau cho bảo vệ.

Hình 1.16. IPsec Headers

III.1. IKE Protocol

Để thực hiện một giải pháp VPN với mã hoá, nó là cần thiết để periodicaly thay đổi các phím mã hóa. Không thay đổi các phím này làm cho mạng dễ bị tấn công brute-lực lượng. IPsec giải quyết vấn đề của suseptability với Internet Key Exchange (IKE) giao thức, trong đó sử dụng hai giao thức khác để xác thực một đồng đẳng và tạo ra các phím. Các giao thức IKE sử dụng chìa khóa trao đổi DH sinh các khóa đối xứng được sử dụng bởi hai đồng nghiệp IPsec. IKE cũng quản lý việc đàm phán của các thông số an ninh khác, chẳng hạn như dữ liệu được bảo vệ, sức mạnh của các phím, phương pháp băm được sử dụng, và liệu các gói tin được bảo vệ từ replay. IKE sử dụng UDP port 500. IKE thương lượng một hiệp hội bảo mật (SA), là một thỏa thuận giữa hai đồng nghiệp tham gia vào một cuộc trao đổi IPsec, và bao gồm tất cả các tham số được yêu cầu để thiết lập truyền thông thành công.

Internet Security Association và Key Management Protocol (ISAKMP): ISAKMP là một khung giao thức định nghĩa cơ chế thực hiện một giao thức trao đổi khóa và đàm phán một chính sách an ninh. ISAKMP có thể được thực hiện trong bất kỳ giao thức vận tải. Các tài liệu tham khảo cho ISAKMP là RFC 2408.

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

21

VPN , QoS trên Router Cisco

SKEME: Một giao thức trao đổi chính định nghĩa làm thế nào để lấy được chứng thực keying vật chất với những đồ uống quan trọng nhanh chóng.

Oakley: Một giao thức trao đổi chính định nghĩa làm thế nào để có được chứng thực keying vật chất. Cơ chế cơ bản đối với Oakley là DH thuật toán trao đổi khoá. Các tài liệu tham khảo là RFC 2412: Các Oakley Key Xác định Nghị định thư.

IKE được thực hiện trong hai giai đoạn để thành lập một kênh giao tiếp an toàn giữa hai đồng nghiệp: 

IKE Giai đoạn 1: Giai đoạn 1 là việc đàm phán ban đầu của SAS giữa hai đồng nghiệp IPsec. Tùy chọn, giai đoạn 1 cũng có thể bao gồm xác thực, trong đó mỗi peer có thể xác minh căn cước của người kia. Này cuộc đối thoại giữa hai đồng nghiệp IPsec có thể bị áp dụng nghe trộm mà không có tổn thương đáng kể của các phím được phát hiện bởi các bên thứ ba. Giai đoạn 1 SAS là hai hướng; dữ liệu có thể được gửi và nhận được bằng cách sử dụng phím vật liệu tương tự được tạo ra. IKE Giai đoạn 1 diễn ra trong hai chế độ: chế độ chính hoặc chế độ hung hăng. Các chế độ này được giải thích trong đoạn văn sau đây.

IKE Giai đoạn 1,5 (tùy chọn): Để thêm người tham gia xác thực VPN (khách hàng), bạn có thể sử dụng một giao thức gọi là Extended Authentication (Xauth) cung cấp xác thực người dùng của các đường hầm IPsec trong giao thức IKE. Ngoài ra, bạn có thể trao đổi các thông số khác giữa các đồng nghiệp. Chế độ cấu hình được sử dụng để cung cấp các thông số như địa chỉ IP và Domain Name System (DNS) địa chỉ cho khách hàng.

IKE Giai đoạn 2: Giai đoạn 2 SAS được đàm phán bởi quá trình IKE (ISAKMP) thay mặt cho các dịch vụ khác như IPsec cần nguyên liệu chính cho hoạt động. Do SAS được sử dụng bởi IPsec là unidirectional, chìa khóa trao đổi riêng biệt là cần thiết cho dữ liệu được chảy theo hướng chuyển tiếp và đảo ngược hướng. Hai đồng nghiệp đã thoả thuận về biến đổi bộ, phương pháp băm, và các thông số khác trong các giai đoạn 1 đàm phán. Hình thức nhanh là phương pháp được sử dụng cho giai đoạn 2 cuộc đàm phán SA.

Để thiết lập một kênh giao tiếp an toàn giữa hai đồng nghiệp, giao thức IKE sử dụng ba phương thức hoạt động: 

Main Mode: 

Main mode xác nhận và bảo vệ tính đồng nhất của các bên có liên quan trong qua trình giao dịch. Trong chế độ này, 6 thông điệp được trao đổi giữa các điểm:

2 thông điệp đầu tiên dùng để thỏa thuận chính sách bảo mật cho sự thayđổi.

2 thông điệp kế tiếp phục vụ để thay đổi các khóa Diffie- SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

22

VPN , QoS trên Router Cisco

Hellman và nonces. Những khóa sau này thực hiện một vai tro quan trọng trong cơ chế mã hóa.

Hai thông điệp cuối cùng của chế độ này dùng để xác nhận các bên giao dịch với sự giúp đỡ của chữ ký, các hàm băm, và tuỳ chọn với chứng nhận.

Aggressive Mode:

- Aggressive mode về bản chất giống Main mode. Chỉ khác nhau thay vì main mode có 6 thông điệp thì chết độ này chỉ có 3 thông điệp được trao đổi. Do đó, Aggressive mode nhanh hơn mai mode. Các thông điệp đó bao gồm :

• Thông điệp đầu tiên dùng để đưa ra chính sách bảo mật, pass data cho khóa chính, và trao đổi nonces cho việc ký và xác minh tiếp theo.

• Thông điệp kế tiếp hồi đáp lại cho thông tin đầu tiên. Nó xác thực người nhận và hoàn thành chính sách bảo mật bằng các khóa.

• Thông điệp cuối cùng dùng để xác nhận người gửi (hoặc bộ khởi tạo của phiên làm việc).

Quick Mode:

- Chế độ thứ ba của IKE, Quick mode, là chế độ trong giai đoạn II. Nó dùng để thỏa thuận SA cho các dịch vụ bảo mật IPSec. Ngoài ra, Quick mode cũng có thể phát sinh khóa chính mới. Nếu chính sách của Perfect Forward Secrecy (PFS) được thỏa thuận trong giai đoạn I, một sự thay đổi hoàn toàn Diffie-Hellman key được khởi tạo. Mặt khác, khóa mới được phát sinh bằng các giá trị băm.

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

23

VPN , QoS trên Router Cisco

Hình 1.17. Mô hình thiết lập kênh giao thức an toàn

III.2. AH & ESP Protocol

ESP: Các tiêu đề ESP (giao thức IP 50) hình thức cốt lõi của giao thức IPsec. Giao thức này, kết hợp với một phương pháp mã hóa-đồng ý hoặc chuyển đổi khi thiết lập, bảo vệ dữ liệu bằng cách dựng hình dữ liệu không đọc được. giao thức này chỉ bảo vệ phần dữ liệu của gói tin. Giao thức này có thể tùy chọn cũng cung cấp cho xác thực của dữ liệu được bảo vệ.

AH: Các phần khác của IPsec được hình thành bởi các giao thức AH (giao thức IP 51). Các AH không bảo vệ dữ liệu theo nghĩa thông thường bằng cách ẩn các dữ liệu nhưng bằng cách thêm một con dấu giả mạo hiển nhiên cho dữ liệu. Giao thức này cũng bảo vệ các trường trong header IP mang dữ liệu, bao gồm các lĩnh vực địa chỉ của header IP. Giao thức AH không nên sử dụng một mình khi được yêu cầu bảo mật dữ liệu.

Ipsec có hai phương pháp để chuyển tiếp dữ liệu trên mạng, là chế độ tunnel và chế độ transport :

Chế Độ Tunnel: Tunnel thức hoạt động bằng cách đóng gói và bảo vệ toàn bộ một gói IP. Bởi vì hầm thức đóng gói hoặc ẩn IP header của gói tin, một tiêu đề IP mới phải được thêm vào cho gói dữ liệu để được thành công chuyển tiếp. Các thiết bị mã hóa tự của riêng các địa chỉ IP được sử dụng trong tiêu đề mới này. Các địa chỉ này có thể được quy định trong cấu hình của router Cisco IOS.

Chế Độ Transport: Bởi vì gói tin mở rộng có thể là một mối quan tâm trong thời gian chuyển tiếp các gói tin nhỏ, một phương pháp chuyển tiếp thứ hai là cũng có thể. Hình thức vận chuyển IPsec hoạt động bằng cách chèn các header ESP giữa header IP và giao thức kế tiếp hoặc lớp Giao thông vận tải của gói tin. Cả hai địa chỉ IP của các nút mạng hai có lưu lượng truy cập đang được bảo vệ bằng IPsec có thể nhìn thấy. Hình thức này của IPsec đôi khi có thể dễ bị phân tích lưu lượng. Tuy nhiên, vì không có IP header bổ sung thêm, kết quả là mở rộng gói ít hơn.

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

24

VPN , QoS trên Router Cisco

Hình 1.18. Ipsec chuyển tiếp dữ liệu trên mạng

ESP & AH Header

Bạn có thể đạt được chứng thực bằng cách áp dụng AH một hàm băm khóa một chiều để gói tin, tạo ra một hash hoặc tin nhắn tiêu hóa. hash được kết hợp với văn bản và sau đó lây truyền qua đường. Thay đổi trong bất kỳ một phần của gói xảy ra trong thời gian quá cảnh được phát hiện do người nhận khi người nhận thực hiện chức năng băm một chiều trên cùng một gói tin nhận được và so sánh giá trị của thư tiêu hóa mà người gửi đã cung cấp. Băm một chiều cũng liên quan đến việc sử dụng một chìa khóa đối xứng giữa hai hệ thống, có nghĩa là xác thực được bảo đảm. ESP cung cấp bảo mật bởi mã hóa các tải trọng. Các thuật toán mặc định cho Ipsec là 56-bit DES. Cisco sản phẩm cũng hỗ trợ việc sử dụng mã hóa mạnh mẽ hơn 3DES cho bản thân mình. ESP Các thuật toán mã hóa bởi không cung cấp chứng thực hoặc đảm bảo tính toàn vẹn dữ liệu. ESP mã hóa với một dịch vụ xác thực và toàn vẹn dữ liệu có thể đạt được theo hai cách.

Chứng thực các định dạng ESP.

ESP lồng nhau trong AH.

Với thực ESP, IPsec mã hóa tải trọng bằng cách sử dụng một chìa khóa đối xứng, sau đó tính toán một giá trị xác thực cho các dữ liệu mã hóa sử dụng một khóa đối xứng thứ hai và HMAC-SHA1 hoặc MD5 thuật toán HMAC. Các giá trị xác thực ESP được nối vào cuối của gói tin. người nhận giá trị của tính xác thực riêng của mình cho các dữ liệu được mã hóa bằng cách sử dụng chìa khóa đối xứng thứ hai và cùng một thuật toán. người nhận so sánh kết quả với giá trị xác thực truyền. Nếu các giá trị phù hợp, người nhận sau đó giải mã phần mật mã của gói với trọng đối xứng đầu tiên và chất chiết xuất từ dữ liệu gốc.Một gói ESP có thể được lồng nhau trong một gói tin AH. Trước tiên, tải trọng được mã hóa. Tiếp theo, các tải trọng được mã hóa được gửi thông qua một thuật toán hash: MD5 hoặc SHA-1. băm này cung cấp chứng thực nguồn gốc và sự toàn vẹn dữ liệu cho các trọng tải dữ liệu.

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

25

VPN , QoS trên Router Cisco

Hình 1.19.1. ESP lồng nhau trong AH

Một gói ESP có thể được lồng nhau trong một gói tin AH. Trước tiên, tải trọng được mã hóa.Tiếp theo, các tải trọng được mã hóa được gửi thông qua một thuật toán hash: MD5 hoặc SHA-1. băm này cung cấp chứng thực nguồn gốc và sự toàn vẹn dữ liệu cho các trọng tải dữ liệu.

Hình 1.19.2. ESP lồng nhau trong AH

AH authentication & integrity

Chức năng AH được áp dụng cho toàn bộ datagram, ngoại trừ bất kỳ lĩnh vực có thể thay đổi tiêu đề IP mà thay đổi quá cảnh, chẳng hạn như Thời gian để Live (TTL) các lĩnh vực được sửa đổi bởi các bộ định tuyến dọc theo con đường truyền dẫn.

Các bước thực hiện một phiên AH:

Bước 1: Các tiêu đề IP và tải trọng dữ liệu được băm.

Bước 2: hash được sử dụng để xây dựng một tiêu đề AH, được nối vào các gói dữ liệu gốc.

Bước 3: Các gói tin mới được chuyển đến các router peer IPsec.

Bước 4: Các router peer băm tiêu đề IP và tải trọng dữ liệu.

Bước 5: Các router peer chất chiết xuất từ các băm truyền từ tiêu đề AH.

Bước 6: Các router peer so sánh hai băm. Các băm chính xác phải phù hợp. Ngay cả khi một chút thay đổi trong các gói tin truyền đi, sản lượng băm vào gói nhận được sẽ thay đổi và AH header sẽ không phù hợp.

ESP FEATURE:

Giữa hai cổng an ninh, các tải trọng ban đầu là bảo vệ tốt bởi vì toàn bộ bản gốc datagram IP được mã hóa. An ESP header và trailer được thêm vào tải trọng được mã hóa. Với ESP xác thực, mã hóa các IP datagram và ESP tiêu đề hoặc trailer được bao gồm trong quá trình băm. Ngoái, một tiêu đề IP mới được nối vào mặt trước của tải trọng thực. Địa chỉ IP mới được sử dụng để định tuyến các gói tin qua mạng Internet.

Khi cả hai ESP xác thực và mã hóa được lựa chọn, mã hóa được thực hiện đầu tiên trước khi xác thực. Căn cứ để tự chế biến này là để tạo điều kiện nhanh chóng

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

26

VPN , QoS trên Router Cisco

phát hiện và từ chối hoặc không có thật gói tái hiện lại bằng nút nhận. Trước khi giải mã các gói tin, người nhận có thể xác nhận các gói tin inbound.

Hình thức vận chuyển là chế độ mặc định cho IPsec. Hình thức vận chuyển chỉ bảo vệ các tải trọng của gói và giao thức lớp cao hơn, nhưng rời khỏi địa chỉ IP gốc không được bảo vệ. Địa chỉ IP gốc được sử dụng để định tuyến các gói tin qua mạng Internet. Hình thức ESP vận tải được sử dụng giữa hai máy.

Khi thức IPsec đường hầm được sử dụng, IPsec mã hóa tiêu đề IP và tải trọng này. Hình thức đường hầm cung cấp sự bảo vệ của một gói tin IP bằng cách xử lý toàn bộ các gói tin như là một AH hoặc ESP payload. Với chế độ đường hầm, một gói tin IP được đóng gói toàn bộ với một AH hoặc ESP tiêu đề và một tiêu đề IP bổ sung. Hình thức ESP đường hầm được sử dụng từ một máy chủ lưu trữ và bảo mật gateway hoặc giữa hai cổng an ninh. Cho-to-gateway ứng dụng cổng, thay vì tải IPsec trên tất cả các máy tính tại văn phòng và doanh nghiệp từ xa, nó được dễ dàng hơn để có các cổng an ninh thực hiện các IP-in-IP được mã hóa và đóng gói.

Hình 1.20. Giao thức ESP

3 trường của Ipsec SA :

- SPI (Security Parameter Index). Đây là một trường 32 bit dùng nhận dạng giao thức bảo mật, được định nghĩa bởi trường Security protocol, trong bộ IPSec đang dùng. SPI được mang theo như là một phần đầu của giao thức bảo mật và thường được chọn bởi hệ thống đích trong suốt quá trình thỏa thuận của SA.

- Destination IP address. Đây là địa chỉ IP của nút đích. Mặc dù nó có thể là địa chỉ broadcast, unicast, hay multicast, nhưng cơ chế quản lý hiện tại của SA chỉ được định nghĩa cho hệ thống unicast.

- Security protocol. Phần này mô tả giao thức bảo mật IPSec, có thể là AH hoặc ESP.

Chú thích :

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

27

VPN , QoS trên Router Cisco

• Broadcasts có nghĩa cho tất cả hệ thống thuộc cùng một mạng hoặc mạng con. Còn multicasts gửi đến nhiều (nhưng không phải tât cả) nút của một mạng hoặc mạng con cho sẵn. Unicast có nghĩa cho 1 nút đích đơn duy nhất. Bởi vì bản chất theo một chiều duy nhất của SA, cho nên 2 SA phải được định nghĩa cho hai bên thông tin đầu cuối, một cho mỗi hướng. Ngoài ra, SA có thể cung cấp các dịch vụ bảo mật cho một phiên VPN được bảo vệ bởi AH hoặc ESP.

• Một IPSec SA dùng 2 cơ sở dữ liệu. Security Association Database (SAD) nắm giữ thông tin liên quan đến mỗi SA. Thông tin này bao gồm thuật toán khóa, thời gian sống của SA, và chuỗi số tuần tự.

Bộ IPSec đưa ra 3 khả năng chính bao gồm :

- Tính xác nhận và Tính nguyên vẹn dữ liệu (Authentication and data integrity). IPSec cung cấp một cơ chế mạnh mẽ để xác nhận tính chất xác thực của người gửi và kiểm chứng bất kỳ sự sữa đổi không được bảo vệ trước đó của nội dung gói dữ liệu bởi người nhận.

- Sự cẩn mật (Confidentiality). Các giao thức IPSec mã hóa dữ liệu bằng cách sử dụng kỹ thuật mã hóa cao cấp, giúp ngăn cản người chưa chứng thực truy cập dữ liệu trên đường đi của nó.

- Quản lý khóa (Key management). IPSec dùng một giao thức thứ ba, Internet Key Exchange (IKE), để thỏa thuận các giao thức bao mật và các thuật toán mã hóa trước và trong suốt phiên giao dịch. Một phần quan trọng nữa, IPSec phân phối và kiểm tra các khóa mã và cập nhật những khóa đó khi được yêu cầu.

Transport Mode :

Transport mode bảo vệ giao thức tầng trên và các ứng dụng. Trong Transport mode, phần IPSec header được chèn vào giữa phần IP header và phần header của giao thức tầng trên, như hình mô tả bên dưới, AH và ESP sẽ được đặt sau IP header nguyên thủy. Vì vậy chỉ có tải (IP payload) là được mã hóa và IP header ban đầu là được giữ nguyên vẹn. Transport mode có thể được dùng khi cả hai host hỗ trợ IPSec. Chế độ transport này có thuận lợi là chỉ thêm vào vài bytes cho mỗi packets và nó cũng cho phép các thiết bị trên mạng thấy được địa chỉ đích cuối cùng của gói. Khả năng này cho phép các tác vụ xử lý đặc biệt trên các mạng trung gian dựa trên các thông tin trong IP header. Tuy nhiên các thông tin Layer 4 sẽ bị mã hóa, làm giới hạn khả năng kiểm tra gói.

Transport mode thiếu mất quá trình xữ lý phần đầu, do đó nó nhanh hơn. Tuy nhiên, nó không hiệu quả trong trường hợp ESP có khả năng không xác nhận mà cũng không mã hóa phần đầu IP.

Tunnel Mode :

- Không giống Transport mode, Tunnel mode bảo vệ toàn bộ gói dữ liệu. Toàn bộ gói dữ liệu IP được đóng gói trong một gói dữ liệu IP khác và một IPSec header được chèn vào giữa phần đầu nguyên bản và phần đầu mới của IP.Toàn bộ gói IP ban đầu sẽ bị đóng gói bởi AH hoặc ESP và một IP header mới sẽ được bao bọc xung quanh gói dữ SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

28

VPN , QoS trên Router Cisco

liệu. Toàn bộ các gói IP sẽ được mã hóa và trở thành dữ liệu mới của gói IP mới. Chế độ này cho phép những thiết bị mạng, chẳng hạn như router, hoạt động như một IPSec proxy thực hiện chức năng mã hóa thay cho host. Router nguồn sẽ mã hóa các packets và chuyển chúng dọc theo tunnel. Router đích sẽ giải mã gói IP ban đầu và chuyển nó về hệ thống cuối. Vì vậy header mới sẽ có địa chỉ nguồn chính là gateway.

- Với tunnel hoạt động giữa hai security gateway, địa chỉ nguồn và đích có thể được mã hóa. Tunnel mode được dùng khi một trong hai đầu của kết nối IPSec là security gateway và địa chỉ đích thật sự phía sau các gateway không có hỗ trợ IPSec.

- IKE SA là quá trình hai chiều và cung cấp một kênh giao tiếp bảo mật giữa hai bên. Thuật ngữ ‘hai chiều’ có ý nghĩa là khi đã được thiết lập, mỗi bên có thể khởi tạo chế độ QuickMode, Informational và NewGroupMode. IKE SA được nhận ra bởi các cookies của bên khởi tạo, được theo sau bởi các cookies của trả lời của phía đối tác. Thứ tự các cookies được thiết lập bởi phase 1 sẽ tiếp tục chỉ ra IKE SA, bất chấp chiều của nó. Chức năng chủ yếu của IKE là thiết lập và duy trì các SA. Các thuộc tính sau đây là mức tối thiểu phải được thống nhất giữa hai bên như là một phần của ISAKMP (Internet Security Association and Key Management Protocol) SA:

• Thuật giải mã hóa

• Thuật giải băm được dùng

• Phương thức xác thực sẽ dùng

• Thông tin về nhóm và giải thuật DH

- IKE thực hiện quá trình dò tìm, quá trình xác thực, quản lý và trao đổi khóa. IKE sẽ dò tìm ra được một hợp đồng giữa hai đầu cuối IPSec và sau đó SA sẽ theo dõi tất cả các thành phần của một phiên làm việc IPSec. Sau khi đã dò tìm thành công, các thông số SA hợp lệ sẽ được lưu trữ trong cơ sở dữ liệu của SA.

- Thuận lợi chính của IKE bao gồm: • IKE không phải là một công nghệ độc lập, do đó nó có thể dùng với

bất kỳ cơ chế bảo mật nào. • Cơ chế IKE, mặc dù không nhanh, nhưng hiệu quả cao bở vì một

lượng lớn những hiệp hội bảo mật thỏa thuận với nhau với một vài thông điệp khá ít.

Giai đoạn I của IKE

- Giai đoạn I của IKE đầu tiên xác nhận các điểm thông tin, và sau đó thiết lập một kênh bảo mật cho sự thiết lạp SA. Tiếp đó, các bên thông tin thỏa thuận một ISAKMP SA đồng ý lẫn nhau, bao gồm các thuật toán mã hóa, hàm băm, và các phương pháp xác nhận bảo vệ mã khóa.

- Sau khi cơ chế mã hóa và hàm băm đã được đồng ý ở trên, một khóa chi sẽ bí mật được phát sinh. Theo sau là những thông tin được dùng để phát sinh khóa bí mật : SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

29

VPN , QoS trên Router Cisco

• Giá trị Diffie-Hellman

• SPI của ISAKMP SA ở dạng cookies

• Số ngẩu nhiên known as nonces (used for signing purposes)

Giai đoạn II của IKE:

- Trong khi giai đoạn I thỏa thuận thiết lập SA cho ISAKMP, giai đoạn II giải quyết bằng việc thiết lập SAs cho IPSec. Trong giai đoạn này, SAs dùng nhiều dịch vụ khác nhau thỏa thuận. Cơ chế xác nhận, hàm băm, và thuật toán mã hóa bảo vệ gói dữ liệu IPSec tiếp theo (sử dụng AH và ESP) dưới hình thức một phần của giai đoạn SA.

- Sự thỏa thuận của giai đoạn xảy ra thường xuyên hơn giai đoạn I. Điển hình, sự thỏa thuận có thể lặp lại sau 4-5 phút. Sự thay đổi thường xuyên các mã khóa ngăn cản các hacker bẻ gãy những khóa này và sau đó là nội dung của gói dữ liệu.

- Tổng quát, một phiên làm việc ở giai đoạn II tương đương với một phiên làmviệc đơn của giai đoạn I. Tuy nhiên, nhiều sự thay đổi ở giai đoạn II cũng có thể được hổ trợ bởi một trường hợp đơn ở giai đoạn I. Điều này làm qua trình giao dịch chậm chạp của IKE tỏ ra tương đối nhanh hơn.

- Oakley là một trong số các giao thức của IKE. Oakley is one of the protocols on which IKE is based. Oakley lần lượt định nghĩa 4 chế độ phổ biến IKE.

IKE Modes:

4 chế độ IKE phổ biến thường được triển khai :

• Chế độ chính (Main mode)

• Chế độ linh hoạt (Aggressive mode)

• Chế độ nhanh (Quick mode)

• Chế độ nhóm mới (New Group mode)

Main Mode :- Main mode xác nhận và bảo vệ tính đồng nhất của các bên có liên quan trong qua

trình giao dịch. Trong chế độ này, 6 thông điệp được trao đổi giữa các điểm:

• 2 thông điệp đầu tiên dùng để thỏa thuận chính sách bảo mật cho sự thay đổi.

•2 thông điệp kế tiếp phục vụ để thay đổi các khóa Diffie-Hellman và nonces. Những khóa sau này thực hiện một vai tro quan trọng trong cơ chế mã hóa.

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

30

VPN , QoS trên Router Cisco

• Hai thông điệp cuối cùng của chế độ này dùng để xác nhận các bên giao dịch với sự giúp đỡ của chữ ký, các hàm băm, và tuỳ chọn với chứng nhận.

Aggressive Mode:

- Aggressive mode về bản chất giống Main mode. Chỉ khác nhau thay vì main mode có 6 thông điệp thì chết độ này chỉ có 3 thông điệp được trao đổi. Do đó, Aggressive mode nhanh hơn mai mode. Các thông điệp đó bao gồm :

• Thông điệp đầu tiên dùng để đưa ra chính sách bảo mật, pass data cho khóa chính, và trao đổi nonces cho việc ký và xác minh tiếp theo.

• Thông điệp kế tiếp hồi đáp lại cho thông tin đầu tiên. Nó xác thực người nhận và hoàn thành chính sách bảo mật bằng các khóa.

• Thông điệp cuối cùng dùng để xác nhận người gửi (hoặc bộ khởi tạo của phiên làm việc).

Quick Mode :

- Chế độ thứ ba của IKE, Quick mode, là chế độ trong giai đoạn II. Nó dùng để thỏa thuận SA cho các dịch vụ bảo mật IPSec. Ngoài ra, Quick mode cũng có thể phát sinh khóa chính mới. Nếu chính sách của Perfect Forward Secrecy (PFS) được thỏa thuận trong giai đoạn I, một sự thay đổi hoàn toàn Diffie-Hellman key được khởi tạo. Mặt khác, khóa mới được phát sinh bằng các giá trị băm.

IV. Tổng quan hệ điều hành Cisco IOS:

IV.1. Kiến trúc hệ thống:

- Giống như là 1 máy tính, router có 1 CPU có khả năng xử lý các câu lệnh dựa trên nền tảng của router. Hai ví dụ về bộ xử lý mà Cisco dùng là Motorola 68030 và Orion/R4600. Phần mềm Cisco IOS chạy trên Router đòi hỏi CPU hay bộ vi xử lý để giải quyết việc định tuyến và bắc cầu, quản lý bảng định tuyến và một vài chức năng khác của hệ thống. CPU phải truy cập vào dữ liệu trong bộ nhớ để giải quyết các vấn đề hay lấy các câu lệnh.

- Có 4 loại bộ nhớ thường dùng trên một Router của Cisco là :

ROM : là bộ nhớ tổng quát trên một con chip hoặc nhiều con. Nó còn có thể

nằm trên bảng mạch bộ vi xử lý của router. Nó chỉ đọc nghỉa là dữ liệu không thể ghi lên trên nó. Phần mềm đầu tiên chạy trên một router Cisco được gọi là bootstrap software và thường được lưu trong ROM. Bootstrap software được gọi khi router khởi động.

Flash : bộ nhớ Flash nằm trên bảng mạch SIMM nhưng nó có thể được mở rộng bằng cách sử dụng thẻ PCMCIA (có thể tháo rời). Bộ nhớ flash hầu hết được sử

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

31

VPN , QoS trên Router Cisco

dụng để lưu trữ một hay nhiều bản sao của phần mềm Cisco IOS. Các file cấu hình hay thông tin hệ thống cũng có thể được sao chép lên flash. Ở vài hệ thống gần đây, bộ nhớ flash còn được sử dụng để giữ bootstrap software.

RAM : là bộ nhớ rất nhanh nhưng nó làm mất thông tin khi hệ thống khởi động lại. Nó được sử dụng trong máy PC để lưu các ứng dụng đang chạy và dữ liệu. Trên router, RAM được sử để giữ các bảng của hệ điều hành IOS và làm bộ đệm. RAM là bộ nhớ cơ bản được sử dụng cho nhu cầu lưu trữ các hệ điều hành

NVRAM : Trên router, NVRAM được sử dụng để lưu trữ cấu hình khởi động. Đây là file cấu hình mà IOS đọc khi router khởi động. Nó là bộ nhớ cực kỳ nhanh và liên tục khi khởi động lại.

- Mặc dù CPU và bộ nhớ đòi hỏi một số thành phần để chạy hệ điều hành IOS, router cần phải có các interface khác nhau cho phép chuyển tiếp các packet. Các interface nhận vào và xuất ra các kết nối đến router mang theo dữ liệu cần thiết đến router hay switch. Các loại interface thường dùng là Ethernet và Serial. Tương tự như là các phần mềm driver trên máy tính với cổng parallel và cổng USB, IOS cũng có các driver của thiết bị để hỗ trợ cho các loại interface khác nhau.

VD: xem màn hình console của một router 3640 đã khởi động. Chú ý bộ xử lý, interface và thông tin bộ nhớ được liệt kê :

Cisco 3640 Router Console Output at Startup

System Bootstrap, Version 11.1(20)AA2, EARLY DEPLOYMENT RELEASE SOFTWARE (fc1)

Copyright (c) 1999 by Cisco Systems, Inc.

C3600 processor with 98304 Kbytes of main memory

Main memory is configured to 64 bit mode with parity disabled program load complete, entry point: 0x80008000, size: 0xa8d168

Self decompressing the image : ################################################### [OK] Restricted Rights Legend

Use, duplication, or disclosure by the Government is subject to restrictions as set forth in subparagraph

(c) of the Commercial Computer Software - Restricted

Rights clause at FAR sec. 52.227-19 and subparagraph (c) (1) (ii) of the Rights in Technical Data and Computer

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

32

VPN , QoS trên Router Cisco

Software clause at DFARS sec. 252.227-7013. Cisco Systems, Inc.

170 West Tasman Drive

San Jose, California 95134-1706

Cisco Internetwork Operating System Software

IOS (tm) 3600 Software (C3640-IS-M), Version 12.2(10), RELEASE SOFTWARE (fc2)

Copyright (c) 1986-2002 by Cisco Systems, Inc.

Compiled Mon 06-May-02 23:23 by pwade

Image text-base: 0x60008930, data-base: 0x610D2000

cisco 3640 (R4700) processor (revision 0x00) with 94208K/4096K bytes of memory.

Processor board ID 17746964 R4700 CPU at 100Mhz, Implementation 33, Rev 1.0 Bridging software.

X.25 software, Version 3.0.0. SuperLAT software (copyright 1990 by Meridian Technology Corp). 5 Ethernet/IEEE 802.3 interface(s)

1 Serial network interface(s)

DRAM configuration is 64 bits wide with parity disabled.

125K bytes of non-volatile configuration memory.

8192K bytes of processor board System flash (Read/Write)

16384K bytes of processor board PCMCIA Slot0 flash (Read/Write)

--- System Configuration Dialog ---

Would you like to enter the initial configuration dialog? [yes/no]:

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

33

VPN , QoS trên Router Cisco

- Khi một router mới khởi động lần đầu, IOS sẽ chạy tiến trình tự động cài đặt và người sử dụng được nhắc trả lời 1 vài câu hỏi. Sau đó IOS sẽ cấu hình hệ thống dựa trên những thông tin nhận được. Sau khi hoàn tất việc cài đặt, cấu hình thường sử dụng nhất được chỉnh sửa bằng cách dùng giao diện câu lệnh (CLI). Còn có một số cách khác để cấu hình router bao gồm HTTP và các ứng dụng quản trị mạng.

VI.2. Cisco IOS CLI:

Cisco có 3 mode lệnh, với từng mode sẽ có quyền truy cập tới những bộ lệnh khác nhau

- User mode: Đây là mode đầu tiên mà người sử dụng truy cập vào sau khi đăng nhập vào router. User mode có thể được nhận ra bởi ký hiệu > ngay sau tên router. Mode này cho phép người dùng chỉ thực thi được một số câu lệnh cơ bản chẳng hạn như xem trạng thái của hệ thống. Hệ thống không thể được cấu hình hay khởi động lại ở mode này.

- Privileged mode: mode này cho phép người dùng xem cấu hình của hệ thống, khởi động lại hệ thống và đi vào mode cấu hình. Nó cũng cho phép thực thi tất cả các câu lệnh ở user mode. Privileged mode có thể được nhận ra bởi ký hiệu # ngay sau tên router. Người sử dụng sẽ gõ câu lệnh enable để cho IOS biết là họ muốn đi vào Privileged mode từ User mode. Nếu enable password hay enabel secret password được cài đặt, nguời sử dụng cần phải gõ vào đúng mật khẩu thì mới có quyền truy cập vào privileged mode.

- Configuration mode: mode này cho phép người sử dụng chỉnh sửa cấu hình đang chạy. Để đi vào configuration mode, gõ câu lệnh configure terminal từ privileged mode. Configuration mode có nhiều mode nhỏ khác nhau, bắt đầu với global configuration mode, nó có thể được nhận ra bởi ký hiệu (config)# ngay sau tên router. Các mode nhỏ trong configuration mode thay đổi tuỳ thuộc vào bạn muốn cấu hình cái gì, từ bên trong ngoặc sẽ thay đổi. Chẳng hạn khi bạn muốn vào mode interface, ký hiệu sẽ thay đổi thành (config-if)# ngay sau tên router. Để thoát khỏi configuration mode, người sủ dụng có thể gõ end hay nhấn tổ hợp phím Ctrl-Z.

Chú ý ở các mode, tuỳ vào tình huống cụ thể mà câu lệnh. tại các vị trí sẽ hiển thị lên các câu lệnh có thể có ở cùng mức. Ký hiệu. cũng có thể sử dụng ở giữa câu lệnh để xem các tuỳ chọn phức tạp của câu lệnh. Example 4-2 hiển thị cách sử dụng câu lệnh với từng mode .

VD: Using Context-Sensitive Help:Router>?

Exec commands:

access-enable Create a temporary Access-List entry

access-profile Apply user-profile to interface

clear Reset functions

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

34

VPN , QoS trên Router Cisco

- Bước tiếp theo sẽ hướng dẫn bạn sử dụng câu lệnh thay đổi mode, xem cấu hình hệ thống và cấu hình password. Màn hình CLI của một router 3640 đang chạy hệ điều hành

Cisco IOS được hiển thị.

- Bước 1: Vào enable mode bằng cách gõ enable và nhấn phím EnterRouter> enable

Router#

- Bước 2: Để xem phiên bản của hệ điều hành IOS đang chạy, gõ lệnh show version

Router# show version

Cisco Internetwork Operating System Software

IOS (tm) 3600 Software (C3640-IS-M), Version 12.2(10), RELEASE SOFTWARE (fc2)

Copyright (c) 1986-2002 by Cisco Systems, Inc.

Compiled Mon 06-May-02 23:23 by pwade

Image text-base: 0x60008930, data-base: 0x610D2000

ROM: System Bootstrap, Version 11.1(20)AA2, EARLY DEPLOYMENT RELEASE SOFTWARE

(fc1)

Router uptime is 47 minutes

System returned to ROM by reload

System image file is "slot0:c3640-is-mz.122-10.bin"

cisco 3640 (R4700) processor (revision 0x00) with 94208K/4096K bytes of memory.

Processor board ID 17746964

R4700 CPU at 100Mhz, Implementation 33, Rev 1.0 Bridging software.

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

35

VPN , QoS trên Router Cisco

X.25 software, Version 3.0.0. SuperLAT software (copyright 1990 by Meridian Technology Corp). 5 Ethernet/IEEE 802.3 interface(s)

1 Serial network interface(s)

DRAM configuration is 64 bits wide with parity disabled.

125K bytes of non-volatile configuration memory.

8192K bytes of processor board System flash (Read/Write) 16384K bytes of processor board PCMCIA Slot0 flash (Read/Write) Configuration register is 0x2002

- Từ màn hình hiển thị trên cho ta thấy, router này đang chạy hệ điều hành Cisco IOS phiên bản 12.2(10) và bản sao của nó được lưu trong thẻ nhớ Flash PCMCIA trong slot 0

- Bước 3: Tiếp theo, cấu hình tên router thành IOS. Vào configuration mode bằng cách gõ lệnh configure terminal

Router# configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)# hostname IOS

IOS(config)#

- Chú ý rằng ký hiệu sẽ chuyển ngay thành IOS sau khi bạn gõ câu lệnh hostname. Tất cả các thay cấu hình trong Cisco IOS sẽ thực thi ngay lập tức

- Bước 4: Tiếp theo, bạn cần đặt enable password và enable secret password. Enable secret password được lưu trữ bằng cách dùng thuật toán mã hoá rất mạnh và được ghi đè lên enable password nếu nó đã được cấu hình

IOS(config)# enable password cisco

IOS(config)# enable secret san-fran

IOS(config)# exit IOS#

- Để vào enable mode bạn cần gõ mật khẩu là san-fran. Câu lệnh exit sẽ đưa bạn quay lại 1 mức trong cấu hình hay thoát khỏi mode con hiện tại

- Bước 5: Sau khi cấu hình tên router và cài đặt password, bạn có thể xem cấu hình đang chạy

IOS# show running-config Building configuration...

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

36

VPN , QoS trên Router Cisco

Current configuration : 743 bytes !

version 12.2

service timestamps debug uptime service timestamps log uptime no service password-encryption

! hostname IOS !

enable secret 5 $1$IP7a$HClNetI.hpRdox84d.FYU.

enable password cisco

! ip subnet-zero ! call rsvp-sync ! interface Ethernet0/0 no ip address

shutdown half-duplex ! interface Serial0/0 no ip address

shutdown no fair-queue ! interface Ethernet2/0 no ip address

shutdown half-duplex ! interface Ethernet2/1 no ip address

shutdown half-duplex !

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

37

VPN , QoS trên Router Cisco

interface Ethernet2/2 no ip address

shutdown half-duplex ! interface Ethernet2/3 no ip address

shutdown half-duplex ! ip classless ip http server ip pim bidir-enable ! dial-peer cor custom ! line con 0 line aux 0 line vty 0 4 !

end

- Bước 6: Màn hình sau khi gõ show running-config sẽ hiển thị cấu hình hiện thời đang hoạt động trong hệ thống, tuy nhiên cấu hình này sẽ mất nếu như hệ thống khởi động lại. Để lưu cấu hình vào NVRAM, bạn chắc chắn phải gõ lệnh.

IOS# copy running-config startup-config Destination filename [startup-config]? Building configuration...

[OK]

- Bước 7: Để xem cấu hình được lưu trong NVRAM, bạn dùng lệnh show startup-config

- Trong chuỗi các bước trên, chú ý interface Ethernet và serial được hiển thị trong file cấu hình. Mỗi interface cần có những thông số chắc chắn như sự đóng gói và địa chỉ được cài đặt trước khi interface có thể sử dụng một cách đúng đắn. Thêm vào đó, định tưyến IP và bắc cầu cần phải được cấu hình. Tham khảo việc cài đặt Cisco IOS và hướng dẫn cấu hình tại www.cisco.com cho phiên bản phần mêm của bạn để tham khảo thêm về tất cả các tuỳ chọn cấu hình có thể có và hướng dẫn chi tiết.

- Một vài câu lệnh thường dùng để quản lý hệ thống SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

38

VPN , QoS trên Router Cisco

Cisco IOS Command

Miêu tả

Show interface Hiển thị trạng thái hiện tại và chi tiết cấu hình cho tất cả các interface trong hệ thống

Show processes cpu

Hiển thị việc sử dụng CPU và các tiến trình đang chạy trong hệ thống

Show buffers Xem có bao nhiêu buffers đang được cấp phát hiện thời và sự hoạt động cho việc chuyển tiếp các packet

Show memory Xem có bao nhiêu bộ nhớ được cấp phát cho các chưc năng khác của hệ thống và việc sử dụng bộ nhớ

Show diag Hiển thị chi tiết các thẻ nhớ trong hệ thống

Show ip route Hiển thị bảng IP route đang sử dụng

Show arp Hiển thị địa chỉ MAC ánh xạ từ địa chỉ IP đang dùng trong bang ARP

V. Qui trình cấu hình 4 bước IPsec / VPN trên Cisco IOS:

- Ta có thể cấu hình IPSec trên VPN qua 4 bước sau đây:

1. Chuẩn bị cho IKE và IPSec

2. Cấu hình cho IKE

3. Cấu hình cho IPSec

Cấu hình dạng mã hóa cho gói dữ liệu

Crypto ipsec transform-set

Cấu hình thời gian tồn tại của gói dữ liệu và các tùy chọn bảo mật khác

Crypto ipsec sercurity-association lifetime

Tạo crytoACLs bằng danh sách truy cập mở rộng (Extended Access List)

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

39

VPN , QoS trên Router Cisco

Crypto map

Cấu hình IPSec crypto maps

Áp dụng các crypto maps vào các cổng giao tiếp (interfaces)

Crypto map map-name

4. Kiểm tra lại việc thực hiện IPSec:

4.1. Cấu hình cho mã hóa dữ liệu:

- Sau đây bạn sẽ cấu hình Cisco IOS IPSec bằng cách sử dụng chính sách bảo mật IPSec (IPSec Security Policy) để định nghĩa các các chính sách bảo mật IPSec (transform set).

- Chính sách bảo mật IPSec (transform set) là sự kết hợp các cấu hình IPSec transform riêng rẽ được định nghĩa và thiết kế cho các chính sách bảo mật lưu thông trên mạng. Trong suốt quá trình trao đổi ISAKMP IPSec SA nếu xảy ra lỗi trong quá trình IKE Phase 2 quick mode, thì hai bên sẽ sử dụng transform set riêng cho việc bảo vệ dữ liệu riêng của mình trên đường truyền. Transform set là sự kết hợp của các nhân tố sau:

• Cơ chế cho việc chứng thực: chính sách AH

• Cơ chế cho việc mã hóa: chính sách ESP

• Chế độ IPSec (phương tiện truyền thông cùng với đường hầm bảo mật)

Hình 1.21. Cấu hình mã hóa dữ liệu

- Cú pháp của lệnh và các tham số truyền vào như sau: SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

40

VPN , QoS trên Router Cisco

crypto ipsec transform-set transform-set-name transform1 [transform2 [transform3]]

- Các tham số của lệnh crypto ipsec transform-set

Tham số Ý nghĩa

transform-set-name Chỉ định tên của Transform được tạo hay được thay đổi

transform1, transform2, transform3 Chỉ từ 3 transform trở lên. Những transform được định nghĩa cho giao thức bảo mật IPSec (IPSec Security Protocol) và thuật tóan

4.2. Cấu hình thời gian tồn tại của Ipsec trong quá trình trao đổi:

- IPSec SA được định nghĩa là thời gian tồn tại của IPSec SA trước khi thực hiện lại quá trình trao đổi tiếp theo. Cisco IOS hỗ trợ giá trị thời gian tồn tại có thể áp dụng lên tất cả các crypto map. Giá trị của global lifetime có thể được ghi đè với những mục trong crypto map.

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

41

VPN , QoS trên Router Cisco

Hình 1.22. Cấu hình thời gian tồn tại Ipsec

- Bạn có thể thay đổi giá trị thời gian tồn tại của IPSec SA bằng câu lệnh crypto ipsec security-association lifetime ở chế độ global configuration mode. Để trả về giá trị mặc định ban đầu sử dụng dạng câu lệnh no. Cấu trúc và các tham số của câu lệnh được định nghĩa như sau:

cryto ipsec security-association lifetime {seconds seconds | kilobytes kilobytes}

Câu lệnh Tham số

Second second Chỉ định khoảng thời gian tồn tại của Ipsec SA. Mặc định là 3600 giây(1 giờ).

Kilobytes kilobytes Chỉ định dung lượng lưu thông Ipsec giữa 2 bên sử dụng để đưa ra SA trước khi SA hết hạn. Giá trị mặc định 4,608,000 KB.

- Cisco khuyến cáo bạn nên sử dụng các giá trị mặc định. Bản thân thời gian tồn tại của mỗi IPSec SA có thể được cấu hình bằng cách sử dụng crypto map.

4.3. Tạo Crypto ACLs bằng danh sách truy cập mở rộng (Extends access lits):

- Cryto ACLs được định nghĩa để bảo vệ những dữ liệu được truyền tải trên mạng. Danh sach truy cập mở rộng (Extended IP ACLs) sẽ chọn những luồng dữ liệu (IP traffic) để mã hóa bằng cách sử dụng các giao thức truyền tải (protocol), địa chỉ IP (IP address), mạng (network), mạng con (subnet) và cổng dịch vụ (port). Mặc dù cú pháp ACL và extended IP ACLs là giống nhau, nghĩa là chỉ có sự khác biệt chút ít trong crypto ACLs. Đó là cho phép (permit) chỉ những gói dữ liệu đánh dấu mới được mã hóa và từ chối (deny) với những gói dữ liệu được đánh dấu mới không được mã hóa. Crypto ACLs họat động tương tự như extendeds IP ACL đó là chỉ áp dụng trên những luồng dữ liệu đi ra (outbound traffic) trên một interface.

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

42

VPN , QoS trên Router Cisco

Hình 1.23. Tạo Crypto ACLs bằng danh sách truy cập.

- Cú pháp câu lệnh và các tham số được định nghĩa cho dạng cơ bản của danh sách extended IP ACL như sau:

access-list access-list-number { permit | deny } protocol source

Source-wildcard destination destination-wildcard [precedence precedence] [tos tos] [log]

Access-list access-list number command

Tham số

Permit Tất cả các luồng dữ liệu (traffic IP) sẽ được đánh dấu để được bảo vệ bằng Crypto phải sử dụng chính sách bảo mật(policy) liệt kê cho phù hợp với các mục trong Crypto map (Crypto map entry).

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

43

VPN , QoS trên Router Cisco

Deny Cho biết những luồng dữ liệu (traffic) từ Router nào đến Router nào là an toàn.

Source and destination Đó là những mạng (Network), mạng con (subnet) hoặc là trạm (host).

Chương II : Tổng quan chất lượng dịch vụ

Quality of Service (QoS)

I. Giới thiệu về chất lượng dịch vụ : Vấn đề cung cấp chất lượng dịch vụ trên mạng IP được quan tâm từ những năm 80

và phát triển mạnh từ đầu những năm 90 đến nay. Cung cấp chất lượng dịch vụ trên mạng IP cho phép đảm bảo chất lượng của các ứng dụng thời gian thực như VoIP, Video Streaming và hạn chế nghẽn mạng. Để giải quyết vấn đề trên, có hai giải pháp cơ bản.

- Thứ nhất là nâng cấp tài nguyên mạng, nhưng tốn kém và chỉ đáp ứng được đến một giới hạn nào đó.

- Thứ hai bổ sung cơ chế quản lý, phân phối tài nguyên mạng để đảm bảo chất lượng dịch vụ (QoS). IETF và IEEE đã đưa ra nhiều chuẩn về lĩnh vực này. Một số nhà cung cấp thiết bị mạng như Cisco, Nortel, Extreme,… đã hỗ trợ chất lượng dịch vụ trong các bộ định tuyến. Tuy nhiên cho đến nay, các mô hình chất lượng dịch vụ vẫn đang trong giai đoạn phát triển và hoàn thiện. Việc áp dụng các mô hình này còn nhiều hạn chế và mới chỉ dừng lại ở mức độ mạng diện rộng (WAN).

I.1. Cung cấp chất lượng dịch vụ trên mạng IP :

Cung cấp chất lượng dịch vụ thực chất là cung cấp các dịch vụ chuyển tiếp khác nhau cho các lưu lượng mạng khác nhau. Trên mạng IP hiện nay, về cơ bản có hai loại lưu lượng là lưu lượng thời gian thực và lưu lượng dữ liệu. Hai loại lưu lượng này có đặc trưng khác nhau do đó chúng có yêu cầu khác nhau. Lưu lượng thời gian thực tạo ra bởi các ứng dụng thời gian thực như video, voice,... yêu cầu độ trễ nhỏ, nhạy cảm với sự biến thiên độ trễ và cần được đảm bảo một lượng băng thông tối thiểu. Khi độ trễ lớn, biến thiên độ trễ không ổn định hoặc băng thông dưới mức tối thiểu sẽ gây ảnh hưởng lớn đến chất lượng ứng dụng. Trong khi đó, lưu lượng dữ liệu tạo bởi các ứng dụng như telnet, ftp, www, email … , ít bị ảnh hưởng bởi độ trễ, băng thông và ít nhạy cảm với biến thiên độ trễ. Độ trễ lớn có thể làm giảm hiệu suất thực hiện ứng dụng nhưng dữ liệu đi đến đều sử dụng được. Đánh giá chất lượng dịch vụ dựa trên các tham số đặc trưng là độ trễ, tỉ lệ mất gói các luồng lưu lượng và băng thông mà chúng nhận được. Để cung cấp chất lượng dịch vụ, về nguyên tắc có hai phương pháp:

- Sử dụng giao thức phát và chất lượng dịch vụ được cài đặt vào bản thân giao thức phát (tuy nhiên giao thức IP lúc phát triển không cài đặt chất lượng dịch vụ) hoặc sử dụng giao thức báo hiệu, dành riêng tài nguyên (như RSVP_Resource Reservation Protocol) kết hợp với giao thức truyền thông (như IP). SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

44

VPN , QoS trên Router Cisco

- Cài đặt vào các phần tử mạng chuyển tiếp gói tin như thiết bị chuyển mạch hay bộ định tuyến.

Cài đặt chất lượng dịch vụ trên mạng có thể chia thành ba hoạt động: + Phân loại gói tin (classification).

+ Hàng đợi gói tin (queuing). + Lập lịch trình gói tin (queuing và scheduling).

Phân loại gói tin (classification):Gói tin được phân loại khi tới bộ định tuyến, bộ định tuyến phân các gói tin

vào các lớp khác nhau dựa trên một tập các quy tắc (ví dụ như dùng trường DS trong phần đầu của gói tin IP, địa chỉ nguồn, địa chỉ đích hay số hiệu cổng ...). Các gói tin thuộc cùng một lớp sau đó được coi như nhau tại giai đoạn lập lịch trình gói tin.

Hàng đợi gói tin (queuing): Là bộ đệm chứa các gói tin, một bộ định tuyến có thể có nhiều hàng đợi.

Bộ lập lịch gói tin (queuing và scheduling):

Quyết định thứ tự gửi gói tin ra khỏi mạng.

I.2. Quản lý gói tin trong hàng đợi (queuing) bao gồm bốn hoạt động cơ bản:

- Thêm một gói tin vào hàng đợi tương ứng với nó.

- Bỏ gói tin khi hàng đợi đầy.

- Chuyển gói tin theo yêu cầu của bộ lập lịch trình cho gói tin và xác định trạng thái của hàng đợi thực hiện các hoạt động thích hợp để tránh tràn hàng đợi.

- Lập lịch gói tin (scheduling) là cơ chế xác định thứ tự gửi gói tin ra khỏi mạng. Hai khái niệm quản lý gói tin trong hàng đợi và lập lịch trình gói tin phụ thuộc lẫn nhau, loại hàng đợi sẽ quyết định cách gói tin được gửi ra khỏi mạng.

II. Các vấn đề xảy ra trong mạng và sự ảnh hưởng của QoS:II.1. Các vấn đề trong việc truyền tải mạng :

Mỗi loại traffic cụ thể cần đến các đặc tính hoạt động khác nhau trên mạng. Một ứng dụng truyền dữ liệu thì chỉ cần đến dung lượng đường truyền, nhưng việc xảy ra thời gian trễ của một gói tin riêng lẻ thì không thành vấn đề, các ứng dụng về giao dịch cần đến thời gian trả lời thích hợp. Các cuộc gọi cần độ trễ thích hợp trong khi hội thảo truyền hình đòi hỏi cả độ trễ thích hợp lẫn lượng băng thông cao.

Người dùng có thể than phiền về chất lượng của các ứng dụng của họ và có thể điều đó liên quan tới hệ thống mạng hoặc cũng có thể là do các nguyên nhân khác nhưng hầu hết người sử dụng đều cho rằng mạng có liên quan tới các vấn đề chất lượng. Sau đây là một vài ảnh hưởng về chất lượng ứng dụng:

Loại Traffic Vấn đề khi không có QoS Voice - Âm thanh nghe rất khó hiểu

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

45

VPN , QoS trên Router Cisco

- Tiếng bị đứt quãng- Sự trì hoãn trong truyền thông làm cho giao tiếp khó khăn, người gọi không biết bên kia đã ngưng nói chưa.- Cuộc gọi bị ngắt.

Video - Hình ảnh hiển thị bất thường, chuyển động bị giật.- Âm thanh không đồng bộ với hình ảnh.- Chuyển động bị chậm lại.

Data - Dữ liệu được truyền đến quá trễ, không còn hữu dụng.- Thời gian truyền bị gián đoạn làm cho người dùng thất vọng và từ bỏ hoặc thực hiện lại sau.

Bảng 2.1. Tóm lược lại về vấn đề khi không có QoS

QoS cố gắng cải tiến chất lượng của mạng. Để cải thiện hiệu suất mạng và các tính năng của QoS ảnh hưởng tới mạng, QoS điều khiển các đặc tính sau :

- Băng thông - Bandwidth.

- Thời gian trễ - Delay.

- Trễ không đồng bộ - Jitter.

- Mất gói tin - Packet loss.

Khó khăn phát sinh khi cải thiện một đặc tính của QoS thì bên cạnh đó sẽ làm giảm đặc tính khác. Băng thông định nghĩa cho dung lượng của đường truyền. Sử dụng các công cụ nén sẽ làm giảm băng thông cần cho việc truyền, nhưng quy trình nén đã tạo thêm thời gian trễ cho mỗi gói tin và sử dụng thêm tài nguyên CPU. Jitter là mức biến đổi độ trễ khác nhau giữa các gói tin nên nó còn được gọi là sự trễ không đồng bộ giữa các gói tin. Router có thể hạn chế jitter cho một vài traffic nhưng thường tạo thêm delay và jitter cho các dòng traffic khác. Các chức năng của QoS có thể tìm ra các lỗi jitter, cụ thể là các chức năng sắp xếp hàng đợi (queueing) có sự ưu tiên các gói tin cần độ jitter thấp. Hiện tượng mất gói tin có thể xảy ra do lỗi trong việc truyền tin và các cơ chế của QoS không thể cải thiện chúng nhiều. Tuy nhiên, các gói tin bị mất do việc chờ đợi sắp vào hàng đợi truyền còn nhiều hơn là do lỗi truyền và các tính năng của QoS có thể giải quyết việc các packet bị mất.

II.2. Băng thông – Bandwidth:

Băng thông là số lượng bit trong một giây có thể gởi trên đường truyền. Băng thông thường bằng với tốc độ của đường truyền vật lý hay xung clock của thiết bị kết nối đó. Trong vài trường hợp nó nhỏ hơn tốc độ thực sự của đường liên kết.

Cách tốt nhất để cải thiện băng thông đó là cung cấp thêm nhiều băng thông hơn. Nếu hệ thống có đủ khả năng để đáp ứng điều đó thì sẽ tối ưu được chất lượng đường truyền. Các công cụ QoS nâng cao băng thông bằng việc giảm số lượng bit cần để truyền

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

46

VPN , QoS trên Router Cisco

dữ liệu bằng cách dùng các công cụ nén. Một công cụ khác của QoS là CAC (Call Admission Control) quyết định khi nào mạng chấp nhận cuộc gọi thoại hay truyền hình mới, nếu nó không được chấp nhận bởi CAC do nhiều thông số trong đó có băng thông, thì nó sẽ được tái định tuyến trở lại dựa vào VoIP thông qua PSTN ( Public-Switched Telephone Network ).

Các công cụ sắp xếp (queueing) có thể ảnh hưởng tới một lượng băng thông nhất định tùy vào loại traffic nhận được. Các công cụ sắp xếp sẽ tạo ra nhiều hàng đợi và sau đó các gói tin được đưa vào chúng dựa vào giải thuật lập danh mục (schedule). Giải thuật đó thêm vào một tính năng để bảo đảm lượng băng thông tối thiểu cho một hàng đợi cụ thể.

Loại công cụ QoS Sự ảnh hưởng lên Bandwidth

Nén - Compression Nén cả trường Header và dữ liệu tải, giảm thiểu số lượng bit cẩn để truyền dữ liệu.

Call Admission control-CAC Giảm tải cho mạng bằng cách từ chối các cuộc gọi thoại và truyền hình

Hàng đợi - Queuing Có thể được dùng để ấn định băng thông tối thiểu cho từng loại gòi tin cụ thể.

Bảng 2.2. Tóm tắt công cụ QoS ảnh hưởng lên Bandwidth

II.3. Thời gian trễ - Delay :Mọi gói tin trong mạng đều có một thời gian trễ trong suốt quá trình chúng được

gởi đi và đến được đích. Delay là hiện tượng xảy ra thường xuyên trên mạng. Trong vài trường hợp delay nhỏ đến mức không đáng kể, nhưng chúng có thể sẽ trở nên lớn hơn khả năng xử lý của hệ thống. Mỗi dạng delay không phụ thuộc cụ thể vào loại traffic nào. Sau đây là các dạng trễ xảy ra trong hệ thống mạng:

Dạng trễ Định nghĩa Nơi xảy ra Delay

Serialization delay (cố định)

Thời gian để đặt tất cả các bit của một frame trên đường truyền vật lí. Tùy thuộc vào kích thước frame và tốc độ đường truyền vật lí.

Ngõ ra của các interface vật lí, không ảnh hưởng trên đường truyền T3(45Mb/s) hay nhanh hơn.

Propagation delay (cố định)

Thời gian cần cho một bit đi ngang qua đường truyền vật lí từ đầu này sang đầu kia, dựa trên tốc độ của ánh sáng trên đường truyền và độ dài đường truyền.

Mỗi đường liên kết vật lí.Không ảnh hưởng trên đường truyền LAN và WAN với khoảng cách ngắn

Queuing delay (thay đổi)

Thời gian chờ trong hàng đợi để được chuyển đi (output queuing), hay chờ để có cơ hội

Thường xảy ra ở output interface. Ít xảy ra ở hàng đợi vào của Router mà

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

47

VPN , QoS trên Router Cisco

lưu thông trên đường truyền tới đích (input queuing).

xảy ra nhiều ở LAN Switch.

Forwardinf/ procesing delay (thay đổi).

Thời gian cần khi nhận frame đến, cho đến khi frame hay packet được đưa vào hàng đợi hoặc chuyển đi.

Trên mỗi thiết bị Switching bao gồm cả Router, lan switches, frame raley switches và ATM switches.

Shaping delay (Thay đổi).

Trì hoãn việc truyền các packet trong shaping để tránh việc mất gói tin giữa các mạng frame delay, ATM.

Bất cứ nơi nào mà shaping được cấu hình thường là trên các Router khi gửi các packet tới mạng frame delay hay ATM

Network delay (Thay đổi).

Thời gian trễ được tạo ra bởi các thành phần chuyển đi của mạng khi sử dụng một dịch vụ. ví dụ như là các khung frame relay khi mà nó đi qua mạng Frame relay.

Bên trong mạng của nhà cung cấp dịch vụ.

Bảng 2.3. Các dạng trễ xảy ra trong hệ thống mạng.

II.4. Trễ không đồng bộ - Jitter:Các gói tin liên tục có độ trễ khác nhau sẽ tạo ra jitter. Trong mạng có nhiều bộ

phận có độ trễ khác nhau luôn luôn gây ra jitter và câu hỏi đặt ra là khi nào jitter đủ lớn để ảnh hưởng tới các dịch vụ. Âm thanh và hình ảnh nhanh chóng bị giảm chất lượng khi jitter xảy ra còn các ứng dụng thì chịu lỗi tốt hơn mặc dù nếu có quá nhiều jitter sẽ ảnh hưởng tới các ứng dụng đang giao tiếp. Sau đây là một vài công cụ có thể làm giảm Jitter của QoS :

Loại công cụ QoS Sự ảnh hưởng đối với Jitter

Sắp xếp – Queuing Cho phép sắp xếp các packet sao cho các packet nhạy với delay sẽ rời hàng nhanh hơn các gói khác.

Phân mảng và chèn – link fragmentation and interliving

LFI phân các packet lớn thành những mảnh nhỏ hơn trước khi gủi chúng đi.

Nén – Compression Nén cả header và dữ liệu, giảm số lượng bit truyền. Sử dụng ít băng thông và hàng đợi hơn sẽ giảm delay mặc dù sẽ tạo ra thời gian trễ cho việc xử lí.

Traffic shaping Tạo ra delay một cách giả tạo để hạn chế việc loại bỏ packet trong mạng frame delay và ATM.

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

48

VPN , QoS trên Router Cisco

Bảng 2.4. Một vài công cụ làm Jitter của QoS

II.5. Mất gói tin – Packet loss :Router mất hay loại bỏ (drop) packet do nhiều nguyên nhân mà hầu hết QoS không

làm gì hơn được. Mặc dù vậy QoS có thể giảm thiểu việc mất packet. Ngày nay, các packet bị mất do các bit lỗi là rất nhỏ mà chủ yếu là do hàng đợi và bộ nhớ đệm quá đầy nên packet bị loại bỏ. Ví dụ một hàng đợi có kích thước 40 nhận được 50 packet liên tục nhau, khi 40 chỗ trong hàng đợi đã đầy thì 10 packet cuối sẽ bị drop. Trong thực tế có một vài packet sẽ được gởi đi trước khi nhận hết 50 packet nên số packet bị mất sẽ ít hơn 10 nhưng cũng là một số lớn. Một vài dòng dữ liệu chịu lỗi mất packet cao hơn các loại khác. Đối với dữ liệu dạng voice chỉ cần một vài packet liên tục nhau bị mất thì sẽ dẫn đến bị mất âm thanh hoàn toàn, ngược lại web traffic thì chịu lỗi tốt do sử dụng TCP để phục hồi dữ liệu.

Hình 2.1. Packets cuối cùng sẽ bị drop theo cơ chế tail drop.

Ngoài ra, phương pháp cung cấp nhiều băng thông hơn cũng là một giải pháp để ngăn chặn mất packet, nhiều băng thông hơn cho phép truyền dữ liệu nhanh hơn, giảm độ dài hàng đợi và sẽ ít bị đầy hơn do đó sẽ giảm được hiện tượng cắt đuôi (tail drop) xảy ra. Cùng với việc sử dụng một bộ công cụ giảm ảnh hưởng của việc mất packet trong co hệ thống là Random Early Detection (RED), TCP dùng phương pháp windowing để giới hạn lượng dữ liệu do người dùng gởi tới mà không cần phải trả lời. Mỗi TCP window cho mỗi kết nối TCP khác nhau lớn lên và co lại phụ thuộc vào nhiều yếu tố. RED làm việc dưới sự giả định rằng nếu một vài kết nối TCP có thể làm windows của những packet co lại trước khi chúng được đưa vào hàng đợi xuất thì chúng sẽ được gởi đi với kích thước nhỏ hơn và hàng đợi sẽ không bị làm đầy. Trong khoảng thời gian hàng đợi còn trống thì RED sẽ không thông báo cho nơi gởi TCP biết để giảm tốc độ lại bởi vì điều đó không cần thiết.

Các công cụ sắp xếp phục vụ cho nhiều nhiệm vụ khác nhau, trong đó có sự hạn chế mất packet. Bởi vì sự thất thoát packet xảy ra khi hàng đợi bị đầy và do các phương pháp sắp xếp hàng đợi cung cấp khả năng để cấu hình mở rộng cho hàng đợi nên làm cho hàng đợi dài hơn để giảm sự thất thoát. Song thời gian trễ do sắp xếp sẽ tăng lên.

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

49

VPN , QoS trên Router Cisco

Hình 2.2. Ảnh hưởng của Queuing đối với Packet Loss

Ví dụ trong hình trên cho thấy hàng đợi FIFO được sử dụng. Với các traffic nhạy cảm với trễ thì phải đợi sau 49 packet khác sẽ không tốt. Tuy vậy các ứng dụng nhạy với

loss nhưng không nhạy với delay thì một hàng đợi dài hơn sẽ tốt hơn. III. Kiến trúc cơ bản của QoS:

Có 3 mảng chính để thực thi QoS :

- QoS bên trong một môi trường mạng đơn lẻ (như việc sắp xếp thứ tự, lập các danh mục có thứ tự và các công cụ định hình truyền thông trên mạng).

- Kĩ thuật truyền tín hiệu để điều phối QoS giữa các nhân tố bên trong mạng.

- Chính sách QoS, quản lý, và các tính năng tính toán để điều khiển và quản trị truyền thông giữa các node trong mạng .

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

50

VPN , QoS trên Router Cisco

Hình 2.3. Ba thành phần cơ bản của QoS

III.1. Các cấp độ thực thi QoS trên mạng (end to end):

Cấp bậc của dịch vụ được quyết định bởi khả năng của QoS trong mạng end-to-end, có nghĩa là khả năng của mạng để phân phối các dịch vụ cần thiết cho việc truyền thông giữa điểm này với điểm khác hay từ mảng này tới mảng khác trong mạng.

Ba cấp bậc cơ bản để thực thi QoS trong mạng end-to-end, có thể được áp dụng cho một hệ thống mạng hỗn hợp như sau:

- Mạng đòi hỏi khả năng tối đa của dịch vụ (Best-Effort) : Mạng loại này đòi hỏi các traffic cơ bản của nó (thông qua tất cả các dịch vụ) luôn có một chất lượng tối đa nhưng với sự kết nối không đảm bảo.

- Mạng đòi hỏi các dịch vụ với khả năng khác nhau (Diff-Serv):

Mạng này đòi hỏi một số dịch vụ truyền thông chính yếu với khả năng thực thi cao hơn các dịch vụ khác như ở khả năng xử lý nhanh, băng thông trung bình luôn ổn định, thời gian xử lý trung bình thấp, ...

- Các dịch vụ được bảo đảm (Int-Serv):

Mạng đòi hỏi phải bảo đảm tuyệt đối tài nguyên của mạng dàng riêng cho một số truyền thông cụ thể.

Các yếu tố để quyết định loại dịch vụ nào thích hợp để thực thi trong mạng :

- Dựa vào các ứng dụng hay các vấn đề cần được giải quyết của khách hàng. Mỗi một trong ba dạng áp dụng cho các dịch vụ trên đều liên quan đến các dịch vụ cụ thể. Điều này không thật sự hợp lý khi trong thực tế khách hàng có những yêu cầu rất phức tạp đồng thời phải đảm bảo các dịch vụ cho họ (lúc nào cũng thực hiện tốt các yêu cầu của họ). Các mạng tối ưu hoá các khả năng của dịch vụ hay mạng đòi hỏi khả năng khác nhau của các dịch vụ có thể áp dụng trong trường hợp này.

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

51

VPN , QoS trên Router Cisco

- Nếu tốc độ chính là vấn đề cần được nâng cấp cho hệ thống của khách

hàng, có một cách rất đơn giản để nâng cấp là áp dụng mô hình mạng với các dịch vụ chất lượng tuỳ thuộc vào yêu cầu của khách hàng thay vì mô hình mạng chỉ nhằm đảm bảo cho các dịch vụ luôn luôn chạy tốt nhưng tốc độ và khả năng tương đương nhau.

- Chi phí để áp dụng cho mô hình đảm bảo tất cả các dịch vụ thì cao hơn là mô hình chỉ chú trọng vào các dịch vụ trọng yếu. Dưới đây là sơ đồ áp dụng cho 3 mô hình mạng nói trên :

Hình 2.4. Sơ đồ áp dụng 3 mô hình mạng

Trong thực tế người ta chỉ áp dụng một trong 3 mô hình cho hệ thống mạng của họ và phổ biến là Diff-Serv và Int-Serv.

III.2. Mô hình Intserv (Intergrated Service): Một vài ứng dụng như là: thoại, hội nghị truyền hình, ứng dụng giao tiếp thời

gian thực,…đòi hỏi băng thông cố định và dành riêng. Vào đầu những năm 1990 mô hình IntServ được giới thiệu để giải quyết vấn đề căn bản trên mạng IP này.

- Nguyên lý căn bản của mô hình IntServ là dành riêng tài nguyên mạng (băng thông, độ trễ…) cho từng luồng thông tin xuyên suốt từ nguồn đến đích. Tài nguyên này được chiếm dụng và không được tận dụng cho bất kỳ một luồng thông tin nào. Nếu tài nguyên bị chiếm dụng mà không dùng thì hiện tượng lãng phí tài nguyên sẽ xảy ra.

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

52

VPN , QoS trên Router Cisco

Hình 2.5. Mô hình tổng quát cơ chế Intserv

- Một đặc điểm nữa là mô hình IntServ đảm bảo chất lượng dịch vụ theo luồng (flow). Một luồng được xác định bởi các tham số: địa chỉ IP nguồn, IP đích, cổng nguồn, cổng đích….Mô hình IntServe thường sử dụng giao thức RSVP (Resource Reservation Protocol) để báo hiệu. Đây là giao thức điều khiển Internet được thiết kế để cài đặt chất lượng dịch vụ trên mạng IP. Nhưng nó cũng không nhất thiết phải sử dụng với mô hình Intserv.

- Hạn chế của mô hình IntServ với hệ thống mạng có số lượng flow lớn: Mặc dù IntServ là mô hình đảm bảo chất lượng dịch vụ tuyệt đối từ đầu cuối đến đầu cuối (end-to-end), nhưng nó không linh hoạt và khả năng mở rộng thấp nên thường không được lựa chọn để thực hiện QoS trong mạng có quy mô lớn. Vì vậy mô hình IntServ chỉ thích hợp cho những mạng nhỏ với ít luồng lưu lượng.

III.3. Mô hình DiffServ (Differentiated Service): Mô hình DiffServ được thiết kế để khắc phục những hạn chế của mô hình

IntServ. Mô hình DiffServ có khả năng linh hoạt cao và khả năng mở rộng lớn. Thay vì thực hiện chất lượng dịch vụ xuyên suốt và thống nhất trên cả đường truyền như mô hình IntServ, mô hình DiffServ thực hiện chất lượng dịch vụ riêng lẻ trên từng router, với cách thực hiện như vậy mô hình DiffServ không cần phải tiến hành báo hiệu theo từng luồng nên tiết kiệm băng thông và có khả năng mở rộng lớn rất phù hợp trong mô hình hệ thống mạng lớn.

Những điểm nổi trội trong việc quản lý tài nguyên của mô hình DiffServ được thể hiện ở:

- Mô hình DiffServ không thực hiện báo hiệu, bắt tay khi thiết lập luồng nên không bị mất băng thông cho phần báo hiệu.

- Mô hình DiffServ thực hiện quản lý tài nguyên hiệu quả do không dành riêng tài nguyên cho bất kỳ một dịch vụ nào. Các dịch vụ được phân chia theo thứ tự ưu tiên, dịch vụ nào có độ ưu tiên cao hơn sẽ được cung cấp tài nguyên ở chế độ tốt hơn, khi không có lưu lượng chạy trên đó thì tài nguyên lại được trả về cho hệ thống và được sử dụng bởi các dịch vụ khác.

Nguyên lý hoạt động :

Nguyên lý hoạt động của DiffServ có thể diễn tả như sau: Đầu tiên các gói tin được phân loại ra thành nhiều nhóm ưu tiên từ thấp đến cao tùy theo đặc điểm của từng dịch vụ, thiết bị sẽ tiến hành cung cấp tài nguyên theo từng nhóm, nhóm nào có thứ tự cao hơn thì sẽ được cung cấp quyền được sử dụng tài nguyên ưu tiên hơn, tài nguyên sẽ được các nhóm thấp hơn dùng nếu nhóm trên không sử dụng nữa. Tất cả các quá trình này sẽ được thực hiện riêng lẻ trên từng thiết bị

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

53

VPN , QoS trên Router Cisco

Hình 2.6. Mô hình tổng quát cơ chế DiffServ

Giải pháp QoS theo mô hình DiffServ được thực hiện qua những bước sau:

Đánh dấu và phân loại gói tin. Đầu tiên các gói tin sẽ được đánh dấu để phân biệt, sau đó được sắp xếp vào các nhóm (lớp) phù hợp. Việc đánh dấu và xếp lớp sẽ giúp thực hiện các cơ chế QoS ở những bước sau:

- Quản lý tắc nghẽn: Cơ chế quản lý tắc nghẽn được thực hiện trên các giao diện của thiết bị mạng. Khi gói tin đến các giao diện này, các gói tin sẽ được phân chia theo từng hàng đợi có mức độ ưu tiên khác nhau.

- Tránh tắc nghẽn: Cơ chế loại bỏ gói tin trước khi nó có thể gây ra hiện tượng tắc nghẽn.

- Đặt ngưỡng: Cơ chế đặt ngưỡng trên, ngưỡng dưới cho băng thông, cụ thể là băng thông sẽ được đảm bảo một ngưỡng dưới tối thiểu và khi lớn hơn ngưỡng trên thì gói tin có thể bị loại bỏ hay đưa vào hàng đợi.

- Nén Header: Header chiếm phần lớn trong 1 gói tin nhưng không mang thông tin thật sự, cơ chế nén header sẽ giúp tiết kiệm được băng thông.

- Phân mảnh: Các gói tin dữ liệu thường có độ dài lớn, điều này sẽ gây trễ và tắc nghẽn. Cơ chế phân mảnh sẽ phân các gói tin này thành các gói tin nhỏ hơn để tránh tắc nghẽn.

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

54

VPN , QoS trên Router Cisco

Kết luận :

Từ ưu nhược điểm và đặc điểm của hai mô hình IntServ và DiffServ, người ta đưa ra phương pháp kết hợp hai mô hình trên để cung cấp chất lượng dịch vụ cho mạng trong đó mô hình DiffServ được sử dụng ở mạng đường trục (backbone), mô hình IntServ được sử dụng trong mạng truy nhập (access). Ngoài các phương pháp trên, người ta còn sử dụng công nghệ chuyển mạch nhãn đa giao thức (MPLS_Multiprotocol Label Switching) với kỹ thuật kiểm soát lưu lượng (traffic engineering) để cung cấp chất lượng dịch vụ.

III.4. Phân loại và đánh dấu: QoS là khả năng cung cấp các mức xử lý khác nhau hướng đến các lớp lưu

lượng riêng. Trước khi các ứng dụng hay các kỹ thuật QoS được áp dụng, lưu lượng phải được nhận biết và sắp xếp vào trong các lớp khác nhau. Những lớp khác nhau này của lưu lượng được gọi là các lớp dịch vụ trong thuật ngữ QoS.

Công cụ phân loại và đánh dấu không chỉ phân loại các packet vào các lớp dịch vụ mà còn đánh dấu chúng trong cùng một lớp với cùng giá trị trong trường header. Các IP header, LAN trunking header, Framerelay header và ATM cell header đều có ít nhất một trường có thể được dùng cho tiến trình đánh dấu QoS. Điều này giúp cho các công cụ QoS khác phân loại các gói tin đó bằng cách phân tích các bit được đánh dấu sẽ dễ dàng hơn.

III.5. Sự phân loại - Classification: Phân loại gói tin là một phần quan trọng trong các chức năng của QoS giúp cho

việc nhận biết và phân biệt các luồng thông tin khác nhau trên mạng. Phân loại được thực hiện để nhận dạng lưu lượng và phân chia lưu lượng thành các lớp khác nhau. Để phân loại gói, ta dùng bộ mô tả lưu lượng để phân chia các gói trong phạm vi các nhóm riêng biệt để định nghĩa các gói đó. Một số bộ mô tả đặc trưng dùng để phân loại gói bao gồm : bộ giao tiếp ngõ vào, độ ưu tiên IP (IP Precedence), DSCP, địa chỉ nguồn hay địa chỉ đích và các ứng dụng. Sau khi các gói đã được định danh, chúng có khả năng tiến hành các chức năng QoS trên mạng.

Hầu hết các công cụ phân loại và đánh dấu đều hoạt động trên các gói tin vào hoặc ra khỏi interface nào đó. Về logic thì nó giống như một Access List nhưng hoạt động chính là đánh dấu cho phép hay loại bỏ gói tin. Chúng hoạt động theo phương thức sau :

- Với mỗi gói tin vào một interface, nếu nó hợp với tiêu chuẩn 1, đánh dấu một field với một giá trị.

- Nếu gói tin không phù hợp, so sánh tiếp với tiêu chuẩn 2 sau đó đánh dấu field khác với một giá trị khác.

- Tiếp tục so sánh các gói cho tới khi chúng phù hợp với tiêu chuẩn.

Nếu gói tin đó không phù hợp với tiêu chuẩn nào, không có một xử lý nào cụ thể cho gói tin đó và nó sẽ được chuyển đi như thể là không có QoS tác động.

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

55

VPN , QoS trên Router Cisco

III.5.1. Class-Based Marking: CB Marking có thể phân loại gói tin vào trong các lớp dịch vụ bằng cách

phân tích các frame, cell (dùng cho ATM), packet và segment (các bit có TCP hay UDP header nhưng không có datalink hay network header). CB Marking cũng có thể dùng ACL(Access control list) để đánh dấu packet, với packet được cho phép từ ACL. Dưới đây là bảng các trường có thể phù hợp với CB Marking trong router IOS dùng ACL :

Trường Diễn giải

Địa chỉ IP nguồn Một chuỗi các địa chỉ nguồn có thể được match dùng vilcard match

Địa chỉ IP đích Một dãi các địa chỉ đích có thể match dùng vilcard match

IP precedence Các giá trị của IP precedence được định mức ưu tiên cho Traffic.

IP DSCB Dùng DSCB theo giá trị thập phân

IP ToS Có thể kiểm tra bit ToS có bật lên hay không. Với các từ khóa normal (0000), mã-reliability (1000), max-throughput (0100), min-delay(0010) và min-monetary-cost (0010).

Cổng TCP Có thể kiểm tra các cổng nguồn và đích hay một dãy các cổng xem số hiệu của cổng có lớn hơn hay nhỏ hơn một số xác định không.

Thiết lập TCP Mặc dù không hoàn toàn hữu dụng như QoS, ALC vẫn có thể match hết tất cả các TCP Segment sau khi khởi gán segment dành cho việc kết nối.

UDP Có thể kiểm tra cổng nguồn và đích, hay một dãy có các cổng xem số hiệu của cổng có lớn hơn hay nhỏ hơn một số xác định không.

ICMP Kiểm tra một lượng lớn các thông điệp ICMP khác nhau và loại code(ví dụ echo relay, echo quest).

IGMP Kiểm tra các thông điệp Internet Group Management Protocol

Bảng 2.5: Các trường có thể so trùng trong ACL mở rộng

Mặc dù IP Precedence và DSCP có thể được so trùng với ACL, nó cũng có thể được đối chiếu trực tiếp với CB Marking mà không cần dùng ACL. Bảng dưới liệt kê các field có thể match trực tiếp với CB Marking :

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

56

VPN , QoS trên Router Cisco

Trường Diễn giảiĐịa chỉ MAC nguồn CB Marking dùng lệnh match có thể đối chiếu nhiều giá

trị.IP Precedence CB Marking dùng lệnh match có thể đối chiếu nhiều giá

trị.

MPLS CB Marking dùng lệnh match có thể đối chiếu nhiều giá trị.

CoS Kiểm tra các bit ISL/802.1P CoS đến. Có thể đối chiếu nhiều giá trị bằng một lệnh. Chỉ hợp lệ trên đường Ethernet

Địa chỉ MAC đích Kiểm tra MAC đích. Có thể đối chiếu nhiều giá

trị bằng một lệnh.

Input interface Kiểm tra input interface. Có thể đối chiếu nhiều

giá trị bằng một lệnh.

IP DSCP Kiểm tra trường IP DSCP. Có thể đối chiếu nhiều

giá trị bằng một lệnh.

Dãy số cổng UDP của RTP

RTP dùng số port UDP chẵn từ 16,384 đến 32,767. Có thể đối chiếu một bộ các giá trị với số port chẵn do RTP chỉ dùng số port chẵn

QoS GroupTrường QoS dùng để dán nhãn gói tin bên trong router.

Loại NBAR protocol Được trình bày ở phần Network Based Application Recognition

Ứng dụng NBAR

Citrix

NBAR có thể nhận ra các loại ứng dụng Citrix khác nhau.

CB Marking có thể dùng NBAR để phân biệt dựa

trên những loại ứng dụng đó.

Tên host và

chuỗi URL

NBAR cũng có thể so trùng chuỗi URL kèm

với tên host dùng một câu lệnh thông thường.

CB Marking có thể dùng NBAR để so trùng

những chuỗi đó cho việc phân loại.

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

57

VPN , QoS trên Router Cisco

Bảng 2.7. Các trường so trùng trực tiếp với CB Marking

III.5.2. Phân loại với NBAR (Network-Based Application Recognition): CB Marking có thể cấu hình để tìm kiếm nhiều trường trong hai bảng trên để

phân loại gói tin trực tiếp. Tuy nhiên nó cũng có thể dùng NBAR để phân loại packet. NBAR cung cấp cho router khả năng phân loại gói tin đặc biệt là các gói tin khó nhận dạng. Ví dụ, một vài ứng dụng dùng các cổng có số hiệu động, cho nên lệnh match cấu hình tĩnh tìm kiếm một cổng UDP hay TCP có số cụ thể sẽ không thể phân loại traffic. NBAR có thể tìm kiếm bên trong UDP hay TCP header và tìm đến tên host, URL hay MIME trong các HTTP request. Sự phân tích sâu vào bên trong nội dung của gói tin này còn được gọi là deep packet inspection. NBAR cũng có thể tìm trong các header đó để nhận biết thông tin ứng dụng cụ thể. Ví dụ, NBAR cho phép sự nhận dạng các loại ứng dụng Citrix khác nhau, và cho phép tìm kiếm một mảng của chuỗi URL.

Trường Diễn giải

RTP Audio đối với

Video

RTP dùng số cổng UDP chẵn từ 16,384 đến 32,767. Số cổng lẻ sẽ được dùng bởi RTCP cho việc điều khiển traffic thoại. NBAR chỉ so trùng số cổng chẵn, do đó cho phép sự phân loại dữ liệu âm thanh vào trong một lớp dịch vụ còn tín hiệu voice thì không

Ứng dụng NBAR Citrix

NBAR có thể nhận dạng các loại khác ứng dụng Citrix khác nhau.

Tên host, chuỗi URL loại MIME

NBAR cũng có thể đối chiếu các chuỗi URL, kèm theo tên host và loại MIME dùng lệnh đơn giản

Ứng dụng ngang hàng Có thể tìm các ứng dụng chia sẻ file như KaZaa, Morpheus, Grokster và Gnutella.

Bảng 2.8. Các trường thông dụng có thể đối chiếu dùng NBAR

Phiên bản Cisco IOS 12.2(15)T và sau đó có thêm vào Cisco NBAR Protocol Discovery (CNPD) MIB. Ta có thể cấu hình NBAR, giám sát thống kê và cũng có thể cấu hình NBAR MIB gởi các trap đến trạm quản lý khi các protocol mới được phát hiện trên mạng. Điều này có ích cho cả QoS và các yêu cầu bảo mật.

III.6. Đánh dấu - Marking: Hoạt động đánh dấu cho phép các thiết bị mạng phân loại gói hay khung

(frame) dựa vào bộ mô tả lưu lượng đặc trưng. Một số bộ mô tả lưu lượng được sử dụng để đánh dấu gói như: lớp dịch vụ (CoS), DSCP, độ ưu tiên IP, nhóm QoS, chuyển mạch nhãn giao thức (MPLS). Việc đánh dấu được sử dụng để thiết lập thông tin trong tiêu đề gói lớp 2 hay lớp 3.

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

58

VPN , QoS trên Router Cisco

Đánh dấu bao gồm việc sắp đặt một vài bit bên trong một lớp data-link hay network header với mục đích giúp cho các công cụ QoS của thiết bị khác có thể phân loại dựa trên các giá trị được đánh dấu. Ta có thể đánh dấu một số lượng lớn các field tương ứng cho từng yêu cầu cụ thể. Một vài field được sử dụng nhiều, những field khác thì không. Một vài lựa chọn trong việc đánh dấu làm việc được với tất cả các thiết bị trong mạng cục bộ trong khi những cái khác chỉ dùng trên những nền phần cứng chỉ định. Và việc marking trên WAN cũng vậy.

Phần dưới đây sẽ liệt kê một danh sách các trường header mà ta dùng cho marking bên cạnh việc giải thích khi nào hữu dụng nhất trên một field cụ thể và khi nào dùng để phân loại và đánh dấu.

III.6.1 Các trường IP Header QoS - Precedence và DSCP: Precedence và DSCP là hai trường được sử dụng nhiều nhất để đánh dấu. Các

công cụ QoS sử dụng chúng bởi vì header của gói tin IP tồn tại ở mọi nơi trên mạng. Để thiết lập giá trị DSCP (Differentiated Services Code Point), và xem xét mối quan hệ giữa DSCP và IP Precedence, ta cần phải biết rõ các trường trong IP header. Sau đây sẽ trình bày chi tiết DSCP và các trường của nó.

Differentiated Services Code Point (DSCP)

Trong mỗi gói IP có chứa một byte gọi là ToS (Type of Service). Sáu bits có ý nghĩa trong trường DiffServ (DS) được biết như là trường phân biệt dịch vụ và được đánh dấu bởi một mẫu bit đặc biệt gọi là DSCP dùng để chỉ ra cách thức mỗi bộ định tuyến cần xử lý gói. Với 6 bit có thể tạo ra đến 64 lớp dịch vụ. Tuy nhiên, trong thực tế chỉ có một số lớp dịch vụ được triển khai. Giá trị IP Precedence (đạt được từ 3 bit có trọng số lớn nhất trong trường ToS) có thể được ánh xạ đến trường DSCP, vừa khớp với các bit trong trường này.

ToS Byte

Hình 2.7. Thể loại dịch vụ

- 3 bit đầu là thứ tự IP (P2 đến P0).

- 2 bit tiếp theo trì hoãn, thông lượng và độ tin cậy (T2 đến T1)

- CU1 và CU0 hiện tại không sử dụng (Currently and Unused).

DiffServ Field

Hình 2.8. Trường Diffserv

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

59

VPN , QoS trên Router Cisco

- 6 bit DSCP (DS5 đến DS0)

- 2 bit ECN

Trường DiffServ chuẩn của gói Packet thì đánh dấu với một giá trị cũng như người

nhận một sự xử lý chuyển tiếp hoặc PHB, tại mỗi nút mạng.

Mặc định DSCP là 000000. Người lựa chọn class DSCP phải chú ý điểm này cho tương thích với thứ tự IP. Khi thay đổi giữa thứ tự IP và DSCP, so khớp nó với 3 bit đầu là quan trọng.

Ví dụ: IP Prece 5 (101) ánh xạ cho IP DSCP 101 000

ToS Byte

DiffServ Field

Sử dụng chuẩn DiffServ tương tự như thứ tự các bit (các bit quan trọng DS5, DS4, DS3) để thiết lập ưu tiên, nhưng thêm vào đó nó làm rõ các định nghĩa, thường thì tốt qua việc sửa ba bit tiếp theo trong DSCP. DiffServ tổ chức lại và duy trì những mức thứ tự ( vẫn xác định bởi 3 bit quan trọng thuộc DSCP) trong 3 loại (những mức thì giải nghĩa chi tiết hơn).

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

60

VPN , QoS trên Router Cisco

Hình 2.8. Xác định các mức thứ tự trong Diffserv

Với hệ thống này, một thết bị dành riêng lưu lượng cho class đầu tiên. Sau đó nó phân biệt và dành riêng cho các class lưu lương tương tự, mang đến khả năng Drop trong mạng. Chuẩn DiffServ thì không chỉ định một định nghĩa chính xác cho “low” “medium” và “high” khả năng Drop.

III.6.2. Chuyển tiếp đảm bảo (Assured Forwarding) :Chuyển tiếp đảm bảo (AF) PHB và mô tả nó như một tiềm năng cho một nhà cung

cấp vùng DS theo những mức khác nhau của chuyển tiếp đảm bảo dành cho những packet IP nhận từ một khách khách hàng vùng DS. Chuyển tiếp đảm bảo PHB một sự đảm bảo số lượng băng thông cho class một chuyển tiếp đảm bảo và cho phép truy cập theo hướng băng thông thêm vào, nếu có sẵn.

Đó là 4 class chuyển tiếp đảm bảo, AF1x qua AF4x. Trong phạm vi mỗi class, nó thì có khả năng Drop. Được quyết định trong chính sách của mạng, những gói tin có thể được chọn cho một PHB cơ bản với yêu cầu thông lượng, delay, jitter, loss hoặc theo độ ưu tiên cho truy cập đến dịch vụ mạng.

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

61

VPN , QoS trên Router Cisco

Class 1 đến class 4 thì đề cập bởi những class AF. Bảng sau đây sẽ cung cấp DSCP để chỉ định class AF với khả năng của từng class. Bit DS5, DS4 và DS3 xác định class; bit DS2 và DS1 chỉ định khả năng Drop; bit DS0 thì luôn luôn là 0.

Bảng 2.9. Xác định cấp DSCP để chỉ định class AF với khả năng của từng class

Lớp dịch vụ DSCP PHB DSCP Value IP Precedence

Video

(class video)

CS4 40(100,000) 4

Mission critical Data (class FTP)

AF31 26(011,010) 3

Transaction Data (class DB)

AF21 18(010,010) 2

Bulk Data

(class Bakup)

AF11 10(001,010) 1

Best–Effort Data (class Http)

Default 0(000,000) 0

Bảng 2.10. Phân loại lưu lượng ở tầng Network

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

62

VPN , QoS trên Router Cisco

Hình 2.9. Các heard được sử dung trên dòng dữ liệu cụ thể

Trên hình, gói tin IP đến host PC2 xuyên suốt mạng trong khi các data-link header chỉ tồn tại khi frame băng qua giữa host và router hay giữa các router.

Ta có thể đánh dấu các trường Precedence và DSCP với bất kì giá trị nhị phân nào với cả 3 hay 6 bit. Ta đã đề cập vấn đề này ở các phần trước. Một cách tóm tắt, các giá trị Precedence phải được tăng lên như số lượng hoạt động QoS ngày càng nhiều. DSCP thì khác ở chỗ trong một vài PHB, số lượng lớn giá trị DSCP không phải luôn luôn làm cho QoS tốt hơn.

III.6.3 LAN Class of Service - CoS:

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

63

VPN , QoS trên Router Cisco

Nhiều LAN switches hiện nay có thể đánh dấu và tác động trên các trường 3 bit Layer 2 được gọi là CoS nằm bên trong Ethernet header. CoS field chỉ tồn tại bên trong Ethernet frame khi các đường trunk 802.1Q và ISL được sử dụng. Ta có thể sử dụng trường đó để thiết lập 8 giá trị nhị phân khác nhau mà có thể dùng cho chức năng phân loại của công cụ QoS như IP Precedence và DSCP.

Hình 2.10. Trường LAN CoS bên trong ISL 802.1Q IP Header

CoS thật tế là hai trường khác nhau - Một field bên trong 802.1Q trunking header và một ở ISL header. Chuẩn IEEE 802.1Q dùng 3 bit đầu trong 2 byte của trường Tag Control gọi là bit ưu tiên người dùng. Đặc điểm ISL độc quyền của Cisco dùng 3 bit cuối từ 1 byte của trường User được tìm thấy trong ISL header.

III.6.4 Một vài trường đánh dấu khác: Trong mạng Frame Relay và ATM ta có thể dùng các trường 1 bit để đánh dấu

frame hay cell cho Layer 2 QoS. Mỗi trường 1 bit đơn này chỉ đưa ra sự nhận định frame hay cell nào có nhiều khả năng hơn có thể bị drop so với khi không thiết lập các bit đó. Nói cách khác ta có thể đánh dấu bit, nhưng QoS tool khác chỉ dùng nó trong việc drop frame hay cell thôi.

Frame Rely dùng discard eligibility (DE) bit và ATM dùng cell loss priority (CLP) bit. Khi một thiết bị như WAN switch nhận biết được sự tắc nghẽn, nó cần phải loại bỏ một vài frame hay cell. Nếu frame hay cell được thiết lập DE và CLP bit, switch sẽ chọn loại bỏ chúng trước. Điều này phụ thuộc vào người quản lý Frame Relay hay ATM switch đó quyết định khi nào nó sẽ thiết lập các bit DE, CLP và hoạt động một cách khác nhau.

MPLS Experimental bits gồm một trường 3 bit ta dùng để ánh xạ IP Precedence vào một nhãn MPLS. Cũng vậy, thay vì chỉ đơn giản ánh xạ IP Precedence cho trường MPLS Experimetal, ta có thể thực hiệc CB Marking, phân loại và đánh dấu theo các bit MPLS Experimental cụ thể. Việc này giúp cho MPLS router thực hiện các tính năng của QoS một cách gián tiếp dựa trên trường IP Precedence nguyên thuỷ bên trong gói tin IP được đóng gói bởi MPLS mà không phải mở IP packet header và phân tích trường IP Precedence.

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

64

VPN , QoS trên Router Cisco

III.7. Các công cụ phân loại và đánh dấu:

III.7.1 Cấu hình theo Class - Based Marking:

Để cấu hình theo CB Marking, thực hiện theo các bước sau :

- Phân loại các gói tin vào trong các lớp dịch vụ bằng lệnh match bên trong MQC class map.

- Đánh dấu các gói tin trong mỗi lớp dịch vụ dùng lệnh set trong MQC policy map.

- Kích hoạt CB Marking đã định nghĩa trong policy map dùng lệnh MQC servicepolicy ở một interface.

Lệnh Chức năng

Match [ip] precedence precedence-

value[precedence-value precedenc-value]

So trùng Precedence trong gói tin Ipv4 khi tham số IP được thêm vào. So trùng giữa các gói Ipv4 và Ipv6 nếu không có [IP]

Match access-group {access-group / name access-group-name

So trùng một ACL theo số hay tên

Match any So trùng tất cả các gói tin.

Match class map class-map-name So trùng theo một class-map khác

Match cos cos-value [cos-value-cos – value-cos-value]

So trùng một giá trị cos

Match detination-address mac address So trùng địa chỉ MAC đích

Match input-interface interface-name

So trùng một Interface vào.

Match ip dscp ip-dscp-value [ip-dscp-DSCP trong gói tin Ipv4 khi

value ip-dscp-value ip-dscp-value ip-So trùng giữa

dscp-value ip-dscp-value

So trùng DSCP trong gói tin Ipv4 khi value ip-dscp-value ip-dscp-value ip-dscp-value ip-dscp-value ip-dacpđược thêm vào. So trùng giữa

tin Ipv4 và Ipv6 nếu không có [ip].

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

65

VPN , QoS trên Router Cisco

ip-dscp-không có [ip].

value]Match packet length {max maximum-vào độ dài ngắn

length-value [minimum-length-value] / minimum-length-value [max maximum-length-value]}

So trùng các gói tin dựa vào độ dài ngắn nhất hay dài nhất hay cả hai

Match protocol protocol-name So trùng loại giao thức NBAR

Match Qos –group Qos-group-value So trùng một QoS groupMatch resource-address mac

address-destinationđịa chỉ MAC nguồn.

So trùng một địa chỉ MAC nguồn.

Bảng 2.11. Một vài cấu hình lênh MAC trong CB Marking

Lệnh Chức năng

Set [ip] precedencep ip-precedencep-value

Đánh dấu giá trị của các IP precedencep cho các gói tin Ipv4 và Ipv6 nếu tham số IP bị bỏ qua . Nếu tham số IP được thêm vào thì chỉ thiết lập cho gói Ipv4.

Set [ip] dscp ip-dscp-value Đánh dấu giá trị của IP DSCP cho các gói tin Ipv4 và Ipv6 nếu tham số IP bị bỏ qua . Nếu tham số IP được thêm vào thì chỉ thiết lập cho Ipv4.

Set cos cos-value Đánh dấu giá trị của Cos

Set qos-group group-ip Đánh dấu giá trị của qos group

Bảng 2.12. Các cấu hình lệnh set trong CB Marking

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

66

VPN , QoS trên Router Cisco

Bảng 2.13. Các cấu hình lệnh thưc thi trong CB Marking

III.7.2. Network-Based Application Recognition (NBAR):

CB Marking và những công cụ thuộc MQC khác có thể dùng NBAR để phân loại traffic. Dùng lệnh class map phụ match protocol MQC có thể so trùng các giao thức được nhận biết bởi NBAR. Sự kết nối giữa NBAR và CB Marking hay các công cụ MQC khác đều dựa trên lệnh match protocol.

Lệnh Chức năng

Ip nbar protocol-discovery Interface mode. Kích hoạt cho NBAR cho traffic ra vào interface.

Ip nbar port-map protocol-name[tcp|udp] port-number

Global mode. Nói NBAR tìm kiếm các giao thức sử dụng số cổng đã khác với số cổng đã biết. Cũng có thể định nghĩa số cổng được dùng cho gói tin từ thiết lập.

Ip nbar pdlm pdlm-name Global mode. Mở rộng danh sách các giao thức nhận biết bởi NBAR bằng cách thêm vào PDLMs

Snmp-sever enable traps cnbd Global mode. Kích hoạt việc gủi các bẫy NBAR

Show ip nbar protocol-discovery[interface interface-spec] [stats

{byte-count | bit-rate | packet-

packet-count}] [{protocol protocol-name | top-n number}]

Liệt kê thông tin thống kê các giao thức phát hiện được. Các số thống kê có thể được liên kết theo Interface giao thức hay theo n giao thức đầu

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

67

VPN , QoS trên Router Cisco

Show ip nbar port-map [protocol-name]

Liệt kê danh sách cổng đang được dùng bởi các giao thưc được tìm thấy.

Bảng 2.14. Các cấu hình lệnh cấu hình cho NBAR

Chương III. Tắc nghẽn,

các công cụ phòng chống, quản lí tắc nghẽn :

I. Tắc nghẽn:

Các nguyên nhân gây tắc nghẽn thông thường rơi vào các trường hợp sau:

- Nghẽn mạng xảy ra do lưu lượng vượt mức giới hạn dẫn đến thiếu không gian bộ đệm, làm tăng sự hội tụ lưu lượng, tăng sự lưu thông mạng. Việc tăng băng thông đường truyền là giải pháp không hề đơn giản để giải quyết vấn đề nghẽn trong một số trường hợp. Lưu lượng không mong muốn có thể phủ đầy hàng đợi và gây ra tình trạng thiếu băng thông cho các lưu lượng thoại hay các nguồn lưu lượng có sự tương tác.

- Trước hết nghẽn có thể xảy ra khi tốc độ đường truyền không phù hợp. Tốc độ đường truyền không phù hợp phổ biến khi lưu lượng di chuyển từ mạng có tốc độ cao như LAN (100 hay 1000 Mbps) sang các đường truyền có tốc độ thấp như đường WAN (1 hay 2 Mbps). Sự không phù hợp về tốc độ cũng phổ biến trong mạng LANLAN, khi lưu lượng di chuyển từ mạng LAN có tốc độ 1000 Mbps sang mạng LAN có tốc độ đường truyền 100 Mbps.

- Bên cạnh đó mạng cũng có thể bị nghẽn tại nơi tập trung lưu lượng mạng. Trong mạng WAN việc nghẽn xảy ra khi nhiều trạm ở xa cùng gửi về một trạm dịch vụ trung tâm. Trong mạng LAN, nghẽn thường xảy ra ở lớp phân phối mạng nơi các thiết bị lớp truy xuất khác nhau cùng gửi lưu lượng đến bộ chuyển mạch ở mức phân phối.

II. Cơ chế quản lý tắc nghẽn:

Cơ chế quản lý nghẽn, còn được gọi là cơ chế hàng đợi (queuing), muốn chỉ đến cách thức mà một router hay một switch quản lý gói tin hay một frame khi dữ liệu đó đang chờ để đi ra một cổng. Với router, quá trình chờ đợi thường diễn ra khi tiến trình đẩy gói tin IP đã hoàn tất. Vì vậy, cơ chế hàng đợi thường chỉ được xem xét là hàng đợi ra. Các LAN switch thường hỗ trợ cả hàng đợi vào và hàng đợi ra, trong đó hàng đợi vào thường được dùng để nhận frame đang được truyền ra ngõ ra của switch. Công cụ tránh nghẽn muốn chỉ đến thuật toán được dùng khi quyết định có hay không và khi nào thì gói tin nên bị loại bỏ khi một hệ thống hàng đợi đã bị quá tải. Các công cụ chống tắc nghẽn dựa trên các hoạt động của TCP để thực hiện giảm sự tắc nghẽn. Hầu hết Intenet phổ biến là các traffic dạng TCP. Tốc độ truyền thông TCP đều bị giảm tốc độ sau khi có sự thất thoát các gói tin. Bằng cách loại bỏ một số lượng packet các công cụ chống tắc nghẽn sẽ làm cho các traffic chậm lại và sự tắc

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

68

VPN , QoS trên Router Cisco

nghẽn giảm đi.

III. Khái niệm hàng đợi trong Cisco router: Các router Cisco có thể được cấu hình để thực hiện đưa vào hàng đợi những gói tin

đang chờ thoát ra khỏi một cổng. Ví dụ, nếu một router nhận mức lưu lượng 5Mbps trong vài giây liên tiếp và tất cả các lưu lượng đó cần đi ra cổng T1 (1.544Mbps), router sẽ không thể truyền tất cả các lưu lượng đó. Vì vậy, router sẽ đặt tất cả các gói tin vào một trong những hàng đợi phần mềm. Những hàng đợi này có thể cấu hình và thông qua đó, người quản trị có thể can thiệp những gói tin nào có thể kế tiếp rời khỏi cổng, những gói tin nào có thể loại bỏ.

Hình 3.1: Các thành phần của Queuing

III.1 Hàng đợi phần cứng và hàng đợi phần mềm: Khái niệm này dễ bị bỏ qua khi ta nói đến các chi tiết bên dưới của hàng đợi

cứng và hàng đợi mềm trong một cổng vật lý của router. Các hàng đợi được tạo ra trên một cổng của router bằng các công cụ hàng đợi là hàng đợi mềm vì các hàng đợi này được thực hiện bằng phần mềm. Tuy nhiên, khi cơ chế hàng đợi xử lý đến gói tin kế tiếp trong hàng đợi mềm, gói tin này không được di chuyển trực tiếp ra cổng vật lý. Thay vào đó, router sẽ di chuyển gói tin từ hàng đợi mềm sang một hàng đợi nhỏ bằng phần cứng FIFO. Cisco gọi các hàng đợi riêng biệt cuối cùng này là hàng đợi truyền (transmit queue-TX queue) hoặc vòng tròn hoặc vòng tròn truyền (TX ring) tùy thuộc vào kiểu router. Tổng quát, các hàng đợi này được gọi là các hàng đợi phần cứng.

Các hàng đợi phần cứng có các đặc điểm sau đây :

Khi một cổng hoàn tất việc gởi một gói tin, gói tin kế tiếp từ hàng đợi cứng có thể

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

69

VPN , QoS trên Router Cisco

được mã hóa và gởi ra cổng mà không cần ngắt CPU bằng phần mềm, giúp đảm bảo sử dụng đầy đủ băng thông của cổng.

- Luôn luôn dùng cơ chế FIFO.

- Không thể bị ảnh hưởng bởi các công cụ hàng đợi QoS.

- IOS tự động giảm kích thước của hàng đợi phần cứng đến một chiều dài nhỏ hơn khi một công cụ hàng đợi được dùng.

III.2 Các cơ chế hàng đợi trên cổng và trên sub-interface: Các công cụ hàng đợi của IOS có thể tạo và quản lý các hàng đợi mềm kết

hợp trong một cổng vật lý và sau đó các gói tin chảy vào hàng đợi phần cứng. Thêm vào đó, các hàng đợi phần mềm có thể được dùng kết hợp với công cụ định dạng lưu lượng shaping. Các công cụ định dạng lưu lượng (shaping) có thể làm chậm gói tin để đảm bảo rằng một nhóm các gói tin không vượt quá tốc độ định nghĩa. Khi làm chậm gói tin, chức năng định dạng lưu lượng sẽ xếp hàng các gói, mặc định theo kiểu FIFO. Tùy thuộc vào kiểu công cụ định hình lưu lượng được dùng, các hàng đợi khác nhau có thể được cấu hình để quản lý độ trễ của các gói tin gây ra bởi công cụ shaping.

Cisco IOS cung cấp nhiều công cụ hàng đợi. Bảng dưới đây sẽ tóm tắt các đặc điểm chính của các công cụ hàng đợi khác nhau :

Hình 3.1. Các đặc điểm của hàng đợi

Khi ta khảo sát các cơ chế hàng đợi, ta cần xem xét cách thức phân loại mà cơ chế hàng đợi này dùng, chính sách loại bỏ gói tin khi tất cả các hàng đợi đều đã đầy, phần định thời được dùng để giải phóng gói tin. Ta cũng cần phân tích số hàng đợi tối đa được hỗ trợ trong mỗi cơ chế và chiều dài tối đa của mỗi hàng đợi.

IV. Các công cụ hàng đợi quản lý sự tắc nghẽn mạng:

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

70

VPN , QoS trên Router Cisco

Có một cách để xử lý sự tràn thông tin (khi lượng thông tin đến vượt quá dung lượng của nơi nhận) là sử dụng một thuật toán dựa vào hàng đợi để sắp xếp các traffic và sau đó xác định vài phương pháp để phân quyền ưu tiên cho từng gói tin đi ra ngoài. IOS của Cisco hỗ trợ các công cụ như sau:

- First-in, first-out (FIFO)

- Priority queuing (PQ)

- Custom queuing (CQ)

- Weighted fair queuing (WFQ)

- Low Latency Queuing (LLQ)

Mỗi thuật toán hàng đợi đã được thiết kế để giải quyết một vấn đề cụ thể cho việc truyền thông trên mạng và có một hiệu quả đặc biệt để tăng hiệu suất của mạng.

IV.1. FIFO: Một cách đơn giản nhất, thuật toán sắp xếp FIFO (dựa trên khả năng store-

and-forward) thực hiện việc lưu trữ các gói tin khi mạng bị tắc nghẽn và chuyển các gói tin đi khi mạng đã thông. FIFO là thuật toán sắp xếp truyền thông mặc định trong một số trường hợp, bởi thế không cần phải cấu hình, nhưng nó có những hạn chế nhất định. Hạn chế lớn nhất là FIFO không có sự phân quyền ưu tiên cho các gói tin, không có sự thỏa thuận băng thông truyền và không có sự chỉ định về bộ đệm. Nó cũng không có sự kiểm tra lại các thông tin bị hỏng hay bị mất. Sự tăng nhanh của các tài nguyên truyền có thể gây ra sự chậm trễ khoảng một thời gian dài trong việc phân phát thời gian cho sự giao tiếp giữa các ứng dụng trên mạng và gây khó khăn cho việc điều khiển truyền thông của mạng cũng như việc truyền các tín hiệu cho các thông điệp.

Hình 3.2. Hoạt động của FIFO

Trong queue có ba gói tin L1, L2, L3 theo thứ tự thì L1 được chuyển đi trước và kế tiếp là L2, L3.

IV.2. Truyền thông có thứ tự - Priority Queuing (PQ):

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

71

VPN , QoS trên Router Cisco

Q đảm bảo các thông tin quan trọng sẽ được giải quyết một cách nhanh nhất tại mỗi nơi nó được sử dụng. Thuật toán này được thiết kế dành cho các traffic quan trọng với một thứ tự khắc khe. Việc sắp xếp các thứ tự ưu tiên rất phức tạp: có thể ưu tiên theo từng giao thức (IP, IPX, Apple Talk), theo các port đến, kích thước của packet, địa chỉ nguồn hay địa chỉ đích vv... Trong thuật toán PQ mỗi packet được ấn định vào một trong 4 cấp độ ưu tiên để sắp xếp là: cao, trung bình, thông thường và thấp. Các gói tin không thuộc về những tiêu chí sắp xếp trên sẽ được ấn định độ ưu tiên là thông thường. Như sự mô tả trong hình dưới đây, trong suốt quá trình truyền nhận, thuật toán luôn thực hiện cho các công việc có độ ưu tiên cao sau đó mới đến các quyền ưu tiên thấp hơn.

Hình 3.3. Phân loại và xử lí theo cơ chế ưu tiên

PQ rất hữu ích cho việc giao tiếp giữa các traffic quan trọng cần được ưu tiên trên mạng WAN. Giả sử Cisco sử dụng thuật toán PQ để đảm bảo các báo cáo dữ liệu về việc giao tiếp thương mại phải được truyền đầu tiên đến trụ sở sau đó mới đến các công việc khác. Hiện tại thuật toán PQ sử dụng cấu hình tĩnh và bởi thế không tự động cập nhật các thay đổi của mạng khi cần thiết.

IV.3. Đảm bảo băng thông - Custom Queuing (CQ): CQ được thiết kế để cho phép nhiều ứng dụng, nhiều tổ chức có thể chia

sẻ thông tin của mạng với các ứng dụng khác bằng lượng băng thông nhỏ cần thiết và thời gian trễ thích hợp cho các dịch vụ đó. Trong những môi trường như vậy, băng thông phải được chia sẻ cân xứng giữa các ứng dụng và giữa các người dùng. Sử dụng các đặc tính của thuật toán CQ hỗ trợ bởi Cisco để được đảm bảo về băng thông tại những nơi có thể xảy ra tắc nghẽn, hay để chắc rằng việc truyền thông giữa các ứng dụng sẽ diễn ra đúng với băng thông đã chỉ định và thiết lập lượng băng thông còn lại của mạng cho những ứng dụng truyền thông khác. Các yêu cầu của khách hàng được sắp xếp bằng cách thiết lập một số lượng cụ thể không gian, kích thước của hàng đợi mỗi lớp của các gói dữ liệu sau đó xử lý các gói thông tin đó theo thuật toán round-robin.

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

72

VPN , QoS trên Router Cisco

Hình 3.4. Phân loại và đưa gói tin vào hàng đợi trong SNA

Trong hình trên, việc đóng gói của hệ thống SNA (System Network Architecture) cần đảm bảo một số lượng nhỏ các dịch vụ. Chúng ta có thể cung cấp một nửa băng thông sẵn có để phục vụ cho việc truyền dữ liệu của hệ thống SNA, và ấn định phần băng thông còn lại cho các giao thức khác như IP hay IPX.

IV.4. Hàng đợi theo trọng số - Weighted Fair Queuing (WFQ): WFQ khác với PQ và CQ ở vài điểm. Sự khác biệt lớn nhất là WFQ không cho

phép người quản trị can thiệp vào quá trình phân loại lưu lượng. WFQ tự động phân loại các gói tin dựa trên thông tin về dòng lưu lượng, trong đó từng dòng sẽ được đặt trong một hàng đợi riêng lẻ. Một dòng được định nghĩa bao gồm tất cả các gói tin có cùng giá trị như:

+ Địa chỉ IP nguồn.

+ Địa chỉ IP đích.

+ Giao thức lớp transport. + Địa chỉ cổng nguồn TCP hay UDP. + Địa chỉ cổng đích TCP hay UDP.

+ Giá trị độ ưu tiên của gói tin IPP (IP Precedence).

Bởi vì WFQ phân các gói tin vào các dòng lưu lượng khác nhau và sau đó đưa các dòng này vào trong những hàng đợi khác nhau, router sẽ có số hàng đợi khác nhau. Số hàng đợi này nhiều hơn bất kỳ các công cụ hàng đợi khác (tức là các công cụ hàng đợi không xử lý theo dòng lưu lượng). Cơ chế định thời của WFQ dùng các thuật toán hoàn toàn khác với các thuật toán của các công cụ hàng đợi khác ở điểm nó có thể quản lý một số lượng lớn các hàng đợi. Tuy nhiên, mục đích tổng thể của WFQ là rất

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

73

VPN , QoS trên Router Cisco

dễ hiểu và được tóm tắt như sau: - Các dòng có cùng độ ưu tiên IPP của gói tin IP sẽ được cấp cùng một mức băng

thông, bất chấp có bao nhiêu byte trong mỗi dòng lưu lượng. - Đối với những dòng có những giá trị IPP khác nhau, các dòng có độ ưu tiên IPP

cao hơn sẽ được cấp một lượng băng thông cao hơn.

- Kết quả là WFQ sẽ ưu tiên cho những dòng có dung lượng nhỏ và có độ ưu

tiên cao.

Giả sử, nếu WFQ đang quản lý 10 hàng đợi với các giá trị IPP bằng nhau trên một cổng 128kbps, mỗi dòng lưu lượng sẽ nhận được khoảng băng thông bình quân 12.8kbps. Các hàng đợi sẽ làm cho những dòng lưu lượng lớn hơn 12.8kbps, nghĩa là bị trễ (delay) nhiều hơn. Các dòng có băng thông nhỏ hơn 12.8kbps sẽ truyền đi nhanh hơn và trong trường hợp các hàng đợi là trống thì WFQ sẽ cấp phần băng thông dư cho những hàng đợi khác. Kết quả là các dòng lưu lượng thấp sẽ đi qua, còn dòng lưu lượng cao sẽ bị ảnh hưởng.

Mục đích thứ hai của WFQ là cung cấp đủ băng thông cho các dòng lưu lượng có độ ưu tiên IPP cao. Để làm điều này, các dòng được gán trọng số dựa theo giá trị IPP + 1. Nói cách khác, các dòng có độ ưu tiên IPP bằng 7 sẽ có băng thông nhiều hơn tám lần so với dòng có độ ưu tiên IPP bằng 0, bởi vì (7+1)/(0+1)=8. Một ví dụ khác, nếu so sánh dòng có độ ưu tiên 3 với độ ưu tiên 0, tỉ lệ băng thông được cấp phát là (3+1)/(0+1)=4.

Hình 3.5. Mô hình hoạt động của thuật toán WFQ

Tiến trình định thời WFQ

Để đạt được mục đích cấp phát băng thông, WFQ dùng bộ định thời khá đơn giản. Bộ định thời sẽ lấy gói tin có chỉ số tuần tự thấp nhất sequence number SN (còn gọi là thời gian hoàn thành finish time) khi nó cần chuyển gói tin kế tiếp đến hàng đợi phần cứng.

Công thức tính chỉ số tuần tự SN của một gói tin trong một dòng lưu lượng là SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

74

VPN , QoS trên Router Cisco

như sau:

SN=chỉ số SN trước đó+(trọng số weight*chiều dài gói tin mới).

Trong đó trọng số được tính như sau:

Weight=32384/(IP_Precedence+1)

Công thức trên có tham chiếu đến chiều dài của gói tin mới, trọng số của dòng lưu lượng và giá trị SN trước đó.

Bằng cách xem xét chiều dài gói tin, việc tính toán số tuần tự SN có thể dẫn đến một chỉ số SN rất cao cho những gói tin có kích thước lớn và chỉ số tuần tự SN thấp hơn cho những gói tin có kích thước nhỏ hơn. Với việc bao gồm luôn chỉ số tuần tự SN của gói tin trước đó trong hàng đợi, công thức này sẽ tính ra chỉ số SN lớn hơn cho những gói tin trong hàng đợi đã có một số lượng lớn gói tin.

Bằng cách gán trọng số (IPP+1), các gói tin có độ ưu tiên IPP cao sẽ có kết quả SN thấp hơn.

Hình dưới đây sẽ mô tả cách hai gói tin được gán hai chỉ số tuần tự như thế nào. Tính toán chỉ số tuần tự SN của một gói tin thì dễ dàng. Tuy nhiên gói tin đầu tiên trong một dòng lưu lượng nào đó thì không có chỉ số tuần tự SN của gói tin trước đó để dùng trong công thức tính toán trên. Công thức mô tả rằng chỉ số tuần tự SN của gói tin cuối cùng được đưa vào hàng đợi cứng thì được dùng như là chỉ số tuần tự SN cho dòng mới theo sau.

Hình 3.6. Mô hình tả cách tính SN (Sequence Number)

Sau khi các chỉ số tuần tự SN đã được gán, còn lại, công việc chọn gói tin nào để giải phóng của bộ định thời trở nên đơn giản. Nó sẽ lấy gói tin có chỉ số SN thấp nhất giữa tất cả các hàng đợi.

Chính sách loại bỏ gói tin của WFQ, số hàng đợi và chiều dài hàng đợi

Trong hoạt động của router, mặc dù đã đưa các lưu lượng vào các hàng đợi SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

75

VPN , QoS trên Router Cisco

tương ứng, nhưng nếu lưu lượng đi qua router vẫn tiếp tục tăng cao, bắt buộc router sẽ phải tiến hành việc loại bỏ bớt gói tin để giảm bớt nghẽn. WFQ dùng tiến trình hai bước gọi là loại bỏ cuối hàng có bổ sung (modified tail drop) để chọn lựa khi nào thì loại bỏ gói tin. Theo tên gọi, tiến trình này khác với tiến trình loại bỏ cuối hàng thông thường.

- Đầu tiên, WFQ sẽ xem xét giới hạn tuyệt đối của tất cả các gói tin trong hàng đợi giữa tất cả các hàng đợi, giới hạn này gọi là hold-queue limit. Nếu một gói tin đến hàng đợi và giới hạn hold-queue đã tới, gói tin sẽ bị loại bỏ. Quyết định đó không dựa trên một hàng duy nhất nhưng trên toàn hệ thống hàng đợi của WFQ. Nói cách khác, giới hạn hold-queue này là một chỉ số toàn cục, được tính toán tổng thể giữa các hàng đợi WFQ.

- Thứ hai là WFQ sẽ xem xét chiều dài của một hàng đợi mà trong đó những gói tin sẽ được đưa vào. Trước khi đưa một gói tin vào hàng đợi, mức ngưỡng congestive discard threshold (CDT) sẽ được kiểm tra với chiều dài thực sự của hàng đợi đó. Nếu hàng đợi là dài hơn CDT, một gói tin sẽ bị loại bỏ, nhưng có thể không phải là những gói tin mới đến. Gói tin có chỉ số tuần tự cao nhất trong tất cả các hàng đợi của WFQ sẽ bị loại bỏ

Hình 3.7. Mô tả tiến trình loại bỏ của WFQ

Những gói tin vừa đến sẽ đi qua tiến trình này, nhưng trong một nhánh của thuật toán, gói tin m ới đến sẽ không bị loại bỏ, thay vào đó, mộ t gói tin khác trong một hàng đợi khác sẽ bị loại bỏ. Một cách cơ bản, nếu gói mới đến cần phải đi vào một hàng đợi đã vượt quá CDT, WFQ sẽ loại bỏ gói tin có chỉ số tuần tự cao nhất từ bất kỳ hàng đợi nào. Giá trị CDT phải gán bằng bội số của 2. IOS sẽ không chấp nhận bất kỳ giá trị nào khác. IV.5. Class-Based WFQ (CBWFQ):

Cisco tạo ra CBWFQ và LLQ, sử dụng các khái niệm từ PQ, CQ và WFQ và có thêm vào vài đặc điểm khác. CBWFQ dành riêng b ăng thông cho từng hàng đợi và dùng khái niệm WFQ cho các gói tin trong lớp mặc định. LLQ thêm vào trong CBWFQ khái niệm hàng đợi ưu tiên, nhưng không giống như PQ, LLQ ngăn các hàng đợi có độ ưu tiên cao khỏi việc bị rơi vào trạng thái chết. Thêm vào đó, cả CBWFQ và LLQ đều dùng cú pháp tổng quát của MQC khi cấu hình, có nghĩa là nó có các tuỳ chọn phân loại mạnh, bao gồm cả NBAR. CBWFQ và LLQ dùng cấu hình tương tự nhau, sự khác nhau nằm ở chỗ câu lệnh bandwidth hay câu lệnh priority được dùng.

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

76

VPN , QoS trên Router Cisco

Bởi vì các hai công cụ đều dùng MQC, cả hai sẽ dùng class-map để phân loại và dùng poli cy map để tạo ra một tập hợp các nhóm lưu lượng để dùng trên một cổng. Các lớp định nghĩa trong policy map sẽ dùng một hàng đợi. Kết quả là, thuật ngữ hàng đợi và class thường thường dùng qua lại khi làm việc với LLQ và CBWFQ. Nghĩa là, ta có thể ám chỉ đến một lớp lưu lượng nào đó bằng cả thuật ngữ queue hay class.

CBWFQ và LLQ hỗ trợ 64 hàng đợi hoặc classes. Chiều dài hàng đợi tối đa có thể thay đổi, với giá trị tối đa và chiều dài mặc định thay đổi dựa theo kiểu của router và tổng số bộ nhớ được dùng. Cả hai đều có một hàng đợi đặc biệt gọi là hàng đợi mặc định. Hàng đợi này tồn tại ngay cả khi nó không được cấu hình. Nếu một gói tin không thuộc về nhóm nào được cấu hình trong một policy map, IOS sẽ đặt gói tin và hàng mặc định. CBWFQ có thể được cấu hình cho nhóm mặc định.

Cấu trúc của CBWFQ

Hình 3.8. Mô tả hoạt động của Class-based-

WFQ(CBWFQ)- CBWFQ hỗ trợ nhiều lược đồ class (tuỳ thuộc vào nền) để phân loại traffic vào

các hàng đợi FIFO tương ứng với nó. - Tail drop là cơ chế loại bỏ mặc định của CBWFQ. Các đặc điểm cơ bản CBWFQ

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

77

VPN , QoS trên Router Cisco

Bộ phận định thời CBWFQ đảm bảo một tỉ lệ tối thiểu của băng thông đến từng hàng đợi. Nếu tất cả các hàn g đợi có một số lượng lớn gói tin, mỗi hàng đợi sẽ nhận phần trăm băng thông ngầm định bởi cấu hình.

Bảng 3.2. Mô tả đặc điểm cảu CBWFQ

IV.6. Low-Latency Queuing (LLQ):

Nếu chỉ căn cứ theo tên gọi, cơ chế hàng đợi LLQ có v ẻ như là công cụ hàng đợi tốt nhất có thể. Những loại gói tin nào không muốn bị ảnh hưởng bởi độ trễ? Đối với những ứng dụng cần độ trễ thấp, LLQ là chọn lựa tốt. LLQ tìm kiếm và hành động giố ng như CBWFQ trên hầu hết mọi phương diện, ngoài trừ yếu tố là LLQ cho phép một số hàng đợi hoạt động như các hàng đợi có độ trễ thấp. LLQ định thời các hàng đợi này như là các hàng đợi có độ ưu tiên cao, giống như PQ. Nói cách khác, LLQ luôn cố gắng phục vụ các gói tin trong những hàng đợi này trước.

LLQ thỉnh thoảng có thể dùng trong một số hình thức khác nhau. Nếu một chính sách policy map có ít nhất một LLQ, chính sách policy map đó có thể xem như đang hiện thực LLQ, và hàng đợi đó được gọi là LLQ. Thỉnh thoảng, một hàng đợi LLQ còn được gọi là PQ vì đặc tính hoạt động giống PQ.

Khi LLQ thêm vào một hàng đợi có độ trễ thấp vào cơ chế CBWFQ, nó cũng giúp ngăn ngừa hiện tượng hàng đợi chết của PQ. LLQ thực sự khống chế hàng đợi dựa trên băng thông được cấu hình. Thực sự, mức băng thông cấp cho một hàng đợi LLQ sẽ vừa là mức băng thông đảm bảo tối thiểu, vừa là mức băng thông tối đa. Kết quả là, các gói tin có thể được giải phóng khỏi hàng đợi để có độ trễ thấp nhưng sẽ có vài gói tin bị loại bỏ để ngăn ngừa các hàng đợi khác rơi vào trạng thái chết vì không được xử lý.

Hình dưới đây mô tả thuật toán hoạt động của LLQ. Chú ý rằng mặc dù cómột SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

78

VPN , QoS trên Router Cisco

thành phần chạy theo thuật toán PQ là được hiển thị, nhưng thành phần này cũng bị khống chế về băng thông.

Hình 3.9. Mô tả thuật toán hoạt động của LLQ

LLQ cho phép nhiều hàng đợi/class được cấu hình như PQ. Điều này dẫn đến câu hỏi “Hàng đợi nào sẽ được phục vụ trước?”. Thật ra, LLQ thực sự đặt các gói tin từ các hàng đợi LLQ vào một hàng đợi bên trong. Vì vậy, các gói tin trong các hàng đợi ưu tiên khác nhau vẫn được phục vụ trước những gói tin trong các hàng đợi không ưu tiên, nhưng nó sẽ được phục vụ dựa trên thời gian gói tin đến trong bất kỳ hàng đợi ưu tiên nào.

IV.7. Bảng tóm tắt về các công cụ quản lí tắc nghẽn - Queuing: Queuing cung cấp khả năng sắp xếp lại các packet khi tắc nghẽn xảy ra. Sử dụng

đúng công cụ queuing là điều cần thiết cho một yêu cầu cụ thể trong mạng. Để so sánh các công cụ queuing dựa vào các yếu tố sau :

- Khả năng phân loại, cụ thể là các trường header trong packet mà có thể sotrùng để phân ra sắp xếp vào hàng đợi cụ thể.

- Số hàng đợi tối đa (có thể gọi là các lớp tối đa). Nếu ta phải phân biệt bao nhiêu loại traffic thì ta cần bấy nhiêu hàng đợi.

- Giải thuật lập danh mục. Trong vài công cụ queuing, Cisco đặt ra các giải thuật dùng để quyết định packet nào được đưa vào hàng đợi nào tiếp theo. Các công cụ khác thì dùng hiệu ứng mạng lưới thuật toán.

Sau đây là bảng so sánh các công cụ sắp xếp với số lượng và chức năng khác nhau:

Tool Số lượng queuse tối đa

Khả năng phân loại

Hoạt động và kết quả của thuật toán.

Priolity 4 IP ACL Giao Dịch vụ giới hạn.Luôn

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

79

VPN , QoS trên Router Cisco

Queuing (PQ) diện input phân mảnh

đáp ứng cho hàng đợi ưu tiên cao trước các hàng đợi có độ ưu tiên thấp.

Custom Queuing (CQ)

16 IP ACL. Giao diện input phân mảnh

Cung cấp một số lượng bytes tùy vào cấu hình trên một queu, một round-robin đi qua queu đó. Kết quả lượng băng thông cho các dịch vụ khác nhau.

Weighted Fair Queuing (WFQ)

4096 Tự động dựa vào luồng dữ liệu (địa chỉ source,dets, số port, loại giao thức)

Mỗi dòng dữ liệu dùng Queui khác nhau. Queu với dung lượng nhỏ và độ ưu tiên IP precedence cao hơn được dùng nhiều dịch vụ hơn.

Clased Bases Weighted Fair Queuing (CBWFQ)

64 IP ACL NBAR. Giống với CB

Giải thuật làm việc không được sử dụng.Dựa vào kết quả định băng thông cho mỗi Queu dưới tải.

Low Latency Queuing (LLQ)

Không có Giống với CBWFQ

LLQ là một biến thể của CBWFQ sử dụng hàng đợi ưu tiên luôn được đáp ứng tiếp theo với packet chờ đợi trong queu đó. Nó cũng giữ trật tự traffic.

Bảng 3.3. Bảng so sánh các công cụ tắc nghẽn

Chương V. Mô hình và thực hiện. SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

80

VPN , QoS trên Router Cisco

Mô hình truyển khai :

Về mặt thiết bị :

_ The_HeadQuaters: IOS Cisco Router 2691 ,mô phỏng trên phần mềm GNS3_ Core : IOS Cisco Router 2691 ,mô phỏng trên phần mềm GNS3_ Remotesite1: IOS Cisco Router 2691 ,mô phỏng trên phần mềm GNS3_ Remotesite2: IOS Cisco Router 2691 ,mô phỏng trên phần mềm GNS3_ Ba PC: hai làm client ,một làm nhiệm vụ truy cập vào tài nguyên trên Server ,

một làm Nhiệm vụ dùng chương trình bắt gói tin IP , phân tích nội dung trong gói tin,và cái thứ ba làm Server , cả 3 máy đều được tạo bởi VMWARE 7.0(phần mềm tạo máy máy ảo)Về phần mềm PC:

_ Server: Dùng Window Server 2003 , Chương trình dựng WinFTP Server, WinHTTP Server

_ Client1: Dùng WindowXP để truy cập vào Server_ Client2: Dùng WindowXP , cài chương trình WireShak để bắt gói tin IP , giữa

kết nối Client1 Với Server .

Cấu hình các thiết bị có địa chỉ như sau: Router The_HeadQuaters

+ Int serial0/0 : Kết nối với int serial 0/0 Router Core với IP:203.162.1.2/24 +Int faste0/0: Kết nối với Server với IP:192.168.1.1/24

Router Core+Int serial0/1: Kết nối với int serial0/0 Router The_HeadQuaters với

IP:203.162.1.1/24+Int serial0/2:Kết nối với int serial0/0 Router Remotesite1 với

IP:203.162.2.1/24+Int serial0/3:Kết nối với int serial0/0 Router Remotesite2 với

IP:203.162.3.1/24 Router Remotesite1

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

81

VPN , QoS trên Router Cisco

+Int serial0/0:Kết nối với int serial0/0 Router Core với IP:203.162.2.2/24+Int fatse0/0:Kết nối với Client1 với IP:192.168.2.1/24 Router Remotesite2

+Int serial0/0:Kết nối với int serial0/0 Router Core với IP:203.162.3.2/24+Int faste0/0: Kết nối với Client2 với IP:192.168.3.1/24 Server đặt IP:192.168.1.2/24 Default-gateway

192.168.1.1 Client1 đặt IP:192.168.2.2/24 Default-gateway

192.168.2.1 Client2 đặt IP:192.168.3.2/24 Default-gateway

192.168.3.1 Các Bước triển khai:

VPN : _ Bước 1: Thiết lập VPN site-to-site với GRE(Generic Routing Encapsulation)

tunnel over IpsecGiữa The_HeadQuaters và Remotesite1,ta tạo 1 interface tunnel cho mỗi router,

sau đó thiết lập các tham số IPsec cho việc mã hóa Như ISAKMP Policy, authentication bằng pre-share key, IPsec Transform-set , crypto map.

Ở Router The_HeadQuaters và Remotesite 1 _ thiết lập interface tunnel0 _ tạo các tham số IPsec tương đồng như isakmp policy, authentication,

IPsec Transform-set, tạo crypto map, sau đó áp dụng trên interface cần kết nối. _ Bước 2: Thực hiện kết nối giữa Client1 với Server , Client1 truy cập tới và

thực hiện kết nối Phiên giao dịch FTP trên Server, Client 2 sẽ dùng chương trình WireShark để chặn bắt và phân tích nội Dung giữa Client1 và Server.

Kết quả thu được:

Khi đã tạo phiên kết nối GRE Tunneling trên IPsec , thì lưu lượng xuất phát từ The_HeadQuaters tới Remotesite1và ngược lại đã được đảm bảo về an ninh khi gói tin IP được đính kèm thêm các ESP Header hoặc AH Header , được encapsulation và dencapsulation với GRE tunnel.

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

82

VPN , QoS trên Router Cisco

* Gói tin IP được encapsulation và deencapsulation với GRE tunnel

Sau khi gói tin được trao đổi qua GRE tunnel, gói tin sẽ được bảo mật với việc đính kèm theo. Các ESP Header và AH Header, với các thuật toán mã hóa aes , bảo mật sha,hmac.

QoF :

Bước 1: Xác định lưu lượng tồn tại trong mô hình:

_ Trên Server ở The_HeadQuaters có các dịch vụ sau

+ video trên http Server

+ FTP trên FTP Server

Mục đích muốn cải thiện tốc độ download file

Bước 2: Thực hiện phân loại và đánh dấu dữ liệu để áp dụng QoS. Muốn đạt được hiệ u quả cao cho mạng ta phải cân nhắc thật kỹ nên áp dụng QoS ở Router nào trên mạng và áp dụng chính sách tương ứng cho từng g iao diện. Với mô hình này ta chọn

Router Remotesite1 để thực hiện phân loại và đánh dấu.

Ta sẽ phân loại dữ liệu như sau:

- Class ftp-in

- Class http-in

Đây là lớp vào cổng Faste0/0 và sau đó ra cổng Serial0/0

- Class ftp-out

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

83

VPN , QoS trên Router Cisco

- Class http-out

- Để điều khiển được các class trên ta phải có hai chính sách để áp dụng kĩ thuật QoS

_ Policy in: Đánh dấu các class in(class vào)

_ Policy out: Đánh dấu c ác class out(class ra)

Kết quả thu được:

SO SÁNH BĂNG THÔNG TRƯỚC VÀ SAU KHI ÁP DỤNG QoS

Băng thông của mạng trước khi áp dụng QoS (dữ liệu video và FTP).

Trước khi áp dụng QoS ta truyền song song hai ứng dụng (FTP và video) và thu được kết quả sau:

Chất lượng video trên HTTP không đảm bảo, có hiện tượng Buffer:

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

84

VPN , QoS trên Router Cisco

Tốc độ download file ở mức trung bình so với băng thong có sẵn:

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

85

VPN , QoS trên Router Cisco

Băng thông của mạng sau khi áp dụng QoS (dữ liệu video và FTP).

Sau khi áp dụng QoS ta cũng thực hiện truyền song song hai ứng dụng (FTP và

video) và thu được kết quả sau:

Chất lượng Video trên http được đảm bảo , khong còn hiện tượng Buffer:

Tốc độ download file được cải thiện với đúng chính sách tương ứng:

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

86

VPN , QoS trên Router Cisco

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

87

VPN , QoS trên Router Cisco

KẾT QUẢ ĐẠT ĐƯỢC VÀ HƯỚNG PHÁT TRIỂN CỦA ĐỀ TÀI

Kết quả đạt được:

Sau khi triển khai chất lượng dịch vụ thành công chúng tôi đã đạt được những kết qủa sau:

_ Tạo được cơ chế bảo mật bằng cách thiết lập kết nối VPN site-to-site trên đường kết

Vật lý chung , cụ thể là một ISP với các giao thức GRE tunneling protocol, IPsec protocol.

- Điều khiển được lưu lượng trên mạng bằng việc kiểm soát và chỉ định băng thông cho từng ứng dụng trên mạng và có thể áp dụng ngay mô hình này vào thực tế.

- Tạo được hơi thở cho mạng bằng cách hạn chế tắc nghẽn và ưu tiên những ứng dụng thời gian thực đòi hỏi về độ trễ thấp và băng thông cao như (Video, Voice …).

Những hạn chế còn gặp phải và hướng phát triển của đề tài:

- Việc cấu hình để chỉ định băng thông, cấu hình phân lớp, đánh dấu gói tin và áp dụng các chính sách vào Router còn phức tạp và mất nhiều thời gian.

- Do thiết bị không hỗ trợ việc phân class và đánh dấu gói tin tự động nên khi số lượng lưu lượng cần phân class quá nhiều thì đây là một vấn đề đặt ra.

- Và trong tương lai khi IPv6 được sử dụng vào thực tế thì việc cấu hình trên trong nền IPv4 không còn hữu dụng nữa. Bởi IPv6 sẽ có các trường IP và header khác với IPV4 cụ thể như thế nào sẽ nguyên cứu sau.

Giải pháp giải quyết vấn đề trên:

- Muốn tránh được sự phức tạp khi cần sự phân class nhiều thì cần phải có một thiết bị chuyên dụng cho việc phân class và đánh dấu trước khi vào Router.

- Và trong tương lai khi IPv6 được sử dụng rộng rãi thì sự khác nhau giữa các trường IP và header trong IPv6 và Ipv4 chắc chắn sẽ có cách giải quyết khác.

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

88

VPN , QoS trên Router Cisco

Phụ LụcSau đây là chi tiết cấu hình trên 4 Router

The_HeadQuaters Core Remotesite1 Remotesite2

#Cấu hình cơ bản ROUTER The_HeadQuaters

hostname The_HeadQuaters!interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 duplex auto speed auto!interface Serial0/0 description connection CORE ip address 203.162.1.2 255.255.255.0 clock rate 2000000 !interface FastEthernet0/1 no ip address shutdown duplex auto speed auto!router ospf 1 log-adjacency-changes network 203.162.1.0 0.0.0.255 area 0!

ROUTER Core hostname CORE

! interface FastEthernet0/0 no ip address shutdown duplex auto speed auto ! interface Serial0/0 no ip address shutdown clock rate 2000000 !

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

89

VPN , QoS trên Router Cisco

interface FastEthernet0/1 no ip address shutdown

duplex autospeed auto!interface Serial0/1description connection The_HeadQuatersip address 203.162.1.1 255.255.255.0clock rate 2000000!interface Serial0/2description connection Remotesite1ip address 203.162.2.1 255.255.255.0clock rate 2000000!interface Serial0/3description connection Remotesite2ip address 203.162.3.1 255.255.255.0clock rate 2000000!router ospf 1log-adjacency-changesnetwork 203.162.1.0 0.0.0.255 area 0network 203.162.2.0 0.0.0.255 area 0network 203.162.3.0 0.0.0.255 area 0

ROUTER Remotesite1hostname Remotesite1!interface FastEthernet0/0ip address 192.168.2.1 255.255.255.0duplex autospeed auto!interface Serial0/0description connection COREip address 203.162.2.2 255.255.255.0clock rate 2000000!interface FastEthernet0/1no ip addressshutdownduplex autospeed auto!router ospf 1log-adjacency-changes SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

90

VPN , QoS trên Router Cisco

network 203.162.2.0 0.0.0.255 area 0!

Router Remotesite2

hostname Remotesite2!interface FastEthernet0/0ip address 192.168.3.1 255.255.255.0duplex autospeed auto!interface Serial0/0description connection COREip address 203.162.3.2 255.255.255.0clock rate 2000000!interface FastEthernet0/1no ip addressshutdownduplex autospeed auto!router ospf 1log-adjacency-changesnetwork 192.168.3.0 0.0.0.255 area 0network 203.162.3.0 0.0.0.255 area 0

# Cấu hình Gre tunnel trên IPsec

Tạo int tunnel Router The_HeadQuaters

interface Tunnel0description connection VPN with Remotesite1ip address 172.16.1.1 255.255.255.0tunnel source Serial0/0tunnel destination 203.162.2.2!router ripversion 2network 172.16.0.0network 192.168.1.0

Router Remotesite 1interface Tunnel0description connection VPN with TheHeadQuatersip address 172.16.1.2 255.255.255.0qos pre-classifytunnel source Serial0/0 SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

91

VPN , QoS trên Router Cisco

tunnel destination 203.162.1.2!

router ripversion 2network 172.16.0.0network 192.168.2.0

Thiết lập bảo mật IPsec trên Gre tunnel Router The_HeadQuaters

crypto isakmp policy 10encr aes 256authentication pre-sharegroup 5lifetime 3600crypto isakmp key hello address 203.162.2.2!crypto ipsec transform-set 13 ah-sha-hmac esp-aes 256 esp-sha-hmac!crypto map VPN_to_Remotesite1 10 ipsec-isakmpset peer 203.162.2.2set security-association lifetime seconds 900set transform-set 13set pfs group5match address 108!access-list 108 permit gre host 203.162.1.2 host 203.162.2.2!interface Serial0/0crypto map VPN_to_Remotesite1

Router Remotesite1

crypto isakmp policy 10encr aes 256authentication pre-sharegroup 5lifetime 3600crypto isakmp key hello address 203.162.1.2!!crypto ipsec transform-set 13 ah-sha-hmac esp-aes 256 esp-sha-hmac!crypto map VPN_to_TheHeadQuaters 10 ipsec-isakmpset peer 203.162.1.2set security-association lifetime seconds 900set transform-set 13set pfs group5 SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

92

VPN , QoS trên Router Cisco

match address 108!access-list 108 permit gre host 203.162.2.2 host 203.162.1.2!interface Serial0/0crypto map VPN_to_TheHeadQuaters!#Cấu hình đảm bảo chất lượng dịch vụ cho phiên truy cập Client1 ->Server

Router Remotesite1 Phân loại lượng truy cập

access-list 172 permit tcp any any eq ftp-dataaccess-list 172 permit tcp any any eq ftpaccess-list 173 permit tcp any any eq www!class-map match-all ftp-outmatch ip dscp af41class-map match-all http-inmatch access-group 173class-map match-all ftp-inmatch access-group 172class-map match-all http-outmatch ip dscp ef!

Thiết lập chính sách cho lưu lượng!policy-map class-markclass ftp-inset ip dscp af41class http-inset ip dscp efpolicy-map outclass ftp-outbandwidth percent 35 // kích hoạt CBWFQclass http-outpriority percent 40 // Cho phép LLQ hoạt độngclass class-defaultfair-queue 1024 //khởi tạo WFQ

Áp dụng chính sáchinterface FastEthernet0/0service-policy input class-markinterface serial0/0service-policy output out

!interface Serial0/0service-policy output out

Cho phép phân loại lưu lượng trước khi gói tin được mã hóa SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

93

VPN , QoS trên Router Cisco

int tunnel0Qos pre-classify //cho phép phân loại gói tin trước khi được mã hóaCrypto map VPN_to_TheHeadQuaters 10 ipesc-isakmpQos pre-classify

TÀI LIỆU THAM KHẢO

1. Cisco IOS Release 12_0 Quality of Service Solutions Configuration Guide

2. Cisco Press-IP Telephony Self-Study Cisco QoS Exam Certification Guide, SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

94

VPN , QoS trên Router Cisco

Second Edition (2005)

3. CCIP_QoS2.0_Knet_HiRe

Các trang web tham khảo:

www.cisco.com

www.vnpro.org

www.en.wikipedia.org

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

95

VPN , QoS trên Router Cisco

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

96

VPN , QoS trên Router Cisco

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

97

VPN , QoS trên Router Cisco

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

98

VPN , QoS trên Router Cisco

SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N

99