Nghiên cứu giải pháp đảm bảo an toàn, dự phòng hệ thống quản lý định tuyến VNIX sử dụng nguồn mở

Chủ nhật - 25/09/2022 22:29 0

Vietnam National Internet eXchange (VNIX) là hệ thống các điểm trung chuyển lưu lượng Internet quốc gia kết nối các doanh nghiệp cung cấp dịch vụ Internet, các mạng độc lập trong nước. Hệ thống VNIX được xây dựng, vận hành, quản lý bởi Trung tâm Internet Việt Nam - VNNIC từ tháng 11/2003 đến nay đã thu được nhiều kết quả quan trọng, giải quyết dứt vấn đề kết nối giữa các mạng trong nước, góp phần nâng cao khả năng quản lý và cấu trúc hạ tầng mạng Internet ở Việt Nam.

VNIX hoạt động trên nguyên tắc phi lợi nhuận, với mục tiêu kết nối các doanh nghiệp cung cấp dịch vụ Internet ở 3 miền (Hà Nội, TP. HCM và Đà Nẵng) trên cả nước, trong thời gian qua, hệ thống VNIX đã được mở rộng về chính sách và đối tượng kết nối theo chuẩn mực chung của thế giới, trong đó chính sách mở rộng thêm nhiều hình thức kết nối, đối tượng kết nối cũng mở rộng cho phép các mạng độc lập có ASN của Việt Nam được kết nối. Trải qua nhiều năm xây dựng và phát triển, VNIX đã góp phần quan trọng trong việc phát triển Internet ở Việt Nam như nâng cao chất lượng, giảm giá thành dịch vụ kết nối Internet…, góp phần đảm bảo an toàn kết nối cho mạng Internet tại Việt Nam. Đến nay VNIX đã có 21 thành viên, nhiều thành viên kết nối với dung lượng lớn như CMC, VNPT, Viettel, VTC, SPT, Mobifone...

Hệ thống VNIX đang sử dụng mô hình chuẩn quốc tế của các IX trên thế giới, trong đó các thành viên kết nối vào hệ thống chuyển mạch tập trung hoạt động ở lớp 2, thông tin định tuyến được quản lý bởi hệ thống quản lý định tuyến (route server). Các route server chứa thông tin quan trọng về định tuyến của các thành viên kết nối VNIX cũng như tại Việt Nam. Hiện tại, các route server của VNIX tại các điểm đang sử dụng thiết bị thương mại của các hãng nổi tiếng, uy tín trên thế giới. Tuy nhiên, các hệ thống quản lý định tuyến này gặp một số hạn chế về an toàn an ninh định tuyến như: thiếu tính độc lập, phụ thuộc vào các hãng sản xuất, khả năng chặn lọc định tuyến không linh hoạt…Trong khi đó trên thế giới, các giải pháp quản lý định tuyến mã nguồn mở cho IX đang rất phổ biến, với khả năng tích hợp nhiều tính năng nhằm nâng cao an toàn định tuyến.

Nhằm nghiên cứu tổng quan các giải pháp mã nguồn mở sử dụng cho hệ thống quản lý định tuyến VNIX, nghiên cứu các giải pháp tăng cường an toàn dự phòng cho hệ thống quản lý định tuyến VNIX sử dụng mã nguồn mở, đề xuất mô hình áp dụng đảm bảo an toàn, dự phòng, nhóm nghiên cứu của Trung tâm Internet Việt Nam, Bộ Thông tin và Truyền thông do ThS. Nguyễn Trường Giang đứng đầu đã tiến hành thực hiện đề tài: “Nghiên cứu giải pháp đảm bảo an toàn, dự phòng hệ thống quản lý định tuyến VNIX sử dụng nguồn mở”.

Sau một thời gian triển khai thực hiện, nhóm chủ trì đề tài đã thực hiện nghiên cứu, xây dựng và triển khai hoàn chỉnh đề tài cụ thể:

1. Đã nghiên cứu tổng quan các giải pháp mã nguồn mở sử dụng cho hệ thống quản lý định tuyến VNIX, đề xuất mô hình áp dụng đảm bảo an toàn, dự phòng.

2. Đã đề xuất được giải pháp đảm bảo an toàn dự phòng định tuyến sử dụng nguồn mở, cụ thể nhóm đề tài đã thực hiện các nội dung nghiên cứu giải pháp như sau:

- Đã nghiên cứu tổng quan hiện trạng hệ thống VNIX, hệ thống quản lý định tuyến VNIX, các đặc tính yêu cầu đối với hệ thống quản lý định tuyến VNIX; một số điểm tồn tại và nhu cầu của hệ thống quản lý định tuyến VNIX.

- Đã nghiên cứu các giải pháp định tuyến nguồn mở cho IX trên thế giới, khả năng áp dụng các giải pháp này cho VNIX, đánh giá lựa chọn giải pháp phù hợp; nghiên cứu chuyên sâu giải pháp BIRD.

- Đã nghiên cứu đề xuất mô hình áp dụng định tuyến nguồn mở cho VNIX; đề xuất các biện pháp tăng cường an toàn an ninh định tuyến; triển khai thử nghiệm theo mô hình đề xuất, bao gồm thử nghiệm các biện pháp đảm bảo an toàn dự phòng.

Để đảm bảo an toàn dự phòng cho hệ thống quản lý định tuyến VNIX, nhóm đề tài đề xuất triển khai các biện pháp áp dụng sau với giải pháp đề xuất nêu trên đó là: Sử dụng 2 máy chủ BIRD đóng vai trò làm route server hoạt động song song đồng thời. Các thành viên kết nối phải peering eBGP với cả 2 máy chủ. Thực hiện cấu hình trên BIRD ngăn chặn các IP giả mạo: khi route server nhận được các thông tin cập nhật liên quan đến các IP giả mạo, route server sẽ tự động loại bỏ. Thực hiện cấu hình trên BIRD ngăn chặn các ASN giả mạo: khi route server nhận được các thông tin cập nhật liên quan đến các ASN giả mạo, route server sẽ tự động loại bỏ. Thực hiện cấu hình ngăn chặn không cho phép quảng bá các prefix IPv4.

Có thể tìm đọc toàn văn Báo cáo kết quả nghiên cứu của Đề tài (Mã số 17465/2020) tại Cục Thông tin khoa học và công nghệ quốc gia.

P.T.T (NASATI)

Nguồn: Sưu tầm

  Ý kiến bạn đọc

Thống kê truy cập
  • Đang truy cập1332
  • Hôm nay59,250
  • Tháng hiện tại961,016
Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây