Đồ án tốt nghiệp Mục lục
MỤC LỤC
MỤC LỤC i
DANH MỤC HÌNH VẼ ii
DANH MỤC BẢNG BIỂU iv
THUẬT NGỮ VIẾT TẮT v
LỜI NÓI ĐẦU viii
CHƯƠNG I 1
CÔNG NGHỆ MPLS-VPN 1
1.1 Giới thiệu chung về VPN 1
1.1.1 Khái niệm VPN 1
1.1.2 Chức năng và ưu điểm của VPN 2
1.1.2.1 Chức năng 2
1.1.2.2 Ưu điểm 3
1.1.3 Phân loại VPN 4
1.1.3.1 Mạng VPN truy nhập từ xa 5
1.1.3.2 Mạng VPN cục bộ 7
1.1.3.3 Mạng VPN mở rộng 8
1.1.3.4 Tại sao sử dụng công nghệ MPLS- VPN? 9
1.2 Giới thiệu chung về MPLS 11
1.2.1 Mô hình định tuyến lớp mạng 12
1.2.2 Công nghệ ATM và mô hình hướng kết nối 12
1.3 Các thành phần và hoạt động của MPLS 14
1.3.1 Nhãn 14
1.3.2 Mặt phẳng dữ liệu và điều khiển IP 16
1.3.3 Mặt phẳng điều khiển và mặt phẳng dữ liệu MPLS 17
1.4 Công nghệ MPLS-VPN 20
1.4.1 Các thành phần trong mạng MPLS-VPN 21
1.4.2 Mô hình định tuyến MPLS-VPN 22
1.4.3 Bảng định tuyến và chuyển tiếp ảo 23
Nguyễn Thị Tới- D04VT1 i

Đồ án tốt nghiệp Mục lục
1.5 Kết luận chương 23
CHƯƠNG II 25
GIẢI PHÁP TRIỂN KHAI MPLS-VPN 25
2.1 So sánh MPLS-VPN và các kỹ thuật VPN truyền thống 25
2.2 Bảo mật trong mạng MPLS-VPN 29
2.3 Chất lượng dịch vụ trong mạng MPLS-VPN 31
2.4 Khả năng mở rộng và các mô hình MPLS- VPN nâng cao 36
2.4.1 Mô hình MPLS-VPN Inter-AS 37
2.4.1.1 Kết nối giữa các nhà cung cấp với nhau 38
2.4.1.2 Kết nối giữa các AS với nhau sử dụng BGP 41
2.4.2 Mô hình Carrier hỗ trợ Carrier - CSC 41
2.5 Các giải pháp triển khai MPLS-VPN 44
2.5.1 Kết nối Internet và MPLS-VPN chia sẻ 44
2.5.2 Kết nối Internet và MPLS-VPN chia sẻ một phần 45
2.5.3 Kết nối Internet và MPLS-VPN tách biệt hoàn toàn 46
2.6 Kết luận chương 47
CHƯƠNG III 50
TRIỂN KHAI MPLS-VPN TRÊN HỆ THỐNG ROUTER CỦA CISCO 50
3.1 Các bước thực hiện cấu hình MPLS- VPN 50
3.2 Bài toán đặt ra và cách giải quyết 52
3.3 Triển khai MPLS-VPN trên hệ thống router của Cisco 54
3.3.1 Triển khai MPLS-VPN trên hệ thống router của Cisco trong mô hình MPLS-
VPN Inter AS 56
56
3.3.2 Triển khai MPLS-VPN trên hệ thống router của Cisco trong mô hình MPLS-
VPN CSC 61
Trong thực tế, có rất nhiều nhà cung cấp dịch vụ lớn cung cấp back bone của
mình cho các nhà cung cấp dịch vụ nhỏ triển khai dịch vụ của mình trên đó. Mô
hình CsC là mô hình MPLS VPN phân tầng, cho phép một khách hàng có thể

triển khai công nghệ MPLS VPN trên nền mạng MPLS VPN của một nhà cung
cấp dịch vụ khác 61
Nguyễn Thị Tới- D04VT1 ii
Đồ án tốt nghiệp Mục lục
3.4 Kết luận chương 67
KẾT LUẬN 67
Hiện nay ở Việt Nam các nhà cung cấp Internet lớn như VDC, Viettel, FPT,
đang đẩy nhanh xây dựng hệ thống mạng trục MPLS để cung cấp dịch vụ MPLS-
VPN tới khách hàng. Hầu hết các công ty, tổ chức mới thiết lập đường truyền đều
hướng đến sử dụng MPLS-VPN thay vì các đường truyền khác. Như vậy có thể
thấy xu hướng kết nối mạng trong những năm tới chủ yếu sẽ là MPLS-VPN 67
Tuy nhiên còn rất nhiều vấn đề kỹ thuật phải quan tâm và phân tích khi xây
dựng cấu hình để bảo đảm hoạt động của mạng. Một trong những vấn đề quan
trọng cần quan tâm đó là cần xác định nguyên tắc tổ chức của những nút LSR
trong mạng, cần phân định rõ ràng giao diện và chức năng của từng thành phần
thiết bị trong mạng lõi, mạng biên các vấn đề về kỹ thuật lưu lượng (MPLS-TE),
các vấn đề về chất lượng dịch vụ (MPLS-QoS). Đặc biệt là triển khai thực tế việc
liên kết mạng MPLS-VPN giữa các nhà cung cấp dịch vụ. Đây là các vấn đề cần
phát triển và hướng nghiên cứu tiếp theo của đồ án 67
TÀI LIỆU THAM KHẢO 68
PHỤ LỤC 69
Phụ lục A. Cấu hình các router trong mô hình MPLS-VPN Inter AS 69
Nguyễn Thị Tới- D04VT1 iii
Đồ án tốt nghiệp
Danh mục hình vẽ
DANH MỤC HÌNH VẼ
Hình 1.1 Mô hình VPN 1
Hình 1.2 Mô hình mạng VPN truy nhập từ xa 6
Hình 1.3 Mô hình mạng VPN cục bộ 7
Hình 1.4 Mô hình mạng VPN mở rộng 8

Hình 1.5 Mô hình cung cấp dịch vụ VPN trên nền MPLS 10
Hình 1.6 Định dạng nhãn 15
Hình 1.7 Mặt phẳng điều khiển và mặt phẳng dữ liệu IP 16
Hình 1.8 Mặt phẳng điều khiển và dữ liệu MPLS 18
Hình 1.9 Các thành phần trong mạng MPLS-VPN 21
Hình 1.10 Chức năng router PE 23
Hình 2.1 Kết nối trong mạng VPN truyền thống 25
Hình 2.2 Mô hình ống QoS trong MPLS-VPN 33
Hình 2.3 Mô hình vòi QoS trong MPLS-VPN 34
Hình 2.4 Mô hình kết nối back-to-back VRF 39
Hình 2.5 Phân phối route giữa hai ASBR sử dụng giao thức external MP-BGP. .39
Hình 2.7 Quá trình truyền route trong giải pháp BGP Confederation 41
Hình 2.8 Kết nối MPLS-VPN chia sẻ 45
Hình 2.9 Kết nối Internet và MPLS-VPN chia sẻ một phần 46
Hình 2.10 Kết nối Internet và MPLS-VPN tách biệt hoàn toàn 47
Hình 3.1 Các bước cấu hình MPLS- VPN 50
Hình 3.2 Cấu hình chuyển tiếp MPLS 50
Hình 3.3 Cấu hình giao thức định tuyến BGP trên các router PE 51
Hình 3.4 Định nghĩa VPN VRF và các thuộc tính của nó 51
Hình 3.5 Tạo MPLS-VPN từ CE1 đến CE2 52
Hình 3.6 Quá trình định tuyến và gán nhãn 53
Hình 3.7 Quá trình chuyển tiếp và đặt nhãn 54
Hình 3.7 Mô hình MPLS- VPN Inter AS 56
Nguyễn Thị Tới- D04VT1 ii
Đồ án tốt nghiệp
Danh mục hình vẽ
Hình 3.8 Giao diện GNS3 với mô hình MPLS-VPN Inter AS 58
Hình 3.9 Mô hình MPLS-VPN CSC 61
Hình 3.10 Giao diện GNS3 với mô hình MPLS-VPN CSC 63
Nguyễn Thị Tới- D04VT1 iii

Đồ án tốt nghiệp
Danh mục bảng biểu
DANH MỤC BẢNG BIỂU
Bảng 2.1. So sánh IP Sec-VPN và MPLS-VPN 28
Nguyễn Thị Tới- D04VT1 iv
Đồ án tốt nghiệp
Thuật ngữ viết tắt
THUẬT NGỮ VIẾT TẮT
Thuật ngữ Tiếng Anh Tiếng Việt
A
AS Autonomous System Hệ tự trị
ASBR Autonomous System Boundary Router
Bộ định tuyến biên trong
hệ tự trị
ATM Asynchronous Transfer Mode
Chế độ truyền dẫn không
đồng bộ
B
BGP Border Gateway Protocol
Giao thức cổng đường
biên
C
CAC Connection Admission Control
Điều khiển chấp nhận kết
nối
CoS Class of Service Lớp dịch vụ
CPE Customer Premise Equipment
Thiết bị khách hàng đầu
tiên
CPU Central Processing Unit Khối xử lý trung tâm

D
DDoS Distributed Denial Of Service Tấn công từ chối dịch vụ
DES Data Encryption Standard
Tiêu chuẩn mã hóa dữ
liệu
DiffServ Differentiated Service
Các dịch vụ được phân
biệt
DLCI Data Link Connection Identifer
Nhận dạng kết nối liên
kết dữ liệu
DSL Digital Subscriber Line Đường dây thuê bao số
E
Nguyễn Thị Tới- D04VT1 v
Đồ án tốt nghiệp
Thuật ngữ viết tắt
EGP External Gateway Protocol Giao thức cổng ngoài
F
FEC Fowarding Equivalent Class
Lớp chuyển tiếp tương
đương
FR Frame Relay Chuyển tiếp khung
G
GRE Generic Routing Encapsulation Gói định tuyến chung
I
ICMP Internet Control Message Protocol
Giao thức bản tin điều
khiển Internet
IETF Internet Engineering Task Force
Nhóm tác vụ kỹ thuật

Internet
IGP Interior Gateway Protocol Giao thức cổng trong
IntServ Integrated Service
Các dịch vụ được tích
hợp
IP Internet Protocol Giao thức Internet
IPSec IP security
Giao thức bảo mật giao
thức Internet
IPX Internetwork Packet Exchange Tổng đài gói liên mạng
ISDN Intergrated Services Digital Network Mạng số dịch vụ tích hợp
IS-IS
Intermediate System to Intermedia
System
Hệ thống trung gian đến
hệ thống trung gian
ISP Internet Service Provider Nhà cung cấp dịch vụ
L
L2TP Layer 2 Tunneling Protocol
Giao thức đường hầm
lớp 2
LAN Local Area Network Mạng cục bộ
LDP Label Distribution Protocol Giao thức phân bổ nhãn
Nguyễn Thị Tới- D04VT1 vi
Đồ án tốt nghiệp
Thuật ngữ viết tắt
LFIB Label Forwarding Information Base
Cơ sở thông tin chuyển
tiếp nhãn
LSP Label Switched Path

Đường dẫn chuyển mạch
nhãn
LSR Label Switch Router
Bộ định tuyến chuyển
mạch nhãn
M
MP-iBGP Multi-protocol- iBGP Đa giao thức iBGP
MPLS Multiprotocol Label Switching
Chuyển mạch nhãn đa
giao thức
MTU Maximum Transmission Unit Đơn vị truyền dẫn tối đa
O
OSPF Open Shortest Path First
Giao thức đường đi ngắn
nhất đầu tiên
P
PBX Private Branch Exchange Tổng đài nhánh riêng
POP Present of Point Điểm hiện diện
PPTP Point-to-Point Tunneling Protocol
Giao thức đường hầm
điểm tới điểm
Q
QoS Quality of Service Chất lượng dịch vụ
R
RD Route Distinguisher Tham số phân biệt tuyến
RFC Request For Comment Yêu cầu ý kiến
RSVP Resource Resevation Protocol
Giao thức dành trước tài
nguyên
T

TCP Transission Control Protocol
Giao thức điều khiển
truyền dẫn
Nguyễn Thị Tới- D04VT1 vii
Đồ án tốt nghiệp
Thuật ngữ viết tắt
TDP Tag Distribution Protocol Giao thức phân phối thẻ
TE Traffic Engineering Kỹ thuật lưu lượng
TTL Time To Live Thời gian sống
V
VCI Virtual Circuit Identifier Nhận dạng kênh ảo
VNPT Vietnam Post & Telecommunications
Tổng công ty BCVT Việt
Nam
VPI Virtual Path Identifier Nhận dạng đường ảo
VPN Virtual Private Network Mạng riêng ảo
VRF Virtual Routing Forwarding
Định tuyến chuyển tiếp
ảo
W
WAN Wide Area Network Mạng diện rộng
Nguyễn Thị Tới- D04VT1 viii
Đồ án tốt nghiệp
Lời nói đầu
LỜI NÓI ĐẦU
Sự phát triển nhanh chóng các dịch vụ IP và sự bùng nổ của Internet hiện nay
đã dẫn đến một loạt sự thay đổi trong nhận thức cũng như kinh doanh của các nhà khai
thác. Giao thức IP thống trị toàn bộ các giao thức lớp 3. Hệ quả là tất cả các xu hướng
phát triển đều hướng vào IP, lưu lượng lớn nhất hiện nay trên mạng trục hầu hết đều là
lưu lượng IP, dẫn đến các công nghệ lớp dưới đều có xu hướng hỗ trợ các dịch vụ IP.

Nhu cầu thị trường cấp bách cho mạng tốc độ cao và bảo mật là cơ sở cho một loạt các
công nghệ, trong đó có MPLS-VPN.
Thông thường, mỗi công nghệ đều có ưu điểm và nhược điểm riêng. Vì thế,
việc kết hợp các công nghệ để tập hợp các ưu điểm của các công nghệ này cũng như
khắc phục các nhược điểm của từng công nghệ là hướng nghiên cứu phát triển của các
nhà cung cấp dịch vụ, việc kết hợp này nhằm đưa ra một công nghệ tương đối hoàn
thiện để cung cấp tới khách hàng. Điều này phù hợp với xu hướng tích hợp công nghệ
trong thời đại ngày nay.
Việc kết hợp giữa MPLS và VPN cũng nằm trong xu thế này. Việc kết hợp này
cho phép tận dụng các ưu điểm về chuyển mạch tiên tiến của MPLS với việc tạo ra các
mạng riêng bảo mật dưới dạng các đường hầm của VPN. Đồng thời khắc phục được
các nhược điểm của MPLS và VPN.
Đồ án đặt vấn đề nghiên cứu giải pháp kết hợp MPLS và VPN, trên cơ sở đó đề
xuất giải pháp triển khai dịch vụ mạng riêng ảo trên nền công nghệ chuyển mạch nhãn
đa giao thức áp dụng cho thực tế.
Đồ án chia làm 3 chương được tóm tắt như sau:
Chương I: Công nghệ MPLS- VPN: Giới thiệu về công nghệ VPN, MPLS. Các
thành phần và hoạt động của MPLS-VPN.
Chương II: So sánh MPLS-VPN với các kỹ thuật VPN truyền thống. Các vấn
đề về bảo mật và chất lượng dịch vụ trong mạng MPLS- VPN. Đưa ra khả năng mở
rộng và các mô hình MPLS-VPN nâng cao. Giải pháp triển khai MPLS-VPN.
Chương III: Triển khai MPLS-VPN trên hệ thống router của Cisco.
Nguyễn Thị Tới- D04VT1 viii
Đồ án tốt nghiệp
Lời nói đầu
Do nhiều mặt còn hạn chế nên nội dung của đề tài không tránh khỏi những sai
sót. Và trong quá trình tìm hiểu cũng mang nhiều tính chủ quan trong nhìn nhận nên
không tránh khỏi những hạn chế. Em rất mong nhận được ý kiến đóng góp của các
thầy cô và bạn đọc.
Em xin chân thành cảm ơn các thầy cô giáo đã tạo điều kiện tốt trong quá trình

em thực hiện đồ án. Đặc biệt, em xin cảm ơn sự quan tâm của thạc sỹ Nguyễn Đình
Long đã tận tình hướng dẫn và giúp đỡ em để em có thể hoàn thành đồ án này.
Em xin chân thành cảm ơn!
Sinh viên thực hiện
Nguyễn Thị Tới
Nguyễn Thị Tới- D04VT1 ix
Đồ án tốt nghiệp
Lời nói đầu
CHƯƠNG I
CÔNG NGHỆ MPLS-VPN
1.1 Giới thiệu chung về VPN
1.1.1 Khái niệm VPN
Mạng riêng ảo VPN được định nghĩa là một kết nối mạng triển khai trên cơ sở
hạ tầng mạng công cộng (như mạng Internet) với các chính sách quản lý và bảo mật
giống như mạng cục bộ.

Hình 1.1 Mô hình VPN
Các thuật ngữ dùng trong VPN như sau:
• Virtual- nghĩa là kết nối là động, không được gắn cứng và tồn tại như một kết
nối khi lưu lượng mạng chuyển qua. Kết nối này có thể thay đổi và thích ứng với
nhiều môi trường khác nhau và có khả năng chịu đựng những khuyết điểm của
mạng Internet. Khi có yêu cầu kết nối thì nó được thiết lập và duy trì bất chấp cơ
sở hạ tầng mạng giữa những điểm đầu cuối.
• Private- nghĩa là dữ liệu truyền luôn luôn được giữ bí mật và chỉ có thể bị truy
cập bởi những nguời sử dụng được trao quyền. Điều này rất quan trọng bởi vì giao
Nguyễn Thị Tới- D04VT1 1
Đồ án tốt nghiệp
Lời nói đầu
thức Internet ban đầu TCP/IP- không được thiết kế để cung cấp các mức độ bảo
mật. Do đó, bảo mật sẽ được cung cấp bằng cách thêm phần mềm hay phần cứng

VPN.
• Network- là thực thể hạ tầng mạng giữa những người sử dụng đầu cuối, những
trạm hay những node để mang dữ liệu. Sử dụng tính riêng tư, công cộng, dây dẫn,
vô tuyến, Internet hay bất kỳ tài nguyên mạng dành riêng khác sẵn có để tạo nền
mạng.
Khái niệm mạng riêng ảo VPN không phải là khái niệm mới, chúng đã từng
được sử dụng trong các mạng điện thoại trước đây nhưng do một số hạn chế mà công
nghệ VPN chưa có được sức mạnh và khả năng cạnh tranh lớn. Trong thời gian gần
đây, do sự phát triển của mạng thông minh, cơ sở hạ tầng mạng IP đã làm cho VPN
thực sự có tính mới mẻ. VPN cho phép thiết lập các kết nối riêng với những người
dùng ở xa, các văn phòng chi nhánh của công ty và đối tác của công ty đang sử dụng
chung một mạng công cộng.
1.1.2 Chức năng và ưu điểm của VPN
1.1.2.1 Chức năng
VPN cung cấp ba chức năng chính đó là: tính xác thực (Authentication), tính
toàn vẹn (Integrity) và tính bảo mật (Confidentiality).
• Tính xác thực : Để thiết lập một kết nối VPN thì trước hết cả hai phía phải xác
thực lẫn nhau để khẳng định rằng mình đang trao đổi thông tin với người mình
mong muốn chứ không phải là một người khác.
• Tính toàn vẹn : Đảm bảo dữ liệu không bị thay đổi hay đảm bảo không có bất
kỳ sự xáo trộn nào trong quá trình truyền dẫn.
• Tính bảo mật : Người gửi có thể mã hoá các gói dữ liệu trước khi truyền qua
mạng công cộng và dữ liệu sẽ được giải mã ở phía thu. Bằng cách làm như vậy,
không một ai có thể truy nhập thông tin mà không được phép. Thậm chí nếu có
lấy được thì cũng không đọc được.
Nguyễn Thị Tới- D04VT1 2
Đồ án tốt nghiệp
Lời nói đầu
1.1.2.2 Ưu điểm
VPN mang lại lợi ích thực sự và tức thời cho các công ty. Có thể dùng VPN

không chỉ để đơn giản hoá việc thông tin giữa các nhân viên làm việc ở xa, người dùng
lưu động, mở rộng Intranet đến từng văn phòng, chi nhánh, thậm chí triển khai
Extranet đến tận khách hàng và các đối tác chủ chốt mà còn làm giảm chi phí cho
công việc trên thấp hơn nhiều so với việc mua thiết bị và đường dây cho mạng WAN
riêng. Những lợi ích này dù trực tiếp hay gián tiếp đều bao gồm: Tiết kiệm chi phí
(cost saving), tính mềm dẻo (flexibility), khả năng mở rộng (scalability) và một số ưu
điểm khác.
• Tiết kiệm chi phí
Việc sử dụng một VPN sẽ giúp các công ty giảm được chi phí đầu tư và chi phí
thường xuyên. Tổng giá thành của việc sở hữu một mạng VPN sẽ được thu nhỏ, do chỉ
phải trả ít hơn cho việc thuê băng thông đường truyền, các thiết bị mạng đường trục và
duy trì hoạt động của hệ thống. Giá thành cho việc kết nối LAN-to-LAN giảm từ 20%
tới 30% so với việc sử dụng đường thuê riêng truyền thống. Còn đối với việc truy cập
từ xa giảm từ 60% tới 80%.
• Tính linh hoạt
Tính linh hoạt ở đây không chỉ là linh hoạt trong quá trình vận hành và khai
thác mà nó còn thực sự mềm dẻo đối với yêu cầu sử dụng. Khách hàng có thể sử dụng
kết nối T1, T3 giữa các văn phòng và nhiều kiểu kết nối khác cũng có thể được sử
dụng để kết nối các văn phòng nhỏ, các đối tượng di động. Nhà cung cấp dịch vụ VPN
có thể cung cấp nhiều lựa chọn cho khách hàng, có thể là kết nối modem 56 kbit/s,
ISDN 128 kbit/s, xDSL, T1, T3 …
• Khả năng mở rộng
Do VPN được xây dựng dựa trên cơ sở hạ tầng mạng công cộng (Internet), bất
cứ ở nơi nào có mạng công cộng là đều có thể triển khai VPN. Mà mạng công cộng có
mặt ở khắp mọi nơi nên khả năng mở rộng của VPN là rất linh động. Một cơ quan ở xa
có thể kết nối một cách dễ dàng đến mạng của công ty bằng cách sử dụng đường dây
điện thoại hay DSL…Và mạng VPN dễ dàng gỡ bỏ khi có nhu cầu.
Nguyễn Thị Tới- D04VT1 3
Đồ án tốt nghiệp
Lời nói đầu

Khả năng mở rộng băng thông là khi một văn phòng, chi nhánh yêu cầu băng
thông lớn hơn thì nó có thể được nâng cấp dễ dàng.
• Giảm thiểu các hỗ trợ kỹ thuật
Việc chuẩn hoá trên một kiểu kết nối từ đối tượng di động đến một POP của
ISP và việc chuẩn hoá các yêu cầu về bảo mật đã làm giảm thiểu nhu cầu về nguồn hỗ
trợ kỹ thuật cho mạng VPN. Và ngày nay, khi mà các nhà cung cấp dịch vụ đảm
nhiệm các nhiệm vụ hỗ trợ mạng nhiều hơn thì những yêu cầu hỗ trợ kỹ thuật đối với
người sử dụng ngày càng giảm.
• Giảm thiểu các yêu cầu về thiết bị
Bằng việc cung cấp một giải pháp đơn cho các xí nghiệp truy cập bằng quay số
truy cập Internet, VPN yêu cầu về thiết bị ít hơn, đơn giản hơn nhiều so với việc bảo
trì các modem riêng biệt, các card tương thích (adapter) cho các thiết bị đầu cuối và
các máy chủ truy cập từ xa. Một doanh nghiệp có thể thiết lập các thiết bị khách hàng
cho một môi trường đơn, như môi trường T1, với phần còn lại của kết nối được thực
hiện bởi ISP. Bộ phận T1 có thể làm việc thiết lập kết nối WAN và duy trì bằng cách
thay đổi dải modem và các mạch nhân của Frame Relay bằng một kết nối diện rộng
đơn có thể đáp ứng nhu cầu lưu lượng của các người dùng từ xa, kết nối LAN-LAN và
lưu lượng Internet cùng một lúc.
• Đáp ứng các nhu cầu thương mại
Các sản phẩm dịch vụ VPN tuân theo chuẩn chung hiện nay, một phần để đảm
bảo khả năng làm việc của sản phẩm nhưng có lẽ quan trọng hơn là để sản phẩm của
nhiều nhà cung cấp khác nhau có thể làm việc với nhau.
Đối với các thiết bị và Công nghệ Viễn thông mới thì vấn đề cần quan tâm là
chuẩn hoá, khả năng quản trị, khả năng mở rộng, khả năng tích hợp mạng, tính kế
thừa, độ tin cậy và hiệu suất hoạt động, đặc biệt là khả năng thương mại của sản phẩm.
1.1.3 Phân loại VPN
Mục tiêu đặt ra đối với công nghệ mạng VPN là thoả mãn ba yêu cầu cơ bản
sau:
Nguyễn Thị Tới- D04VT1 4
Đồ án tốt nghiệp

Lời nói đầu
 Tại mọi thời điểm, các nhân viên của công ty có thể truy nhập từ xa hoặc di
động vào mạng nội bộ của công ty.
 Nối liền các chi nhánh, văn phòng di động.
 Khả năng điều khiển được quyền truy nhập của khách hàng, các nhà cung cấp
dịch vụ hoặc các đối tượng bên ngoài khác.
Dựa vào những yêu cầu cơ bản trên, mạng riêng ảo VPN được phân làm ba
loại:
 Mạng VPN truy nhập từ xa (Remote Access VPN)
 Mạng VPN cục bộ (Intranet VPN)
 Mạng VPN mở rộng (Extranet VPN)
1.1.3.1 Mạng VPN truy nhập từ xa
Các VPN truy nhập từ xa cung cấp khả năng truy nhập từ xa. Tại mọi thời
điểm, các nhân viên, chi nhánh văn phòng di động có khả năng trao đổi, truy nhập vào
mạng của công ty. Kiểu VPN truy nhập từ xa là kiểu VPN điển hình nhất. Bởi vì,
những VPN này có thể thiết lập bất kể thời điểm nào, từ bất cứ nơi nào có mạng
Internet.
VPN truy nhập từ xa mở rộng mạng công ty tới những người sử dụng thông qua
cơ sở hạ tầng chia sẻ chung, trong khi những chính sách mạng công ty vẫn duy trì.
Chúng có thể dùng để cung cấp truy nhập an toàn từ những thiết bị di động, những
người sử dụng di động, những chi nhánh và những bạn hàng của công ty. Những kiểu
VPN này được thực hiện thông qua cơ sở hạ tầng công cộng bằng cách sử dụng công
nghệ ISDN, quay số, IP di động, DSL và công nghệ cáp, và thường yêu cầu một vài
kiểu phần mềm client chạy trên máy tính của người sử dụng.
Nguyễn Thị Tới- D04VT1 5
Đồ án tốt nghiệp
Lời nói đầu
Hình 1.2 Mô hình mạng VPN truy nhập từ xa
Các ưu điểm của mạng VPN truy nhập từ xa so với các phương pháp truy nhập
từ xa truyền thống như:

 Mạng VPN truy nhập từ xa không cần sự hỗ trợ của nhân viên mạng bởi
vì quá trình kết nối từ xa được các ISP thực hiện.
 Giảm được các chi phí cho kết nối từ khoảng cách xa bởi vì các kết nối
khoảng cách xa được thay thế bởi các kết nối cục bộ thông qua mạng Internet.
 Cung cấp dịch vụ kết nối giá rẻ cho những người sử dụng ở xa.
 Bởi vì các kết nối truy nhập là nội bộ nên các Modem kết nối hoạt động
ở tốc độ cao hơn so với các truy nhập khoảng cách xa.
 VPN cung cấp khả năng truy nhập tốt hơn đến các site của công ty bởi vì
chúng hỗ trợ mức thấp nhất của dịch vụ kết nối.
Mặc dù có nhiều ưu điểm nhưng mạng VPN truy nhập từ xa vẫn còn những
nhược điểm cố hữu đi cùng như:
 Mạng VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo QoS.
 Nguy cơ bị mất dữ liệu cao. Hơn nữa, nguy cơ các gói có thể bị phân
phát không đến nơi hoặc mất gói.
 Bởi vì thuật toán mã hoá phức tạp, nên tiêu đề giao thức tăng một cách
đáng kể.
Nguyễn Thị Tới- D04VT1 6
Đồ án tốt nghiệp
Lời nói đầu
1.1.3.2 Mạng VPN cục bộ
Các VPN cục bộ được sử dụng để bảo mật các kết nối giữa các địa điểm khác
nhau của một công ty. Mạng VPN liên kết trụ sở chính, các văn phòng, chi nhánh trên
một cơ sở hạ tầng chung sử dụng các kết nối luôn được mã hoá bảo mật. Điều này cho
phép tất cả các địa điểm có thể truy nhập an toàn các nguồn dữ liệu được phép trong
toàn bộ mạng của công ty.
Những VPN này vẫn cung cấp những đặc tính của mạng WAN như khả năng
mở rộng, tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phí thấp
nhưng vẫn đảm bảo tính mềm dẻo. Kiểu VPN này thường được cấu hình như là một
VPN Site- to- Site.
Hình 1.3 Mô hình mạng VPN cục bộ

Những ưu điểm chính của mạng cục bộ dựa trên giải pháp VPN bao gồm:
 Các mạng lưới cục bộ hay toàn bộ có thể được thiết lập (với điều kiện mạng
thông qua một hay nhiều nhà cung cấp dịch vụ).
 Giảm được số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi xa.
 Bởi vì những kết nối trung gian được thực hiện thông qua mạng Internet, nên
nó có thể dễ dàng thiết lập thêm một liên kết ngang cấp mới.
 Tiết kiệm chi phí thu được từ những lợi ích đạt được bằng cách sử dụng
đường ngầm VPN thông qua Internet kết hợp với công nghệ chuyển mạch tốc độ
cao. Ví dụ như công nghệ Frame Relay, ATM.
Nguyễn Thị Tới- D04VT1 7
Đồ án tốt nghiệp
Lời nói đầu
Tuy nhiên mạng cục bộ dựa trên giải pháp VPN cũng có những nhược điểm đi
cùng như:
 Bởi vì dữ liệu được truyền “ngầm” qua mạng công cộng – mạng Internet –
cho nên vẫn còn những mối “đe dọa” về mức độ bảo mật dữ liệu và mức độ chất
lượng dịch vụ (QoS).
 Khả năng các gói dữ liệu bị mất trong khi truyền dẫn vẫn còn khá cao.
 Trường hợp truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêu
cầu truyền dẫn tốc độ cao và đảm bảo thời gian thực là thách thức lớn trong môi
trường Internet.
1.1.3.3 Mạng VPN mở rộng
Không giống như mạng VPN cục bộ và mạng VPN truy nhập từ xa, mạng VPN
mở rộng không bị cô lập với “thế giới bên ngoài”. Thực tế mạng VPN mở rộng cung
cấp khả năng điều khiển truy nhập tới những nguồn tài nguyên mạng cần thiết để mở
rộng những đối tượng kinh doanh như là các đối tác, khách hàng, và các nhà cung
cấp…
Hình 1.4 Mô hình mạng VPN mở rộng
Các VPN mở rộng cung cấp một đường hầm bảo mật giữa các khách hàng, các
nhà cung cấp và các đối tác qua một cơ sở hạ tầng công cộng. Kiểu VPN này sử dụng

các kết nối luôn luôn được bảo mật và được cấu hình như một VPN Site–to–Site. Sự
Nguyễn Thị Tới- D04VT1 8
Đồ án tốt nghiệp
Lời nói đầu
khác nhau giữa một VPN cục bộ và một VPN mở rộng đó là sự truy cập mạng được
công nhận ở một trong hai đầu cuối của VPN.
Những ưu điểm chính của mạng VPN mở rộng:
 Chi phí cho mạng VPN mở rộng thấp hơn rất nhiều so với mạng truyền thống.
 Dễ dàng thiết lập, bảo trì và dễ dàng thay đổi đối với mạng đang hoạt động.
 Vì mạng VPN mở rộng được xây dựng dựa trên mạng Internet nên có nhiều
cơ hội trong việc cung cấp dịch vụ và chọn lựa giải pháp phù hợp với các nhu cầu
của mỗi công ty hơn.
 Bởi vì các kết nối Internet được nhà cung cấp dịch vụ Internet bảo trì, nên
giảm được số lượng nhân viên kỹ thuật hỗ trợ mạng, do vậy giảm được chi phí
vận hành của toàn mạng.
Bên cạnh những ưu điểm ở trên giải pháp mạng VPN mở rộng cũng còn những
nhược điểm đi cùng như:
 Khả năng bảo mật thông tin, mất dữ liệu trong khi truyền qua mạng công
cộng vẫn tồn tại.
 Truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêu cầu truyền
dẫn tốc độ cao và đảm bảo thời gian thực, là thách thức lớn trong môi trường
Internet.
 Làm tăng khả năng rủi ro đối với các mạng cục bộ của công ty.
1.1.3.4 Tại sao sử dụng công nghệ MPLS- VPN?
Xu hướng toàn cầu hóa đã buộc các doanh nghiệp, các tổ chức ngày càng phải
hiệu quả hóa hệ thống thông tin của chính mình. Các Công ty lớn, các tập đoàn xuyên
quốc gia hiện nay thường có hệ thống trụ sở, chi nhánh rải rộng trên khắp thế giới.
Một số ngành đặc thù như viễn thông, ngân hàng, tài chính…nhu cầu kết nối, giao
dịch thông tin giữa các chi nhánh, giữa Công ty và các đối tác là rất lớn. Do đó việc
phải sử dụng một mạng kết nối - trao đổi thông tin riêng (WAN) trong nội bộ Công ty

có nhiều chi nhánh là vô cùng quan trọng. Việc kết nối các Công ty, tổ chức với nhau
Nguyễn Thị Tới- D04VT1 9
Đồ án tốt nghiệp
Lời nói đầu
bằng phương thức bảo mật, tin cậy cũng có ý nghĩa quan trọng vì các thông tin trao đổi
có nhiều thông tin nhạy cảm như chiến lược kinh doanh, kế hoạch tài chính,…
Để đảm bảo các thông tin truyền đi giữa các khu vực địa lý khác nhau được bảo
mật, điều kiện tiên quyết cần phải có mạng đường trục đáp ứng được các yêu cầu về
bảo mật, vì dữ liệu khi được lưu chuyển trên mạng diện rộng dễ bị lộ nhất. Do đó việc
xây dựng mạng đường trục có độ ổn định và an toàn cao luôn là yếu tố quan trọng với
các nhà cung cấp dịch vụ Internet.
Với các công nghệ mạng trước đây như Leased Line hoặc Frame Relay hoặc
VPN, để kết nối giữa các chi nhánh với Văn phòng, doanh nghiệp sẽ phải đầu tư chi
phí rất lớn về cả thiết bị mạng cũng như chi phí sử dụng. Tuy nhiên, do hạn chế về
công nghệ, công nghệ mạng truyền thống này rất phức tạp, khó quản trị, và khả năng
mở rộng mạng khó khăn.
Giải pháp MPLS-VPN được ứng dụng triển khai với mục tiêu tạo ra một giải
pháp mạng an toàn bảo mật tối ưu, độ trễ thấp, và tích hợp với mọi ứng dụng dữ liệu
như Data, Voice, Video…
Hình 1.5 Mô hình cung cấp dịch vụ VPN trên nền MPLS
Khác với các công nghệ VPN trên Internet (PPTP, L2TP, VPN IPsec), cơ chế
“đường hầm” được thiết lập hoàn toàn trong MPLS core của nhà cung cấp dịch vụ.
Nguyễn Thị Tới- D04VT1 10
Đồ án tốt nghiệp
Lời nói đầu
Mỗi kết nối VPN sẽ thiết lập một “đường hầm” riêng biệt bằng cơ chế gán nhãn và
chuyển tiếp gói IP. Mỗi kết nối VPN chỉ nhận một giá trị nhãn duy nhất do thiết bị
định tuyến MPLS trong mạng cung cấp, do vậy, mỗi “đường hầm” trong MPLS core
là riêng biệt hoàn toàn. Với khả năng che giấu địa chỉ mạng lõi (MPLS core), mọi
tấn công mạng (Hacker) như DDoS, IP snoofing, Label snoofing sẽ được giảm

thiểu tối đa.
Các ưu điểm nổi bật của công nghệ MPLS-VPN trong mạng đường trục:
 Đáp ứng mô hình điểm – đa điểm: Cho phép kết nối mạng riêng với
chỉ 1 đường kênh vật lý duy nhất.
 Bảo mật an toàn: Bảo mật tuyệt đối trên mạng MPLS core.
 Khả năng mở rộng đơn giản: Mọi cấu hình kết nối đều thực hiện tại
mạng MPLS core, thành viên mạng không cần bất kì một cấu hình nào.
 Tốc độ cao, đa ứng dụng và cam kết QoS: MPLS-VPN cho phép
chuyển tải dữ liệu lên tới tốc độ Gbps qua hệ thống truyền dẫn cáp quang. Không chỉ
là Data, MPLS-VPN có thể triển khai đầy đủ các ứng dụng về thời gian thực như
VoIP, Video Conferencing với độ trễ thấp nhất. Cung cấp các khả năng cam kết tốc
độ và băng thông tối thiểu ( QoS).
Công nghệ MPLS có thể sử dụng kết hợp với nhiều công nghệ khác như IP,
ATM, tuy nhiên ứng dụng đáng chú ý nhất hiện nay là sử dụng MPLS trong mạng IP
để xây dựng mạng riêng ảo phục vụ cho nhu cầu kết nối của các tổ chức và doanh
nghiệp. Với khả năng quản lý và mở rộng dễ dàng và dựa trên cơ sở hạng tầng Internet
hiện có, ứng dụng này đang được phát triển rất mạnh mẽ tại nhiều khối ngành: các
doanh nghiệp, các tổ chức tài chính, ngân hàng…đặc biệt là các tổ chức yêu cầu độ tin
cậy và bảo mật dữ liệu ở mức cao.
Đây chính là các cơ sở thực tế để đồ án chọn nghiên cứu giải pháp triển khai
MPLS-VPN.
1.2 Giới thiệu chung về MPLS
Chuyển tiếp gói IP truyền thống phân tích địa chỉ IP đích chứa trong tiêu đề của
lớp mạng ở mỗi gói. Mỗi bộ định tuyến phân tích địa chỉ đích độc lập ở mỗi chặng
Nguyễn Thị Tới- D04VT1 11
Đồ án tốt nghiệp
Lời nói đầu
trong mạng. Giao thức định tuyến động hay tĩnh khi xây dựng cơ sở dữ liệu cần phải
phân tích địa chỉ IP đích tạo ra bảng định tuyến. Quá trình này gọi là định tuyến
unicast từng chặng dựa trên đích đến của các gói tin. Việc định tuyến bằng các giao

thức phi kết nối đáp ứng được nhu cầu đơn giản của khách hàng. Khi mạng Internet
phát triển và mở rộng, lưu lượng Internet trên mạng bùng nổ, phương thức chuyển tiếp
gói hiện tại tỏ ra không hiệu quả, mất tính linh hoạt. Do đó cần một kỹ thuật mới để
gán địa chỉ và mở rộng các chức năng của cấu trúc mạng dựa trên IP.
MPLS là kết quả của quá trình phát triển nhiều giải pháp chuyển mạch IP với
những cố gắng kết hợp các ưu điểm của cả hai công nghệ IP và ATM.
1.2.1 Mô hình định tuyến lớp mạng
Trong môi trường phi kết nối truyền thống không phải sử dụng các bản tin báo
hiệu để thiết lập kết nối, phương thức chuyển tin là chuyển từng chặng một. Tất cả các
gói tin được chuyển đi dựa trên các giao thức định tuyến lớp mạng (như giao thức tìm
đường ngắn nhất [OSPF] hay giao thức cổng biên [BGP]), hay định tuyến tĩnh. Các
router xử lí tất cả các gói tin như nhau và có quyền huỷ bỏ các gói tin mà không cần
bất kì thông báo nào cho cả bên gửi và bên nhận. Chính vì vậy, IP chỉ cung cấp các
dịch vụ đặc biệt với “nỗ lực tối đa” chứ không thích hợp cho các dịch vụ có yêu cầu
nghiêm ngặt về QoS. Cơ chế phi kết nối gây khó khăn trong việc điều khiển luồng và
phân bổ lưu lượng mạng làm tắc nghẽn tại các nút mạng. Các nhà cung cấp dịch vụ
Internet (ISP) xử lý bằng cách tăng dung lượng các kết nối và nâng cấp router nhưng
hiện tượng nghẽn mạch vẫn xảy ra. Lý do là các giao thức định tuyến Internet thường
hướng lưu lượng vào cùng một số các kết nối nhất định dẫn tới các kết nối này bị quá
tải trong khi một số khu vực khác tài nguyên không được sử dụng. Đây là tình trạng
phân bố tải không đồng đều và sử dụng lãng phí tài nguyên mạng. Tuy nhiên, bên cạnh
hạn chế như vậy, mô hình phi kết nối cũng có những ưu điểm, đó là: khả năng định
tuyến gói tin một cách độc lập và cơ cấu định tuyến, chuyển tin đơn giản, hiệu quả,
nên mô hình phi kết nối rất phù hợp với các luồng có thời gian kết nối chậm.
1.2.2 Công nghệ ATM và mô hình hướng kết nối
ATM là công nghệ chuyển mạch hướng kết nối, tức là kết nối từ điểm đầu đến
điểm cuối phải được thiết lập trước khi thông tin được gửi đi. Việc tạo kết nối mạch ảo
Nguyễn Thị Tới- D04VT1 12
Đồ án tốt nghiệp
Lời nói đầu

có thể đạt hiệu quả trong mạng nhỏ, nhưng đối với mạng lớn thì những vấn đề có thể
xảy ra: Mỗi khi một router mới đưa vào mạng lõi WAN thì mạch ảo phải được thiết
lập giữa router này với các router còn lại để đảm bảo việc định tuyến tối ưu. Điều này
làm lưu lượng định tuyến trong mạng tăng. Thông thường việc thiết lập kết nối này
được thực hiện bởi giao thức báo hiệu. Giao thức này cung cấp các thông tin trạng thái
liên quan đến kết nối cho các chuyển mạch nằm trên đường đã định tuyến. Chức năng
điều khiển chấp nhận kết nối CAC đảm bảo rằng các tài nguyên liên quan đến kết nối
hiện tại sẽ không được đưa vào để sử dụng cho các kết nối mới. Điều này buộc mạng
phải duy trì trạng thái của từng kết nối (bao gồm thông tin về sự tồn tại của kết nối và
tài nguyên mà kết nối đó sử dụng) tại các node có dữ liệu đi qua. Việc lựa chọn tuyến
được thực hiện dựa trên các yêu cầu về QoS đối với kết nối và dựa trên khả năng của
thuật toán định tuyến trong việc tính toán các tuyến có khả năng đáp ứng các yêu cầu
QoS đó. Do khả năng nhận dạng mạng, khả năng cô lập từng kết nối với các tài
nguyên liên quan đến kết nối trong suốt thời gian tồn tại của kết nối mà môi trường
hướng kết nối có thể đảm bảo chất lượng cho từng luồng thông tin. Mạng sẽ giám sát
từng kết nối, thực hiện định tuyến lại trong trường hợp có sự cố và việc thực hiện định
tuyến lại này cũng phải thông qua báo hiệu.
Từ cơ chế truyền tin ta thấy mạng hướng kết nối thích hợp với các ứng dụng
yêu cầu phải đảm bảo QoS một cách nghiêm ngặt và các ứng dụng có thời gian kết nối
lớn. Đối với các ứng dụng có thời gian kết nối ngắn thì môi trường hướng kết nối
dường như không thích hợp do thời gian để thiết lập kết nối cũng như tỉ lệ phần thông
tin header lớn. Với các loại lưu lượng như vậy thì môi trường phi kết nối với phương
thức định tuyến đơn giản, tránh phải sử dụng các giao thức báo hiệu phức tạp sẽ phù
hợp hơn.
Như vậy cần có một phương thức chuyển mạch có thể phối hợp ưu điểm của IP
(như cơ cấu định tuyến) và của ATM (như phương thức chuyển mạch). Để thực sự phù
hợp với mạng đa dịch vụ thì cả hai công nghệ ATM và IP đều phải có những thay đổi,
cụ thể là đưa thêm khả năng phi kết nối vào công nghệ ATM, và khả năng hướng kết
nối vào công nghệ IP.
Nguyễn Thị Tới- D04VT1 13