HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
ĐỒ ÁN
TỐT NGHIỆP ĐẠI HỌC
Đề tài:
CÔNG NGHỆ BGP/MPLS VPN
Sinh viên thực hiện : Nguyễn Duy Thanh
Hà Nội -2008
N
G
U
Y
Ê
̃N

D
U
Y

T
H
A
N
H
*
C
Ô
N
G

N
G

H
Ệ

B
G
P
/
M
P
L
S

V
P
N
*

D
2
0
0
4

V
T
1
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
KHOA VIỄN THÔNG I
***
ĐỒ ÁN TỐT NGHIỆP

ĐẠI HỌC
Đề tài :
CÔNG NGHỆ BGP/MPLS VPN
Giáo viên hướng dẫn : TS. Nguyễn Tiến Ban
Sinh viên thực hiện : Nguyễn Duy Thanh
Lớp : D04VT1

Hà Nội - 2008
HỌC VIỆN CÔNG NGHỆ
BƯU CHÍNH VIỄN THÔNG
CỘNG HOÀ XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc Lập - Tự Do - Hạnh Phúc
KHOA VIỄN THÔNG I
***
***
ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC
Họ và tên : Nguyễn Duy Thanh
Lớp : D04VT1
Khoá : 2004 - 2008
Ngành học : Điện Tử - Viễn Thông
Tên đề tài :
CÔNG NGHỆ BGP/MPLS VPN
Nội dung đồ án:
 MẠNG RIÊNG ẢO
 CHUYỂN MẠCH NHÃN ĐA GIAO THỨC MPLS
 CÔNG NGHỆ BGP/MPLS VPN
 THỰC HIỆN MÔ PHỎNG TRÊN BỘ ĐỊNH TUYẾN CỦA CISCO
Ngày giao đồ án :…./… /2008
Ngày nộp đồ án :.…./…./2008
NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN

…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………
Điểm: (bằng chữ ……………… )
Ngày tháng 11 năm 2008
Giáo viên hướng dẫn
TS. Nguyễn Tiến Ban
NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………

…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………
Điểm: (bằng chữ ……………… )
Ngày tháng 11 năm 2008
Giáo viên phản biện
Đồ án tốt nghiệp Đại học Mục lục
MỤC LỤC
MỤC LỤC i
DANH MỤC HÌNH VẼ iii
DANH MỤC BẢNG BIỂU v
THUẬT NGỮ VIẾT TẮT vi
LỜI NÓI ĐẦU x
CHƯƠNG I: MẠNG RIÊNG ẢO VPN 1
1.1 Giới thiệu VPN 1
1.1.1 Đặc điểm của VPN 1
1.1.2 Lợi ích của VPN 2
1.2 Phân loại VPN 3
1.2.1 Mạng VPN truy nhập từ xa 4
1.2.2 Mạng VPN cục bộ 6

1.2.3 Mạng VPN mở rộng 7
1.3 Các thiết bị sử dụng trong mạng riêng ảo 8
1.4 Các giao thức dùng trong VPN 9
1.5 Các mô hình VPN 11
1.6 Kết luận chương I 14
CHƯƠNG II: CHUYỂN MẠCH NHÃN ĐA GIAO THỨC MPLS 15
2.1 Giới thiệu về MPLS 15
2.2 Các thành phần của MPLS 16
2.2.1 Các thiết bị trong mạng MPLS 16
2.2.2 Đường chuyển mạch nhãn 17
2.2.3 Nhãn và các vấn đề liên quan 17
2.3 Hoạt động MPLS 22
2.4 Kiến trúc ngăn xếp trong MPLS 24
2.5 Kết luận chương II 25
CHƯƠNG III: BGP/MPLS VPN 27
3.1 Giao thức BGP 27
3.1.1 Khái niệm 27
3.1.2 Hoạt động 28
3.1.3 Phương pháp gửi nhãn MPLS 31
3.1.4 BGP với VPN 32
3.2 Bảng định tuyến và chuyển tiếp VRF 33
3.2.1 VRF và các kênh liên kết 33
3.2.2 Kết hợp các gói IP với VRF 34

Nguyễn Duy Thanh – Lớp D04VT1 - i -
Đồ án tốt nghiệp Đại học Mục lục
3.3 Phân phối tuyến VPN thông qua BGP 36
3.3.1 Họ địa chỉ VPN-Ipv4 36
3.3.2 Mã hoá RD 36
3.3.3 Điều khiển phân phối tuyến VPN 38

3.4 Nguyên lý hoạt động BGP/MPLS VPN 41
3.4.1 Mặt phẳng điều khiển 41
3.4.2 Mặt phẳng dữ liệu 45
3.5 Các topo BGP/MPLS VPN 48
3.5.1 Thực hiện phân phối tuyến cho các topo VPN 48
3.5.2 Thực hiện truy cập Internet cho các BGP/MPLS VPN 53
3.6 Các ưu nhược điểm của BGP/MPLS VPN 57
3.7Kết luận chương III 58
CHƯƠNG IV: MÔ PHỎNG TRÊN BỘ ĐỊNH TUYẾN CỦA CISCO 59
4.1 Chương trình mô phỏng 59
4.2 Kịch bản mô phỏng 60
4.3 Thực hiện 60
4.4Kết quả mô phỏng 68
4.5 Đánh giá kết quả mô phỏng 69
4.6 Kết luận chương IV 69
KẾT LUẬN 70
TÀI LIỆU THAM KHẢO xii
PHỤ LỤC xiii


Nguyễn Duy Thanh – Lớp D04VT1 - ii -
Đồ án tốt nghiệp Đại học Danh mục hình vẽ
DANH MỤC HÌNH VẼ

Nguyễn Duy Thanh – Lớp D04VT1 - iii -
Đồ án tốt nghiệp Đại học Danh mục bảng biểu
DANH MỤC BẢNG BIỂU

Nguyễn Duy Thanh – Lớp D04VT1 - v -
Đồ án tốt nghiệp Đại học Thuật ngữ viết tắt

THUẬT NGỮ VIẾT TẮT
Từ viết tắt Từ đầy đủ Chú giải tiếng Việt
A
AAL ATM Adapter Layer Lớp tương thích ATM
ACL Access Control List Danh sách điều khiển truy cập
AS Autonomous System Hệ thống tự trị
ASBR Autonomous System Border
Router
Bộ định tuyến biên hệ thống tự trị
ATM Asynchronous Transfer Mode Cơ chế truyền tải không đồng bộ
B
BGP Border Gateway Protocol Giao thức định tuyến liên miền
C
CE Customer Edge Thiết bị biên của mạng người dùng
CEP Circuit Emulation over Packet Mô phỏng kênh trên gói
CoS Class of Service Lớp dịch vụ
D
DLCI Data Link Connection Identifier Nhận dạng kết nối lớp kênh dữ liệu
E
EGP External Gateway Protocol Giao thức định tuyến liên miền
F
FEC Forwarding Equivalence Class Lớp chuyển tiếp tương đương
FR Frame Relay Chuyển mạch khung
G
GRE Generic RoutingEncapsulation Giao thức đóng gói định tuyến chung
GMPLS Generalized Multiprotocol
Label Switching
Chuyển mạch nhãn đa giao thức tổng
quát
H

HDLC High-level Data Link Control Điều khiển liên kết dữ liệu mức cao
HEC Header Error Controller Điều khiển lỗi tiêu đề
I
ID Identifier Nhận dạng

Nguyễn Duy Thanh – Lớp D04VT1 - vi -
Đồ án tốt nghiệp Đại học Thuật ngữ viết tắt
IGP Interior Gateway Protocol Giao thức định tuyến trong miền
IP Internet Protocol Giao thức Internet
IPLS IP-Only Private LAN Service Dịch vụ LAN thuê riêng trên nền IP
IP-Sec Internet Protocol Security Giao thức an ninh Internet
ISP Internet Service Provider Nhà cung cấp dịch vụ Internet
L
L2F Layer 2 Forwarding Giao thức chuyển tiếp lớp 2
L2TP Layer 2 Tunneling Protocol Giao thức đường hầm lớp 2
LAC L2TP Access Concentrator Bộ tập trung truy cập L2TP
LAN Local Area Network Mạng cục bộ
LDP Label Distribution Protocol Giao thức phân bổ nhãn
LER Label Edge Router Bộ định tuyến chuyển mạch nhãn biên
LNS L2TP Network Server Máy chủ mạng L2TP
LSP Label Switching Path Đường chuyển mạch nhãn
LSR Label Switching Router Bộ định tuyến chuyển mạch nhãn
M
M2M Multipoint-to-Multipoint Đa điểm tới đa điểm
MD Multicast Domain Miền đa điểm
MPLS Multi Protocol Label Switching Chuyển mạch nhãn đa giao thức
MPLS-TE MPLS-Traffice Engineering Kỹ thuật lưu lượng
MT Multicast Tunnel Đường hầm đa điểm
MTI Multicast Tunnel Interface Giao diện đường hầm đa điểm
MVPN Multicast VPN VPN đa điểm

MVRF Multicast VRF VRF đa điểm
N
NAS Network Access Server Máy chủ truy cập mạng
NGN Next Generation Network Mạng thế hệ kế tiếp
O
OSPF Open Shortest Path First Giao thức đường đi ngắn nhất đầu tiên
P
PAC PPTP Access Concentrator Bộ tập trung truy cập PPTP
PE Provider Edge Thiết bị biên của mạng nhà cung cấp
PNS PPTP Network Server Máy chủ mạng PPTP

Nguyễn Duy Thanh – Lớp D04VT1 - vii -
Đồ án tốt nghiệp Đại học Thuật ngữ viết tắt
POP Point of Presence Điểm truy cập truyền thống
PPP Point to Point Tunneling
Protocol
Giao thức đường hầm điểm tới điểm
PVC Permanent Virtual Circuit Kênh ảo cố định
PW Pseudowire Dây giả
Q
QoS Quality of Service Chất lượng dịch vụ
R
RD Route Distinguisher Thuộc tính phân biệt tuyến
RSVP Resource Reservation Protocol Giao thức dành trước tài nguyên
RT Route Target Thuộc tính tuyến đích
S
SDH Synchronous Digital Hierachy Phân cấp số đồng bộ
SDU Service Data Unit Đơn vị dữ liệu dịch vụ
SONET Synchronous Optical Network Mạng quang đồng bộ
SP Service Provider Nhà cung cấp dịch vụ

SLIP Serial Line Interface Protocol Giao thức giao diện đường nối tiếp
SLA Service Level Agreement Thỏa thuận mức dịch vụ
SSL Secure Socket Layer Lớp socket an toàn
T
TCP Transmission Control Protocol Giao thức điều khiển truyền dẫn
TDP Tag Distribution Protocol Giao thức phân phối thẻ
TLS Transport Layer Security Bảo mật lớp giao vận
U
UDP User Datagram Protocol Giao thức lược đồ dữ liệu
V
VC Virtual Circuit Kênh ảo
VCI Virtual Circuit Identifier Nhận dạng kênh ảo
VLLS Virtual Leased Line Service Dịchvụ đường dây thuê riêng ảo
VP Virtual Path Đường ảo
VPDN Virtual Private Dial Network Mạng quay số riêng ảo
VPI Virtual Path Identifier Nhận dạng đường ảo
VPLS Virtual Private LAN Service Dịch vụ LAN riêng ảo

Nguyễn Duy Thanh – Lớp D04VT1 - viii -
Đồ án tốt nghiệp Đại học Thuật ngữ viết tắt
VPN Virtual Private Network Mạng riêng ảo
VPWS Virtual Private Wire Service Dịch vụ đường dây riêng ảo
VR Virtual Router Bộ định tuyến ảo
VRF VPN Routing and Forwarding Bảng định tuyến và chuyển tiếp VPN
W
WAN Wide Area Network Mạng diện rộng

Nguyễn Duy Thanh – Lớp D04VT1 - ix -
Đồ án tốt nghiệp Đại học Lời nói đầu
LỜI NÓI ĐẦU

Ngày nay, cùng với sự phát triển nhanh chóng của khoa học kỹ thuật, Công
nghệ thông tin và Viễn thông đã góp phần quan trọng vào sự phát triển kinh tế thế
giới.
Các tổ chức, doanh nghiệp có nhiều chi nhánh, các công ty đa quốc gia trong
quá trình hoạt động luôn phải trao đổi thông tin với khách hàng, đối tác, nhân viên
của họ. Chính vì vậy đòi hỏi phải luôn nắm bắt được thông tin mới nhất, chính xác
nhất, đồng thời phải đảm bảo độ tin cậy cao giữa các chi nhánh của mình trên khắp
thế giới, cũng như với các đối tác và khách hàng. Với các tổ chức này, việc truyền
thông dữ liệu một cách an toàn với chi phí thấp, giảm nhẹ các công việc quản lý hoạt
động của mạng luôn được đặt ra, và VPN là một giải pháp hiệu quả.
Đã có rất nhiều phương án triển khai VPN như: X.25, ATM, Frame Relay,
leased line… Tuy nhiên khi thực hiện các giải pháp này thì chi phí rất lớn để mua
sắm các thiết bị, chi phí cho vận hành, duy trì, quản lý rất lớn và do doanh nghiệp
phải gánh chịu trong khi các nhà cung cấp dịch vụ chỉ đảm bảo về một kênh riêng
cho số liệu và không chắc chắn về vấn đề an ninh của kênh riêng này.
Cùng với xu hướng IP hoá mạng viễn thông hiện nay, IP-VPN đã tạo ra bước
ngoặt lớn trong lịch sử phát triển của công nghệ VPN. IP-VPN đã giải quyết được
vấn đề giảm chi phí vận hành, duy trì quản lý đơn giản, linh hoạt. Tuy nhiên IP-VPN
truyền thống còn phải sử dụng các thuật toán mã hoá đi kèm, và các thuật toán mã
hoá này là rất phức tạp. Công nghệ mới - chuyển mạch nhãn đa giao thức MPLS, có
thể coi là một bước phát triển lớn, hoàn thiện công nghệ IP nói chung và IP-VPN nói
riêng. MPLS cho phép triển khai các VPN có khả năng mở rộng và cơ sở xây dựng
các dịch vụ giá trị gia tăng vượt trội so với các VPN truyền thống.
Ở Việt Nam, khi nền kinh tế cũng đang trong thời kỳ phát triển và hội nhập quốc
tế thì nhu cầu sử dụng VPN vừa đáp ứng được các yêu cầu về thông tin, vừa giải
quyết được những khó khăn về kinh tế. Hơn nữa, Tổng công ty BCVT Việt Nam cũng
đã áp dụng công nghệ MPLS cho mạng thế hệ kế tiếp NGN. Đó là một thuận lợi lớn
để triển khai các MPLS VPN.
Với đề tài:”Công nghệ BGP/MPLS VPN”, nội dung đồ án gồm 4 chương sẽ
lần lượt trình bày về những vấn đề cơ bản nhất của mạng MPLS VPN.

 Chương I: Nêu một số khái niệm tổng quan, các đặc điểm của VPN, từ
đó làm cơ sở để phân loại các mạng VPN.

Nguyễn Duy Thanh – Lớp D04VT1 - x -
Đồ án tốt nghiệp Đại học Lời nói đầu
 Chương II: Giới thiệu về công nghệ MPLS, đặc điểm và hoạt động của
một mạng MPLS để có thể dễ dàng nắm được nguyên lý hoạt động của
các VPN được xây dựng trên mạng này.
 Chương III: Đây là chương trọng tâm, nghiên cứu về BGP/MPLS VPN,
nguyên lý hoạt động và đặc biệt là các tính năng tiên tiến, vượt trội mà
công nghệ này hỗ trợ.
 Chương IV: Thực hiện cấu hình mô phỏng BGP/MPLS VPN trên bộ
định tuyến của Cisco.
Việc nghiên cứu, tìm hiểu về cả một công nghệ như BGP/MPLS VPN đòi hỏi
phải có kiến thức sâu rộng, và lâu dài. Do thời gian và trình độ có hạn, nên chắc
chắn những vấn đề được đề cập trong đồ án sẽ không tránh khỏi những sai sót. Em
rất mong nhận được sự phê bình góp ý của các thầy cô giáo, các bạn, và những ai
quan tâm đến công nghệ này.
Em xin chân thành cảm ơn thầy giáo TS. Nguyễn Tiến Ban đã tận tình hướng
dẫn em hoàn thành tốt đồ án này.
Xin gửi lời cảm ơn đến các thầy cô giáo trong khoa Viễn thông, gia đình, bạn
bè và người thân - những người đã dạy dỗ, giúp đỡ và động viên em trong suốt quá
trình học tập vừa qua.

Hà Nội, ngày 18 tháng 10 năm 2008
Sinh viên

Nguyễn Duy Thanh

Nguyễn Duy Thanh – Lớp D04VT1 - xi -

Đồ án tốt nghiệp Đại học Chương I : Mạng riêng ảo VPN
CHƯƠNG I: MẠNG RIÊNG ẢO VPN
1.1 Giới thiệu VPN
Mạng riêng ảo VPN là một mạng riêng rẽ dùng để kết nối nhiều mạng con
khác nhau hoặc tới nhiều người sử dụng từ xa. Các kết nối của mạng riêng ảo dựa vào
các kết nối có sẵn của một mạng công cộng như là Internet nhưng có các chính sách
quản lý và bảo mật giống như một mạng nội bộ.
Hình 1.1 : Mạng riêng ảo VPN
1.1.1 Đặc điểm của VPN
 Virtual : Kết nối trong VPN là động và tồn tại như một kết nối ảo đi qua
Internet. Kết nối này có thể thay đổi và thích ứng với nhiều môi trường
khác nhau và có khả năng chịu đựng những khuyết điểm của mạng
Internet. Khi có yêu cầu kết nối thì nó được thiết lập và duy trì trên cơ
sở hạ tầng mạng giữa những điểm đầu cuối.
 Private : Dữ liệu truyền luôn luôn được giữ bí mật và chỉ có thể bị truy
cập bởi những nguời sử dụng được trao quyền. Điều này rất quan trọng
bởi vì giao thức Internet TCP/IP ban đầu không được thiết kế để cung
cấp các mức độ bảo mật. Do đó, bảo mật sẽ được cung cấp bằng cách
sử dụng phần mềm hoặc thiết bị phần cứng VPN.
 Network : VPN là thực thể hạ tầng mạng giữa những người sử dụng đầu
cuối, những trạm hay những nút để mang dữ liệu. Sử dụng dây dẫn, môi

Nguyễn Duy Thanh – Lớp D04VT1 - 1 -
Đồ án tốt nghiệp Đại học Chương I : Mạng riêng ảo VPN
trường vô tuyến, Internet hay bất kỳ tài nguyên mạng dành riêng khác
sẵn có để tạo nền mạng.
Khái niệm mạng riêng ảo VPN thực ra không phải là khái niệm mới, chúng đã
từng được sử dụng trong các mạng điện thoại trước đây nhưng do một số hạn chế mà
công nghệ VPN chưa có được sức mạnh và khả năng cạnh tranh lớn. Trong thời gian
gần đây, do sự phát triển của mạng thông minh, cơ sở hạ tầng mạng IP đã làm cho

VPN thực sự có tính mới mẻ. VPN cho phép thiết lập các kết nối riêng với những
người dùng ở xa, các văn phòng chi nhánh của công ty và đối tác của công ty đang sử
dụng chung một mạng công cộng.
Hiện nay, VPN được sử dụng rộng rãi cho các dịch vụ dữ liệu, hình ảnh và các
dịch vụ đa phương tiện.
1.1.2 Lợi ích của VPN
VPN mang lại lợi ích thực sự và tức thời cho các công ty. Có thể dùng VPN
không chỉ để đơn giản hoá việc thông tin giữa các nhân viên làm việc ở xa, người
dùng lưu động, mở rộng Intranet đến từng văn phòng, chi nhánh, thậm chí triển khai
Extranet đến tận khách hàng và các đối tác chủ chốt mà còn làm giảm chi phí hơn
nhiều so với việc mua thiết bị và đường dây cho mạng WAN riêng. Có thể liệt kê một
số lợi ích mà VPN đem lại như sau:
a) Tiết kiệm chi phí
Việc sử dụng một VPN sẽ giúp các công ty giảm được chi phí đầu tư và chi
phí thường xuyên. Tổng giá thành của việc sở hữu một mạng VPN sẽ được giảm đi,
do chỉ phải trả ít hơn cho việc thuê băng thông đường truyền, các thiết bị mạng đường
trục và duy trì hoạt động của hệ thống. Giá thành cho việc kết nối LAN-to-LAN giảm
từ 20 tới 30% so với việc sử dụng đường thuê riêng truyền thống. Còn đối với việc
truy cập từ xa giảm từ 60 tới 80%.
b) Tính linh hoạt
Tính linh hoạt ở đây không chỉ là linh hoạt trong quá trình vận hành và khai
thác mà nó còn thực sự mềm dẻo đối với yêu cầu sử dụng. Khách hàng có thể sử
dụng kết nối T1, T3 giữa các văn phòng và nhiều kiểu kết nối khác cũng có thể được
sử dụng để kết nối các văn phòng nhỏ, các đối tượng di động. Nhà cung cấp dịch vụ
(SP) VPN có thể cung cấp nhiều lựa chọn cho khách hàng, có thể là kết nối modem
56 kbit/s, ISDN 128 kbit/s, xDSL, T1, T3 …
c) Khả năng mở rộng

Nguyễn Duy Thanh – Lớp D04VT1 - 2 -
Đồ án tốt nghiệp Đại học Chương I : Mạng riêng ảo VPN

Do VPN được xây dựng dựa trên cơ sở hạ tầng mạng công cộng, bất cứ ở nơi
nào có mạng công cộng đều có thể triển khai VPN, vì vậy nên khả năng mở rộng của
VPN rất linh động. Một chi nhánh ở xa có thể kết nối một cách dễ dàng đến mạng của
công ty bằng cách sử dụng đường dây điện thoại hay DSL…và có thể gỡ bỏ dễ dàng
theo nhu cầu.
d) Giảm thiểu các hỗ trợ kỹ thuật
Việc chuẩn hoá kiểu kết nối từ đối tượng di động đến một điểm truy nhập
(POP) của nhà cung cấp dịch vụ Internet (ISP) và việc chuẩn hoá các yêu cầu về bảo
mật đã làm giảm thiểu nhu cầu về hỗ trợ kỹ thuật cho mạng VPN. Và ngày nay, khi
mà các cung cấp dịch vụ đảm nhiệm các nhiệm vụ hỗ trợ mạng nhiều hơn thì những
yêu cầu hỗ trợ kỹ thuật đối với người sử dụng ngày càng giảm.
e) Giảm thiểu các yêu cầu về thiết bị
VPN yêu cầu thiết bị ít hơn, đơn giản hơn nhiều so với việc bảo trì các modem
riêng biệt, các card tương thích cho các thiết bị đầu cuối và các máy chủ truy cập từ
xa. Một doanh nghiệp có thể thiết lập các thiết bị khách hàng cho một môi trường
đơn, với phần còn lại của kết nối được thực hiện bởi SP.
f) Đáp ứng các nhu cầu thương mại
Các sản phẩm dịch vụ VPN tuân theo chuẩn chung hiện nay, một phần để đảm
bảo khả năng làm việc của sản phẩm và quan trọng hơn là để sản phẩm của nhiều nhà
cung cấp khác nhau có thể làm việc với nhau.
Đối với các thiết bị và công nghệ Viễn thông mới thì vấn đề cần quan tâm là
chuẩn hoá, khả năng quản trị, khả năng mở rộng, khả năng tích hợp mạng, tính kế
thừa, độ tin cậy và hiệu suất hoạt động, đặc biệt là khả năng thương mại của sản
phẩm.
Mạng riêng ảo VPN sử dụng các công nghệ như FR và kênh ảo ATM đã được
dùng trong một thời gian dài, nhưng mấy năm trở lại đây, các VPN dựa trên IP và
IP/MPLS đang trở nên ngày càng phổ biến hơn.
Các phần sau sẽ tiếp tục tìm hiểu về các thiết bị VPN, các giao thức, các công
nghệ, cũng như các loại và các mô hình VPN.
1.2 Phân loại VPN

Mục tiêu đặt ra đối với công nghệ mạng VPN là thoả mãn ba yêu cầu cơ bản
sau:

Nguyễn Duy Thanh – Lớp D04VT1 - 3 -
Đồ án tốt nghiệp Đại học Chương I : Mạng riêng ảo VPN
 Tại mọi thời điểm, các nhân viên của công ty có thể truy nhập từ xa
hoặc
di động vào mạng nội bộ của công ty.
 Nối liền các chi nhánh, văn phòng di động.
 Khả năng điều khiển được quyền truy nhập của khách hàng, các nhà
cung cấp dịch vụ hoặc các đối tượng bên ngoài khác.
Dựa vào những yêu cầu cơ bản trên, mạng riêng ảo VPN được phân làm ba
loại:
 Mạng VPN truy nhập từ xa (Remote Access VPN)
 Mạng VPN cục bộ (Intranet VPN)
 Mạng VPN mở rộng (Extranet VPN)
1.2.1 Mạng VPN truy nhập từ xa
Các VPN truy nhập từ xa cung cấp khả năng truy nhập từ xa. Tại mọi thời
điểm, các nhân viên, chi nhánh văn phòng di động có khả năng trao đổi, truy nhập
vào mạng của công ty. Đây là kiểu VPN điển hình nhất bởi vì VPN kiểu này có thể
được thiết lập tại bất kỳ thời điểm nào và từ bất cứ nơi nào có mạng Internet.
VPN truy nhập từ xa mở rộng mạng công ty tới những người sử dụng thông
qua cơ sở hạ tầng chia sẻ chung, trong khi những chính sách quản lý và bảo mật
mạng của công ty vẫn được duy trì. Chúng có thể dùng để cung cấp truy nhập an toàn
từ những thiết bị di động, những người sử dụng di động, những chi nhánh và những
bạn hàng của công ty. Những kiểu VPN này được thực hiện thông qua cơ sở hạ tầng
công cộng bằng cách sử dụng công nghệ ISDN, quay số, IP di động, DSL và công
nghệ cáp và thường yêu cầu một vài kiểu phần mềm client chạy trên máy tính của
người sử dụng.


Nguyễn Duy Thanh – Lớp D04VT1 - 4 -
Đồ án tốt nghiệp Đại học Chương I : Mạng riêng ảo VPN
Hình 1.2 : Mô hình mạng VPN truy nhập từ xa
Các ưu điểm của mạng VPN truy nhập từ xa :
 Mạng VPN truy nhập từ xa không cần sự hỗ trợ của nhân viên mạng
bởi vì quá trình kết nối từ xa được các ISP thực hiện.
 Giảm được các chi phí cho kết nối từ khoảng cách xa bởi vì các kết nối
khoảng cách xa được thay thế bởi các kết nối cục bộ thông qua mạng
Internet.
 Cung cấp dịch vụ kết nối giá rẻ cho những người sử dụng ở xa.
 Vì các kết nối truy nhập là nội bộ nên các modem kết nối hoạt động ở
tốc độ cao hơn so với các truy nhập khoảng cách xa.
 Cung cấp khả năng truy nhập tốt hơn đến các site của công ty bởi vì
chúng hỗ trợ mức thấp nhất của dịch vụ kết nối.
Các nhược điểm của mạng VPN truy nhập từ xa :
 Mạng VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo QoS.
 Nguy cơ bị mất dữ liệu cao, các gói có thể bị phân phát không đến nơi
hoặc mất gói.

Nguyễn Duy Thanh – Lớp D04VT1 - 5 -
Đồ án tốt nghiệp Đại học Chương I : Mạng riêng ảo VPN
 Do sử dụng thuật toán mã hoá phức tạp nên tiêu đề giao thức tăng một
cách đáng kể.
1.2.2 Mạng VPN cục bộ
Các VPN cục bộ được sử dụng để kết nối các địa điểm khác nhau của một
công ty, liên kết trụ sở chính, các văn phòng và chi nhánh trên một cơ sở hạ tầng
chung sử dụng các kết nối luôn được mã hoá bảo mật. Điều này cho phép tất cả các
địa điểm có thể truy nhập an toàn các nguồn dữ liệu được phép trong toàn bộ mạng
của công ty.
Mạng VPN kiểu này vẫn cung cấp các đặc tính của mạng WAN như là khả

năng mở rộng, tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phí
thấp nhưng vẫn đảm bảo tính mềm dẻo. Kiểu VPN này thường được cấu hình như là
một VPN Site- to- Site.
Hình 1.3 : Mô hình mạng VPN cục bộ

Các ưu điểm của mạng VPN cục bộ :
 Các mạng lưới cục bộ hay toàn bộ có thể được thiết lập (với điều kiện
mạng thông qua một hay nhiều nhà cung cấp dịch vụ).
 Giảm được số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi
xa.

Nguyễn Duy Thanh – Lớp D04VT1 - 6 -
Đồ án tốt nghiệp Đại học Chương I : Mạng riêng ảo VPN
 Bởi vì những kết nối trung gian được thực hiện thông qua mạng
Internet, nên nó có thể dễ dàng thiết lập thêm một liên kết ngang cấp
mới.
 Tiết kiệm chi phí thu được từ những lợi ích đạt được bằng cách sử dụng
đường ngầm VPN thông qua Internet kết hợp với công nghệ chuyển
mạch tốc độ cao. Ví dụ như công nghệ Frame Relay, ATM.
Các nhược điểm của mạng VPN cục bộ :
 Bởi vì dữ liệu được truyền “ngầm” qua mạng công cộng nên vẫn còn
những mối “đe dọa” về mức độ bảo mật dữ liệu và mức độ chất lượng
dịch vụ (QoS).
 Khả năng các gói dữ liệu bị mất trong khi truyền dẫn vẫn còn khá cao.
 Trường hợp truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện,
với yêu cầu truyền dẫn tốc độ cao và đảm bảo thời gian thực là thách
thức lớn trong môi trường Internet.
1.2.3 Mạng VPN mở rộng
Không giống như mạng VPN truy nhập từ xa và mạng VPN cục bộ, mạng
VPN mở rộng không bị cô lập với “thế giới bên ngoài”. Thực tế mạng VPN mở rộng

cung cấp khả năng điều khiển truy nhập tới những nguồn tài nguyên mạng cần thiết
để mở rộng những đối tượng kinh doanh như là các đối tác, khách hàng, và các nhà
cung cấp… .
Hình 1.4: Mô hình mạng VPN mở rộng

Nguyễn Duy Thanh – Lớp D04VT1 - 7 -
Đồ án tốt nghiệp Đại học Chương I : Mạng riêng ảo VPN
Các VPN mở rộng cung cấp một đường hầm bảo mật giữa các khách hàng, các
nhà cung cấp và các đối tác qua một cơ sở hạ tầng công cộng. Kiểu VPN này sử dụng
các kết nối luôn luôn được bảo mật và được cấu hình như một VPN Site–to–Site. Sự
khác nhau giữa một VPN cục bộ và một VPN mở rộng đó là sự truy cập mạng được
công nhận ở một trong hai đầu cuối của VPN.
Các ưu điểm của mạng VPN mở rộng :
 Chi phí cho mạng VPN mở rộng thấp hơn rất nhiều so với mạng truyền
thống.
 Dễ dàng thiết lập, bảo trì và dễ dàng thay đổi đối với mạng đang hoạt
động.
 Vì mạng VPN mở rộng được xây dựng dựa trên mạng Internet nên có
nhiều cơ hội trong việc cung cấp dịch vụ và chọn lựa giải pháp phù hợp
với các nhu cầu của mỗi công ty hơn.
Bởi vì các kết nối Internet được nhà cung cấp dịch vụ Internet bảo trì, nên
giảm được số lượng nhân viên kỹ thuật hỗ trợ mạng, do vậy giảm được chi phí vận
hành của toàn mạng.
Các nhược điểm của mạng VPN mở rộng :
 Khả năng bảo mật thông tin, mất dữ liệu trong khi truyền qua mạng
công cộng vẫn tồn tại.
 Truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêu cầu
truyền dẫn tốc độ cao và đảm bảo thời gian thực là thách thức lớn trong
môi trường Internet.
 Làm tăng khả năng rủi ro đối với các mạng cục bộ của công ty.

1.3 Các thiết bị sử dụng trong mạng riêng ảo
Các thiết bị trong mạng của khách hàng thuộc về một trong hai loại cơ bản :
 Các thiết bị CE (Customer Edge): là thiết bị đặt ở biên của mạng khách
hàng và kết nối đến nhà cung cấp dịch vụ (thông qua các thiết bị PE).
Các thiết bị CE có thể là bộ định tuyến (CE-r), hoặc chuyển mạch (CE-
s).
 Các thiết bị C (Customer): là thiết bị đơn giản, như các bộ định tuyến
và các chuyển mạch đặt bên trong mạng khách hàng. Các thiết bị này

Nguyễn Duy Thanh – Lớp D04VT1 - 8 -
Đồ án tốt nghiệp Đại học Chương I : Mạng riêng ảo VPN
không có kết nối trực tiếp đến mạng nhà cung cấp. Các thiết bị C không
cần biết sự tồn tại của VPN.
Các thiết bị trong mạng của nhà cung cấp cũng thuộc một trong hai loại sau:
 Các thiết bị P (Provider): là các thiết bị như các bộ định tuyến và
chuyển mạch bên trong mạng nhà cung cấp, không kết nối trực tiếp đến
các mạng khách hàng, các thiết bị P không biết gì về các VPN của
khách hàng.
 Các thiết bị PE (Provider Edge): các thiết bị này kết nối trực tiếp với
mạng của khách hàng thông qua các thiết bị CE. Các thiết bị PE biết về
VPN trong các PE-based VPN nhưng lại không biết gì về các VPN
trong kiểu CE-based VPN. Có 3 kiểu thiết bị PE : bộ định tuyến PE
(PE-r), chuyển mạch PE (PE-s), hoặc PE có thể vừa định tuyến vừa
chuyển mạch (PE-rs).
Các kiểu thiết bị khác được dùng trong VPN bao gồm máy chủ truy nhập tập
trung NAS và các cổng/bộ tập trung VPN (gateways/concentrators). NAS là thiết bị
giao tiếp giữa mạng truy nhập và mạng chuyển mạch gói. Trong một VPN truy cập từ
xa, NAS có thể được dùng như một điểm đầu cuối đường hầm.
Ngoài ra, phụ thuộc vào giao thức VPN truy cập từ xa được dùng, NAS có
nhiều tên gọi khác nhau: L2F Protocol NAS, bộ tập trung truy cập L2TP (LAC), hoặc

bộ tập trung truy cập PPTP (PAC).
Một cổng/bộ tập trung VPN hoạt động như đầu cuối của một đường hầm VPN,
đặc biệt trong VPN truy cập từ xa hoặc CE-based site-to-site VPN (hình 1.4).
Phụ thuộc vào giao thức VPN truy cập từ xa, cổng/bộ tập trung có thể được
gọi là L2F Home Gateway, L2TP Network Server (LNS), hoặc PPTP Network Server
(PNS).
1.4 Các giao thức dùng trong VPN
Trong các VPN site-to-site, lưu lượng dữ liệu người sử dụng khách hàng được
truyền giữa các thiết bị CE hoặc các thiết bị PE.
Các giao thức và công nghệ sử dụng cho VPN site-to-site bao gồm: IP
Security (Ipsec), Generic Routing Encapsulation (GRE), Layer Two Tunneling
Protocol version 3 (L2TPv3), Draft Martini pseudowires (các kênh mô phỏng), đường
hầm IEEE 802.1Q (Q-in-Q), và MPLS LSP.

Nguyễn Duy Thanh – Lớp D04VT1 - 9 -
Đồ án tốt nghiệp Đại học Chương I : Mạng riêng ảo VPN
 Ipsec : Là một bộ các giao thức được thiết kế để bảo vệ lưu lượng IP
giữa các cổng an ninh hoặc các host khi lưu lượng này được truyền tải
trên mạng chung. Các đường hầm Ipsec thường được dùng để xây dựng
một site-to-site CE-based VPN.
 GRE : Có thể dùng để xây dựng các đường hầm và truyền tải lưu lượng
đa giao thức giữa các thiết bị CE trong một VPN. GRE ít đảm bảo về an
ninh nhưng nó có thể được dùng kết hợp với các giao thức khác.
 AToM : Cho phép truyền các lưu lượng giao thức truyền tải point-to-
point (như FR, ATM, Ethernet, Ethernet VLAN-802.1Q, HDLC và
PPP) trên MPLS.
 L2TPv3 : Cho phép truyền các lưu lượng giao thức truyền tải point-to-
point trên một backbone IP hoặc backbone khác.
 Đường hầm IEEE 802.1Q (Q-in-Q): giúp một SP tạo đường hầm
Ethernet thẻ (802.Q) và truyền lưu lượng trên mạng backbone chung.

Lưu lượng 802.1Q được truyền qua đường hầm trên mạng backbone SP
bằng cách gắn một thẻ 802.1Q.
 MPLS LSP : LSP là một đường hầm đi qua các LSR trong một mạng
MPLS. Các gói được chuyển mạch dựa trên nhãn trên gói. Báo hiệu cho
các LSP có thể là TDP, LDP, hay RSVP.
Các giao thức và công nghệ dùng cho VPN truy cập từ xa:
 Giao thức L2F : Là giao thức được thiết kế để cho phép tạo đường hầm
cho các frame PPP (hoặc SLIP) giữa một NAS và một thiết bị gateway
VPN đặt tại điểm trung tâm. Những người sử dụng truy cập từ xa kết
nối đến NAS, và đường hầm được thiết lập để mang các frame PPP từ
người sử dụng truy nhập từ xa qua mạng trung gian đến gateway VPN.
 Giao thức L2TP phiên bản 2 và 3 (L2TPv2/L2TPv3): L2TP là một
chuẩn IETF, kết hợp các ưu điểm tốt nhất của L2F và PPTP. Khi truy
nhập từ xa, L2TP cho phép tạo đường hầm cho các frame PPP máy
khách truy nhập từ xa thông qua NAS đến cổng/bộ tập trung VPN và cả
đường hầm cho các frame PPP trực tiếp từ máy khách truy cập từ xa
đến gateway/bộ tập trung VPN. Nhưng L2TP thực chất lại bị hạn chế
về an ninh, vì vậy các đường hầm L2TP thường sử dụng Ipsec để bảo
vệ.

Nguyễn Duy Thanh – Lớp D04VT1 - 10 -