Đồ án tốt nghiệp Đại học Lời nói đầu
Nguyễn Minh Tuấn, D04VT2
1
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
KHOA VIỄN THÔNG 1
***
§å ¸n
tèt nghiÖp ®¹i häc
Đề tài:
MẠNG RIÊNG ẢO TRÊN NỀN MPLS
VÀ ỨNG DỤNG
Giáo viên hướng dẫn : ThS. DƯƠNG THỊ THANH
TÚ
Sinh viên thực hiện :
NGUYỄN MINH TUẤN
Lớp :
D04VT2
Đồ án tốt nghiệp Đại học Lời nói đầu
Môc lôc
MỤC LỤC i
THUẬT NGỮ VIẾT TẮT iii
DANH MỤC HÌNH VẼ vii
DANH MỤC BẢNG BIỂU viii
LỜI NÓI ĐẦU 1
CHƯƠNG I : TỔNG QUAN VỀ MẠNG RIÊNG ẢO VPN 3
1.1 Định nghĩa 3
1.2 Chức năng và ưu nhược điểm của VPN 5
1.2.1 Chức năng 5
1.2.2 Ưu điểm 5
1.2.3 Nhược điểm và các vấn đề cần khắc phục 8
1.3 Phân loại mạng và các mô hình VPN 9

1.3.1 Phân loại mạng VPN 9
1.3.2 Các mô hình VPN 13
1.4 Kết luận chương 1 21
CHƯƠNG II: TỔNG QUAN CÔNG NGHỆ MPLS 22
2.1 Khái niệm MPLS 22
2.2 Đặc điểm MPLS 22
2.3 Các thành phần của MPLS 23
2.3.1 Các thiết bị trong mạng MPLS 23
2.3.2 Đường chuyển mạch nhãn 24
2.3.3 Nhãn và các vấn đề liên quan 25
2.4 Hoạt động của MPLS 29
2.5 Kiến trúc ngăn xếp trong MPLS 32
2.6 Kết luận chương 2 34
CHƯƠNG 3. MẠNG RIÊNG ẢO TRÊN NỀN MPLS 35
3.1 Tổng quan về MPLS-VPN 35
3.1.1 VPN trên nền MPLS 35
Nguyễn Minh Tuấn, D04VT2
2
Đồ án tốt nghiệp Đại học Lời nói đầu
3.1.2 Mô hình L3VPN 37
3.1.3 Mô hình L2VPN 38
3.2 Hoạt động của MPLS-VPN 40
3.2.1 Kiến trúc của router biên PE trong mạng MPLS/VPN 40
3.2.2 Truyền thông tin định tuyến dọc mạng nhà cung cấp 41
3.2.3 Bảng định tuyến và chuyển tiếp VPN 42
3.2.4 Phân phối route VPN thông qua BGP 44
3.2.5 Địa chỉ VPN-IP 45
3.2.6 Chuyển tiếp gói tin VPN dọc mạng backbone MPLS 47
3.2.7 Truyền nhãn VPN 50
3.3 Bảo mật trong MPLS-VPN 53

3.4 Kết luận chương 3 54
CHƯƠNG 4. ỨNG DỤNG VÀ TRIỂN KHAI CỦA MPLS-VPN 55
4.1 Giới thiệu chung 55
4.2 Ứng dụng của MPLS-VPN 56
4.3 Triển khai MPLS-VPN của VNPT tại Việt Nam 58
4.4 Kết luận chương 4 69
KẾT LUẬN 70
TÀI LIỆU THAM KHẢO 71
Nguyễn Minh Tuấn, D04VT2
3
Đồ án tốt nghiệp Đại học Lời nói đầu
THUẬT NGỮ VIẾT TẮT
AAL ATM Adapter Layer Lớp tương thích ATM
ACL Access Control List Danh sách điều khiển truy cập
AS Autonomous System Hệ thống tự trị
ASBR Autonomous System Border
Router
Bộ định tuyến biên hệ thống tự
trị
ATM Asynchronous Transfer
Mode
Cơ chế truyền tải không đồng
bộ
BGP Border Gateway Protocol Giao thức định tuyến cổng
miền
CE Customer Edge Thiết bị biên của mạng người
dùng
CEM Circuit Emulation Service
over MPLS
Dịch vụ mô phỏng kênh trên

MPLS
CEP Circuit Emulation over
Packet
Mô phỏng kênh trên gói
CoS Class of Service Lớp dịch vụ
DLCI Data Link Connection
Identifier
Nhận dạng kết nối lớp kênh dữ
liệu
EGP External Gateway Protocol Giao thức định tuyến liên miền
FEC Forwarding Equivalence
Class
Lớp chuyển tiếp tương đương
FR Frame Relay Chuyển mạch khung
GRE Generic
RoutingEncapsulation
Giao thức đóng gói định tuyến
chung
HDLC High-level Data Link
Control
Điều khiển liên kết dữ liệu mức
cao
HEC Header Error Controller Điều khiển lỗi tiêu đề
Nguyễn Minh Tuấn, D04VT2
4
Đồ án tốt nghiệp Đại học Lời nói đầu
ID Identifier Nhận dạng
IDSL ISDN Digital Subscriber
Line
Đường dây thuê bao số ISDN

IGP Interior Gateway Protocol Giao thức định tuyến trong
miền
IP Internet Protocol Giao thức Internet
IPLS IP-Only Private LAN
Service
Dịch vụ LAN thuê riêng trên nền
IP
IP-Sec Internet Protocol Security Giao thức an ninh Internet
ISP Internet Service Provider Nhà cung cấp dịch vụ Internet
L2F Layer 2 Forwarding Giao thức chuyển tiếp lớp 2
L2TP Layer 2 Tunneling Protocol Giao thức đường hầm lớp 2
LAC L2TP Access Concentrator Bộ tập trung truy cập L2TP
LAN Local Area Network Mạng cục bộ
LDP Label Distribution Protocol Giao thức phân bổ nhãn
LER Label Edge Router Bộ định tuyến chuyển mạch nhãn
biên
LNS L2TP Network Server Máy chủ mạng L2TP
LSP Label Switching Path Đường chuyển mạch nhãn
LSR Label Switching Router Bộ định tuyến chuyển mạch
nhãn
M2M Multipoint-to-Multipoint Đa điểm tới đa điểm
MD Multicast Domain Miền đa điểm
MPLS MultiProtocol Label
Switching
Chuyển mạch nhãn đa giao
thức
MPLS-
TE
MPLS-Traffice Engineering Kỹ thuật lưu lượng
Nguyễn Minh Tuấn, D04VT2

5
Đồ án tốt nghiệp Đại học Lời nói đầu
MT Multicast Tunnel Đường hầm đa điểm
MTI Multicast Tunnel Interface Giao diện đường hầm đa điểm
MVPN Multicast VPN VPN đa điểm
MVRF Multicast VRF VRF đa điểm
NAS Network Access Server Máy chủ truy cập mạng
NGN Next Generation Network Mạng thế hệ kế tiếp
OSPF Open Shortest Path First Giao thức đường đi ngắn nhất đầu
tiên
PAC PPTP Access Concentrator Bộ tập trung truy cập PPTP
PE Provider Edge Thiết bị biên của mạng nhà cung
cấp
PNS PPTP Network Server Máy chủ mạng PPTP
POP Point of Presence Điểm truy cập truyền thống
PPP Point to Point Tunneling
Protocol
Giao thức đường hầm điểm tới
điểm
PVC Permanent Virtual Circuit Kênh ảo cố định
PW Pseudowire Dây giả
QoS Quality of Service Chất lượng dịch vụ
RD Route Distinguisher Thuộc tính phân biệt tuyến
RSVP Resource Reservation
Protocol
Giao thức dành trước tài
nguyên
RT Route Target Thuộc tính tuyến đích
SDH Synchronous Digital
Hierachy

Phân cấp số đồng bộ
SDU Service Data Unit Đơn vị dữ liệu dịch vụ
SP Service Provider Nhà cung cấp dịch vụ
SVC Switched Virtual Circuit Mạch ảo chuyển mạch
Nguyễn Minh Tuấn, D04VT2
6
Đồ án tốt nghiệp Đại học Lời nói đầu
TCP Transmission Control
Protocol
Giao thức điều khiển truyền
dẫn
TDP Tag Distribution Protocol Giao thức phân phối thẻ
UDP User Datagram Protocol Giao thức lược đồ dữ liệu
VC Virtual Circuit Kênh ảo
VCI Virtual Circuit Identifier Nhận dạng kênh ảo
VLLS Virtual Leased Line Service Dịchvụ đường dây thuê riêng
ảo
VP Virtual Path Đường ảo
VPDN Virtual Private Dial
Network
Mạng quay số riêng ảo
VPI Virtual Path Identifier Nhận dạng đường ảo
VPLS Virtual Private LAN Service Dịch vụ LAN riêng ảo
VPN Virtual Private Network Mạng riêng ảo
VPWS Virtual Private Wire
Service
Dịch vụ đường dây riêng ảo
VR Virtual Router Bộ định tuyến ảo
VRF VPN Routing and
Forwarding

Bảng định tuyến và chuyển tiếp
VPN
WAN Wide Area Network Mạng diện rộng

Danh môc b¶ng biÓu
Bảng 1.1: Chi phí hàng tháng cho các mạng dùng đường thuê riêng so với internet
VPN 6
Bảng 1.2: Chi phí hàng tháng cho các mạng dùng đường thuê kép so với Internet
VPN 6
Nguyễn Minh Tuấn, D04VT2
7
Đồ án tốt nghiệp Đại học Lời nói đầu
Bảng 4.1. Cước đấu nối hoà mạng 63
Bảng 4.2. Cước thuê kênh đường lên dịch vụ MegaWAN tốc độ trên 2Mb/s nội hạt . .64
Bảng 4.3. Cước thuê kênh hàng tháng 65
Bảng 4.4. Thuê kênh đường lên 65
Bảng 4.5. Cước biến động dịch vụ 66
Bảng 4.6. Cước truy nhập Internet tốc độ 2MB/S từ mạng MegaWAN 66
Bảng 4.7. Cước các dịch vụ liên quan 67
Bảng 4.8. Cước chuyển dịch MegaWAN 68
Bảng 4.9. Cước thuê cổng và thuê kênh 69
Danh môc h×nh vÏ
Hình 1.1 Mô hình VPN 4
Hình 1.2 Mô hình mạng VPN truy nhập từ xa 10
Hình 1.3 Mô hình mạng VPN cục bộ 11
Hình 1.4 Mô hình mạng VPN mở rộng 12
Hình 1.5 Mô hình VPN chồng lấn 16
Hình 1.6 Mô hình VPN ngang cấp 17
Hình 1.7 Mô hình VPN ngang cấp sử dụng router dùng
chung 19

Nguyễn Minh Tuấn, D04VT2
8
Đồ án tốt nghiệp Đại học Lời nói đầu
Hình 2.1 Khuôn dạng tiêu đề nhãn 25
Hình 2.2 Cấu trúc ngăn xếp nhãn 26
Hình 2.3 Xử lý gói 30
Hình 2.4 Hoạt động của mạng MPLS 31
Hình 2.5 Ngăn xếp giao thức MPLS 33
Hình 3.1 Thành phần mạng MPL-VPN 35
Hình 3.2 Mô hình mạng MPLS-VPN cơ bản 36
Hình 3.3 Mô hình MPLS L3VPN 37
Hình 3.4 Mô hình MPLS L2VPN 39
Hình 3.5 Kiến trúc của router biên PE 40
Hình 3.6 Sử dụng nhãn LDP để truyền router VPNv4 48
Hình 3.7 Sử dụng ngăn xếp nhãn để truyền router VPNv4 . 48
Nguyễn Minh Tuấn, D04VT2
9
Đồ án tốt nghiệp Đại học Lời nói đầu
Hình 3.8 Vận
chuyển dữ liệu trong VPN qua mạng MPLS 52
Hình 4.1 Các kết nối văn phòng ở xa và các phòng ban bộ phận 58
Hình 4.2 VNPT MPLS-VPN lớp 2 60
Hình 4.3 VNPT MPLS lớp 3 61
Hình 4.4 Mô hình mạng MegaWAN thực tế do VNPT cung cấp 61
Hình 4.5 Mô hình MegaWAN nội tỉnh của Hà Nội 62
Hình 4.6 Mô hình MeaWAN liên tỉnh của Hà Nội 62
Nguyễn Minh Tuấn, D04VT2
10
Đồ án tốt nghiệp Đại học Lời nói đầu
LỜI NÓI ĐẦU

Ngày nay, cùng với sự phát triển nhanh chóng của khoa học kỹ thuật, Công nghệ
thông tin và Viễn thông đã góp phần quan trọng vào sự phát triển kinh tế thế giới.
Các tổ chức, doanh nghiệp có nhiều chi nhánh, các công ty đa quốc gia trong
quá trình hoạt động luôn phải trao đổi thông tin với khách hàng, đối tác, nhân viên
của họ. Chính vì vậy đòi hỏi phải luôn nắm bắt được thông tin mới nhất, chính xác
nhất, đồng thời phải đảm bảo độ tin cậy cao giữa các chi nhánh của mình trên khắp
thế giới, cũng như với các đối tác và khách hàng.Với các tổ chức này, việc truyền
thông dữ liệu một cách an toàn với chi phí thấp, giảm nhẹ các công việc quản lý
hoạt động của mạng luôn được đặt ra, và VPN là một giải pháp hiệu quả. VPN đã
và đang là thị trường phát triển rất mạnh.
VPN được định nghĩa là mạng kết nối các site khách hàng đảm bảo an ninh
trên cơ sở hạ tầng mạng chung cùng với các chính sách điều khiển truy nhập và
đảm bảo an ninh như một mạng riêng.
Đã có rất nhiều phương án triển khai VPN như: X.25, ATM, Frame Relay,
leased line… Tuy nhiên khi thực hiện các giải pháp này thì chi phí rất lớn để mua
sắm các thiết bị, chi phí cho vận hành, duy trì, quản lý rất lớn và do doanh nghiệp
phải gánh chịu trong khi các nhà cung cấp dịch vụ chỉ đảm bảo về một kênh riêng
cho số liệu và không chắc chắn về vấn đề an ninh của kênh riêng này.
Cùng với xu hướng IP hoá mạng viễn thông hiện nay, IP-VPN đã tạo ra bước
ngoặt lớn trong lịch sử phát triển của công nghệ VPN. IP-VPN đã giải quyết được
vấn đề giảm chi phí vận hành, duy trì quản lý đơn giản, linh hoạt. Tuy nhiên IP-
VPN truyền thống còn phải sử dụng các thuật toán mã hoá đi kèm, và các thuật
toán mã hoá này là rất phức tạp. Công nghệ mới MPLS, chuyển mạch nhãn đa
giao thức, có thể coi là một bước phát triển lớn, hoàn thiện công nghệ IP nói chung
và IP-VPN nói riêng. MPLS cho phép triển khai các VPN có khả năng mở rộng và
cơ sở xây dựng các dịch vụ giá trị gia tăng vượt trội so với các VPN truyền thống.
Ở Việt Nam, khi nền kinh tế cũng đang trong thời kỳ phát triển và hội nhập
quốc tế thì nhu cầu sử dụng VPN vừa đáp ứng được các yêu cầu về thông tin, vừa
Nguyễn Minh Tuấn, D04VT2
11

Đồ án tốt nghiệp Đại học Lời nói đầu
giải quyết được những khó khăn về kinh tế. Hơn nữa,Tập đoàn BCVT Việt Nam
cũng đã áp dụng công nghệ MPLS cho mạng thế hệ kế tiếp NGN. Đó là một thuận
lợi lớn để triển khai các MPLS-VPN. Mạng MEGAWAN được đưa vào sử dụng là
một minh chứng lớn nhất cho điều đó.
Nội dung đồ án gồm 4 chương:
Chương 1. Tổng quan về VPN: Giới thiệu chung những khái niệm cơ bản về
VPN, các chức năng và đặc điểm của VPN đồng thời cũng giới thiệu về các mô
hình cũng như phân loại mạng VPN từ đó ta biết được những khó khăn khi sử dụng
mỗi loại hình VPN.
Chương 2. Tổng quan về MPLS: Giới thiệu về công nghệ MPLS, đặc điểm và
hoạt động của một mạng MPLS để có thể dễ dàng nắm được nguyên lý hoạt động
của các VPN được xây dựng trên mạng này.
Chương 3. Mạng riêng ảo trên nền MPLS: Nghiên cứu về công nghệ Mạng
riêng ảo trên nền MPLS, các mô hình, nguyên lý hoạt động và tính bảo mật của
MPLS-VPN.
Chương 4. Ứng dụng và triển khai MPLS-VPN: Tìm hiểu ứng dụng và triển
khai MPLS-VPN của VNPT tại Việt Nam.
Do khả năng còn hạn chế nên đồ án chắc chắn không tránh khỏi những thiếu
sót. Em rất mong được sự chỉ bảo góp ý của các thầy cô giáo và các bạn để đồ án
được hoàn thiện hơn.
Cuối cùng em xin chân thành cảm ơn cô giáo Th.S Dương Thị Thanh Tú, các
thầy cô giáo trong bộ môn Mạng viễn thông và các thầy cô giáo trong Học viện đã
giúp đỡ, hướn dẫn em trong thời gian học tập và làm đồ án tốt nghiệp. Xin cảm ơn
bạn bè và gia đình đã giúp đỡ, quan tâm trong thời gian qua.
Em xin chân thành cảm ơn!
Sinh viên thực hiện:
Nguyễn Minh Tuấn
Nguyễn Minh Tuấn, D04VT2
12

Đồ án tốt nghiệp Đại học Chương 1: Tổng quan về mạng riêng ảo VPN
CHƯƠNG I : TỔNG QUAN VỀ MẠNG RIÊNG ẢO VPN
Cụm từ Virtual Private Network (mạng riêng ảo) thường được gọi tắt là VPN
là một kỹ thuật đã xuất hiện từ lâu, tuy nhiên nó thực sự bùng nổ và trở nên cạnh
tranh khi xuất hiện công nghệ mạng thông minh với đà phát triển mạnh mẽ của
Internet. Trong thực tế, người ta thường nói tới hai khái niệm VPN đó là: mạng
riêng ảo kiểu tin tưởng (Trusted VPN) và mạng riêng ảo an toàn (Secure VPN).
Mạng riêng ảo kiểu tin tưởng được xem như một số mạch thuê của một nhà
cung cấp dịch vụ viễn thông. Mỗi mạch thuê riêng hoạt động như một đường dây
trong một mạng cục bộ. Tính riêng tư của trusted VPN thể hiện ở chỗ nhà cung cấp
dịch vụ sẽ đảm bảo không có một ai sử dụng cùng mạch thuê riêng đó. Khách hàng
của mạng riêng ảo loại này tin tưởng vào nhà cung cấp dịch vụ để duy trì tính toàn
vẹn và bảo mật của dữ liệu truyền trên mạng. Các mạng riêng xây dựng trên các
đường dây thuê thuộc dạng “trusted VPN”.
Mạng riêng ảo an toàn là các mạng riêng ảo có sử dụng mật mã để bảo mật dữ
liệu. Dữ liệu ở đầu ra của một mạng được mật mã rồi chuyển vào mạng công cộng
(ví dụ: mạng Internet) như các dữ liệu khác để truyền tới đích và sau đó được giải
mã dữ liệu tại phía thu. Dữ liệu đã mật mã có thể coi như được truyền trong một
đường hầm (tunnel) bảo mật từ nguồn tới đích. Cho dù một kẻ tấn công có thể nhìn
thấy dữ liệu đó trên đường truyền thì cũng không có khả năng đọc được vì dữ liệu
đã được mật mã.
Mạng riêng ảo xây dựng dựa trên Internet là mạng riêng ảo kiểu an toàn, sử
dụng cơ sở hạ tầng mở và phân tán của Internet cho việc truyền dữ liệu giữa các site
của các công ty. Trọng tâm chính của đồ án tốt nghiệp này bàn về VPN dựa trên
Internet. Khi nói đến mạng riêng ảo VPN phải hiểu là mạng riêng ảo dựa trên
Internet.
1.1 Định nghĩa
Mạng riêng ảo VPN được định nghĩa là một kết nối mạng triển khai trên cơ
sở hạ tầng mạng công cộng (như mạng Internet) với các chính sách quản lý và bảo
mật giống như mạng cục bộ.

Nguyễn Minh Tuấn, D04VT2
3
Đồ án tốt nghiệp Đại học Chương 1: Tổng quan về mạng riêng ảo VPN

Hình 1.1 Mô hình VPN
Các thuật ngữ dùng trong VPN như sau:
Virtual- nghĩa là kết nối là động, không được gắn cứng và tồn tại như một kết
nối khi lưu lượng mạng chuyển qua. Kết nối này có thể thay đổi và thích ứng với
nhiều môi trường khác nhau và có khả năng chịu đựng những khuyết điểm của
mạng Internet. Khi có yêu cầu kết nối thì nó được thiết lập và duy trì bất chấp cơ sở
hạ tầng mạng giữa những điểm đầu cuối.
Private- nghĩa là dữ liệu truyền luôn luôn được giữ bí mật và chỉ có thể bị truy
cập bởi những nguời sử dụng được trao quyền. Điều này rất quan trọng bởi vì giao
thức Internet ban đầu TCP/IP- không được thiết kế để cung cấp các mức độ bảo
mật. Do đó, bảo mật sẽ được cung cấp bằng cách thêm phần mềm hay phần cứng
VPN.
Network- là thực thể hạ tầng mạng giữa những người sử dụng đầu cuối, những
trạm hay những node để mang dữ liệu. Sử dụng tính riêng tư, công cộng, dây dẫn,
vô tuyến, Internet hay bất kỳ tài nguyên mạng dành riêng khác sẵn có để tạo nền
mạng.
Khái niệm mạng riêng ảo VPN không phải là khái niệm mới, chúng đã từng
được sử dụng trong các mạng điện thoại trước đây nhưng do một số hạn chế mà
công nghệ VPN chưa có được sức mạnh và khả năng cạnh tranh lớn. Trong thời
gian gần đây, do sự phát triển của mạng thông minh, cơ sở hạ tầng mạng IP đã làm
cho VPN thực sự có tính mới mẻ. VPN cho phép thiết lập các kết nối riêng với
những người dùng ở xa, các văn phòng chi nhánh của công ty và đối tác của công ty
đang sử dụng chung một mạng công cộng.
1.2 Chức năng và ưu nhược điểm của VPN
1.2.1 Chức năng
VPN cung cấp ba chức năng chính đó là: tính xác thực (Authentication), tính

toàn vẹn (Integrity) và tính bảo mật (Confidentiality).
Nguyễn Minh Tuấn, D04VT2
4
Đồ án tốt nghiệp Đại học Chương 1: Tổng quan về mạng riêng ảo VPN

Tính xác thực : Để thiết lập một kết nối VPN thì trước hết cả hai phía phải
xác thực lẫn nhau để khẳng định rằng mình đang trao đổi thông tin với người
mình mong muốn chứ không phải là một người khác.

Tính toàn vẹn : Đảm bảo dữ liệu không bị thay đổi hay đảm bảo không có
bất kỳ sự xáo trộn nào trong quá trình truyền dẫn.

Tính bảo mật : Người gửi có thể mã hoá các gói dữ liệu trước khi truyền qua
mạng công cộng và dữ liệu sẽ được giải mã ở phía thu. Bằng cách làm như
vậy, không một ai có thể truy nhập thông tin mà không được phép. Thậm chí
nếu có lấy được thì cũng không đọc được.
1.2.2 Ưu điểm
VPN mang lại lợi ích thực sự và tức thời cho các công ty. Có thể dùng VPN
không chỉ để đơn giản hoá việc thông tin giữa các nhân viên làm việc ở xa, người
dùng lưu động, mở rộng Intranet đến từng văn phòng, chi nhánh, thậm chí triển khai
Extranet đến tận khách hàng và các đối tác chủ chốt mà còn làm giảm chi phí cho
công việc trên thấp hơn nhiều so với việc mua thiết bị và đường dây cho mạng
WAN riêng. Những lợi ích này dù trực tiếp hay gián tiếp đều bao gồm: Tiết kiệm
chi phí (cost saving), tính mềm dẻo (flexibility), khả năng mở rộng (scalability) và
một số ưu điểm khác.
 Tiết kiệm chi phí
Việc sử dụng một VPN sẽ giúp các công ty giảm được chi phí đầu tư và chi
phí thường xuyên. Tổng giá thành của việc sở hữu một mạng VPN sẽ được thu nhỏ,
do chỉ phải trả ít hơn cho việc thuê băng thông đường truyền, các thiết bị mạng
đường trục và duy trì hoạt động của hệ thống. Giá thành cho việc kết nối LAN-to-

LAN giảm từ 20 tới 30% so với việc sử dụng đường thuê riêng truyền thống. Còn
đối với việc truy cập từ xa giảm từ 60 tới 80%.
Ta có thể thấy rõ ưu điểm của VPN qua việc so sánh chi phí khi sử dụng
đường thuê riêng T1 (1.5 Mbit/s) với chi phí khi sử dụng Internet VPN.
Bảng 1.1: Chi phí hàng tháng cho các mạng dùng đường thuê riêng so với internet VPN .
Nguyễn Minh Tuấn, D04VT2
5
Đồ án tốt nghiệp Đại học Chương 1: Tổng quan về mạng riêng ảo VPN
Thành phố Khoảng cách
(dặm)
Chi phí cho T1 Cho phí cho
Internet VPN
Boston-New York 194 $4.570 $1.900
New York-
Washington
235 $4.775 $1.900
Tổng 429 $9.345 $3.800
Bảng 1.2: Chi phí hàng tháng cho các mạng dùng đường thuê kép so với Internet VPN.
Thành phố Khoảng cách
(dặm)
Chi phí cho T1 Chi phí cho Internet
VPN
San FranCisco-
Denver
1.267 $13.535 $1.900
Denver-chicago 1.023 $12.315 $1.900
Chicago-New York 807 $11.235 $1.900
Denver-Salt Lake 537 $6.285 $1.900
Denver-Dallas 794 $7.570 $1.900
New York-

Washington
235 $4.775 $1.900
New York- Boston 194 $4.570 $1.900
Tổng 4857 $60.285 $13.300
 Tính linh hoạt
Tính linh hoạt ở đây không chỉ là linh hoạt trong quá trình vận hành và khai
thác mà nó còn thực sự mềm dẻo đối với yêu cầu sử dụng. Khách hàng có thể sử
dụng kết nối T1, T3 giữa các văn phòng và nhiều kiểu kết nối khác cũng có thể
được sử dụng để kết nối các văn phòng nhỏ, các đối tượng di động. Nhà cung cấp
dịch vụ VPN có thể cung cấp nhiều lựa chọn cho khách hàng, có thể là kết nối
modem 56 kbit/s, ISDN 128 kbit/s, xDSL, T1, T3 …
 Khả năng mở rộng
Nguyễn Minh Tuấn, D04VT2
6
Đồ án tốt nghiệp Đại học Chương 1: Tổng quan về mạng riêng ảo VPN
Do VPN được xây dựng dựa trên cơ sở hạ tầng mạng công cộng (Internet), bất
cứ ở nơi nào có mạng công cộng là đều có thể triển khai VPN. Mà mạng công cộng
có mặt ở khắp mọi nơi nên khả năng mở rộng của VPN là rất linh động. Một cơ
quan ở xa có thể kết nối một cách dễ dàng đến mạng của công ty bằng cách sử dụng
đường dây điện thoại hay DSL…Và mạng VPN dễ dàng gỡ bỏ khi có nhu cầu.
Khả năng mở rộng băng thông là khi một văn phòng, chi nhánh yêu cầu băng
thông lớn hơn thì nó có thể được nâng cấp dễ dàng.
 Giảm thiểu các hỗ trợ kỹ thuật
Việc chuẩn hoá trên một kiểu kết nối từ đối tượng di động đến một POP của
ISP và việc chuẩn hoá các yêu cầu về bảo mật đã làm giảm thiểu nhu cầu về nguồn
hỗ trợ kỹ thuật cho mạng VPN. Và ngày nay, khi mà các nhà cung cấp dịch vụ đảm
nhiệm các nhiệm vụ hỗ trợ mạng nhiều hơn thì những yêu cầu hỗ trợ kỹ thuật đối
với người sử dụng ngày càng giảm.
 Giảm thiểu các yêu cầu về thiết bị
Bằng việc cung cấp một giải pháp đơn cho các xí nghiệp truy cập bằng quay

số truy cập Internet, VPN yêu cầu về thiết bị ít hơn, đơn giản hơn nhiều so với việc
bảo trì các modem riêng biệt, các card tương thích (adapter) cho các thiết bị đầu
cuối và các máy chủ truy cập từ xa. Một doanh nghiệp có thể thiết lập các thiết bị
khách hàng cho một môi trường đơn, như môi trường T1, với phần còn lại của kết
nối được thực hiện bởi ISP. Bộ phận T1 có thể làm việc thiết lập kết nối WAN và
duy trì bằng cách thay đổi dải modem và các mạch nhân của Frame Relay bằng một
kết nối diện rộng đơn có thể đáp ứng nhu cầu lưu lượng của các người dùng từ xa,
kết nối LAN-LAN và lưu lượng Internet cùng một lúc.
 Đáp ứng các nhu cầu thương mại
Các sản phẩm dịch vụ VPN tuân theo chuẩn chung hiện nay, một phần để đảm
bảo khả năng làm việc của sản phẩm nhưng có lẽ quan trọng hơn là để sản phẩm
của nhiều nhà cung cấp khác nhau có thể làm việc với nhau.
Đối với các thiết bị và Công nghệ Viễn thông mới thì vấn đề cần quan tâm
là chuẩn hoá, khả năng quản trị, khả năng mở rộng, khả năng tích hợp mạng, tính
Nguyễn Minh Tuấn, D04VT2
7
Đồ án tốt nghiệp Đại học Chương 1: Tổng quan về mạng riêng ảo VPN
kế thừa, độ tin cậy và hiệu suất hoạt động, đặc biệt là khả năng thương mại của
sản phẩm.
1.2.3 Nhược điểm và các vấn đề cần khắc phục
 Sự rủi ro an ninh
Một mạng riêng ảo thường rẻ và hiệu quả hơn so với giải pháp sử dụng kênh
thuê riêng. Tuy nhiên, nó cũng tiềm ẩn nhiều rủi ro an ninh khó lường trước. Mặc
dù hầu hết các nhà cung cấp dịch vụ quảng cáo rằng giải pháp của họ là đảm bảo an
toàn, sự an toàn không bao giờ là tuyệt đối. Cũng có thể làm cho mạng riêng ảo khó
phá hoại hơn bằng cách bảo vệ tham số của mạng một cách thích hợp, song điều
này lại ảnh hưởng đến giá thành của dịch vụ.
 Độ tin cậy và sự thực thi
VPN sử dụng phương pháp mã hoá để bảo mật dữ liệu, và các hàm mật mã
phức tạp có thể dẫn đến lưu lượng tải trên các máy chủ khá nặng. Nhiệm vụ của

người quản trị mạng là quản lí tải trên máy chủ bằng cách giới hạn số kết nối đồng
thời để biết máy chủ nào có thể điều khiển. Tuy nhiên, khi số người cố gắng kết
nối tới VPN đột nhiên tăng vọt và phá vỡ hết quá trình truyền tin, thì chính các
nhân viên quản trị này cũng không thể kết nối được vì tất cả các cổng của VPN
đều bận. Điều đó chính là động cơ thúc đẩy người quản trị tạo ra các khoá ứng
dụng làm việc mà không đòi hỏi VPN. Chẳng hạn thiết lập dịch vụ Proxy hoặc
dịch vụ Internet Message Access Protocol để cho phép nhân viên truy nhập e-mail
từ nhà hay trên đường.
1.3 Phân loại mạng và các mô hình VPN
1.3.1 Phân loại mạng VPN
Mục tiêu đặt ra đối với công nghệ mạng VPN là thoả mãn ba yêu cầu cơ bản
sau:
- Tại mọi thời điểm, các nhân viên của công ty có thể truy nhập từ xa hoặc di
động vào mạng nội bộ của công ty.
- Nối liền các chi nhánh, văn phòng di động.
Nguyễn Minh Tuấn, D04VT2
8
Đồ án tốt nghiệp Đại học Chương 1: Tổng quan về mạng riêng ảo VPN
- Khả năng điều khiển được quyền truy nhập của khách hàng, các nhà cung
cấp dịch vụ hoặc các đối tượng bên ngoài khác.
Dựa vào những yêu cầu cơ bản trên, mạng riêng ảo VPN được phân làm ba
loại:
- Mạng VPN truy nhập từ xa (Remote Access VPN)
- Mạng VPN cục bộ (Intranet VPN)
- Mạng VPN mở rộng (Extranet VPN)
a) Mạng VPN truy nhập từ xa
Các VPN truy nhập từ xa cung cấp khả năng truy nhập từ xa. Tại mọi thời
điểm, các nhân viên, chi nhánh văn phòng di động có khả năng trao đổi, truy nhập
vào mạng của công ty. Kiểu VPN truy nhập từ xa là kiểu VPN điển hình nhất. Bởi
vì, những VPN này có thể thiết lập bất kể thời điểm nào, từ bất cứ nơi nào có mạng

Internet.
VPN truy nhập từ xa mở rộng mạng công ty tới những người sử dụng thông
qua cơ sở hạ tầng chia sẻ chung, trong khi những chính sách mạng công ty vẫn duy
trì. Chúng có thể dùng để cung cấp truy nhập an toàn từ những thiết bị di động,
những người sử dụng di động, những chi nhánh và những bạn hàng của công ty.
Những kiểu VPN này được thực hiện thông qua cơ sở hạ tầng công cộng bằng cách
sử dụng công nghệ ISDN, quay số, IP di động, DSL và công nghệ cáp và thường
yêu cầu một vài kiểu phần mềm client chạy trên máy tính của người sử dụng.
Nguyễn Minh Tuấn, D04VT2
9
Đồ án tốt nghiệp Đại học Chương 1: Tổng quan về mạng riêng ảo VPN
Hình 1.2 Mô hình mạng VPN truy nhập từ xa
Các ưu điểm của mạng VPN truy nhập từ xa so với các phương pháp truy
nhập từ xa truyền thống như:
- Mạng VPN truy nhập từ xa không cần sự hỗ trợ của nhân viên mạng bởi vì
quá trình kết nối từ xa được các ISP thực hiện.
- Giảm được các chi phí cho kết nối từ khoảng cách xa bởi vì các kết nối
khoảng cách xa được thay thế bởi các kết nối cục bộ thông qua mạng
Internet.
- Cung cấp dịch vụ kết nối giá rẻ cho những người sử dụng ở xa.
- Bởi vì các kết nối truy nhập là nội bộ nên các Modem kết nối hoạt động ở
tốc độ cao hơn so với các truy nhập khoảng cách xa.
- VPN cung cấp khả năng truy nhập tốt hơn đến các site của công ty bởi vì
chúng hỗ trợ mức thấp nhất của dịch vụ kết nối.
Mặc dù có nhiều ưu điểm nhưng mạng VPN truy nhập từ xa vẫn còn những
nhược điểm cố hữu đi cùng như:
- Mạng VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo QoS.
- Nguy cơ bị mất dữ liệu cao. Hơn nữa, nguy cơ các gói có thể bị phân phát
không đến nơi hoặc mất gói.
- Bởi vì thuật toán mã hoá phức tạp, nên tiêu đề giao thức tăng một cách

đáng kể.
Nguyễn Minh Tuấn, D04VT2
10
Đồ án tốt nghiệp Đại học Chương 1: Tổng quan về mạng riêng ảo VPN
b) Mạng VPN cục bộ
Các VPN cục bộ được sử dụng để bảo mật các kết nối giữa các địa điểm khác
nhau của một công ty. Mạng VPN liên kết trụ sở chính, các văn phòng, chi nhánh
trên một cơ sở hạ tầng chung sử dụng các kết nối luôn được mã hoá bảo mật. Điều
này cho phép tất cả các địa điểm có thể truy nhập an toàn các nguồn dữ liệu được
phép trong toàn bộ mạng của công ty.
Những VPN này vẫn cung cấp những đặc tính của mạng WAN như khả năng
mở rộng, tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phí thấp
nhưng vẫn đảm bảo tính mềm dẻo. Kiểu VPN này thường được cấu hình như là một
VPN Site- to- Site.

Hình 1.3 Mô hình mạng VPN cục bộ
Những ưu điểm chính của mạng cục bộ dựa trên giải pháp VPN bao gồm:
- Các mạng lưới cục bộ hay toàn bộ có thể được thiết lập (với điều kiện mạng
thông qua một hay nhiều nhà cung cấp dịch vụ).
- Giảm được số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi xa.
- Bởi vì những kết nối trung gian được thực hiện thông qua mạng Internet, nên
nó có thể dễ dàng thiết lập thêm một liên kết ngang cấp mới.
- Tiết kiệm chi phí thu được từ những lợi ích đạt được bằng cách sử dụng
đường ngầm VPN thông qua Internet kết hợp với công nghệ chuyển mạch
tốc độ cao. Ví dụ như công nghệ Frame Relay, ATM.
Nguyễn Minh Tuấn, D04VT2
11
Đồ án tốt nghiệp Đại học Chương 1: Tổng quan về mạng riêng ảo VPN
Tuy nhiên mạng cục bộ dựa trên giải pháp VPN cũng có những nhược điểm
đi cùng như:

- Bởi vì dữ liệu được truyền “ngầm” qua mạng công cộng – mạng Internet –
cho nên vẫn còn những mối “đe dọa” về mức độ bảo mật dữ liệu và mức độ
chất lượng dịch vụ (QoS).
- Khả năng các gói dữ liệu bị mất trong khi truyền dẫn vẫn còn khá cao.
- Trường hợp truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với
yêu cầu truyền dẫn tốc độ cao và đảm bảo thời gian thực là thách thức lớn
trong môi trường Internet.
c) Mạng VPN mở rộng
Không giống như mạng VPN cục bộ và mạng VPN truy nhập từ xa, mạng
VPN mở rộng không bị cô lập với “thế giới bên ngoài”. Thực tế mạng VPN mở
rộng cung cấp khả năng điều khiển truy nhập tới những nguồn tài nguyên mạng cần
thiết để mở rộng những đối tượng kinh doanh như là các đối tác, khách hàng, và các
nhà cung cấp… .
Hình 1.4 Mô hình mạng VPN mở rộng
Các VPN mở rộng cung cấp một đường hầm bảo mật giữa các khách hàng, các
nhà cung cấp và các đối tác qua một cơ sở hạ tầng công cộng. Kiểu VPN này sử
dụng các kết nối luôn luôn được bảo mật và được cấu hình như một VPN Site–to–
Nguyễn Minh Tuấn, D04VT2
12
Đồ án tốt nghiệp Đại học Chương 1: Tổng quan về mạng riêng ảo VPN
Site. Sự khác nhau giữa một VPN cục bộ và một VPN mở rộng đó là sự truy cập
mạng được công nhận ở một trong hai đầu cuối của VPN.
Những ưu điểm chính của mạng VPN mở rộng:
- Chi phí cho mạng VPN mở rộng thấp hơn rất nhiều so với mạng truyền
thống.
- Dễ dàng thiết lập, bảo trì và dễ dàng thay đổi đối với mạng đang hoạt
động.
- Vì mạng VPN mở rộng được xây dựng dựa trên mạng Internet nên có nhiều
cơ hội trong việc cung cấp dịch vụ và chọn lựa giải pháp phù hợp với các
nhu cầu của mỗi công ty hơn.

- Bởi vì các kết nối Internet được nhà cung cấp dịch vụ Internet bảo trì, nên
giảm được số lượng nhân viên kỹ thuật hỗ trợ mạng, do vậy giảm được chi
phí vận hành của toàn mạng.
Bên cạnh những ưu điểm ở trên giải pháp mạng VPN mở rộng cũng còn
những nhược điểm đi cùng như:
- Khả năng bảo mật thông tin, mất dữ liệu trong khi truyền qua mạng công
cộng vẫn tồn tại.
- Truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêu cầu
truyền dẫn tốc độ cao và đảm bảo thời gian thực, là thách thức lớn trong
môi trường Internet.
- Làm tăng khả năng rủi ro đối với các mạng cục bộ của công ty.
1.3.2 Các mô hình VPN
Khái niệm VPN ra đời từ rất sớm, khi mà các công nghệ truyền thông như
X.25, Frame Relay được giới thiệu. VPN có thể là mạng riêng ảo giữa hai đầu cuối
hệ thống, hai giữa hai hoặc nhiều mạng riêng. Nó có thể được xây dựng bằng cách
sử dụng đường hầm.
Do đó, có thể chia VPN ra thành hai loại chính, đó là:
Nguyễn Minh Tuấn, D04VT2
13
Đồ án tốt nghiệp Đại học Chương 1: Tổng quan về mạng riêng ảo VPN
• Customer-based VPN (còn gọi là overlay VPN): là VPN được cấu hình trên
các thiết bị của khách hàng sử dụng các giao thức đường hầm xuyên qua
mạng công cộng. Nhà cung cấp dịch vụ sẽ bán các mạch ảo giữa các site của
khách hàng như là đường kết nối leased line.
• Network-based VPN (còn gọi là VPN ngang cấp): là VPN được cấu hình
trên các thiết bị của nhà cung cấp dịch vụ và được quản lý bởi nhà cung cấp
dịch vụ. Nhà cung cấp dịch vụ và khách hàng trao đổi thông tin định tuyến
lớp 3, nhà cung cấp sắp đặt dữ liệu các site khách hàng vào đường đi tối ưu
nhất mà không cần có sự tham gia của khách hàng.
a) Mô hình chồng lấn

Mô hình overlay VPN ra đời từ rất sớm và được triển khai dưới nhiều công
nghệ khác nhau. Ban đầu, VPN được xây dựng bằng cách sử dụng các đường leased
line để cung cấp kết nối giữa khách hàng ở nhiều vị trí khác nhau. Khách hàng mua
dịch vụ leased line của nhà cung cấp. Đường leased line này được thiết lập giữa các
site của khách hàng cần kết nối. Đường này là đường dành riêng cho khách hàng.
Cho đến những năm 1990, Frame Relay được giới thiệu. Frame Relay được
xem như là một công nghệ VPN vì nó đáp ứng kết nối cho khách hàng như dịch vụ
leased line, chỉ khác ở chỗ là khách hàng không được cung cấp các đường dành
riêng cho mỗi khách hàng, mà khách hàng sử dụng một đường chung nhưng được
chỉ định các mạch ảo. Các mạch ảo này sẽ đảm bảo lưu lượng cho mỗi khách hàng
là riêng biệt. Mạch ảo được gọi là PVC (Permanent Virtual Circuit) hay SVC
(Switched Virtual Circuit). Cung cấp mạch ảo cho khách hàng nghĩa là nhà cung
cấp dịch vụ đã xây dựng một đường hầm riêng cho lưu lượng khách hàng chảy qua
mạng dùng chung của nhà cung cấp dịch vụ. Sau này công nghệ ATM ra đời, về cơ
bản ATM cũng hoạt động giống như Frame Relay nhưng đáp ứng tốc độ truyền dẫn
cao hơn.
Khách hàng thiết lập việc liên lạc giữa các thiết bị đầu phía khách hàng CPE
với nhau qua kênh ảo. Giao thức định tuyến chạy trực tiếp giữa các router khách
hàng thiết lập mối quan hệ cận kề và trao đổi thông tin định tuyến với nhau. Nhà
cung cấp dịch vụ không hề biết đến thông tin định tuyến của khách hàng. Nhiệm vụ
Nguyễn Minh Tuấn, D04VT2
14
Đồ án tốt nghiệp Đại học Chương 1: Tổng quan về mạng riêng ảo VPN
của nhà cung cấp dịch vụ trong mô hình này chỉ là đảm bảo vận chuyển dữ liệu
điểm-điểm giữa các site của khách hàng mà thôi.
Overlay VPN còn được triển khai dưới dạng đường hầm (tunneling). Việc
triển khai thành công các công nghệ gắn với IP nên một vài nhà cung cấp dịch vụ
bắt đầu triển khai VPN qua IP. Nếu khách hàng nào muốn xây dựng mạng riêng của
họ qua Internet thì có thể dùng giải pháp này vì chi phí thấp. Bên cạnh lý do kinh tế,
mô hình tunneling còn đáp ứng cho khách hàng việc bảo mật dữ liệu. Hai công nghệ

VPN đường hầm phổ biến là IPSec (IP security) và GRE (Generic Route
Encapsulation).
Các cam kết về QoS trong mô hình overlay VPN thường là cam kết về băng
thông trên một VC, giá trị này được gọi là CIR (Committed Information Rate).
Băng thông có thể sử dụng được tối đa trên một kênh ảo đó, giá trị này được gọi là
PIR (Peak Information Rate). Việc cam kết này được thực hiện thông qua các thống
kê tự nhiên của dịch vụ lớp 2 nhưng lại phụ thuộc vào chiến lược của nhà cung cấp.
Điều này có nghĩa là tốc độ cam kết không thật sự được bảo đảm mặc dù nhà cung
cấp có thể đảm bảo tốc độ nhỏ nhất (Minimum Information Rate – MIR). Cam kết
về băng thông cũng chỉ là cam kết về hai điểm trong mạng khách hàng. Nếu không
có ma trận lưu lượng đầy đủ cho tất cả các lớp lưu lượng thì thật khó có thể thực
hiện cam kết này cho khách hàng trong mô hình overlay. Và thật khó để cung cấp
nhiều lớp dịch vụ vì nhà cung cấp dịch vụ không thể phân biệt được lưu lượng ở
giữa mạng. Để làm được việc này bằng cách tạo ra nhiều kết nối (kết nối full-mesh),
như trong mạng Frame Relay hay ATM là có các PVC giữa các site khách hàng.
Tuy nhiên, kết nối full-mesh thì chỉ làm tăng thêm chi phí của mạng.
Xét ví dụ sau :
VPN A gồm 3 site : site 1, site 2 và site 3. Bộ định tuyến tại R
A1
tại site 1 kết
nối với bộ định tuyến R
A2
tại site 2 và R
A3
tại site 3 thông qua kênh chuyển tiếp
khung họăc ATM. Vì vậy đối với VPN A cấu hình kết nối giữa các site là mắt lưới
hoàn toàn. Các kênh aỏ chuyển tiếp khung hoặc ATM được cung cấp bởi các nhà
cung cấp dịch vụ VPN. VPN B cũng bao gồm 3 site nhưng cấu hình kết nối giữa
chúng là hình sao qua Hub với site 1 đóng như Hub, còn site 2 và site 3 có vai trò là
Nguyễn Minh Tuấn, D04VT2

15