LỜI CẢM ƠN
Tôi muốn gửi lời cám ơn chân thành tới tất cả những người đã hỗ trợ và
giúp đỡ tôi trong quá trình hoàn thành quyển luận văn này.
Tôi muốn gửi lời cám ơn đặc biệt tới TS. Lê Ngọc Giao, người đã hướng dẫn
cho tôi hướng nghiên cứu của đề tài, người đã đưa ra những nhận xét quý giá và
trực tiếp hướng dẫn tôi trong quá trình nghiên cứu.
Tôi xin cám ơn các thầy cô giáo Học viện Công nghệ Bưu chính Viễn thông
và các đồng nghiệp tại Viễn thông Hà Nội – nơi tôi công tác, đã có những giúp đỡ
cho tôi trong quá trình công tác và học tập.
Cuối cùng, tôi xin gửi những lời cám ơn chân thành nhất tới cha mẹ, anh
em, bè bạn và vợ con của tôi, những người đã có nhiều động viên, khuyến khích với
tôi trong cuộc sống cũng như trong học tập.
Hà Nội – 08/2008
Nguyễn Minh Tuấn
i
MỤC LỤC
LỜI CẢM ƠN i
MỤC LỤC ii
THUẬT NGỮ VÀ CÁC CHỮ VIẾT TẮT vii
DANH MỤC HÌNH VẼ x
MỞ ĐẦU 1
CHƯƠNG 1: TỔNG QUAN VÀ CÁC TIÊU CHUẨN VỀ MẠNG RIÊNG ẢO 2
1 TỔNG QUAN VỀ MẠNG RIÊNG ẢO 2
1.1.1 Vài nét về mạng riêng : 2
1.1.2 Khái niệm mạng riêng ảo – VPN : 2
1.1.2.1 Các yếu tố thúc đẩy sự phát triển của VPN: 2
1.1.2.2 Lợi ích của mạng riêng ảo VPN 3
1.2 CHUẨN HOÁ, PHÂN LOẠI, CÔNG NGHỆ CÁC MẠNG RIÊNG ẢO LỚP 2
VÀ LỚP 3 4
1.2.1 Các chuẩn cho các mạng VPN 4
1.2.2 Giới thiệu về công nghệ: 4

1.2.3 VPN lớp 2: 5
1.2.3.1 Kiến trúc L2VPN: 6
1.2.3.2 Phân loại L2VPN-over-Packet: 6
1.2.4 VPN lớp 3: 10
1.2.4.1 Kiến trúc L3 VPN 10
1.2.4.2 Phân loại L3VPN 10
CHƯƠNG 2: CÁC YẾU TỐ ẢNH HƯỞNG ĐẾN AN NINH MẠNG VPN 15
2.1 XÁC ĐỊNH CÁC YÊU CẦU ĐỐI VỚI AN NINH MẠNG VPN 15
2.1.1 Tính tương thích (compatibility): 15
2.1.2 Tính bảo mật (security): 15
2.1.3 Tính khả dụng (Availability): 15
2.2 NHỮNG KIỂU ĐE DOẠ 16
ii
2.3 ĐE DOẠ BẢO MẬT CÁC PHẦN TỬ CỦA VPN 17
2.4 TẤN CÔNG CÁC GIAO THỨC VPN 20
2.4.1 Tấn công vào PPTP 20
2.4.2 Tấn công vào IPSec 21
2.5 TẤN CÔNG GIẢI MÃ 22
2.5.1 Các tấn công chỉ nhằm vào văn bản mã hóa 22
2.5.2 Các tấn công plaintext đã biết được 23
2.5.3 Các tấn công plaintext được lựa chọn 23
2.5.4 Các tấn công Man-in-the-Middle 23
2.5.5 Các tấn công Brute Force 23
2.6 CÁC TẤN CÔNG TỪ CHỐI DỊCH VỤ 24
2.6.1 SYN floods 24
2.6.2 Broadcast Storm 25
2.6.3 Smurf DoS 25
2.6.4 Ping of Death 25
CHƯƠNG 3: GIẢI PHÁP ĐẢM BẢO AN NINH CHO MẠNG RIÊNG ẢO 26
3.1 AN TOÀN CƠ SỞ HẠ TẦNG 26

3.1 AN TOÀN CƠ SỞ HẠ TẦNG 26
3.1.1 Những thách thức bảo mật doanh nghiệp 26
3.1.1 Những thách thức bảo mật doanh nghiệp 26
3.1.2 Chính sách bảo mật doanh nghiệp 26
3.1.2 Chính sách bảo mật doanh nghiệp 26
3.1.3 Bảo mật doanh nghiệp 27
3.1.3 Bảo mật doanh nghiệp 27
3.1.3.1 Bảo mật logic và bảo mật vật lý 28
3.1.3.1 Bảo mật logic và bảo mật vật lý 28
3.1.3.2 Simple Network Management Protocol – SNMP 29
3.1.3.2 Simple Network Management Protocol – SNMP 29
3.1.3.3 Nhận thực giao thức định tuyến – Routing Protocol Authentication 30
iii
3.1.3.3 Nhận thực giao thức định tuyến – Routing Protocol Authentication 30
3.1.3.4 Bộ lọc định tuyến – Routing Filter 30
3.1.3.4 Bộ lọc định tuyến – Routing Filter 30
3.1.3.5 HTTP Access 31
3.1.3.5 HTTP Access 31
3.2 CÔNG NGHỆ BẢO MẬT AAA 31
3.2 CÔNG NGHỆ BẢO MẬT AAA 31
3.2.1 Sự bảo mật điều khiển truy nhập 31
3.2.1 Sự bảo mật điều khiển truy nhập 31
3.2.1.1 Sự nhận thực 32
3.2.1.1 Sự nhận thực 32
3.2.1.2 Cho phép (Authorization) 34
3.2.1.2 Cho phép (Authorization) 34
3.2.1.3 Sự thanh toán (Accounting) 35
3.2.1.3 Sự thanh toán (Accounting) 35
3.2.2 Các giao thức AAA 35
3.2.2 Các giao thức AAA 35

3.2.2.1 TACACS+ 36
3.2.2.1 TACACS+ 36
3.2.2.2 RADIUS 39
3.2.2.2 RADIUS 39
3.3 BẢO MẬT CHO ROUTER BIÊN 42
3.3 BẢO MẬT CHO ROUTER BIÊN 42
3.3.1 Unicast Reverse Path Forwarding 43
3.3.1 Unicast Reverse Path Forwarding 43
3.3.2 Chắn TCP (TCP Intercept) 44
3.3.2 Chắn TCP (TCP Intercept) 44
3.3.3 Biên dịch địa chỉ mạng (Network Address Translation – NAT) 46
3.3.3 Biên dịch địa chỉ mạng (Network Address Translation – NAT) 46
iv
3.4 TẬP ĐẶC TÍNH TƯỜNG LỬA IOS 47
3.4 TẬP ĐẶC TÍNH TƯỜNG LỬA IOS 47
3.4.1 Sự điều khiển truy nhập dựa trên ngữ cảnh (Context-Based Access Control -
CBAC) 48
3.4.1 Sự điều khiển truy nhập dựa trên ngữ cảnh (Context-Based Access Control -
CBAC) 48
3.4.1.1 Hỗ trợ giao thức điều khiển truy nhập dựa trên ngữ cảnh 49
3.4.1.1 Hỗ trợ giao thức điều khiển truy nhập dựa trên ngữ cảnh 49
3.4.1.2 Hoạt động của điều khiển truy nhập dựa trên ngữ cảnh 49
3.4.1.2 Hoạt động của điều khiển truy nhập dựa trên ngữ cảnh 49
3.4.1.3 Điều khiển truy nhập dựa vào ngữ cảnh - CBAC và IPSec 52
3.4.1.3 Điều khiển truy nhập dựa vào ngữ cảnh - CBAC và IPSec 52
3.4.2 Ánh xạ ứng dụng Cổng – Port Application Mapping 52
3.4.2 Ánh xạ ứng dụng Cổng – Port Application Mapping 52
3.4.2.1 Ánh xạ System - defined 53
3.4.2.1 Ánh xạ System - defined 53
3.4.2.2 Ánh xạ User-defined 53

3.4.2.2 Ánh xạ User-defined 53
3.4.2.3 Ánh xạ Host-defined 53
3.4.2.3 Ánh xạ Host-defined 53
3.4.3 Phát hiện sự xâm nhập tường lửa IOS 54
3.4.3 Phát hiện sự xâm nhập tường lửa IOS 54
3.5 CÔNG NGHỆ MÃ HOÁ 55
3.5 CÔNG NGHỆ MÃ HOÁ 55
3.5.1 Lợi ích của mã hoá 56
3.5.1 Lợi ích của mã hoá 56
3.5.2 Mã hoá khoá đối xứng và bất đối xứng 57
3.5.2 Mã hoá khoá đối xứng và bất đối xứng 57
3.5.2.1 Mã hoá khoá đối xứng 57
v
3.5.2.1 Mã hoá khoá đối xứng 57
3.5.2.2 Mã hoá khoá bất đối xứng 59
3.5.2.2 Mã hoá khoá bất đối xứng 59
3.5.2.3 Mã chung 62
3.5.2.3 Mã chung 62
3.6 INTERNET PROTOCOL SECURITY 62
3.6 INTERNET PROTOCOL SECURITY 62
3.6.1 Các kiểu gói IPSec 63
3.6.1 Các kiểu gói IPSec 63
3.6.1.1 Mào đầu nhận thực – AH 63
3.6.1.1 Mào đầu nhận thực – AH 63
3.6.1.2 Tải trọng bảo mật đóng gói 64
3.6.1.2 Tải trọng bảo mật đóng gói 64
3.6.2 Các chế độ hoạt động IPSec 64
3.6.2 Các chế độ hoạt động IPSec 64
3.6.2.1 Chế độ Transport 64
3.6.2.1 Chế độ Transport 64

3.6.2.2 Chế độ Tunnel 65
3.6.2.2 Chế độ Tunnel 65
3.6.3 Quản lý khoá 67
3.6.3 Quản lý khoá 67
3.6.3.1 Trao đổi khoá Internet (Internet Key Exchange – IKE) 67
3.6.3.1 Trao đổi khoá Internet (Internet Key Exchange – IKE) 67
3.6.3.2 Thoả thuận khoá Diffie-Hellman 68
3.6.3.2 Thoả thuận khoá Diffie-Hellman 68
KẾT LUẬN 69
PHỤ LỤC 1: Quá trình nhận thực Password Authentication Protocol (PAP) 71
PHỤ LỤC 2: Quá trình nhận thực Challenge Handshake Authentication (CHAP) 72
PHỤ LỤC 4: Quá trình điều khiển truy nhập dựa trên ngữ cảnh CBAC 75
vi
PHỤ LỤC 5: Những giao thức lớp ứng dụng có thể được cấu hình toàn bộ cho CBAC
76
PHỤ LỤC 6: Các dịch vụ hỗ trợ cổng system-defined 77
PHỤ LỤC 7: Thuật toán RSA 77
PHỤ LỤC 8: Thuật toán Diffie-Hellman 78
TÀI LIỆU THAM KHẢO 79
THUẬT NGỮ VÀ CÁC CHỮ VIẾT TẮT
3DES Triple Data Encryption Standard Chuẩn mã dữ liệu 3DES
AAA Authentication – Authorization –
Accounting
Nhận thực – Cho phép – Thanh
toán
AC Attachment circuits Các mạch đính kèm
AH Authentication header Mào đầu nhận thực
ACL
Access Control List
Danh sách điểu khiển truy nhập

BGP
Border Gateway Protocol
Giao thức cổng biên
CA Certification Authority Quyền Chứng nhận
CBAC Context-Based Access Control Sự điều khiển truy nhập dựa trên
ngữ cảnh
vii
CDS Certificate Distribution System Hệ thống phân phối chứng chỉ
CEF Cisco Express Forwading Cơ chế chuyển tiếp dựa trên mô
hình lớp 3 cải tiến, nó tối ưu hoá
hiệu năng mạng và cung cấp các
đặc tính lưu lượng internet cho
giao thức IP
DES Data Encryption Standard Chuẩn mã dữ liệu
DLCI Data link channel identifier Nhận dạng kênh liên kết dữ liệu
ERS Ethernet relay service Ethernet VPWS tính toán số
VLAN và đề xuất dịch vụ giống
như frame-relay cho người sử
dụng
EWS Ethernet wire service Ethernet VPWS phân phối các
dịch vụ dựa trên cổng (port-
based service)
FIB Forwarding Information Base Cơ sở thông tin chuyển tiếp
IDS Intrusion detection system Hệ thống phát hiện xâm nhập
IKE Internet key exchange Trao đổi khóa Internet
IKE SA IKE Security Association Liên kết bảo mật IKE
IPSec Internet Protocol Security. Bảo mật giao thức internet
ISAKMP Internet Security Association Key
Management Protocol
Giao thức quản lý khoá liên kết

bảo mật Internet
GRE Generic Routing Encapsulation Giao thức mã hóa định tuyến
L2TP Layer 2 Tunneling Protocol Giao thức đường hầm lớp 2
L2VPN Layer 2 virtual private network Mạng riêng ảo lớp 2
L3VPN Layer 3 virtual private network Mạng riêng ảo lớp 3
MAC Media access control Điều khiển truy nhập thiết bị
MEF Metro Ethernet Forum Forum Ethernet Metro
MIB Management Information Base Cơ sở thông tin quản lý
MPPE Microsoft point-to-point encryption Mã hóa điểm-tới-điểm của
Microsoft
NAS Network Access Server Máy chủ truy cập mạng
viii
NAT Network address Translation dịch chuyển địa chỉ mạng-
OAM Operation , administration , and
maintenance
Bảo dưỡng, quản lý, khai thác
PAM Port Application Mapping Ánh xạ ứng dụng cổng
PKI Public Key Infrastructure Cở sở hạ tầng của mã chung
PPP Point-to-Point Protocol giao thức điểm-nối-điểm
PPTP Point-to-Point Tunneling Protocol Giao thức Tunnelling điểm nối
điểm
PVC Permanent virtual circuit Kênh ảo cố định
RA Registration Authority Quyền Đăng ký
RADIUS Remote Access Dial-In User Service Dịch vụ người sử dụng quay số
truy nhập từ xa
SA Security Associations Tập hợp bảo mật
SHA Secure Hash Algorithm Thuật toán hash bảo mật
SSL Secure Socket Layer Lớp Socket bảo mật
TACACS Terminal Access Controller Access
Control System

Hệ thống điều khiển truy nhập
những thiết bị điều khiển truy
nhập đầu cuối
TLS Transport Layer Security Bảo mật lớp truyền dẫn
User
VPLS Multipoint virtual private LAN
service
Dịch vụ LAN riêng ảo đa điểm
VPN Virtual Private Network Mạng riêng ảo
VPDN Virtual Private Dial-up Network Mạng riêng ảo Dial-up
VPWS The point-to-point virtual
private wire service
Dịch vụ dây riêng ảo điểm-tới-
điểm
VPLS Multipoint virtual private LAN
service
Dịch vụ LAN riêng ảo đa điểm
VR Virtual Router Bộ định tuyến ảo
ix
DANH MỤC HÌNH VẼ
Hình 1.1: Kiến trúc L2VPN 5
Hình 1.2: Kiến trúc L2VPN 6
Hình 1.3: Kiến trúc đơn giản của VPLS 9
Hình 1.4: Hệ thống VPLS với PE phân bố 10
Hình 1.5: Các thành phần phổ biến của L3VPNs dựa trên nền mạng 11
Hình 2.1: Các phần tử của một mạng dựa trên VPN 18
Hình 2.2: Vai trò của một ISP giả trong việc truyền dữ liệu có hại cho một mạng
intranet của một tổ chức 19
Hình 2.3 Vai trò của một router giả trong việc truyền dữ liệu có hại cho một mạng
intranet của một tổ chức 20

Hình 3.1: Mào đầu gói tin TACACS+ 36
Hình 3.2: Nhận thực TACACS+ 38
Hình 3.3: Quá trình cho phép TACACS+ 39
Hình 3.4: Quá trình nhận thực của RADIUS 41
Hình 3.5: Quá trình thanh toán của RADIUS 42
x
Hình 3.6: Bắt tay ba chiều TCP 45
Hình 3.7 : Hoạt động cơ bản của CBAC 50
Hình 3.8: Ví dụ về mã hoá khoá đối xứng 58
Hình 3.9: Ví dụ về mã hoá khoá bất đối xứng 60
Hình 3.10: Hai mode của IPSec 64
Hình 3.11: AH trong chế độ transport 65
Hình 3.12: ESP trong chế độ transport 65
Hình 3.13: AH trong chế độ tunnel 66
Hình 3.14: ESP trong chế độ tunnel 66
Hình 4.1: Nhận thực PAP một chiều 71
Hình 4.2: Nhận thực CHAP ba chiều 72
xi
MỞ ĐẦU
Internet đã thay đổi cách người ta sống, làm việc, và vui chơi. Thậm chí, nó
đã làm thay đổi cả phương thức điều hành doanh nghiệp cũng như phương thức
truyền thông tin. Càng ngày càng nhiều doanh nghiệp đang sử dụng mạng riêng ảo
VPN để điều hành các hoạt động kinh doang của doanh nghiệp. Về nguyên tắc, các
mạng riêng ảo VPN có thể được xây dựng trên cơ sở hạ tầng mạng của một nhà
cung cấp duy nhất hoặc được xây dựng dựa trên hạ tầng mạng của nhiều nhà cung
cấp. Sự phát triển của dịch vụ tạo mạng riêng ảo trên Internet (IP VPN) là một xu
thế tất yếu trong quá trình hội tụ giữa Internet và các mạng dùng riêng. Internet sở
hữu khả năng vô tận cho doanh nghiệp, nhưng doanh nghiệp cũng phải cân nhắc về
sự an toàn cần thiết để bảo vệ doanh nghiệp. Trong phạm vi luận văn, các mạng
VPN được xem xét dựa trên hạ tầng mạng Internet toàn cầu có tính ứng dụng cao

hơn, quy mô lớn hơn và có nhiều vấn đề kỹ thuật cần giải quyết. Khi xây dựng
mạng riêng ảo thì cần đạt được 03 yêu cầu là tính xác thực, tính toàn vẹn và tính
bảo mật. Các yêu cầu này được đề cập trong luận văn “Nghiên cứu các giải pháp
đảm bảo an ninh cho mạng riêng ảo VPN”.
Luận văn được chia làm 03 chương. Chương 1 nói về tổng quan và các tiêu
chuẩn, phân loại về mạng riêng ảo. Chương 2 đề cập đến các yếu tố ảnh hưởng đến
an ninh mạng riêng ảo. Để có một mạng an toàn có nghĩa là các cơ chế bảo mật phải
được đặt đúng nơi, đúng chỗ và các giải pháp đảm bảo an ninh cho mạng riêng ảo
đó sẽ được trình bày trong chương 3.
Phần cuối cùng sẽ là kết luận của bản luận văn và hướng nghiên cứu tiếp theo.
1
CHƯƠNG 1: TỔNG QUAN VÀ CÁC TIÊU CHUẨN VỀ MẠNG RIÊNG
ẢO
1 TỔNG QUAN VỀ MẠNG RIÊNG ẢO
1.1.1 Vài nét về mạng riêng :
Mạng riêng là một thuật ngữ dùng để mô tả một mạng diện rộng g¦m những
thành phần công cộng nhưng được kiểm soát bởi một tổ chức. Mạng riêng được tạo
ra với sự kết nối đường dây điện thoại hay đường thuê bao chuyên biệt thuê từ
những nhà cung cấp truyền thông địa phương hay đường dài trong đó người cung
cấp dịch vụ bảo đảm cho một băng thông nhất định mà không người nào khác có
thể tranh giành (các băng thông này có thể vô dụng trong những lúc không có hoặc
ít lưu thông) .
Mạng máy tính ban đầu được triển khai với 2 kỹ thuật chính: đường thuê riêng
(leased line) cho các kết nối cố định và đường quay số (dial-up) cho các kết nối
không thường xuyên. Các mạng này có tính bảo mật cao, nhưng với lưu lượng dữ
liệu thay đổi và sự đòi hỏi tốc độ cao nên đã tạo sự thúc đẩy hình thành một kiểu
mạng dữ liệu mới. Các mạng riêng được xây dựng trên các kênh lôgích có tính
“ảo” đầu tiên đã được xây dựng trên mạng chuyển mạch gói X.25, Frame relay và
ATM.
1.1.2 Khái niệm mạng riêng ảo – VPN :

Mạng riêng ảo (VPN) được định nghĩa như mạng thông tin giới hạn giữa các
điểm kết nối sử dụng mạng đường trục chia sẻ lưu lượng với các loại thông tin
khác. Từ cuối thế kỷ trước, các nhà cung cấp dịch vụ đã tìm cách cung cấp cho các
khách hàng là doanh nghiệp dịch vụ VPN kết hợp với các yêu cầu khác sử dụng
hiệu quả mạng lõi chuyển mạch gói.
Về cơ bản, mạng riêng ảo VPN là một mạng riêng sử dụng hệ thống mạng
công cộng (thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với
một mạng LAN ở trụ sở trung tâm.
1.1.2.1 Các yếu tố thúc đẩy sự phát triển của VPN:
− VPN có thể được phát triển trên nhiều môi trường khác nhau: X.25, Frame
2
Relay, ATM, Internet. Tuy nhiên trên các môi trường khác nhau thì sự phát
triển của VPN có các đặc điểm khác nhau về mặt kỹ thuật cũng như về mặt
đáp ứng yêu cầu của khách hàng
− Sự phát triển của dịch vụ tạo mạng riêng ảo trên Internet (IP VPN) là một xu
thế tất yếu trong quá trình hội tụ giữa Internet và các mạng dùng riêng.
Các lý do dẫn đến quá trình hội tụ giữa Internet và các mạng dùng riêng:
− Sự gia tăng số lượng nhân viên hoạt động phân tán gây khó khăn trong việc
quản lý của các mạng dùng riêng. Nhu cầu liên lạc trong khi đi công tác hay
xu hướng làm việc trong khi đi công tác hay xu hướng làm việc tại nhà, xu
hướng hội nhập và mở rộng của các công ty diễn ra mạnh mẽ làm cho các hệ
thống mạng dùng riêng không kịp đáp ứng các yêu cầu mở rộng và bảo trì
mạng riêng của chính công ty.
− Xu hướng làm việc với nhiều nhà cung cấp dịch vụ, sản phẩm cũng như đối
với nhiều đối tượng khách hàng khác nhau.
− Chi phí cho việc cài đặt và duy trì một mạng diện rộng là lớn.
− Nhu cầu tích hợp và đơn giản hoá giao diện cho người sử dụng
1.1.2.2 Lợi ích của mạng riêng ảo VPN
− Giảm thiểu chi phí sử dụng so với việc kết nối mạng diện rộng dùng các
kênh thuê riêng.

− Giảm thiểu thiết bị sử dụng.
− Chi phí thấp: giảm thiểu việc lãng phí băng thông, khách hàng có thể trả theo
cước lưu lượng sử dụng và thực tế chỉ phải trả cho chi phí kết nối Internet
thông thường, như vậy, cước phí của việc sử dụng đường truyền Internet phổ
thông sẽ rẻ hơn nhiều so với thuê đường truyền riêng.
− Quản lý dễ dàng.
− Khả năng lựa chọn tốc độ tối đa từ tốc độ 9,6 Kbit/s tới T1/E1, hoặc sử dụng
công nghệ DSL.
− Khả năng cung cấp dịch vụ một cách nhanh chóng: VPN được cung cấp trên
mạng IP tích hợp được một số ưu điểm, đó là khả năng liên kết lớn, mạng
3
lưới sẵn có vì vậy giảm thiểu thời gian cung cấp dịch vụ.
− Đối với nhà cung cấp dịch vụ:
+ Tăng doanh thu từ lưu lượng sử dụng cũng như xuất phát từ các dịch
vụ gia tăng giá trị khác kèm theo.
+ Tăng hiệu quả sử dụng mạng Internet hiện tại.
+ Đầu tư không lớn, hiệu quả đem lại cao.
+ Mở ra nhiều lĩnh vực kinh doanh mới đối với nhà cung cấp dịch vụ,
thiết bị sử dụng cho mạng VPN.
1.2 CHUẨN HOÁ, PHÂN LOẠI, CÔNG NGHỆ CÁC MẠNG RIÊNG ẢO
LỚP 2 VÀ LỚP 3
1.2.1 Các chuẩn cho các mạng VPN
Thuật ngữ mạng riêng ảo được hiểu rất rộng và nghĩa khác nhau đối với các đối
tượng khác nhau. Hơn nữa, có nhiều cách để phân biệt mạng VPN. Đầu tiên, cách
tiếp cận VPN được phân loại theo trách nhiệm quản lý. Việc chuẩn hoá chú trọng
đến lớp PPVPN (Provider Provisioned VPN), lớp được phân loại nhỏ hơn nữa theo
cách tiếp cận công nghệ cơ bản: sử dụng mạng đường trục đặc biệt lớp 1 hay lớp 2
hoặc là sử dụng mạng đường trục được điều khiển bởi các giao thức nền IP/MPLS.
Các mạng PPVPN đã được phân loại theo vị trí đặt thiết bị VPN đặc biệt như là:
mạng VPN dựa trên biên khách hàng (Customer edge-based VPNs) hay mạng VPN

dựa trên biên nhà cung cấp (Provider edge-base VPNs). Lớp mạng VPN dựa trên
biên nhà cung cấp cũng được hiểu như network-based VPN. Lớp mạng VPN dựa
trên biên nhà cung cấp lại được phân loại theo dịch vụ cung cấp: L1 VPNs cung cấp
dịch vụ lớp 1, L2 VPNs cung cấp dịch vụ lớp 2 (Ethernet, ATM, hay Frame Relay)
và L3 VPNs cung cấp dịch vụ lớp 3.
1.2.2 Giới thiệu về công nghệ:
Có nhiều cách để sắp đặt các dịch vụ VPN và cũng có nhiều cách dự định, phát
triển phương pháp thiết kế khác nhau. Hai nhóm làm việc của IETF sẽ giúp đỡ giảm
bớt các phương pháp và các chuẩn cho các hệ thống VPN. Hai nhóm làm việc này
4
tập trung vào các mạng VPN lớp 2 và lớp 3 và được đặt tên tương ứng là L2VPN,
L3VPN.
Trong luận văn này, lớp 3 đ¦ng nghĩa với giao thức internet (IP); như vậy, một
mạng VPN lớp 3 (L3VPN) là một mạng IP VPN.
1.2.3 VPN lớp 2:
L2VPN t¦n tại trên 30 năm. Hiện tại, các dịch vụ L2 dựa trên frame relay và
ATM. Tuy nhiên, nhiều nhà cung cấp dịch vụ đang xây dựng các mạng L2 tách biệt
với các mạng nền IP và tách biệt với mạng quang. Một vài nhà cung cấp đã kết luận
rằng các mạng đa mục đích sẽ hiệu quả về giá hơn khai thác nhiều mạng mục đích
riêng biệt.
Điều này khiến người ta nghĩ ngay đến phương pháp hội tụ hạ tầng mạng L2
qua hạ tầng mạng đơn giản. Phương pháp được quan tâm là phân phối các dịch vụ
L2 qua mạng IP lớp 3.
Hình 1.1: Kiến trúc L2VPN
Có hai mô hình dịch vụ được phân phối trong L2VPN. Đầu tiên là mô hình
điểm tới điểm, được đề nghị bởi công nghệ như frame relay và ATM dựa trên các
kênh ảo riêng biệt giữa hai đầu cuối định tuyến L3. Mô hình này bao g¦m cả dịch
5
vụ điểm tới điểm Ethernet. Mô hình thứ hai là dịch vụ đa điểm qua Ethernet, cung
cấp các địa chỉ MAC và tái tạo gói tin để thực hiện dịch vụ WAN.

Ứng dụng của công nghệ L2VPN là tạo ra hub và cấu trúc mạng hình lưới, lưới
cục bộ từ các kết nối điểm-tới-điểm để liên kết các site VPN. Điều này khác với mô
hình L3VPN, mô hình đưa ra dịch vụ kiểu point-to-cloud.
1.2.3.1 Kiến trúc L2VPN:
Cơ cấu tổ chức của L2VPN có thể tóm tắt như hình 1.1. Lưu lượng L2 trong
mạch ảo riêng biệt – mạng LAN ảo frame relay, ATM hay Ethernet (VLAN) - được
truyền qua mạng lõi (IP hay MPLS) trong đường giả lập (pseudo-wires). Phương
pháp này giúp phạm vi dịch vụ cung cấp cho một số lượng rất lớn khách hàng khi
các thiết bị định tuyến trong mạng gói chỉ cần biết về các đường hầm giữa hai thiết
bị biên mà không biết tất cả các kết nối L2 riêng biệt t¦n tại giữa hai thiết bị biên
đó. Tổng quát, tải L2 được đóng gói với mào đầu pseudo-wire và nó lại được đóng
gói trong mào đầu đường hầm. Mào đầu pseudo-wire hoạt động như một trường
tách kênh ở cuối đường hầm.
1.2.3.2 Phân loại L2VPN-over-Packet:
Hình 1.2: Kiến trúc L2VPN.
6
Hình 1.2 định nghĩa thuật ngữ được sử dụng khi phân loại các công nghệ
L2VPN-over-Packet. Một tập các dịch vụ có thể được phân phối qua mạng IP hoặc
sử dụng đường hầm dựa trên IP hoặc sử dụng đường hầm chuyển mạch nhãn đa
giao thức. Hai loại L2VPN là dịch vụ dây riêng ảo điểm-tới-điểm (VPWS) và dịch
vụ LAN riêng ảo đa điểm (VPLS). VPWS cung cấp sự cạnh tranh các kết nối L2
đối với các nhận dạng kênh liên kết dữ liệu (DLCI - Data link channel identifier)
frame relay, các mạch ảo cố định (PVC) ATM, khuôn dạng kênh thuê riêng và
Ethernet.
Trong trường hợp Ethernet VPWS, dịch vụ có thể là Ethernet relay service
(ERS) hoặc là Ethernet wire service (EWS). ERS đưa vào tính toán số VLAN và đề
xuất dịch vụ giống như frame-relay cho người sử dụng cuối với số VLAN thay thế
chức năng frame relay DLCI. EWS phân phối các dịch vụ dựa trên cổng (port-based
service) tức là bất cứ cái gì vận chuyển qua cổng trên đường giả lập (pseudo-wire)
và không có sự sửa chữa số VLAN đặc biệt nào.

a. Công nghệ VPWS
Một mạng riêng ảoVPWS là tập hợp các mạch L2 hoặc các đường giả lập.
Việc tạo đường giả lập để thành hình một L2VPN phụ thuộc vào việc định nghĩa
đóng gói để giả lập hay truyền tải tunnel, mức điều khiển quản lý phiên và báo lỗi,
khả năng tự động dò tìm. Để triển khai, cần khả năng dự phòng và khả năng bảo
dưỡng, quản lý, khai thác (OAM) để quản lý dịch vụ.
Nội dung của các mào đầu đóng gói đường hầm và giả lập cần được chuyển
bằng tín hiệu thông qua mạng gói, cùng với thông tin tình trạng mạch. Báo hiệu có
thể sử dụng kỹ thuật điểm tới điểm (point-to-point) hoặc truyền đại chúng. Phương
pháp điểm tới điểm yêu cầu trực tiếp điều khiển các phiên giữa mỗi đôi dây của các
PE để hỗ trợ trao đổi dữ liệu điều khiển. Phương pháp truyền đại chúng thúc đẩy
các cơ sở hạ tầng
Border Gateway Protocol

(BGP) hiện hữu giữa các mạng nhà
cung cấp, cho phép một kênh điều khiển đơn tới một BGP định tuyến phản h¦i được
sử dụng để gửi một bản sao thông tin của cho tất cả các thiết bị PE khác.
7
Về mặt kỹ thuật cả hai phương pháp đều được tiến hành, và cuộc tranh luận về
phương pháp nào có hiệu quả nhất và tốt nhất để tiếp tục triển khai. Vấn đề trung
tâm là cuộc tranh luận quanh liệu dữ liệu cần được báo hiệu như một phần của một
VPWS VPN cần truyền tới tất cả các thành viên khác của VPN đó. Nếu cấu trúc
VPWS là một Mesh đầy đủ, thì có các đối số tốt để gửi dữ liệu báo hiệu cho tất cả
các thành viên VPN. Nếu cấu trúc đó không phải là một Mesh đầy đủ, thì yêu cầu
cho phát rộng các yếu tố báo hiệu tới tất cả các VPN ngang hàng là ít thuyết phục
hơn. Hiện nay có ít hơn 20% mạng nhà cung cấp triển khai các mạng riêng ảo L2
VPN dùng cấu trúc Mesh đầy đủ.
Trong điều kiện dự phòng gói mới căn cứ vào các đường truyền L2VPN, cũng
có hai phương pháp. Trước tiên, lặp lại thói quen hiện tại, sử dụng tài liệu hoặc các
phương pháp quản lý mạng cơ bản. Sau đó là một phương pháp dự phòng tự động

được định rõ việc sử dụng cơ chế báo hiệu phát rộng hoặc cơ chế báo hiệu điểm tới
điểm.
Riêng dự phòng giả lập yêu cầu dự phòng các mạch đính kèm (AC -
attachment circuits) tại mỗi giao diện PE/CE, một đường giả lập chỉ rõ sự nhận biết
mạch ảo (VC - ID) và PE từ xa. VC - ID phải là duy nhất giữa đôi dây của các PE.
Mô hình dự phòng tự động được căn cứ trên khái niệm
“colored pools”
, nghĩa là
mỗi PE sẽ có nhóm các mạch nhận biết riêng biệt cho mỗi VPN khác nhau. Cơ chế
này cũng yêu cầu các AC dự phòng, nhưng mỗi AC được đặt trong một nhóm màu
đặc trưng. Bằng cách tự động phát hiện, mỗi PE biết được tất cả các PE khác với
nhóm cùng màu.
Những đề nghị sử dụng BGP như cơ chế tự động phát hiện là RADIUS cũng
được xem xét cho chức năng này.
b. Công nghệ VPLS
Tương tự VPWS, VPLS được xây dựng trên đường giả lập L2. Tuy nhiên, kiến
thức địa chỉ MAC ngu¦n, các khung unicast và broadcast, và chuyển tiếp dựa vào
địa chỉ MAC cũng được định nghĩa, vì vậy dịch vụ VPLS vận hành như một chuyển
mạch LAN tới người dùng cuối. Điều này này được minh họa trong hình 1.3.
8
Hình 1.3: Kiến trúc đơn giản của VPLS.
Điểm chính của dịch vụ VPLS là các site VPN kết nối giả lập phải sử dụng cấu
trúc lưới đầy đủ như vậy đường biên phân chia có thể được sử dụng để ngăn chặn
các vòng lặp. Việc ngăn chặn này cần cho việc thực hiện giao thức cây trong lõi
IP/MPLS. Qui tắc đường biên phân chia được dùng để dừng các vòng lặp, bằng việc
ngăn chặn một PE chuyển dữ liệu thu được từ một đường giả lập trong một VPLS
tới bất kỳ đường giả lập nào khác; nó chỉ được chuyển tới các mạch đính kèm.
Trong trường hợp VPWS, có những đề nghị cho sự thực hiện VPLS dựa vào
cơ chế báo hiệu điểm tới điểm và dựa vào cơ chế quảng bá dựa trên BGP.
Virtual Private LAN Services over MPLS sử dụng một mạng truy nhập dựa

vào thẻ khách hàng khung Ethernet theo IEEE 802.1q, để giúp thay đổi dịch vụ và
giảm giá bằng việc giảm chuyển mạch Ethernet như các khối thiết bị. Khái niệm
này được minh họa trong hình 1.4.
Trong hình này, các thiết bị PE có năng lực MPLS đắt hơn thường không
được dùng để mở rộng tới ranh giới của nhà cung cấp mạng.
9
Hình 1.4: Hệ thống VPLS với PE phân bố.
1.2.4 VPN lớp 3:
1.2.4.1 Kiến trúc L3 VPN
L3VPN có thể là các dịch vụ hoặc dựa trên nền mạng - hoặc nền CE. Trong
L3VPN trên nền mạng, một nhà cung cấp dịch vụ VPN phải cấu hình các thiết bị
PE của nó để thiết lập những kết nối VPN đến mỗi vị trí khách hàng. Thiết bị CE
của khách hàng chỉ cần có thể thực hiện những chức năng định tuyến bình thường.
Ngược lại, L3VPN trên nền CE có thể được xây dựng bởi những khách hàng mà
không có bất kỳ sự liên can đặc biệt nào của nhà cung cấp dịch vụ ngoài việc cung
cấp truy nhập Internet. Tuy nhiên, những thiết bị CE phải cung cấp tất cả các khả
năng cần thiết cho VPN.
1.2.4.2 Phân loại L3VPN
Theo nhóm làm việc L3VPN của IETF, ba phương pháp nổi bật như những
tiêu chuẩn. Đó là BGP/MPLS IP VPN, virtual router IP VPN, và CE-based IPSec
VPN.
10
Hình 1.5: Các thành phần phổ biến của L3VPNs dựa trên nền mạng.
Hình 1.5 miêu tả các phần tử phổ biến của hai phương pháp L3VPN dựa trên
trên nền mạng (RFC 2547 bis và VR):
• Cả hai phương pháp cung cấp cách để lưu trữ và duy trì sự chia tách giữa
những vùng địa chỉ ch¦ng lấp của nhiều khách hàng VPN. Đối với phương pháp
VR, đây là là bảng định tuyến của từng VR được cấu hình cho mỗi VPN; RFC 2547
chỉ rõ bảng định tuyến và chuyển tiếp VPN (VPN routing and forwading – VRF)
cho từng VPN. Tổng quát, các cơ chế này là trường hợp chuyển tiếp ảo (Virtual

forwading instances – VFI).
11
• Cả hai nhà cung cấp những cơ chế tương tự để tiếp nhận những thông tin có
thể với tới được (các mạng IP hoặc những mạng
subnets
) từ mỗi vị trí. Mỗi cơ chế
có thể sử dụng các giao thức định tuyến IP chuẩn hoặc cấu hình tĩnh.
• Cả hai định địa chỉ yêu cầu để phân phối tính có thể với tới (reachability) vị
trí khách hàng (hoặc định tuyến) qua VPN, và dễ dàng phát hiện các thành viên của
VPN.
• Cả hai sự hỗ trợ cấu trúc đường hầm tunnel giữa các PE hoặc các VR hỗ trợ
khách hàng trong một VPN. Các đường hầm làm đơn giản yêu cầu để bảo trì sự
phân lu¦ng dữ liệu giữa nhiều VPN khác nhau trong mạng của nhà cung cấp dịch
vụ. Phương pháp VR có thể sử dụng bất kỳ loại cơ chế đường hầm nào được hỗ trợ
bởi mạng của nhà cung cấp dịch vụ, bao g¦m các kênh ATM hoặc kênh Frame
relay, trong khi đó RFC 2547bis chỉ định nghĩa việc sử dụng đường hầm dựa trên
MPLS - hoặc IP.
Cả hai phương pháp L3VPN RFC 2547bis lẫn VR có thể làm cho việc sử
dụng tự động phát hiện dựa trên BGP (BGP-based auto-discovery) để cung cấp các
khả năng tham gia VPN. Tự động phát hiện dựa trên BGP là một cơ chế mà các
router PE (hoặc VR) điều khiển kết nối tới một VPN đặc biệt để phát hiện tất cả các
router PE khác (hoặc các VR) cùng được nối tới VPN đó. Để tự động phát hiện dựa
trên BGP làm việc, mỗi PE/VR sử dụng BGP để thông báo rằng nó kết nối tới một
VPN cụ thể nào đó. Tất cả các PE/VR khác trong mạng nhận các thông báo BGP
này.
a. Các mạng L3VPN theo RFC2547BIS
RFC 2547 bis mô tả một SP có một mạng đường trục IP cho phép MPLS có
thể cung cấp các mạng L3VPN đến các khách hàng như thế nào. RFC 2547 bis mô
tả sự tác động lẫn nhau giữa các router CE và router PE ngang hàng. Các CE gửi
các tuyến từ vị trí khách hàng tới các PE, điển hình sử dụng một giao thức định

tuyến.
Trong RFC 2547 bis, SP phải sử dụng BGP trong mạng lõi. BGP trao đổi các
lộ trình của mỗi VPN giữa tất cả các bộ định tuyến PE trong VPN đó. Phương pháp
RFC 2547 bis chỉ rõ việc sử dụng các nhãn MPLS để xác định và phân lu¦ng các
12
VPN khác nhau. Điều này bảo đảm rằng tất cả các lộ trình từ nhiều VPN có thể duy
trì sự phân tách, thậm chí trong nhiều trường hợp, nhiều VPN có thể chia sẻ cùng
địa chỉ IP đó.
RFC 2547 bis phụ thuộc vào các cơ chế MPLS trong mạng SP, và định nghĩa
làm thế nào các nhãn MPLS và BGP, hoạt động như một loại cơ sở dữ liệu phân
phối, cung cấp các cơ chế để chuyển giao các dịch vụ VPN. Mỗi lộ trình VPN có
liên hệ với một nhãn MPLS, và khi một lộ trình VPN được truyền qua mạng SP
bằng BGP, các nhãn MPLS được truyền cùng lộ trình.
RFC 2547 bis thiết lập các đường hầm qua mạng đường trục SP giữa các PE
trong một VPN, và các gói MPLS di chuyển qua những đường hầm này tới PE đích
thích hợp. RFC 2547 bis không nhất thiết yêu cầu các đường hầm MPLS qua mạng
đường trục SP giữa các PE. Các đường hầm có thể sử dụng IPSec. Với bất kỳ kiểu
đường hầm nào, kết quả vô cùng quan trọng của việc sử dụng các đường hầm và
đóng gói MPLS là các bộ định tuyến đường trục không tải bất kỳ kiến thức lộ trình
nào của các VPN riêng biệt.
b. Các mạng L3VPN với bộ định tuyến ảo – Virtual Router VPNs
Kiến trúc chủ yếu thứ hai trở thành tiêu chuẩn hóa cho các L3VPN trên nền
mạng được gọi đặt tên theo bộ phận quan trọng của nó, bộ định tuyến ảo. Một VR
cung cấp tất cả các khả năng của một bộ định tuyến vật lý riêng lẻ, nhưng là một sự
mô phỏng thật sự của một bộ định tuyến, được khởi tạo khi cần trên thiết bị PE của
SP. Nhiều VR có thể t¦n tại trên một thiết bị PE đơn. Nhiều thiết kế PE thực hiện
khái niệm VR với những kiến trúc bên trong khác nhau, nhưng tất cả cung cấp các
dịch vụ L3VPN trên nền VR với một tập các thuộc tính được định nghĩa.
Như mô phỏng một bộ định tuyến vật lý, một VR cung cấp những cơ chế
cùng loại đó, với những công cụ quản lý liên quan. Nó cung cấp để cấu hình các

giao diện lôgíc và định tuyến giữa các giao diện liên quan, cùng với những phương
tiện chuyển đổi các giao diện lôgíc thành những giao diện vật lý của PE. Các VR
đại diện cho các VPN khác nhau, như vậy chúng phải duy trì những bảng định
tuyến độc lập, và chúng bị cô lập một cách logic, sao cho, sự hoạt động của một
VR sẽ không ảnh hưởng tới các VR khác trên PE đó. Một khi các VR độc lập, một
vùng địa chỉ của VPN có thể ch¦ng lên vùng địa chỉ của VPN khác.
13
Từ quan điểm của khách hàng, VR xuất hiện như một bộ định tuyến liền kề
trong mạng khách hàng. CE trao đổi thông tin định tuyến với VR. CE gửi lu¦ng dữ
liệu tới những site VPN khác qua VR. VR nối tới một site CE chịu trách nhiệm trao
đổi thông tin định tuyến với tất cả các VR khác trong VPN đó.
c. Mạng L3VPN dựa trên nền IPSec – IPSec-based L3VPN
Kiểu thứ ba của phương pháp L3VPN phân biệt rõ ràng với các mô hình VR
và RFC 2547 bis. Nó nối liền các thiết bị CE tại nhiều site VPN qua Internet, trao
đổi các gói IP giữa các site. Để cung cấp sự an toàn cho lưu lượng VPN trong khi
nó truyền qua Internet, gần như tất cả các VPN dựa trên CE sử dụng IPSec. Như
vậy, một VPN IPSec dựa trên CE có thể được xây dựng và quản lý bởi một tổ chức,
hoặc do một SP cung cấp.
Nhiều vùng quan trọng khác nhau cho các VPN IPSec nói riêng đã hoàn toàn
được chỉ rõ bởi IETF, bao g¦m :
Tunnel mode với transport mode: Mặc dù RFC 2401 hiện tại chỉ rõ rằng chế
độ đường hầm chỉ có thể được sử dụng giữa các cổng Gateway IPSec (các CE), chế
độ truyền áp dụng cho dữ liệu được đóng gói IP-in-IP cung cấp sự an toàn tương
đương và những thuộc tính tốt hơn để hỗ trợ định tuyến động. RFC 2401 bis hiện tại
cho phép transport mode giữa những cổng Gateway, nhưng quan trọng vẫn còn có
tranh luận về việc làm thế nào để hai chế độ này tương tác với các giao thức định
tuyến động.
Chứng chỉ Số và IPSec: Việc sử dụng những chứng chỉ số bị ràng buộc tới cơ
sở hạ tầng khóa công khai (PKI) cung cấp những lợi ích an toàn cho các VPN
IPSec, nhưng vô số tùy chọn để cấu hình các chứng chỉ, cùng với các điều kiện giới

hạn để tự động thương lượng trong IKE, đã dẫn tới vài thực hiện chứng chỉ có thể
hoạt động cung nhau trong môi trường VPN IPSec.
Định tuyến động: Không có các tiêu chuẩn rõ ràng cho việc truyền và ứng
dụng các giao thức định tuyến giữa các cổng Gateway IPSec, và sự tương tác của
định tuyến động với các chức năng giống như tường lửa của IPSec, ặc biệt với chế
độ hầm.
14