LỜI NÓI ĐẦU
Với sự phát triển nhanh chóng của hệ thống thông tin từ khi có mặt
của mạng internet: dịch vụ thuê kênh (Leased Line, Frame Relay, ATM) và
các dịch vụ kết nối cơ bản khác, đã đem lại nhiều lợi ích cho người tiêu
dùng cũng như các nhà khai thác, triển khai mạng và các dịch vụ mạng.
Cùng với sự nghiên cứu phát triển của các nhà khoa học nhằm mục đích cải
tiến và khắc phục các điểm chưa tốt còn tồn tại của các hệ thống chuyển
mạch đã và đang được sử dụng rộng rãi trên toàn cầu đem lại cho người
nhiều dịch vụ mới.
Đồ án “Chuyển mạch nhãn đa giao thức (MPLS) và ứng dụng
MPLS để xây dựng mạng riêng ảo (VPN)” đã nghiên cứu những khái niệm
và ứng dụng từ cơ bản đến nâng cao của dịch vụ mạng riêng ảo và công
nghệ chuyển mạch nhãn đa giao thức. Đồ án cũng đã nghiên cứu sự kết hợp
của hai công nghệ trên để tạo ra một công nghệ mới hiện đang được triển
khai rộng rãi ở trong và ngoài nước. Công nghệ VPN trên nền MPLS hay
còn có tên gọi ngắn gọi là MPLS/VPN.
Nhằm mục đích tìm hiểu về chuyển mạch nhãn và ứng dụng của nó
cho mạng riêng ảo, đồ án này bao gồm 3 chương như sau:
• Chương 1: MẠNG RIÊNG ẢO (VPN)
• Chương 2: CHUYỂN MẠCH NHÃN ĐA GIAO THỨC (MPLS)
• Chương 3: ỨNG DỤNG CÔNG NGHỆ MPLS TRONG VIỆC
THIẾT LẬP MẠNG RIÊNG ẢO (MPLS/VPN)
Trong quá trình làm đồ án, do còn nhiều hạn chế về thời gian, tài liệu
cũng như kiến thức hiểu biết của bản thân còn chưa đầy đủ nên đồ án
không thể nào tránh khỏi những thiếu sót. Em rất mong nhận được sự đóng
góp ý kiến của các thầy cô và các bạn để đồ án của em ngày càng được
hoàn thiện hơn.
Em xin chân thành cảm ơn thầy giáo, Trung tá - TS Lê Hải Nam
cùng các thầy cô trong khoa Vô tuyến Điện tử-trường Học viện Kỹ thuật
Quân sự đã tận tình chỉ bảo, giúp đỡ và tạo điều kiện cho em hoàn thành đồ
án tốt nghiệp này.

Xin chân thành cảm ơn.
Hà Nội, ngày 22 tháng 04 năm 2010
Sinh viên thực hiện
TẠ DUY LINH
CHƯƠNG I
MẠNG RIÊNG ẢO
1.1. Giới thiệu chung
Hiện nay lợi nhuận của các nhà cung cấp dịch vụ thu được một phần
từ các dịch vụ thuê kênh (Leased Line, Frame Relay, ATM) và các dịch vụ
kết nối cơ bản khác. Tuy nhiên xu hướng giảm lợi nhuận từ các dịch vụ này
bắt buộc các nhà cung cấp phải nghiên cứu và triển khai những dịch vụ mới
dựa trên nền IP để đảm bảo lợi nhuận lâu dài.
Về phía khách hàng, phướng án truyền thông nhanh, an toàn và tin
cậy đang trở thành mối quan tâm của nhiều tổ chức, tổ chức đặc biệt là các
tổ chức, tổ chức có các địa điểm phân tán về mặt vật lý, tổ chức đa quốc
gia. Giải pháp thông thường được áp dụng bởi đa số các tổ chức là thuê các
đường truyền riêng (leased lines) để duy trì một mạng WAN (Wide Area
Network). Các đường truyền này, được giới hạn từ ISDN (Intergrated
Services Digital Network, 128 Kbps) cho đến đường cáp quang OC3
(Optical Carrier-3, 155Mbps). Mỗi mạng WAN đều có các điểm thuận lợi
trên một mạng công cộng khi xét đến độ tin cậy, hiệu năng và tính an toàn,
bảo mật. Nhưng để bảo trì một mạng WAN, đặc biệt khi sử dụng các
đường truyền riêng, có thể trở nên quá đắt và chi phí sẽ trở nên tăng vọt khi
tổ chức muốn mở rộng thêm các văn phòng đại diện.
Mạng riêng ảo VPN chính là một giải pháp cho vấn đề này. VPN có
thể đáp ứng các nhu cầu của khách hàng bằng các kết nối dạng any-to-any,
các lớp đa dịch vụ, các dịch vụ có giá thành quản lý thấp, riêng tư, tích hợp
xuyên suốt cùng với các mạng Intranet hoặc mạng Extranet. Một nhóm
người dùng (Users) trong mạng Intranet và Extranet có thể hoạt động thông
qua mạng IP. Các mạng VPN có chi phí vận hành thấp hơn hẳn so với việc

thuê đường truyền riêng (Leased Lines) trên phương diện quản lý, băng
thông và dung lượng. Hiểu một cách đơn giản, VPN là một mạng mở rộng
có tính tự quản. VPN có thể liên kết các user thuộc một nhóm kín hay giữa
các nhóm khác nhau. Các thuê bao VPN có thể di chuyển trong một kết nối
mềm dẻo trải dài từ mạng cục bộ đến mạng hoàn chỉnh. Các thuê bao này
có thể dùng trong cùng một mạng (Intranet VPN) hoặc khác mạng
(Extranet VPN).
Mạng riêng ảo (VPN) là một trong những ứng dụng rất quan trọng
trong mạng NGN. Các tổ chức, các doanh nghiệp đặc biệt là các tổ chức đa
quốc gia có nhu cầu rất lớn về loại hình dịch vụ này. Với VPN họ hoàn
toàn có thể sử dụng các dịch vụ viễn thông, truyền số liệu cục bộ với chi
phí thấp, với an ninh đảm bảo, với cơ chế bảo mật và cung cấp chất lượng
dịch vụ (QoS) theo yêu cầu.
1.2. Khái niệm mạng riêng ảo VPN
Ta xét một tổ chức có trụ sở phân tán ở nhiều nơi. Để kết nối các
máy tính tại các vị trí xa nhau này, tổ chức cần có một mạng thông tin.
Mạng này được gọi là mạng riêng với ý nghĩa là nó chỉ được tổ chức đó sử
dụng, và với ý nghĩa các kế hoạch định tuyến và đánh địa chỉ trong mạng
đó là độc lập với việc định tuyến và đánh địa chỉ của các mạng khác. Mạng
này được gọi là mạng riêng ảo với ý nghĩa là các phương tiện được sử dụng
để xây dựng mạng này có thể không chỉ dành riêng cho tổ chức đó mà chia
sẻ dùng chung với các tổ chức khác. Hoặc các phương tiện cần thiết dể xây
dựng mạng này được cung cấp bởi các nhà cung cấp dịch vụ viễn thông.
Các tổ chức sử dụng mạng VPN gọi là các khách hàng VPN.
Có thể hiểu mạng VPN là tập hợp gồm nhiều Site, các site được quy
định với nhau bởi chính sách quản lý, quy định cả về kết nối cũng như chất
lượng dịch vụ giữa các site. Theo định nghĩa IETF (Internet Engineering
Task Force), mạng VPN là một kiểu mạng diện rộng riêng (Privite WAN)
sử dụng mạng đường trục IP riêng hoặc mạng Internet công cộng
Hình 1.1 Mô hình mạng VPN

Đơn giản hơn, có thể hiểu mạng VPN là mạng sử dụng mạng công
cộng (ví dụ như mạng Internet) mà vẫn đảm bảo độ an toàn và chi phí hợp
lý trong quá trình kết nối giữa hai điểm truyền thông. Mạng VPN được xây
dựng dựa trên sự trợ giúp của kết nối ngầm logic (Trong suốt) riêng.
Những kết nối ngầm logic này cho phép hai điểm đầu cuối trong mạng trao
đổi dữ liệu với nhau thông qua mạng theo kiểu tương tự như kết nối điểm -
điểm.
Mặc dù công nghệ kết nối ngầm logic được áp dụng trong phần lõi
của mạng VPN, nhưng những kỹ thuật và phương pháp bảo mật chi tiết vẫn
được áp dụng nhằm đảm bảo an toàn cho những thông tin quan trọng của
các tổ chức khi truyền qua các mạng trung gian. Các kỹ thuật bảo mật gồm:
• Firewall:
Một firewall cung cấp biện pháp ngăn chặn hiệu quả giữa mạng riêng
của người sử dụng với Internet. Người dùng có thể sử dụng tường lửa ngăn
chặn các cổng được mở, loại gói tin được phép truyền qua và giao thức sử
dụng. Một vài sản phẩm VPN, chẳng hạn như Cisco's 1700 router, có thể
nâng cấp để bao gồm cả tường lửa bằng cách chạy Cisco IOS tương ứng ở
trên router. Người dùng cũng nên có tường lửa trước khi sử dụng VPN,
nhưng tường lửa cũng đôi khi ngăn chặn các phiên làm việc của VPN.
• Encryption:
Đây là quá trình mã hoá dữ liệu khi truyền đi khỏi máy tính theo một
quy tắc nhất định và máy tính đầu xa có thể giải mã được. Hầu hết các hệ
thống mã hoá máy tính thuộc về 1 trong 2 loại sau:
- Mã hoá sử dụng khoá riêng (Symmetric-key encryption).
- Mã hoá sử dụng khoá công khai (Public-key encryption).
Trong hệ symmetric-key encryption, mỗi máy tính có một mã bí mật
sử dụng để mã hoá các gói tin trước khi truyền đi. Khoá riêng này cần được
cài trên mỗi máy tính và máy tính phải biết được trình tự giải mã đã được
quy ước trước. Mã bí mật còn được sử dụng để giải mã gói tin. Ví dụ: User
1 tạo ra một bức thư mã hoá mà trong nội dung thư mỗi ký tự được thay thế

bằng ký tự ở sau nó 2 vị trí trong bảng ký tự. Như vậy A sẽ được thay bằng
C, và B sẽ được thay bằng D. User 1 đã nói với User 2 khoá riêng là Dịch
đi 2 vị trí (Shift by 2). User 2 nhận được thư sẽ giải mã sử dụng chìa khoá
riêng đó. Còn những User khác sẽ không đọc được nội dung thư.
Hệ Public-key encryption sử dụng một tổ hợp khoá riêng và khoá
công cộng để thực hiện mã hoá, giải mã. Khoá riêng chỉ sử dụng tại máy
tính đó, còn khoá công cộng được truyền đi đến các máy tính khác mà nó
muốn trao đổi thông tin bảo mật. Để giải mã dữ liệu mã hoá, máy tính kia
phải sử dụng khoá công cộng nhận được, và khoá riêng của chính nó. Một
phần mềm mã hóa công khai thông dụng là Pretty Good Privacy (PGP) cho
phép thực hiện các chức năng này.
• Authentication:
Authentication là tiến trình kiểm tra tính đúng đắn của định danh
(username, password, fingerprinter ). Thêm nữa tính xác thực cũng đảm
bảo người nhận, nhận được đầy đủ bản tin và nguồn gốc của bản tin. Dạng
đơn giản nhất của quá trình xác thực là yêu cầu tên người sử dụng và mật
khẩu để được phép truy nhập vào dữ liệu. Với dạng phức tạp, quá trình xác
thực có thể dựa trên quá trình mã hoá sử dụng khoá bí mật hoặc quá trình
mã hoá sủ dụng khoá công cộng.
• Authorization:
Authorization là một tiến trình cho phép hoặc từ chối người sử dụng
hay một định danh sau khi đã truy nhập vào mạng thành công tức là đã xác
nhận tính chính xác của định danh người dùng, được quyền truy nhập hợp
pháp vào đúng những tài nguyên xác định từ trước mà không thể truy cập
đến những tài nguyên khác không được phép.
1.3. Quá trình phát triển của VPN
VPN thực ra không phải là công nghệ mới. Ngược lại, khái niệm
mạng VPN đã được thảo luận từ cách đây khoảng mười lăm năm và đã
phát triển qua một vài thế hệ mạng cho đến ngày nay.
Khái niệm đầu tiên về VPN được AT&T đưa ra vào khoảng cuối

thập niên tám mươi. VPN được biết đến như là: “Mạng được định nghĩa
bởi phần mềm” (Software Defined Network - SDN). SDN là mạng WAN
với khoảng cách xa, nó được thiết lập dành riêng cho người dùng. SDN dựa
vào cơ sở dữ liệu truy nhập để phân loại mỗi cố gắng truy nhập vào mạng ở
gần hoặc từ xa. Dựa vào thông tin, gói dữ liệu sẽ được định tuyến đến đích
thông qua cơ sở hạ tầng chuyển mạch công cộng.
Thế hệ thứ hai của VPN xuất hiện cùng với sự ra đời của công nghệ
X25 và ISDN vào đầu thập kỷ chín mươi. Trong một thời gian, mặc dù
giao thức X25 qua mạng ISDN được thiết lập như là một giao thức của
VPN, tuy nhiên, tỉ lệ sai lỗi trong quá trình truyền dẫn vượt quá sự cho
phép. Do đó thế hệ thứ hai của VPN nhanh chóng bị lãng quên trong một
thời gian ngắn.
Sau thế hệ thứ hai, thị trường VPN bị chậm lại cho đến khi công
nghệ Frame Relay và công nghệ ATM (Asynchronous Tranfer Mode) ra
đời. Thế hệ thứ ba của VPN dựa trên công nghệ Frame Relay và công nghệ
ATM. Những công nghệ này dựa trên khái niệm chuyển mạch kênh ảo
(Virtual Circuit Switching).
Trong thời gian gần đây, thương mại điện tử (E-Commerce) đã trở
thành một phương thức thương mại hữu hiệu, những yêu cầu của người sử
dụng mạng VPN cũng rõ ràng hơn. Người dùng hay các tổ chức mong
muốn một giải pháp mà có thể dễ dàng được thực hiện, thay đổi, quản trị,
có khả năng truy nhập trên toàn cầu và có khả năng cung cấp bảo mật ở
mức cao, từ đầu cuối đến đầu cuối. Thế hệ gần đây (thế hệ thứ tư) của VPN
là IP-VPN. IP-VPN đã đáp ứng được tất cả những yêu cầu này bằng cách
ứng dụng công nghệ kết nối ngầm logic.
1.4. Giao thức kết nối ngầm logic VPN
Hầu hết các mạng VPN hiện đều dựa trên tunneling để hình thành
mạng riêng ảo trên nền internet. Về cơ bản, tunneling là quá trình xử lý và
đặt toàn bộ các gói tin trong một gói tin khác và gửi đi trên mạng. Giao
thức sinh ra các gói tin được đặt tại cả hai điểm thu phát gọi là giao tiếp

kênh - tunnel interface, ở giao tiếp đó các gói tin truyền đi và đến.
Kênh thông tin yêu cầu ba giao thức khác nhau:
• Giao thức sóng mang - Carrier protocol: (còn gọi là giao thức
truyền tải) giao thức này sử dụng trên mạng để đưa thông tin về trạng thái
đường truyền.
• Giao thức đóng gói - Encapsulating protocol: bao gồm các
giao thức GRE, IPSEC, L2F, PPTP, L2TP cho phép che giấu nội dung
truyền.
• Giao thức gói - Passenger protocol: giao thức bao gồm IPX,
NetBeui, IP.
Nếu xét trên phương diện các giao thức đóng gói thì có ba giao thức
kết nối ngầm logic chính thường được sử dụng trong VPN để đảm bảo độ
tin cậy cho VPN trong quá trình truyền dẫn gồm:
• Giao thức IPSEC: IPSEC được phát triển bởi IETF, IPSEC là
một tiêu chuẩn mở mà vẫn đảm bảo được tính bảo mật và quyền lợi của
người sử dụng trong quá trình truyền thông qua mạng công cộng. Không
giống như các kỹ thật mã hoá khác, IPSEC hoạt động ở lớp mạng (Network
layer) trong mô hình bảy lớp OSI. Do vậy, nó có thể được hoạt động độc
lập với các ứng dụng khác cùng hoạt động trên mạng. Như vậy, mạng vẫn
có thể được bảo mật mà không cần phải thiết lập hay xác định an ninh cho
từng ứng dụng riêng.
• Giao thức PPTP: Giao thức PPTP được phát triển bởi
Microsoft, 3 COM và Ascend communication. Giao thức PPTP được đề
xuất như là một giao thức mới có thể thay thế giao thức IPSEC. Tuy nhiên,
IPSEC vẫn tiếp tục là giao thức kết nối ngầm logic được sử dụng nhiều
hơn. PPTP hoạt động ở lớp hai, lớp liên kết dữ liệu (Data Link Layer) trong
mô hình phân lớp OSI và sử dụng bảo mật cho quá trình truyền dẫn của
traffic dựa trên nền Windows.
Hình 1.2 Mô hình L2TP
• Giao thức L2TP: Giao thức L2TP được phát triển bởi Cisco,

giao thức L2TP cũng có ý định dùng để thay thế IPSEC. Tuy nhiên, IPSEC
vẫn là giao thức có ưu thế trội hơn trong số các giao thức bảo mật cho
truyền thông qua Internet. Giao thức L2TP là kết quả của quá trình trộn
giữa lớp hai chuyển tiếp và giao thức PPTP, nó sử dụng giao thức điểm tới
điểm cho quá trình đóng gói các khung dữ liệu để truyền qua mạng X.25,
FR hoặc ATM.
1.5. Phân loại mạng VPN
Mục tiêu đặt ra đối với công nghệ mạng VPN là thoả mãn được ba
yêu cầu cơ bản sau:
• Tại mọi thời điểm, các nhân viên của tổ chức có thể truy nhập
từ xa vào nguồn tài nguyên chia sẻ chung trong mạng của cônng ty.
• Nối liền các chi nhánh văn phòng.
• Khả năng điều khiển được quyền truy nhập của khách hàng,
các nhà cung cấp dịch vụ hoặc các đối tượng bên ngoài khác là yêu cầu rất
quan trọng trong hợp tác kinh doanh.
Dựa vào những yêu cầu cơ bản trên, hiện nay, VPN đang phát triển
thành hai hướng chính.
• Remote Access VPNs.
• Site – to – Site VPNs.
+) Mạng VPN cục bộ (Intranet VPN).
+) Mạng VPN mở rộng (Extranet VPN).
Hình 1.3 Các loại mạng VPN
1.5.1. Remote Access VPNs
Remote Access VPNs cho phép truy cập bất cứ lúc nào bằng
Remote, mobile và các thiết bị truyền thông của nhân viên các chi nhánh
kết nối đến tài nguyên mạng của tổ chức.
Remote Access VPNs mô tả việc các người dùng ở xa sử dụng các
phần mềm VPN để truy cập vào mạng Intranet của tổ chức thông qua
gateway hoặc VPN concentrator. Vì lý do này, giải pháp thường được gọi
là client/server. Trong giải pháp này, nguời dùng thuờng sử dụng các công

nghệ WAN truyền thống để tạo lại các tunnel về mạng HO (Head
Office)của họ.
Một hướng phát triển khá mới trong remote access VPN là dùng
wireless VPN, trong đó một nhân viên có thể truy cập về mạng của họ
thông qua kết nối không dây. Trong thiết kế này, các kết nối không dây cần
phải kết nối về một trạm wireless và sau đó về mạng của tổ chức. Trong cả
hai trường hợp, phần mềm client trên máy PC đều cho phép khởi tạo các
kết nối bảo mật, hay các kết nối đuờng ngầm (tunnel).
Một phần quan trọng của thiết kế này là việc thiết kế quá trình xác
thực ban đầu nhằm để đảm bảo là yêu cầu được xuất phát từ một nguồn tin
cậy. Thường thì giai đoạn ban đầu này dựa trên cùng một chính sách về bảo
mật của tổ chức. Chính sách này bao gồm: quy trình (procedure), kỹ thuật,
server (RADIUS server, TACACS+…).
1.5.2. Site – to – Site VPNs
1.5.2.1. Intranet VPNs
Mạng VPN cục bộ (Intranet VPNs) được sử dụng để liên kết các chi
nhánh văn phòng ở xa của một tổ chức tới các mạng cục bộ của tổ chức đó.
Đối với mạng cục bộ không sử dụng công nghệ VPN (Hình 1.4 ), mỗi site
ở xa kết nối tới mạng cục bộ của tổ chức (Mạng định tuyến đường trục)
bằng cách sử dụng bộ định tuyến (Router).
Hình 1.4 Mô hình Intranet VPNs sử dụng bộ định tuyến
Mạng cục bộ được thiết lập bằng cách sử dụng mạng đường trục
(Như chỉ ra trên hình 1.4) khá đắt bởi vì ít nhất phải có hai bộ định tuyến
để kết nối khu vực ở xa với mạng cục bộ của tổ chức. Hơn nữa, quá trình
thực hiện bảo dưõng và quản trị mạng đường trục có thể tốn thêm rất nhiều
chi phí phụ thuộc vào dung lượng, traffic của mạng và phụ thuộc vào phạm
vi địa lý của toàn thể mạng. Đối với mạng cục bộ càng lớn thì chi phí càng
nhiều.
Hình 1.5 Mô hình Intranet VPN
Với giải pháp VPN, những chi phí tốn kém cho mạng đường trục

được thay thế bởi kết nối chi phí thấp thông qua mạng Internet. Giải pháp
VPN có thể giảm tổng giá thành của toàn thể mạng cục bộ. Hình 1.5 chỉ ra
mô hình mạng cục bộ dựa trên giải pháp VPN.
1.5.2.2. Extranet VPNs
Không giống như giải pháp mạng cục bộ và mạng truy nhập từ xa
dựa trên VPN, mạng VPN mở rộng không bị cô lập với “thế giới bên
ngoài”. Thực tế, mạng VPN mở rộng cho phép khả năng điều khiển truy
nhập tới những nguồn tài nguyên mạng cần thiết để mở rộng những đối
tượng kinh doanh, như là các đối tác, các khách hàng, và các nhà cung cấp,
những người mà thi hành các quy định chính của tổ chức.
Hình 1.6 Mạng mở rộng truyền thống
Hình 1.6 chỉ ra phương pháp kết nối truyền thống trong mạng mở
rộng. Mạng mở rộng truyền thống có giá thành quá cao bởi vì tất cả mạng
riêng biệt nằm trong mạng cục bộ của tổ chức, bắt buộc phải hoàn toàn
tương thích với mạng mở rộng. Như vậy quá trình thực hiện và quá trình
quản trị các mạng khác nhau trong mạng mở rộng là rất phức tạp. Cũng
như cần thiết phải có một số lượng lớn nhân viên kỹ thuật để bảo trì và
quản lý cho mạng phức tạp này. Hơn nữa, đối với mạng này thường gặp
khó khăn trong việc mở rộng bởi vì việc mở rộng mạng liên quan đến toàn
thể mạng cục bộ và ảnh hưởng tới các kết nối trong mạng mở rộng khác.
Đó là không ít những vấn đề gặp phải khi kết nối mạng cục bộ với mạng
mở rộng, quá trình thiết kế mạng là một vấn đề cực kỳ khó khăn đối với
các nhà thiết kế và quản trị mạng.
Mạng VPN mở rộng (Hình 1.7) được xem là dễ dàng thiết lập và có
chi phí hiệu quả hơn so với mạng truyền thống như trình bày ở trên.
Những ưu điểm chính của mạng VPN mở rộng so với mạng mở rộng
truyền thống bao gồm:
• Chi phí cho mạng VPN mở rộng thấp hơn rất nhiều so với
mạng truyền thống.
• Dễ dàng thiết lập, bảo trì và dễ dàng thay đổi đối với mạng

đang hoạt động.
• Bởi vì mạng VPN mở rộng được xây dựng dựa trên mạng
Internet do vậy có nhiều cơ hội trong việc cung cấp dịch vụ và chọn lựa
giải pháp phù hợp với các nhu cầu của mỗi tổ chức hơn.
• Bởi vì các kết nối Internet được bảo trì bởi nhà cung cấp dịch
vụ Internet (ISP), nên giảm được số lượng nhân viên kỹ thuật hỗ trợ mạng,
do vậy giảm được chi phí vận hành của toàn mạng.
Bên cạnh những ưu điểm ở trên giải pháp mạng VPN mở rộng cũng
còn những nhược điểm đi cùng như:
• Khả năng bảo mật thông tin, mất dữ liệu vẫn tồn tại.
• Trường hợp truyền dẫn khối lượng lớn dữ liệu, như là đa
phương tiện, với yêu cầu truyền dẫn tốc độ cao và đảm bảo thời gian thực,
là thách thức lớn trong môi trường Internet.
• Làm tăng khả năng rủi ro đối với các mạng cục bộ của tổ
chức.
Hinh 1.7 Mô hình Extranet VPNs
1.6. Cấu trúc mạng VPN
Cấu trúc phần cứng chính của VPN bao gồm: VPN server (VPN
servers), VPN client (VPN clients), bộ định tuyến VPN (VPN routers),
cổng kết nối VPN (VPN Gateways) và bộ tập trung (Concentrator).
Hình 1.8 Cấu trúc phần cứng của VPN
1.6.1. Máy chủ VPN (VPN servers)
Nhìn chung, VPN servers là thiết bị mạng dành riêng để chạy phần
mềm máy chủ (software servers). Dựa vào những yêu cầu của tổ chức, mà
một mạng VPN có thể có một hay nhiều server.
Những chức năng chính của VPN server:
• Tiếp nhận những yêu cầu kết nối vào mạng VPN.
• Thoả thuận các yêu cầu và các thông số kết nối vào mạng.
• Tiếp nhận dữ liệu từ client và chuyển dữ liệu yêu cầu về client.
• VPN server đóng vai trò một điểm cuối trong kết nối ngầm

logic kết nối VPN. Điểm cuối còn lại được xác lập bởi người dùng cuối.
VPN server phải được hỗ trợ hai hoặc nhiều hơn hai cạc (Card) đáp
ứng mạng. Một hoặc nhiều hơn một cạc đáp ứng được sử dụng để kết nối
chúng tới mạng mở rộng (Intranet) của tổ chức, trong khi cạc còn lại kết
nối chúng tới mạng Internet.
Chú ý: Một VPN server cũng có thể hoạt động như là một Gateway
hay như một bộ định tuyến (Router) trong trưòng hợp số yêu cầu hoặc số
người dùng trong mạng nhỏ (nhỏ hơn 20). Trong trường hợp VPN server
phải hỗ trợ nhiều người sử dụng hơn, mà vẫn hoạt động như một cổng kết
nối hoặc một bộ định tuyến thì VPN server sẽ bị chạy chậm hơn, và gặp
khó khăn trong vấn đề bảo mật thông tin cũng như bảo mật dữ liệu lưu trữ
trong máy chủ.
1.6.2. Máy khách VPN (VPN clients)
VPN client có thể là một thiết bị ở xa hoặc một thiết bị cục bộ. VPN
client khởi đầu cho một kết nối tới VPN server và đăng nhập vào mạng từ
xa, sau khi chúng được phép xác lập tới điểm cuối ở xa trên mạng. Chỉ sau
khi đăng nhập thành công thì VPN client và VPN server mới có thể truyền
thông được với nhau. Nhìn chung, một VPN client có thể được dựa trên
phần mềm. Tuy nhiên, nó cũng có thể là một thiết bị phần cứng dành riêng.
Với nhu cầu ngày càng tăng về số lượng nhân viên làm việc di động
trong một tổ chức thì những người dùng này (VPN client) bắt buộc phải có
hồ sơ cập nhật vị trí. Những người dùng này có thể sử dụng VPN để kết nối
đến mạng cục bộ của tổ chức. Những VPN client được phân loại thành:
• Những người làm việc ở xa sử dụng mạng Internet hoặc mạng
công cộng để kết nối đến tài nguyên của tổ chức từ nhà.
• Những người dùng di động sử dụng máy tính xách tay để kết
nối vào mạng cục bộ của tổ chức thông qua mạng công cộng, để có thể truy
cập vào hòm thư điện tử hoặc các nguồn tài nguyên trong mạng mở rộng.
• Những người quản trị mạng từ xa, họ dùng mạng công cộng
trung gian, như là mạng Internet, để kết nối tới những site ở xa để quản lý,

giám sát, sửa chữa hoặc cài đặt dịch vụ hay các thiết bị.
1.6.3. Bộ định tuyến VPN (VPN Router)
Trong trường hợp thiết lập một mạng VPN nhỏ, thì VPN server có
thể đảm nhiệm luôn vai trò của bộ định tuyến. Tuy nhiên, trong thực tế thì
cách thiết lập đó không hiệu quả trong trường hợp mạng VPN lớn - mạng
phải đáp ứng một số lượng lớn các yêu cầu. Trong trường hợp này, sử dụng
bộ định tuyến VPN riêng là cần thiết. Nhìn chung, bộ định tuyến là điểm
cuối của một mạng riêng trừ khi nó được đặt sau “bức tường lửa”
(Firewall). Vai trò của bộ định tuyến VPN là tạo kết nối từ xa có thể đạt
được trong mạng cục bộ. Do vậy, bộ định tuyến là thiết bị chịu trách nhiệm
chính trong việc tìm tất cả những đường đi có thể, để đến được nơi đến
trong mạng, và chọn ra đường đi ngắn nhất có thể, cũng giống như trong
mạng truyền thống.
Mặc dù những bộ định tuyến thông thường cũng có thể sử dụng được
trong mạng VPN, nhưng theo khuyến nghị của các chuyên gia thì sử dụng
bộ định tuyến VPN là khả quan hơn. Bộ định tuyến VPN ngoài chức năng
định tuyến còn thêm các chức năng bảo mật và đảm bảo mức chất lượng
dịch vụ (QoS) trên đường truyền. Ví dụ như bộ định tuyến truy nhập
modun 1750 của Cisco được sử dụng rất phổ biến.
Giống như Hub là thiết bị được sử dụng trong mạng truyền thống, bộ
tập trung VPN (VPN concentrators) được sử dụng để thiết lập một mạng
VPN truy cập từ xa có kích thước nhỏ. Ngoài việc làm tăng công suất và số
lượng của VPN, thiết bị này còn cung cấp khả năng thực hiện cao và năng
lực bảo mật cũng như năng lực xác thực cao. Ví dụ như bộ tập trung sêri
3000 và 5000 của Cisco hay bộ tập trung VPN của Altiga là các bộ tập
trung được sử dụng khá phổ biến.

Hình 1.9 Bộ định tuyến truy nhập Cisco 1750
1.6.4. Cổng kết nối VPN (VPN Gateways)
Cổng kết nối IP (IP gateway) là thiết bị biên dịch những giao thức

không phải là giao thức IP sang giao thức IP và ngược lại. Như vậy, những
cổng kết nối này cho phép một mạng riêng hỗ trợ chuyển tiếp dựa trên giao
thức IP. Những thiết bị này có thể là những thiết bị mạng dành riêng,
nhưng cũng có thể là giải pháp dựa trên phần mềm. Với thiết bị phần cứng,
cổng kết nối IP nói chung được thiết lập ở biên của mạng cục bộ của tổ
chức. Còn là giải pháp dựa trên phần mềm, thì cổng kết nối IP được cài đặt
trên mỗi máy chủ (Server) và được sử dụng để chuyển đổi các traffic từ
giao thức không phải là giao thức IP sang giao thức IP và ngược lại. Ví dụ
như phần mềm Novell’s Border Manager.
1.7. Mô hình mạng VPN
Có thể chia mô hình mạng VPN ra thành hai loại chính, đó là:
• Customer-based VPN (còn gọi là overlay VPN): là VPN được
cấu hình trên các thiết bị của khách hàng sử dụng các giao thức đường hầm
xuyên qua mạng công cộng. Nhà cung cấp dịch vụ sẽ bán các mạch ảo giữa
các site của khách hàng như là đường kết nối leased line.
• Network-based VPN (còn gọi là peer - to - peer VPN ): là
VPN được cấu hình trên các thiết bị của nhà cung cấp dịch vụ và được
quản lý bởi nhà cung cấp dịch vụ. Nhà cung cấp dịch vụ và khách hàng trao
đổi thông tin định tuyến lớp 3, nhà cung cấp sắp đặt dữ liệu các site khách
hàng vào đường đi tối ưu nhất mà không cần có sự tham gia của khách
hàng.
1.7.1. Overlay VPN1
Mô hình overlay VPN ra đời từ rất sớm và được triển khai dưới
nhiều công nghệ khác nhau. Ban đầu, VPN được xây dựng bằng cách sử
dụng các đường leased line để cung cấp kết nối giữa khách hàng ở nhiều vị
trí khác nhau. Khách hàng mua dịch vụ leased line của nhà cung cấp.
Đường leased line này được thiết lập giữa các site của khách hàng cần kết
nối. Đường này là đường dành riêng cho khách hàng.
Cho đến những năm 1990, Frame Relay được giới thiệu. Frame
Relay được xem như là một công nghệ VPN vì nó đáp ứng kết nối cho

khách hàng như dịch vụ leased line, chỉ khác ở chỗ là khách hàng không
được cung cấp các đường dành riêng cho mỗi khách hàng, mà khách hàng
sử dụng một đường chung nhưng được chỉ định các mạch ảo. Các mạch ảo
này sẽ đảm bảo lưu lượng cho mỗi khách hàng là riêng biệt. Mạch ảo được
gọi là PVC (Permanent Virtual Circuit) hay SVC (Switched Virtual
Circuit). Cung cấp mạch ảo cho khách hàng nghĩa là nhà cung cấp dịch vụ
đã xây dựng một đường hầm riêng cho lưu lượng khách hàng chảy qua
mạng dùng chung của nhà cung cấp dịch vụ. Sau này công nghệ ATM ra
đời, về cơ bản ATM cũng hoạt động giống như Frame Relay nhưng đáp
ứng tốc độ truyền dẫn cao hơn.
Khách hàng thiết lập việc liên lạc giữa các thiết bị đầu phía khách
hàng CPE với nhau qua kênh ảo. Giao thức định tuyến chạy trực tiếp giữa
các router khách hàng thiết lập mối quan hệ cận kề và trao đổi thông tin
định tuyến với nhau. Nhà cung cấp dịch vụ không hề biết đến thông tin
định tuyến của khách hàng. Nhiệm vụ của nhà cung cấp dịch vụ trong mô
hình này chỉ là đảm bảo vận chuyển dữ liệu điểm-điểm giữa các site của
khách hàng mà thôi.
Cam kết về QoS trong mô hình overlay VPN thường là cam kết về
băng thông trên một VC, giá trị này được gọi là CIR (Committed
Information Rate). Băng thông có thể sử dụng được tối đa trên một kênh ảo
đó, giá trị này được gọi là PIR (Peak Information Rate). Việc cam kết này
được thực hiện thông qua các thống kê tự nhiên của dịch vụ lớp 2 nhưng lại
phụ thuộc vào chiến lược của nhà cung cấp. Điều này có nghĩa là tốc độ
cam kết không thật sự được bảo đảm mặc dù nhà cung cấp có thể đảm bảo
tốc độ nhỏ nhất (Minimum Information Rate – MIR). Cam kết về băng
thông cũng chỉ là cam kết về hai điểm trong mạng khách hàng. Nếu không
có ma trận lưu lượng đầy đủ cho tất cả các lớp lưu lượng thì khó có thể
thực hiện cam kết này cho khách hàng trong mô hình overlay. Và thật khó
để cung cấp nhiều lớp dịch vụ vì nhà cung cấp dịch vụ không thể phân biệt
được lưu lượng ở giữa mạng. Để làm được việc này bằng cách tạo ra nhiều

kết nối (kết nối full-mesh), như trong mạng Frame Relay hay ATM là có
các PVC giữa các site khách hàng. Tuy nhiên, kết nối full-mesh thì chỉ làm
tăng thêm chi phí của mạng.
Mô hình VPN overlay có một số ưu điểm sau:
• Đó là mô hình dễ thực hiện, nhìn theo quan điểm của khách
hàng và của cả nhà cung cấp dịch vụ.
• Nhà cung cấp dịch vụ không tham gia vào định tuyến khách
hàng trong mạng VPN overlay. Nhiệm vụ của họ là vận chuyển dữ liệu
điểm-điểm giữa các site của khách hàng, việc đánh dấu điểm tham chiếu
giữa nhà cung cấp dịch vụ và khách hàng sẽ quản lý dễ dàng hơn.
Hạn chế của mô hình overlay VPN:
• Nó thích hợp trong các mạng không cần độ dự phòng với ít
site trung tâm và nhiều site ở đầu xa, nhưng lại khó quản lý nếu như cần
nhiều cầu hình mắc lưới.
• Việc cung cấp càng nhiều VC đòi hỏi phải có sự hiểu biết cặn
kẽ về loại lưu lượng giữa hai site với nhau mà điều này thường không thật
sự thích hợp.
• Khi thực hiện mô hình này với các công nghệ lớp 2 thì chỉ tạo
ra một lớp mới không cần thiết đối với các nhà cung cấp hầu hết chỉ dựa
trên IP, do đó làm tăng thêm chi phí hoạt động.
1.7.2. Peer – to – Peer VPN
Để giải quyết các hạn chế của mô hình VPN overlay và để cho nhà
cung cấp dịch vụ cung cấp cho khách hàng việc vận chuyển dữ liệu tối ưu
qua mạng backbone, mô hình VPN ngang cấp ra đời. Với mô hình này nhà
cung cấp dịch vụ tham gia vào hoạt động định tuyến của khách hàng. Tức
là router biên mạng nhà cung cấp (Provider Edge - PE) thực hiện trao đổi
thông tin định tuyến trực tiếp với router CE của khách hàng.
Mô hình VPN ngang cấp giải quyết được hạn chế của VPN overlay:
• Việc định tuyến đơn giản hơn (nhìn từ phía khách hàng) khi
router khách hàng chỉ trao đổi thông tin định tuyến với một hoặc một vài

router PE. Trong khi ở mô hình overlay VPN, số lượng router láng giềng
có thể phát triển với số lượng lớn.
• Định tuyến giữa các site khách hàng luôn luôn được tối ưu vì
nhà cung cấp dịch vụ biết topology mạng khách hàng và do đó có thể thiết
lập định tuyến tối ưu cho các route của họ.
• Việc cung cấp băng thông đơn giản hơn bởi vì khách hàng chỉ
phải quan tâm đến băng thông đầu vào và ra ở mỗi site mà không cần phải
chính xác toàn bộ lưu lượng từ site này đến site kia (site-to-site) như mô
hình overlay VPN.
• Có khả năng mở rộng vì nhà cung cấp dịch vụ chỉ cần thêm
vào một site và thay đổi cấu hình trên Router PE. Trong mô hình overlay,
nhà cung cấp dịch vụ phải tham gia vào toàn bộ tập hợp các VC từ site này
đến site khác của VPN khách hàng.
Nhà cung cấp dịch vụ triển khai hai ứng dụng khác sử dụng VPN
ngang cấp: Phương pháp chia sẽ router (shared router): Router dùng chung,
tức là khách hàng VPN chia sẻ cùng router biên mạng nhà cung cấp
(provider edge – PE). Ở phương pháp này, nhiều khách hàng có thể kết nối
đến cùng router PE.
Hình 1.10 Mô hình VPN ngang cấp sử dụng router dùng chung
Trên router PE phải cấu hình access-list cho mỗi interface PE-CE để
đảm bảo chắc chắn sự cách ly giữa các khách hàng VPN, để ngăn chặn
VPN của khách hàng này thực hiện các tấn công từ chối dịch vụ (DoS –
Denial of Service) vào VPN của khách hàng khác. Nhà cung cấp dịch vụ
chia mỗi phần trong không gian địa chỉ của nó cho khách hàng và quản lý
việc lọc gói tin trên Router PE.
Phương pháp router P dành riêng (dedicated router): là phương pháp
mà khách hàng VPN có router PE dành riêng. Trong phương pháp này, mỗi
khách hàng VPN phải có router PE dành riêng và do đó chỉ truy cập đến
các route trong bảng định tuyến của router PE đó.
Hình 1.11 Mô hình VPN ngang cấp sử dụng router dành riêng

Mô hình router dành riêng sử dụng các giao thức định tuyến để tạo ra
bảng định tuyến trên một VPN trên Router PE. Bảng định tuyến chỉ có các
route được quảng bá bởi khách hàng VPN kết nối đến chúng, kết quả là tạo
ra sự cách ly tuyệt vời giữa các VPN. Định tuyến trên router dành trước có
thể được thực hiện như sau:
• Giao thức định tuyến chạy giữa PE và CE là bất kì.
• BGP là giao thức chạy giữa PE và PE.
• PE phân phối các route nhận được từ CE vào BGP, đánh dấu
với ID (Identification) của khách hàng, và truyền các route đến router P,
router P sẽ có tất cả các route từ tất cả VPN của khách hàng.
• Router P chỉ truyền các route với BGP community thích hợp
đến Router PE. Do đó Router PE chỉ nhận các route từ Router CE trong
VPN của chúng.
So sánh các phương pháp của mô hình VPN ngang cấp:
• Phương pháp dùng chung router rất khó duy trì vì nó yêu cầu
cần phải có cấu hình access-list dài và phức tạp trên mỗi interface của
router. Còn phương pháp dùng router riêng, mặc dù có vẻ đơn giản về cấu
hình và dễ duy trì hơn nhưng nhà cung cấp dịch vụ phải bỏ ra chi phí lớn
để đảm bảo được phục vụ tốt cho số lượng lớn khách hàng.
• Tất cả khách hàng dùng chung không gian địa chỉ IP, nên họ
phải sử dụng hoặc là địa chỉ thật trong mạng riêng (private network) của họ
hoặc là phụ thuộc vào nhà cung cấp dịch vụ để có được địa chỉ IP. Trong cả
hai trường hợp, kết nối một khách hàng mới đến dịch vụ VPN ngang cấp
đòi hỏi phải đăng kí lại địa chỉ IP trong mạng khách hàng.
• Khách hàng không thể thêm default route vào VPN. Giới hạn
này đã ngăn chặn việc định tuyến tối ưu và cấm khách hàng truy cập
Internet từ nhà cung cấp dịch vụ khác.
Ưu điểm của mô hình VPN peer-to-peer:
• VPN ngang cấp cho ta định tuyến tối ưu giữa các site khách
hàng mà không cần phải cấu hình hay thiết kế gì đặc biệt.

• Dễ mở rộng.
Hạn chế của mô hình VPN peer-to-peer:
• Nhà cung cấp dịch vụ phải đáp ứng được định tuyến khách
hàng cho đúng và đảm bảo việc hội tụ của mạng khách hàng khi có lỗi liên
kết.
• Router P của nhà cung cấp dịch vụ phải mang tất cả các route
của khách hàng.
• Nhà cung cấp dịch vụ cần phải biết rõ chi tiết về định tuyến
IP, điều này thực sự không cần thiết đối với nhà cung cấp từ xưa đến nay.
Kết luận: Chương 1 đã nghiên cứu được hầu hết những khái niệm,
công nghệ và mô hình của dịch vụ VPN truyền thống. Tuy nhiên, bên cạnh
ưu điểm thì cả hai mô hình VPN: Overlay VPN và Peer-to-Peer VPN đều
tồn tại những nhược điểm chưa khắc phục được. Việc định tuyến, chuyển
mạch, thời gian trễ còn chưa đạt mức tối ưu. Để giải quyết vấn đề này, cần
phải sử dụng một công nghệ và mô hình mạng mới với nhiều ưu điểm hơn
so với mô hình IP truyền thống, đó là công nghệ chuyển mạch nhãn đa giao
thức (MPLS).
CHƯƠNG II
CHUYỂN MẠCH NHÃN ĐA GIAO THỨC
Chuyển mạch nhãn đa giao thức (Multi-Protocol Label Switch
MPLS) là một công nghệ mạng mới với nhiều tính năng vượt trội so với