So sánh VPN truyền thống và MPLS-VPN
Bài báo này so sánh các mạng VPN truyền thống với các mạng VPN ứng dụng
công nghệ chuyển mạch nhãn đa giao thức (MPLS). Trước tiên, xem xét những
khả năng cũng như những hạn chế của các VPN truyền thống, sau đó sẽ sơ qua về
kiến trúc cũng như hoạt động của các MPLS-VPN để làm rõ thêm những ưu điểm
của VPN khi ứng dụng công nghệ MPLS.
KS. NGUYỄN TRỌNG HIỆP
KS. LÂM VĂN ĐÀ
ThS. NGUYỄN HOÀNG HẢI
Tổng quan về mạng VPN truyền thống
Các mạng VPN truyền thống sử dụng các chức năng bảo mật như: tạo đường hầm
(Tunneling), mã hoá dữ liệu (Encription), nhận thực (Authentication) với mục đích đạt
được khả năng bảo mật khi truyền dữ liệu giữa hai đầu cuối. Có rất nhiều các giao thức
khác nhau được sử dụng cho các mạng VPN này như: GRE, PPTP, L2TP, và IPSec.
Chúng đều dựa trên hoạt động tạo đường truyền dẫn riêng và sử dụng các thuật toán mã
hóa dữ liệu. Bài viết này chỉ tập trung nghiên cứu giao thức IPSec vì hiện nay nó được sử
dụng rộng rãi cho các mạng VPN và các giao thức trên đều có những hạn chế so với
IPSec.
Xét một ví dụ đơn giản về một đường hầm IPSec giữa hai Site trong mạng VPN. Site A
nối với site B thông qua mạng của nhà cung cấp dịch vụ hoặc mạng Internet công cộng
sử dụng giao thức IPSec với mã hóa 3DES (Hình1).
Hình 1. Kết nối giữa máy tính A và máy tính B trong mạng VPN
Hạn chế đầu tiên và cũng là dễ nhận thấy nhất ở IPSec đó là làm giảm hiệu năng của
mạng. Khi xét đường đi của một gói tin được gửi từ máy tính A trong mạng A đến máy
tính B trong mạng B. Gói tin từ máy tính A sẽ được gửi đến CPE (Customer Premise
Equipment) A. CPE-A sẽ kiểm tra gói tin xem liệu nó có cần thiết phải chuyển đến CPEB
hay không. Trong một môi trường mạng không có VPN thì gói tin sẽ được truyền ngay
đến CPE-B. Tuy nhiên, với giao thức IPSec, CPE-A phải thực hiện một số thao tác trước
khi gửi gói tin đi. đầu tiên, gói tin được mã hóa, sau đó đóng gói vào các gói IP, hoạt
động này tiêu tốn thời gian và gây trễ cho gói tin. Tiếp theo gói tin sẽ được đưa vào trong
mạng của nhà cung cấp dịch vụ. Lúc này, nếu gói tin mới được tạo thành có kích thước

lớn hơn kích thước tối đa cho phép truyền (MTU-Maximum Transmission Unit) trên bất
cứ một liên kết nào giữa CPE-A và CPE-B thì gói tin sẽ cần phải được phân mảnh thành
hai hay nhiều gói tin nhỏ hơn. điều này chỉ xảy ra trong trường hợp bit DF (Don't
Fragment) không được thiết lập, còn trong trường hợp bit DF được thiết lập thì gói tin sẽ
bị mất và một bản tin ICMP (Internet Control Message Protocol) sẽ được gửi lại phía
phát. Khi gói tin đến được CPE-B, nó sẽ được mở gói và giải mã, hai hoạt động này tiếp
tục làm trễ gói tin trong mạng. Cuối cùng, CPE-B sẽ chuyển tiếp gói tin đến máy tính B.
Thời gian trễ trong mạng sẽ phụ thuộc vào độ phức tạp và tốc độ xử lý của các CPE. Các
thiết bị CPE chất lượng thấp thường phải thực hiện hầu hết các chức năng IPSec bằng
phần mềm khiến trễ trong mạng lớn. Các thiết bị CPE với khả năng thực hiện các chức
năng IPSec bằng phần cứng có thể tăng tốc độ xử lý gói tin lên rất nhiều nhưng chi phí
cho các thiết bị này là rất đắt. điều này dẫn đến chi phí triển khai một mạng IPSec VPN là
rất tốn kém.
Từ ví dụ trên, ta dễ dàng nhận thấy các mạng IPSec VPN là mạng lớp trên của mạng IP
và sự trao đổi thông tin trong mạng được thực hiện bằng cách thiết lập các đường hầm
giữa các site. điều này sẽ tạo nên những cấu hình mạng không tối ưu. để rõ hơn về vấn đề
này, ta sẽ xét hai cấu hình mạng, cấu hình hình sao và cấu hình mạng lưới (full mesh).
Cấu hình mạng hình sao bao gồm một site trung tâm (hub) được nối với rất các site ở xa
(spoke) khác. Trong cấu hình này, CPE của site trung tâm thường là một thiết bị rất đắt
tiền và phụ thuộc vào số lượng spoke cần kết nối đến. Và mỗi một spoke này sẽ thiết lập
một đường hầm IPSec (IPSec tunnel) đến site trung tâm. Cấu hình mạng này không phù
hợp cho truyền thông giữa các site nhánh (spoke) với nhau vì gói tin từ spoke này đến
spoke kia phải đi qua site trung tâm và tại site trung tâm này sẽ lặp lại các tác vụ như
đóng mở gói tin, xác định đường chuyển tiếp, mã hóa và giải mã đối với mỗi gói tin đi
qua nó. Có nghĩa là mỗi gói tin sẽ phải đi qua hai đường hầm IPSec dẫn đến trễ xử lý cho
mỗi gói tin sẽ tăng gấp đôi so với trường hợp hai spoke có thể trao đổi thông tin trực tiếp
với nhau.
Giải pháp duy nhất để khắc phục hiện tượng trên là thiết lập một mạng mắt lưới (fully
meshed network). Tuy nhiên, cấu hình này có rất nhiều hạn chế, và điểm hạn chế lớn nhất
là khả năng mở rộng mạng. Số lượng các tunnel cần thiết để hỗ trợ một mạng mắt lưới

IPSec về phương diện hình học sẽ tăng cùng với số lượng site. Ví dụ một mạng với 20
site sẽ cần 210 đường hầm IPSec và mỗi một site cần có thiết bị CPE có khả năng kết
cuối với 210 đường hầm IPSec. Một cấu hình mạng như vậy sẽ phải đòi hỏi mỗi site phải
có một CPE phức tạp và đắt tiền. Thậm chí trong một số trường hợp, việc thiết lập một
cấu hình mạng “full mesh” là không thể, ta hãy tưởng tượng một mạng 100 site VPN với
yêu cầu 4,950 đường hầm!
Một điểm chúng ta cần phải cân nhắc khi triển khai các mạng VPN đó là các thiết bị
CPE. Mỗi nhà cung cấp cần phải chắc chắn rằng tất cả các CPE sẽ hoạt động tương thích
với nhau. Giải pháp đơn giản và và hiệu quả nhất là sử dụng cùng một loại CPE trong
mỗi vùng, tuy nhiên, điều này không phải bao giờ cũng thực hiện được do nhiều yếu tố
khác nhau. Tuy ngày nay sự tương thích không phải là một vấn đề lớn nhưng nó vẫn cần
phải được quan tâm khi hoạch định một giải pháp mạng IPSec VPN.
Mỗi một CPE phải đóng vai trò như là một router và có khả năng hỗ trợ tunneling.
Những CPE với chức năng bổ sung này đòi có giá thành rất cao nên cách duy nhất để
triển khai IPSec trong một mạch cầu là tải các phần mềm IPSec client vào tất cả các PC
phía sau cầu. Giải pháp này đòi hỏi sự hỗ trợ khách hàng cao dẫn đến những khó khăn
trong quản lý mạng.
Khai thác và bảo dưỡng cũng là một vấn đề nữa của các mạng IPSec VPN vì mỗi một
đường hầm IPSec đều phải được thiết lập bằng tay. Cấu hình cho một đường hầm IPSec
đơn lẻ không phải là vấn đề thế nhưng thời gian để thiết lập và duy trì một mạng VPN
với nhiều site sẽ tăng lên đáng kể khi kích thước mạng được mở rộng. đặc biệt là với
mạng VPN có cấu hình “full mesh” thì các nhà cung cấp dịch vụ sẽ gặp nhiều khó khăn
trong hỗ trợ và xử lý sự cố kỹ thuật.
Vấn đề bảo mật cũng cần được quan tâm trong các mạng VPN. Mỗi CPE có thể truy nhập
vào mạng Internet công cộng nhưng tin tức vẫn cần được bảo mật trong quá trình truyền
giữa các site. Vì vậy, mỗi thiết bị CPE phải có biện pháp bảo mật nhất định (như
Firewall). Và sự quản lý các firewall này sẽ trở nên rất khó khăn nhất là khi kích thước
của mạng rất lớn. Với một mạng VPN khoảng 100 nút mạng, sẽ cần 100 firewall và mỗi
khi cần một sự thay đổi nhỏ trong chính sách (policy) của firewall, chúng ta phải tiếp cận
cả 100 firewall này trong mạng. Rõ ràng đây là một điểm hạn chế lớn của các mạng

IPSec VPN về khía cạnh bảo mật.
MPLS-VPN
Không giống như các mạng VPN truyền thống, các mạng MPLS VPN không sử dụng
hoạt động đóng gói và mã hóa gói tin để đạt được mức độ bảo mật cao. MPLS VPN sử
dụng bảng chuyển tiếp và các nhãn “tags” để tạo nên tính bảo mật cho mạng VPN. Kiến
trúc mạng loại này sử dụng các tuyến mạng xác định để phân phối các dịch vụ VPN, và
các cơ chế xử lý thông minh của MPLS VPN lúc này nằm hoàn toàn trong phần lõi của
mạng.
Trước tiên, ta hãy xem xét một số thuật ngữ được dùng trong mạng MPLS VPN. Thiết bị
CPE trong MPLS-VPN chính là các CE (Customer Edge) router và các CE router này
được nối với mạng của nhà cung cấp dịch vụ thông qua các PE (Provider Edge) router.
Một mạng VPN sẽ bao gồm một nhóm các CE router kết nối với các PE router của nhà
cung cấp dịch vụ. Tuy nhiên, chỉ những PE router mới có khái niệm về VPN, còn các CE
router thì không “nhận thấy” những gì đang diễn ra bên trong mạng của nhà cung cấp
dịch vụ và sẽ coi như chúng đang được kết nối với nhau thông qua một mạng riêng.
Mỗi VPN được kết hợp với một bảng định tuyến - chuyển tiếp VPN (VRF) riêng biệt.
VRF cung cấp các thông tin về mối quan hệ trong VPN của một site khách hàng khi được
nối với PE router. Bảng VRF bao gồm thông tin bảng định tuyến IP (IP routing table),
bảng CEF (Cisco Express Forwarding), các giao diện của bảng định tuyến; các quy tắc,
các tham số của giao thức định tuyến Mỗi site chỉ có thể kết hợp với một và chỉ một
VRF. Các VRF của site khách hàng mang toàn bộ thông tin về các “tuyến” có sẵn từ site
tới VPN mà nó là thành viên.
Đối với mỗi VRF, thông tin sử dụng để chuyển tiếp các gói tin được lưu trong các bảng
định tuyến IP và bảng CEF. Các bảng này được duy trì riêng rẽ cho từng VRF nên nó
ngăn chặn được hiện tượng thông tin bị chuyển tiếp ra ngoài mạng VPN cũng như ngăn
chặn các gói tin bên ngoài mạng VPN chuyển tiếp vào các router bên trong mạng VPN.
đây chính là cơ chế bảo mật của MPLS VPN. Bên trong mỗi một MPLS VPN, có thể kết
nối bất kỳ hai điểm nào với nhau và các site có thể gửi thông tin trực tiếp cho nhau mà
không cần thông qua site trung tâm.
Tham số phân biệt tuyến RD (Route Distinguisher) giúp nhận biết các địa chỉ IP thuộc

VPN riêng biệt nào. Xét mô hình mạng như hình 2, có 3 VPN khác nhau và được xác
định bởi các RD: 10, 20 và 30. Một mạng MPLS có thể hỗ trợ hàng trăm đến hàng nghìn
VPN. Phần bên trong của kiến trúc mạng MPLS VPN được kết cấu bởi các thiết bị của
nhà cung cấp. Những thiết bị này hình thành mạng lõi (core) MPLS và không được nối
trực tiếp đến các CE router. Các chức năng VPN của một mạng MPLS-VPN sẽ được thực
hiện bởi các PE router bao quanh mạng lõi này. Cả P router và PE router đều là các bộ
định tuyến chuyển mạch nhãn LSR (Label Switch Router) trong mạng MPLS. Các site
khách hàng có thể được kết nối với các PE router bằng nhiều cách khác nhau như T1,
Frame Relay, DSL, ATM, v.v
Hình 2. Mô hình mạng MPLS
Trong một mạng MPLS VPN, site phía khách hàng sẽ sử dụng IP thông thường mà
không cần biết đến MPLS, IPSec hay bất cứ một chức năng VPN đặc biệt nào.
Tại các PE router, một cặp VRF và RD sẽ tương ứng với mỗi liên kết đến site của khách
hàng (customer site). Liên kết này có thể là một liên kết vật lý T1, Frame Relay hay ATM
VC, DSL Giá trị RD sẽ hoàn toàn “ẩn” và sẽ không được cấu hình tại các thiết bị của
khách hàng.
Sau đây chúng ta sẽ xem xét một ví dụ cụ thể đường đi của một gói tin trong mạng VPN
của khách hàng từ PC A thuộc site A tới PC B thuộc site B thông qua mạng MPLS.
- Gói tin đến từ site A của PE router R1 như một gói IP thông thường với địa chỉ đích
10.2.1.100. Site này thuộc mạng VPN với RD:10.
- R1 sẽ tra cứu bảng chuyển tiếp VPN của nó và dựa vào bảng này để gán nhãn cho gói
tin, trong trường hợp này là nhãn 56. Nhãn này mang thông tin về đích đến của gói tin
trong mạng VPN với RD:10
RD Prefix Destination PE Label
10
10.1.0.0/1
6
216.70.128.21
6
318

10 10.2.0.0/16
216.70.128.19
2
56
10
10.3.0.0/1
6
216.70.128.13
3
32
10
10.4.0.0/1
6
216.70.128.60 210
10 10.5.0.0/16 216.70.128.84 109
- R1 chuyển tiếp gói tin dựa vào địa chỉ PE đích trong bảng FIB (Label Forwarding
Information Base). Khi gói tin này được chuyển đi, nó sẽ được gán một nhãn MPLS
trong bảng LIB. Nhãn này (188) tương ứng với nhãn được yêu cầu để chuyển tiếp gói tin
đến R2, có địa chỉ IP là 216.70.128.192.
- LSR1 tiếp nhận gói tin và thưc hiện hoạt động chuyển mạch nhãn thông thường. Trong
ví dụ này, LSR1 tráo đổi nhãn 188 với nhãn 62, sau đó chuyển tiếp gói tin đến LSR2.
- LSR2 tiếp nhận gói tin và thực hiện chức năng Penultimate Hop Popping bởi vì đây là
chặng cuối cùng trước khi gói tin đến PE đích, LSR2 sẽ loại bỏ nhãn (62) và gửi gói tin
tới R2 với nhãn 56.
- Sau khi R2 tiếp nhận gói tin, nó sẽ tra nhãn 56 trong bảng chuyển tiếp VPN, trong
trường hợp này, nhãn sẽ tương ứng với RD:10. Sau đó, R2 tham chiếu địa chỉ IP trong
gói tin để xác định ra đích đến là RD:10 với địa chỉ IP 10.2.1.100. R2 xác định RD:10 và
địa chỉ IP:10.2.1.100 là thuộc site được liên kết trực tiếp với R2 bởi một liên kết IP thông
thường nên nó sẽ loại bỏ nhãn và chuyển tiếp gói IP tới site đó.
RD Prefix Destination PE Label

10
10.1.0.0/1
6
216.70.128.21
6
318
10 10.2.0.0/16
216.70.128.19
2
56
10
10.3.0.0/1
6
216.70.128.13
3
32
10
10.4.0.0/1
6
216.70.128.60 210
10 10.5.0.0/16 216.70.128.84 109
Chú ý rằng địa chỉ IP 10.2.1.100 và 216.70.128.192 khác nhau về phạm vi, địa chỉ IP
10.2.1.100 thuộc mạng VPN với RD:10 và chỉ những gói tin bên trong VPN này mới có
thể đến được địa chỉ này. Có thể có một địa chỉ IP 10.2.1.100 khác ở các VPN khác,
nhưng chúng được đặc trưng bởi những RD khác nhau. địa chỉ 216.70.128.192 thuộc
mạng đường trục và nó không thuộc một VPN nào.
Một trong những ưu điểm lớn nhất của các MPLS VPN là không đòi hỏi các thiết bị CPE
thông minh bởi vì toàn bộ các chức năng VPN được thực hiện ở phía trong mạng lõi của
nhà cung cấp dịch vụ và hoàn toàn “trong suốt” đối với các CPE. Các CPE không đòi hỏi
chức năng VPN và hỗ trợ IPSec. điều này có nghĩa là khách hàng không phải chi phí quá

cao cho các thiết bị CPE.
Trễ trong mạng được giữ ở mức thấp nhất vì các gói tin lưu chuyển trong mạng không
phải thông qua các hoạt động như đóng gói và mã hóa. Sở dĩ không cần chức năng mã
hóa là vì MPLS VPN tạo nên một mạng riêng. Phương pháp bảo mật này gần giống như
bảo mật trong mạng Frame Relay. Thậm chí trễ trong MPLS VPN còn thấp hơn là trong
mạng MPLS IP sử dụng chuyển mạch nhãn
Việc tạo một mạng đầy đủ (full mesh) VPN là hoàn toàn đơn giản vì các MPLS VPN
không sử dụng cơ chế tạo đường hầm. Vì vậy, cấu hình mặc định cho các mạng MPLS
VPN là full mesh, trong đó các site được nối trực tiếp với PE vì vậy các site bất kỳ có thể
trao đổi thông tin với nhau trong VPN. Và thậm chí, nếu site trung tâm gặp trục trặc, các
spoke site vẫn có thể liên lạc với nhau.
Hoạt động khai thác và bảo dưỡng cũng đơn giản hơn trong mạng MPLS-VPN. Hoạt
động này chỉ cần thực hiện tại các thiết bị bên trong mạng core mà không cần phải tiếp
xúc đến các CPE. Một khi một site đã được cấu hình xong, ta không cần đụng chạm đến
nó nữa cho dù nếu muốn thêm một site mới vào mạng vì những thay đổi về cấu hình lúc
này chỉ cần thực hiện tại PE mà nó nối tới.
Vấn đề bảo mật thậm chí còn đơn giản hơn nhiều khi triển khai trong các mạng MPLS
VPN vì một VPN khép kín bản thân nó đã đạt được sự an toàn thông tin do không có kết
nối với mạng Internet công cộng. Nếu có nhu cầu truy nhập Internet, một tuyến sẽ được
thiết lập để cung cấp khả năng truy nhập. Lúc này, một firewall sẽ được sử dụng trên
tuyến này để đảm bảo một kết nối bảo mật cho toàn bộ mạng VPN. Cơ chế hoạt động này
rõ ràng dễ dàng hơn nhiều cho hoạt động quản lý mạng vì chỉ cần duy trì các chính sách
bảo mật cho một firewall duy nhất mà vẫn đảm bảo an toàn cho toàn bộ VPN
Một ưu điểm nữa của các mạng MPLS VPN là chỉ cần một kết nối duy nhất cho mỗi
remote site. So sánh với mạng Frame Relay truyền thống có 1 nút trung tâm và 10 remote
site (mỗi một remote site sẽ cần một Frame Relay PVC) thì tại nút trung tâm (hub) sẽ cần
10 PVCs. Trong khi bên trong một mạng MPLS VPN chỉ cần duy nhất một PVC tại vị trí
hub trung tâm nên chi phí mạng sẽ giảm đáng kể.
Kết luận
Như vậy, có thể thấy rằng MPLS-VPN đáp ứng được những yêu cầu đặt ra của một mạng

VPN, đồng thời giải quyết được một cách triệt để những hạn chế của các mạng VPN
truyền thống dựa trên công nghệ ATM, Frame Relay và đường hầm IP. Ngày nay, tuy
VPN vẫn đang còn là một công nghệ mới mẻ ở Việt nam, nhưng việc đầu tư nghiên cứu
để chọn giải pháp tối ưu cũng là điều nên làm đối với các nhà cung cấp dịch vụ mạng./.