Tải bản đầy đủ (.pdf) (74 trang)

xây dựng mạng riêng ảo vpn

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.05 MB, 74 trang )


Đồ án tốt nghiệp Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
8
Chương 1
Giới thiệu chung về VPN
Internet ngày một phổ biến và gia tăng một cách mạnh mẽ, các công ty kinh doanh
đầu tư vào nó như một phương tiện quảng bá công ty của họ và đồng thời cũng mở
rộng các mạng mà họ sở hữu. Ban đầu là các mạng nội bộ, mà các site được bảo mật
bằng mật khẩu được thiết kế cho việc sử dụng chỉ bởi các thành viên trong công ty. Có
rất nhiều công ty đang tạo ra các mạng riêng ảo VPN để điều tiết và quản lý các nhân
viên hay các văn phòng đại diện từ xa.
VPN là từ thường dùng trong suốt khoảng mấy năm qua. Từ đó, chúng ta hiểu về nó
và ứng dụng VPN vào những mục đích phục vụ cuộc sống như trong kinh doanh và
văn hoá hiện đại. Có thể nói rằng VPN là một sự kết hợp của đường hầm, sự mật mã,
sự xác thực, công nghệ điều khiển truy cập và sự phục vụ đã từng lưu thông trên
Internet, mạng IP được quản trị hoặc mạng Backbone của nhà cung cấp dịch vụ.
Phạm vi đi lại của đường trục của mạng này dùng sự kết hợp của công nghệ truy
cập bao gồm frame relay, ISDN, ATM hoặc Aimple-Dial Access. VPN có thể được
hiểu như là mạng kết nối các site người dùng đảm bảo an ninh trên cơ sở hạ tầng mạng
chung cùng với các chính sách điều khiển truy nhập và bảo mật một mạng riêng biệt.
Tuy được xây dựng trên cơ sở hạ tầng sẵn có của mạng công cộng nhưng VPN lại có
được các tính chất của một mạng cục bộ như khi sử dụng các đường thuê riêng.
Chương này trình bày nhưng khái niệm cơ bản về VPN, các chức năng và đặc điểm
của VPN, từ đó làm cơ sở để phân loại VPN và đưa ra các thuận lợi cũng như khó
khăn khi sử dụng các loại hình VPN khác nhau.
Trong chương này chúng ta giới thiệu về một số nội dung sau:
• Khái niệm về VPN
• Chức năng và lợi ích của VPN
• Mô hình VPN
• Phân loại VPN
1.1 Khái niệm về VPN


Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạng chung, thường là
Internet để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều người sử dụng từ
xa. Trong thời gian gần đây cơ sở hạ tầng mạng IP đã làm cho VPN thực sự có tính
GVHD: TS.Trần Văn Dũng 1 SVTH: Bùi Quang Huy

Đồ án tốt nghiệp Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
8
mới mẻ và tốt hơn. Các kiểu mạng riêng ảo xây dựng trên cơ sở hạ tầng mạng Internet
công cộng đã mang lại một khả năng mới, tốt hơn hiệu quả và linh động hơn cho
người sử dụng. Thay cho việc sử dụng bởi một kết nối thực, chuyên dụng như đường
mạng riêng (Leased Line), mỗi VPN sử dụng các kết nối ảo được dẫn đường qua
Internet từ mạng riêng của các công ty tới các site hay các nhân viên từ xa. Ngày nay
với sự phát triển của cộng nghệ và bùng nổ của mạng Internet, khả năng của VPN
ngày càng được hoàn thiện hơn về dịch vụ cũng như khai thác được hết các ưu điểm
của nó.
Mạng riêng ảo được định nghĩa như là một kết nối mạng triển khai trên cơ sở hạ
tầng mạng công cộng với các quản lý và bảo mật giống như mạng cục bộ. Mạng riêng
ảo như là sự mở rộng của mạng LAN mà không hạn chế về mặt khoảng cách, mà
không thay đổi về sự bảo mật của nó trong công việc.
Sử dụng Internet cho truy cập từ xa sẽ tiết kiệm được chi phí. Ta có thể quay số ở
bất cứ đâu chỉ cần tại đó có nhà cung cấp dịch vụ (ISP) có thể truy nhập đến điểm kết
nối. Nếu ISP có các điểm POP mang tính quốc gia thì đối với mạng LAN sẽ chỉ là các
cuộc gọi nội hạt. Một vài ISP có thể có mở rộng quốc tế hoặc có sự thỏa thuận với các
ISP khác. Việc lựa chọn ISP sẽ rẻ hơn cho việc truy cập từ xa đối với những người sử
dụng roarming.
VPN được thiết lập giữa các Router tại hai chi nhánh của công ty thông qua
Internet. Hơn nữa, VPN cho phép hợp nhất các kết nối Internet và WAN vào một
Router và một đường truyền, điều này giúp tiết kiệm chi phí thiết bị và hạ tầng cơ sở
viễn thông.
Tính cá nhân của VPN tin cậy thể hiện ở chổ nhà cung cấp dịch vụ sễ đảm bảo

không cho ai sử dụng cùng mạch thuê riêng đó. Người dùng của mạng riêng ảo loại
này tin cậy hoàn toàn vào nhà cung cấp dịch vụ để duy trì tính toàn vẹn và bảo mật dữ
liệu cá nhân nội bộ của người dùng khi truyền trên mạng. Các mạng riêng xây dựng
trên các đường dây thuê thuộc loại tin cậy .
Mạng riêng ảo an toàn là các mạng riêng ảo có thể sử dụng mật mã về thông tin của
dữ liệu. Dữ liệu ở đâu ra của một mạng được mã hoá rồi chuyển vào mạng công cộng
như các dữ liệu khác để truyền tới đích và sau đó được giải mã tại phía thu một cách
bình thường. Dữ liệu được mật mã và đi trong mạng như là đi một đường riêng được
gọi là đường hầm, dữ liệu được bảo vệ từ nguồn tới đích. Có thể có sự tấn công bên
ngoài nhưng dữ liệu được mã hoá nên không thể đọc được.
GVHD: TS.Trần Văn Dũng 2 SVTH: Bùi Quang Huy

Đồ án tốt nghiệp Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
8
Về giao thức sử dụng trong việc mã hoá để đảm bảo an toàn là IPSec. Đó là một
tiêu chuẩn cho mã hoá cũng như xác thực các gói IP tại tầng mạng. IPSec hỗ trợ một
tập hợp các giao thức mã hoá với hai mục đích: An ninh gói mạng và thay đổi các
khoá mã hoá. Mạng riêng ảo xây dựng dựa trên Internet, sử dụng cơ sở hạ tầng mở và
phân tán của Internet cho việc truyền dữ liệu các site của mạng
Tóm lại mạng riêng ảo VPN là thuật ngữ được các nhà cung cấp dịch vụ và các khai
thác sử dụng. Như đúng tên gọi của nó, VPN là một mạng riêng của người dùng dựa
trên cơ sở hạ tầng mạng công cộng. Chúng có thể được tạo ra bằng cách sử dụng phần
mềm, phần cứng hay kết hợp cả hai phần đó để tạo ra một kết nối bảo mật giữa hai
mạng riêng đi qua mạng công cộng.
1.2 Chức năng và lợi ích của VPN
1.2.1 Chức năng của mạng riêng ảo
Tính xác thực
Thiết lập kết nối trong VPN cả hai phía của thiết bị đầu cuối phải xác thực lẫn nhau
để khẳng định một điều là thông tin mình muốn trao đổi đúng với đối tượng mình
mong muốn không phải là một người khác mà mình không mong muốn.

Tính Toàn vẹn
Khi truyền dữ liệu việc đảm bảo là dữ liệu không bị mất đi hoặc bị xáo trộn là một
việc làm vô cùng quan trọng. Vì vậy VPN đã làm được điều đó một cách hoàn hảo.
Tính bảo mật
Việc mã hoá các dữ liệu trước khi đưa vào truyền trong mạng công cộng và dữ liệu
sẽ được giải mã ở phía thu. Bằng cách làm như vậy, thì việc đánh cắp thông tin dữ liệu
là vô cùng khó khăn đối với người khác.
1.2.2 Tiện ích chính của mạng riêng ảo
VPN đem lại lợi ích thực sự và tức thời cho công ty và các doanh nghiệp trong công
việc kinh doanh của mình. Có thể dùng VPN để đơn giản hoá việc truy cập đối với các
nhân viên làm việc và người dùng lưu động, mở rộng mạng nội bộ đến từng văn phòng
chi nhánh, thậm chí triển khai mạng mở rộng đến tận khách hàng và các đối tác chủ chốt
và điều quan trọng là những công việc trên đều có chi phí thấp hơn nhiều so với việc mua
thiết bị và đường dây cho mạng WAN riêng. Những lợi ích của VPN có thể được dẫn
dưới đây.
Mặt kinh tế
GVHD: TS.Trần Văn Dũng 3 SVTH: Bùi Quang Huy

Đồ án tốt nghiệp Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
8
Khi sử dụng mạng riêng ảo VPN các công ty có thể giảm chi phí được tới một cách
tối đa trong việc đầu tư và vận hành chúng. Sử dụng VPN thì các công ty chỉ việc thuê
các kênh riêng trên hạ tầng chung của các nhà cung cấp dịch vụ viễn thông không cần
phải đầu tư thiết bị đầu cuối cũng như thiết bị truyền dẫn.
Các thiết bị truyền dẫn là tương đối đắt, nên việc giảm chí phí khi đầu tư khi sử
dụng VPN là quá rõ ràng và thiết yếu. Giảm được các loại cước phí đường dài truy cập
VPN cho các nhân viên di động và các nhân viên đi công tác xa công ty nhờ vào việc
họ truy nhập vào mạng thông qua các điểm kết nối ở nơi mình cư trú, hạn chế gọi
đường dài tới các modem tập trung.
Tính linh hoạt

Tính linh động ở đây không chỉ thể hiện trong quá trình vận hành và khai thác mà
nó còn thực sự mềm dẻo đối với yêu cầu sử dụng của người sử dụng. Người sử dụng
có thể sử dụng nhiều kết nối hay các đối tượng di chuyển do đặc thù công việc. Khách
hàng của VPN qua mạng mở rộng này, cũng có quyền truy cập và khả năng như nhau
đối với các dịch vụ trung tâm bao gồm. Cũng như các ứng dụng thiết yếu khác, khi
truy cập chúng thông qua những phương tiện khác nhau như qua mạng cục bộ LAN,
modem, modem cáp, đường dây thuê bao số v v, mà không cần quan tâm đến những
phần phức tạp bên dưới.
Mở rộng và phát triển
Như chúng ta đã biết mạng riêng ảo VPN được phát triển và hoạt động dựa trên
mạng công cộng. Ngay nay mạng Internet có mặt khắp nơi nên việc đó tao cho việc
xây dựng và phát triển mạng VPN ngày càng đơn giản. Việc kết nối giữa các chi
nhánh ở xa với công ty là quá đơn giản thông qua đường dây điện thoại hoặc qua
đường dây số DSL. Việc nâng cấp cũng qua đơn giản khi băng thông đường truyền
lớn. Và việc gỡ bỏ VPN cũng quá đơn giản khi không cần thiết.
1.2.3 Nhược điểm và nhưng giải pháp khắc phục
Sự tin cậy và thực thi
Mạng riêng ảo sử dụng các phương pháp mã hoá để bảo mật dữ liệu, và sử dụng
một số hàm mật mã phức tạp nên việc đó đã làm cho dụng lượng của máy chủ là khá
nặng và việc ấy rất ảnh hưởng đến việc xử lý tốc độ của máy. Khi dữ liệu được truyền
tải trong VPN quá lớn thì việc tắc nghẽn và có thể mất thông tin dữ liệu là chuyện
thường xẩy ra. Việc thiết lập các dịch vụ proxy và một số dịch vụ khác để có thể hạn
chế và điều chỉnh được lưu lượng truyền tải trong mạng một các hợp lý nhất.
GVHD: TS.Trần Văn Dũng 4 SVTH: Bùi Quang Huy

Đồ án tốt nghiệp Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
8
Sự rủi ro về an ninh
Như chúng ta đã biết thì mạng riêng ảo là dùng chung đường truyền của mạng công
cộng nên việc bị tấn công là không thể tránh khỏi và điều đó như là nhưng điều được

cảnh báo trước. Nên các nhà cung cấp dịch đã đưa ra nhưng giải pháp an toàn cho việc
dùng mạng riêng ảo, nhưng vấn đề an toàn không bao giờ là tuyệt đối. Vấn đề càng
đưa các giải pháp bảo mật vào bao nhiều thì nó cũng ảnh hưởng đến giá thành của dịch
vụ, và điều đó là một điều không mong muốn từ nhà cung cấp dịch vụ cũng như người
sử dụng dịch vụ. Nên việc sử nhưng giải pháp trong VPN cũng phải được cân nhắc
làm sao tối ưu nhất.
1.3 Mô hình VPN
Hai mô hình triển khai VPN, dự trên các yêu cầu của người dùng và dựa trên mạng.
- Mô hình dựa trên khách hàng còn được gọi là mô hình chồng lấn, trong đó VPN
được cấu hình trên các thiết bị của người dùng và sử dụng giao thức đường hầm qua
mạng công cộng. Nhà cung cấp dịch vụ sẽ đưa các mạng riêng ảo giữa các site của
người dùng như là các đường kết nối riêng.
- Mô hình dựa trên mạng được gọi là mô hình ngang hàng, trong đó VPN được cấu
hình trên các thiết bị của nhà cung cấp dịch vụ và được quản lý bởi nhà cung cấp dịch
vụ. Các nhà cung cấp dịch vụ và người dùng trao đổi thông tin dữ liệu qua định tuyến
lớp 3, các nhà cung cấp dịch vụ sẽ sắp đặt dữ liệu từ các site người dùng vào đường đi
tối ưu nhất mà không cần phải có sự tham gia của người dùng.
1.3.1 Mô hình VPN chồng lấn
Mô hình chồng lấn VPN ra đời rất sớm và được triển khai dưới nhiều công nghệ
khác nhau. Lúc đầu VPN được xây dựng bằng cách sử dụng các đường thuê riêng để
cung cấp và kết nối giữa các người dùng ở các vị trí khác nhau. Người dùng sử dụng
dịch vụ kênh thuê riêng của nhà cung cấp dịch vụ. Các đường thuê riêng này được
thiết lập giữa các site của người dùng cần kết nối. Đường này là đường dùng riêng cho
người dùng khi có nhu cầu sử dụng.
Frame Relay được xem như là một công nghệ VPN được đua ra trong những năm
1990, vì nó có thể đáp ứng kết nối cho người dùng như dịch vụ thuê kênh riêng (leased
line), ở đây người dùng không được cung cấp các đường dành riêng cho mỗi người
dùng, người dùng sử dụng một đường chung nhưng được chỉ định các mạch ảo. Các
mạch ảo này sẽ đảm bảo lưu lượng cho mỗi người dùng là riêng biệt.
GVHD: TS.Trần Văn Dũng 5 SVTH: Bùi Quang Huy


Đồ án tốt nghiệp Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
8
Cung cấp mạch ảo cho người dùng nghĩa là nhà cung cấp dịch vụ đã xây dựng một
đường hầm riêng cho dữ liệu người dùng đi qua mạng dùng chung của nhà cung cấp
dịch vụ. Sau này công nghệ ATM ra đời, về cơ bản ATM cũng hoạt động giống như
Frame Relay nhưng đáp ứng tốc độ truyền dẫn cao hơn.
Người dùng thiết lập việc kết nối giữa các thiết bị đầu phía người dùng CE với nhau
qua kênh ảo. Giao thức định tuyến chạy trực tiếp giữa các Router người dùng thiết lập
mối quan hệ cận kề và trao đổi thông tin định tuyến với nhau. Nhà cung cấp dịch vụ
không thể biết đến thông tin định tuyến của người dùng trao đổi. Nhiệm vụ của nhà
cung cấp dịch vụ trong mô hình này chỉ là đảm bảo truyền dữ liệu điểm - điểm giữa
các site của người dùng.
VPN chồng lấn còn được triển khai dưới dạng đường hầm (Tunneling). Việc triển
khai thành công các công nghệ gắn với IP nên một vài nhà cung cấp dịch vụ bắt đầu
triển khai VPN qua IP. Nếu người dùng nào muốn xây dựng mạng riêng của họ qua
mạng công cộng thì có thể dùng giải pháp này là hợp lý nhất vì chi phí thấp. Bên cạnh
lý do kinh tế, mô hình đường hầm còn đáp ứng cho người dùng việc bảo mật dữ liệu
và thông tin trên đường truyền. Hai công nghệ VPN đường hầm phổ biến là IPSec và
Gói định tuyến chung (GRE).
Các nhà cung cấp dịch vụ cam kết về QoS trong mô hình overlay VPN thường là
cam kết về băng thông trên một mạch ảo (VC), giá trị này được gọi là tốc độ thông tin
ràng buộc (CIR). Băng thông có thể sử dụng được tối đa trên một kênh ảo đó, giá trị
này được gọi là tốc độ thông tin tối đa (PIR). Việc cam kết này được thực hiện thông
qua các thống kê tự nhiên của dịch vụ lớp 2 nhưng lại phụ thuộc vào chiến lược của
nhà cung cấp. Điều này có nghĩa là tốc độ cam kết không thật sự được bảo đảm mặc
dù nhà cung cấp có thể đảm bảo tốc độ lớn nhất. Cam kết về băng thông cũng chỉ là
cam kết về hai điểm trong mạng người dùng. Nếu không có ma trận lưu lượng đầy đủ
cho tất cả các lớp lưu lượng thì thật khó có thể thực hiện cam kết này cho người dùng
trong mô hình overlay. Để làm được việc này bằng cách tạo ra nhiều kết nối, như trong

công nghệ chuyển mạch khung Frame Relay hay chuyển mạch không đồng bộ ATM là
có các mạch ảo cố định (PVC) giữa các site người dùng. Tuy nhiên, kết nối mạng lưới
rộng thì chỉ làm tăng thêm chi phí của mạng. Nên để cam kết theo lời hứa của mình
thì việc tính toán lưu lượng đường truyền phải cẩn thận, và chính xác nhất.
GVHD: TS.Trần Văn Dũng 6 SVTH: Bùi Quang Huy

Đồ án tốt nghiệp Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
8
Hình 1.1: Mô hình VPN chồng lấn
Một số ưu điểm của VPN chồng lấn
• Đó là mô hình dễ thực hiện, nhìn theo quan điểm của người dùng và của cả nhà
cung cấp dịch vụ.
• Nhà cung cấp dịch vụ không tham gia vào định tuyến người dùng trong mạng
VPN chồng lấn. Nhiệm vụ của họ là vận chuyển dữ liệu điểm - điểm giữa các site
của người dùng, việc đánh dấu điểm tham chiếu giữa nhà cung cấp dịch vụ và
người dùng sẽ quản lý dễ dàng hơn.
Hạn chế của mô hình VPN chồng lấn
• VPN thích hợp trong các mạng không cần độ dự phòng với ít site trung tâm và
nhiều site ở đầu xa, nhưng lại khó quản lý nếu như cần nhiều cấu hình nút khác
nhau.
• Việc cung cấp càng nhiều mạch ảo đòi hỏi phải có sự hiểu biết sâu sắc về loại lưu
lượng giữa hai site với nhau mà điều này thường không thật sự thích hợp.
• Khi thực hiện mô hình này với các công nghệ lớp 2 thì chỉ tạo ra một lớp mới
không cần thiết đối với các nhà cung cấp hầu hết chỉ dựa trên IP, dẫn đến sự phải
có sự đầu tư lớn trong việc này.
1.3.2 Mô hình VPN ngang cấp
Với những nhược điểm của VPN chồng lấn thì việc đưa ra mô hình VPN ngang cấp
để khắc phục những nhược điểm đó và chuẩn hoá việc truyền dữ liệu qua mạng đường
trục. Với mô hình này các nhà cung cấp dịch vụ sẽ tham gia vào hoạt động định tuyến
GVHD: TS.Trần Văn Dũng 7 SVTH: Bùi Quang Huy


Đồ án tốt nghiệp Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
8
của người dùng. Tức là Router biên mạng nhà cung cấp (Provider Edge - PE) thực
hiện trao đổi thông tin định tuyến trực tiếp với Router CE của người dùng.
Hình 1.2: Mô hình VPN ngang cấp
Vùng ở giữa bao gồm tập hợp một hay nhiều nhà cung cấp dịch vụ VPN. Xung
quanh là các site tạo nên các kết nối mạng VPN. Trong hình này thể hiện hai mạng
VPN là A và B. Mỗi site của VPN A kết nối với nhà cung cấp dịch vụ VPN thông qua
một bộ định tuyến biên khách hàng (CE). Mỗi site có thể có một hay nhiều bộ định
tuyến CE ví dụ như site 1 trong VPN B có hai CE là CE
1
B1
và CE
2
B1
còn site 3 trong
VPN B chỉ có 1 CE đó là CE
B3
. Hình vẽ còn thể hiện các đích có thể truy nhập đến
trong mỗi site Về phía nhà sử dụng dịch vụ, mỗi bộ định tuyến CE được kết nối đến
một bộ định tuyến biên nhà cung cấp dịch vụ (PE). Lưu ý cùng một bộ định tuyến PE
có thể kết nối các site thuộc nhiều VPN khác nhau, hơn nữa các site này có thể sử
dụng cùng địa chỉ IP cho các đích trong các site (địa chỉ IP phải là duy nhất trong một
VPN, tuy nhiên nó không nhất thiết phải là duy nhất trong nhiều VPN). Ví dụ như PE2
được kết nối tới các site thuộc VPN A (site 2) và VPN B (site 2). Hơn nữa cả hai site
này đều sử dụng cùng một miền địa chỉ là 192.168.2.12 cho các đích bên trong chúng.
Một site có thể được kết nối tới một hoặc nhiều bộ định tuyến PE, như site 1 của VPN
B được kết nối tới PE1 và PE2.
Bộ định tuyến loại thứ 3 được thể hiện trên hình là bộ định tuyến nhà cung cấp dịch

vụ (P). Các bộ định tuyến loại này không kết nối các site của người dùng. Việc cung
cấp băng thông cũng đơn giản hơn bởi vì người dùng chỉ phải quan tâm đến băng
GVHD: TS.Trần Văn Dũng 8 SVTH: Bùi Quang Huy

Đồ án tốt nghiệp Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
8
thông đầu vào và ra ở mỗi site mà không cần quan tâm đến toàn bộ lưu lượng từ site
này đến site kia như trong mô hình VPN chồng lấn. Khả năng mở rộng trong mô hình
VPN ngang hàng dễ dàng hơn vì nhà cung cấp dịch vụ chỉ cần thêm vào một site và
thay đổi cấu hình trên bộ định tuyến PE. Trong mô hình VPN chồng lấn, nhà cung cấp
dịch vụ phải tham gia vào toàn bộ tập hợp các kênh ảo từ site này đến site khác của
site của VPN người dùng. Nhà cung cấp dịch vụ có thể triển khai hai hiệu ứng dụng
VPN ngang hàng là chia sẽ bộ định tuyến dành riêng cho mỗi kênh thuê bao.
Mô hình VPN ngang cấp đã giải quyết được các hạn chế của VPN chồng lấn: Việc
định tuyến đơn giản hơn khi Router người dùng chỉ trao đổi thông tin định tuyến với
một hoặc một vài Router PE. Trong khi ở mô hình chồng lấn VPN, số lượng Router
láng giềng có thể phát triển với số lượng lớn.
Định tuyến giữa các site người dùng luôn luôn được tối ưu vì nhà cung cấp dịch vụ
biết Topology mạng người dùng và do đó có thể thiết lập định tuyến tối ưu cho các
Route của họ.
Nhà cung cấp dịch vụ triển khai hai ứng dụng khác sử dụng VPN ngang cấp:
Phương pháp chia sẻ Router: Router dùng chung, tức là người dùng VPN chia sẽ cùng
Router biên mạng nhà cung cấp. Ở phương pháp này, nhiều người dùng có thể kết nối
đến cùng Router PE.
Hình 1.3: Mô hình VPN ngang cấp dùng Router chung
Phương pháp chia sẻ bộ định tuyến
Trong mạng VPN các người dùng sử dụng và cùng chia sẻ một bộ định tuyến biên
mạng nhà cung cấp PE. Ở phương pháp này, nhiều người dùng có thể kết nối đến cùng
GVHD: TS.Trần Văn Dũng 9 SVTH: Bùi Quang Huy


Đồ án tốt nghiệp Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
8
một bộ định tuyến PE. Do đó, trên bộ định tuyến này phải cấu hình một dang sách truy
cập mạng (Access List) cho mỗi giao diện PE-CE để đảm bảo chắc chắn sự cách ly
giữa các người dùng VPN. Đồng thời ngăn chặn VPN của người dùng này thực hiện
các tấn công từ chối dịch vụ DoS (Denial of Serverce) vào VPN của người dùng khác.
Nhà cung cấp dịch vụ chia các phần trong không gian địa chỉ của nó cho người dùng
và quản lý việc chọn lọc gói tin trên bộ định tuyến PE. Nên việc các nhà cung cấp dịch
vụ phải quan tâm và đầu tư vào vấn để bảo mất dữ liệu của mỗi người dùng.
Phương pháp sử dụng bộ định tuyến dành riêng
Là phương pháp mà mỗi người dùng VPN có bộ định tuyến PE riêng biệt dành
riêng. Trong phương pháp này, người dùng VPN chỉ truy cập đến các bộ định tuyến
trong bảng định tuyến PE dành riêng mà không ảnh hưởng đến các bộ định tuyến khác
trong mạng. Mỗi bộ định tuyến sử dụng một giao thức định tuyến riêng để tạo ra bảng
định tuyến cho mỗi VPN. Các bảng định tuyến này được tạo ra riêng biệt khác nhau để
có sự phân biệt giữa các VPN.
Phương pháp dùng chung bộ định tuyến rất khó duy trì vì nó cần phải có dải truy
nhập dài và phức tạp trên mỗi giao diện của bộ định tuyến. Còn trong phương pháp
này dùng bộ định tuyến riêng, mặc dù không phức tạp về cấu hình và dễ duy trì, nhưng
nhà cung cấp dịch vụ phải đầu tư lớn để có thể hoạt động tốt hệ thống của mình và
phục vụ tốt nhu cầu của người dùng.
Nhưng hạn chế của mô hình VPN ngang hàng là nhà cung cấp dịch vụ phải đáp ứng
được định tuyến người dùng cho đúng và bảo đảm việc hội tụ của mạng người dùng
khi có lỗi liên kết. Ngoài ra bộ định tuyến PE của nhà cung cấp dịch vụ phải mang tất
cả các tuyến của người dùng.
1.4 Phân loại VPN
VPN là một công nghệ mà nhà sản xuất đưa ra nhằm đáp ứng được một số nhu cầu
cơ bản sau đây:
• Cung cấp được nhiều ứng dụng khác nhau trong cùng một dịch vụ khi người
dùng yêu cầu.

• Có thể điều khiển được quyền truy cập của người dùng, các nhà cung cấp dịch vụ
cũng như các đối tượng bên ngoài khác.
Dựa vào các ứng dụng cũng như nhưng đặc điểm của VPN mà người ta chia thành
ba loại VPN cơ bản.
GVHD: TS.Trần Văn Dũng 10 SVTH: Bùi Quang Huy

Đồ án tốt nghiệp Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
8
• VPN truy nhập từ xa
• VPN cục bộ
• VPN mở rộng
1.4.1 VPN truy nhập từ xa
Những thành phần chính trong mô hình VPN truy nhập từ xa :
• Máy chủ của hệ thống truy nhập từ xa (RAS) được đặt tại trung tâm có nhiệm vụ
xác nhận và chứng nhận các yêu cầu gửi tới. Nó chịu trách nhiệm điều hành toàn
bộ hệ thống thông tin và dữ liệu nhận và gửi qua mạng này.
• Kết nối nhanh chóng thuận tiện đến trung tâm để lấy dữ liệu một cách nhanh
chóng nhằm giảm được một phần chi phí khi người dùng ở xa trung tâm máy chủ
• Hỗ trợ nhân viên kĩ thuật một phần trong việc cấu hình, bảo trì hệ thống và quản
lý bộ xử lý trung tâm. Và hỗ trợ truy cập từ xa bởi người dùng.
Khi triển khai VPN truy nhập từ xa, những người dùng truy nhập từ xa hoặc các văn
phòng đại diện chỉ cần kết nội nội bộ đến nhà cung cấp dịch vụ ISP hoặc ISP’s POP và
kết nối đến tài nguyên thông qua mạng Internet. Hệ thống VPN truy nhập từ xa có mô
hình dưới đây.
Hình 1.4: Cấu hình VPN truy nhập từ xa
Một hướng phát triển mới trong VPN truy nhập từ xa là dùng VPN sử dụng sóng vô
tuyến, trong đó một người dùng có thể truy nhập về mạng của mình thông qua kết nối
không dây. Việc thiết kế kết nối không dây phải cần một bộ thu phát không dây về
GVHD: TS.Trần Văn Dũng 11 SVTH: Bùi Quang Huy


Đồ án tốt nghiệp Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
8
mạng của mình. Trong cả hai trường hợp có dây và không dây, phần mềm máy khách
PC đều cho phép khởi tạo các kết nối bảo mật, còn gọi là đường hầm. Trong việc thiết
kế quá trình xác thực ban đầu để đảm bảo yêu cầu thông tin được xuất phát từ một
nguồn tin đáng tin cậy.
Hình 1.5: Mô hình VPN truy nhập từ xa
Một số ưu điểm của VPN truy nhập từ xa so với một số phương pháp truy nhâp
truyền thống.
• VPN truy nhập từ xa không cần hỗ trợ nhân viên mạng bởi vì quá trình kết nối từ
xa được các nhà cung cấp dịch vụ thực hiện.
• Các khoản chi phí cho các kết nối từ xa bởi các kết nối khoảng cách được thay
thế bởi các kết nối cục bộ thông qua mạng Internet.
• Cung cấp các dịch vụ giá rẻ cho người dùng ở xa, tạo sự thuận lợi cho việc phát
triển mạng.
• VPN cung cấp khả năng truy nhập tốt hơn đến các site của các công ty vì chúng
hỗ trợ mức thấp nhất chi phí dịch kết nối.
• Một số nhược điểm của mang VPN truy nhập từ xa:
• VPN truy nhập từ xa không hỗ trợ các dịch vụ bảo đảm chất lượng dịch vụ điều
đó rất bất lợi cho người dùng mỗi khi có nhưng thông tin quan trọng muốn gửi
đi, không được đảm bảo an toàn. Nên việc mất cắp dữ liệu và các gói dữ liệu
không đến đích là có thể xẩy ra.
GVHD: TS.Trần Văn Dũng 12 SVTH: Bùi Quang Huy

Đồ án tốt nghiệp Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
8
• Khi sử dụng các loại thuật toán mã hoá phức tạp nên tiêu đề giao thức tăng một
cách đáng kể. Điều đó bất lợi cho việc giải mã và truyền đi trên mạng.
• Do phải truyền dữ liệu thông qua Internet, nên khi trao đổi các dữ liệu lớn như
các gói dữ liệu truyền thông, video, âm thanh sẽ rất chậm.

1.4.2 VPN cục bộ
VPN cục bộ (Intranet VPN) là một dạng cấu hình của VPN điểm tới điểm, được sử
dụng để bảo mật các kết nối giữa các điểm khác nhau của một công ty. VPN liên kết
trụ sở chính, các văn phòng, chi nhánh trên một cơ sở hạ tầng chung sử dụng các kết
nối truy nhập luôn được mã hoá bảo mật. Cách này cho phép tất cả các địa điểm có thể
truy nhập an toàn các nguồn dữ liệu được phép trong toàn bộ mạng công ty.
Hình 1.6: Kiến trúc VPN cục bộ
VPN cục bộ được sử dụng để kết nối đến các chi nhánh văn phòng của tổ chức đến
nhóm mạng sử dụng Router biên. Theo mô hình này sẽ rất tốn kém do phải sử dụng 2
Router để thiết lập được mạng, hơn thế nữa việc triển khai, bảo trì và quản lý mạng
đường trục sẽ rất tốn kém còn tùy thuộc vào lượng lưu thông trên mạng đi trên nó và
phạm vi địa lý của toàn bộ mạng cục bộ.
Ðể giải quyết vấn đề trên, mạng WAN backbone được thay thế bởi các kết nối
Internet với chi phí thấp, điều này có thể một lượng chi phí đáng kể của việc triển khai
mạng cục bộ, xem hình bên dưới:
GVHD: TS.Trần Văn Dũng 13 SVTH: Bùi Quang Huy

Đồ án tốt nghiệp Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
8
Hình 1.7: Cấu hình cục bộ trên cơ sở VPN
Nhưng ưu điểm của mạng VPN cục bộ
• Mạng VPN cục bộ có thể được thiết lập thông qua một hay nhiều nhà cung cấp
dịch vụ, trong kết nối này đều có tiêu chuẩn kết nối chung.
• Giảm thiểu đáng kể số lượng hỗ trợ yêu cầu người dùng cá nhân qua toàn cầu,
các trạm ở một số Remote site khác nhau.
• Việc thiết lập mạng ngang hàng mới ở đây rất dễ dàng vì VPN được sử dụng trên
cơ sở hạ tầng của mạng cục bộ.
• Kết nối nhanh hơn và tốt hơn do về bản chất kết nối đến nhà cung cấp dịch vụ,
loại bỏ vấn đề về khoảng cách xa và thêm nữa giúp tổ chức giảm thiểu chi phí
cho việc thực hiện mạng cục bộ.

• Tiết kiệm chi phí từ việc sử dụng đường hầm VPN thông qua Internet kết hợp với
các công nghệ chuyển mạch tốc độ cao.
Nhưng nhược điểm của mạng VPN cục bộ
• Khi dữ liệu vẫn còn trên đường hầm trong suốt quá trình chia sẽ trên mạng công
cộng và những nguy cơ tấn công, như tấn công bằng từ chối dịch vụ vẫn còn là
một mối đe doạ an toàn thông tin.
• Khả năng mất dữ liệu khi truyền trên đường truyền là tương đối lớn.
• Khi cần truyền dữ liệu lớn, tốc độ cao và việc bảo đảm tính thời gian thực là một
vấn lớn trong môi trường truyền Internet.
GVHD: TS.Trần Văn Dũng 14 SVTH: Bùi Quang Huy

Đồ án tốt nghiệp Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
8
1.4.3 VPN mở rộng
VPN mở rộng (Extranet VPN) được cấu hình như một VPN điểm tới điểm, cung
cấp đường hầm bảo mật giữa các người dùng, nhà cung cấp và đối tác thông qua hạ
tầng mạng công cộng. Kiểu VPN này sử dụng các kết nối luôn được bảo mật và không
bị cô lập với mạng bên ngoài như các trường hợp VPN cục bộ hay truy nhập từ xa.
Hình 1.8: Mô hình VPN mở rộng
VPN mở rộng cung cấp khả năng điều khiển truy nhập tới những nguồn tài nguyên
mạng cần thiết để mở rộng tới những đối tượng người dùng. Có sự khác nhau giữa
VPN cục bộ và VPN mở rộng là sự truy nhập mạng được công nhận ở một trong hai
đầu cuối của VPN
Cho phép truy cập những tài nguyên mạng cần thiết của các đối tác kinh doanh,
chẳng hạn như khách hàng, nhà cung cấp, đối tác những người giữ vai trò quan trọng
trong tổ chức.
GVHD: TS.Trần Văn Dũng 15 SVTH: Bùi Quang Huy

Đồ án tốt nghiệp Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
8

Hình 1.9: Một ví dụ về VPN mở rộng truyền thống
Mạng mở rộng truyền thống rất tốn kém do có nhiều đoạn mạng riêng biệt trên
mạng nội bộ kết hợp lại với nhau để tạo ra một mạng mở rộng. Ðiều này làm cho khó
triển khai và quản lý do có nhiều mạng, đồng thời cũng khó khăn cho cá nhân trong
công việc bảo trì và quản trị. Thêm nữa là mạng mở rộng sẽ dễ mở rộng do điều này sẽ
làm rối toàn bộ mạng cục bộ và có thể ảnh hưởng đến các kết nối bên ngoài mạng. Sẽ
có những khó khăn có xẩy ra khi kết nối một mạng nội bộ vào một mạng mở rộng.
Triển khai và thiết kế một mạng mở rộng có thể là một điều khó của các nhà thiết kế
và quản trị mạng
Hình 1.10: Thiết lập VPN mở rộng
Một số ưu điểm của VPN mở rộng:
• Khi triển khai VPN mở rộng thì giá thành sẽ thấp hơn so với triển khai một mô
hình khác có cùng chức năng và mục đích với VPN mở rộng
• Trong công việc bảo dưỡng có thể thực hiện được khi mạng đang hoạt động
không gây ảnh hưởng nhiều đến tốc độ cũng như tính bảo mật của nó
• VPN được xây dựng dựa trên mạng công cộng nên nên nhà cung cấp dịch vụ có
thể đa dạng nhiều loại gói cước khác nhau phù hợp với mỗi đối tượng người
dùng.
GVHD: TS.Trần Văn Dũng 16 SVTH: Bùi Quang Huy

Đồ án tốt nghiệp Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
8
• Các kết nối Internet được nhà cung cấp dịch vụ Internet bảo trì nên có thể giảm
được số lượng nhân viên kĩ thuật, giảm được chi phí vận hành của hệ thống
mạng.
Bên cạnh nhưng ưu điểm nổi bật trên thì VPN mở rộng còn có một số nhược điểm
cần được khắc phục:
• Sự đe dọa về tính an toàn, như bị tấn công bằng từ chối dịch vụ vẫn có thể xẩy ra
trong quá trình hoạt động của mạng.
• Do dựa trên Internet nên khi dữ liệu lớn khi đua lên đường truyền thì việc trao

đổi diễn ra chậm.
• Chất lượng dịch vụ cũng không đảm bảo được một cách hoàn hảo va tuyệt đối vì
nó dựa trên mạng Internet.
1.5 Kết thúc chương
Mạng Internet hiện nay là một cở sở hạ tầng tốt cho phép người dùng thay đổi mạng
của họ theo ý muốn của mình. Đối với các công ty lớn có thể dễ dàng nhận thấy rằng
các kết nối mạng WAN qua kênh thuê riêng là rất tốn kém và được thay thế bởi kết nối
VPN. Đối với dịch vụ truy nhập từ xa, thay vì các đường kết nối tốc độ chậm hoặc các
dịch vụ thuê kênh riêng đắt tiền, người sử dụng bây giờ có thể được cung cấp các dịch
vụ truy nhập tốc độ cao với giá thành rẻ. Những người dùng có tính chất công việc
phải di động thường phải di chuyển trong công việc có thể sử dụng kết nối tốc độ cao
của Enthernet trong nhưng nơi mình đến để phục vụ công việc của mình một cách có
hiệu quả hơn. Việc tiết kiệm chi phí trong công việc là một yếu tố vô cùng quan trọng
mang VPN mang lại. Trong nhiều trường hợp này một vài yếu tố cũng cần được xem
xét một cách cẩn thận, trong việc bảo mật của thông tin vì VPN sử dụng đường truyền
là Internet.
VPN được định nghĩa như là mạng kết nối các site người dùng đảm bảo tính bảo
mật trên cở sở hạ tầng mạng chung cùng với các chính sách điều khiển truy nhập và
bảo mật như một mạng riêng. Với sự linh hoạt trong việc kết nối trong mạng thì kết
nối nhiều chi nhánh của công ty cũng như là các đối tác, cung cấp điều khiển quyền
truy nhập của người dùng, các nhà cung cấp dịch vụ hoặc các đối tượng bên ngoài
khác.
Trong chương này đã trình bày về mô hình VPN và sơ lược một số phương pháp cơ
bản để thiết lập VPN. Với những lợi ích cũng như một số nhược điểm của VPN trong
GVHD: TS.Trần Văn Dũng 17 SVTH: Bùi Quang Huy

Đồ án tốt nghiệp Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
8
quá trình triển khai trong thực tế, chương sau sẽ đi sâu hơn vào việc triển khai cũng
như nhưng tính năng tiêu biểu của VPN trên một số mô hình mạng cụ thể.

Chương 2
Mạng riêng ảo VPN trong MPLS và các giao thức VPN
MPLS-VPN như là sự kết hợp các ưu điểm của hai mô hình công nghệ mạng riêng
ảo đó là chồng lấn và ngang hàng. Khi thiết lập các mạng riêng ảo trên nền MPLS cho
phép đảm bảo định tuyến một cách tối ưu giữa các site người dùng, phân biệt địa chỉ
người dùng thông qua nhận dạng tuyến và hỗ trợ xây dựng các mô hình VPN phức tạp
trên cơ sở đích định tuyến.
Trong chương này những vấn đề cơ bản về mạng riêng ảo trên nền MPLS, nguyên
lý hoạt động cũng như khả năng mà MPLS-VPN mang lại. Các đặc điểm chính của
loại hình mạng riêng ảo trên nền IPSec và MPLS cũng được so sánh qua đó làm nổi
bật những ưu nhược điểm của giải pháp công nghệ MPLS-VPN.
Nội dung trong chương này gồm có:
• Công nghệ chuyển mạch nhãn MPLS
• Các thành phần của mạng MPLS-VPN
• Các mô hình MPLS-VPN
• Hoạt động của MPLS-VPN
• Bảo mật trong MPLS-VPN
• Giao thức đường hầm trong VPN
2.1. Công nghệ chuyển mạch nhãn MPLS:
2.1.1. Tổng quan:
MPLS (Multi-Protocol Label Switching) kết hợp đặc tính tốc độ và hiệu suất của
các mạng chuyển gói với đặc tính linh hoạt các mạng chuyển mạch nhằm cung cấp
giải pháp tốt nhất cho việc tích hợp voice, video và dữ liệu. Giống như các mạng
chuyển mạch, MPLS thiết lập con đường kết nối cuối đến cuối trước khi truyền tải
thông tin, và các con đường này được chọn dựa vào yêu cầu của ứng dụng. Mặt khác,
giống như các mạng gói, các ứng dụng và người dùng có thể chia sẻ chung một kết
GVHD: TS.Trần Văn Dũng 18 SVTH: Bùi Quang Huy

Đồ án tốt nghiệp Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
8

nối. Các ứng dụng MPLS có thể thay đổi rất rộng, từ mạng phân phát dữ liệu đơn giản
tới các mạng nâng cao với khả năng đảm bảo phân phát dữ liệu có kèm thông tin dành
cho con đường phụ.
Một công nghệ mới MPLS đã xuất hiện và hứa hẹn những năng lực hỗ trợ rất lớn
của WAN cho các doanh nghiệp. Các doanh nghiệp, tổ chức được đề cập ở đây có thể
là bất kỳ một tổ chức nào, tập đoàn kinh tế, cơ quan chính phủ, hay hệ thống giáo dục.
Một phương thức tiếp cận đáp ứng được các yêu cầu trên được biết đến hiện nay là
công nghệ chuyển mạch nhãn MPLS. Các nhà cung cấp dịch vụ đang triển khai MPLS
trên khắp mạng đường trục với sự quan tâm đặc biệt bởi khả năng vượt trội trong cung
cấp dịch vụ chất lượng cao qua mạng IP, bởi tính đơn giản, hiệu quả và quan trọng
nhất là khả năng triển khai VPN. Công nghệ chuyển mạch nhãn đa giao thức là một
trong nhưng công nghệ tiến được một số hãng nổi tiếng chuyên về viễn thông đầu tư,
nghiên cứu và đưa ra được nhưng tiêu chuẩn quốc tế. Với những ưu điểm nổi bật của
MPLS mà nó đưa lại cho ngành viễn thông.
Chuyển mạch nhãn đa giao thức là cơ chế ánh xạ địa chỉ lớp 3 vào nhãn ở lớp 2 và
chuyển tiếp gói dữ liệu, thích hợp với cơ chế định tuyến ở tầng mạng. Nguyên tắc cơ
bản của MPLS là thay đổi các thiết bị lớp 2 trong mạng như các thiết bị chuyển mạch
ATM thành các bộ định tuyến chuyển mạch nhãn LSR. LSR có thể được xem như một
sự kết hợp giữa hệ thống chuyển mạch ATM với các bộ định tuyến truyền thống. Trên
đường truyền dữ liệu, LSR đầu được gọi là quyền lối vào (Ingress) LSR; LSR cuối
cùng được gọi là quyền được ra (Egress) LSR, còn lại các LSR trung gian gọi là các
Core LSR. Trong một mạng MPLS mỗi gói dữ liệu sẽ chứa một nhãn dài 20 bits nằm
trong tiêu đề MPLS dài 32 bits. Đầu tiên, một nhãn sẽ được gán tại lối vào LSR để sau
đó sẽ được chuyển tiếp qua mạng theo thông tin của bảng định tuyến. Khối chức năng
điều khiển của mạng sẽ tạo ra và duy trì các bảng định tuyến này và đồng thời cũng có
sự trao đổi về thông tin định tuyến với các nút mạng khác.
GVHD: TS.Trần Văn Dũng 19 SVTH: Bùi Quang Huy

Đồ án tốt nghiệp Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
8

Hình 2.1: Mô hình mạng MPLS
Việc chia tách riêng hai khối chức năng độc lập nhau là: chuyển tiếp và điều khiển
là một trong các thuộc tính quan trọng của MPLS. Khối chức năng điều khiển sử dụng
một giao thức định tuyến truyền thống (OSPF) để tạo ra và duy trì một bảng chuyến
tiếp. Khi gói dữ liệu đến một LSR, chức năng chuyển tiếp sẽ sử dụng thông tin ghi
trong tiêu đề để tìm kiếm bảng chuyển tiếp phù hợp và LSR đó sẽ gán một nhãn vào
gói tin và chuyển nó đi theo tuyến chuyển mạch nhãn LSP (Label-Switched Path). Tất
cả các gói có nhãn giống nhau sẽ đi theo cùng tuyến LSP từ điểm đầu đến điểm cuối.
Đây là điểm khác với các giao thức định tuyến truyền thống, có thể có nhiều tuyến
đường nối giữa hai điểm.
Các Core LSR sẽ bỏ qua phần tiêu đề lớp mạng của gói, khối chức năng chuyển tiếp
của những LSR này sử dụng số cổng vào và nhãn để thực hiện việc tìm kiếm bảng
chuyển tiếp phù hợp rồi sau đó thay thế nhãn mới và chuyển ra ngoài vào tuyến LSP.
MPLS được xây dựng dựa trên các công nghệ của hai tầng nên nó không phụ thuộc
vào công nghệ của tầng nào, hướng tiếp cận khác cho rằng công nghệ MPLS là công
nghệ lớp 2.5, nên MPLS được gọi là đa giao thức. Ngoài ra không yêu cầu một giao
thức phân bố nhãn cụ thể nào. MPLS có một số ứng dụng quan trọng như kỹ thuật điều
khiển lưu lượng, hỗ trợ QoS và mạng riêng ảo.
Công nghệ MPLS là một dạng phiên bản của công nghệ IPOA (IP over ATM)
truyền thống, nên MPLS có cả ưu điểm của ATM, tốc độ cao, QoS và điều khiển
luồng và của IP độ mềm dẻo và khả năng mở rộng. Giải quyết được nhiều vấn đề của
GVHD: TS.Trần Văn Dũng 20 SVTH: Bùi Quang Huy

Đồ án tốt nghiệp Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
8
mạng hiện tại và hỗ trợ được nhiều chức năng mới, MPLS được cho là công nghệ
mạng trục IP lý tưởng.
Hình 2.2: Mô hình lớp MPLS trong OSI
2.1.2. Nguyên tắc hoạt động của MPLS
Chế độ hoạt động này xuất hiện khi sử dụng MPLS trong môi trường các thiết bị

định tuyến thuần nhất định tuyến các gói tin IP điểm-điểm. Các gói tin gán nhãn được
chuyển tiếp trên cơ sơ khung lớp 2.
Các hoạt động trong mảng số liệu
Quá trình chuyển tiếp một gói tin IP qua mạng MPLS được thực hiện qua một số
bước cơ bản sau:
• LSR biên lối vào nhận gói IP, phân loại gói vào nhóm chuyển tiếp tương đương
FEC và gán nhãn cho gói với ngăn xếp nhãn tương ứng FEC đã xác định. Trong
trường hợp định tuyến một địa chỉ đích, FEC sẽ tương ứng với mạng con đích và
việc phân loại gói sẽ đơn giản là việc so sánh bảng định tuyến lớp 3 truyền thống.
GVHD: TS.Trần Văn Dũng 21 SVTH: Bùi Quang Huy

Đồ án tốt nghiệp Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
8
Hình 2.3: Chế độ hoạt động khung của MPLS
• LSR lõi nhận gói tin có nhãn sử dụng bảng chuyển tiếp nhãn để thay đổi nhãn nội
vùng trong gói đến với nhãn ngoài vùng tương ứng cùng với vùng FEC.
• Khi LSR biên lối ra của vùng FEC này nhận được gói có nhãn, nó loại bỏ nhãn
và thực hiện việc chuyển tiếp gói IP theo bảng định tuyến lớp 3 truyền thống.
Mào đầu nhãn MPLS
Vì rất nhiều lý do nên nhãn MPLS phải được chèn trước số liệu đánh nhãn trong
chế độ hoạt động khung. Như vậy nhãn MPLS được chèn giữa mào đầu lớp 2 và nội
dung thông tin lớp 3 của khung lớp 2 như thể hiện trong hình dưới đây:
Hình 2.4: Vị trí của nhãn MPLS trong khung lớp 2
GVHD: TS.Trần Văn Dũng 22 SVTH: Bùi Quang Huy

Đồ án tốt nghiệp Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
8
Do nhãn MPLS được chèn vào vị trí như vậy nên Router gửi thông tin phải có
phương tiện gì đó thông báo cho Router nhận rằng gói đang được gửi đi không phải là
gói IP thuần mà là gói có nhãn. Để đơn giản chức năng này, một số dạng giao thức

mới được định nghĩa trên lớp 2 như sau:
• Trong môi trường LAN, các gói có nhãn các gói có nhãn truyền tải gói lớp 3
unicast hay multicast sử dụng giá trị 8847H và 8848H cho dạnh Ethernet.
• Trên kênh điểm - điểm sử dụng tạo dạng PPP, sử dụng giao thức điều khiển
mạng mới được gọi là MPLSCP (giao thức điều khiển MPLS). Các gói MPLS
được đánh dấu bởi giá trị 8281H trong trường giao thức PPP.
• Các gói MPLS truyền qua chuyển dịch khung DLCI giữa một cặp Router được
đánh dấu bởi nhận dạng giao thức lớp mạng SNAP của chuyển dịch khung
(NLPID), tiếp theo mào đầu SNAP với giá trị 8847H cho dạng Ethernet.
• Các gói MPLS truyền giữa một cặp Router qua kênh ảo ATM Forum được bọc
với mào đầu SNAP sử dụng giá trị cho dạng Ethernet như trong môi trường
LAN.
2.2 Các thành phần của MPLS-VPN
2.2.1 Mô hình hệ thống cung cấp dịch vụ MPLS-VPN
MPLS-VPN là một dạng đầy đủ của mô hình ngang cấp. MPLS-VPN Backbone và
các site người dùng trao đổi thông tin định tuyến lớp 3 và dữ liệu được chuyển tiếp
giữa các site người dùng sử dụng. MPLS-VPN Domain giống như VPN truyền thống,
gồm mạng của người dùng và mạng của nhà cung cấp. Mô hình MPLS-VPN giống với
mô hình Router PE dành riêng trong các dạng thực thi VPN ngang cấp VPN. Tuy
nhiên vì phải triển khai các Router PE khác nhau cho từng người dùng, lưu lượng
người dùng được tách riêng trên cùng Router PE nhằm cung cấp khả năng kết nối vào
mạng của nhà cung cấp cho nhiều người dùng.
VPN là những tập hợp nhiều site chia sẽ cùng thông tin định tuyến chung. Mỗi site
có thể thuộc nhiều hoặc hơn một VPN khác nhau, nếu nó nắm giữ các tuyến từ mỗi
VPN riêng. Điều này cung cấp khả năng xây dựng các VPN nội bộ, mở rộng cũng như
các VPN truy nhập từ xa. Các site của VPN thuộc về một công ty thì VPN đó được gọi
là VPN cục bộ, còn nếu các site của VPN thuộc về những công ty khác thì được gọi là
VPN mở rộng. Một mô hình hệ thống cung cấp dịch vụ MPLS-VPN được minh hoạ
như hình dưới đây.
GVHD: TS.Trần Văn Dũng 23 SVTH: Bùi Quang Huy


Đồ án tốt nghiệp Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
8
Hình 2.5: Hệ thống cung cấp dịch vụ MPLS-VPN và các thành phần
Những thành phần cơ bản trong công nghệ MPLS-VPN bao gồm:
• Mạng lõi IP-MPLS được quản lý bởi nhà cung cấp dịch vụ.
• Bộ định tuyến lõi của mạng nhà cung cấp.
• Bộ định tuyến của mạng cung cấp thông tin định tuyến của người dùng và thực
hiện đáp ứng dịch vụ cho người dùng từ phía nhà cung cấp dịch vụ.
• Bộ định tuyến biên của các hệ thống tự trị độc lập AS, thực hiện vai trò kết nối
với các hệ thống tự trị độc lập khác. Những hệ thống tự trị độc lập này có thể có
cùng hoặc khác nhau nhà điều hành.
• Mạng người dùng, là mạng để truy cập tới mạng lõi.
• Bộ định tuyến người dùng, đóng vai trò là cầu nối giữa mạng người dùng và
mạng nhà cung cấp. Những bộ định tuyến này có thể được quản trị bởi người
dùng hoặc nhà cung cấp dịch vụ
2.2.2 Mô hình bộ định tuyến biên nhà cung cấp dịch vụ
Thành phần quan trọng khi triển khai MPS-VPN là các thiết bị định tuyến biên PE
trong MPLS-VPN có cấu trúc giống như kiến trúc VPN ngang hàng dùng chung bộ
định tuyến chia sẽ, chỉ có sự khác biệt là toàn bộ mọi thứ được tập trung trong thiết bị
vật lý được mô tả dưới đây:
GVHD: TS.Trần Văn Dũng 24 SVTH: Bùi Quang Huy

Đồ án tốt nghiệp Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
8
Hình 2.6: Mô hình Bộ định tuyến PE và sơ đồ kết nối các site người dùng
Theo mô hình trên mỗi người dùng đăng kí một bảng định tuyến độc lập gọi là bảng
định tuyến ảo, tương ứng với một bộ định tuyến ảo như trong mô hình VPN ngang
hàng. Mỗi bộ định tuyến ảo cho phép nhiều site của người dùng cùng kết nối tới nó.
Việc định tuyến qua mạng của nhà cung cấp dịch vụ được thể hiện bởi một tiến trình

định tuyến khác, sử dụng bảng định tuyến toàn cục.
2.2.3 Mô hình bảng định tuyến và chuyển tiếp ảo
Sự kết hợp giữa bảng định tuyến và bảng chuyển tiếp VPN tạo thành một bảng
định tuyến chuyển tiếp ảo VRF (Vitual Routing and Forwarding). Mỗi VPN đều có
bảng định tuyến và chuyển tiếp riêng của nó trong bộ định tuyến PE, và mỗi bộ định
tuyến PE duy trì một hoặc nhiều bảng VRF. Mỗi site mà có bộ định tuyến PE nối vào
đó sẽ liên kết với một trong các bảng này. Địa chỉ đích IP của một gói tin chỉ được
kiểm tra trong bảng VRF mà nó thuộc về nếu gói tin này đến trực tiếp từ site tương
đương với bảng VRF đó. Mỗi VRF đơn giản chỉ là một tập hợp các tuyến thích hợp
cho mỗi site nào đó. Kết nối đến bộ định tuyến PE. Các tuyến này có thể thuộc về một
hoặc nhiều VPN.
Nếu một site thuộc về nhiều VPN, bảng chuyển tiếp tương ứng với site đó có thể
có nhiều tuyến liên quan đến VPN mà nó phụ thuộc. PE chỉ duy trì một bảng VPF cho
một site. Các site khác nhau có thể chia sẻ cùng một bảng VPF nếu sử dụng tập hợp
các tuyến một cách chính xác như trong bảng VRF đó. Nếu tất cả các site có thông tin
định tuyến giống nhau thường ở cùng một VPN, thì chúng sẽ được phép liên lạc trực
tiếp với nhau, và nếu kết nối đến cùng một bộ định tuyến PE thì chúng sẽ đặt vào
GVHD: TS.Trần Văn Dũng 25 SVTH: Bùi Quang Huy

×