Trường Cao Đẳng Giao Thông VậnTải
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ



Nguyễn Thị Phương



MẠNG RIÊNG ẢO VÀ GIẢI PHÁP HỆ THỐNG
TRONG TỔNG CỤC THUẾ



Ngành: Công nghệ Thông tin
Chuyên ngành: Truyền dữ liệu và Mạng máy tính
Mã số: 60 48 15

LUẬN VĂN THẠC SĨ


NGƯỜI HƯỚNG DẪN KHOA HỌC



PGS TS. NGUYỄN VĂN TAM






Hà Nội - 2009







1
MỤC LỤC

Trang phụ bìa
Lời cam đoan
Lời cảm ơn
Mục lục 1
Danh mục các thuật ngữ và các từ viết tắt 3
Danh mục hình vẽ 5
MỞ ĐẦU 7
CHƢƠNG 1 TỔNG QUAN VỀ MẠNG RIÊNG ẢO 9
1.1 Tổng quan 9
1.2 Khái niệm VPN 9
1.3 Khái niệm đường hầm 10
1.4 Phân loại VPN 10
1.4.1 Overlay VPN 11
1.4.2 Site to site VPN ( Mô hình VPN ngang cấp) 15

1.5 Kết luận 21
CHƢƠNG 2 MẠNG RIÊNG ẢO TRÊN NỀN CÔNG NGHỆ MPLS 22
2.1 Vấn đề đặt ra? 22
- Tính khả chuyển 22
- Điều khiển lưu lượng 23
- Chất lượng của dịch vụ (QoS) 23
2.2 Chuyển mạch nhãn đa giao thức là gì? 25
2.2.1 Khái niệm 25
2.2.2 Đặc điểm mạng MPLS 25
2.2.3 Một số khái niệm cơ bản trong kiến trúc MPLS 26
2.2.4 Phương thức hoạt động của công nghệ MPLS 29
2.2.5 Chuyển tiếp gói MPLS và đường chuyển mạch nhãn 33
2.3 Kết luận 40
CHƢƠNG 3 ỨNG DỤNG MPLS IP VPN VÀO HỆ THỐNG MẠNG NGÀNH
VÀ GIẢI PHÁP HỆ THỐNG 41
3.1 Bối cảnh chung 41
3.2 Đánh giá ưu nhược điểm của hệ thống cơ sở hạ tầng hiện tại 44

2
3.2.1 Mô hình kết nối WAN và những vấn đề đặt ra? 44
3.2.2 Mô hình kết nối Internet và những vấn đề nảy sinh 46
3.3 Giải pháp MPLS IP VPN để nâng cao an ninh cho hệ thống mạng TCT 51
3.3.1 Đề xuất cải tiến để đảm bảo tính dự phòng và an ninh cho hệ thống51
3.3.2 Giải pháp thiết kế hệ thống 54
3.3.3 Đánh giá về hệ thống đảm bảo an ninh 68
3.3.4 Hoạt động thử nghiệm 75
3.4 Kết luận 76
CHƢƠNG 4 KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN 78




3
DANH MỤC CÁC THUẬT NGỮ VÀ CÁC TỪ VIẾT TẮT
Tên viết tắt
Nội dung
BTC
Bộ tài chính
C (Custommer network) – C
network
Hệ thống khách hàng sử dụng dịch vụ của nhà
cung cấp

CE(Customer network
device)
Các thiết bị trong hệ thống C – network mà
dùng để kết nối với hệ thống của nhà cung cấp
CEF
Cisco Express Forwarding
CPE
Chính là các CE router và các CE router này
được nối với các PE router khi đó một mạng VPN
bao gồm nhóm các CE router kết nối với PE
router của nhà cung cấp dịch vụ, Tuy nhiên chỉ có
PE router mới có khái niệm về VPN còn CE
router không nhận thấy những gì đang diễn ra
trong mạng của nhà cung cấp và coi như chúng
đang được kết nối với nhau thông qua mạng riêng
Customer site
Một phần trong hệ thống C network mà các
thành phần này là láng giềng của nhau giữa chúng

có nhiều liên kết vật lý
FEC
Lớp chuyển tiếp tương đương
FEC
Lớp chuyển tiếp tương đương
Frame Relay
Công nghệ chuyển mạch khung
IP
Internet Protocol
L2PT ( Layer 2 Tunnening
Protocol)
Giao thức đường hầm lớp 2
MPLS (Multiprotocol Label
Switching )
Chuyển mạch nhãn đa giao thức
P: Provider – P network
Nhà cung cấp dịch vụ VPN

4
Tên viết tắt
Nội dung
PE (Provider edge device)
Các thiết bị trong hệ thống mạng P network
mà dùng để kết nối với hệ thống của khách hàng
PPTP (Point to Point
Tunnening Protocol)
Giao thức đường hầm điểm điểm
PVC
Kênh ảo cố định
PVC ( permanent virtual

circuit)
Mạch ảo cố định
QoS (Quality of Service)
Chất lượng dịch vụ
Router
Bộ định tuyến
SVC (switch virtual circuit)
Mạch ảo chuyển đổi
TCT
Tổng cục thuế
TDM ( time divisor
multiplexing)
Công nghệ chuyển mạch kênh, tách ghép kênh
theo thời gian
TTM
Trung tâm miền
TTT
Trung tâm tỉnh
VC(Vitual chanel)
Kênh ảo
VPN (Vitual private
network)
Mạng riêng ảo
VRF(vitual
routing/forwarding table)
Bảng định tuyến ảo
X.25
Công nghệ chuyển mạch gói



5
DANH MỤC HÌNH VẼ
Hình 1.2 Over lay VPN triển khai ở lớp 2 12
Hình 1.3 Mô hình Overlay VPN triển khai ở lớp 3 13
Hình 1.4 Mô hình triển khai dưới dạng đường hầm 14
Hình 1.5 Mô hình Overlay VPN 14
Hình 1.6 Mô hình site to site VPN 16
Hình 1.7 Mô hình VPN ngang cấp sử dụng router dùng chung 17
Hình 1.8 Mô hình VPN ngang cấp với router dùng chung 18
Hình 1.9 Mô hình VPN ngang cấp sử dụng router dành riêng 19
Hình 1.10 Mô hình router dành riêng 20

Hình 2.1 Full mesh với 6 kết nối ảo 23
Hình 2.2 Một ví dụ về mạng IP dựa trên mạng lõi ATM 24
Hình 2.3 Nhãn kiểu khung 26
Hình 2.4 Nhãn kiểu tế bào 27
Hình 2.5 Cấu trúc cơ bản của một nút MPLS 30
Hình 2.6 Các FEC riêng biệt cho mỗi tiền tố địa chỉ 32
Hình 2.7 Tổng hợp các FEC 32
Hình 2.8 Sự tạo nhãn MPLS và chuyển tiếp 33
Hình 2.9 Các ứng dụng khác nhau của MPLS 34
Hình 2.10 Mô hình mạng MPLS 37
Hình 3.1 Hạ tầng mạng BTC 42
Hình 3.2 Mô hình Overlay layer – 2 – VPN tại mạng trục 44
Hình 3.3 Mô hình Peer – to – Peer VPN tại TTM, TTT 45
Hình 3.4 Mô hình kết nối Internet BTC 47
Hình 3.5 Kết nối mạng diện rộng hệ thống Thuế 49
Hình 3.6 Dòng dữ liệu ngành Thuế 50
Hình 3.7 Kiến trúc hệ thống truyền thông BTC 51
Hình 3.8 Sơ đồ kết nối mạng trục BTC 52

Hình 3.9 Các kết nối WAN giữa hai trung tâm miền 53
Hình 3.10 Sơ đồ hệ thống mạng phân bố từ TTM xuống các TTT 54
Hình 3.11 Cấu trúc mạng trục với WAN truyền thống và MPLS VPN 55
Hình 3.12 Mô hình kết nối sử dụng dịch vụ MPLS IP VPN 55
Hình 3.13 Khả năng định tuyến gói tin trong MPLS IP VPN 56
Hình 3.14 Mô hình các vùng MPLS IP VPN sẽ thuê của nhà cung cấp dịch vụ 56
Hình 3.15 Mô hình kết nối sử dụng IP Sec VPN thông qua Internet 57

6
Hình 3.16 Lớp mạng trục BTC 58
Hình 3.17 Kết nối từ TTT lên TTM 59
Hình 3.18 Lớp mạng phân phối Bộ tài chính 60
Hình 3.19 Các phân lớp mạng 61
Hình 3.20 Virtual Interface với GRE Encapsulation thông qua mạng MPLS VPN
công cộng 62
Hình 3.21 Các kết nối GRE trên hệ thống 63
Hình 3.22 Mạng trung ương các ngành truy cập vào mạng WAN BTC 64
Hình 3.23 Lớp truy cập của các đơn vị vào mạng WAN bộ tài chính 65
Hình 3.24 Sử dụng 02 Router kết nối cho các đơn vị có yêu cầu tính dự phòng rất cao
65
Hình 3.25 Truy cập IPSec VPN tới MPLS VPN bộ tài chính thông qua Internet 66
Hình 3.26 Mô hình khai báo Thuế On-line 68
Hình 3.27 Kiến trúc bảo mật đề xuất 69
Hình 3.28 Mã hoá đường truyền Leased – lines giữa TTT - TTM 70
Hình 3.29 Mô hình phân tách các lớp mạng, đảm bảo an ninh cho các đơn vị 71
Hình 3.30 An ninh vòng ngoài 73
Hình 3.31 Bảo vệ các hệ thống ứng dụng 74
Hình 3.32 Mô hình thử nghiệm 75

7

MỞ ĐẦU
Thế kỷ 20 được coi là thế kỷ của những phát minh quan trọng thúc đẩy xã hội phát
triển. Đi đầu trong cuộc cách mạng này không thể không kể tới những tiến bộ vượt bậc
áp dụng trong Thuế, Ngân hàng - một trong những thành phần kinh tế then chốt đáp
ứng các nhu cầu tài chính huyết mạch của nền kinh tế.
Ngày nay, khi mà càng có nhiều công ty kết nối mạng doanh nghiệp của mình với
Intemet, hay một công ty có nhiều trụ sở ở các vị trí địa lý khác nhau cần liên lạc
thông tin nội bộ ngành với nhau khi đó việc bảo mật thông tin ngành là điều bắt buộc
vì vậy phải đối mặt với một vấn đề không tránh khỏi đó là bảo mật thông tin. Viêc chia
sẻ thông tin trên một mạng công cộng cũng có nghĩa là những người muốn tìm kiếm,
khôi phục thông tin đều có thể lên mạng. Điều gì sẽ xảy ra nếu một người tiếp cận
thông tin lại có ý định phá mạng. Nhưng hacker có ý đồ xấu như nghe lén thông tin,
tiếp cận thông tin không chính đáng, trái phép, lừa bịp, sao chép thông tin đang là
mối đe doạ lớn cho việc bảo mât trên mạng.
Vậy làm thế nào để chúng ta có thể bảo mật thông tin trong quá trình truyền tin
trên một mạng chung? Có rất nhiều phương án để đảm bảo truyền tin trên mạng một
cách an toàn một trong những phương án hữu hiệu nhất hiện nay là triển khai một
mạng riêng ảo (Virtual private network - VPN). VPN là những hệ thống mạng được
triển khai dựa trên quy tắc: vẫn áp dụng tiêu chuẩn bảo mật, quản lý chất lượng dịch
vụ trong hệ thống mạng công cộng vào hệ thống mạng cá nhân. VPN cung cấp cho
chúng ta một sự lựa chọn mới: Xây dựng một mạng cá nhân cho các thông tin liên lạc
klểu site- to- site trên một mạng công cộng hay Intemet. Bởi vì nó hoat động trên một
mạng chung thay vì một mạng cá nhân nên các công ty có thể mở rộng WAN của
mình môt cách hiệu quả, những khách hàng di động hay những văn phòng ở nơi xa
xôi, khách hàng hay nhà cung cấp hay những đối tác kinh doanh. VPN mở rộng WAN
truyền thống bằng cách thay thế những kết nối điểm tới điểm vật lý bằng những kết
nổi điểm tới điểm logic chia sẻ một hạ tầng chung, cho phép tất cả lưu lượng tổng hợp,
hội tụ vào một kết nối vât lý duy nhất. Kết quả là tạo nên băng thông tiềm năng và có
thể tiết kiệm chí phí tại đầu ra. Bởi vì khách hàng không còn phải duy trì một mạng cá
nhân và bản thân VPN cũng rẻ hơn và tiết kiệm chi phí đáng kể so với WAN, do đó

toàn bộ chi phí hoạt động vận hành có thể giảm. VPN chính là sự thay thế cho hạ tầng
WAN, nó thay thế và thậm chí còn tăng cường các hệ thống mạng thương mại cá nhân
sử dụng kênh thuê riêng, frame- relay hay ATM.
Luận văn “Mạng riêng ảo và giải pháp hệ thống trong Tổng Cục Thuế” đi vào
nghiên cứu về mạng riêng ảo, phân tích các loại mạng riêng ảo hiện nay và cho thấy

8
những mặt tích cực và hạn chế của từng loại, bên cạnh đó nghiên cứu một công nghệ
mới MPLS – công nghệ chuyển mạch nhãn đa giao thức – , Các ứng dụng của công
nghệ MPLS đi sâu vào nghiên cứu một trong ứng dụng quan trọng của công nghệ
MPLS chính là mạng riêng ảo. Trên cơ sở phân tích mang tính lý thuyết trên thì luận
văn cũng đưa ra giải pháp để ứng dụng công nghệ mới này vào hệ thống mạng thực tế
hiện nay ở Tổng cục thuế.
Về bố cục, nội dung luận văn được chia ra làm 3 chương:
Chương 1: Nghiên cứu tổng quan về mạng riêng ảo, các loại mạng riêng ảo hiện
nay.
Chương 2: Nghiên cứu về mạng riêng ảo trên nền công nghệ MPLS
Chương 3: Nghiên cứu về hệ thống mạng truyền thông hiện nay của Tổng cục thuế
trên cơ sở phân tích, khảo sát hiện trạng hệ thống mạng của Bộ tài chính và đưa ra các
giải pháp và mô hình thiết kế mới mang tính ứng dụng khả thi về kỹ thuật công nghệ
và kinh tế.
Chương 4: Kết luận và hướng phát triển
Ngoài ra, luận văn còn có thêm các danh mục các thuật ngữ, các từ viết tắt, danh
mục bảng biểu, hình vẽ và danh mục các tài liệu tham khảo để thuận tiện cho việc tìm
hiểu và tra cứu nội dung của luận văn.



9
CHƢƠNG 1 TỔNG QUAN VỀ MẠNG RIÊNG ẢO

Trong chương này, báo cáo luận văn sẽ giới thiệu tổng quan về mạng riêng ảo,
khái niệm VPN, khái niệm đường hầm, phân loại VPN. Đi sâu vào hai loại VPN chính
đó là: mô hình Overlay VPN và site to site VPN. Trên cơ sở phân tích nội dung của
từng loại cho ta thấy rõ được những ưu, nhược còn tồn tại trong mỗi mô hình.
1.1 Tổng quan
VPN là một thuật ngữ quen thuộc hiện nay, nó là một sự lựa chọn gần như tối
ưu đối với một công ty có từ 2 chi nhánh trở lên có nhu cầu kết nối mạng với nhau,
hoặc có nhu cầu thiết lập một mối quan hệ thân thiết với khách hàng, đối tác, hoặc đặc
thù công việc là có nhiều nhân viên làm việc từ xa. Ai cũng biết VPN không còn là
một thuật ngữ mới, tuy nhiên không phải ai cũng biết VPN đã được đề cập và xây
dựng từ cuối thập kỷ 80 của thế kỷ trước, và nó cũng trải qua nhiều giai đoạn phát
triển.
Thế hệ VPN thứ nhất do AT&T phát triển có tên là SDNs (Software Defined
Networks)
Thế hệ thứ 2 là ISDN và X25
Thế hệ thứ 3 là FR và ATM
Và thế hệ hiện nay, thế hệ thứ 4 là VPN trên nền mạng IP
Thế hệ tiếp theo sẽ là VPN trên nền mạng MPLS.
1.2 Khái niệm VPN
VPN là công nghệ cung cấp một phương thức giao tiếp an toàn giữa các mạng
riêng dựa vào kỹ thuật đường hầm để tạo ra một mạng riêng trên cơ sở hạ tầng mạng
dùng chung (mạng Internet). Về bản chất đây là quá trình đặt toàn bộ gói tin vào trong
một lớp tiêu đề chứa thông tin định tuyến có thể truyền an toàn qua mạng công cộng.
VPN là một mạng riêng sử dụng để kết nối các mạng riêng lẻ hay nhiều người
sử dụng ở xa thông qua các kết nối ảo dẫn qua đường Internet thay cho một kết nối
thực, chuyên dụng như đường leased line.
VPN bao gồm hai phần: mạng của nhà cung cấp dịch vụ và mạng của khách
hàng trong đó mạng của nhà cung cấp dịch vụ chạy dọc cơ sở hạ tầng mạng công
cộng, bao gồm các bộ định tuyến cung cấp dịch vụ cho mạng của khách hàng.


10
1.3 Khái niệm đường hầm
Đường hầm là một cách thức mà ở đó dữ liệu có thể truyền đi giữa hai mạng
một cách an toàn. Toàn bộ dữ liệu truyền đi được phân mảnh thành các gói nhỏ hơn
hoặc thành các khung sau đó được đẩy vào trong đường hầm. Cách thức này khác với
cách vận chuyển dữ liệu thông thường giữa các điểm. Ở đây các gói dữ liệu di chuyển
trong đường hầm sẽ được đóng gói và mã hoá với thông tin định tuyến tới một địa chỉ
xác định. Sau khi tới được địa chỉ mong muốn thì dữ liệu được khôi phục nhờ việc giải
mã.
Một đường hầm là một con đường logic được thiết lập giữa điểm nguồn và
điểm đích của hai mạng. Các gói dữ liệu được đóng gói tại nguồn và mở gói tại điểm
đích. Đường hầm logic giữa hai mạng này được duy trì trong suốt tiến trình gửi dữ
liệu. Đường hầm dùng để vận chuyển dữ liệu cho mục đích riêng tư, thông thường là
hệ thống mạng của một tập đoàn thông qua hệ thống mạng công cộng. Với cách hiểu
đó các nút định tuyến trong hệ thống mạng công cộng không biết rằng luồng vận
chuyển đó là của hệ thống mạng riêng hay chung.
Có nhiều loại đường hầm được thực thi trên các tầng khác nhau của mô hình
OSI. Ví dụ hai loại đường hầm PPTP và L2TP thực thi trên tầng 2. Hai loại đường
hầm này sẽ không kích hoạt tại các phiên làm việc nội mạng, trong trường hợp có sự
kết nối hai mạng thì loại đường hầm sẽ được xác định hoặc PPTP hoặc L2TP sau khi
lựa chọn được loại đường hầm thì các tham số như mã hóa, cách đăng ký địa chỉ, nén
…vv. Được cấu hình để đạt được sự an toàn ở mức cao nhất khi đi qua mạng Internet
dựa trên sự kết nối đường hầm logic địa phương. Kết nối được tạo ra duy trì và kết
thúc sử dụng giao thức quản lý đường hầm.
1.4 Phân loại VPN
Mạng riêng ảo có thể là hệ thống mạng ảo giữa hai đầu cuối hệ thống hay giữa
hai hay nhiều mạng riêng. Do đó ta có thể chia mạng mạng riêng ảo thành hai loại
chính đó là:
Customer – based VPN ( hay còn gọi là Overlay VPN): là mạng riêng ảo được
cấu hình trên các thiết bị của khách hàng sử dụng các giao thức đường hầm xuyên qua

mạng công cộng. Nhà cung cấp dịch vụ sẽ cung cấp các kênh ảo, kết nối ảo giữa các
mạng của khách hàng.
Network – based VPN ( hay còn gọi là site to site VPN): là mạng riêng ảo
được cấu hình trên các thiết bị của nhà cung cấp dịch vụ và được quản lý bởi nhà cung

11
cấp dịch vụ. Ở đây nhà cung cấp trao đổi thông tin định tuyến với khách hàng và sắp
đặt dữ liệu của khách hàng vào các đường đi tối ưu nhất.
1.4.1 Overlay VPN
Mô hình Overlay VPN được triển khai dưới nhiều công nghệ khác nhau. Ban
đầu VPN được xây dựng bằng cách sử dụng các đường kết nối leased line để cung cấp
kết nối giữa các khách hàng ở nhiều vị trí khác nhau. Khách hàng mua các dịch vụ
đường kết nối của nhà cung cấp. Đường kết nối này được thiết lập giữa các mạng của
khách hàng và đường này là đường riêng cho khách hàng.
Cho đến những năm 1990, Frame Relay được giới thiệu. Frame Relay được xem
như là một công nghệ VPN vì nó đáp ứng kết nối cho khách hàng như dịch vụ leased
line, chỉ khác ở chỗ là khách hàng không được cung cấp các đường dành riêng cho mỗi
khách hàng mà các khách hàng sử dụng một đường chung nhưng được chỉ định các
kênh ảo, các kênh ảo này sẽ đảm bảo lưu lượng cho mỗi khách hàng riêng biệt. Khi
cung cấp kênh ảo cho khách hàng nghĩa là nhà cung cấp dịch vụ đã xây dựng một
đường hầm riêng cho lưu lượng khách hàng chảy qua mạng dùng chung của nhà cung
cấp dịch vụ. Sau này công nghệ ATM ra đời về cơ bản ATM cũng giống như Frame
Relay nhưng đáp ứng được tốc độ chuyền dẫn cao hơn. Khách hàng thiết lập việc liên
lạc giữa các thiết bị đầu phía khách hàng với nhau thông qua kênh ảo. Giao thức định
tuyến chạy trực tiếp giữa các bộ định tuyến khách hàng thiết lập các mối quan hệ cận
kề và trao đổi thông tin định tuyến với nhau. Nhà cung cấp dịch vụ không hề biết đến
thông tin định tuyến của khách hàng và nhiệm vụ của nhà cung cấp trong mô hình này
chỉ là đảm bảo vận chuyển dữ liệu từ điểm tới điểm giữa các mạng của khách hàng
mà thôi.
Mô hình Overlay VPN được triển khai theo các rãnh riêng thông qua cơ sở hạ tầng

của nhà cung cấp dịch vụ. Hệ thống này có thể được thi hành tại lớp 1 sử dụng đường
leased line/dialup line, tại lớp 2 sử dụng X25/Frame Relay/ ATM kênh ảo hoặc tại lớp
3 sử dụng đường hầm IP (GRE)
Với mô hình VPN triển khai ở lớp 1, mô hình này kế thừa giải pháp ghép kênh
theo thời gian truyền thống - thời gian sử dụng đường truyền được chia ra làm nhiều
khung, mỗi khung được chia thành nhiều khe thời gian và mỗi người sử dụng một khe
cho mình để phục vụ việc truyền tin. Ở đây nhà cung cấp ấn định nhiều dòng bit và
thiết lập các kết nối vật lý giữa các site khách hàng thông qua ISDN, DSO, T1, E1,
SONET hoặc SDH và khách hàng chịu trách nhiệm thi hành ở tất cả các lớp cao hơn ví
như PPP, HDLC, IP

12





Với mô hình Overlay VPN thực hiện ở lớp 2, mô hình này kế thừa giải pháp
chuyển mạch trong mạng WAN. Ở đây nhà cung cấp dịch vụ chịu trách nhiệm thiết
lập các kênh ảo ở lớp 2 giữa các sites khách hàng thông qua X.25, Frame Relay hoặc
ATM và khách hàng có nhiệm vụ ở lớp IP và các lớp cao hơn.

Hình 1.2 Over lay VPN triển khai ở lớp 2

Với mô hình Overlay triển khai ở lớp 3, mô hình này được thực hiện các kết nối
điểm tới điểm thông qua đường hầm IP. Thông qua đường hầm IP thì việc lưu thông là
trong suốt đối với đích và nguồn song vấn đề là ta phải biết rõ ràng topo mạng. Chính
vì vậy hệ thống mạng ảo có thể được tạo ra bởi sự phối hợp các các thiết bị không kết
nối hoặc máy chủ với nhau thông qua một đường hầm. Việc triển khai đường hầm đảm
bảo được tính riêng tư của hệ thống địa chỉ mạng dọc theo mạng xương sống của nhà

cung cấp dịch vụ mà không cần chuyển đổi địa chỉ mạng. Đường hầm được thiết lập
với hai công nghệ phổ biến là GRE - generic routing encapsulation - và IPSec – IP
secrity. Triển khai theo GRE đơn giản và nhanh hơn song độ an toàn kém trái lại triển
khai theo IPSec phức tạp và tốn tài nguyên hơn nhưng tính an toàn lại cao.
Hình 1.1 Mô hình Overlay VPN triển khai ở lớp 1

13

Hình 1.3 Mô hình Overlay VPN triển khai ở lớp 3
Đường hầm GRE cung cấp một ống cố định dọc theo hệ thống chia sẻ mạng
diện rộng ở đây các gói tin được bọc bởi một tiêu đề đầu sau đó được truyền đi tới
những đích cố định. Vì vậy hệ thống mạng đảm bảo tính riêng tư nhờ đưa lộ trình vào
trong đường hầm tới một điểm đến. Hệ thống đường hầm GRE không có khả năng
đảm bảo tính an toàn, để hệ thống được tốt hơn thì có thể kết hợp GRE và IPSec. Khi
ta triển khai VPN trên lớp 3 thông qua hệ thống mạng công cộng thì hệ thống đường
hầm được thiết lập. IPSec cung cấp dịch vụ đảm bảo tính an toàn thông tin cao nó đảm
bảo thông tin qua mạng là an toàn.
IPSec là một chuẩn trong Internet, nó quy định các chuẩn quy ước giữa người
dùng và các thiết bị. Nó được triển khai một cách “trong suốt” trong hệ thống cơ sở hạ
tầng của mạng. Người sử dụng đầu cuối không cần quan tâm xem gói tin bị chặn hay
chuyển đi như thế nào trên mạng bởi IPSec
Overlay VPN được triển khai dưới dạng đường hầm. Việc triển khai thành công
các công nghệ gắn với địa chỉ IP nên một vài nhà cung cấp dịch vụ bắt đầu triển khai
VPN qua IP. Thực vậy, nếu khách hàng nào xây dựng mạng của riêng họ qua Internet
thì có thể dùng giải pháp này vì chi phí thấp. Bên cạnh lý do kinh tế thì mô hình đường
hầm còn đáp ứng cho khách hàng việc bảo mật dữ liệu.

14

Hình 1.4 Mô hình triển khai dƣới dạng đƣờng hầm

Trong mô hình Overlay VPN, nhà cung cấp dịch vụ chỉ có nhiệm vụ cung cấp các
đường kết nối điểm tới điểm hoặc các kênh ảo. Nhà cung cấp không tham gia vào quá
trình định tuyến mà đơn thuần cung cấp việc vận chuyển dữ liệu giữa các mạng của
khách hàng và giao thức định tuyến nằm ở bộ định tuyến của khách hàng.

Hình 1.5 Mô hình Overlay VPN
Hình trên minh hoạ một mô hình Overlay VPN. Với 3 site khách hàng là HÀNỘI,
TPHCM và Đà Nẵng. Ở đây Hà nội kết nối với TPHCM qua một kết nối vật lý do nhà
cung cấp cấp, tương tự cũng có một kết nốii Hà nội với Đà nẵng. Trong mô hình này
định tuyến lớp 3 được thiết lập trực tiếp tại các thiết bị định tuyến biên của phía khách
hàng là Hà nội, TPHCM và Đà nẵng và bản thân nhà cung cấp không tham gia vào quá
trình định tuyến.

15
Do nhà cung cấp không tham gia vào quá trình định tuyến của khách hàng và họ
chỉ cung cấp các dịch vụ vận chuyển dữ liệu qua các kết nối điểm tới điểm ảo ( các kết
nối này có thể là cố định hoặc là các kết nối chuyển đổi) Như vậy nhà cung cấp chỉ
cung cấp cho khách hàng các kết nối ảo ở lớp 2. Nên ta thấy mô hình này có xuất hiện
vài ưu điểm :
Nhà cung cấp dịch vụ không tham gia vào phía định tuyến của khách hàng.
Mạng của nhà cung cấp dịch vụ và mạng của khách hàng hoàn toàn tách biệt.
Có thể tái tạo và sử dụng lại địa chỉ IP
Bên cạnh những ưu điểm trên mô hình Overlay VPN còn một số nhược điểm:
Nhược điểm chính của mô hình này là các mạch ảo kết nối các site khách hàng đều
ở dạng full mesh nghĩa là nếu có N site khách hàng thì tổng mạch ảo tối ưu cho việc
định tuyến là N*(N-1)/2.
Hai phía khách hàng đếu phải thực hiện các giao thức bảo mật và mã hoá dữ liệu
như IP Sec, SSL, GRE do đó gây ra độ trễ lớn và việc triển khai các ứng dụng thời
gian thực là không khả thi.
Khi muốn mở rộng mạng ( bổ sung site mới) thì nhà cung cấp dịch vụ phải cấu

hình thêm một VC mới việc này tốn công sức và băng thông của nhà cung cấp.
Mặt khác ta thấy các cam kết về chất lượng dịch vụ trong mô hình Overlay VPN
thường là cam kết về băng thông trên một kênh ảo, băng thông có thể sử dụng được tối
đa trên một kênh ảo. Việc cam kết này được thực hiện thông qua các thống kê tự nhiên
của dịch vụ lớp 2 nhưng lại phụ thuộc vào chiến lược của nhà cung cấp. Điều này có
nghĩa là tốc độ cam kết không thực sự được bảo đảm mặc dù nhà cung cấp có thể đảm
bảo tốc độ nhỏ nhất. Cam kết về băng thông cũng chỉ là cam kết về hai điểm trong
mạng khách hàng. Nếu không có ma trận lưu lượng thì thật khó có thể thực hiện cam
kết này cho khách hàng trong mô hình Overlay VPN và thật khó có thể cung cấp nhiều
lớp dịch vụ vì nhà cung cấp dịch vụ không thể phân biệt được lưu lượng ở giữa mạng.
Để làm được việc này đòi hỏi phải tạo ra nhiều kết nối như trong mạng Frame relay
hay ATM là có các kênh ảo cố định giữa các site khách hàng tuy nhiên nhiều kết nối
chỉ làm tăng thêm chi phí của mạng
1.4.2 Site to site VPN ( Mô hình VPN ngang cấp)
Mô hình VPN ngang cấp ra đời nhằm giải quyết các hạn chế của mô hình Overlay
VPN. Mô hình này cho phép nhà cung cấp dịch vụ cung cấp cho khách hàng việc vận
chuyển dữ liệu một cách tối ưu qua hệ thống mạng xương sống và với mô hình này

16
nhà cung cấp dịch vụ và khách hàng sử dụng chung một loại giao thức mạng và toàn
bộ việc định tuyến của khách hàng được thực hiện trong lõi mạng của nhà cung cấp.
Bộ định tuyến nhà cung cấp dịch vụ trao đổi thông tin định tuyến với bộ định tuyến
của khách hàng, tại mỗi mạng liền kề. Định tuyến lớp 3 được thiết lập giữa bộ định
tuyến biên của khách hàng với bộ định tuyến biên của nhà cung cấp.
Bởi việc định tuyến giữa các nút đã được triển khai nên việc định tuyến giữa các
mạng giờ đây là tối ưu. Đa kết nối được thiết lập từ điểm tới điểm hay việc kết nối
thông qua hệ thống xương sống của mạng nhà cung cấp đã giúp cho việc định tuyến
đạt được ở mức tối ưu.
Trong mô hình này việc bổ xung các mạng con dễ dàng hơn khi đó khả năng của
các vi mạch không còn là vấn đề phải quan tâm. Địa chỉ IP của phía khách hàng do

nhà cung cấp kiểm soát. Nhà cung cấp dịch vụ chia sẻ việc định tuyến với khách hàng,
nhà cung cấp dịch vụ ấn định hoặc đưa ra một khoảng địa chỉ cần thiết để triển khai hệ
thống mạng của khách hàng vì vậy địa chỉ riêng không còn là sự lựa chọn nữa.



Hình 1.6 Mô hình site to site VPN
Hình trên mô phỏng cách triển khai của mô hình site to site VPN. Trong mô hình
này thông tin định tuyến được trao đổi giữa bộ định tuyến biên của khách hàng và nhà
cung cấp dịch vụ cụ thể ở đây là giữa Hà nội CE và Hà nội PE. Sau đó bộ định tuyến
của nhà cung cấp trao đổi với bộ định tuyến của khách hàng khác thông qua hệ thống
mạng lõi ở đây bộ định tuyến Hà nội PE sẽ quảng bá qua hệ thống lõi tới TPHCM PE
và Đà nẵng PE. Mặt khác các thông tin định tuyến lớp 3 được trao đổi trực tiếp giữa
bộ định tuyến của khách hàng với bộ định tuyến của nhà cung cấp.

17
Như vậy ta thấy mô hình này không yêu cầu tạo ra các mạch ảo mà bộ định tuyến
CE trao đổi trực tiếp thông tin về tuyến với các bộ định tuyến PE của nhà cung cấp
dịch vụ và thông tin định tuyến của khách hàng được quảng bá trong mạng lõi của nhà
cung cấp do đó sẽ xác định được đường đi tối ưu giữa một site khách hàng này tới một
site khách hàng khác.
Nhà cung cấp dịch vụ triển khai hai ứng dụng khác sử dụng mạng riêng ảo
ngang cấp:
Phương pháp chia sẻ router: Bộ định tuyến dùng chung, nghĩa là khách hàng
chia sẻ cùng bộ định tuyến biên mạng của nhà cung cấp. Ở phương pháp này nhiều
khách hàng có thể kết nối trên cùng một bộ định tuyến của nhà cung cấp

Hình 1.7 Mô hình VPN ngang cấp sử dụng router dùng chung

Trên bộ định tuyến biên mạng của nhà cung cấp phải cấu hình một danh sách truy

cập cho giao diện của mỗi nhà cung cấp - để đảm bảo chắc chắn sự cách ly giữa các
khách hàng VPN, để ngăn chăn mạng riêng ảo của khách hàng này thực hiện các tấn
công từ chối dịch vụ vào mạng riêng ảo của khách hàng khác. Nhà cung cấp dịch vụ
chia mỗi phần trong không gian địa chỉ của nó cho khách hàng và quản lý việc lọc gói
tin trên router của nhà cung cấp


18

Hình 1.8 Mô hình VPN ngang cấp với router dùng chung
Ở mô hình trên có 3 mô hình VPN riêng biệt VPN-101, VPN-201, VPN-301.
Những mô hình này được triển khai trên 4 site khách hàng khác nhau. VPN-101 được
triển khai cho Paris cũng như Lyon. VPN-201 được triển khai cho Brussels và VPN-
301 được triển khai cho Munic. Ta thấy Lodon PE chứa toàn bộ thông tin định tuyến
của cả 3 mô hình VPN. Việc cách ly giữa các mô hình VPN được thực hiện bởi một
danh sách truy cấp trên giao diện của PE và CE: Serial0/0, Serial0/1, Serial0/2,
Serial0/3.
Phương pháp router riêng: là phương pháp mà khách hàng VPN có router của
nhà cung cấp dịch vụ riêng. Trong phương pháp này, mỗi khách hàng VPN phải có
router của nhà cung cấp dành riêng và do đó chỉ truy cập đến các router trong bảng
định tuyến của router nhà cung cấp đó.


19


Hình 1.9 Mô hình VPN ngang cấp sử dụng router dành riêng
Mô hình router dành trước sử dụng giao thức định tuyến để tạo ra bảng định
tuyến trên một mạng riêng ảo trên router nhà cung cấp. Bảng định tuyến chỉ có các
router được quảng bá bởi khách hàng VPN kết nối đến chúng, kết quả là tạo ra sự cách

ly tuyệt vời giữa các mạng riêng ảo. Việc định tuyến router dành trước có thể thực
hiện:
Giao thức định tuyến chạy giữa PE và CE là bất kỳ
BGP là giao thức chạy giữa PE và CE
PE phân phối các router nhận được từ CE vào BGP, đánh dấu với ID của khách
hàng và truyền các router đến router P, router P sẽ có tất cả các router từ tất cả các
VPN của khách hàng.
Router P chỉ truyền các định tuyến với BGP community thích hợp đến router
PE. Do đó router PE chỉ nhận các tuyến từ router CE trong VPN của chúng. Sự chia
tách giữa các khách hàng đạt được thông qua việc thiếu thông tin định tuyến của nó
trong bộ định tuyến biên của khách hàng. Bộ định tuyến của nhà cung cấp chứa toàn
bộ bộ định tuyến của khách hàng và lọc thông tin định tuyến giữa các bộ định tuyến
biên của mỗi khách hàng trong mạng nhà cung cấp sử dụng BGP. Bởi mỗi khách hàng
có một bộ định tuyến biên riêng của nhà cung cấp nên mô hình này khá đắt để triển
khai do đó nó không phải là giải pháp hiệu quả về giá cả

20

Hình 1.10 Mô hình router dành riêng
Trong mô hình này có 2 mạng riêng biệt: VPN-101, VPN-201 và triển khai qua 4
site khách hàng khác nhau. VPN-101 được triển khai cho hai nơi Paris và Brussels và
VPN-201 được triển khai cho một nơi là London. Bộ định tuyến của nhà cung cấp dịch
vụ trong mạng của nhà cung cấp chứa toàn bộ bộ định tuyến của hai mạng riêng ảo
VPn-101 và VPN-201 và nó lọc các thông tin định tuyến cập nhật của các Paris PE,
London PE, và Brussels PE sử dụng BGP Communities.
Từ hai phương pháp trên ta thấy:
Phương pháp dùng chung router rất khó duy trì vì nó yêu cầu cần phải có danh
sách truy cập dài và phức tạp trên giao diện của router. Còn phương pháp dùng router
riêng, mặc dù có vẻ đơn giản về cấu hình và dễ duy trì hơn nhưng nhà cung cấp dịch
vụ phải bỏ ra chi phí lớn để đảm bảo được phục vụ tốt cho khách hàng.

Tất cả khách hàng dùng chung không gian địa chỉ IP, nên họ phải sử dụng hoặc
là địa chỉ IP thật trong mạng riêng của họ hoặc là phụ thuộc vào nhà cung cấp dịch vụ
để có được địa chỉ IP. Trong cả hai trường hợp, kết nối một khách hàng mới đến dịch
vụ VPN ngang cấp đòi hỏi phải đăng ký lại địa chỉ IP trong mạng khách hàng. Khách
hàng không thể thêm router mặc định vào mạng riêng ảo. Giới hạn này đã ngăn chặn
việc định tuyến tối ưu và cấm khách hàng truy cập Internet từ nhà cung cấp dịch vụ
khác.

21
Việc định tuyến đơn giản hơn nhìn từ phía khách hàng khi router khách hàng
chỉ trao đổi thông tin định tuyến với một hoặc một vài router PE. Trong khi ở mô hình
Overlay VPN, số lượng router láng giềng có thể phát triển với số lượng lớn.
Định tuyến giữa các site khách hàng luôn luôn là tối ưu vì nhà cung cấp dịch vụ
biết topo mạng khách hàng và do đó có thể thiết lập định tuyến tối ưu cho các router
của họ.
Việc cung cấp băng thông đơn giản hơn bởi vì khách hàng chỉ phải quan tâm
đến băng thông đầu vào và ra ở mỗi site mà không cần phải chính xác toàn bộ lưu
lượng từ site này đến site như mô hình Overlay. Hơn nữa mô hình này có khả năng mở
rộng vì nhà cung cấp dịch vụ chỉ cần thêm vào một site và thay đổi cấu hình trên
router PE. Trong mô hình Overlay, nhà cung cấp dịch vụ phải tham gia vào toàn bộ tập
hợp các kênh ảo từ site này đến site khác của VPN khách hàng.
Tuy nhiên khi triển khai mô hình site to site có một số hạn chế:
Nhà cung cấp dịch vụ phải đáp ứng được định tuyến khách hàng cho đúng và
đảm bảo việc hội tụ của mạng khách hàng khi có lỗi liên kết.
Router P của nhà cung cấp dịch vụ phải mang tất cả các tuyến của khách hàng.
Nhà cung cấp dịch vụ phải biết rõ chi tiết về định tuyến IP, mà điều này thực sự
không cần thiết đối với nhà cung cấp từ xưa đến nay.
1.5 Kết luận
Ngày nay, hệ thống mạng phát triển mạnh, nhu cầu chia sẻ tài nguyên trên mạng là
một vấn đề tất yếu. Một yêu cầu cấp bách đặt ra hiện nay đó là việc an toàn dữ liệu khi

đi trên hệ thống mạng. Có rất nhiều giải pháp, VPN là một trong những giải pháp hiệu
quả, và được ứng dụng rộng rãi. Dịch vụ VPN cho phép kết nối mạng riêng với chỉ 1
đường kênh vật lý duy nhất, chi phí rẻ so với công nghệ truyền thống, tận dụng khả
năng xử lý của các thiết bị trong lõi mạng của nhà cung cấp. Bên cạnh đó còn có tính
năng bảo mật an toàn, khả năng mỏ rộng mạng dễ dàng đặc biệt rất hiệu quả trong việc
công ty muốn mở rộng thêm chi nhánh khi đó khách hàng chỉ cần đăng ký thêm điểm
kết nối mà không cần đầu tư gì trên mạng. Nhờ những tính năng ưu việt nên VPN là
một mô hình đang được ứng dụng rộng rãi tại Việt Nam.
Việc nghiên cứu và phân tích các loại VPN hiện nay cho ta thấy được ưu cũng như
nhược điểm của từng mô hình để từ đó ứng dụng vào thực tế cho phép ta có những lựa
chọn đúng đắn phù hợp với từng nhu cầu của ứng dụng.

22
CHƢƠNG 2 MẠNG RIÊNG ẢO TRÊN NỀN CÔNG NGHỆ MPLS

Trong chương này báo cáo luận văn sẽ trình bày về công nghệ MPLS- là một
công nghệ đang được ứng dụng rộng rãi hiện nay, khái niệm MPLS, đặc điểm của
công nghệ MPLS, phương thức hoạt động MPLS và đi sâu vào ứng dụng MPLS VPN.
2.1 Vấn đề đặt ra?
Mạng internet ra đời mở màn cho kỷ nguyên tiến bộ vượt bậc của nhân loại, nó
không ngừng phát triển về phạm vi cũng như chất lượng. Khi mạng Internet phát triển
và mở rộng, lưu lượng Internet bùng nổ. Các nhà cung cấp dịch vụ xử lý bằng cách
tăng dung lượng các kết nối và nâng cấp các router nhưng vẫn không tránh khỏi nghẽn
mạch. Lý do là các giao thức định tuyến thường hướng lưu lượng vào một số các kết
nối nhất định dẫn đến kết nối này bị quá tải trong khi một số tài nguyên khác không
được sử dụng. Đây chính là tình trạng phân bổ không đều và sử dụng lãng phí tài
nguyên mạng Internet.
Vào những thập niên 90, các nhà cung cấp dịch vụ phát triển mạng của họ theo
mô hình chồng lớp bằng cách đưa ra giao thức IP over ATM. ATM là một công nghệ
hướng kết nối thiết lập các kênh ảo, tuyến ảo tạo thành một mạng logic nằm trên mạng

vật lý, giúp định tuyến, phân bổ tải đồng đều trên toàn mạng. Tuy nhiên IP và ATM là
hai công nghệ hoàn toàn khác nhau, được thiết kế cho những môi trường mạng khác
nhau, khác nhau về giao thức, cách đánh địa chỉ, định tuyến, báo hiệu, phân bổ tài
nguyên… và khi các nhà cung cấp dịch vụ phát triển mạng theo hướng IP over ATM
họ càng nhận rõ nhược điểm của mô hình này:
- Tính khả chuyển
Một vấn đề mà nhà cung cấp dịch vụ gặp phải là tính khả chuyển. Tức là để đảm
bảo việc dự phòng và tối ưu trong quá trình định tuyến thì mô hình full mesh của các
mạch ảo (VCs) phải được tạo ra mà kết quả có quá nhiều kết nối.

23

Hình 2.1 Full mesh với 6 kết nối ảo
Và càng nhiều các địa điểm thêm vào mạng lõi thì càng cần phải có nhiều kết
nối ảo (VCs) được tạo ra. Điều đó cũng có nghĩa là các router sẽ phải trao đổi cập
nhật bảng thông tin định tuyến với nhiều router liền kề gây ra một sự lưu thông lớn
trên mạng. Sự quá tải này cũng sẽ làm ảnh hưởng tới hiệu suất của router là làm giảm
tốc độ xử lý của chúng.
- Điều khiển lưu lượng
Điều khiển lưu lượng là quá trình xử lý mà lưu lượng được vận chuyển một cách
tối ưu theo yêu cầu. Mặc dù cả hai công nghệ IP và ATM đều có nhưng rõ ràng IP
không thể sánh được với ATM về đặc tính này. ATM và IP là hai công nghệ hoàn toàn
tách biệt nhau cho nên thật khó để kết hợp triển khai điều khiển lưu lượng đầu cuối
- Chất lượng của dịch vụ (QoS)
Cả IP và ATM đều có khả năng đảm bảo chất lượng dịch vụ. Một sự khác nhau
giữa chúng chính là IP là giao thức không kết nối (connectionless) còn ATM là giao
thức có kết nối (connection-oriented).
Vì vậy vấn đề đặt ra ở đây chính là các nhà cung cấp dịch vụ phải làm thế nào để
kết hợp được 2 cách triển khai chất lượng dịch vụ thành một giải pháp duy nhất
Chúng ta cũng có thể thấy rõ sự bất cập tồn tại ở chuyển tiếp gói tin ở lớp mạng

truyền thống (ví dụ chuyển tiếp gói tin IP qua mạng Internet). Sự chuyển tiếp gói tin
dựa trên các thông tin được cung cấp bởi các giao thức định tuyến (ví dụ RIP, OSPF,
EIGRP, BGP…), hoặc định tuyến tĩnh để đưa ra quyết định chuyển tiếp gói tin tới
bước tiếp theo trong mạng. Sự chuyển tiếp này chỉ duy nhất dựa trên địa chỉ đích. Tất
cả các gói tin có cùng một đích đến sẽ đi theo cùng một con đường. Thông thường là
con đường có giá nhỏ nhất điều đó dễ dàng dẫn đến hiện tượng mất cân bằng tải.

24

Hình 2.2 Một ví dụ về mạng IP dựa trên mạng lõi ATM
Để đảm bảo quá trình chuyển tiếp gói tin trong mạng là tối ưu, một mạch ảo ATM
phải tồn tại giữa bất kỳ hai router kết nối tới mạng lõi ATM. Điều đó có nghĩa là nếu
quy mô của mạng lớn, có đến vài chục hoặc thậm chí hàng trăm router kết nối với
nhau thì xảy ra một vấn đề khá trầm trọng
Ta có thể gặp các vấn đề sau:
Khi một router mới được nối vào mạng lõi WAN thì một mạch ảo phải được thiết
lập
Nếu một mạng chạy giao thức định tuyến thì mọi router sẽ thông báo sự thay đổi
trong mạng tới mọi router khác cùng kết nối tới WAN đường trục, kết quả là có quá
nhiều lưu lượng trong mạng.
Sử dụng các mạch ảo giữa các router là phức tạp bởi vì thật là khó để dự đoán
chính xác lưu lượng giữa bất kỳ hai router trong mạng.
Mặt khác sự bùng nổ của mạng Internet dẫn tới xu hướng hội tụ các mạng viễn
thông khác như mạng thoại, truyền hình dựa trên Internet, khi đó giao thức IP trở
thành giao thức chủ đạo trong lĩnh vực mạng. Xu hướng của nhà cung cấp dịch vụ là
thiết kế và sử dụng các router chuyên dụng với dung lượng truyền tải lớn hỗ trợ các
giải pháp tích hợp, chuyển mạch đa lớp cho mạng trục Internet. Nhu cầu cấp thiết
trong bối cảnh này là phải ra đời một công nghệ lai có khả năng kết hợp những đặc
điểm tốt của chuyển mạch kênh ATM và chuyển mạch gói IP.
Công nghệ MPLS ra đời trong bối cảnh đáp ứng nhu cầu của thị trường theo

đúng tiêu chí phát triển của Internet đã mang lại những lợi ích thiết thực, đánh dấu một