đại học quốc gia hà nội
đại học công nghệ

Tr-ơng Hoài Nam

Nghiên cứu công nghệ mạng riêng ảo vpn/mpls và
triển khai ứng dụng tại
ngân hàng nhà n-ớc việt nam

luận văn thạc sỹ

Hà Nội - 2006


đại học quốc gia hà nội
đại học công nghệ

Tr-ơng Hoài Nam

Nghiên cứu công nghệ mạng riêng ảo vpn/mpls và
triển khai ứng dụng tại
ngân hàng nhà n-ớc việt nam

Ngành
: Công nghệ Điện tử Viễn thông
Chuyên Ngành : Kỹ thuật vô tuyến điện tử và thông tin liên lạc
Mã Số
: 2. 07. 00

luận văn thạc sỹ
Ng-ời h-ớng dẫn khoa học: psg. Ts. Nguyễn viết kính

Hà Nội - 2006


MỤC LỤC
MỤC LỤC...................................................................................................................................... 3

Danh mục các ký hiệu, các chữ viết tắt .................................................................. 5
Danh mục các hình vẽ .............................................................................................. 8

MỞ ĐẦU ...................................................................................................................................... 10
CHƢƠNG 1 TỔNG QUAN VỀ CÔNG NGHỆ MẠNG RIÊNG ẢO VPNERROR! BOOKMARK NOT DEFINED

1.1 Giới thiệu về VPN ............................................ Error! Bookmark not defined.
1.2 Các loại mạng VPN ......................................... Error! Bookmark not defined.
1.2.1 VPN truy cập từ xa (Remote access VPN) Error! Bookmark not defined.
1.2.2 Intranet VPN .............................................. Error! Bookmark not defined.
1.2.3 Extranet VPN ............................................. Error! Bookmark not defined.
1.3 Các thành phần trong mạng VPN .................... Error! Bookmark not defined.
1.4 Các giao thức tạo đường hầm trong VPN ........ Error! Bookmark not defined.
1.4.1 Giao thức PPTP (Point-To-Point Tunning Protocol) Error! Bookmark not
defined.
1.4.2 Giao thức L2TP (Layer 2 Tunneling Protocol) ........ Error! Bookmark not
defined.
1.4.3 Giao thức IPSec (IP Security Protocol) ..... Error! Bookmark not defined.
1.4.4 SSL VPN (Secure Socket Layer VPN) ..... Error! Bookmark not defined.
CHƢƠNG 2 BẢO MẬT TRONG VPN ............................ ERROR! BOOKMARK NOT DEFINED.

2.1 Các dịch vụ bảo mật ......................................... Error! Bookmark not defined.
2.1.1 Xác thực ..................................................... Error! Bookmark not defined.

2.1.2 Chữ ký điện tử ........................................... Error! Bookmark not defined.
2.1.3 Kiểm soát truy cập ..................................... Error! Bookmark not defined.
2.1.4 Tính bí mật dữ liệu .................................... Error! Bookmark not defined.
2.1.5 Tính toàn vẹn dữ liệu ................................. Error! Bookmark not defined.
2.2 Bảo mật trong giao thức PPTP ......................... Error! Bookmark not defined.
2.3 Bảo mật trong giao thức L2TP ......................... Error! Bookmark not defined.
2.4 Bảo mật trong giao thức IPSec......................... Error! Bookmark not defined.
2.4.1 Bảo mật trong AH...................................... Error! Bookmark not defined.
2.4.1.1 Thuật toán băm MD5 ................... Error! Bookmark not defined.
2.4.1.2 Thuật toán SHA1 ......................... Error! Bookmark not defined.
2.4.1.3 Thuật toán HMAC ....................... Error! Bookmark not defined.
2.4.2 Bảo mật trong ESP .................................... Error! Bookmark not defined.


2.4.3 Quản lý và trao đổi khoá............................ Error! Bookmark not defined.

CHƢƠNG 3 CÔNG NGHỆ CHUYỂN MẠCH NHÃN ĐA GIAO THỨC MPLSERROR! BOOKMARK NOT D

3.1 Giới thiệu về công nghệ MPLS ........................ Error! Bookmark not defined.
3.2 Chuẩn hoá MPLS ............................................. Error! Bookmark not defined.
3.3 Các thành phần, khái niệm trong MPLS .......... Error! Bookmark not defined.
3.4 Các chế độ hoạt động của MPLS ..................... Error! Bookmark not defined.
3.4.1 Chế độ hoạt động khung ............................ Error! Bookmark not defined.
3.4.2 Chế độ hoạt động tế bào ............................ Error! Bookmark not defined.
3.5 Các giao thức sử dụng trong mạng MPLS ....... Error! Bookmark not defined.
3.5.1 Giao thức phân phối nhãn LDP ................. Error! Bookmark not defined.
3.5.1.1 Các tính chất cơ bản của LDP ..... Error! Bookmark not defined.
3.5.1.2 Phát hiện LSR lân cận ................. Error! Bookmark not defined.
3.5.1.3 Các bản tin LDP ......................... Error! Bookmark not defined.
3.5.2 Giao thức định tuyến cưỡng bức CR-LDP Error! Bookmark not defined.

3.5.2.1 Khái niệm định tuyến cưỡng bức Error! Bookmark not defined.
3.5.2.2 Các phần tử định tuyến cưỡng bứcError! Bookmark not defined.
3.5.3 Giao thức báo hiệu RSVP .......................... Error! Bookmark not defined.

CHƢƠNG 4 ỨNG DỤNG MẠNG RIÊNG ẢO VPN TRÊN MẠNG MPLSERROR! BOOKMARK NOT DEFINE

4.1 Mô hình chồng lấn ........................................... Error! Bookmark not defined.
4.2 Mô hình ngang hàng......................................... Error! Bookmark not defined.
4.3 Các bộ định tuyến ảo trong MPLS VPN .......... Error! Bookmark not defined.
4.4 Kiến trúc MPLS VPN ...................................... Error! Bookmark not defined.
4.4.1 Gửi chuyển tiếp trong MPLS VPN............ Error! Bookmark not defined.
4.4.2 Nhận biết động bộ định tuyến lân cận trong MPLS VPNError! Bookmark
not defined.
4.4.3 DiffSer trong MPLS VPN ......................... Error! Bookmark not defined.
4.5 Vấn đề bảo mật trong MPLS VPN................... Error! Bookmark not defined.
4.5.1 Bảo mật định tuyến .................................... Error! Bookmark not defined.
4.5.2 Bảo mật dữ liệu .......................................... Error! Bookmark not defined.
4.5.3 Bảo mật mạng vật lý .................................. Error! Bookmark not defined.
4.6 Chất lượng dịch vụ trong MPLS VPN ............. Error! Bookmark not defined.
4.6.1 Mô hình “ống” hỗ trợ QoS ........................ Error! Bookmark not defined.
4.6.2 Mô hình “vòi” hỗ trợ QoS ......................... Error! Bookmark not defined.
4.6.3 Các tham số chất lượng ............................. Error! Bookmark not defined.


CHƢƠNG 5 TRIỂN KHAI VPN/MPLS THỰC TẾ ....... ERROR! BOOKMARK NOT DEFINED.

5.1 So sánh IPSec và MPLS .................................... Error! Bookmark not defined.
5.1.1 Vai trò của MPLS ...................................... Error! Bookmark not defined.
5.1.2 Vai trò của IPSec ....................................... Error! Bookmark not defined.
5.1.3 Tích hợp VPN IPSec và VPN MPLS ...... Error! Bookmark not defined.

5.2 Triển khai ứng dụng VPN tại Ngân hàng Nhà nước Việt Nam ................. Error!
Bookmark not defined.
5.2.1 Giải pháp VPN của Nokia Checkpoint .................................................... 104
5.2.2 Giải pháp VPN của Cisco ........................................................................ 109
5.2.3 Giải pháp VPN của Microsoft ................................................................. 110
KẾT LUẬN ................................................................... ERROR! BOOKMARK NOT DEFINED.
TÀI LIỆU THAM KHẢO .......................................................................................................... 12

Danh mục các ký hiệu, các chữ viết tắt
Viết tắt
AH
ATM
AS
BGP
CE
CHAP
CoS

Tiếng Anh

Tiếng Việt

Authentication Header

Xác thực tiêu đề

Asynchronous Transfer Mode

Phương thức truyền dẫn không
đồng bộ


Autonomous System

Hệ thống tự trị

Border Gateway Protocol

Giao thức biên

Customer Edge

Bộ định tuyến biên khách hàng

Challenge Handshake
Authentication Protocol

Giao thức xác thực bắt tay theo
yêu cầu

Class of Service

Lớp dịch vụ

CR-LDP Constraint Routing - LDP

Giao thức định tuyến cưỡng bức

CSPF

Constraint base Shortest Path First


Định tuyến cưỡng bức chọn đường
ngắn nhất

DES

Data Encryption Standard

Chuẩn mã hoá dữ liệu

DLCI

Data Link Connection Identifier

Nhận dạng kết nối liên kết dữ liệu
trong Frame Relay

ESP

Encapsulating Security Payload

Phương thức đóng gói bảo mật tải tin

FEC

Forwarding equivalence class

Nhóm chuyển tiếp tương đương



FIB

Forward Information Base

Cơ sở dữ liệu chuyển tiếp

FR

Frame Relay

Chuyển tiếp khung

IETF

Internet Engineering Task Force

Tổ chức chuyên trách về kỹ thuật
Internet

IGP

Interior Gateway Protocol

Giao thức định tuyến, giao thức
thông dụng nhất là RIP và OSPF

IKE

Internet Key Exchange


Phương thức trao đổi khoá Internet

Internet Protocol Security

Giao thức IP bảo mật

ISO

International Organization for
Standardization

Tổ chức quốc tế về tiêu chuẩn hoá

ISP

Internet Service Provider

Nhà cung cấp dịch vụ

L2TP

Layer 2 Tunnel Protocol

Giao thức đường hầm lớp 2

LAN

Local Area Network

Mạng nội bộ


LDP

Label Distribution Protocol

Giao thức phân phối nhãn

LER

Label Edge Router

Router chuyển mạch nhãn biên

LFIB

Label Forwarding Information Base Cơ sở dữ liệu nhãn chuyển tiếp

LIB

Label Information Base

Cơ sở dữ liệu nhãn

LSP

Label Switched Path

Đường chuyển mạch nhãn

LSR


Label Switching Router

Router chuyển mạch nhãn

MD5

Message-Digest Algorithm

Thuật toán mã hoá MD5

MPLS

Multiprotocol Label Switching

Chuyển mạch nhãn đa giao thức

MPPE

Microsoft Point to Point Encryption

Phương thức mật mã hoá điểm
điểm của Microsoft

NAS

Network Access Server

Máy phục vụ truy cập mạng


NAT

Network Address Traslation

Chuyển đổi địa chỉ mạng

OSPF

Open Shortest Path First

Giao thức tìm đường ngắn nhất

PAP

Password Authentication Protocol

Giao thức xác thực mật khẩu

PE

Provider Edge Router

Bộ định tuyến biên nhà cung cấp

PPP

Point to Point Protocol

Giao thức điểm điểm


PNA

Private Network Administrator

Nhà quản trị mạng riêng

IPSec


Giao thức đường hầm điểm điểm

PPTP

Point-to-Point Tunneling Protocol

PSTN

Public Switched Telephone Network Mạng điện thoại công cộng
Quality of Service

Chất lượng dịch vụ

Remote Authentication Dial – In
User Serviece

Dịch vụ xác thực người dùng
quay số từ xa

RAS


Remote Access Server

Máy chủ truy cập từ xa

RIP

Routing Information Protocol

Giao thức thông tin định tuyến - giao
thức định tuyến distance- vector

RSVP

Resource Reservation Protocol

Giao thức dành riêng tài nguyên

SHA

Secure Hash Algorithm

Thuật toán băm bảo mật

SPED

Service Provider Edge Device

Thiết bị biên nhà cung cấp dịch vụ

Terminal Access Controller Access

Control System

Hệ thống điều khiển truy cập bộ
điều khiển truy cập đầu cuối

TOS

Tunnel Origination Server

Máy nguồn đường hầm

VC

Vitual Circuit

Mạch ảo

Virtual Private Network

Mạng riêng ảo

VPNID

VPN Identifier

Giá trị định danh mạng VPN

VR

Vitual Router


Bộ định tuyến ảo

QoS
RADIUS

TACACS

VPN


Danh mục các hình vẽ
Hình 1.1 - Mạng riêng ảo VPN
Hình 1.2 – VPN truy cập từ xa
Hình 1.3 - Mô hình Remote Access VPN, Intranet và Extranet VPN
Hình 1.4 - Mô hình đường hầm Tunnel
Hình 1.5 - Kết nối PPP giữa máy khách và máy phục vụ truy cập mạng
Hình 1.6 - Kiến trúc của PPTP
Hình 1.7 - Kết nối điều khiển PPTP tới máy phục vụ PPTP qua PPP
Hình 1.8 - Đường hầm chủ động
Hình 1.9 - Đường hầm thụ động
Hình 1.10 - Quá trình chuyển gói tin đã được mã hoá qua đường hầm PPTP
Hình 1.11 - Kiến trúc của L2TP
Hình 1.12 - Quá trình chuyển gói tin qua đường hầm L2TP
Hình 1.13 - Kiến trúc của IPSec
Hình 2.1 - Máy chủ xác thực cấp quyền truy cập từ xa
Hình 2.2 - Chữ ký điện tử
Hình 2.3 - Chữ ký RSA
Hình 2.4 - Thuật toán băm
Hình 2.5 - Mã hoá theo chuỗi các khối liên tục (CBC)

Hình 2.6 - Trao đổi khoá Diffie Hellman
Hình 3.1- Các định dạng nhãn
Hình 3.2 - Mạng MPLS trong chế độ hoạt động khung.
Hình 3.3 - Cấu trúc của LSR biên
Hình 3.4 - Nhãn MPLS trong khung lớp 2
Hình 3.5 - Phân bổ nhãn trong mạng ATM-MPLS
Hình 3.6 - Trao đổi thông tin giữa các LSR cận kề
Hình 3.7 - Cơ chế thiết lập kênh ảo điều khiển MPLS


Hình 3.8 - Ví dụ về CSPF
Hình 3.9 - Các bản tin PATH, RESV
Hình 3.10 - Nhãn phân phối trong bảng tin RESV
Hình 4.1 - Mô hình chồng lấn
Hinh 4.2 - Mô hình ngang hàng
Hình 4.3 - Kiến trúc mạng MPLS VPN
Hình 4.4 - Dán nhãn tại bộ định tuyến PE
Hình 4.5 - Sử dụng tập nhãn hai mức.
Hình 4.6 - Miền định tuyến vật lý
Hình 4.7 - Miền định tuyến ảo
Hình 4.8 - Mô hình ống QoS
Hình 4.9 - Mô hình vòi QoS
Hình 5.1 - Vị trí của IPSec và MPLS
Hình 5.2 - Tích hợp IPSec và MPLS
Hình 5.3 - Thiết lập IPSec VPN giữa 2 Site với giải pháp Nokia Checkpoint
Hình 5.4 - Mô hình triển khai VPN của giải pháp Cisco
Hình 5.5 - Thiết lập VPN của giải pháp Microsoft
Hình 5.6 - Một số đặc tính của VPN PPTP được tạo ra



MỞ ĐẦU
Ngày nay, sự phát triển nhanh chóng của các công nghệ viễn thông tiên tiến như
ISDN, ATM, ASDL và đặc biệt là Internet trong các năm qua đã kéo theo sự phát triển
hàng loạt các dịch vụ mới đáp ứng các nhu cầu đa dạng của việc ứng dụng công nghệ
thông tin. Một trong các loại dịch vụ đó là công nghệ mạng riêng ảo – VPN (Virtual
Private Network).
Theo IETF, VPN là mạng diện rộng sử dụng các thiết bị, phương tiện truyền
thông của mạng công cộng cùng với các chức năng bảo mật như tạo đường hầm (tunnel),
mật mã hoá dữ liệu (encryption), xác thực (authentication) với mục đích đạt được tính
bảo mật như một mạng được thiết lập dùng riêng.
Trong xu hướng toàn cầu hoá, đặc biệt Việt Nam đã ra nhập Tổ chức thương mại thế
giới WTO, sẽ kéo theo sự phát triển của các công ty xuyên quốc gia, các chi nhánh hoặc các
văn phòng đại diện của các công ty lớn không phụ thuộc vào vị trí địa lý; nhu cầu truy cập từ
xa (làm việc tại nhà); xu hướng hội nhập và mở rộng dẫn đến sự phát triển của dịch vụ VPN
là tất yếu, là sự kết hợp hoàn hảo giữa Internet và các mạng dùng riêng.
Xã hội ngày càng phát triển, nhu cầu sử dụng các dịch vụ tác nghiệp trực tuyến
ngày càng cao, sự phát triển mạnh mẽ của nhiều nhà cung cấp dịch vụ với hệ thống kiến
trúc mạng khác nhau cùng các trang thiết bị, sản phẩm viễn thông đa dạng đã tạo ra
những thách thức, rào cản lớn đối với mạng dùng riêng trong việc kết nối các mạng này
với nhau, VPN chính là một giải pháp thích hợp trong trường hợp này.
Hơn nữa, chi phí cho việc thiết lập và quản trị một mạng diện rộng là rất lớn, trong
khi đó sử dụng VPN vừa tiết kiệm mà vẫn bảo đảm được tính an toàn và bảo mật, điều
này đặc biệt có ý nghĩa đối với các công ty lớn có chi nhánh ở các Tỉnh, Thành phố hay
các Quốc gia khác nhau.
Hai công nghệ nổi trội hơn cả để ứng dụng tạo ra các VPN đó là MPLS và IPSec.
Mỗi kỹ thuật có giá trị và vị trí riêng trong hệ thống mạng. VPN MPLS triển khai rất tốt
trong vùng lõi (core) của mạng các nhà cung cấp dịch vụ. Trong khi VPN IPSec rất phù
hợp với cấu hình bảo mật end-to-end. Việc thực thi mô hình mạng bao gồm cả VPN
MPLS và IPSec sẽ đem lại hiệu quả lợi ích tốt nhất.
Công nghệ MPLS cung cấp các công cụ cải thiện kỹ thuật lƣu lƣợng mạng IP

cho phép nhà cung cấp dịch vụ dễ dàng đo đạc, giám sát và đáp ứng các mức dịch
vụ khác nhau. MPLS đem đến nhiều ƣu điểm, tận dụng sự thông minh của bộ định
tuyến và tốc độ chuyển mạch, cung cấp phƣơng thức ánh xạ gói tin IP vào kết nối có
hƣớng nhƣ ATM hoặc FR. Nó cũng cung cấp cơ chế định nghĩa QoS trong tiêu đề


MPLS. MPLS sử dụng thông tin định tuyến lớp 3 để thiết lập bảng định tuyến và
định rõ tài nguyên, đồng thời sử dụng các giao thức lớp 2 (FR, ATM) để chuyển
mạch hoặc định hƣớng thông tin trên đƣờng dẫn tƣơng ứng. MPLS đƣợc coi là công
nghệ mạng tân tiến giải quyết đƣợc nhiều nhƣợc điểm của mạng IP, ATM. Vì thế
công nghệ MPLS là một trong những lựa chọn phù hợp cho mạng thế hệ sau NGN.
Vì những lý do trên, đề tài tập trung nghiên cứu các công nghệ mạng riêng ảo
VPN trên nền mạng công cộng như IPSec, MPLS…, đồng thời phân tích, thiết kế các
mô hình, kiến trúc mạng VPN/MPLS và đưa ra các cơ sở khoa học để ứng dụng triển
khai tại Ngân hàng Nhà nước Việt Nam. Nội dung luận văn được trình bày trong 5
chương:
Chƣơng 1: Trình bày tổng quan về mạng riêng ảo, những kiến thức cơ bản về các
thành phần trên mạng riêng ảo, các loại mạng riêng ảo và các giao thức.
Chƣơng 2: Nghiên cứu các cơ chế an ninh, bảo mật được sử dụng trong mạng
VPN: xác thức, mã hoá, chữ ký điện tử, tạo đường hầm, tiếp theo sẽ tìm hiểu các thuật
toán MD5, SHA, HMAC, Diffie Hellman …
Chƣơng 3: Đề cập đến công nghệ chuyển mạch nhãn đa giao thức MPLS, trong
đó đi sâu nghiên cứu cơ chế hoạt động của MPLS, các giao thức phân phối nhãn LDP,
giao thức định tuyến cưỡng bức CR LDP, giao thức báo hiệu RSVP…
Chƣơng 4: Trên cơ sở chương 3, sẽ triển khai ứng dụng mạng riêng ảo trên nền
MPLS: mô hình mạng ngang hàng, mô hình mạng chồng lấn, kiến trúc MPLS/VPN, sau
đó sẽ trình bày vấn đề bảo mật và chất lượng dịch vụ trong MPLS/VPN với mô hình
“ống”, mô hình “vòi”.
Chƣơng 5: Triển khai MPLS/VPN trong thực tế, so sánh hai công nghệ mạng
riêng ảo IPSec và MPLS, trên cơ sở đó triển khai ứng dụng mạng riêng ảo VPN tại

Ngân hàng Nhà nước Việt Nam với ba giải pháp của Nokia Checkpoint, Cisco và
Microsoft.


TÀI LIỆU THAM KHẢO
[1] - Brian Williams, Quality of Service Differentiated Services and Multiprotocol Label
Switching, White paper, Ericsson, Australia 2000.
[2] - Cisco Systems, Overview of Virtual Private Networks and IPSec Technologies.
[3] – Cisco VPN solution, www.cisco.com/go/vpn
[4] - Christopher Y.Metz, IP Switching Protocol and Architectures, McGraw-Hill,
NewYork 1998
[5] - Dave Kosiur - Building and Managing Virtual Private Network, USA, 1998
[6] - Harkins, D. and Carrel, D. (1998), “The Internet Key Exchange”, RFC 2409,
November 1998.
[7] - IETF Working Group, RFCxxxx />[7a] - IETF RFC 2637 “Point – to – Point Tunneling Protocol (PPTP)”
[7b] - IETF RFC 1701 “Generic Routing Encapsulation (GRE)”
[7c] - IETF RFC 2661 “Layer Two Tunneling Protocol (L2TP)"
[7d] - IETF RFC 2409 “ The Internet Key Exchange (IKE)”
[8] – International Business Machines Corporation - Using IPSec to Construct Secure
Virtual Private Networks, 1998
[9] - Ivan Pepelnjak and Jim Guichard, MPLS and VPN Architectures - A pratical guide
to understanding, designing and deploying MPLS and MPLS-VPN enabled VPNs, Cisco
Systems, IN-USA, 2001.
[10] - Paul Brittain, Adrian Farrel, MPLS Traffic Engineering: a choice of signalling
protocols, Data connection Ltd., UK 2000.
[11] - Peter Gutmann - Encryption and Security Tutorial, University of Auckland
[12] - R.C.Streijl - Analysis of Managed Virtual Private Network, 2000
[13] - RSA Security Inc - A Guide to Security Technologies, www.rsasecurity.com
[14] - Tổng hợp các tài liệu từ Internet.
[15] - Xipeng Xiao, Aln Hannan, Brook Bailey and Lionel M.Ni, Traffic Engineering

with MPLS in the Internet.