HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
--------------------------------

Nguyễn Đình Thắng

GIẢI PHÁP MẠNG RIÊNG ẢO MPLS-VPN VÀ ỨNG
DỤNG TRONG HỆ THỐNG HẠ TẦNG
TRUYỀN THÔNG NGÀNH TÀI CHÍNH
Chuyên ngành: Kỹ thuật Viễn thông
Mã số: 85.20.2088

TÓM TẮT LUẬN VĂN THẠC SĨ KỸ THUẬT

HÀ NỘI – 2018


Luận văn được hoàn thành tại:
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

Người hướng dẫn khoa học: PGS TS. ĐẶNG HOÀI BẮC

Phản biện 1: ...............................................................................

Phản biện 2:................................................................................

Luận văn đã được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học
viện Công nghệ Bưu chính Viễn thông
Vào lục:

.......... giờ .......... ngày

tháng năm 2018

Có thể tìm hiểu luận văn tại:
Thư viện của Học viện Công nghệ Bưu chính Viễn Thông


1

MỞ ĐẦU

Thế kỷ 20 được coi là kỷ nguyên của rất nhiều phát minh quan trọng, thúc đẩy sự phát
triển của xã hội. Một trong số đó không thể không kể đến sự phát triển vượt bậc của
NGÀNH TÀI CHÍNH - Một trong những thành phần vô cùng quan trọng cho sự phát
triển của một quốc gia, đáp ứng nhu cầu tài chính huyết mạch của nền kinh tế.
Ngày nay, khi nhà nhà, người người, các cơ sở, các công ty, các tổ chức, doanh
nghiệp trong và ngoài nước đều có kết nối mạng Internet, hay một công ty, tổ chức,
doanh nghiệp có nhiều trụ sở ở các vị trí địa lý khác nhau cần liên lạc thông tin nội bộ
với nhau, khi đó nảy sinh yêu cầu làm sao để kết nối lại tất cả với nhau, nhưng đảm
bảo yếu tố phải là hệ thống mạng riêng, đảm bảo an toàn an ninh thông tin, bảo mật
thông tin…
Lúc này, khái niệm hệ thống mạng riêng ảo (Virtual private network – VPN) đã
hình thành. VPN là những hệ thống mạng được triển khai dựa trên quy tắc: vẫn áp
dụng tiêu chuẩn bảo mật, quản lý chất lượng dịch vụ trong một hệ thống mạng công
cộng vào hệ thống mạng riêng tư. VPN cung cấp cho chúng ta một sự lựa chọn mới:
Xây dựng một hệ thống mạng riêng tư cho các thông tin liên lạc kiểu site – to – site
trên hệ thống mạng công cộng hay Internet, bởi vì nó hoạt động trên một hệ thống
mạng chung thay vì một mạng riêng tư cá nhân nên các công ty, tổ chức, doanh nghiệp
có thể mở rộng hệ thống mạng riêng tư của mình một cách dễ dàng và hiệu quả, những
Khách hàng di động hay những văn phòng xa xôi, khách hàng, đối tác, hay nhân viên
có thể làm việc và kết nối đến hệ thống mạng nội bộ công ty, tổ chức, doanh nghiệp

của mình một cách dễ dàng, ở bất kì nơi đâu, ở bất kì thời điểm nào.
Công nghệ MPLS ( Multi Protocol Label Switching) được tổ chức quốc tế
IETF chính thức đưa ra vào cuối năm 1997, đã phát triển nhanh chóng trên toàn cầu.
Công nghệ mạng riêng ảo MPLS VPN đã đưa ra một ý tưởng khác biệt hoàn
toàn so với công nghệ truyền thống, đơn giản hóa quá trình tạo “đường hầm” trong
mạng riêng ảo bằng cơ chế gán nhãn gói tin (Label) trên thiết bị mạng của nhà cung
cấp. Thay vì phải tự thiết lập, quản trị, và đầu tư những thiết bị đắt tiền, MPLS VPN sẽ
giúp doanh nghiệp giao trách nhiệm này cho nhà cung cấp – đơn vị có đầy đủ năng
lực, thiết bị và công nghệ bảo mật tốt hơn nhiều cho mạng của doanh nghiệp.


2
Theo đánh giá của Diễn đàn công nghệ Ovum năm 2005, MPLS VPN là công
nghệ nhiều tiềm năng, đang bước vào giai đoạn phát triển mạnh mẽ nhờ những tính
năng ưu việt hơn hẳn những công nghệ truyền thống. Từ cuối năm 2010, MPLS VPN
sẽ dần thay thế hoàn toàn các công nghệ mạng truyền thống đã lạc hậu và là tiền đề
tiến tới một hệ thống mạng băng rộng – Mạng thế hệ mới NGN (Next Generation
Network).
Mạng hạ tầng truyền thông NGÀNH TÀI CHÍNH hiện nay đang được triển khai
dựa trên công nghệ chuyển mạch nhãn MPLS, với tính năng nổi trội MPLS/VPN đảm
bảo an toàn thông tin, phục vụ ngày một tốt hơn cho nội bộ NGÀNH TÀI CHÍNH, tiếp
theo là nhằm cung cấp một cách đa dạng các loại dịch vụ cho người sử dụng.
Luận văn “Giải pháp mạng riêng ảo mpls-vpn và ứng dụng trong hệ thống hạ
tầng truyền thông ngành tài chính” đã nghiên cứu những kiến thức về công nghệ
mạng riêng ảo MPLS/VPN và ứng dụng MPLS/VPN trong hệ thống mạng NGÀNH
TÀI CHÍNH, phục vụ cho việc kết nối thông suốt và trao đổi dữ liệu cho các cơ quan
Tài chính địa phương phủ khắp đất nước Việt Nam và thực tế triển khai kênh truyền sử
dụng công nghệ MPLS trên hạ tầng truyền thông NGÀNH TÀI CHÍNH, từ đó đưa ra
kịch bản và đánh giá kết quả kiểm tra chất lượng kênh truyền.
Luận văn gồm 04 chương:

Chương 1: Tổng quan về công nghệ mạng riêng ảo VPN
Chương 2: Mạng riêng ảo trên nền công nghệ MPLS.
Chương 3: Ứng dụng MPLS – VPN vào hạ tầng truyền thông Ngành Tài
chính.
Chương 4: Kết luận.
Ngoài ra, luận văn còn có thêm các danh mục, các thuật ngữ, các từ viết tắt, danh
mục bảng biểu, hình vẽ và danh mục các tài liệu tham khảo để thuận tiện cho việc tìm
hiểu và tra cứu nội dung luận văn.


3

CHƢƠNG 1 – TỔNG QUAN VỀ CÔNG NGHỆ MẠNG RIÊNG
ẢO VPN
Trong chương này, báo cáo luận văn sẽ giới thiệu tổng quan về mạng riêng ảo,
khái niệm VPN, khái niệm đường hầm, phân loại VPN.

1.1.

Giới thiệu về công nghệ mạng riêng ảo

Mạng riêng ảo hay VPN (Virtual Private Network) là một mạng dành riêng để
kết nối các máy tính của các công ty, tập đoàn hay các tổ chức với nhau thông qua
mạng Internet công cộng.
VPN là một thuật ngữ quen thuộc hiện nay, nó là sự lựa chọn gần như tối ưu
đối với một công ty, tổ chức, doanh nghiệp có nhiều hơn 1 chi nhánh và có nhu cầu kết
nối mạng với nhau, hoặc có nhu cầu thiết lập mối quan hệ thân thiết với các công ty, tổ
chức, doanh nghiệp khác, hoặc do đặc thù nên có nhiều cán bộ, nhân viên làm việc từ
xa.
VPN không còn là một thuật ngữ mới, nhưng chưa hẳn ai cũng biết VPN đã

được đề cập và xây dựng từ cuối thập kỷ 80 của thế kỷ trước, và nó cũng trải qua
nhiều giai đoạn phát triển.
Thế hệ VPN thứ nhất do AT&T phát triển có tên là SDNs (Software Defined
Network)
Thế hệ thứ 2 là ISDN và X25
Thế hệ thứ 3 là FR và ATM
Thế hệ thứ 4 là VPN trên nền mạng IP
Và thế hệ hiện nay là VPN trên nền mạng MPLS.

1.2.

Khái niệm VPN

VPN là công nghệ cung cấp một phương thức giao tiếp an toàn giữa các mạng
riêng dựa vào kỹ thuật đường hầm để tạo ra một mạng riêng trên cơ sở hạ tầng mạng
dùng chung (mạng internet). Về bản chất đây là quá trình đặt toàn bộ gói tin vào trong
một lớp tiêu đề chứa thông tin định tuyến có thể truyền an toàn qua mạng công cộng.
VPN là một mạng riêng sử dụng để kết nối các mạng dây riêng lẻ hay nhiều
người sử dụng ở xa thông qua các kết nối ảo dẫn qua đường truyền Internet thay cho


4
một kết nối thực, chuyên dụng như đường leased line.

1.3.

Mô hình VPN

VPN bao gồm hai phần: mạng của Nhà cung cấp dịch vụ và mạng của Khách
hàng, trong đó mạng của Nhà cung cấp dịch vụ chạy dọc cơ sở hạ tầng mạng công

cộng, bao gồm các bộ định tuyến cung cấp dịch vụ mạng cho Khách hàng.

Hình 1.1: Mạng riêng ảo VPN [4]

1.4.

Khái niệm đường hầm

Đường hầm là một cách thức mà ở đó dữ liệu có thể truyền đi giữa hai mạng
một cách an toàn. Toàn bộ dữ liệu truyền đi được phân mảnh thành các gói nhỏ hơn
hoặc thành các khung sau đó được đẩy vào trong đường hầm. Các thức này khác với
cách vận chuyển dữ liệu thông thường giữa các điểm. Ở đây các gói dữ liệu di chuyển
trong đường hầm sẽ được đóng gói và mã hóa với thông tin định tuyến với một địa chỉ
xác định. Sau khi tới được địa chỉ mong muốn thì dữ liệu được khôi phục nhờ việc giải
mã.

Hình 1.2: Đường hầm VPN [4]

Một đường hầm là một con đường logic được thiết lập giữa điểm nguồn và
điểm đích của hai mạng. Các gói dữ liệu được đóng gói tại nguồn và mở gói tại điểm
đích. Đường hầm logic giữa hai mạng này được duy trì trong suốt tiến trình gửi dữ
liệu. Đường hầm dùng để vận chuyển dữ liệu cho mục đích riêng tư, thông thường là
hệ thống mạng của một công ty, tổ chức, doanh nghiệp, tập đoàn… thông qua hệ thống


5
mạng công cộng. Với cách hiểu đó, các nút định tuyến trong hệ thống mạng công cộng
không biết rằng luồng vận chuyển đó là của hệ thống mạng riêng hay chung.
Có nhiều loại đường hầm được thực thi trên các tầng khác nhau của mô hình
OSI. Ví dụ hai loại đường hầm PPTP và L2TP thực thi trên tầng 2. Hai loại đường

hầm này sẽ không kích hoạt tại các phiên làm việc nội mạng, trong trường hợp có sự
kết nối hai mạng thì loại đường hầm sẽ được xác định là PPTP hoặc L2TP. Sau khi lựa
chọn được loại đường hầm thì các tham số như mã hóa, cách đăng ký địa chỉ, nén…
được cấu hình để đặt được sự an toàn ở mức cao nhất khi đi trên mạng Internet dựa
trên sự kết nối đường hầm logic địa phương. Kết nối được tạo ra, duy trì và kết thúc sử
dụng khi nhu cầu chấm dứt.
1.5.

Lợi ích VPN mang lại

VPN làm giảm chi phí thường xuyên:

VPN cho phép tiết kiệm chi phí

đườngtruyền và giảm chi phí phát sinh cho nhân viên ở xa nhờ vào việc họ truy cập
vào hệthống nội bộ thông qua các điểm cung cấp dịch vụ ở địa phương POP(Point
ofPresence), hạn chế thuê đường truy cập của nhà cung cấp dẫ đến giá thành cho
việckết nối Lan-to-Lan giảm đi đáng kể so với việc thuê đường Leased-LineGiảm chi phí quản lý và hỗ trợ: với việc sử dụng dịch vụ của nhà cung
cấp,chúng ta chỉ phải quản lý các kết nối đầu cuối tại các chi nhánh mạng không
phảiquản lý các thiết bị chuyển mạch trên mạng. Đồng thời tận dụng cơ sở hạ tầng
củamạng Internet và đội ngũ kỹ thuật của nhà cung cấp dịch vụ.
VPN đảm bảo an toàn thông tin, tính toàn vẹn và xác thực: dữ liệu truyền
trênmạng được mã hóa bằng các thuật toán, đồng thới được truyền trong các đường
hầm(Tunnle) nên thông tin có độ an toàn cao.
VPN dễ dàng kết nối các chi nhánh thành một mạng cục bộ: việc tập trung
quảnlý thông tin tại tất cả các chi nhánh là cần thiết. VPN có thể dễ dàng kết nối hệ
thống mạng giữa các chi nhánh và văn phòng trung tâm thành một mạng LAN với chi
phíthấp.
VPN hỗ trợ các giáo thức mạng thông dụng nhất hiện nay như TCP/IP: bảo
mậtđịa chỉ IP: thông tin được gửi đi trên VPN đã được mã hóa do đó các địa chỉ

trênmạng riêng được che giấu và chỉ sử dụng các địa chỉ bên ngoài Internet.
1.6.

Các loại VPN


6
1.6.1. Truy cập VPN (VPN Remote Access)
Remote Access VPNs cho phép truy cập bất cứ lúc nào bằng Remote, mobile,
và các thiết bị truyền thông của nhân viên các chi nhánh kết nối đến tài nguyên mạng
của tổ chức.
Remote Access VPN mô tả công việc các người dùng ở xa sử dụng các phần
mềm VPN để truy cập vào mạng Intranet của công ty thông qua gateway hoặc VPN
concentrator (bản chất là một server). Vì lý do này, giải pháp này thường được gọi là
client/server. Trong giải pháp này, các người dùng thường sử dụng các công nghệ
WAN truyền thống để tạo lại các tunnel về mạng của họ.
Một hướng phát triển khá mới trong remote access VPN là dùng wireless VPN,
trong đó một nhân viên có thể truy cập về mạng của họ thông qua kết nối không dây.
Trong thiết kế này, các kết nối không dây cần phải kết nối về một trạm wireless
(Wireless terminal) và sau đó về mạng của công ty. Trong cả hai trường hợp, phần
mềm client trên máy PC đều cho phép khởi tạo các kết nối bảo mật, còn được gọi là
tunnel.
Một phần quan trọng của thiết kế này là việc thiết kế quá trình xác thực ban đầu
nhằm để đảm bảo là yêu cầu được xuất phát từ một nguồn tin cậy. Thường thì giai
đoạn ban đầu này dựa trên cùng một chính sách về bảo mật của công ty. Chính sách
này bao gồm: quy trình (Procedure), kỹ thuật, server (such as Remote Authentication
Dial-In User Service [RADIUS], Terminal Access Controller Access Control System
Plus [TACACS+] …).
1.6.1.1. Thuận lợi chính của Remote Access VPNs:
1.6.1.2. Một số tồn tại của VPNs:

1.6.2. Site – To – Site VPN
1.6.2.1. Intranet
1.6.2.2. Extranet VPNs (VPN mở rộng)
1.7.

VPN và các vấn đề an toàn bảo mật trên Internet

Như chúng ta đã biết, sự phát triển bùng nổ và mở rộng mạng toàn cầu Internet
ngày càng tăng, hàng tháng có khoảng 10.000 mạng mới kết nối vào Internet kèm theo


7
đó là vấn đề làm sao để có thể trao đổi thông tin dữ liệu một cách an toàn qua mạng
công cộng như Internet. Hàng năm sự rò rỉ và mất cắp thông tin dữ liêu đã gây thiệt
hại rất lớn về kinh tế trên toàn thế giới. Các tội phạm tin tặc “ hacker” luôn tìm mọi
cách để nghe trộm, đánh cắp thông tin dữ liệu nhạy cảm như: thẻ tín dụng, tài khoản
người dùng, các thông tin kinh tế nhạy cảm... của các tổ chức hay cá nhân.
Vậy giải pháp sử dụng mạng riêng ảo VPN sẽ giải quyết vấn đề an toàn và bảo
mật thông tin trên Internet như thế nào ?
Câu trả lời để các tổ chức, các doanh nghiệp, cá nhân cảm thấy yên tâmkhi trao
đổi thông tin dữ liệu qua mạng Internet là sử dụng công nghệ mạng riêng ảo VPN.
Thực chất công nghệ chính được sử dụng trong mạng riêng ảo VPN là tạo ra
một đường hầm (tunnel) mã hoá và chứng thực dữ liệu giữa hai đầu kết nối. Các thông
tin dữ liệu sẽ được mã hoá và chứng thực trước khi được lưu chuyển trong một đường
hầm riêng biệt, qua đó sẽ tránh được những cặp mắt tò mò muốn đánh cắp thông tin.

1.8.

Kết luận - Đánh giá


Ngày nay với sự phát triển bùng nổ, mạng Internet ngày càng được mở rộng,
khó kiểm soát và kèm theo đó là sự mất an toàn trong việc trao đổi thông tin trên
mạng, các thông tin dữ liệu trao đổi trên mạng có thể bị rò rỉ hoặc bị đánh cắp khiến
cho các tổ chức như: Các doanh nghiệp, Ngân hàng, Công ty …và các doanh nhân lo
ngại về vấn đề an toàn và bảo mật thông tin dữ liệu trong các mạng cục bộ của mình
(LAN) khi trao đổi thông tin qua mạng công cộng Internet.
VPN ( Virtual Private Network) là giải pháp được đưa ra để cung cấp
một giải pháp an toàn cho các: Tổ chức, doanh nghiệp … và các doanh nhân trao đổi
thông tin từ mạng cục bộ của mình xuyên qua mạng Internet một cách an toàn và bảo
mật. Hơn thế nữa nó còn giúp cho các doanh nghiệp giảm thiểu được chi phí cho
những liên kết từ xa vì địa bàn rộng (trên toàn quốc hay toàn cầu).


8

CHƢƠNG 2 – MẠNG RIÊNG ẢO TRÊN NỀN CÔNG NGHỆ MPLS
Trong chương này, báo cáo luận văn sẽ trình bày về công nghệ MPLS – là một
công nghệ đang được ứng dụng rộng rãi hiện nay, khái niệm MPLS, đặc điểm của
công nghệ MPLS, phương thức hoạt động của MPLS và đi sâu vào ứng dụng MPLS
VPN

2.1.

Nguyên nhân ra đời của công nghệ MPLS VPN

Mạng Internet ra đời mở màn cho kỷ nguyên tiến bộ vượt bậc của nhân loại, nó
không ngừng phát triển về phạm vi cũng như chất lượng. Khi mạng Internet phát triển
và mở rộng, lưu lượng Internet bùng nổ. Các nhà cung cấp dịch vụ xử lý bằng cách
tăng dung lượng kết nối và nâng cấp các Router nhưng vẫn không tránh khỏi nghẽn
mạch. Lý do là các giao thức định tuyến thường hướng lưu lượng vào một số các kết

nối nhất định dẫn đến kết nối này bị quá tải trong khi một số tài nguyên khác không
được sử dụng. Đây chính là tình trạng phân bổ không hợp lý và sử dụng lãng phí tài
nguyên mạng Internet.

2.1.1. Tính khả chuyển
Một vấn đề mà nhà cung cấp dịch vụ gặp phải chính là tính khả chuyển. Tức là
để đảm bảo việc dự phòng và tối ưu trong quá trình định tuyến thì mô hình full mesh
của các mạch ảo (VCs) phải được tạo ra mà kết quả có quá nhiều kết nối.

Hình 2.1: Full mesh với 6 kết nối ảo [1]

Và càng nhiều các địa điểm thêm vào mạng lõi, thì càng cần phải có nhiều kết
nối ảo (VCs) được tạo ra. Điều đó cũng có nghĩa là các Router sẽ phải trao đổi cập
nhật bảng thông tin định tuyến với nhiều Router liền kề, gây ra một sự lưu thông lớn
trên mạng. Sự quá tải này cũng sẽ làm ảnh hưởng đến hiệu suất của Router và làm
giảm tốc độ xử lý của chúng.

2.1.2. Điều khiển lưu lượng
Điều khiển lưu lượng là quá trình xử lý mà lưu lượng được vận chuyển một
cách tối ưu theo yêu cầu. Mặc dù cả hai công nghệ IP và ATM đều có nhưng rõ ràng


9
IP không thể sánh được với ATM về đặc tính này. ATM và IP là hai công nghệ hoàn
toàn tách biệt nhau nên thật khó để kết hợp triển khai điều khiển lưu lượng đầu cuối.

2.1.3. Chất lượng dịch vụ (QoS)
Cả IP và ATM đều có khả năng đảm bảo chất lượng dịch vụ. Sự khác nhau giữa
chúng là IP là giao thức không kết nối (connectionless), còn ATM là giao thức có kết
nối (connection – oriented).

Vì vậy, vấn đề đặt ra ở đây chính là các Nhà cung cấp dịch vụ phải làm thế nào
để kết hợp được hai cách triển khai chất lượng dịch vụ thành một giải pháp duy nhất.
Chúng ta cũng có thể thấy rõ vấn đề bất cập tồn tại ở chuyển tiếp gói tin ở lớp
mạng truyền thống (ví dụ chuyển tiếp gói tin IP qua mạng Internet). Sự chuyển tiếp
gói tin dựa trên các thông tin được cung cấp bởi các giao thức định tuyến (ví dụ RIP,
OSPF, EIGRP, BGP…), hoặc định tuyến tĩnh để đưa ra quyết định chuyển tiếp gói tin
tới bước tiếp theo trong mạng. Sự chuyển tiếp này chỉ duy nhất dựa trên địa chỉ đích.
Tất cả các gói tin có cùng một đích đến sẽ đi theo cùng một con đường. Thông thường
là con đường có giá nhỏ nhất, điều đó dễ dàng dẫn đến hiện tượng mất cân bằng tải.

Hình 2.2: Một ví dụ về mạng IP dựa trên mạng lõi ATM [3]

Để đảm bảo quá trình chuyển tiếp gói tin trong mạng là tối ưu, một mạch ảo
ATM phải tồn tại giữa bất kỳ hai Router kết nối tới mạng lõi ATM. Điều đó có nghĩa
là nếu quy mô của mạng lớn, có đến vài chục hoặc thậm chí vài trăm Router kết nối
với nhau thì xảy ra một vấn đề khá nghiêm trọng.
Ta có thể gặp các vấn đề sau:
Khi một Router mới được nối vào mạng lõi WAN thì một mạch ảo phải được
thiết lập. Nếu một mạng chạy giao thức định tuyến thì mọi Router sẽ thông báo sự thay
đổi trong mạng tới tất cả các Router còn lại có cùng kết nối tới WAN đường trục, kết
quả là có quá nhiều lưu lượng trong mạng.


10
Sử dụng các mạch ảo giữa các Router là phức tạp bởi vì thật khó để dự đoán
chính xác lưu lượng giữa bất kỳ hai Router trong mạng.
Mặt khác, sự bùng nổ của mạng Internet dẫn tới xu hướng hội tụ các mạng viễn
thông khác như mạng thoại, truyền hình Internet… khi đó, giao thức IP trở thành giao
thức chủ đạo trong lĩnh vực mạng. Xu hướng của Nhà cung cấp dịch vụ là thiết kế và
sử dụng các Router chuyên dụng với dung lượng truyền tải lớn, hỗ trợ các giải pháp

tích hợp, chuyển mạch đa lớp cho mạng trục Internet. Nhu cầu cấp thiết trong bối cảnh
này là phải ra đời một công nghệ lai có khả năng kết hợp những ưu điểm của chuyển
mạch kênh ATM và chuyển mạch gói IP.
Công nghệ MPLS ra đời trong bối cảnh cần phải tìm giải pháp nào đó để đáp
ứng nhu cầu của thị trường theo đúng tiêu chí phát triển của Internet, nó đã mang lại
những lợi ích thiết thực, đánh dấu một bước phát triển cực lớn của Internet trước xu
thế tích hợp công nghệ thông tin và viễn thông.

2.2.

Chuyển mạch nhãn đa giao thức

2.2.1. Khái niệm
Chuyển mạch nhãn đa giao thức (Multiprotocol Label Switching – MPLS) là
một công nghệ được đưa ra với mục đích giải quyết nhiều vấn đề đang tồn đọng liên
quan tới chuyển mạch gói trong môi trường kết nối Internet.
MPLS là một công nghệ kết hợp những đặc điểm tốt nhất giữa định tuyến lớp
ba và chuyển mạch lớp hai, cho phép chuyển tải các gói rất nhanh trong mạng lõi
(core) và định tuyến tốt ở mạng biên (edge) bằng cách dựa vào nhãn (label). MPLS là
một phương pháp cải tiến việc chuyển tiếp gói trên mạng bằng các nhãn được gắn với
mỗi gói IP, tế bào ATM, hoặc frame lớp hai. Phương pháp chuyển mạch nhãn giúp các
Router và MPLS-enable ATM switch ra quyết định theo nội dung nhãn tốt hơn việc
định tuyến phức tạp theo địa chỉ IP đích. MPLS kết nối tính thực thi và khả năng
chuyển mạch lớp hai với định tuyến lớp ba. Cho phép các Nhà cung cấp dịch vụ cung
cấp nhiều dịch vụ khác nhau mà không cần phải bỏ đi cơ sở hạ tầng sẵn có. Cấu trúc
MPLS có tính mềm dẻo trong bất kỳ sự phối hợp với công nghệ lớp hai nào.
MPLS hỗ trợ mọi giao thức lớp hai, triển khai hiệu quả các dịch vụ IP trên một
mạng chuyển mạch IP. MPLS hỗ trợ việc tạo ra các tuyến khác nhau giữa nguồn và
đích trên một đường trục Internet. Bằng việc tích hơp MPLS vào kiến trúc mạng, các



11
Nhà cung cấp dịch vụ có thể giảm chi phí, tăng lợi nhuận, cung cấp nhiều dịch vụ hiệu
quả hơn và khả năng cạnh tranh cao hơn.

2.2.2. Đặc điểm mạng MPLS
Không cần có một giao diện lập trình ứng dụng, cũng không có thành phần giao
thức phía host.
-

MPLS chỉ nằm trên các Router.

-

MPLS là giao thức độc lập nên có thể hoạt động cùng với giao thức khác IP
như IPX, ATM, Frame Relay,…

-

MPLS giúp đơn giản hóa quá trình định tuyến và làm tăng tính linh động của
các tầng trung gian.

2.2.3. Cấu trúc mạng MPLS
2.2.3.1 Nhãn
2.2.3.2 Ngăn xếp nhãn (Label Stack)
2.2.3.3 Chồng nhãn
2.2.3.4 MPLS và mô hình tham chiếu OSI
2.2.3.5 Cấu trúc một nút MPLS
2.2.3.6 Lớp chuyển tiếp tương đương FEC (Forward Equivalence Class)
2.2.3.7 Đường chuyển mạch nhãn LSP (Label Switching Parth)

2.2.3.8 Cơ sở thông tin nhãn LIB (Label Information Base)
2.2.4. Phương thức hoạt động của công nghệ MPLS
-

MPLS hoạt động trong lõi mạng IP. Các Router trong lõi phải kích hoạt MPLS

trên từng giao tiếp. Nhãn được gắn thêm vào gói IP khi gói đi vào mạng MPLS. Nhãn
được tách ra khi gói đi ra khỏi mạng MPLS. Nhãn (Label) được chèn vào giữa header
lớp ba và header lớp hai. MPLS tập trung vào quá trình hoán đổi nhãn. Một trong
những thế mạnh của kiến trúc MPLS là tự định nghĩa chồng nhãn.
-

Công thức để gán nhãn gói tin là: Network Layer Packet + MPLS Label Stack

-

Không gian nhãn (Label Space): có hai loại
 Một là: các giao tiếp dùng chung giá trị nhãn (per-platform label space)


12
 Hai là: mỗi giao tiếp mang giá trị nhãn riêng (per-interface Label Space)
-

Bộ định tuyến chuyển nhãn (LSR- Label Switch Router): ra quyết định chặng

kế tiếp dựa trên nội dung của nhãn.
-

Con đường chuyển nhãn (LSP – Label Switch Path): xác định đường đi của gói


tin MPLS. Gồm hai loại:
 Hop by hop signal LSP: xác định đường đi khả thi nhất
 Explicit route signal LSP: xác định đường đi từ nút gốc
Sự khác nhau cơ bản giữa MPLS và các công nghệ WAN truyền thống chính là
cách mà các nhãn được gán và khả năng mang một ngăn xếp của các nhãn cho một gói
tin. Khái niệm ngăn xếp nhãn cho phép chúng ta có nhiều ứng dụng mới, ví dụ như
Điều khiển lưu lượng (Traffic Engineering), Mạng riêng ảo (VPN)…
Cấu trúc của một nút MPLS bao gồm 2 mặt thành phần: Thành phần chuyển
tiếp (hay còn gọi là mặt phẳng dữ liệu) và Thành phần điều khiển (còn được gọi là mặt
phẳng điều khiển). Thành phần chuyển tiếp sử dụng một cơ sở dữ liệu chuyển tiếp
nhãn để chuyển tiếp dữ liệu và duy trì các thông tin chuyển tiếp nhãn (còn được gọi là
bingdings) giữa nhóm các chuyển mạch nhãn với nhau.
Tất cả các nút MPLS phải chạy một hoặc nhiều giao thức định tuyến IP (hoặc
dựa trên định tuyến tĩnh) để có thể trao đổi thông tin định tuyến với các nút MPLS
khác trên mạng. Theo đó, mỗi nút MPLS (bao gồm cả chuyển mạch ATM) là một
router trên mặt phẳng điều khiển.

Hình 2.3: Cấu trúc cơ bản của một nút MPLS [1]

Tương tự các router truyền thống, các giao thức định tuyến IP sẽ dùng để xây
dựng nên bảng định tuyến. Bảng định tuyến IP được sử dụng để đẩy gói tin đi.
Tại một nút MPLS, bảng định tuyến được sử dụng để xác định việc trao đổi


13
thông tin nhãn chuyển tiếp, nơi mà các nút MPLS kề cận với nó trao đổi các nhãn cho
các mạng con (subnets) cụ thể được chứa trong bảng định tuyến.
Các quá trình điều khiển định tuyến MPLS IP (MPLS IP Routing Control) sử
dụng các nhãn để trao đổi với các nút MPLS cạnh nó để tạo ra bảng chuyển tiếp nhãn

(Label Forwarding Table), bảng này là vùng cơ sở dữ liệu được sử dụng để chuyển
tiếp các gói được gán nhãn qua mạng MPLS.
Tạo nhãn ở mạng biên: Các gói tin phải được đánh nhãn trước khi chuyển tiếp
tới miền mạng MPLS. Để thực hiện được nhiệm vụ này, LSR biên phải biết nơi gói tin
được đánh tiêu đề, hoặc ngăn xếp nhãn, nó phải khai báo cho gói tin. Để chuyển tiếp
gói tin IP lớp 3 tới chặng tiếp theo, nó kiểm tra trong bảng định tuyến địa chỉ IP đích
được chứa trong tiêu đề lớp 3 của gói tin. Sau đó lựa chọn bước tiếp theo để chuyển
tiếp gói tin. Và cứ như thế cho đến khi gói tin đi đến đích.
Có 2 cách để gói IP tới chặng tiếp theo:
-

Cách 1: Toàn bộ các gói được coi là như nhau khi chuyển qua mạng

-

Cách 2: Ánh xạ từng địa chỉ IP đích tới một IP của chặng tiếp theo.
Trong mạng MPLS, cách thứ nhất được gọi là nhóm chuyển tiếp tương đương –

FECs (Forwarding Equivalence Classes). FEC là một nhóm các gói, nhóm các gói này
chia sẻ cùng yêu cầu trong sự chuyển tiếp chúng qua mạng. Tất cả các gói trong một
nhóm như vậy được cung cấp cùng cách chọn đường tới đích. Khác với chuyển tiếp IP
truyền thống, trong MPLS việc gán một gói cụ thể vào một FEC cụ thể chỉ được thực
hiện một lần khi các gói vào trong mạng. MPLS không đưa ra quyết định chuyển tiếp
với mỗi datagram (một gói thông tin và cả thông tin bàn giao kết hợp thường là địa
chỉ) lớp 3 mà sử dụng khái niệm FEC. FEC phụ thuộc vào một số yếu tố, ít nhất là phụ
thuộc vào địa chỉ IP và có thể là phụ thuộc cả vào kiểu lưu lượng trong datagram
(thoại, dữ liệu, fax…). Sau đó, dựa trên FEC, nhãn được thỏa thuận giữa các LSR lân
cận từ lối vào tới lối ra trong một vùng định tuyến. Mỗi LSR xây dựng một bảng để
xác định xem một gói phải được chuyển tiếp như thế nào. Bảng này được gọi là cơ sở
thông tin nhãn (LIB: Label Information Base), nó là tổ hợp các ràng buộc FEC với

nhãn (FEC – to – Label). Và nhãn lại được sử dụng để chuyển tiếp lưu lượng qua
mạng.
Một cách để phân chia lưu lượng vào trong các FEC là tạo ra một FEC riêng
biệt cho mỗi tiền tố địa chỉ xuất hiện trong bảng định tuyến. Cách này có thể tạo ra


14
một tập hợp các FEC cho phép cùng đi một đường tới đích. Theo cách này thì bên
trong một miền MPLS, sẽ có nhiều FEC riêng biệt và như thế sẽ không hiệu quả. Trên
thực tế MPLS hợp nhất những FEC đó trở thành một FEC duy nhất.

Hình 2.4: Tổng hợp các FEC [3]

Với cơ chế chuyển tiếp IP truyền thống, thì mỗi gói tin được xử lý tại một
chặng trong mạng. Tuy nhiên với MPLS, một gói tin cụ thể được gán tới một FEC cụ
thể, và được thực hiện tại thiết bị mạng biên khi mà gói tin tham gia vào mạng. Nhóm
chuyển tiếp tương đương cho mỗi gói được khai báo sau đó mã hóa thành một chỉ số
định dạng ngắn có chiều dài cố định, được gọi là nhãn.

2.3.

Công nghệ MPLS VPN

VPN là công nghệ mạng riêng ảo được xây dựng dựa trên hạ tầng của MPLS.
Một mạng riêng yêu cầu các khách hàng đầu cuối có thể kết nối với nhau và hoàn toàn
độc lập với các mạng riêng khác. Ngày nay, mỗi công ty đều có các chi nhánh được
phân bố khắp nơi, yêu cầu của công nghệ VPN là xây dựng các kết nối ảo (Tunnel)
thay cho các kết nối thật (Lease Line) kết nối các chi nhánh lại với nhau thông qua hạ
tầng của nhà cung cấp dịch vụ chung.
Đặc tính chủ yếu của một mạng riêng là lưu lượng khách hàng được tách riêng

với cơ sở hạ tầng bên dưới và từ các khách hàng mà cùng chia sẻ cơ sở hạ tầng đó. Sự
tách biệt thể hiện ở hai khía cạnh:
• Tách biệt về topology (Topological Isolation): nghĩa là các khách hàng
có thể đưa vào bất cứ không gian địa chỉ và định tuyến nào họ lựa chọn.
Một vấn đề phổ biến sử dụng cho các mạng riêng là địa chỉ IP sử dụng
không thực sự là duy nhất (mang tính tổng thể) và sẽ xảy ra va chạm với
người khác sử dụng cùng địa chỉ đó hiện hữu trên mạng Internet.
• Tách biệt về thời gian (Temporal Isolation): Nghĩa là dịch vụ mạng riêng
chỉ phụ thuộc vào các đặc tính của lưu lượng khách hàng đó.


15
Tạo ra mạng riêng ảo yêu cầu các cơ chế cho phép một cơ sở hạ tầng chung
(ví dụ, một tập hợp các liên kết và các router) được chia sẻ trong khi vẫn làm cho
các khách hàng tin rằng họ được đảm bảo sự riêng tư. Các kỹ thuật chẳng hạn IP
tunneling qua một backbone IP có thể hỗ trợ sự tách biệt về topology, nhưng IP
backbone vẫn cần thiết được đảm bảo băng thông khả dụng xác định và độ trễ đầu
cuối đến đầu cuối cho các IP tunnel khác nhau.
Có nhiều mô hình kết nối các Site với nhau. Nó có thể là kết nối dạng mắt
lưới hoặc cũng có thể là kết nối hình sao qua Hub. Một ví dụ khác về cấu hình kết
nối giữa các Site thuộc hai hoặc nhiều nhóm là các Site trong mỗi nhóm được kết
nối với nhau dạng mắt lưới còn các Site trong các nhóm khác nhau được kết nối
gián tiếp thông qua một Site cụ thể.
VPN là một cách mô phỏng mạng riêng trên một mạng công cộng như
Internet. Nó được gọi là ảo bởi vì nó phụ thuộc vào việc sử dụng các kết nối ảo, đó
là những kết nối tạm thời gồm các gói được định tuyến trên nhiều máy tính trên
Internet theo một cấu trúc đặc biệt. Các kết nối ảo đảm bảo an ninh được thiết lập
giữa các máy tính, giữa các mạng, giữa mạng và máy tính.
Việc lựa chọn ISP sẽ rẻ hơn đối với việc truy cập từ xa với những người sử
dụng roaming.

VPN được thiết lập giữa các router tại hai chi nhánh của công ty thông qua
Internet. Hơn nữa, VPN cho phép hợp nhất các kết nối Internet và WAN vào một
router và một đường truyền, điều này giúp tiết kiệm chi phí thiết bị và hạ tầng cơ
sở viễn thông.

2.3.1. VPN truyền thống
2.3.2. MPLS VPN
2.3.3. Các thành phần chính của kiến trúc MPLS – VPN
2.3.3.1 Bảng định tuyến ảo và chuyển tiếp ảo VRF – Virtual Routing and
Forwarding Table
2.3.3.2 Bộ phận biệt tuyến RD – Route Distinguisher
2.3.3.3 Tuyến đích RT – Route targets
2.4.

Mô hình mạng MPLS VPN


16
Mạng riêng ảo có thể là hệ thống mạng ảo giữa hai đầu cuối hệ thống hay giữa
hai hay nhiều hệ thống mạng riêng. Do đó ta có thể chia mạng riêng ảo thành hai loại
chính, đó là:
Customer – based VPN (hay còn gọi là Overlay VPN): là mạng riêng ảo được
cấu hình trên các thiết bị của Khách hàng sử dụng giao thức đường hầm xuyên qua
mạng công cộng. Nhà cung cấp dịch vụ sẽ cung cấp các kênh ảo, kết nối ảo giữa các
mạng của Khách hàng.
Network – based VPN (hay còn gọi là site to site VPN): là mạng riêng ảo được
cấu hình trên các thiết bị của Nhà cung cấp dịch vụ và được quản lý bởi Nhà cung cấp
dịch vụ. Ở đây là cung cấp trao đổi thông tin định tuyến với Khách hàng và sắp đặt dữ
liệu của Khách hàng vào các đường đi tối ưu nhất


2.5.

Kết luận

Như vậy có thể nói VPN là một trong những ứng dụng quan trọng nhất của
MPLS. Kỹ thuật MPLS VPN đưa ra một thay đổi cơ bản trong công nghệ VPN, đó là
sử dụng khái niệm Virtual Router thay cho Delicated Router và Shared Router. Từ
việc phân tích phương thức hoạt động của MPLS VPN ta thấy nó có nhiều ưu điểm
hơn so với dịch vụ VPN truyền thống:
Riêng biệt và bảo mật: MPLS VPN giữ các thông tin định tuyến riêng biệt cho
mỗi VPN, đảm bảo người dùng chỉ có thể liên lạc được với các địa chỉ đã được lập sẵn
cho VPN của mình.
Độc lập với khách hàng: MPLS VPN có cách đánh địa chỉ (gán nhãn trong
mạng MPLS) hết sức linh hoạt, người dùng có thể sử dụng bất cứ dải địa chỉ nào (kể
cả các địa chỉ kiểm tra hoặc các địa chỉ không được đăng ký) hoặc có thể sử dụng
NAT. Mặc khác, người dùng còn có thể sử dụng các dải địa chỉ trùng hoặc giống nhau.
Một điểm nổi bật khác là mạng của người dùng không yêu cầu các thiết bị hỗ trợ
MPLS, các thiết bị đắt tiền như VPN Router với IP Sec hoặc bất cứ yêu cầu đặc biệt
nào khác ngoài IP.
Linh hoạt và khả năng phát triển: Với các dịch vụ VPN dựa trên IP, số lượng
Router trên mạng tăng nhanh chóng theo số lượng các VPN. VPN sẽ phải chứa các
bảng định tuyến ngày một lớn, MPLS VPN sử dụng một tập các BGP (Border
Gateway Protocol) ngang hàng giữa các LSR cạnh (Edge LSR), cho phép số lượng
VPN không hạn chế và hỗ trợ nhiều dạng VPN, dễ dàng tạo thêm các VPN hoặc site


17
mới (chỉ cần thực hiện tại router của site mới).
Như vậy, MPLS là một trong những giải pháp mạng đường trục cho mạng thế
hệ mới, hiện xu hướng phát triển của MPLS là ATOM (Any Traffic Over MPLS),

nghĩa là có khả năng đáp ứng bất kỳ loại dịch vụ nào: Thoại, video, fax, data… MPLS
VPN sẽ là một thị trường đầy tiềm năng và hứa hẹn mang lại nhiều lợi ích cho cả
người dùng và nhà cung cấp dịch vụ viễn thông.
Ngày nay, tuy VPN vẫn đang còn là một công nghệ mới mẻ ở Việt Nam, nhưng
việc đầu tư nghiên cứu để chọn giải pháp tối ưu cũng là điều nên làm đối với hệ thống
hạ tầng truyền thông NGÀNH TÀI CHÍNH.


18

CHƢƠNG 3 – ỨNG DỤNG MPLS VPN VÀO HẠ TẦNG
TRUYỀN THÔNG NGÀNH TÀI CHÍNH
3.1.

Bối cảnh chung

NGÀNH TÀI CHÍNH bắt đầu xây dựng hệ thống hạ tầng truyền thông thống
nhất từ năm 1999. Cho đến nay, hệ thống hạ tầng truyền thông NGÀNH TÀI CHÍNH
được triển khai như sau:
Về mặt kết nối: Xây dựng được Trung tâm miền Miền Bắc và Nam, kết nối tới
các đơn vị cấp TW như TCT, KBNN, TCHQ, Cục DTQG, UBCK, Học viện tài chính,
đồng thời xây dựng kết nối tới 63 Trung tâm tỉnh, từ các Trung tâm tỉnh kết nối tới các
PTC Quận/Huyện, các đơn vị Thuế, Kho bạc, tài chính của Tỉnh/Thành phố.
Với sự phát triển của công nghệ, vì vậy, vấn đề đặt ra là cần phải có các phân
tích xem xét mức độ phù hợp với các yêu cầu mới của các thiết kế trước đây và hạ
tầng truyền thông hiện tại, qua đó nâng cấp hệ thống hạ tầng mới phục vụ cho các nhu
cầu ngày càng gia tăng hiện tại và cho tương lai.

3.2.


Đánh giá ưu nhược điểm của hệ thống cơ sở hạ tầng hiện tại

3.2.1 Mô hình kết nối WAN và những vấn đề nảy sinh
Quan điểm thiết kế ban đầu cho việc sử dụng frame-relay riêng cho mạng WAN
NGÀNH TÀI CHÍNH là xây dựng 1 cơ sở hạ tầng cung cấp dịch vụ kết nối Framerelay theo mô hình nhà cung cấp dịch vụ cho các phân hệ TCT, KBNN…. Dùng chung
1 kênh thuê công cộng để giảm chi phí, cũng như dễ dàng quản lý tập trung. Tuy
nhiên, trong thiết kế cũng như triển khai thực tế thì lại không có sự nhất quán về việc
cung cấp loại hình kết nối đối với các phân hệ. Các mạng này kết nối tới mạng WAN
NGÀNH TÀI CHÍNH, thông qua:
-

Kết nối phân lớp Frame – relay & IP ở mức TT miền, mạng trục

-

Kết nối phân lớp IP ở mức TT tỉnh
Theo đó, tại mạng trục, với mô hình Overlay Layer-2 VPN được áp dụng trên

phần mạng trục tại cấp trung ương & mạng Backbone. Được thực hiện bởi các thiết bị
Cisco IGX, cung cấp kết nối L2 Frame – Relay cho các đơn vị cấp trung ương. Các
nhược điểm chính của mô hình này:
Số lượng PVC (kênh ảo cố định) cần phải tạo nhiều: n(n-1)/2, khi số lượng site


19
kết nối tăng lên, số lượng PVC cần tạo ra sẽ lớn, khó khăn trong việc triển khai, quản
lý, giám sát.
Để hệ thống có khả năng định tuyến linh hoạt, cần sử dụng phương thức định
tuyến động. Tuy nhiên trong mô hình kết nối này, các updates của các giao thức định
tuyến IGP sẽ chiếm nhiều băng thông do có nhiều PVC. Ngoài ra, việc có nhiều PVC

dẫn tới việc quản lý, cấu hình, giám sát các giao thức định tuyến IGP cũng phức tạp.
Trong khi đó, từ TTM trở xuống, các đơn vị cấp tỉnh, huyện, mô hình mạng sử
dụng lại là peer – to – peer shared – router. Được thực hiện bởi việc dùng chung router
cấp TTM, cấp TTT kết nối tới các phân hệ trực thuộc. Các nhược điểm chính của mô
hình này:
Lưu lượng của các ngành khác nhau đều được truyền dưới dạng IP trên cùng cơ
sở hạ tầng mạng WAN BTC, điều này gây nên các khe hở về bảo mật, đặc biệt trong
trường hợp có cả các lưu lượng từ bên ngoài như Internet, phân hệ mạng truy cập công
cộng….
Việc phân chia địa chỉ IP giữa các phân hệ trực thuộc không thể độc lập với
nhau, toàn bộ BTC và các phân hệ trực thuộc chia sẻ dải địa chỉ 10.x.x.x
Việc tách biệt hệ thống mạng của các phân hệ trực thuộc khi kết nối vào mạng
WAN BTC, nhằm mục đích đảm bảo cho các phân hệ có sự độc lập nhất định được
dựa theo các Access – Control – List rất phức tạp.

3.2.2 Mô hình kết nối Internet và những vẫn đề nảy sinh
Các thiết kế bổ sung sau không đưa ra giải pháp chi tiết hoàn chỉnh với các
chính sách về an toàn, bảo mật. Một trong những lý do chính là các kết nối WAN có
tốc độ thấp, do đó không thể cung cấp cổng kết nối internet tập trung.
Kết nối internet được thiết lập theo nhu cầu phát sinh tùy thuộc vào các phân
hệ, đơn vị, không có chính sách chung, điều này dẫn tới các nguy cơ mất an ninh, bảo
mật.

3.3.

Giải pháp MPLS VPN trong việc cung cấp dịch vụ VPN ngành

tài chính
3.3.1 Đề xuất cải tiến để đảm bảo tính dự phòng và an ninh cho hệ
thống



20
Thiết kế hệ thống mạng hạ tầng truyền thông NGÀNH TÀI CHÍNH bao gồm
khối cấu trúc như hình vẽ dưới đây
Mô hình mạng trục NGÀNH TÀI CHÍNH được đề xuất như hình vẽ dưới đây,
trong đó sẽ xây dựng thêm trung tâm miền Miền Trung, tạo nên tam giác mạng trục dự
phòng. Ví dụ, khi kết nối giữa 2 miền Nam - Bắc bị gián đoạn, lưu lượng sẽ được định
tuyến chạy vòng qua TTM - Miền Trung, việc định tuyến này được thực hiện hoàn
toàn tự động
Ngoài việc dự phòng bằng việc xây dựng thêm một TTM - Miền Trung, kết nối
WAN giữa 2 miền còn được đảm bảo bằng 3 kết nối khác nhau, hoạt động dự phòng,
phân tải cho nhau
Kết nối chính, có băng thông lớn nhất là kết nối MPLS VPN
Kết nối thứ 2 là kết nối truyền thống TM, frame – relay, hoặc có thể là ATM.
Do giá thành cao, kết nối truyền thống này sẽ được duy trì ở mức thấp nhất, tạo thành
kết nối dự phòng, phân tải cho kết nối chính là MPLS VPN
Kết nối thứ 3 là IPSec VPN, tận dụng cổng ra Internet sẵn có ở 3 TTM - Miền
Bắc, Trung, Nam. Kết nối này cũng chỉ mang tính dự phòng, phân tải cho kết nối
chính. Do chất lượng dịch vụ khi truyền qua Internet không được đảm bảo, do đó kết
nối này không nên sử dụng cho các ứng dụng thoại, video – conference.

3.3.2 Giải pháp thiết kế hạ tầng truyền thông ngành Tài chính
3.3.2.1 Kết nối WAN
3.3.2.2 Xây dựng hệ thống MPLS cung cấp dịch vụ MPLS VPN riêng
NGÀNH TÀI CHÍNH
3.3.2.2.1 Lớp mạng trục
3.3.2.2.2. Lớp mạng phân phối
3.3.2.2.3. MPLS và hệ thống MPLS VPN
3.3.3 Đánh giá về hệ thống đảm bảo an ninh

Ngày nay, hầu như doanh nghiệp nào có kết nối Internet cũng sử dụng các biện
pháp an ninh để bảo vệ mình trước những tác động bên trong và bên ngoài. Với sự tiến
bộ vượt bậc của công nghệ, các công cụ, kỹ thuật tấn công ngày càng đa dạng, tinh vi


21
hơn, có vô số các hướng dẫn và các công cụ được cung cấp miễn phí trên mạng
Internet. Do đó, phòng thủ vòng ngoài hoặc chỉ phòng thủ 1 lớp không thôi thì chưa đủ
để đảm bảo các vấn đề về an ninh mạng
Kiến trúc bảo mật đề xuất bao gồm nhiều lớp bảo mật:
Phân lớp bảo vệ: sử dụng các công nghệ bảo mật như Firewall, IDS, IPS để
chống lại các tấn công xuất phát từ bên trong lẫn bên ngoài.
Bảo mật các kết nối mạng: đảm bảo các thông tin quan trọng được bảo mật trên
đường truyền.
Xác thực, nhận dạng và cấp quyền truy cập tới các tài nguyên trên hệ thống
Kiểm soát truy cập, đảm bảo an ninh tại phân lớp ứng dụng

3.3.3.1 An ninh cho các kết nối WAN
3.3.3.2 An ninh cho phần mạng trục của MPLS VPN Ngành tài chính
3.3.4 Triển khai MPLS VPN tại một số đơn vị quận/huyện
3.3.4.1 Triển khai thêm mới kênh truyền KBNN Quảng Bình - KBNN huyện
Ba Đồn
3.3.4.2 Triển khai thêm mới kênh truyền KBNN Thanh Hóa – Chi cục Hải
quan Tén Tằn

3.3.5 Kịch bản kiểm tra và đánh giá kết quả
Hiện tại đã triển khai MPLS VPN cho các cơ quan tài chính địa phương, các
phân hệ Thuế, Hải quan, kho bạc…
Vừa qua, Học viên cùng 1 đoàn đã đi kiểm tra, giám sát, đo kiểm chất lượng
dịch vụ, kênh truyền do nhà thầu VNPT và Viettel đã triển khai tại 5/63 tỉnh. Việc

kiểm tra chất lượng kênh truyền phải tuân thủ theo quy trình nghiêm ngặt, công việc
triển khai bao gồm:
Cấu hình router sử dụng tunnel trên các kênh truyền, đo kiểm kênh truyền.
Kiểm tra với lưu lượng thật
Kiểm nghiệm độ ổn định của hệ thống dịch vụ công cộng MPLS VPN
Chất lượng dịch vụ, tốc độ truyền số liệu thực tế so với tốc độ cam kết của dịch
vụ MPLS VPN
Kiểm nghiệm khả năng đảm bảo Security thực tế cho kết nối MPLS VPN của


22
nhà cung cấp dịch vụ.
Với công nghệ MPLS VPN, đã được kiểm chứng là không thể gửi 1 gói tin từ 1
VPN này tới 1 VPN khác, do đó không cần kiểm tra đặc tính này

3.3.5.1 Kênh truyền KBNN Khánh Hòa - Chi cục thuế Thị xã Cam ranh
3.3.5.2 Kênh truyền KBNN Lâm Đồng - Chi cục thuế TP Đà Lạt
3.3.5.3 Kênh truyền KBNN Bình Thuận - Cục thuế Bình thuận
3.3.5.4 Kênh truyền KBNN Khánh Sơn – KBNN Khánh Hòa
3.4.

Kết luận

Tóm lại, với giải pháp thiết kế hệ thống đưa ra đối với mạng truyền thông
NGÀNH TÀI CHÍNH đã khắc phục được nhược điểm của mô hình kết nối hiện tại và
thu được một hệ thống tổng thể mới đáp ứng được nhu cầu về tốc độ, an toàn dữ liệu,
chất lượng dịch vụ.
Hệ thống với thiết kế cập nhật các ứng dụng của các thành tựu mới kết hợp với
sự kế thừa của hệ thống hiện tại, cho phép tạo nên một hệ thống linh hoạt, có khả năng
phát triển, mở rộng cao, tính dự phòng cao, đáp ứng được các nhu cầu mới của toàn

NGÀNH TÀI CHÍNH trong tương lai.
Tuy nhiên, hiệu của của hệ thống mới không thể tính được cụ thể. Với thiết kế
mới, các thông tin trên toàn NGÀNH TÀI CHÍNH được xử lý an toàn, chính xác, kịp
thời và vì vậy đảm bảo hoạt động ổn định của toàn Ngành trước những yêu cầu mới.
Việc áp dụng công nghệ MPLS VPN đối với hệ thống mạng NGÀNH TÀI
CHÍNH thu được rất nhiều lợi ích. Trước tiên, có thể thấy rõ hệ thống mới không yêu
cầu thêm bất kỳ thiết bị mạng như Router, Switch nào so với hệ thống mạng IP truyền
thống. Tất cả các thiết bị Router, Switch tại TTT, TTM đều sẵn sàng hỗ trợ các tính
năng, giao thức MPLS, do đó việc xây dựng hệ thống MPLS VPN riêng chỉ đơn thuần
là triển khai sử dụng các tính năng sẵn có trên các thiết bị này.
Với việc xây dựng MPLS VPN riêng cho NGÀNH TÀI CHÍNH, Bộ Tài chính
sẽ tiết kiệm được rất nhiều chi phí để đảm bảo an ninh cho hệ thống, phân tách giữa
các phân hệ khác nhau bằng hệ thống Firewall, IPS, Anti-Virus cần thiết trên 63 TTT,
TTM so với khi chưa xây dựng hệ thống MPLS VPN riêng.
Hệ thống phù hợp với định hướng về CNTT của NGÀNH TÀI CHÍNH, đồng


23
thời phù hợp với xu thế phát triển công nghệ trên thế giới, không lãng phí, lạc hậu
trong tương lai. Phù hợp với môi trường tin học và viễn thông của Việt Nam trong
hiện tại, đón bắt được xu hướng công nghệ tại Việt Nam trong tương lai.