Kính thưa các thầy cô giáo và toàn thể các bạn sinh viên. Trong thời
gian vừa qua dưới sự hướng dẫn của thầy giáo TS. Nguyễn Phạm Anh Dũng,
em đã hoàn thành đồ án tốt nghiệp với đề tài “Công nghệ nối mạng riêng ảo
di động cho mạng 3G”. Sau đây em xin trình bày phần nội dung tóm tắt của
đồ án.
Đồ án được chia thành 3 chương:
- Chương I: Giới thiệu tổng quan nối mạng vô tuyến chủ yếu đi vào
tìm hiểu khía cạnh các dịch vụ số liệu trong các hệ thống
GPRS/UMTS và CDMA2000.
- Chương II: Tổng quan MVPN và cuối cùng là.
- Chương III: Các giải pháp VPN cho các hệ thống GPRS/UMTS và
CDMA2000.
Sau đây em xin trình bày cụ thể nội dung từng chương.
CHƯƠNG I:
1. Nối mạng số liệu vô tuyến CS và PS
Đầu tiên ta tìm hiểu các công nghệ nối mạng số liệu vô tuyến chuyển
mạch kênh và gói. Chiếu slide 2.
- Với nối mạng số liệu vô tuyến CS: các kênh dành riêng được ấn
định cho các thuê bao cho dù họ có sử dụng hay không.
- Với nối mạng số liệu vô tuyến PS: dựa trên cơ chế ghép kênh thống
kê các phiên người sử dụng trên giao diện vô tuyến. Do vậy tài
nguyên mạng chỉ được sử dụng trong thời gian truyền số liệu.
Vậy: Về lý thuyết, CS cung cấp băng thông hiệu dụng cho người sử dụng
lớn hơn nhưng lại sử dụng lãng phí hơn tài nguyên mạng. PS hiệu quả hơn
nhưng xảy ra hiện tượng tranh chấp băng thông hiệu dụng, dẫn đến nghẽn,
trễ và hiệu suất thông lượng trên mỗi người sử dụng thấp hơn.
Hỗ trợ nối mạng di động số liệu PS dựa trên các cơ chế truyền tunnel
khác nhau như MIP (sử dụng trong CDMA2000) và GTP (sử dụng trong
GPRS/UMTS).
Cơ chế truyền tunnel như hình vẽ. Các đường ngắt quãng đậm nét thể
hiện các tunnel quá khứ, liền nét thể hiện các tunnel hiện thời tích cực được

thiết lập động giữa điểm truy nhập mạng hiện thời và một điểm neo tunnel.
Do MS thay đổi vị trí trong mạng nên các tunnel cũng được thiết lập động
giữa mạng nhà của MS và mạng truy nhập vô tuyến khách.
2. Số liệu gói CDMA2000
Kiến trúc này cho phép các nhà cung cấp dịch vụ vô tuyến di động cung
cấp các dịch vụ gói 2 chiều sử dụng IP. Để cung cấp chức năng này ,
CDMA2000 sử dụng hai phương pháp truyền tunnel: IP đơn giản và IP di
động. Simple IP hỗ trợ di động hạn chế hơn MIP nhưng có ưu điểm là không
đòi hỏi phần mềm đặc biệt cài đặt trong trạm di động.
3. Số liệu gói GPRS/UMTS
 GPRS là một mở rộng nối mạng số liệu gói của hệ thống GSM và
có kiến trúc như hình vẽ. Chiếu slide 4.
- hai phần tử chính mới của GPRS là SGSN và GGSN tương tác với
nhau qua giao diện Gn dựa trên giao thức GTP
- GGSN neo giữ các phiên truyền số liệu và cung cấp truy nhập đến
các mạng số liệu gói bằng hỗ trợ kết cuối GTP tunnel từ SGSN mà
MS hiện thờib đang nối đến.
 UMTS có kiến trúc tương tự GPRS. Chiếu slide 5.
- điểm khác là giao thức GTP sử dụng trong UMTS là GTPv1 không
tương thích với giao thức GTPv0 được sử dụng trong GPRS.
CHƯƠNG II: chiếu slide 1
1. Định nghĩa VPN và các khối cơ bản của VPN. Chiếu slide 2
Nối mạng riêng ảo mô phỏng của các mạng số liệu riêng để đảm bảo an
ninh trên các phương tiện viễn thông công cộng chung không đảm bảo an
ninh. Các thuộc tính của VPN bao gồm các cơ chế để bảo vệ số liệu, thiết
lập sự tin tưởng giữa các máy trạm trong mạng ảo cũng như sự kết hợp giữa
các phương pháp khác nhau để đảm bảo các thỏa thuận mức dịch vụ SLA và
chất lượng dịch vụ QoS cho các thực thể tạo nên mạng VPN.
Các khối cơ bản của VPN bao gồm:
- Điều khiển truy nhập AC: là tập các chính sách và kĩ thuật điều

khiển việc truy nhập đến các tài nguyên nối mạng riêng cho các phía
được trao quyền. AC hoạt động độc lập với nhận thực và an ninh.
- Nhận thực AU: trong VPN, mọi thực thể liên quan đến truyền thông
tin phải có thể nhận dạng mình với các đối tác liên quan khác và
ngược lại. Nhận thực là quá trình cho phép các thực thể truyền thông
kiểm tra các nhận dạng như vậy.
- An ninh Sec: VPN được xây dựng trên các phương tiện công cộng
dùng chung không an ninh, do đó yêu cầu về toàn vẹn dữ liệu và mật
mã hóa là điều kiện không thể thiếu. Có thể đảm bảo an ninh bằng
cách triển khai các phương pháp mật mã hóa kết hợp với hệ thống
phân phối khóa an ninh.
- Truyền tunnel là nền tảng của VPN: bao gồm việc đóng bao một số
gói số liệu vào các gói khác theo một tập quy tắc được áp dụng cho cả
hai đầu cuối của tunnel. Kết quả là nội dung được đóng bao trong
tunnel là không thể thấy được khi truyền qua mạng công cộng không
an ninh. Nó thực hiện ba nhiệm vụ chính:
 Đóng bao
 Trong suốt đánh địa chỉ riêng
 Toàn vẹn số liệu đầu cuối-đầu cuối và bảo mật.
- SLA: các thực thể tham gia vào VPN bị ràng buộc bởi các thỏa thuận
để đạt được các mức dịch vụ yêu cầu cũng như lợi nhuận mong muốn.
Các thỏa thuận này được dự thảo giữa tất cả các bên liên quan để định
nghĩa các mức dịch vụ.
2. Phân loại VPN (chiếu slide 3 và slide 4)
Nêu nội dung có trong slide.
Do mục đích chính của đồ án nên ta chỉ đi xem xét cụ thể vào việc phân
loại VPN theo truyền tunnel. Bao gồm: VPN tự ý, bắt buộc và móc nối.
 VPN tự ý
- Cho phép người sử dụng ở xa có thể thiết lập một tunnel từ thiết bị
đầu cuối của mình đến một điểm kết cuối tunnel xác định. Kiểu dịch

vụ này được mô tả như sau. Chiếu slide 5.
- Ưu điểm:
+ là phương pháp đơn giản nhất để truy nhậpVPN từ xa.
+ đảm bảo truyền tin đầu cuối-đầu cuối an ninh và trong suốt để truy
nhập đến các mạng riêng.
- Nhược điểm:
+ vì nội dung các gói được đóng bao nên không thể kiểm tra tại các nút
trên tuyến tunnel trừ các điểm cuối tunnel, do vậy không thực hiện được
QoS và CoS.
+ do đóng bao bổ sung ở trên đoạn vô tuyến nên sẽ tiêu tốn thêm tài
nguyên vô tuyến vốn đã rất quý hiếm.
 VPN bắt buộc. chiếu slide 6
- Nhà cung cấp dịch vụ có thể cung cấp dịch vụ VPN bắt buộc bằng
cách móc nối nhiều tunnel hay cung cấp một tunnel duy nhất cho một
đoạn của tuyến số liệu giữa hai điểm cuối tham dự. Với dịch vụ VPN
bắt buộc, người sử dụng ở xa không cần tham dự vào quá trình thiết
lập VPN mà bị "buộc" phải sử dụng dịch vụ được cung cấp trước mỗi
khi cần truy nhập đến mạng. Các tunnel không tồn tại trên toàn tuyến
đến tận người sử dụng đầu cuối.
- Ưu điểm:
+ sử dụng tốt hơn giao diện vô tuyến nhờ không cần chi phí cho đóng bao
trên giao diện vô tuyến
+ thiết bị đầu cuối đơn giản hơn
+ nhà ccấp dịch vụ có khả năng kiểm soát lớn hơn đối với người sử dụng
- Nhược điểm:
+ phải có một phần tuyến số liệu riêng không được bảo vệ
+ phải tin tưởng vào nhà cung cấp dịch vụ
+ phải thiết lập nhiều thỏa thuận mức dịch vụ và bảo mật phức tạp
 VPN móc nối
- VPN này bao gồm một tập các tunnel móc nối để kéo dài toàn bộ

đường truyền đến thiết bị đầu cuối. VPN tunnel móc nối có thể có
nhiều dạng như thấy trên hình vẽ. Đây là một số cách móc nối tunnel
trong mạng GPRS.
- Giống VPN tự ý: VPN móc nối đảm bảo bảo vệ số liệu đầu cuối-đầu
cuối của người sử dụng. Và người sử dụng tham gia vào khởi đầu
tunnel.
- Giống VPN bắt buộc: nhà cung cấp dịch vụ tham gia vào cung cấp và
cấu trúc tunnel móc nối và có thể dễ dàng áp dụng QoS và tạo dạng
lưu lượng tại các điểm móc nối tunnel. Tuy nhiên sự tham gia này
không cần SLA và các xử lý số liệu.
Chiếu slide 7: Cả ba công nghệ VPN phân theo truyền tunnel như trình bày
ở trên đều được áp dụng trong vô tuyến và di động. Mỗi dạng VPN đều có
những ưu và nhược điểm, sẽ đồng thời tồn tại tùy thuộc vào điều kiện cụ thể.
CHƯƠNG III:
I. Giải pháp VPN cho GPRS/UMTS
1.Các giải pháp công nghệ số liệu gói. Slide 2
Cả GPRS và UMTS đều có khả năng cung cấp các dịch vụ số liệu gói.
Phần tử GGSN cung cấp các diểm truy nhập đến các mạng số liệu gói thông
qua một tên logic gọi là APN. Dựa trên APN và việc tra cứu thông tin xử lý
phiên được sử dụng để lập cấu hình cho APN này, các dịch vụ truy nhập
mạng khác nhau có thể được cung cấp tại GGSN. Các dịch vụ này có thể
được phân loại thành:
Kiểu IP PDP:
Simple IP (IP đơn giản).
IP với các tùy chọn cấu hình giao thức.
Chuyển tiếp DHCP và MIPv4.
Kiểu PPP PDP (bắt đầu có từ R98):
Chuyển tiếp PPP
PPP kết cuối tại GGSN.
Ta sẽ xét cụ thể các trường hợp IP PDP và PPP PDP.

 Kiểu IP PDP: chiếu slide 3
Bao gồm các cách khác nhau để ấn định địa chỉ IP, lập cấu hình máy trạm,
và kết nối lớp thấp hơn đến mạng IP.
 Kiểu IP đơn giản: Khi PDP context khởi xướng bởi
mạng được hỗ trợ, địa chỉ IP cần được liên kết cố định với IMSI của
MS. Địa chỉ IP này được ấn định bằng cách sử dụng các nhóm địa chỉ
tại GGSN hay RADIUS hay DHCP client, nó được thông báo cho MS
trong IE địa chỉ của người sử dụng đầu cuối của trả lời GTP Create
PDP context (tạo lập ngữ cảnh PDP) và các bản tin tiếp nhận Activate
PDP Context (tích cực PDP context).
- Hạn chế: không đảm bảo an ninh do nhận thực người sử dụng chủ yếu
dựa vào nhận thực của mạng vô tuyến.
 IP với các tùy chọn cấu hình giao thức PCO (chiếu
slide 4): Trong phương pháp này, bản tin Creat PDP Context chứa
PCO IE có chứa cấu hình máy trạm và thông tin nhận thực trao đổi
giữa các phần tử TE và MT của MS.
TE gửi thông tin nhận thực đến MT qua liên kết PPP, sau đó MT
chuyển vào chế độ IPCP (IP Configuration Protocol) vào thành phần
PCO IE của bản tin Activate PPP Context ở SGSN rồi được chuyển
đến GGSN trong bản tin Creat PDP Context.
Sau đó GGSN trả lời MS bằng cách sử dụng PCO IE trong trả lời
Creat PDP Context.
- Phương pháp này bổ sung thêm khả năng nhận thực người sử dụng
đối với mạng vô tuyến dựa trên bí mật dùng chung giữa thực thể quản
lý mạng và người sử dụng. Do vậy an ninh chặt chẽ hơn IP đơn giản.
 Chuyển tiếp DHCP và MIPv4 (chiếu slide 5):
- Khi một yêu cầu Create PDP context được phát đến GGSN để lập
cấu hình APN nhằm hỗ trợ DHCP, một trả lời Create PDP context
được gửi ngược lại SGSN ngay lập tức mà không có bất cứ nhận
thực người sử dụng nào khác với ở chế độ truy nhập đơn giản. Trả

lời này định nghĩa một GTP tunnel và một kênh mang đến một MS
mà không có bất cứ địa chỉ MS IP nào liên kết với nó. Tunnel này có
thể được sử dụng để trao đổi các bản tin cấu hình DHCP và các bản
tin đăng ký. Sau đó MS sẽ được ấn định một địa chỉ IP bằng cách sử
dụng DCHP.
- Chế độ truy nhập DHCP được sử dụng khi các phương pháp lập cấu
hình máy trạm và khi chế độ truy nhập "giống LAN" được yêu cầu.
nhận thực người sử dụng trong phương pháp này cũng gặp phải các
nhược điểm giống như trong chế độ IP đơn giản. Tuy nhiên ở đây