Tải bản đầy đủ (.pdf) (121 trang)
  1. Trang chủ
    2. >>
  2. Cao đẳng - Đại học
    3. >>
  3. Công nghệ thông tin

Phương án triển khai mạng MPLS VPN trên nền mạng VNN

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.4 MB, 121 trang )

0

§¹i häc quèc gia Hµ Néi
tr­êng ®¹i häc c«ng nghÖ
------------------------------------------

LÊ THỊ THU HÀ

PHƯƠNG ÁN TRIỂN KHAI MẠNG MPLS/VPN
TRÊN NỀN MẠNG VNN

LUẬN VĂN THẠC SĨ

Hµ Néi – 2006


1

CÁC THUẬT NGỮ VIẾT TẮT

AS

Autonomous System

Một vùng mạng (một hệ thống tự quản
trị)

ADSL

Asymmetric Digital Subscriber
Line



Đường thuê bao số bất đối xứng

ATM

Asynchronous Transfer Mode

Chế độ truyền dẫn không đồng bộ

AToM

Any Transport over MPLS

Chuyển tải bất kỳ trên MPLS

BGP

Border Gateway Protocol

Giao thức định tuyến, được dùng khi
định tuyến giữa các AS khác nhau

CE

Customer Edge

Thiết bị biên phía khách hàng

CEF


Cisco Equivalence Fowarding

Thiết bị chuyển tiếp Cisco

CoS

Class of Service

Lớp dịch vụ

CPE

Customer Premise Equipment

Thiết bị phân phối phía khách hàng

CR-LDP

Constraint-based Routing Label
Distribution Protocol

Giao thức phân phối nhãn ràng buộc

DLCI

Data-link connection identifier

Nhận dạng kết nối dữ liệu

EIGRP


Exterior Gateway Router
Protocol
Frame Relay

Giao thức định tuyến ngoại biên

Lớp chuyển tiếp tương đương

GRE

Forwarding Equivalence
Classes
Generic Routing Encapsulation

iBGP

Interior BGP

Giao thức định tuyến nội mạng

IDC

Internet Data Centre

Trung tâm dữ liệu Internet

IETF

Internet Enginering Task Force


Tổ chức nghiên cứu và phát triển mạng
Internet

IGP

Interior Gateway Protocol

Giao thức cổng nội vi

FR
FEC

Chuyển tiếp khung

Bộ Định tuyến đóng gói cùng loại


2

IOS

Internetworking Operating
System

Phần mềm hệ thống cho các thiết bị của
Cisco như router, switch

IP


Internet Protocol

Giao thức Internet

IPSec

Internet Protocol SECurity

Giao thức bảo mật cho IP

IP-VPN

Internet Protocol-Virtual
Private Network

Mạng riêng ảo (dựa trên IP)

IS_IS

Intermediate System Intermediate System

Hệ thống trung gian

ISP

Internet Service Provider

Nhà cung cấp dịch vụ Internet

IXP


Internet eXchange Provider

Nhà cung cấp kết nối Internet

LAN

Local Area Network

Mạng cục bộ

LDP

Label Distribution Protocol

Giao thức phân phối nhãn

LER

Label-Edge Router

Bộ định tuyến chuyển mạch nhãn biên

LIB

Label Information Base

Cơ sở thông tin nhãn

L2F

L2TP

Layer Two Forwarding
Layer Two Tunneling Protocol

Chuyển tiếp lớp 2
Giao thức đường hầm lớp 2

LFIB

Cơ sở thông tin nhãn chuyển tiếp

LSP

Label Forwarding Information
Base
Label Switch Path

LSR

Label Switch Router

Bộ định tuyến chuyển mạch nhãn

MPLS

Multi-Potocol Label Switching

Chuyển mạch nhãn đa giao thức


MP- BGP

Multiprotocol BGP

Đa giao thức định tuyến

MP- iBGP

Multiprotocol BGP

Đa giao thức định tuyến nội mạng

MTU

Maximum Transmission Unit

Số lượng unit truyền lớn nhất

NAS

Network Access Server

Máy chủ truy nhập mạng

NAT

Network Address Translator

Bộ dịch địa chỉ mạng


NGN

Next-Generation Network

Mạng thế hệ sau

OSPF

Open Short Path First

Giao thức định tuyến đường đi ngắn nhất

P

Provider router

Router của nhà cung cấp dịch vụ

PE

Provider Edge router

Router ở biên của nhà cung cấp

Đường chuyển mạch nhãn


3

POP


Point of Present

Điểm có mặt dịch vụ

PPP

Point to Point Protocol

Giao thức điểm - điểm

PPTP

Point-to-Point Tunneling
Protocol
Permanent Virtual Circuit

Giao thức đường hầm điểm - điểm

PSTN

Public Switch Telephone
Network

Mạng điện thoại chuyển mạch PSTN

QoS

Quality of Service


Chất lượng dịch vụ

RFC

Request For Comment

Chuẩn khuyến nghị

RSVP

Resource Reservation Protocol

Giao thức định tuyến đặt trước tài
nguyên

SLA

Service-Level Agreement

Thỏa thuận mức dịch vụ

SMTP

Simple Mail Transfer Protocol

Giao thức chuyển thư đơn giản

SONET

Synchronous Optical NETwork


Mạng quang đồng bộ

SOO

Site of Origin

Site nguồn

SP

Services Provider

Nhà cung cấp dịch vụ mạng

SPED

Services Provider Edge Device

Thiết bị biên của nhà cung cấp dịch vụ

SPF

Short Path First

Giải thuật tìm đường đi ngắn nhất, dùng
trong các giao thức định tuyến

TE


Traffic Engineering

Thiết kế / điều khiển lưu lượng

VCI

Virtual Channel Identification

Số nhận dạng kênh ảo

VPI

Virtual Path Identification

Số nhận dạng đường ảo

VPN

Virtual Private Network

Mạng riêng ảo

VR

Virtual Router

Bộ định tuyến ảo

VRF


VPN Routing and Forwarding

Bảng định tuyến và chuyển tiếp VPN

RSVP-TE

Resource Reservation Protocol
- Traffic Engineering

Giao thức thiết kế lưu lượng dành sẵn tài
nguyên

VC ID

Virtual Connection Identifier

Nhận dạng kết nối ảo

WAN

Wide Area Network

Mạng diện rộng

PVC

Kênh ảo cố định


4


DANH MỤC BẢNG BIỂU
Bảng 1.1. Nhu cầu MPLS/VPN từ 2005 đến 2008 tại Việt Nam ................................... 10
Bảng 1.2. Nhu cầu MPLS/VPN tại các tỉnh thành tại Việt Nam ................................... 11
Bảng 3.1. Cấu trúc bảng LIB......................................................................................... 39
Bảng 3.2. Cấu trúc bảng LFIB ...................................................................................... 39
Bảng 4.1. Địa chỉ Loopback trong Mạng_Test.............................................................. 48
Bảng 5. 1. Địa chỉ IP của khách hàng A và B ................................................................ 58
Bảng 5.2. Địa chỉ IP của Gateway VOIP trong mạng Big_Net .................................... 61
Bảng 5.3. Các VRF trong các router PE của mạng Big_Net ........................................ 62
Bảng 5.4. Mối liên hệ giữa VRF và route target trong mạng Big_Net ......................... 63
Bảng 5.5. Địa chỉ IP của khách hàng VPN và địa chỉ loopback của router mạng lõi.. 69


5

DANH MỤC CÁC SƠ ĐỒ, HÌNH VẼ
Hình 1.1. Đồ thị biểu diễn sự tăng trưởng dịch vụ MPLS/VPN trên toàn cầu........... 10
Hình 1.2. Các dịch vụ Internet và các ứng dụng MPLS ............................................. 12
Hình 2.1. Sơ đồ kết nối của một hệ thống VPN .......................................................... 15
Hình 2.2. Khái niệm đường hầm trong VPN .............................................................. 16
Hình 2.3. Mô hình VPN đơn giản và vai trò của các thiết bị CE,P,PE..................... 17
Hình 2.4. Mô tả việc phân loại VPN theo Công nghệ Lớp 2, Lớp 3 .......................... 19
Hình 2.5. Ví dụ mạng VPN Overlay ........................................................................... 20
Hình 2.6. Định tuyến trong ví dụ hình 2.4 .................................................................. 21
Hình 2.7. Ví dụ mạng VPN ngang hàng ..................................................................... 22
Hình 2.8. Mô hình VPN ngang hàng: Cấu hình router dùng chung .......................... 23
Hình 2.9. Mô hình VPN ngang hàng: Cấu hình router dành riêng............................ 24
Hình 2.10. VPN cho các mạng ẩn hoặc mạng cần bảo vệ ......................................... 25
Hình 3.1. Tiến trình chuyển tiếp gói tin IP ................................................................. 29

Hình 3.2. Mạng IP-ATM ............................................................................................. 29
Hình 3.3. Mô tả lớp MPLS.......................................................................................... 32
Hình 3.4. Mô hình các lớp tương ứng IP/MPLS và lớp OSI ...................................... 33
Hình 3.5. Ví dụ về chuyển tiếp gói tin trong MPLS.................................................... 34
Hình 3.6. Lớp chuyển tiếp tương đương ..................................................................... 36
Hình 3.7. Định dạng nhãn MPLS ............................................................................... 37
Hình 3.8. Ngăn xếp nhãn ............................................................................................ 40
Hình 3.9. Quan hệ giữa giao thức LDP với các giao thức khác ............................... 41
Hình 3.10. Mô tả các quá trình hoạt động của MPLS với gói tin truyền trên mạng.. 42
Hình 3.11. Kiến trúc của một router chuyển mạch nhãn trong MPLS....................... 43
Hình 3.12. Cơ chế hoạt động của MPLS .................................................................... 45
Hình 3.13. Quá trình chuyển gói trong MPLS............................................................ 46
Hình 4.1. Kiến trúc của Edge-LSR (router chuyển mạch nhãn biên)......................... 47
Hình 4.2. Mô hình Mạng thử nghiệm (Mạng_Test).................................................... 48
Hình 4.3. Chuyển tiếp gói giữa POP Quảng Ninh và khách hàng ở Vũng Tàu ........ 49
Hình 4.4. Vị trí của nhãn MPLS trong khung lớp 2 ................................................... 50
Hình 4.5. Mào đầu của ngăn xếp nhãn MPLS............................................................ 50
Hình 4.6. Các kỹ thuật đóng mở gói trong MPLS ...................................................... 51
Hình 4.7. Chuyển mạch nhãn với ngăn xếp nhãn MPLS............................................ 53
Hình 5.1. Mô hình các khách hàng VPN của Mạng Big_Net ..................................... 57
Hình 5.2. Cấu trúc các router ảo được tạo ra trong một router PE .......................... 59
Hình 5.3. Ứng dụng dịch vụ VOIP trong mạng Big_Net............................................ 60


6

Hình 5.4. Yêu cầu kết nối VPN trong mạng Big_Net ................................................. 61
Hình 5.5. Các thủ tục định tuyến sử dụng trong mạng VPN khách hàng A ............... 64
Hình 5.6. Hoạt động của thủ tục định tuyến trong mạng Big_Net ............................. 65
Hình 5.7. Các bước chuyển tiếp gói VPN................................................................... 66

Hình 5.8. Phương thức xác định nhãn truyền của gói VPN ....................................... 67
Hình 5.9. Cấu trúc mạng Intranet MPLS/VPN cơ bản............................................... 68
Hình 5.10. Router PE so sánh các tuyến BGP ........................................................... 70
Hình 5.11. Router PE so sánh các tuyến VPN-IPv4................................................... 71
Hình 5.12. Chính sách xuất nhập tuyến sử route target............................................. 72
Hình 5.13. Thông tin mở rộng BGP SOO................................................................... 73
Hình 6.1. Phân mạng IXP........................................................................................... 77
Hình 6.2. Phân mạng ISP ........................................................................................... 78
Hình 6.3. Sơ đồ đấu nối chi tiết tại các POP các tỉnh như sau .................................. 79
Hình 6.4. Mô hình mạng VPN thuộc công ty VDC quản lý ........................................ 83
Hình 6.5. Kết nối Interntet và MPLS VPN chia sẻ ..................................................... 85
Hình 6.6. Mô hình kết nối Internet và MPLS VPN chia sẻ một phần ........................ 85
Hình 6.7. Mô hình kết nối Internet và MPLS VPN tách biệt hoàn toàn .................... 86
Hình 6.8. Mô hình kết nối đơn giản ........................................................................... 87
Hình 6.9. Kết nối VPN đến Internet qua sub-interface .............................................. 88
Hình 6.10. Truy cập Internet qua Firewall ................................................................ 88
Hình 6.11. Kết nối Internet với nhiều ISP .................................................................. 89
Hình 6.12. Cấu trúc phân lớp của mạng VNN hiện tại .............................................. 90
Hình 6.13. Cấu trúc phân lớp của mạng VNN ở miền Bắc ........................................ 91
Hình 6.14. Cấu trúc tổng thể của mạng MPLS/VPN.................................................. 91
Hình 6.15. Sơ đồ thiết kế mạng MPLS/VPN chạy trên nền mạng VNN ..................... 93
Hình 6.16. Sơ đồ cấu trúc mạng VNN khi triển khai ứng dụng MPLS....................... 96
Hình 6.17. Mô hình mạng Intranet của khách hàng A ............................................... 99
Hình 6.18. Mạng khách hàng A chạy trên hạ tầng mạng ........................................... 99
MPLS/VPN của nhà cung cấp dịch vụ
Hình 6.19. Cơ chế trao đổi MP-BGP trên mạng VNN khi sử dụng RR.................... 102
Hình 6.20. Kết nối mạng MPLS VNN với các mạng MPLS Carrier quốc tế ........... 103
Hình 7.1. Sơ đồ kết nối mạng Intranet VPN ............................................................. 104
Hình 7.2. Triển khai kết nối VPN Intranet giữa các site .......................................... 105
Hình 7.3. Mô hình kết nối mạng Extranet VPN........................................................ 106

Hình 7.4. Thông tin định tuyến trong mô hình Extranet VPN .................................. 107
Hình 7.5. Mô hình VPN trung tâm dịch vụ ............................................................... 109
Hình 7.6. Triển khai mạng MPLS/VPN theo mô hình hub-to-spoke ....................... 110


7

MỞ ĐẦU
Công nghệ thông tin đang trở thành vấn đề mấu chốt cho sự phát triển của thế giới nói
chung và Việt Nam nói riêng. Phát triển cơ sở hạ tầng viễn thông/Internet và những ứng
dụng trên đó sẽ tạo điều kiện thuận lợi cho nền kinh tế phát triển, nâng cao dân trí, tiếp cận
khoa học công nghệ một cách nhanh chóng thuận tiện. Trong các tổ chức, doanh nghiệp,
để nâng cao quá trình trao đổi thông tin và điều hành sản xuất thì việc kết nối các mạng
máy tính với nhau là một xu thế tất yếu. Khi thường xuyên phải đối mặt với vấn đề an ninh
mạng, các tổ chức, doanh nghiệp sẽ nghiên cứu xây dựng mạng riêng cho cơ quan của họ.
Việc thuê kênh truyền dẫn để xây dựng mạng riêng sẽ rất tốn kém và không linh hoạt trong
phát triển mở rộng. Chính vì vậy xây dựng mạng riêng ảo (VPN) ngày càng có xu hướng
phát triển, vừa tiết kiệm chi phí thuê kênh vừa linh hoạt trong phát triển mở rộng mạng.
Với việc giảm giá thành sản phẩm, các giải pháp công nghệ VPN mới đã thúc đẩy dịch
vụ VPN ngày càng phát triển và được sử dụng rộng rãi trong các tổ chức, doanh nghiệp.
Nhưng các công nghệ VPN hiện nay vẫn còn nhiều nhược điểm nhất định, chưa đáp ứng
được các yêu cầu của khách hàng. Công nghệ MPLS/VPN ra đời là một sự bứt phá, đánh
dấu quá trình phát triển nhảy bậc của VPN.
Bản luận văn “Phương án triển khai mạng MPLS/VPN trên nền mạng VNN (mạng
Internet Việt Nam)” được xây dựng với mong muốn góp phần vào việc nghiên cứu hệ
thống mạng riêng ảo dựa trên công nghệ chuyển mạch nhãn đa giao thức (MPLS/VPN).
Đây là một công nghệ chuyển mạch mới hứa hẹn cung cấp khả năng quản lý chất lượng
dịch vụ cao và nhiều ứng dụng mới, đồng thời cho phép các công nghệ mạng hiện tại như
ATM, Frame Relay… cùng tồn tại và hoạt động với các mạng IP. Công nghệ MPLS/VPN
tận dụng được tối đa mạng IP sẵn có, nâng cao hiệu quả hoạt động của mạng, tăng cường

tính bảo mật của dữ liệu và nâng cao chất lượng dịch vụ cho mạng Internet VNN. Đây
chính là nhu cầu cấp thiết của ngành Viễn thông Việt Nam trong giai đoạn hiện nay khi
chúng ta đang gấp rút xây dựng mạng thế hệ sau (NGN) cho các dịch vụ mới trên cơ sở
công nghệ gói.
Nội dung bản luận văn gồm 7 chương sau:
Chương 1: Xu hướng phát triển của mạng MPLS/VPN và nhu cầu triển khai ứng dụng
công nghệ MPLS/VPN.
Phân tích các xu hướng phát triển của thị thường MPLS/VPN thế giới để thấy được nhu
cầu triển khai công nghệ MPLS/VPN cho mạng Internet Việt Nam là cần thiết.


8

Chương 2: Tổng quan về mạng riêng ảo (VPN).
Chương này giới thiệu tổng thể về mạng riêng ảo, phân tích ưu nhược điểm của các mô
hình VPN và công nghệ triển khai các loại hình dịch vụ trên VPN.
Chương 3. Công nghệ chuyển mạch nhãn (MPLS) và các hoạt động.
Giới thiệu các thành phần cơ bản của MPLS, các giao thức định tuyến và phân phối
nhãn. Nghiên cứu những mặt hạn chế của phương thức chuyển tiếp gói tin trên mạng IP và
phân tích cách khắc phục những hạn chế đó của công nghệ MPLS dựa trên cơ chế hoạt
động của kiến trúc MPLS.
Chương 4: Cơ chế hoạt động của MPLS trên nền mạng IP.
Nghiên cứu ví dụ trên một mạng thử nghiệm để tìm hiểu hoạt động của MPLS trên nền
mạng IP
Chương 5: Nghiên cứu triển khai công nghệ MPLS cho VPN và cơ chế hoạt động của
kiến trúc MPLS/VPN.
Dựa trên các ví dụ nghiên cứu, ứng dụng trên một mạng cụ thể, để từ đó phân tích chi
tiết hoạt động của công nghệ MPLS/VPN. Những khái niệm quan trọng nhất trong chương
này là thiết lập bảng VRF, giá trị Router Target, Router Distinguisher và thủ tục định tuyến
MP-BGP.

Chương 6: Phương án triển khai mạng MPLS/VPN trên hạ tầng mạng VNN.
Qua phân tích hiện trạng của mạng VNN để đưa ra phương án triển khai mạng
MPLS/VPN trên hạ tầng mạng sẵn có. Cụ thể là nghiên cứu các giải pháp kỹ thuật, nâng
cấp thiết bị, cấu hình router và các mô hình kết nối ứng dụng.
Chương 7: Giải pháp triển khai các mô hình MPLS/VPN cho khách hàng và các vấn đề
cần giải quyết.
Dựa vào các nội dung trong phân tích lý thuyết để xây dựng các mô hình mạng
MPLS/VPN thực tế cho khách hàng. Phân tích các vấn đề cần giải quyết khi triển khai
mạng MPLS/VPN trên nền mạng VNN.


9

Chương 1: XU HƯỚNG PHÁT TRIỂN CỦA MẠNG MPLS/VPN VÀ NHU
CẦU TRIỂN KHAI ỨNG DỤNG CÔNG NGHỆ MPLS/VPN
Công nghệ MPLS/VPN được tổ chức IETF chính thức đưa ra vào cuối năm 1997, cuối
những năm 90 đã được coi là một công nghệ tương lai làm tăng cường tính năng cho mạng
IP hiện tại. Đến các năm 2000 và trong các năm 2001, 2002 trở lại đây đã có nhiều nhà
cung cấp dịch vụ lớn trên thế giới triển khai ứng dụng công nghệ này trên mạng lưới và bắt
đầu cung cấp ra thị trường.
Công nghệ MPLS/VPN được phát triển với ý tưởng đơn giản hóa quá trình định tuyến
lưu lượng truyền trên mạng Internet, dựa trên nền thiết bị mạng (hardware) so với dùng
phần mềm như trước đây. Điều này làm cho quá trình định tuyến và chuyển dữ liệu nhanh
hơn nhiều so với các công nghệ khác. Công nghệ MPLS/VPN đã trở thành một công nghệ
lý tưởng cho việc quản lý dữ liệu trên mạng công cộng và trở thành một thành phần cốt lõi
trong một mạng riêng ảo.
MPLS/VPN hiện trở thành một công nghệ chuẩn được hỗ trợ bởi nhiều nhà cung cấp
thiết bị, giải pháp trên thế giới, nó kết hợp được ưu điểm của công nghệ chuyển mạch kênh
đồng thời loại bỏ được các yếu điểm của công nghệ IP truyền thống nhưng vẫn tận dụng
được thế mạnh về tính linh hoạt của công nghệ IP.

Việc cung cấp dịch vụ này xuất phát từ yêu cầu của khách hàng và yêu cầu của nhà cung
cấp dịch vụ: một công nghệ có khả năng đơn giản trong quản lý, đáp ứng được sự biến
động về kỹ thuật, cung cấp một hệ thống mạng ổn định với chất lượng cao (QoS), đáp ứng
nhu cầu khách hàng. Công nghệ MPLS và đặc biệt là chuyển gói tin trên nền MPLS được
đánh giá là sự hội tụ của truyền thông ATM và mạng IP hiện tại.
1.1. DỰ BÁO SỰ PHÁT TRIỂN CỦA MẠNG MPLS/VPN TRÊN THẾ GIỚI VÀ
TRONG NƯỚC TRÊN NỀN MẠNG VNN [2,22]
Theo sự phân tích của các chuyên gia nghiên cứu mạng lưới trên thế giới thì tổng thu
nhập của các nhà cung cấp dịch vụ có sử dụng mạng VPN là rất cao. Nhóm nghiên cứu
Probe Research ước tính rằng doanh thu của dịch vụ IP-VPN của Mỹ đạt được trong năm
2005 là 7.1 tỷ đô la, của Châu Âu là 850 triệu đô la; và dự đoán của toàn thế giới vào năm
2009 sẽ lên tới 37 tỷ đôla (Theo CAMPBELL, California, July 6, 2006).
Ở châu Á tại Singapore theo nghiên cứu của công ty Gartner, công ty chuyên nghiên
cứu về lĩnh vực công nghệ cho biết, doanh thu từ thị trường IP VPN của Singapore trong
nǎm 2002 là 975 triệu USD, tǎng hơn 300% so với nǎm 2001. Thị trường này hy vọng sẽ
đạt mức doanh thu là 3,2 tỷ USD vào nǎm 2007.


10

Hình 1.1. Đồ thị biểu diễn sự tăng trưởng dịch vụ MPLS/VPN trên toàn cầu
Còn ở Việt Nam, trên cơ sở nhu cầu khách hàng tiềm năng và sự phát triển khách hàng
VPN trên thế giới, dựa trên dự đoán của các chuyên gia nghiên cứu phát triển thị trường
của VNPT, nhu cầu MPLS/VPN được thể hiện qua các con số trong bảng sau:
Dự kiến khách hàng

2004

2005


2006

2007

2008

Tổng số khách hàng/số
Ports

10

63

144

234

337

Bảng 1.1. Nhu cầu MPLS/VPN từ 2005 đến 2008 tại Việt Nam
Phân bổ khách hàng MPLS/VPN cho các tỉnh/thành phố điển hình của Việt Nam:
Vùng

Bắc

Tỉnh/Thành
phố

2004


2005

2006

2007

2008

10

63

144

234

337

Hà Nội

3

16

26

36

47


Hải Phòng

2

3

6

8

Hải Dương

1

2

6

10

1

2

3

1

3


6

8

4

7

12

14

Huế

1

2

3

Thanh Hóa

1

2

3

Nghệ An


1

2

3

Quảng Bình

1

2

3

Nam Định
Hà Tây
Đà Nẵng
Trung

1


11

TP Hồ Chí Minh

3

Bình Dương
Nam


10

22

39

54

4

17

25

35

Vũng Tàu

1

3

8

13

20

Đồng Nai


2

6

13

22

34

3

4

7

Cần Thơ

Bảng 1.2. Nhu cầu MPLS/VPN tại các tỉnh thành tại Việt Nam
Nhận xét:
Với nhu cầu sử dụng dịch vụ là khá lớn và trải khắp cả nước, đòi hỏi cần phải xây dựng
hệ thống cung cấp dịch MPLS/VPN cho toàn quốc.
Các chuyên gia dự báo của VNPT cho rằng công nghệ MPLS/VPN hoàn toàn phù hợp
với định hướng phát triển của mạng Viễn thông VNPT đến năm 2010.
1.2. NHU CẦU CUNG CẤP DỊCH VỤ VPN TRÊN NỀN MẠNG VNN [2]
 Mạng Internet trở thành cơ sở hạ tầng chung cho nhiều dịch vụ phát triển trên nó.
 Ngày càng nhiều các công ty, văn phòng đại diện... sử dụng Internet như là một môi
trường để kết nối các chi nhánh, các cơ sở của họ lại với nhau.
 Mạng lưới sẽ được triển khai tới 64/64 tỉnh, thành có POP Internet.

 Các khách hàng doanh nghiệp có nhiều chi nhánh sử dụng đường Internet trực tiếp
như một môi trường để trao đổi thông tin.
 Sử dụng VPN trên mạng VNN cho phép triển khai cung cấp dịch vụ tới toàn quốc.
 Tính bảo mật cao do sử dụng các công nghệ mã hóa tối ưu.
1.3. KHÁCH HÀNG MỤC TIÊU
 Các đơn vị hoạt động trong lĩnh vực ngân hàng, bảo hiểm, hàng hải....
 Các văn phòng đại diện các công ty nước ngoài tại Việt Nam, đặc biệt liên quan đến
viễn thông, tin học, sản xuất.
 Các doanh nghiệp trong các khu công nghiệp, khu chế xuất, doanh nghiệp sản xuất
trên diện rộng.
 Các khu công nghệ phần mềm, các đơn vị sản xuất phần mềm.
 Các cơ quan Chính phủ, các Bộ, các Tổng công ty
1.4. CÁC DỊCH VỤ CÓ THỂ CUNG CẤP CỦA MẠNG MPLS/VPN [22]
Ba dịch vụ Internet hiện tại: dữ liệu (data), thoại (voice) và video được biểu diễn trên hình
1.2. Ba dịch vụ này được sử dụng trong rất nhiều các ứng dụng của MPLS. Các ứng dụng
được biểu diễn bằng các lớp như hình vẽ.


12

Điều khiển lưu lượng (TE)
Mạng riêng ảo (VPN)
Dịch vụ khôi phục đường (Restoral Service)
Các ứng dụng MPLS mới (New MPLS Applications)
Dữ liệu (data)

Thoại (voice)

Video


Dịch vụ Internet khác

Internet Connection
Internet
Hình 1.2. Các dịch vụ Internet và các ứng dụng MPLS
Các dịch vụ Internet có thể chia làm ba nhóm chính, đó là: dữ liệu, thoại và video. Mỗi
nhóm dịch vụ này có các đòi hỏi tài nguyên riêng của chúng để hoạt động tin cậy và hiệu
quả trên Internet. Các dịch vụ thoại thường đòi hỏi độ trễ thấp và có sự biến đổi trễ nhỏ.
Các ứng dụng thoại có thể chịu được sự mất mát dữ liệu ở một mức độ nào đó. Các dịch vụ
dữ liệu gói có thể cho phép độ trễ cao, biến đổi trễ cao hơn thoại và cũng có thể hoạt động
tốt hơn với sự thay đổi băng thông. Hầu hết các ứng dụng dữ liệu có thể hoạt động hiệu quả
với mô hình chất lượng dịch vụ best-effort, đây là chất lượng dịch vụ hiện tại trong hầu hết
các mạng Internet dựa trên IP hiện nay. Video và các dịch vụ đa phương tiện (video,
text(văn bản), graphic (hình ảnh), animation(file động)) có thể chịu được trễ lớn hơn thoại
nhưng lại đòi hỏi không mất dữ liệu.
Các ứng dụng MPLS được thiết kế để sắp xếp có hệ thống và sử dụng tài nguyên mạng
một cách hiệu quả, bao gồm các tuyến (router), các liên kết (link) và băng thông tổng cộng
(total bandwidth). Các ứng dụng cũng được thiết kế để tạo ra các mạng riêng ảo VPN và
đáp ứng các đòi hỏi cung cấp nhiều mức chất lượng dịch vụ khác nhau (Q0S). Các ứng
dụng MPLS cũng được phát triển để sử dụng trong việc khôi phục đường, giảm thiểu sự cố
mạng và gián đoạn dịch vụ. Kiến trúc mềm dẻo của MPLS cũng cung cấp cho rất nhiều các
ứng dụng MPLS khác nhau phát triển.
Có bốn nhóm ứng dụng MPLS chính hiện nay đang được thực hiện và sử dụng trên
Internet:
 TE (Traffic Engineering): Điều khiển lưu lượng.
 VPN (Virtual Private Network): Mạng riêng ảo.
 Internet Q0S (Quality of Service): Chất lượng dịch vụ.
 Path Restoral: Khôi phục đường.



13

Chương 2: MẠNG RIÊNG ẢO (VPN)
Chương này giới thiệu tổng quan về dịch vụ VPN, các thuật ngữ VPN cơ bản, phân loại
mạng VPN và các công nghệ truyền thống để triển khai mạng riêng ảo.
2.1. KHÁI NIỆM [2]
Dịch vụ mạng riêng ảo (VPN- Virtual Private Networks) được hiểu là: việc tạo ra một
mạng diện rộng dùng riêng, sử dụng các thiết bị và các phương tiện truyền dẫn của một
mạng công cộng ví dụ như mạng Internet. Kỹ thuật VPN cho phép kết nối một máy chủ
nằm xa hàng ngàn dặm với mạng LAN của công ty và làm cho nó trở thành một điểm truy
cập hay một máy PC nữa trong mạng LAN. Kỹ thuật đó có thể được tạo ra bằng cách sử
dụng phần mềm, phần cứng hay kết hợp cả hai phần đó để tạo ra một kết nối bảo mật giữa
hai mạng riêng (private network) đi qua mạng công cộng. Mạng riêng ảo VPN bao gồm
hai phần: mạng của nhà cung cấp dịch vụ và mạng của khách hàng. Trong đó mạng của
nhà cung cấp dịch vụ chạy dọc theo cơ sở hạ tầng Internet công cộng, bao gồm các thiết bị
định tuyến (router) cung cấp dịch vụ VPN cho mạng khách hàng cũng như các router cung
cấp dịch vụ khác.
Các phương tiện cần thiết để xây dựng mạng này được cung cấp bởi nhà cung cấp dịch
vụ VPN. Các công ty sử dụng mạng được gọi là các khách hàng VPN.
Ngoài ra VPN có thể được sử dụng để mở rộng phạm vi của một Intranet. Bởi vì,
Intranet thường được sử dụng để trao đổi thông tin một cách độc quyền và ta không muốn
những thông tin này được truyền bá trên Internet. Tuy nhiên trong nhiều trường hợp, các
văn phòng công ty trên diện rộng có nhu cầu chia sẻ thông tin và những người sử dụng từ
xa muốn truy cập vào Intranet thông qua Internet. VPN sẽ cho phép kết nối vào Intranet
một cách an toàn và không lo ngại bị lộ thông tin. Có thể coi kết nối loại này như là
Extranet.
2.2. ƯU ĐIỂM CỦA VPN SO VỚI CÁC GIẢI PHÁP TRUY CẬP TỪ XA TRUYỀN
THỐNG [22]
Trước đây, để truy nhập từ xa ta thường dùng giải pháp quay số (dial-in), thuê
các đường truyền riêng, thuê kênh riêng trong dịch vụ truyền dữ liệu gói. Tuy nhiên các

giải pháp này có những hạn chế nhất định.
Giải pháp thuê kênh riêng hoặc đường truyền riêng có hạn chế:
- Chi phí cho việc thuê đường truyền riêng hoặc kênh truyền riêng là rất đắt.
- Không thể đáp ứng việc kết nối từ mọi nơi, mọi lúc.
- Khi số điểm kết nối tăng (n) thì số kết nối cần thuê tăng lên rất nhiều n*(n-1)/2


14

Giải pháp quay số từ xa có hạn chế:
- Giá thành khi thực hiện các cuộc quay số ngoại hạt cao.
- Hạn chế bởi tốc độ đường truyền điện thoại thông thường 56K.
- Số lượng kết nối đồng thời hạn chế.
Trong khi đó, giải pháp VPN đem lại cho chúng ta rất nhiều lợi ích :
- Khả năng linh hoạt cao, có thể kết nối bất cứ khi nào, bất cứ nơi đâu, chỉ cần ở đó
có thể truy cập Internet.
- Giá thành rẻ, chỉ mất chi phí cho việc truy cập Internet thông thường (giảm từ
60%- 80% chi phí cho các Client truy cập từ xa).
- Băng thông không bị hạn chế, chỉ phụ thuộc vào tốc độ đường truyền Internet mà
bạn sử dụng.
- Số lượng kết nối đồng thời lớn.
- Đảm bảo khả năng bảo mật cao với các cơ chế mã hoá.
- Quản lý các kết nối dễ dàng thông qua các Account người dùng
2.3.VÍ DỤ THỰC TẾ VỚI CÁC DOANH NGHIỆP QUI MÔ VỪA VÀ NHỎ:
a. Bài toán:
Công ty A, có hệ thống mạng, máy chủ Hà Nội, với 100 máy trạm, mail server, file
server lưu dữ liệu. Chi nhánh ở TP Hồ Chí Minh với khoảng 20 máy. Yêu cầu đặt ra là
giải pháp để các thành viên ở TP Hồ Chí Minh có thể truy cập được dữ liệu trên server
tại Hà Nội, một số nhân viên thường xuyên đi công tác có thể kết nối từ xa về hệ thống dữ
liệu của công ty, cấu trúc mạng đơn giản, dễ quản trị, giá thành thấp.

b.Giải pháp kỹ thuật:
Tại Hà Nội sẽ dùng 1 máy tính làm chức năng định tuyến (routing)
Tại Hồ Chí Minh cũng dùng 1 máy tính làm chức năng định tuyến tương tự
Các nhân viên đi công tác muốn kết nối từ xa về hệ thống mạng của công ty chỉ cần tạo
1 kết nối từ nơi nhân viên ở và nơi đó có thể vào mạng Internet là được .
Sơ đồ kết nối mạng như trong hình 2.1.
c. Chi phí:
Chi phí rất tiết kiệm, ngoài các chi phí để thuê đường truyền Internet tại Hà Nội và
Thành phố Hồ Chí Minh (TP HCM), nếu hệ thống mạng LAN đã có sẵn, ta chỉ việc đăng
ký với nhà cung cấp dịch vụ (ISP) 1 địa chỉ IP tĩnh, các nhân viên lưu động có truy cập từ
xa về mạng mình ở bất cứ điểm truy cập Internet nào (trong nước, quốc tế).


15

Hình 2.1. Sơ đồ kết nối của một hệ thống VPN
2.4. ĐẶC TÍNH CỦA MẠNG RIÊNG ẢO (VPN) [1]
Đặc tính chủ yếu của một mạng riêng là lưu lượng khách hàng được tách riêng với cơ sở
hạ tầng bên dưới và từ các khách hàng cùng chia sẻ cơ sở hạ tầng đó. Sự tách biệt thể hiện
ở hai khía cạnh:
Tách biệt về mô hình (Topological Isolation):
Nghĩa là các khách hàng có thể đưa vào bất cứ không gian địa chỉ và định tuyến
nào họ lựa chọn. Một vấn đề phổ biến của các mạng riêng là sự tranh chấp về địa
chỉ IP.
Tách biệt về thời gian (Temporal Isolation):
Nghĩa là dịch vụ mạng riêng chỉ phụ thuộc vào các đặc tính của lưu lượng khách
hàng đó.
Việc tạo ra mạng riêng ảo yêu cầu các cơ chế cho phép một cơ sở hạ tầng chung (ví dụ,
một tập hợp các liên kết và các router) được chia sẻ trong khi vẫn làm cho các khách hàng
tin rằng họ được đảm bảo sự riêng tư. Các kĩ thuật như giao thức đường hầm trong Internet

(IP tunnel) qua một đường trục IP (backbone IP) có thể hỗ trợ sự tách biệt về mô hình
(topology), nhưng đường trục IP vẫn cần thiết được đảm bảo băng thông khả dụng xác
định và độ trễ đầu cuối đến đầu cuối cho các đường hầm Internet khác nhau.
2. 5. KHÁI NIỆM CƠ BẢN VỀ ĐƯỜNG HẦM TRONG VPN
Lập đường hầm trong công nghệ VPN là phương pháp sử dụng một cơ sở hạ tầng liên
mạng để truyền dữ liệu từ một mạng này qua một mạng khác. Dữ liệu được truyền (hay
còn gọi là tải) có thể là các khung (hoặc các gói) của các giao thức khác nhau. Thay vì gửi
khung như các thủ tục gốc, giao thức lập đường hầm bọc các khung trong một gói và thêm


16

tiêu đề (header) cho gói. Header này cung cấp thông tin chọn đường cho gói đó. Sau đó
các gói được truyền giữa các điểm cuối đường hầm qua liên mạng. Đường logic mà các gói
đã được đóng gói truyền qua liên mạng được gọi là đường hầm.

Hình 2.2. Khái niệm đường hầm trong VPN
Một khung được đóng gói sau khi đến đích trên liên mạng, khung này sẽ được giải đóng
gói và đưa tới địa chỉ đích cuối cùng của khung. Lập đường hầm bao gồm toàn bộ các quá
trình này (đóng gói, truyền, và giải đóng gói các khung hoặc các gói).
Liên mạng có thể là bất kỳ mạng công cộng nào. Internet là một liên mạng công cộng
lớn, rộng khắp thế giới.
2.6. KHÁI NIỆM VỀ CÁC THIẾT BỊ PE VÀ CE
Để có thể truy nhập vào mạng trục Internet (IP backbone), cần phải có ít nhất 1 thiết bị
chuyển mạch (như switch hay router) ở biên mạng của khách hàng được kết nối với mạng
của nhà cung cấp dịch vụ. Những thiết bị đó được gọi là thiết bị biên phía khách hàng (CE:
Customer Edge). Mặc dù về mặt logic các thiết bị này là một phần trong hệ thống mạng
của khách hàng chứ không phải là thành phần của mạng trục IP song trong một số trường
hợp chúng có thể được quản lý hay được sở hữu bởi nhà cung cấp dịch vụ.
Tương tự như vậy, những thiết bị (thường là các router) mà các thiết bị CE kết nối đến

trong mạng của nhà cung cấp dịch vụ được gọi là thiết bị biên phía nhà cung cấp (PE:
Provider Edge).
Những router trong mạng của nhà cung cấp dịch vụ làm chức năng chuyển tiếp dữ liệu
(kể cả dữ liệu VPN) nhưng không cung cấp các tính năng VPN cho các thiết bị CE được
gọi là các thiết bị của nhà cung cấp (P : Provider).
Hình 2.3 sẽ miêu tả vai trò của các thiết bị PE,CE ,P trong một mô hình VPN đơn giản


17

Hình 2.3. Mô hình VPN đơn giản và vai trò của các thiết bị CE,P,PE
2.7. PHÂN LOẠI MẠNG RIÊNG ẢO [1]
Dịch vụ VPN hiện đại có thể mở rộng nhiều loại kỹ thuật và công nghệ khác nhau. Việc
phân loại mạng VPN có thể dựa trên các cách sau:
 Phân loại theo quan điểm chức năng, có hai loại: truy cập từ mạng đến mạng và
truy cập từ xa.
 Phân loại theo công nghệ lớp 2 hoặc 3 (VPN lớp 2, VPN lớp 3): để triển khai dịch
vụ VPN của nhà cung cấp dịch vụ, lớp 2 sử dụng các giao thức: PPTP, L2TP, L2F...,
lớp 3 gồm: IPSec, GRE...
 Phân loại theo lớp mạng mà nhà cung cấp dịch vụ trao đổi thông tin về mô hình
mạng với khách hàng. Có các nhóm chính sau đây: mô hình VPN chồng lấp
(Overlay) là mô hình mà nhà cung cấp dịch vụ cung cấp cho khách hàng một tập
hợp các kết nối điểm-điểm (hoặc đa điểm) để kết nối các site của khách hàng; mô
hình VPN ngang hàng là mô hình mà nhà cung cấp dịch vụ và khách hàng trao đổi
thông tin định tuyến trực tiếp với nhau.
2.7.1 Phân loại theo chức năng
2.7.1.1 VPN truy cập từ xa
VPN truy cập từ xa thường đề cập tới những người hay làm việc di động. Họ có thể truy
cập vào mạng trung tâm qua các máy tính cá nhân theo phương pháp quay số (dial up)
truyền thống để kết nối tới một nhà cung cấp dịch vụ địa phương và sau đó thiết lập một

kênh tới trụ sở. Một cách khác là thiết lập một kênh qua các đường truyền tốc độ cao như là
Ethernet. Một biến thể tương đối gần của loại này là truy cập VPN vô tuyến từ xa, mà
trong đó các nhân viên di động truy cập về trụ sở thông qua kết nối vô tuyến nhờ bộ hỗ trợ
số cá nhân (PDA). Trong các trường hợp đó, phần mềm trên máy tính (PC) hoặc PDA
cung cấp một kết nối đảm bảo (đường hầm) và kết nối trở lại trụ sở. Các nhân viên di dộng
cần được nhận thực trước khi kết nối vào mạng của trụ sở. Việc cấp mức độ truy nhập phù


18

hợp tới trụ sở công ty được áp dụng cho các nhân viên di động dựa trên chính sách an ninh
của công ty.
2.7.1.2 VPN truy cập từ mạng đến mạng
VPN truy cập từ mạng tới mạng (site to site) đề cập tới việc: mạng của một nơi được kết
nối tới một mạng khác thông qua hệ thống VPN. Các thiết bị mạng nhận thực lẫn nhau,
thiết lập kết nối VPN giữa 2 điểm. Sau đó, thiết bị đóng vai trò cổng giao tiếp (gateways),
đảm bảo lưu lượng đi qua là dành cho đúng site đó. Bộ định tuyến (routers) hay bảo vệ
mạng (firewalls) với sự hỗ trợ VPN, và bộ tập trung VPN dành riêng đều cung cấp chức
năng này. VPN từ mạng tới mạng có thể coi như là intranet VPNs hay extranet VPNs.
2.7.2 Phân loại theo công nghệ
Phân loại Công nghệ VPN có thể được chia tuỳ theo chúng hoạt động dựa trên phân lớp
2 hay phân lớp 3.
VPN Lớp 2
Công nghệ VPN lớp 2 được thiết kế để hoạt động trên lớp liên kết dữ liệu (phân lớp 2)
của mô hình OSI (mô hình này được nói rõ trong chương 3). VPN lớp 2 bao gồm giao thức
đường hầm điểm nối điểm PPTP và giao thức đường hầm lớp 2 (L2TP).
PPTP là một giao thức cũ chủ yếu sử dụng cho truy nhập từ xa qua đường truy cập gián
tiếp (dial up). PPTP hoạt động trên cơ chế chủ tớ (client/server). PPTP đóng gói gói tin
trong một phiên bản đã được thay đổi của bộ định tuyến đóng gói cùng loại (GRE) và
truyền các gói tin đó qua mạng. GRE đơn giản chỉ là một cơ chế thực hiện đóng gói của

một giao thức mạng tuỳ ý trên một giao thức mạng tuỳ ý khác.
L2TP (Layer 2 Tunneling Protocol) được coi là sẽ thay thế cho giao thức PPTP, nó dễ
mở rộng hơn so với PPTP. L2TP cũng hoạt động với cơ chế client/server. Tương tự như
PPTP, đường hầm L2TP có thể được thiết lập từ máy tính ở xa trở về L2TP network server,
hoặc từ bộ tập trung truy cập có hỗ trợ L2TP (LAS) đến máy chủ mạng truy nhập. L2TP
định nghĩa giao thức đường hầm của riêng nó, phụ thuộc vào môi trường truyền dẫn. Do
vậy, L2TP cũng có thể được sử dụng để vận chuyển trên các giao thức lớp 3 khác nhau,
chứ không phải chỉ là IP. Một sự khác nhau cơ bản của L2TP, là nó hỗ trợ việc sử dụng
IPSec, mà giao thức này đảm bảo an ninh cho việc truyền tin từ máy PC của người sử
dụng cho đến mạng trung tâm.


19

VPN

Application
aware

CPE
Based

SSL
VPN

IP Sec VPN
(L2TP, PPTP
– lay 2)

Layer 4-7


Network
Based

IP /VPN
IP Sec/MPLS

Circuit VPN
ATM/FR,

Layer 3

Ethernet VPN
Optical/MPLS

Layer 2

Hình 2.4. Mô tả việc phân loại VPN theo Công nghệ Lớp 2, Lớp 3
VPN Lớp 3
Công nghệ VPN lớp 3 được thiết kế để chạy trên phân lớp 3 của mô hình OSI. Các VPN
này sử dụng các giao thức IP như là IPSec và MPLS.
MPLS là hệ thống chuyển mạch nhãn đa giao thức (sẽ được nói chi tiết hơn ở chương 3)
cung cấp dịch vụ VPN mạng tới mạng từ các nhà cung cấp dịch vụ.
IPSec cung cấp các dịch vụ bảo mật ở lớp IP (lớp 3 trong mô hình OSI). Nó sử dụng
thuật toán IKE (Internet Key Exchange) để kiểm soát các giao thức thương lượng và các
thuật toán dựa trên chính sách cục bộ để sinh ra các khoá mật mã và xác nhận cho IPSec.
IPSec có thể được sử dụng để bảo vệ một hoặc nhiều luồng dữ liệu giữa các cặp host, giữa
các cặp gateway bảo mật, hoặc giữa gateway bảo mật và host. Các tiêu chuẩn IPSEC định
nghĩa 1 định dạng gói tin đặc biệt và cách thức hoạt động để truyền IP trên đường hầm,
thường được gọi là IPSEC tunnel mode.

VPN dùng IPSEC làm phương pháp bảo mật để đóng gói và mã hóa cho tất cả các gói
IP (IP datagrams) vận chuyển trên mạng IP. Toàn bộ gói IP kể cả phần mào đầu sẽ được
mã hoá và sau đó được đóng gói bởi một mào đầu IP chưa bị mã hoá chứa địa chỉ IP
nguồn và đích của các máy tính ở các đầu đường hầm (tunnel client và tunnel server).
Phương thức đường hầm IPSEC có những đặc điểm sau:


20

+ Hoạt động tại đáy của lớp IP nên các ứng dụng và các giao thức mức cao hơn thừa
kế được tính bảo mật của IPSEC
+ Được giám sát bởi một chính sách bảo mật – một tập những luật lọc phù hợp.
Chính sách bảo mật này thiết lập mã hóa và phương thức đường hầm. Ngay sau khi
có kết nối, 2 máy tính thực hiện xác nhận lẫn nhau và sau đó đàm phán phương thức
mã hóa sẽ sử dụng.
+ Chỉ hỗ trợ các lưu lượng thông tin trên mạng IP
2.7.3 Phân loại VPN theo lớp mạng [4]
Hiện nay có hai mô hình triển khai VPN đã được sử dụng rộng rãi:
 Mô hình VPN chồng lấp (overlay), là mô hình mà nhà cung cấp dịch vụ cung cấp
đường thuê riêng mô phỏng cho khách hàng.
 Mô hình VPN ngang hàng, là mô hình nhà cung cấp dịch vụ và khách hàng trao đổi
thông tin định tuyến lớp 3 trực tiếp với nhau, nhà cung cấp dịch vụ vận chuyển dữ
liệu giữa các site của khách hàng trên tuyến đường tối ưu và không liên quan gì đến
khách hàng.
2.7.3.1 Mô hình VPN chồng lấp (overlay)
Mô hình VPN overlay phân tách rất rõ ràng giữa trách nhiệm của khách hàng và nhà
cung cấp dịch vụ. Hình 2.5 mô phỏng mô hình VPN overlay, đồng thời thể hiện việc định
tuyến trong mạng như thế nào ở hình 2.6.

Hình 2.5. Ví dụ mạng VPN Overlay



21

Hình 2.6 Định tuyến trong ví dụ hình 2.4
Nhà cung cấp dịch vụ cung cấp cho khách hàng một bộ các đường thuê riêng mô phỏng.
Những đường thuê riêng này được gọi là các mạch ảo (VC), các mạch ảo này có thể được
thiết lập cố định hoặc theo yêu cầu.
Khách hàng thiết lập trao đổi thông tin bằng các thiết bị phân phối phía khách hàng
(CPE) qua các mạch ảo mà nhà cung cấp dịch vụ tạo ra. Dữ liệu điều khiển định tuyến luôn
luôn được trao đổi giữa các thiết bị của khách hàng, nhà cung cấp dịch vụ không hề biết về
cấu trúc đầu cuối của mạng khách hàng.
Đảm bảo chất lượng dịch vụ (QoS) trong mô hình VPN overlay thường được diễn đạt
bằng thuật ngữ băng thông được đảm bảo trên mỗi VC (Tốc độ thông tin cam kết Committed Information Rate hay CIR) và băng thông bùng nổ (Tốc độ thông tin đỉnh Peak Information Rate hay PIR).
Mạng VPN Overlay có thể được triển khai với một số kỹ thuật chuyển mạch lớp 2, bao
gồm X.25, Frame Relay hoặc ATM. Trong những năm gần đây, mạng VPN overlay còn
được triển khai bằng công nghệ đường hầm (tunneling) trên mạng trục IP riêng và mạng
Internet. Có hai phương pháp chính để triển khai công nghệ này là tunneling GRE
(Generic Route Encapsulation- định tuyến đóng gói cùng loại) và mã hoá IPSec (IP
Security).
Mặc dù mô hình VPN overlay lớp 2 dễ hiểu và dễ triển khai, tuy nhiên nó có một số trở
ngại sau:
 Nó phù hợp để cấu hình không dự phòng kết nối một vài site trung tâm và nhiều
site ở xa, nhưng nó rất khó để quản lý cấu hình mạng hình lưới đặc biệt là khi có
nhiều site.
 Cung cấp chính xác băng thông của các VC đòi hỏi am hiểu chi tiết về thông tin lưu
lượng điểm-điểm, điều này thường không dễ.
 Công nghệ GRE và IPSec được triển khai ở lớp 3 của mạng IP riêng hoặc mạng
Internet. Mặc dù nó có lợi điểm là linh động trong triển khai nhưng nó có một số



22

hạn chế sau: lưu lượng “vô ích” tăng vì phải mất thêm mào đầu để mã hoá gói tin,
Độ trễ trong mạng tăng do phải mã hoá và giải mã gói tin. Nếu mạng trục của nhà
cung cấp dịch vụ không đảm bảo (độ trễ tăng và có nghẽn mạng) thì việc sử dụng
công nghệ này rất khó khăn.
2.7.3.2 Mô hình VPN ngang hàng (peer to peer)
Mô hình VPN ngang hàng được đưa ra để khắc phục những trở ngại của mô hình VPN
overlay. Trong mô hình ngang hàng, thiết bị PE (Provider Edge) là một router (PE-router)
nó trao đổi thông tin định tuyến với router CPE. Hình 2.7 chỉ ra một ví dụ về VPN ngang
hàng.
Mô hình VPN ngang hàng có một số thuận lợi sau so với mô hình overlay:
 Định tuyến (theo phương diện khách hàng) nên rất đơn giản vì router CE của khách
hàng chỉ trao đổi thông tin định tuyến với một hoặc một vài router PE. Trong mô
hình mạng VPN overlay, số router hàng xóm (neighbor) của router CE có thể là
một số lượng lớn.

Hình 2.7. Ví dụ mạng VPN ngang hàng
 Định tuyến giữa các site của khách hàng luôn được tối ưu vì router PE của nhà
cung cấp dịch vụ có thể nhận biết được sơ đồ mạng của khách hàng.


23

 Bổ sung một site mới đơn giản hơn vì nhà cung cấp dịch vụ chỉ cần thực hiện ở site
mới và thay đổi cấu hình trên router PE đấu nối vào site mới.
 Trước khi có công nghệ MPLS cho VPN, có hai tuỳ chọn cho mô hình VPN ngang
hàng là:
+ Sử dụng chung router (một số khách hàng VPN sử dụng chung một router PE).

+ Router dành riêng (mỗi khách hàng VPN có một Router PE riêng).
a. VPN ngang hàng dùng chung router
Khi sử dụng chung router, một vài khách hàng có thể được kết nối đến cùng một router
PE. Danh sách điều khiển truy cập (Access list) được cấu hình trên từng giao tiếp PE-CE
của router PE để đảm bảo cách biệt giữa các khách hàng VPN và ngăn chặn một khách
hàng VPN phá hỏng hoặc thực hiện tấn công từ chối dịch vụ một khách hàng VPN khác.
Hình 2.8 minh họa ví dụ cấu hình router dùng chung.

Hình 2.8. Mô hình VPN ngang hàng: Cấu hình router dùng chung
b. VPN ngang hàng dùng riêng router
Trong trường hợp này mỗi khách hàng có một router dành riêng ( xem hình 2.9), do vậy
khách hàng chỉ truy cập đến các tuyến bên trong bảng định tuyến của router PE.
Mô hình router dành riêng sử dụng thủ tục định tuyến để tạo bảng định tuyến cho mỗi
VPN trên router PE. Bảng định tuyến này chỉ chứa các tuyến được gửi từ khách hàng VPN
đấu nối với nó, kết quả là tạo ra sự cách biệt hoàn hảo giữa các khách hàng VPN.


24

Hình 2.9. Mô hình VPN ngang hàng: Cấu hình router dành riêng
Định tuyến trong mô hình router dành riêng có thể được thực hiện như sau:
 Sử dụng bất kỳ thủ tục định tuyến nào chạy giữa router PE và router CE.
 BGP (giao thức định tuyến giữa các vùng) có thể chạy giữa router PE và router P
 Router PE phân phối lại các tuyến nhận được từ router CE thành BGP, đánh dấu
với ID của khách hàng (thông tin BGP), và lan truyền tuyến này đến router P, do
vậy router P chứa tất cả các tuyến từ khách hàng VPN.
 Router P chỉ lan truyền những tuyến có thông tin BGP chính xác đến router PE,
nên nó chỉ nhận các tuyến được khởi tạo từ router CE trong mạng khách hàng.
2.8. CÁC LOẠI HÌNH DỊCH VỤ CỦA MẠNG RIÊNG ẢO [2,22]
Mạng riêng ảo có chức năng tương tự như các mạng riêng khác nhưng có một số ứng

dụng mới được bổ sung thêm, đặc biệt là những ứng dụng mà với các kiến trúc mạng cổ
điển không thể thực tế hóa hoặc rất khó thực hiện, chẳng hạn:
 Cung cấp các kết nối quay số an toàn đến mạng tổng thông qua Internet.
 Truy cập vào mạng tổng và các mạng nhánh từ xa thông qua.
 Kết nối giữa các mạng tổng thông qua Internet.
2.8.1 Truy nhập từ xa thông qua Internet
VPN cung cấp khả năng truy nhập tới các tài nguyên trong một mạng tổng thể thông
qua mạng Internet công cộng trong khi vẫn đảm bảo tính bảo mật của thông tin. Sử dụng
VPN có thể mở rộng mạng công ty đến các nhà cung cấp và đối tác.


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×