HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
ĐỒ ÁN
TỐT NGHIỆP ĐẠI HỌC
NGHIÊN CỨU CÁC GIẢI PHÁP VPN TRÊN
NỀN CÔNG NGHỆ MPLS
Giáo viên hướng dẫn : Ths Hoàng Trọng Minh
Sinh viên thực hiện : Nguyễn Mạnh Hùng
Lớp : D2004VT1
Hà Nội 11 - 2008
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
KHOA VIỄN THÔNG 1
***
ĐỒ ÁN
TỐT NGHIỆP ĐẠI HỌC
Đề tài:
NGHIÊN CỨU CÁC GIẢI PHÁP VPN TRÊN
NỀN CÔNG NGHỆ MPLS
Giáo viên hướng dẫn : Ths Hoàng Trọng Minh
Sinh viên thực hiện : Nguyễn Mạnh Hùng
Lớp : D2004VT 1
Hà Nội 11 - 2008
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG CỘNG HOÀ XÃ HỘI CHỦ NGHĨA VIỆT NAM
KHOA VIỄN THÔNG 1
Độc lập - Tự do - Hạnh phúc
o0o o0o
ĐỀ TÀI ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC
Họ và tên: Nguyễn Mạnh Hùng
Lớp : D2004-VT1
Khoá : 2004 – 2009
Ngành : Điện tử – Viễn thông
TÊN ĐỀ TÀI: "CÔNG NGHỆ MẠNG RIÊNG ẢO VPN TRÊN NỀN MPLS"

Điểm: (Bằng chữ: )
Hà Nội, Ngày tháng năm 2008
Giáo viên hướng dẫn
Hoàng Trọng Minh
NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN:
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
Điểm: (Bằng chữ: )
Ngày tháng năm 2008
Giáo viên phản biện

nghệ MPLS”. Nhằm lĩnh hội các kiến thức và xác định điểm mấu chốt của giải pháp
hướng tới, làm chủ công nghệ.
Nội dung tìm hiểu của đồ án gồm 3 chương chia thành 2 phần lớn:
Phần I: Giới thiệu chung về công nghệ VPN và các giao thức đã đuợc sử dụng
đối với công nghệ VPN đó là: L2F, PPTP, L2TP, IPSec.
Phần II: Giới thiệu về công nghệ VPN trên nền MPLS.
Nội dung của mỗi chương cụ thể như sau:
Chương I: GIỚI THIỆU TỔNG QUAN VỀ VPN. Trong chương này chỉ ra các
khái niệm cơ bản về công nghệ mạng riêng ảo và các loại VPN đang được triển khai
hiện nay.
Chương II: CÁC GIAO THỨC HOẠT ĐỘNG TRONG VPN. Chương này giới
thiệu hai giao thức cơ bản là IPSec hỗ trợ cho bảo mật của VPN trên nền IP và giao
thức đường hầm lớp 2 là xu hướng phát triển mạnh mẽ như hiện nay. Đó cũng là những
quá trình tác động trực tiếp tới các mô hình VPN trên các hạ tầng lớp hai như
ATM/MPLS.
Chương III: MẠNG RIÊNG ẢO TRÊN NỀN MPLS. Với các đặc tính của hai
công nghệ đang được triển khai hiện nay, chương này chỉ ra các giải pháp cụ thể và
các phân tích nhằm thể hiện các ưu nhược điểm của công nghệ cũng như đánh giá sự
phát triển của công nghệ VPN/MPLS.
Do nhiều mặt còn hạn chế nên nội dung của đề tài khó tránh khỏi những sai sót.
Tác giả rất mong nhận được ý kiến đóng góp của các thầy cô và bạn đọc.
Em xin chân thành cảm ơn Ths Hoàng Trọng Minh đã tận tình hướng dẫn em
hoàn thành đề tài.

Hà nội, ngày tháng năm 2008
Sinh viên: Nguyễn Mạnh Hùng
Nguyễn Mạnh Hùng, Lớp D04VT1 ii
Đồ án tốt nghiệp Đại Học Mục lục
MỤC LỤC
PHẦN I 1

2.5.2 Giao thức chuyển tiếp lớp 2 – L2F 32
2.5.2.1. Cấu trúc gói L2F 32
2.5.2.2 Hoạt động của L2F 33
2.5.2.3 Ưu nhược điểm của L2F 35
2.5.3 Giao thức đường hầm điểm tới điểm – PPTP 35
2.5.3.1 Khái quát về hoạt động của PPTP 35
2.5.3.2 Duy trì đường hầm bằng kết nối điều khiển PPTP 37
2.5.3.3 Đóng gói dữ liệu đường hầm PPTP 37
2.5.3.4 Xử lý dữ liệu tại đầu cuối đường hầm PPTP 40
2.5.3.5 Triển khai VPN dựa trên PPTP 40
2.5.3.6 Ưu nhược điểm và khả năng ứng dụng của PPTP 42
2.5.4 Giao thức L2TP 42
2.5.4.1 Dạng thức của L2TP 43
2.5.4.2 Sử dụng L2TP 53
Nguyễn Mạnh Hùng, Lớp D04VT1 iii
Đồ án tốt nghiệp Đại Học Mục lục
2.5.4.3 Khả năng áp dụng của L2TP 56
PHẦN II 58
CHƯƠNG III: MẠNG RIÊNG ẢO TRÊN NỀN MPLS 58
3.1 Các thành phần của MPLS – VPN 58
3.1.1 Hệ thống cung cấp dịch vụ MPLS – VPN 58
3.1.2 Bộ định tuyến biên của nhà cung cấp dịch vụ 59
3.1.3 Bảng định tuyến và chuyển tiếp ảo 60
3.2 Các mô hình MPLS – VPN 62
3.2.1 Mô hình V3VPN 62
3.2.2 Mô hình L2VPN 63
3.3 Hoạt động của MPLS – VPN 64
3.3.1 Truyền thông tin định tuyến 64
3.3.2 Địa chỉ VPN – IP 66
3.3.3 Chuyển tiếp gói tin VPN 69

Hình 2.2: Khuôn dạng gói tin Ipv6 trước và sau khi xử lý AH 16
Hình 2.3: Bọc gói bảo mật tải 17
Hình 2.4: So sánh xác thực bởi AH và ESP 18
Hình 2.5: Chế độ đường hầm AH 19
Hình 2.6: Chế độ đường hầm ESP 20
Hình 2.7: Các trường hợp của chế độ giao vận và đường hầm 20
Hình 2.8: Chế độ chính ISAKMP 23
Hình 2.9: Chế độ năng động ISAKMP 24
Hình 2.10: Chế độ nhanh ISAKMP 25
Hình 2.11: Các thành phần của một Internet VPN 26
Hình 2.12: IPSec và các chính sách bảo mật 29
Hình 2.13: Ví dụ về IPSec VPN 30
Hình 2.14: Khuôn dạng của gói L2F 32
Hình 2.15: Mô hình hệ thống sử dụng L2F 33
Hình 2.18: Sơ đồ đóng gói PPTP 39
Hình 2.19: Các thành phần của hệ thống cung cấp VPN dựa trên PPTP 41
Hình 2.20: Kiến trúc của L2TP 44
Hình 2.21: Các giao thức sử dụng trong một kết nối L2TP 45
Hình 2.22: Bọc gói L2TP 45
Hình 2.23: Các đường hầm tự nguyện và bắt buộc 46
Hình 2.24: Mã hóa gói cho đường hầm bắt buộc 50
Hình 2.26: Mã hóa gói cho đường hầm tự nguyện 51
Hình 2.27: Đường hầm L2TP kết nối LAN – LAN 52
Hình 2.28: Các thành phần cơ bản của L2TP 54
Hình 2.29: Quay số L2TP trong VPN 56
Hình 3.1: Hệ thống cung cấp dịch vụ MPLS – VPN và các thành phần 59
Hình 3.2: Bộ định tuyến PE và sơ đồ kết nối các site khách hàng 60
Hình 3.3: Mô hình MPLS L3VPN 62
Hình 3.4: Mô hình MPLS L2VPN 64
Hình 3.5: Địa chỉ VPN – Ipv4 67

FTP File Transfer Protocol Giao thức truyền file
FCS Frame Check Sequence Chuỗi kiểm tra khung
FR Frame Relay Chuyển tiếp khung
G
GRE Generic Routing Encapsulation Đóng gói định tuyến chung
H
HMAC Hashed-keyed Message
Authenticaiton Code
Mã nhận thực bản tin băm
I
IP Internet Protocol Giao thức Internet
ICR Ingress Committed Rate Tốc độ cam kết đầu vào
IS – IS Intermediate System to Intermediate
System
IPSec Internet Protocol Security Bảo mật giao thức Internet
ISAKMP Internet Security Association and
Key Management Protocol
Giao thức kết hợp an ninh và
quản lí khóa qua Internet
IKE Internet Key Exchange Giao thức trao đổi khóa
ICMP Internet Control Message Protocol Giao thức bản tin điều khiển
Internet
IP – AH IP – Authentication Header Xác thực tiêu đề IP
Nguyễn Mạnh Hùng, Lớp D04VT1 vii
Đồ án tốt nghiệp Đại Học Thuật ngữ viết tắt
ISDN Intergrated Service Digital Network Mạng số tích hợp đa dịch vụ
ISP Internet Service Provider Nhà cung cấp dịch vụ Internet
IMAP Internet Message Access Protocol Giao thức truy cập nhập thông tin
Internet
L

Dịch vụ nhận thực người dùng
quay số từ xa
S
SLA Service Level Agreements Các thỏa thuận mức dịch vụ
SA Security Association Liên kết an ninh
SPI Security Parameter Index Chỉ số thông số an ninh
SHA-1 Secure Hash Algorithm-1 Thuật toán băm SHA-1
SPE (Sonet) Synchronous Payload
Envelop
Đường bao tải hiệu dụng đồng bộ
Nguyễn Mạnh Hùng, Lớp D04VT1 viii
Đồ án tốt nghiệp Đại Học Thuật ngữ viết tắt
T
TACACS+ Terminal Access Controller Access
Control System Plus
Hệ thống điều khiển bộ điều
khiển truy nhập đầu cuối
TCP Transmission Control Protocol Giao thức điều khiển truyền tải
U
UDP User Datagram Protocol Giao thức Datagram của khách
hàng
V
VPN Virtual Private Network Mạng riêng ảo
VRF Virtual Routing and Forwording Bảng định tuyến chuyển tiếp ảo
W
WAN Wide Area Network Mạng diện rộng
WWW World Wide Web Trang tin toàn cầu
X
xDSL X-Type Digital Subscriber Line Đường dây thuê bao số loại
Nguyễn Mạnh Hùng, Lớp D04VT1 ix

Nguyễn Mạnh Hùng, Lớp D04VT1 1
Đồ án tốt nghiệp đại học Chương I: Giới thiệu tổng quan về VPN
IP. Tương tự, trong ngữ cảnh VPN, định đường hầm che giấu giao thức lớp mạng
nguyên thủy bằng cách mã hóa gói dữ liệu và chứa gói đã mã hóa vào trong một vỏ bọc
IP (IP envelope). Vỏ bọc IP này, thực ra là một gói IP, sau đó sẽ được chuyển đi một
cách bảo mật qua mạng Internet. Tại bên nhận, sau khi nhận được gói trên sẽ tiến hành
gỡ bỏ vỏ bọc bên ngoài và giải mã thông tin dữ liệu trong gói này và phân phối đến
thiết bị truy cập thích hợp, chẳng hạn như một bộ định tuyến.
VPN còn cung cấp các thỏa thuận về chất lượng dịch vụ (QoS), những thỏa thuận
này thường được định ra cho một giới hạn trên cho phép về độ trễ trung bình của gói tin
trong mạng. Ngoài ra, các thỏa thuận trên có thể kèm theo một sự chỉ định cho giới hạn
dưới của băng thông hiệu dụng cho mỗi người dùng. Các thỏa thuận này được phát triển
thông qua các thỏa thuận mức dịch vụ SLA (Service Level Agreements) với nhà cung
cấp dịch vụ.
Qua những vấn đề đã trình bày ở trên ta có thể định nghĩa VPN một cách ngắn
gọn qua công thức sau:
VPN = Định đường hầm + Bảo mật + Các thỏa thuận về QoS
Nhờ vào lợi thế của các ứng dụng quan trọng được triển khai trên mạng Intranet
và các mạng truy cập từ xa đã làm cho khách hàng thỏa mãn hơn trong công việc của
họ, các hoạt động kinh doanh của công ty trở nên hợp lý, hiệu quả và đạt tới những thị
trường rộng lớn hơn. Tuy nhiên các vấn đề về chi phí mạng (bao gồm chi phí thiết bị,
đường dây, chi phí cho việc bảo dưỡng…) cũng như việc quản lý mạng là những vấn đề
quan trọng đối với nhiều công ty, đặc biệt là những công ty muốn thu hồi vốn nhanh để
tái sản xuất. Do đó người ta đã đưa ra giải pháp xây dựng những mạng riêng ảo để giảm
thiểu chi phí mạng cho công ty, thay thế cho các giải pháp dùng đường truyền chuyên
biệt truyền thống như trước đây.
Nhờ vào việc nối mạng qua VPN tiết kiệm chi phí hơn hẳn giải pháp thuê bao
đường truyền, các doanh nghiệp có thể tự mình mở rộng tầm hoạt động của công ty ở
mức toàn cầu (thông qua mạng Internet) mà không cần đầu tư ở mức quy mô toàn cầu.
VPN có vai trò quan trọng trong doanh nghiệp nhờ vào việc giảm chi phí kết nối đối với

phục vụ khách hàng, thường có sẵn ở các nhà cung cấp dịch vụ, hoặc từ các công ty
dịch vụ giá trị gia tăng, nhờ thế việc nâng cấp mạng cũng trở nên dễ dàng và ít tốn kém
hơn.
Giảm chi phí quản lý và hỗ trợ
Với quy mô kinh tế của mình, các nhà cung cấp dịch vụ có thể mang lại cho công
ty những khoản tiết kiệm có giá trị so với việc tự quản lý mạng, giảm hay loại trừ hẳn
yêu cầu nhân viên “tại nhà”. Hơn nữa, nhận được sự hỗ trợ và phục vụ 24/24 do những
nhân viên lành nghề luôn sẵn sàng đáp ứng mọi lúc, giải quyết nhanh chóng các sự cố.
Nguyễn Mạnh Hùng, Lớp D04VT1 3
Đồ án tốt nghiệp đại học Chương I: Giới thiệu tổng quan về VPN
Truy cập mọi lúc, mọi nơi
Khách hàng của VPN qua mạng mở rộng này, có quyền truy cập và khả năng
như nhau đối với các dịch vụ trung tâm bao gồm WWW, email, FTP… cũng như các
ứng dụng thiết thực khác, khi truy cập chúng thông qua những phương tiện khác nhau
như qua mạng cục bộ LAN (Local Area Network), modem, modem cáp, đường dây
thuê bao số xDSL… mà không cần quan tâm đến những phần phức tạp bên dưới.
Khả năng mở rộng
Do VPN xây dựng trên cơ sở hạ tầng mạng công cộng nên bất cứ ở nơi nào có
mạng công cộng (như Internet) đều có thể triển khai VPN. Ngày nay mạng Internet có
mặt ở khắp mọi nơi nên khả năng mở rộng của VPN rất dễ dàng. Khả năng mở rộng còn
thể hiện ở chỗ, khi một văn phòng hay một chi nhánh yêu cầu băng thông lớn hơn thì nó
có thể được nâng cấp dễ dàng. Ngoài ra, cũng có thể dàng gỡ bỏ VPN khi không có nhu
cầu.
1.3 Nhược điểm và một số vấn đề cần phải khắc phục
Sự rủi ro an ninh
Một mạng riêng ảo thường rẻ và hiệu quả hơn so với giải pháp sử dụng thuê kênh
riêng. Tuy nhiên, nó cũng tiềm ẩn nhiền rủi ro an ninh khó lường trước. Mặc dù hầu hết
các nhà cung cấp dịch vụ quảng cáo rằng giải pháp của họ là đảm bảo an toàn, sự an
toàn đó không bao giờ là tuyệt đối. Cũng có thể làm cho VPN khó phá hoại hơn bằng
cách bảo vệ tham số của mạng một cách thích hợp, song điều này lại ảnh hưởng đến giá

bản đối với VPN là phải điều khiển được quyền truy nhập của khách hàng, các nhà
cung cấp dịch vụ cũng như các đối tượng bên ngoài khác. Dựa vào hình thức ứng dụng
và khả năng mà mạng riêng ảo mang lại, có thể phân chúng thành hai loại như sau:
• VPN truy nhập từ xa (Remote Access VPN)
• VPN điểm tới điểm (Site-to-Site VPN):
 VPN cục bộ (Intranet VPN)
 VPN mở rộng (Extranet VPN)
1.4.1 VPN truy nhập từ xa
Các VPN truy nhập từ xa cung cấp khả năng truy nhập từ xa cho người sử dụng
(Hình 1.1). Tại mọi thời điểm, các nhân viên hay chi nhánh văn phòng di động có thể sử
dụng các phần mềm VPN để truy nhập vào mạng của công ty thông qua gateway hoặc
bộ tập trung VPN (bản chất là một server). Giải pháp này vì thế còn được gọi là giải
pháp client/server. VPN truy nhập từ xa là kiểu VPN điển hình nhất, bởi vì chúng có thế
được thiết lập vào bất kể thời điểm nào và từ bất cứ nơi nào có mạng Internet.
Nguyễn Mạnh Hùng, Lớp D04VT1 5
Đồ án tốt nghiệp đại học Chương I: Giới thiệu tổng quan về VPN
Hình 1.1: Mô hình VPN truy cập từ xa
VPN truy nhập từ xa mở rộng mạng công ty tới những người sử dụng thông qua
cơ sở hạ tầng chia sẻ chung, trong khi những chính sách mạng công ty vẫn duy trì.
Chúng có thể dùng để cung cấp truy cập an toàn cho những nhân viên thường xuyên
phải đi lại, những chi nhánh hay những bạn hàng của công ty. Những kiểu VPN này
được thực hiện thông qua cơ sở hạ tầng công cộng bằng cách sử dụng công nghệ ISDN,
quay số, IP di động, DSL hay công nghệ cáp và thường xuyên yêu cầu một vài kiểu
phần mềm client chạy trên máy tính của người sử dụng.
Một hướng phát triển khá mới trong VPN truy nhập từ xa là dùng VPN không
dây (Wireless), trong đó một nhân viên có thể truy nhập về mạng của họ thông qua kết
nối không dây. Trong thiết kế này, các kết nối không dây cần phải kết nối về một trạm
không dây (Wireless Terminal) và sau đó về mạng của công ty. Trong cả hai trường hợp
(có dây và không dây), phầm mềm client trên máy PC đều cho phép khởi tạo các kết nối
bảo mật, còn được gọi là đường hầm.

với hỗ trợ VPN đều có khả năng thực hiện kết nối này. Sự khác nhau giữa VPN truy
nhập từ xa và VPN điểm tới điểm chỉ mang tính tượng trưng. Nhiều thiết bị VPN mới
có thể hoạt động theo cả hai cách này.
VPN điểm tới điểm có thể được xem như một VPN cục bộ hoặc mở rộng xét từ
quan điểm quản lý chính sách. Nếu hạ tầng mạng có chung một nguồn quản lý, nó có
thể được xem như VPN cục bộ. Ngược lại, nó có thể được coi là mở rộng. Vấn đề truy
nhập giữa các điểm phải được kiểm soát chặt chẽ bởi các thiết bị tương ứng.
Nguyễn Mạnh Hùng, Lớp D04VT1 7
Đồ án tốt nghiệp đại học Chương I: Giới thiệu tổng quan về VPN
1.4.2.1 VPN cục bộ
VPN cục bộ là một dạng cấu hình tiêu biểu của VPN điểm tới điểm, được sử
dụng để bảo mật các kết nối giữa các địa điểm khác nhau của một công ty (hình 1.2).
Nó liên kết trụ sở chính, các văn phòng, chi nhánh trên cơ sở hạ tầng chung sử dụng các
kết nối luôn được mã hóa bảo mật. Điều này cho phép tất cả các địa điểm có thể truy
nhập an toàn các nguồn dữ liệu được phép trong toàn bộ mạng của công ty.
Hình 1.2: Mô hình VPN cục bộ
VPN cục bộ cung cấp những đặc tính của mạng WAN như khả năng mở rộng,
tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phí thấp nhưng vẫn
đảm bảo tính mềm dẻo.
Những ưu điểm chính của giải pháp VPN cục bộ bao gồm:
- Các mạng cục bộ hay diện rộng có thể được thiết lập thông qua một hay nhiều
nhà cung cấp dịch vụ.
- Giảm được số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi xa.
- Do kết nối trung gian được thực hiện thông qua Internet, nên nó có thể dễ dàng
thiết lập thêm một liên kết ngang hàng mới.
- Tiết kiệm chi phí từ việc sử dụng đường hầm VPN thông qua Internet kết hợp
với các công nghệ chuyển mạch tốc độ cao.
Tuy nhiên giải pháp mạng cục bộ dựa trên VPN cũng có những nhược điểm đi
cùng như:
Nguyễn Mạnh Hùng, Lớp D04VT1 8

cùng:
- Vấn đề bảo mật thông tin gặp khó khăn hơn trong môi trường mở rộng như vậy,
vấn đề này làm tăng nguy cơ rủi ro đối với mạng cục bộ của công ty.
- Khả năng mất dữ liệu trong khi truyền qua mạng công cộng vẫn còn tồn tại.
- Việc truyền khối lượng lớn dữ liệu với yêu cầu tốc độ cao và thời gian thực vẫn
còn là một thách thức lớn cần giải quyết.
1.5 Các loại mạng VPN
Có hai cách chủ yếu sử dụng các mạng riêng ảo VPN. Trước tiên các mạng VPN
có thể kết nối hai mạng với nhau. Điều này được biết đến như một mạng kết nối LAN-
LAN VPN hay một mạng site-to-site VPN. Thứ hai, một VPN truy nhập từ xa có thể
kết nối một người dùng từ xa với mạng.
1.5.1 Người dùng truy nhập từ xa thông qua Internet (Access VPN)
Cung cấp các truy nhập từ xa đến một Intranet hay Extranet dựa trên cấu trúc hạ
tầng chia sẻ Access VPN, người dùng có khả năng truy cập đến các tài nguyên trong
VPN bất cứ khi nào, ở đâu mà nó cần. Đường truyền trong Access VPN có thể là tương
tự, quay số, ISDN, các đường thuê bao số (DSL), IP di động và cáp để nối các người
dùng di chuyển, máy tính từ xa hay các văn phòng lại với nhau. Ví dụ minh họa trên
hình 1.5
Nguyễn Mạnh Hùng, Lớp D04VT1 10
Đồ án tốt nghiệp đại học Chương I: Giới thiệu tổng quan về VPN
Hình 1.4: Dùng VPN để kết nối client từ xa đến mạng LAN riêng
Hình 1.5: Tổ chức truy nhập Ipass
1.5.2 Nối các mạng trên Internet (Intranet VPN)
Có hai phương pháp sử dụng mạng VPN để kết nối các mạng cục bộ LAN (Local
Area Network) tại các điểm cuối ở xa:
- Dùng các đường thuê kênh riêng để nối một văn phòng chi nhánh đến mạng
LAN công ty: Các văn phòng chi nhánh và các bộ định tuyến có thể sử dụng một
Nguyễn Mạnh Hùng, Lớp D04VT1 11