ĐẠI HỌC QUỐC GIA HÀ NỘI
ĐẠI HỌC CƠNG NGHỆ

Trương Hồi Nam

NGHIÊN CỨU CÔNG NGHỆ MẠNG RIÊNG ẢO
VPN/MPLS VÀ TRIỂN KHAI ỨNG DỤNG TẠI
NGÂN HÀNG NHÀ NƯỚC VIỆT NAM

LUẬN VĂN THẠC SỸ

Hà Nội - 2006


ĐẠI HỌC QUỐC GIA HÀ NỘI
ĐẠI HỌC CƠNG NGHỆ

Trương Hồi Nam

NGHIÊN CỨU CÔNG NGHỆ MẠNG RIÊNG ẢO
VPN/MPLS VÀ TRIỂN KHAI ỨNG DỤNG TẠI
NGÂN HÀNG NHÀ NƯỚC VIỆT NAM

Ngành
Chuyên
Ngành
Mã Số

: Công nghệ Điện tử – Viễn thông
: Kỹ thuật vô tuyến điện tử và thông tin liên lạc
: 2. 07. 00

2.1.1 Xác thực ..................................................................................................... 33
2.1.2 Chữ ký điện tử ........................................................................................... 35
2.1.3 Kiểm sốt truy cập ..................................................................................... 38
2.1.4 Tính bí mật dữ liệu .................................................................................... 38
2.1.5 Tính tồn vẹn dữ liệu ................................................................................. 39
2.2 Bảo mật trong giao thức PPTP ......................................................................... 40
2.3 Bảo mật trong giao thức L2TP ......................................................................... 41
2.4 Bảo mật trong giao thức IPSec......................................................................... 41
2.4.1 Bảo mật trong AH ..................................................................................... 41
2.4.1.1 Thuật toán băm MD5................................................................... 41
2.4.1.2 Thuật toán SHA1 ......................................................................... 43
2.4.1.3 Thuật toán HMAC ....................................................................... 44
2.4.2 Bảo mật trong ESP .................................................................................... 45
2.4.3 Quản lý và trao đổi khố ........................................................................... 46
CHƯƠNG 3 CƠNG NGHỆ CHUYỂN MẠCH NHÃN ĐA GIAO THỨC MPLS............. 53

3.1
3.2
3.3
3.4

Giới thiệu về cơng nghệ MPLS ........................................................................ 53
Chuẩn hố MPLS ............................................................................................. 54
Các thành phần, khái niệm trong MPLS .......................................................... 55
Các chế độ hoạt động của MPLS ..................................................................... 56

1


3.4.1 Chế độ hoạt động khung ............................................................................ 56

5.1.1 Vai trò của MPLS ...................................................................................... 99
5.1.2 Vai trị của IPSec ..................................................................................... 100
5.1.3 Tích hợp VPN IPSec và VPN MPLS .................................................... 102
5.2 Triển khai ứng dụng VPN tại Ngân hàng Nhà nước Việt Nam ...................... 103
5.2.1 Giải pháp VPN của Nokia Checkpoint .................................................... 104
5.2.2 Giải pháp VPN của Cisco ........................................................................ 109
5.2.3 Giải pháp VPN của Microsoft ................................................................. 110
KẾT LUẬN ................................................................................................................................ 113
TÀI LIỆU THAM KHẢO......................................................................................................... 114

2


Danh mục các ký hiệu, các chữ viết tắt
Viết tắt
AH
ATM
AS
BGP
CE
CHAP
CoS

Tiếng Anh

Tiếng Việt

Authentication Header

Xác thực tiêu đề

Giao thức định tuyến cưỡng bức

CSPF

Constraint base Shortest Path First

Định tuyến cưỡng bức chọn đường
ngắn nhất

DES

Data Encryption Standard

Chuẩn mã hoá dữ liệu

DLCI

Data Link Connection Identifier

Nhận dạng kết nối liên kết dữ liệu
trong Frame Relay

ESP

Encapsulating Security Payload

Phương thức đóng gói bảo mật tải tin

FEC


IKE

Internet Key Exchange

Phương thức trao đổi khoá Internet

Internet Protocol Security

Giao thức IP bảo mật

ISO

International Organization for
Standardization

Tổ chức quốc tế về tiêu chuẩn hoá

ISP

Internet Service Provider

Nhà cung cấp dịch vụ

L2TP

Layer 2 Tunnel Protocol

Giao thức đường hầm lớp 2

LAN

Cơ sở dữ liệu nhãn

LSP

Label Switched Path

Đường chuyển mạch nhãn

LSR

Label Switching Router

Router chuyển mạch nhãn

MD5

Message-Digest Algorithm

Thuật toán mã hoá MD5

MPLS

Multiprotocol Label Switching

Chuyển mạch nhãn đa giao thức

MPPE

Microsoft Point to Point Encryption



Bộ định tuyến biên nhà cung cấp

PPP

Point to Point Protocol

Giao thức điểm điểm

PNA

Private Network Administrator

Nhà quản trị mạng riêng

PPTP

Point-to-Point Tunneling Protocol

Giao thức đường hầm điểm điểm

PSTN

Public Switched Telephone Network Mạng điện thoại công cộng

QoS

Quality of Service

Chất lượng dịch vụ

Thuật toán băm bảo mật

SPED

Service Provider Edge Device

Thiết bị biên nhà cung cấp dịch vụ

Terminal Access Controller Access
Control System

Hệ thống điều khiển truy cập bộ
điều khiển truy cập đầu cuối

TOS

Tunnel Origination Server

Máy nguồn đường hầm

VC

Vitual Circuit

Mạch ảo

Virtual Private Network

Mạng riêng ảo


Hình 1.9 - Đường hầm thụ động
Hình 1.10 - Q trình chuyển gói tin đã được mã hố qua đường hầm PPTP
Hình 1.11 - Kiến trúc của L2TP
Hình 1.12 - Q trình chuyển gói tin qua đường hầm L2TP
Hình 1.13 - Kiến trúc của IPSec
Hình 2.1 - Máy chủ xác thực cấp quyền truy cập từ xa
Hình 2.2 - Chữ ký điện tử
Hình 2.3 - Chữ ký RSA
Hình 2.4 - Thuật tốn băm
Hình 2.5 - Mã hố theo chuỗi các khối liên tục (CBC)
Hình 2.6 - Trao đổi khố Diffie Hellman
Hình 3.1- Các định dạng nhãn
Hình 3.2 - Mạng MPLS trong chế độ hoạt động khung.
Hình 3.3 - Cấu trúc của LSR biên
Hình 3.4 - Nhãn MPLS trong khung lớp 2
Hình 3.5 - Phân bổ nhãn trong mạng ATM-MPLS
Hình 3.6 - Trao đổi thơng tin giữa các LSR cận kề
Hình 3.7 - Cơ chế thiết lập kênh ảo điều khiển MPLS
Hình 3.8 - Ví dụ về CSPF
Hình 3.9 - Các bản tin PATH, RESV
Hình 3.10 - Nhãn phân phối trong bảng tin RESV

5


Hình 4.1 - Mơ hình chồng lấn
Hinh 4.2 - Mơ hình ngang hàng
Hình 4.3 - Kiến trúc mạng MPLS VPN
Hình 4.4 - Dán nhãn tại bộ định tuyến PE
Hình 4.5 - Sử dụng tập nhãn hai mức.

với mạng WiFi thì chỉ có thể áp dụng cho các máy tính trao đổi thơng tin với
khoảng cách ngắn.
Với thực tế như vậy, WiMAX (Khả năng tương tác toàn cầu với truy nhập
vi ba) ra đời nhằm cung cấp một phương tiện truy cập Internet khơng dây tổng hơp
có thể thay thế cho ADSL và WiFi. Hệ thống WiMAX có khả năng cung cấp
đường truyền với tốc độ lên đến 70Mbit/s và với bán kính phủ sóng của một trạm
anten phát lên đến 50km. Mơ hình phủ sóng của mạng WiMAX tương tự như
mạng điện thoại tế bào. Bên cạch đó, WiMAX cũng hoạt động mềm dẻo như WiFi
khi truy cập mạng. Mỗi khi một máy tính muốn truy nhập mạng nó sẽ tự động kết
nối với trạm anten WiMAX gần nhất.
Diễn đàn WiMAX là một tổ chức của các nhà khai thác và các công ty thiết
bị và cấu kiện truyền thông hàng đầu. Mục tiêu của Diễn đàn WiMAX là thúc đẩy
và chứng nhận khả năng tương thích của các thiết bị truy cập vô tuyến băng rộng
tuân thủ chuẩn 802.16 của IEEE và các chuẩn HiperMAN của ETSI. Diễn đàn


WiMAX được thành lập để dỡ bỏ các rào cản tiến tới việc chấp nhận rộng rãi công
nghệ truy cập vơ tuyến băng rộng BWA, vì riêng một chuẩn thì khơng đủ để
khuyến khích việc chấp nhận rộng rãi một công nghệ. Theo mục tiêu này, Diễn
đàn đã hợp tác chặt chẽ với các nhà cung cấp và các cơ quan quản lý để đảm bảo
các hệ thống được Diễn đàn phê chuẩn đáp ứng các yêu cầu của khách hàng và của
các chính phủ.

Hình 1.1 - Ứng dụng WiMAX

1.1.2. Cơ chế hoạt động chung của WiMAX [18]
Thực tế WiMAX hoạt động tương tự WiFi nhưng ở tốc độ cao và khoảng cách
lớn hơn rất nhiều cùng với một số lượng lớn người dùng. Một hệ thống WiMAX
gồm 2 phần:
- Trạm phát: giống như các trạm BTS trong mạng thông tin di động với cơng

đều sử dụng công nghệ OFDM để truyền. OFDM 256 được Diễn đàn WiMAX lựa
chọn cho các mô tả đầu tiên dựa trên 802.16-2004. WiMAX sử dụng điều chế
nhiều mức thích hợp từ BPSK, QPSK đến 256-QAM kết hợp với các phương pháp
sửa lỗi dữ liệu như ngẫu nhiên hóa, với mã hóa sửa lỗi Reed Solomon, mã chập tỷ
lệ mã từ 1/2 đến 7/8.


- Độ rộng băng tần của WiMAX từ 5 MHz đến 20 MHz được chia thành nhiều
băng con 1,75 MHz. Mỗi băng con này được chia nhỏ hơn nữa nhờ cơng nghệ
OFDM, cho phép nhiều th bao có thể truy cập đồng thời một hay nhiều kênh
một cách linh hoạt để đảm bảo tối ưu hiệu quả sử dụng băng tần. Công nghệ này
được gọi là công nghệ đa truy nhập OFDMA. OFDMA trong WiMAX sử dụng
tổng cộng 2048 sóng mang, trong đó có 1536 sóng mang dành cho thơng tin được
chia thành 32 kênh con, mỗi kênh con tương đương với 48 sóng mang.
- Cho phép sử dụng cả 2 công nghệ TDD và FDD cho việc phân chia truyền
dẫn của đường lên và đường xuống.
- Về cấu trúc phân lớp, hệ thống WiMAX được phân chia thành 4 lớp: Lớp hội
tụ (Convergence) làm nhiệm vụ giao diện giữa lớp MAC và các lớp trên, lớp điều
khiển truy nhập thiết bị (MAC layer), lớp truyền dẫn (Transmission) và lớp vật lý
(Physical). Các lớp này tương đương với hai lớp dưới của mơ hình OSI và được
tiêu chuẩn hóa để có thể giao tiếp với nhiều ứng dụng lớp trên như mơ tả ở Hình
1.3.

Hình 1.3 – Mơ hình phân lớp trong hệ thống WiMAX so sánh với OSI
1.2. SO SÁNH WIMAX VỚI WIFI [8]
1.2.1. Các chuẩn 802.11 và sự hạn chế của WiFi
Ngày nay chúng ta có 3 loại mạng LAN khơng dây chính: 802.11b, 802.11g
và 802.11a. Hoạt động ở tốc độ 11Mbit/s, 802.11g là chuẩn mà chúng ta biết rõ
nhất với cái tên WiFi. 802.11g và 802.11a ra đời sau. 802.11g sử dụng cùng một
dải phổ như 802.11b và tương thích ngược với nó, đã trở thành cơng nghệ LAN

sóng tồn bộ các khu vực đô thị với chỉ một vài tháp. Mặc dù hiện nay chưa diễn
ra nhưng việc WiMAX sẽ có ứng dụng doanh nghiệp, thay thế WiFi trong các
doanh nghiệp là rất khả thi. Phạm vi tăng thêm của WiMAX sẽ làm cho việc toàn


bộ một tịa nhà hay một khu trường có thể được phủ sóng bởi chỉ một điểm truy
nhập đơn được quản lý trung tâm là hồn tồn có thể.
1.3. WIMAX VÀ CÁC CHUẨN 802.16 [5]

WiMAX là một lĩnh vực thương mại công nghiệp, đi đầu và phát triển bởi
các công ty hàng đầu sản xuất linh kiện và thiết bị truyền thông. Tiêu chuẩn được
sử dụng cho phép kết nối thiết bị của nhiều hãng khác nhau nếu cùng thoả mãn các
điều kiện của việc cấp chứng nhận bởi Diễn đàn WiMAX dựa trên tiêu chuẩn
IEEE 802.16 và ETSI HIPERMAN.
Tiêu chuẩn 802.16a là công nghệ không dây mạng đô thị MAN cung cấp
khả năng thay thế các công nghệ truyền thống sử dụng cáp, DSL và T1/E1 mà
không cần sử dụng cáp. Nó cũng tương thích với việc kết nối các điểm truy cập
802.11 tới mạng Internet.
WiMAX sẽ nhanh chóng được hoàn hiện trong thời gian tới với khả năng
tương thích và khả năng đáp ứng bằng các thiết bị của các hãng khác nhau. Với ưu
thế của mình WiMAX đang là lĩnh vực được rất nhiều công ty trên thế gới để ý,
nghiên cứu và phát triển.
Sự phát triển của các chuẩn IEEE 802.16 bắt đầu với 802.16a sử dụng dải
tần cấp phép 2-11 GHz. Sau đó là các phiên bản 802.16b tăng dải phổ lên tới 5 và
6 GHz, hỗ trợ QoS; 802.16c giới thiệu dải tần 10-66 GHz; 802.16d để xuất các cải
tiến cho 802.16a; 802.16e hỗ trợ cho truy nhập di động tốc độ cao.
Trên thực tế, WiMAX đã được khởi động kể từ tháng 4-2001 dựa trên tiêu
chuẩn 802.16 bằng việc kết hợp chặt chẽ với Wi-Fi 802.11. WiMAX dựa trên các
tiêu chuẩn 802.16a/d và ETSI HiperMAN


802.16a lên tới 45km với bán kính cell tiêu chuẩn là 6-9km. Bên trong cell, hiệu
suất truyền NLOS và khả năng xuyên vật cản là tối ưu. 802.16a hoàn toàn tương
thích khi giao tiếp với 802.11. Việc kết hợp với 802.16 cho phép lắp đặt các điểm
truy cập tại bất cứ đâu mà không gặp trở ngại so với khi thi công mạng cáp. Với
tốc độ đạt 75Mbps, mỗi trạm gốc 802.16a cung cấp băng thông đủ cho 60 tác vụ
trên kết nối T1 cho doanh nghiệp hoặc hàng trăm kết nối tốc độ cao DSL cho các
gia đình, khi dùng băng thông 20MHz. Để đạt hiệu quả kinh doanh cao, các nhà
cung cấp dịch vụ và điều hành mạng phải cân đối để đảm bảo phục vụ được cả
những doanh nghiệp cũng như các hộ gia đình. Việc triển khai 802.16 nhằm thỏa
mãn yêu cầu này. 802.16 hoàn toàn đáp ứng các yêu cầu bảo mật cũng như yêu
cầu chất lượng dịch vụ QoS để truyền tải các ứng dụng voice và video. Dịch vụ
voice của 802.16 tương thích các công nghệ TDM và VoIP.


Tiêu chuẩn IEEE 802.16e là kế hoạch tiếp theo sau khi cải tiến các tiêu
chuẩn IEEE 802.16 trước đó. Mục đích của 802.16e là khắc phục hạn chế của tiêu
chuẩn hiện tại không đáp ứng được các dịch vụ, các điểm truy nhập di động. IEEE
802.16e hoàn thiện như thế hệ 3G được mong đợi hoặc các công nghệ di động
thực
sự
khác..
Trước hết, chuẩn 802.16 vốn qui định rằng WiMAX hoạt động trong phạm vi từ
10 đến 66GHz. 802.16 được theo sau bởi 802.11a vốn mở rộng dải phổ tới phạm
vi từ 2 tới 11GHz là giải mang tính thực tế hơn vì đây là phạm vi mà hầu hết các
nhà cung cấp đã có phổ. Nó có thể hoạt động trong các giải chưa được cấp phép
nhưng có thể gặp phải nhiễu nghiêm trọng trong những giải này. Tuy nhiên, chuẩn
thu hút sự chú ý nhiều nhất của các nhà cung cấp dịch vụ là chuẩn 802.16e vẫn
chưa được thông qua (ít nhất cho đếm thời điểm này). 802.16e tích hợp các tính
năng di động, cung cấp các dịch vụ tương đương với các dịch vụ băng rộng di
động như iBurst/IntelliCell và 3G.



Bảo vệ về giá thành và đầu tư:
Các nhà cung cấp dịch vụ có thể sử dụng thiết bị của nhiều nhà cung cấp khác
nhau mà thiết bị đó đã được cấp chứng nhận WiMAX Certified™ .


Tầm hoạt động xa hơn (Tới 50 km)
Hiệu suất phổ Bits/second/Hz cao hơn ở khoảng cách xa hơn. Dễ dàng thêm vào
một giải quạt mới tăng dung lượng kênh trên vùng phủ sóng một cách linh động,
cho phép các nhà điều hành ổn định mạng khi số lượng khách hàng tăng đột biến.
Độ rộng kênh linh hoạt dựa trên việc định vị dải phổ cho cả dải phổ có cấp phép
và dải phổ khơng giấy phép.
 Độ bao phủ: Các kĩ thuật hiện đại (tạo lưới, tạo chùm, MIMO) làm cho khả
năng NLOS càng hoàn hảo hơn. Giám sát hệ thống tăng lên cho phép qua trình
thâm nhập tốt hơn ở khoảng cách xa.
 Chất lượng phục vụ: TDMA động (Grant/Request) MAC hỗ trợ cảm nhận các
dịch vụ tiềm tàng mới như voice và video. Nhiều mức dịch vụ khác nhau cho phép
định vị băng thông theo yêu cầu của dịch vụ: Ví dụ T1/E1 cho thuê; Hiệu suất tốt
nhất cho khu dân cư.


Cho phép triển khai dịch vụ kết cuối thuê bao băng rộng không dây trong khi
vẫn hồn tồn tương thích với cơng nghệ Wi-Fi 802.11. Các nhà cung cấp dịch vụ
có thể sử dụng thiết bị 802.16 để kết nối tin cậy các luồng tốc độ T1/E1 hoặc cao
hơn tới điểm truy nhập Wi- Fi 802.11. Hiện nay, cần nhiều thời gian để nhà cung
cấp dịch vụ cấp một đường truyền T1/E1 cho khách hàng. Với công nghệ không


dây băng thơng rộng, nhà cung cấp dịch vụ có thể cung cấp dịch vụ với chất lượng


coi trọng WiMAX như là một tiêu chuẩn và sẽ tích hợp trong các phân mềm của
mình vào mạng. Dự đốn các sản phẩm tích hợp WiMAX với máy tính cũng sẽ
được cho ra mắt thị trường vào cuối 2006.

- Mạng trục tế bào (Cellular Backhaul)
Băng thông của 802.16 là sự lựa chọn hoàn hảo cho mạng trục triển khai cho mạng
doanh nghiệp như thiết lập các điểm truy cập hotspot cũng như các ứng dụng
mạng trục điểm-điểm
- Mạng băng thơng rộng theo u cầu
Với đặc tính kỹ thuật của băng thông rộng và triển khai dễ dàng, 802.16 kết hợp
với 802.11 cung cấp cho người sử dụng các dịch vụ kết nối vô cùng linh hoạt về
tốc độ và lắp đặt thiết bị. Khả năng đáp ứng theo yêu cầu cho phép cung cấp kết
nối tốc độ cao tức thời ngay khi có yêu cầu.
- Cung cấp dịch vụ cho các thuê bao băng rộng cố định
Việc triển khai mạng cáp gặp rất nhiều khó khăn và chi phí lớn khi thực hiện
trong đơ thị. Ví dụ mạng DSL truyền thống chỉ có khả năng cấp tới thuê bao cách
Trung tâm tối đa 4-5km. 802.16 hoàn toàn khắc phục điều đó.
- Dịch vụ kết nối khơng dây hồn hảo
Hiện nay, rất nhiều điểm truy cập 802.11 đã được lắp đặt. Người sử dụng ln
muốn họ duy trì kết nối ngay cả khi ngoài vùng hoạt động của các điểm truy cập
này. Phiên bản 802.16e cung cấp khả năng kết nối di động cho phép người dùng
truy nhập mạng ngay cả khi ở bên ngoài khu vực làm việc.


Hình 1.6 – Mơ hình triển khai WiMAX

Hình 1.7 – 802.16 cho phép truyền thông điểm đa điểm NLOS
và truyền mạng trục LOS


che chắn OLOS và khơng có tầm nhìn thẳng NLOS. Đây chính là ưu điểm của
OFDM.
Trong mơi trường khơng có tầm nhìn thẳng, tín hiệu đa đường là tổ hợp của
tín hiệu gốc và các tín hiệu phản xạ bởi các vật cản giữa tram phát và trạm thu.
Các tín hiệu phản xạ thường đến trạm thu không cùng một thời điểm phụ thuộc
vào khoảng cách đường đi và đều đến sau so với tín hiệu gốc ( dẫn thẳng) .

Hình 2.1 – Đa đường trong các điều kiện kết nối NLOS
Do khơng đến cùng một thời điểm, các tín hiệu phản xạ gây ra nhiễu. Tác
động của hiện tượng đa đường trên hệ thống kết nối vô tuyến là giao thoa ký hiệu
ISI. Các tiếng vọng từ một ký hiệu nhất định (gọi là vọng symbol N) sẽ ảnh hưởng
đến ký hiệu tiếp theo (gọi là symbol N+ 1). Công nghệ OFDM đã khắc phục được
vấn đề ISI bằng cách sử dụng khoảng bảo vệ GI tại đoạn bắt đầu của ký hiệu.
Khoảng thời gian bảo vệ chính là phần ký hiệu bị ảnh hưởng bởi ISI còn khoảng
dữ liệu tiếp theo khoảng bảo vệ chính là khoảng tải tin.


Hình 2.2 - Cấu trúc ký hiệu OFDM, ISI và khoảng bảo vệ
Công nghệ OFDM hỗ trợ truyền số liệu tốc độ cao và tăng hiệu quả dải tần.
Điều này đạt được là do sự truyền dẫn song song của nhiều sóng mang con qua
khơng trung, mỗi sóng mang con có khả năng mang số liệu điều biến. Các sóng
mang con được đặt vào các tần số trực giao.
Trực giao có nghĩa là tần số trung tâm của một sóng mang con nhất định sẽ
rơi đúng vào các điểm bằng 0 (null) của các sóng mang con khác. Sử dụng các tần
số trực giao sẽ tránh được sự ảnh hưởng lẫn nhau giữa các sóng mang con khác
nhau khi sắp xếp vị trí các sóng mang con với mật độ lớn trong miền tần số, do đó
sẽ đạt được hiệu suất phổ cao.

Hình 2.3 - Đồ thị ký hiệu OFDM
2.3. CÁC ĐẶC TÍNH KỸ THUẬT CƠ BẢN CỦA OFDM [11]