Nội Dung Chính

1:Tổng Quan Về Mạng VPN Truyền Thống

2:Những Khả Năng Và Hạn Chế Của VPN Truyền Thống.

3:Kiến Trúc Và Hoạt Động Của MPLS-VPN

4:Kết Luận
Tổng Quan Về VPN Truyền Thống.
o
Các mạng VPN truyền thống sử dụng các chức năng bảo mật như: tạo đường hầm(Tunneling),
mã hoá dữ liệu (Encription), nhận thực (Authentication) với mục đích đạt được khả năng bảo
mật khi truyền dữ liệu giữa hai đầu cuối. Có rất nhiều các giao thức khác nhau được sử dụng
cho các mạng VPN này như: GRE, PPTP, L2TP, và IPSec.
Tổng Quan Về VPN Truyền Thống.
o
Chúng đều dựa trên hoạt động tạo đường truyền dẫn riêng và sử dụng các thuật toán mã hóa
dữ liệu.Báo cáo này chỉ tập trung nghiên cứu giao thức IPSec vì hiện nay nó được sử dụng rộng
rãi cho các mạng VPN và các giao thức trên đều có những hạn chế so với IPSec.
Hình 1. Kết nối giữa máy tính A và máy tính B trong mạng VPN

Hạn chế đầu tiên và cũng là dễ nhận thấy nhất ở IPSec đó là làm giảm hiệu năng của mạng. Khi xét
đường đi của một gói tin được gửi từ máy tính A trong mạng A đến máy tính B trong mạng B. Gói
tin từ máy tính A sẽ được gửi đến CPE (Customer Premise Equipment) A. CPE-A sẽ kiểm tra gói tin
xem liệu nó có cần thiết phải chuyển đến CPE-B hay không

Trong một môi trường mạng không có VPN thì gói tin sẽ được truyền ngay đến CPE-B. Tuy nhiên,
với giao thức IPSec, CPE-A phải thực hiện một số thao tác trước khi gửi gói tin đi. đầu tiên, gói tin
được mã hóa, sau đó đóng gói vào các gói IP, hoạt động này tiêu tốn thời gian và gây trễ cho gói tin.


Khi gói tin đến được CPE-B, nó sẽ được mở gói và giải mã, hai hoạt động này tiếp tục làm trễ gói tin
trong mạng. Cuối cùng, CPE-B sẽ chuyển tiếp gói tin đến máy tính B. Thời gian trễ trong mạng sẽ
phụ thuộc vào độ phức tạp và tốc độ xử lý của các CPE. Các thiết bị CPE chất lượng thấp thường
phải thực hiện hầu hết các chức năng IPSec bằng phần mềm khiến trễ trong mạng lớn

Các thiết bị CPE với khả năng thực hiện các chức năng IPSec bằng phần cứng có thể tăng tốc độ xử
lý gói tin lên rất nhiều nhưng chi phí cho các thiết bị này là rất đắt. điều này dẫn đến chi phí triển
khai một mạng IPSec VPN là rất tốn kém.

Mạng IPSec VPN là mạng lớp trên của mạng IP và sự trao đổi thông tin trong mạng được thực hiện
bằng cách thiết lập các đường hầm giữa các site. điều này sẽ tạo nên những cấu hình mạng không tối
ưu. Mỗi nhà cung cấp cần phải chắc chắn rằng tất cả các CPE sẽ hoạt động tương thích với nhau.

Giải pháp đơn giản và và hiệu quả nhất là sử dụng cùng một loại CPE trong mỗi vùng, tuy nhiên,
điều này không phải bao giờ cũng thực hiện được do nhiều yếu tố khác nhau. Tuy ngày nay sự tương
thích không phải là một vấn đề lớn nhưng nó vẫn cần phải được quan tâm khi hoạch định một giải
pháp mạng IPSec VPN.

Vấn Đề Bảo Mật

Vấn đề bảo mật cũng cần được quan tâm trong các mạng VPN. Mỗi CPE có thể truy nhập vào mạng
Internet công cộng nhưng tin tức vẫn cần được bảo mật trong quá trình truyền giữa các site. Vì vậy,
mỗi thiết bị CPE phải có biện pháp bảo mật nhất định (như Firewall). Và sự quản lý các firewall này
sẽ trở nên rất khó khăn nhất là khi kích thước của mạng rất lớn. Rõ ràng đây là một điểm hạn chế lớn
của các mạng IPSec VPN về khía cạnh bảo mật.
MPLS-VPN

MPLS là chữ viết tắt của Multi Protocol Label Switching, chuyển mạch nhãn đa giao thức. Mỗi gói
tin IP bao gồm cả IPv4 và IPv6 hoặc cả những khung Frame lớp 2 khi đi vào miền MPLS sẽ được
gán nhãn và truyền đi trong môi trường mạng. Bằng cách này gói tin có thể chuyển mạch nhanh hơn

và có thể kết hợp được đa tầng mạng hợp nhất.
MPLS-VPN

Không giống như các mạng VPN truyền thống, các mạng MPLS VPN không sử dụng hoạt động
đóng gói và mã hóa gói tin để đạt được mức độ bảo mật cao.

MPLS VPN sử dụng bảng chuyển tiếp và các nhãn “tags” để tạo nên tính bảo mật cho mạng VPN.
Kiến trúc mạng loại này sử dụng các tuyến mạng xác định để phân phối các dịch vụ VPN, và các cơ
chế xử lý thông minh của MPLS VPN lúc này nằm hoàn toàn trong phần lõi của mạng.
Một số thuật ngữ được dùng trong mạng MPLS
VPN

Thiết bị CPE trong MPLS-VPN chính là các CE (Customer Edge) router và các CE router này được
nối với mạng của nhà cung cấp dịch vụ thông qua các PE (Provider Edge) router. Một mạng VPN sẽ
bao gồm một nhóm các CE router kết nối với các PE router của nhà cung cấp dịch vụ.
Một số thuật ngữ được dùng trong mạng MPLS
VPN

Tuy nhiên, chỉ những PE router mới có khái niệm về VPN, còn các CE router thì không “nhận thấy”
những gì đang diễn ra bên trong mạng của nhà cung cấp dịch vụ và sẽ coi như chúng đang được kết
nối với nhau thông qua một mạng riêng

Mỗi VPN được kết hợp với một bảng định tuyến - chuyển tiếp VPN (VRF) riêng biệt. VRF cung cấp
các thông tin về mối quan hệ trong VPN của một site khách hàng khi được nối với PE router. Bảng
VRF bao gồm thông tin bảng định tuyến IP (IP routing table), bảng CEF (Cisco Express Forwarding),
các giao diện của bảng định tuyến; các quy tắc, các tham số của giao thức định tuyến Mỗi site chỉ
có thể kết hợp với một và chỉ một VRF. Các VRF của site khách hàng mang toàn bộ thông tin về các
“tuyến” có sẵn từ site tới VPN mà nó là thành viên.
Hình 2. Mô hình mạng MPLS


Trong một mạng MPLS VPN, site phía khách hàng sẽ sử dụng IP thông thường mà không cần biết
đến MPLS, IPSec hay bất cứ một chức năng VPN đặc biệt nào.

Tại các PE router, một cặp VRF và RD sẽ tương ứng với mỗi liên kết đến site của khách hàng
(customer site). Liên kết này có thể là một liên kết vật lý T1, Frame Relay hay ATM VC, DSL Giá
trị RD sẽ hoàn toàn “ẩn” và sẽ không được cấu hình tại các thiết bị của khách hàng.

Một trong những ưu điểm lớn nhất của các MPLS VPN là không đòi hỏi các thiết bị CPE thông minh
bởi vì toàn bộ các chức năng VPN được thực hiện ở phía trong mạng lõi của nhà cung cấp dịch vụ và
hoàn toàn “trong suốt” đối với các CPE. Các CPE không đòi hỏi chức năng VPN và hỗ trợ IPSec.
Điều này có nghĩa là khách hàng không phải chi phí quá cao cho các thiết bị CPE.

Trễ trong mạng được giữ ở mức thấp nhất vì các gói tin lưu chuyển trong mạng không phải thông qua
các hoạt động như đóng gói và mã hóa. Sở dĩ không cần chức năng mã hóa là vì MPLS VPN tạo nên
một mạng riêng. Phương pháp bảo mật này gần giống như bảo mật trong mạng Frame Relay. Thậm
chí trễ trong MPLS VPN còn thấp hơn là trong mạng MPLS IP sử dụng chuyển mạch nhãn

Hoạt động khai thác và bảo dưỡng cũng đơn giản hơn trong mạng MPLS-VPN. Hoạt động này chỉ
cần thực hiện tại các thiết bị bên trong mạng core mà không cần phải tiếp xúc đến các CPE. Một khi
một site đã được cấu hình xong, ta không cần đụng chạm đến nó nữa cho dù nếu muốn thêm một site
mới vào mạng vì những thay đổi về cấu hình lúc này chỉ cần thực hiện tại PE mà nó nối tới

Vấn đề bảo mật thậm chí còn đơn giản hơn nhiều khi triển khai trong các mạng MPLS VPN vì một
VPN khép kín bản thân nó đã đạt được sự an toàn thông tin do không có kết nối với mạng Internet
công cộng. Nếu có nhu cầu truy nhập Internet, một tuyến sẽ được thiết lập để cung cấp khả năng truy
nhập

Lúc này, một firewall sẽ được sử dụng trên tuyến này để đảm bảo một kết nối bảo mật cho toàn bộ
mạng VPN. Cơ chế hoạt động này rõ ràng dễ dàng hơn nhiều cho hoạt động quản lýmạng vì chỉ cần
duy trì các chính sách bảo mật cho một firewall duy nhất mà vẫn đảm bảo an toàn cho toàn bộ VPN.


Một ưu điểm nữa của các mạng MPLS VPN là chỉ cần một kết nối duy nhất cho mỗi remote site. So
sánh với mạng Frame Relay truyền thống có 1 nút trung tâm và 10 remote site (mỗi một remote site
sẽ cần một Frame Relay PVC) thì tại nút trung tâm (hub) sẽ cần 10 PVCs. Trong khi bên trong một
mạng MPLS VPN chỉ cần duy nhất một PVC tại vị trí hub trung tâm nên chi phí mạng sẽ giảm đáng
kể.