Đọc truyện VPN

VPN

Trước Sau

Màu nền

Font chữ

Font size

Chiều cao dòng

Tóm tắt nội dung

Mạng riêng ảo (Virtual Private Network, VPN) là một trong những dịch vụ quan trọng được cung cấp bởi nhiều nhà

cung cấp dịch vụ viễn thông của Việt nam, trong đó Công ty Viễn thông Liên tỉnh (VTN) chiếm thị phần lớn nhất với

các khách hàng lớn là các cơ quan của Đảng và Nhà nước, các bộ ngành của Chính phủ, các ngân hàng, các tổ

chức tín dụng-tài chính, các doanh nghiệp và tập đoàn lớn trong và ngoài nước, v.v.

Tuy VPN không phải là một dịch vụ mới, nhưng khách hàng có nhu cầu sử dụng dịch vụ này luôn đặt câu hỏi như

VPN được xây dựng trên những công nghệ nào? Chúng khác nhau ra sao? Công nghệ VPN nào thích hợp nhất cho

nhu cầu của tổ chức mình? Cùng với sự tư vấn kỹ càng của bộ phận chăm sóc khách hàng tại VTN, bài báo này

cung cấp một số thông tin giúp khách hàng và những người quan tâm trả lời những thắc mắc nói trên.

Từ viết tắt

BGP Border Gateway Protocol Giao thức cổng biên mạng

CE Customer Edge Biên khách hàng

IGP Interior Gateway Protocol Giao thức cổng nội mạng

IP Internet Protocol Giao thức Internet

IPsec IP Security Giao thức an ninh mạng Internet

LAN Local Area Network Mạng cục bộ/nội bộ

LDP Label Distribution Protocol Giao thức phân phối nhãn

LSP Label Switched Path Đường chuyển mạch nhãn

MAC Media Access Controller Bộ điều khiển truy nhập môi trường

MPLS Multiprotocol Label Switching Chuyển mạch nhãn đa giao thức

OSI Open Systems Interconnection Kết nối các hệ thống mở

PE Provider Edge Biên nhà cung cấp

PPP Point-to-Point Protocol Giao thức điểm nối điểm

SSL Secure Sockets Layer Một giao thức đảm bảo an ninh cho dịch vụ Web

VC Virtual Circuit Mạch ảo, kết nối ảo

VPN Virtual Private Network Mạng riêng ảo

VPLS Virtual Private LAN Service Dịch vụ mạng cục bộ/nội bộ riêng ảo

VTN Vietnam Telecoms National Công ty Viễn thông Liên tỉnh

Khái niệm về mạng riêng ảo

Mạng riêng ảo (Virtual Private Network), sau đây được gọi ngắn là VPN, được hiểu đơn giản

như là sự mở rộng của một mạng riêng (private network) thông qua các mạng công cộng, nghĩa

là thông tin và dữ liệu được mã hóa theo cách riêng và truyền qua mạng công cộng.

Kể từ khi mạng dữ liệu ra đời, đã có rất nhiều cuộc tranh luận giữa tính năng của các thiết bị lớp

3 (router) và thiết bị lớp 2 (switch, hub…), hay chính là cuộc tranh luận về việc thực hiện các

chức năng kết nối mạng tại lớp 2 và lớp 3 trong mô hình OSI, và ngày nay, chúng ta gặp lại

những tranh luận này khi nghiên cứu dịch vụ VPN.

Về bản chất, dịch vụ VPN lớp 2 và VPN lớp 3 tương ứng với các công nghệ hay các giao thức

lớp 2 và lớp 3 trong mô hình OSI. VPN lớp 2, ví dụ Ethernet VPN, sử dụng 2 lớp con của

Ethernet là MAC và MAC-client để thiết lập VPN; còn VPN lớp 3, ví dụ IP VPN, lại dựa trên

hai giao thức lớp 3 là IPsec (IP security) và PPP ( giao thức điểm nối điểm) cho phép các doanh

nghiệp dễ dàng kết nối nhiều mạng dữ liệu ở xa với nhau, hỗ trợ các nhân viên kết nối vào mạng

VPN doanh nghiệp bằng các thiết bị đầu cuối sử dụng IP, kể cả điện thoại di động, v.v.

Khi các nhà cung cấp dịch vụ nâng cấp mạng để kết hợp với các công nghệ mạng thế hệ sau thì

MPLS được sử dụng như một giải pháp để tăng tính hiệu quả trong các kết nối của mạng IP,

đồng thời cũng để cung cấp các dịch vụ mới. Các mạng MPLS ban đầu được sử dụng để cung

cấp dịch vụ IP VPN dựa trên tiêu chuẩn RFC2547bis. Gần đây hơn, các nhà mạng cũng đã nâng

cấp mạng của họ để hỗ trợ dịch vụ mạng cục bộ riêng ảo (Virtual Private LAN Service, VPLS) là

dịch vụ VPN lớp 2 dựa trên Ethernet, hay còn gọi là Ethernet VPN. Một số nhà mạng còn giới

thiệu đến khách hàng của mình những sản phẩm kết hợp cả 2 loại hình dịch vụ trên.

Vậy là khi đặt dịch vụ VPN vào mạng thế hệ sau ta thấy xuât hiện sự chồng chéo giữa hai loại

hình dịch vụ VPN lớp 2 và VPN lớp 3. Nhưng không giống như trong một số trường hợp khác,

khi các công nghệ ra đời sau tốt hơn sẽ thay thế các công nghệ trước, các dịch vụ VPN lớp 2 và

lớp 3 không loại trừ lẫn nhau khi nhiều nhà mạng sử dụng công nghệ Ethernet ở phần truy nhập

để kết nối đến các đám mây IP VPN và cung cấp cho các doanh nghiệp và tổ chức cả hai loại

dịch vụ VPN này.

Tuy nhiên trước khi tìm hiểu sự chồng chéo phức tạp này chúng ta cần hiểu rõ hơn về công nghệ

của các dịch vụ VPN lớp 2 và VPN lớp 3, lợi ích của các dịch vụ này thông qua một số các công

nghệ VPN đang được sử dụng hiện nay. Đối với VPN lớp 3, công nghệ VPN dựa trên

BGP/MPLS sẽ được lấy làm ví dụ, còn với VPN lớp 2 công nghệ VPN dựa trên VPLS sẽ được

phân tích như một điển hình.

VPN lớp 3 dựa trên BGP/MPLS

VPN lớp 3 dựa trên BGP/MPLS, sau đây được gọi ngắn là BGP/MPLS VPN, cho phép các mạng

LAN của doanh nghiệp kết nối với nhau qua mạng trục IP/MPLS công cộng như là kết nối qua

một mạng riêng. BGP/MPLS VPN được định nghĩa trong chuẩn IETF RFC2547bis, sử dụng

giao thức BGP để định tuyến gói tin và giao thức MPLS để chuyển tiếp gói tin trong mạng trục

IP/MPLS.

Hình 1 thể hiện một phương thức kết nối mạng riêng của khách hàng sử dụng BGP/MPLS VPN,

trong đó mỗi VPN, ví dụ VPN-A bao gồm các mạng cục bộ LAN-A1, LAN-A2, LAN-A3 là một

mạng IP riêng với các địa chỉ IP riêng, được cấu hình theo mạng khách hàng tại biên mạng (CE,

Customer Edge) và theo thiết bị ở biên mạng của nhà cung cấp dịch vụ (PE, Provider Edge).

Mối quan hệ giữa các router PE và CE trong chuẩn RFC2547bis có một sự khác biệt đáng quan

tâm. Mỗi router PE quản lý một cơ sở dữ liệu thông tin chuyển tiếp riêng của từng VPN, gọi là

bảng chuyển tiếp và định tuyến ảo (Virtual Routing and Forwarding, VRF), chứa các thông tin

định tuyến mà router PE nhận được từ router CE. Router PE lưu trữ các bảng VRF cùng với bảng

định tuyến Internet của nhà cung cấp dịch vụ. Router PE sử dụng BGP cho báo hiệu và định

tuyến gói tin đến các router CE. Router CE trở thành ngang hàng với router PE. Vai trò chuyển

tiếp của MPLS rất quan trọng bởi các router lõi trong mạng trục IP không cần biết về thông tin

định tuyến riêng của khách hàng. Router PE hướng vào (ingress) sẽ chèn hai mào đầu Next-Hop

BGP và mào đầu Next-Hop IGP vào gói tin. Tại router PE hướng ra (egress), các gói tin được

loại bỏ phần mào đầu MPLS và được phân phối tiếp theo như là gói tin IP đến router CE.

Hình 1. BGP/MPLS VPN và phương thức kết nối mạng riêng của khách hàng

Lợi ích của VPN lớp 3

Từ quan điểm của các doanh nghiệp, VPN lớp 3 có một số các ưu thế để có thể được lựa chọn

như sau:

Tính phổ biến toàn cầu

Hầu hết các nhà cung cấp dịch vụ toàn cầu đều cung cấp dịch vụ VPN lớp 3,

bắt đầu từ băng thông ở mức thấp nhất ví dụ như 56 Mbit/s và mở rộng theo yêu cầu của

doanh nghiệp. Trong khi đó, các dịch vụ VPN lớp 2 nói chung và Ethernet VPN nói riêng

thường chỉ phù hợp với và chỉ có thể được cung cấp tại các thị trường đã phát triển. Điều

này có nghĩa là triển khai Ethernet VPN tại các điểm ranh giới với các thị trường nông

thôn hoặc các thị trường đang phát triển là không thể hoặc quá tốn kém. Với khả năng

sẵn có cao hơn VPN lớp 2, VPN lớp 3 cho phép các doanh nghiệp có thể dễ dàng lập kế

hoạch và thiết lập mạng toàn cầu chỉ với các kết nối thuê bao đơn giản.

Nhà cung cấp dịch vụ thực hiện cấu hình và định tuyến

Trong kịch bản này các doanh nghiệp chỉ cần đưa ra một danh sách về thông tin định

tuyến và các yêu cầu về mạng hay yêu cầu về dịch vụ của chính họ, từ đó các nhà cung

cấp dịch vụ sẽ tạo ra các kết nối VPN phù hợp. Doanh nghiệp có thể giao

trách nhiệm cho các nhà cung cấp dịch vụ bằng cách sử dụng dịch vụ IP VPN nếu

không muốn tốn thời gian và nguồn lực của mình để duy trì và quản lý định tuyến trong

mạng nội bộ của mình.

Có thể được xây dựng bởi chính các doanh nghiệp

Một số các nhà cung cấp thiết bị cũng đưa ra một số thiết bị như VPN dialers, IADs,…

cho phép các doanh nghiệp xây dựng các VPN của chính mình, phương thức này rất hữu

dụng với những nhân viên cần truy nhập ở xa, hay nhân viên dùng điện thoại di động truy

nhập vào mạng nội bộ của doanh nghiệp. Loại VPN này dựa trên nền tảng của IPsec hoặc

mã hóa SSL. Tất nhiên có thể nó không hoàn toàn giống dịch vụ VPN cơ bản nhưng nó

rẻ, đơn giản và có thể triển khai nhanh chóng.

VPN lớp 2 với công nghệ VPLS

Giải pháp VPN lớp 2 dựa trên MPLS cung cấp dịch vụ đa điểm là dịch vụ LAN riêng ảo –

VPLS. Với VPLS, nhiều mạng LAN của khách hàng có thể giao tiếp với nhau tương tự như được

kết nối qua phân đoạn mạng Ethernet LAN của riêng mình.

Hình 2 thể hiện một phương thức kết nối mạng riêng của khách hàng, trong đó mỗi VPN, ví dụ

VPLS VPN-A bao gồm các mạng LAN-A1, LAN-A2, LAN-A3 được kết nối với nhau bằng

VPLS. Trong phương thức này, MPLS được sử dụng để chuyển tiếp gói tin, vì vậy thiết bị lõi

trong VPLS cũng tương tự như trong BGP/MPLS.

Điểm khác nhau giữa BGP/MPLS VPN và VPLS VPN chính là giao tiếp giữa thiết bị CE và PE.

Trong VPLS VPN, CE không cần phải là một router và không ngang hàng với PE nên PE không

cần quản lý bảng định tuyến của mỗi CE. VPLS đơn giản chỉ ánh xạ lưu lượng lớp 2 đến từ

khách hàng vào một đường chuyển mạch nhãn (LSP) thích hợp trong MPLS. VPLS VPN hoạt

động theo mô hình bao phủ trong khi BGP/MPLS VPN là mô hình ngang hàng.

Nguyên tắc hoạt động cơ bản của dịch vụ VPLS là sử dụng giao thức phân phối nhãn (LDP,

Label Distribution Protocol) để thiết lập một mạng đầy đủ các LSP – đường hầm giữa các nút

PE. Các đường hầm đó được gán các nhận dạng VPLS (VPLS ID) giúp nhận dạng các kết nối ảo

(Virtual Circuit Label Switched Path, VC LSP) giữa các nút PE của mạng VPN. Các kết nối ảo

sẽ tạo một kết nối logic giữa các PE dùng để cấu hình VPLS cho khách hàng.

Một trong các tính năng cơ bản của VPLS là khả năng của các router PE tự học địa chỉ MAC gửi

từ phía mạng khách hàng. Các PE tiếp nhận và học địa chỉ MAC qua các gói tin unicast hoặc

multicast gửi qua mạng. Các địa chỉ MAC sau khi tự học sẽ được gán với một LSP và là cơ sở

cho việc chuyển tiếp các gói tin giữa các nút PE.

Hình 2. Công nghệ VPLS và phương thức kết nối mạng riêng của khách hàng

Lợi ích của dịch vụ VPLS VPN

Từ quan điểm của các doanh nghiệp, VPLS hay Ethernet VPN có một số các ưu thế để có thể

được lựa chọn như sau:

Mềm dẻo, có khả năng mở rộng băng thông

VPLS VPN có khả năng thay đổi cấp độ băng thông. Sử dụng hạn mức tốc độ, băng

thông của dịch vụ có thể được tính toán theo nhu cầu và túi tiền của doanh nghiệp, trong

khi các công nghệ frame relay, ATM, hay các kênh thuê riêng TDM lại có mức băng

thông cố định không linh hoạt.

Dễ dàng bảo trì

Phần lớn bộ phận IT của doanh nghiệp đều có hiểu biết sâu về Ethernet, một số nhân viên

IT còn có khả năng xử lý sự cố tại điểm ranh giới có sử dụng Ethernet, và họ đều hiểu

rằng với VPN lớp 3, các giao thức lớp 3 còn phải dựa vào các giao thức ở lớp thấp hơn

trong mô hình OSI để chuyển gói tin qua mạng WAN hoặc MAN. Chính vì vậy trong

trường hợp công nghệ Ethernet được sử dụng tại các điểm ranh giới (demarcation point)

thì việc bảo trì mạng sẽ dễ dàng hơn là mạng sử dụng các công nghệ như Frame relay,

ATM, hoặc TDM vì đơn giản là các nhân viên IT không có nhiều hiểu biết về các công

nghệ đó. Tóm lại sử dụng Ethernet tại các điểm ranh giới sẽ cung cấp giao diện đơn giản

và dễ bảo trì hơn cho các doanh nghiệp.

Kết nối mạng và định tuyến được thực hiện bởi doanh nghiệp

Sự ưu tiên này thường được đặt lên hàng đầu cho các doanh nghiệp muốn đảm bảo sự an

toàn dữ liệu. Với dịch vụ VPLS VPN, việc cấu hình các thiết bị mạng đầu cuối và quá

trình định tuyến được quyết định bởi chính các doanh nghiệp mà không cần phải liên

quan đến các nhà cung cấp dịch vụ, và những quyết định đó chỉ cần được biết đến trong

doanh nghiệp. Cũng chính vì vậy, những thay đổi trong mạng nếu cần sẽ được thực

hiện nhanh hơn.

Có khả năng mở rộng

Với VPLS VPN, các doanh nghiệp có thể dễ dàng thêm một mạng riêng mới vào VPN

đang có mà không cần phải thay đổi về cấu hình mạng cũng như cấu hình

định tuyến cho tất cả các thiết bị trên mạng hiện có. Trong ví dụ này, khi một mạng cục

bộ mới được kết nối với một VPLS VPN, nó có thể tự động liên lạc với tất cả các mạng

hiện có, và ngược lại.

Khả năng hỗ trợ các giao thức ứng dụng cơ bản khác IP

Thông thường các giao thức được sử dụng trong loại hình dịch vụ này là các giao thức có

tính trong suốt, tức là có khả năng giao vận với tất cả các giao thức ứng dụng trước nó,

chẳng hạn như SNA, DECnet, IPX, và một số giao thức khác. Ethernet được xem như là

một giao thức lớp 2 trong mô hình OSI, có thể hỗ trợ một vài giao thức lớp cao hơn, hay

một số giao thức cũ hơn. Chính điều này làm cho nó trở thành một giải pháp lý tưởng, có

khả năng hỗ trợ các giao thức ứng dụng cũ vẫn còn sử dụng tại một số doanh

nghiệp. Trong khi đó, IP là một giao thức OSI lớp 3, vì vậy nó không thể hỗ trợ các giao

thức ứng dụng cũ, và chỉ có thể hỗ trợ các ứng dụng dựa trên IP.

Tính phổ biến của Ethernet

Hầu như tất cả các bộ định tuyến đều có cổng Ethernet. Chính vì thế các doanh nghiệp sử

dụng giải pháp này không cần phải đầu tư một khoản chi phí khá cao để mua các giao

diện nối tiếp tốc độ cao (giao diện TDM) để hỗ trợ cho mạch vòng TDM, hay thêm

CSU/DSU cho dịch vụ Frame relay. Việc sử dụng Ethernet làm đơn giản hóa, tức làm

giảm giá thành tủ thiết bị viễn thông, điều mà các doanh nghiệp nhỏ đặc biệt quan tâm.

Dịch vụ VPN lớp 2 và lớp 3 của công ty VTN

Hiện nay Công ty VTN cung cấp cả hai loại dịch vụ VPN lớp 2 và lớp 3 nhằm thoản mãn các

yêu cầu khác nhau của khách hàng, trong đó dịch vụ VPN lớp 2 có tên thương mại là MetroNET

và dịch vụ VPN lớp 3 có tên thương mại là MegaWAN.

Từ việc nghiên cứu 2 loại hình dịch vụ này, có thể thấy một cách tổng quan về những lợi

ích nổi bật của chúng mang lại cho doanh nghiệp trong bảng như sau

So sánh lợi ích của các dịch vụ VPN lớp 2 và VPN lớp 3

Dịch vụ Ethernet VPN/VPN lớp 2(VTN MetroNet)Dịch vụ BGP/MPLS VPN//VPN lớp 3(VTN MegaWAN)

Hỗ trợ các giao thức ứng dụng cơ bản khác IP Chỉ hỗ trợ các ứng dụng chạy trên giao thức IP

Tính linh hoạt cao, có khả năng mở rộng băng thông.Tính phổ biến toàn cầu.

Các sự cố của dịch vụ thường đơn giản, dễ xử lý bởi bộ phận IT của tổ chức hoặc doanh nghiệp Nhà cung cấp dịch vụ thực hiện quản lý, bảo mật, thực hiện định tuyến và thay đổi các liên kết trong mạng của các doanh nghiệp.

Doanh nghiệp có thể tự quản lý các kết nối mạng và tự quyết định quá trình định tuyến trong nội bộ. Doanh nghiệp và tổ chức có thể outsource cho nhà cung cấp dịch vụ thực hiện quản lý, quản trị, bảo trì VPN để tiết kiệm chi phí.

Dễ dàng mở rộng khi kết nối các mạng LAN mới vào VPN của doanh nghiệp Dễ dàng mở rộng tới các thiết bị hỗ trợ IP, trong đó quan trọng là tới các thiết bị IP mobile.

Kết luận

VPN là một dịch vụ viễn thông tiện lợi với giá thành thấp, rất cần thiết cho các tổ chức, doanh

nghiệp trong việc kết nối các mạng LAN nằm trên các vùng địa lý cách xa nhau thành một mạng

doanh nghiệp thống nhất.

Có nhiều giải pháp triển khai VPN dựa trên các công nghệ thuộc lớp 2 và lớp 3 trong mô hình

OSI, trong đó tương ứng có thể kể đến VPLS VPN dựa trên Ethernet và BGP/MPLS VPN. Mỗi

giải pháp VPN kể trên đều có những đặc điểm và ưu thế riêng, và có thể được cung cấp bởi nhà

vận hành mạng một các riêng rẽ hoặc phối hợp với nhau.

Tại thị trường viễn thông Việt nam, VTN là nhà cung cấp dịch vụ VPN lớn nhất, với khách hàng

là các cơ quan, tổ chức của Đảng, Nhà nước, các bộ ngành của Chính phủ, các doanh nghiệp

lớn,…Các giải pháp VPN của VTN bao gồm cả VPN lớp 2 (dịch vụ MetroNET) và VPN lớp 3

(dịch vụ MegaWAN) với khả năng bao phủ rộng lớn, chất lượng tốt, giá thành hợp lý, hỗ trợ tin

cậy cho khách hàng. Khi có nhu cầu sử dụng dịch vụ VPN, đến với VTN khách hàng sẽ được đội

ngũ kỹ thuật và chăm sóc khách hàng tư vấn kỹ càng để có thể lựa chọn giải pháp phù hợp nhất

cho nhu cầu của mình.

Bạn đang đọc truyện trên: Truyen2U.Pro

Trước Sau