BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
-----------------------------------------------------
Nguyễn Thạc Thanh Quang
MẠNG RIÊNG ẢO:
CÔNG NGHỆ VÀ TRIỂN KHAI ỨNG DỤNG
LUẬN VĂN THẠC SĨ
NGÀNH XỬ LÝ THÔNG TIN VÀ TRUYỀN THÔNG
NGƯỜI HƯỚNG DẪN KHOA HỌC:
GS. TS. NGUYỄN THÚC HẢI
HÀ NỘI - 2004
-2-
MỤC LỤC
LỜI MỞ ĐẦU .............................................................................................................7
Chương I - TỔNG QUAN VỀ MẠNG RIÊNG ẢO ...................................................9
1.1 Internet và mạng riêng ảo ......................................................................................... 9
1.1.1 Sự thay đổi môi trường truyền thông trong thương mại ...................................... 9
1.1.2 Định nghĩa mạng riêng ảo (Virtual Private Network) ......................................... 9
1.1.3 Xu hướng phát triển mạng riêng ảo ..................................................................... 9
1.1.4 Lợi ích của mạng riêng ảo ................................................................................. 11
1.1.4.1 Tiết kiệm chi phí (Cost Saving) .................................................................. 11
1.1.4.2 An ninh (Security) ...................................................................................... 11
1.1.4.3 Tính linh hoạt (Flexibility) ......................................................................... 11
1.1.4.4 Tính khả mở (Scalability) ........................................................................... 11
1.1.4.5 Tăng hiệu suất (Performance) ..................................................................... 12
1.2 Các khái niệm cơ bản .............................................................................................. 12
1.2.1 Các vấn đề đặt ra đối với mạng riêng ảo........................................................... 12
1.2.1.1 An ninh (Security) ...................................................................................... 12
1.2.1.2 Tắc nghẽn cổ chai (Bottleneck) .................................................................. 13
1.2.1.3 Khả năng tương tác (Interoperability) ........................................................ 13
1.2.1.4 Quản lý địa chỉ IP (IP address management) .............................................. 13
1.2.1.5 Độ tin cậy và hiệu năng (Reliability and performance) .............................. 13
1.2.1.6 Hỗ trợ đa giao thức (Multiprotocol support) .............................................. 14
1.2.1.7 Giải pháp tích hợp (Integrated solution) ..................................................... 14
1.2.2 Khái niệm đường hầm trong mạng riêng ảo ...................................................... 14
1.2.2.1 PPTP (Point-To-Point Tunneling Protocol) ................................................ 16
1.2.2.2 L2F (Layer 2 Forwarding) .......................................................................... 17
1.2.2.3 L2TP (Layer 2 Tunneling Protocol) ........................................................... 18
1.2.2.4 IPsec (IP Security) ...................................................................................... 19
1.2.2.5 MPLS (Multiprotocol Label Switching) ..................................................... 20
1.2.2.6 Tóm tắt ưu nhược điểm của các giao thức VPN ......................................... 21
1.2.3 Tính riêng tư trong mạng riêng ảo ..................................................................... 23
1.2.4 Các thành phần trong mạng riêng ảo ................................................................ 25
1.2.4.1 Internet ........................................................................................................ 25
1.2.4.2 Cổng truy nhập (Security Gateway) ........................................................... 26
1.2.4.3 Máy chủ chính sách an ninh (Security Policy Server) ................................ 27
1.2.4.4 Dịch vụ chứng thực (Certificate Authority)................................................ 27
1.3 Các kiểu kết nối mạng riêng ảo .............................................................................. 28
1.3.1 Truy nhập từ xa (Remote Access VPN) .............................................................. 28
1.3.2 Kết nối các mạng riêng (Site-to-Site VPN) ........................................................ 28
1.3.3 Kết nối mở rộng (Extranet VPN) ....................................................................... 28
Chương II - MẠNG RIÊNG ẢO DỰA TRÊN IPSEC .............................................30
2.1 Các thành phần của IPSec ...................................................................................... 30
2.1.1 Liên kết bảo mật (Security Association – SA) .................................................... 31
2.1.2 Giao thức xác thực (Authentication Header – AH) ........................................... 32
2.1.3 Giao thức mã hoá (Encapsulating Security Payload – ESP) ............................. 33
2.2 Hai phương thức hoạt động của IPSec .................................................................. 35
Luận văn tốt nghiệp cao học chuyên ngành Xử lý Thông tin và Truyền thông niên khoá 2002 - 2004
-3-
2.2.1 Phương thức vận chuyển (Transport Mode) ...................................................... 35
2.2.2 Phương thức đường hầm (Tunnel Mode) ........................................................... 35
2.2.3 Kết hợp hai phương thức vận chuyển và đường hầm ........................................ 36
2.3 Quản lý và trao đổi khóa (Key Exchange and Management) ............................. 37
2.3.1 Main Mode ......................................................................................................... 38
2.3.2 Aggressie Mode .................................................................................................. 39
2.3.3 Quick Mode ........................................................................................................ 40
2.3.4 Thoả thuận SA .................................................................................................... 41
2.4 Sử dụng IPSec trong mạng riêng ảo ...................................................................... 41
2.4.1 Chính sách an ninh ............................................................................................ 41
2.4.2 Cổng truy nhập (Security Gateway)................................................................... 43
2.4.3 Máy truy nhập từ xa (Remote Host) ................................................................... 44
2.5 Các vấn đề còn tồn tại đối với IPSec ...................................................................... 45
Chương III - MẠNG RIÊNG ẢO DỰA TRÊN MPLS ............................................47
3.1 Công nghệ chuyển mạch nhãn (MPLS) ................................................................. 47
3.1.1 Các thành phần của MPLS ................................................................................ 47
3.1.1.1 Bộ định tuyến chuyển mạch nhãn (Label Switching Router – LSR).......... 48
3.1.1.2 FEC (Forwarding Equivalence Class) ........................................................ 48
3.1.1.3 Nhãn (Label) ............................................................................................... 49
3.1.1.4 Đường đi chuyển mạch nhãn (Label Switching Path – LSP) ..................... 50
3.1.2 Hoạt động của MPLS ......................................................................................... 51
3.1.3 Các giao thức phân phối nhãn (Label Distribution Protocols) ......................... 52
3.1.4 Đường hầm và xếp chồng nhãn (Tunnel and Label Stack) ................................ 53
3.1.5 Điều khiển lưu lượng trong MPLS (Traffic Engineering).................................. 55
3.2 Công nghệ BGP/MPLS VPN .................................................................................. 57
3.2.1 Các thành phần của BGP/MPLS VPN ............................................................... 58
3.2.1.1 Các thiết bị phía khách hàng (Customer Edge – CE) ................................. 58
3.2.1.2 Các Router biên của nhà cung cấp (Provider Edge Router – PE)............... 58
3.2.1.3 Các Router của nhà cung cấp (Provider Router – P Router) ...................... 59
3.2.2 Hoạt động của BGP/MPLS VPN ....................................................................... 59
3.2.2.1 Cấu trúc mạng mẫu ..................................................................................... 60
3.2.2.2 Luồng điều khiển (Control Flow) ............................................................... 60
3.2.2.2 Luồng dữ liệu (Data Flow) ......................................................................... 63
3.3 Tóm tắt ưu nhược điểm của MPLS VPN .............................................................. 65
3.3.1 Ưu điểm của MPLS VPN .............................................................................. 65
3.3.2 Nhược điểm của MPLS VPN ........................................................................ 66
Chương IV - CÁC VẤN ĐỀ AN NINH ĐỐI VỚI MẠNG RIÊNG ẢO ..................67
4.1 Xác thực .................................................................................................................... 67
4.1.1 PAP (Password Authentication Protocol) ...................................................... 67
4.1.2 CHAP (Challenge Handshake Authentication Protocol) ............................... 68
4.1.3 TACACS (Terminal Access Controller Access-Control System) ................. 68
4.1.4 RADIUS (Remote Authentication Dial-In User Service).............................. 69
4.2 Mã hoá ...................................................................................................................... 70
4.2.1 Tổng quan về mã hoá ......................................................................................... 70
4.2.2 Mã hoá khoá công khai ...................................................................................... 71
4.2.3 Hai phương pháp mã hoá công khai quan trọng ............................................... 74
Luận văn tốt nghiệp cao học chuyên ngành Xử lý Thông tin và Truyền thông niên khoá 2002 - 2004
-4-
4.2.3.1 Kỹ thuật Diffie-Hellman ............................................................................. 74
4.2.3.2 Mã hoá khoá công khai RSA ...................................................................... 75
4.2.4 Kiến trúc khoá công khai (PKI) ......................................................................... 76
4.2.4.1 Chứng chỉ khoá công khai .......................................................................... 76
4.2.4.2 Tạo khoá công khai ..................................................................................... 77
4.2.4.3 Tổ chức cấp chứng chỉ số (Certificate Authority – CA) ............................. 79
4.3 Mạng riêng ảo và tường lửa (Firewall).................................................................. 81
4.3.1 Firewall nằm trước máy chủ VPN ..................................................................... 82
4.3.2 Firewall nằm sau máy chủ VPN ........................................................................ 83
4.3.3 Firewall và truy nhập từ xa (Remote Access) .................................................... 83
Chương V - CÁC VẤN ĐỀ VỀ QUẢN LÝ MẠNG RIÊNG ẢO ............................84
5.1 Quản lý anh ninh ..................................................................................................... 84
5.1.1 Chính sách an ninh (Security Policy) ................................................................ 84
5.1.2 Lựa chọn phương thức mã hoá .......................................................................... 85
5.1.3 Dịch vụ xác thực................................................................................................. 85
5.1.4 Điều khiển quyền truy nhập (Control Access Right) .......................................... 86
5.2 Quản lý địa chỉ IP .................................................................................................... 86
5.3 Quản lý chất lượng dịch vụ..................................................................................... 87
5.3.1 Cung cấp vượt mức băng thông mạng ............................................................... 87
5.3.2 Kỹ thuật bảo tồn băng thông .............................................................................. 87
5.3.3 Ưu tiên lưu lượng hay Phân lớp dịch vụ (Class of Service – CoS) ................... 88
5.3.4 Cấp phát tài nguyên tĩnh .................................................................................... 89
5.3.5 Dự trữ tài nguyên động ...................................................................................... 89
5.3.5.1 Dịch vụ tích hợp (Integrated Services – INTSERV) .................................. 89
5.3.5.2 Giao thức dự trữ tài nguyên (Resource Reservation Protocol – RSVP) ..... 91
Chương VI - MÔ HÌNH DỊCH VỤ MẠNG RIÊNG ẢO .........................................92
6.1 Khảo sát tình hình ứng dụng mạng riêng ảo ........................................................ 92
6.1.1 Tình hình ứng dụng VPN trên thế giới ............................................................... 92
6.1.2 Tình hình ứng dụng VPN tại Việt Nam .............................................................. 94
6.1.3 Mô hình triển khai dịch vụ VPN trên mạng Internet tại Việt Nam .................... 95
6.2 Mô hình thử nghiệm mạng riêng ảo tại Bưu điện TP Hà Nội ............................. 99
6.2.1 Thử nghiệm mô hình mạng riêng ảo MPLS ....................................................... 99
6.2.2 Thử nghiệm mô hình mạng riêng ảo từ xa ....................................................... 100
6.3 Hướng nghiên cứu và phát triển .......................................................................... 101
PHẦN KẾT LUẬN .................................................................................................102
Phụ lục 1 DANH SÁCH THUẬT NGỮ .................................................................103
Phụ lục 2 DANH SÁCH RFC .................................................................................105
TÀI LIỆU THAM KHẢO .......................................................................................107
Luận văn tốt nghiệp cao học chuyên ngành Xử lý Thông tin và Truyền thông niên khoá 2002 - 2004
-5-
MỤC LỤC HÌNH VẼ
Hình 1.1 Giản đồ tạo đường hầm trong VPN ...........................................................15
Hình 1.2 Đường hầm LAN-to-LAN và Client-to-LAN ............................................15
Hình 1.3 Kiến trúc của PPTP ....................................................................................16
Hình 1.4 Gói kết nối điều khiển PPTP ......................................................................17
Hình 1.5 Dữ liệu đường hầm PPTP ..........................................................................17
Hình 1.6 Thông điệp điều khiển L2TP .....................................................................18
Hình 1.7 Đóng gói L2TP ...........................................................................................19
Hình 1.8 Khái niệm End-to-End và Node-to-Node ..................................................24
Hình 1.9 Các thành phần trong một Internet VPN ....................................................25
Hình 1.10 Giản đồ cung cấp kết nối của một ISP thông thường ..............................26
Hình 1.11 Mạng riêng ảo truy nhập từ xa .................................................................28
Hình 1.12 Mạng riêng ảo kết nối giữa các mạng cục bộ ..........................................28
Hình 1.13 Mạng riêng ảo mở rộng ............................................................................29
Hình 2.1 Kiến trúc của IPSec ....................................................................................30
Hình 2.2 Authentication Header (AH) ......................................................................32
Hình 2.3 Encapsulating Security Payload (ESP) ......................................................34
Hình 2.4 AH trong phương thức đường hầm ............................................................36
Hình 2.5 ESP trong phương thức đường hầm ...........................................................36
Hình 2.6 Các trường hợp của hai phương thức vận chuyển và đường hầm .............36
Hình 2.7 ISAKMP Main mode .................................................................................39
Hình 2.8 ISAKMP Aggressive mode ........................................................................40
Hình 2.9 ISAKMP Quick mode ................................................................................41
Hình 2.10 IPSec và chính sách an ninh .....................................................................42
Hình 3.1 Khuôn dạng chung của nhãn ......................................................................49
Hình 3.2 Nhãn được gắn vào giữa Header lớp 2 và Header lớp 3 ............................50
Hình 3.3 Hoạt động của MPLS .................................................................................51
Hình 3.4 Xếp chồng nhãn trong mạng lõi .................................................................54
Hình 3.5 Các thành phần cơ bản của một mạng riêng ảo BGP/MPLS .....................58
Hình 3.6 Cấu trúc mạng mẫu BGP/MPLS ................................................................60
Hình 3.7 Thiết lập các LSP giữa Site 1 và Site 2 ......................................................61
Hình 3.8 Cấu trúc của RD .........................................................................................62
Hình 3.9 Luồng dữ liệu từ Site 2 tới Site 1 ...............................................................63
Hình 4.1 Phương pháp xác thực sử dụng CHAP ......................................................68
Hình 4.2 Hoạt động xác thực dựa trên TACACS và RADIUS .................................69
Hình 4.3 Mã hoá đối xứng ........................................................................................71
Hình 4.4 Mã hoá công khai .......................................................................................72
Luận văn tốt nghiệp cao học chuyên ngành Xử lý Thông tin và Truyền thông niên khoá 2002 - 2004
-6-
Hình 4.5 Kiểm tra một chữ ký điện tử ......................................................................73
Hình 4.6 Tạo mật khoá chung trong Diffie-Hellman ................................................75
Hình 4.7 Giải thuật mã hoá công khai RSA ..............................................................76
Hình 4.8 Nội dung của một chứng chỉ số..................................................................77
Hình 4.9 Kiểm tra một chứng chỉ khoá công khai ....................................................77
Hình 4.10 Tạo khoá công khai ..................................................................................78
Hình 4.11 Sơ đồ hình chóp trong hệ thống phân phối CA có thứ bậc ......................79
Hình 4.12 Firewall nằm trước máy chủ VPN ...........................................................82
Hình 4.13 Firewall nằm sau máy chủ VPN ..............................................................83
Hình 5.1 Hệ thống xác thực cho người sử dụng truy nhập từ xa ..............................85
Hình 5.2 Hoạt động của CoS.....................................................................................88
Hình 6.1 Kế hoạch thực hiện và triển khai VPN trên thế giới 2001-2004...............92
Hình 6.2 Kế hoạch sử dụng các sản phẩm dịch vụ VPN tại Bắc Mỹ năm 2004 ......93
Hình 6.3 Các chuẩn VPN được sử dụng tại Bắc Mỹ và Châu Âu 2003-2004 ..........93
Hình 6.4 Mô hình cung cấp dịch vụ VPN trên VNN ................................................96
Hình 6.5 Mô hình thử nghiệm MPLS VPN truyền số liệu giữa các Bưu cục ...........99
Hình 6.6 Mô hình thử nghiệm mạng riêng ảo từ xa ................................................100
Luận văn tốt nghiệp cao học chuyên ngành Xử lý Thông tin và Truyền thông niên khoá 2002 - 2004
-7-
LỜI MỞ ĐẦU
Mạng riêng ảo (Virtual Private Network - VPN) là một mạng riêng được xây
dựng trên hạ tầng mạng công cộng. VPN cho phép lựa chọn các công nghệ kết nối
khác nhau như: Leased Line, Frame Relay, xDSL, PSTN. VPN có nhiều ưu điểm
nổi trội như kết nối trực tiếp giữa các điểm bất kỳ, mức độ bảo mật cao, dễ sử dụng,
giảm chi phí vận hành.
Dịch vụ VPN phù hợp với đối tượng khách hàng là các đơn vị hoạt động
trong lĩnh vực ngân hàng, bảo hiểm, hàng hải và đặc biệt là lĩnh vực viễn thông - tin
học. Giải pháp này cho phép người dùng có thể truy cập tại nhà hoặc truy cập từ xa
vào mạng nội bộ ở trụ sở chính. Thay vì phải đầu tư cơ sở hạ tầng cho một mạng
riêng, các công ty chỉ việc thuê dịch vụ này của nhà cung cấp dịch vụ và có thể tổ
chức nhiều ứng dụng riêng như: hội thảo qua mạng, trao đổi dữ liệu, chia sẻ tài
nguyên trên mạng, cơ sở dữ liệu, web nội bộ, truy nhập Internet và sử dụng các dịch
vụ trên nền mạng này như một khách hàng Internet trực tiếp bình thường.
Các nhà phân tích đã nêu những ý kiến của mình về sự khởi đầu của VPN
với tư cách là một trong số các công nghệ mang tính chất xuyên phá. VPN cũng đã
hoàn thiện, cùng với sự ra đời của các dịch vụ băng thông rộng, thị trường mạng
riêng ảo chắc chắn sẽ trở thành một thị trường sôi động hơn bao giờ hết.
Đứng trước xu thế phát triển đó, học viên đã lựa chọn đề tài nghiên cứu về
mạng riêng ảo, nhằm chuẩn bị những kiến thức cần thiết, làm chủ công nghệ để có
thể sẵn sàng đáp ứng các yêu cầu mới.
Mục đích của đề tài:
▪ Nghiên cứu mô hình mạng riêng ảo, các vấn đề kỹ thuật, và ứng dụng
của mạng riêng ảo.
Đối tượng và phạm vi của đề tài:
▪ Luận văn tập trung nghiên cứu hai mô hình mạng riêng ảo dựa trên
IPsec và MPLS.
▪ Nghiên cứu mô hình cung cấp dịch vụ mạng riêng ảo phù hợp với hạ
tầng mạng thông tin hiện nay tại Việt Nam.
Luận văn tốt nghiệp cao học chuyên ngành Xử lý Thông tin và Truyền thông niên khoá 2002 - 2004
-8-
Bố cục của luận văn:
Toàn bộ luận văn được trình bầy trong 6 chương.
Chương 1:
▪ Giới thiệu tổng quan về mạng riêng ảo, các khái niệm cơ bản, các
thành phần và kiến trúc của mạng riêng ảo.
Chương 2:
▪ Nghiên cứu chi tiết mô hình mạng riêng ảo dựa trên giao thức IPsec.
Các thành phần và phương thức hoạt động của IPsec, và các vấn đề
còn tồn tại.
Chương 3:
▪ Nghiên cứu chi tiết mô hình mạng riêng ảo dựa trên giao thức MPLS.
Chương 4:
▪ Vấn đề an ninh đối với mạng riêng ảo. Trình bầy các vấn đề về xác
thực, mã hoá, kiểm soát truy nhập trong mạng riêng ảo.
Chương 5:
▪ Vấn đề về quản lý mạng riêng ảo. Trình bầy các vấn đề quản lý an
ninh, quản lý địa chỉ, quản lý chất lượng trong mạng riêng ảo.
Chương 6:
▪ Nghiên cứu mô hình dịch vụ mạng riêng ảo trên cơ sở hạ tầng Internet
băng rộng đang phát triển tại Việt Nam hiện nay.
▪ Nghiên cứu hai mô hình thử nghiệm mạng riêng ảo đã triển khai tại
Bưu điện thành phố Hà Nội.
Luận văn tốt nghiệp cao học chuyên ngành Xử lý Thông tin và Truyền thông niên khoá 2002 - 2004
-9-
Chương I - TỔNG QUAN VỀ MẠNG RIÊNG ẢO
1.1 Internet và mạng riêng ảo
1.1.1 Sự thay đổi môi trường truyền thông trong thương mại
Có thể coi thông tin là một yếu tố hàng đầu trong lĩnh vực thương mại. Các
công ty, tổ chức không chỉ có nhu cầu trao đổi thông tin trong nội bộ của họ, mà
còn phải giữ mối liên lạc với các nhà cung cấp, khách hàng, và thị trường nếu họ
muốn giành được những thành công trong kinh doanh.
Từ thập kỷ 90, Internet đã là một phương tiện truyền thông phổ biến trên thế
giới. Cho tới nay, nó đã phát triển rộng khắp và trở thành một phương tiện thông tin
liên lạc không thể thiếu được, đặc biệt là trong lĩnh vực kinh doanh thương mại.
Tuy nhiên, Internet lại là một nơi cư ngụ của quá nhiều công nghệ khác nhau, hơn
nữa các vấn đề về an ninh và chất lượng truyền thông chưa được đảm bảo. Điều này
gây khó khăn cho các công ty khi lựa chọn công nghệ, triển khai các dịch vụ như
thương mại điện tử trên Internet.
Mục tiêu chính của mạng riêng ảo là sử dụng môi trường truyền thông rộng
khắp của Internet, để cung cấp một mạng riêng an toàn và tin cậy.
1.1.2 Định nghĩa mạng riêng ảo (Virtual Private Network)
Có nhiều định nghĩa khác nhau về mạng riêng ảo. Tuy nhiên, theo tổ chức
IETF (Internet Engineering Task Force), mạng riêng ảo được định nghĩa là:
Một mạng diện rộng dùng riêng sử dụng các thiết bị và
các phương tiện truyền dẫn của một mạng công cộng.
Để duy trì được tính riêng tư trên cơ sở hạ tầng viễn thông công cộng, một
mạng riêng ảo phải có hai thành phần cơ bản:
1- Thủ tục tạo đường hầm tạo ra một kênh truyền ảo của VPN;
2- Một số dịch vụ an ninh khác nhau để bảo mật dữ liệu.
1.1.3 Xu hướng phát triển mạng riêng ảo
VPN có thể được phát triển trên nhiều môi trường khác nhau: công nghệ
chuyển mạch gói X.25, công nghệ chuyển mạch khung Frame Relay, ATM, hay
Luận văn tốt nghiệp cao học chuyên ngành Xử lý Thông tin và Truyền thông niên khoá 2002 - 2004
- 10 -
Internet. Trong các môi trường khác nhau, sự phát triển của VPN có những đặc
điểm khác nhau về mặt kỹ thuật cũng như về mặt đáp ứng yêu cầu của khách hàng.
Tuy nhiên trong quá trình phát triển của các mạng riêng ảo thì mạng riêng ảo trên
Internet là một xu hướng phát triển mạnh nhất, điều này xuất phát từ thực tế phát
triển nhanh chóng của Internet trong các năm qua, với lợi thế về độ bao phủ rộng
lớn, chi phí hợp lý và đơn giản trong việc quản lý.
Ngày nay sự phát triển VPN trên nền công nghệ IP là xu thế tất yếu xuất phát
từ sự hội tụ giữa Internet và các mạng dùng riêng. Có 4 lý do dẫn đến quá trình hội
tụ này ở Việt Nam cũng như trên thế giới:
1- Sự phát triển mở rộng về mặt địa lý của các công ty lớn dẫn đến sự gia
tăng chi nhánh, nhu cầu kết nối về trụ sở chính để trao đổi thông tin cũng như phục
vụ cho công tác quản lý ngày càng gia tăng. Ngày càng có rất nhiều các chuyên gia,
nhân viên có nhu cầu làm việc từ xa hoặc phải đi công tác xa nhưng vẫn có nhu cầu
trao đổi thông tin với Công ty, điều này đã làm cho các hệ thống mạng dùng riêng,
bị bó hẹp trong một phạm vi địa lý cố định không thể đáp ứng được. Mạng riêng ảo
chính là một giải pháp thích hợp trong trường hợp này. Theo tổ chức Gartner
Group, năm 2003 có đến hơn 130 triệu người có nhu cầu làm việc và kết nối từ xa.
Nhu cầu này có thể được gọi là nhu cầu kết nối nội bộ - Intranet.
2- Nhu cầu tác nghiệp trực tuyến hay kết nối mở rộng - Extranet. Sự phát
triển của nền kinh tế, đặc biệt là xu hướng làm việc với nhiều nhà cung cấp dịch vụ,
sản phẩm cũng như với nhiều đối tượng khách hàng khác nhau, sự phụ thuộc lẫn
nhau giữa những người sản xuất, người cung ứng, khách hàng và đại lý ngày càng
sâu sắc đã dẫn đến nhu cầu cấp thiết của việc trao đổi thông tin giữa các chủ thể
này. Tuy nhiên một hệ thống mạng nội bộ (LAN) lại không thể đáp ứng được yêu
cầu đó, xuất phát từ lý do mỗi nhà cung cấp dịch vụ sản phẩm, đối tác, bạn hàng,
khách hàng lại sử dụng cấu trúc mạng khác nhau (thủ tục, ứng dụng, nhà cung cấp
dịch vụ, hệ thống quản trị mạng lưới...), do đó việc kết nối tất cả các mạng này với
nhau nhiều khi trở nên một vấn đề không thể thực hiện nổi.
3- Chi phí cho việc cài đặt và duy trì một mạng diện rộng là lớn. Điều này
đặc biệt ảnh hưởng tới các công ty có phạm vi hoạt động vượt ra khỏi biên giới
Luận văn tốt nghiệp cao học chuyên ngành Xử lý Thông tin và Truyền thông niên khoá 2002 - 2004
- 11 -
quốc gia. Ngược lại, sử dụng cơ sở hạ tầng sẵn có của Internet đem lại một lợi thế
nổi bật.
4- Nhu cầu tích hợp và đơn giản hoá giao diện cho người sử dụng.
1.1.4 Lợi ích của mạng riêng ảo
1.1.4.1 Tiết kiệm chi phí (Cost Saving)
VPN cho phép các tổ chức tận dụng hiệu quả giao thông Internet để kết nối
các văn phòng và người dùng từ xa đến trụ sở chính của công ty, giảm các chi phí
về thiết bị và hỗ trợ kỹ thuật. Tuy nhiên nó vẫn giữ được sự linh hoạt cho mạng
kinh doanh của họ, cho phép nó đáp ứng nhanh hơn các thay đổi trong các mối quan
hệ kinh doanh và thị trường.
1.1.4.2 An ninh (Security)
VPN cung cấp mức độ an ninh cao nhất sử dụng các giao thức an ninh tiên
tiến, cũng như rất nhiều các phương pháp xác thực để bảo vệ dữ liệu khỏi các truy
cập trái phép và sử dụng sai mục đích. Các truy cập từ xa truyền thống và các công
nghệ mạng diện rộng như quay số từ xa và Frame Relay chỉ cung cấp giao thông
tách biệt chứ không vận chuyển an toàn. Việc sử dụng mã hóa và xác thực VPN
cung cấp một mạng có độ an toàn cao trong một thế giới mạng không an toàn.
1.1.4.3 Tính linh hoạt (Flexibility)
Với các mạng truyền thống, việc kết nối giữa các chi nhánh, các thiết bị truy
nhập từ xa, cần phải được duy trì bởi rất nhiều các thiết bị khác nhau.
VPN cho phép thực hiện rất nhiều kiểu kết nối khác nhau như: Leased Line,
Frame Relay, Dial-Up, xDSL, Wireless... Nó chỉ bị giới hạn bởi phương tiện truyền
thông được hỗ trợ bởi ISP, tuy nhiên các loại hình dịch vụ mới ngày một hấp dẫn và
liên tục được phát triển.
1.1.4.4 Tính khả mở (Scalability)
Do tận dụng được hạ tầng Internet của các ISP, vì thế các công ty có thể mở
rộng năng lực và phạm vi sử dụng rất lớn mà không phải đầu tư thêm nhiều về thiết
bị và hạ tầng viễn thông.
Luận văn tốt nghiệp cao học chuyên ngành Xử lý Thông tin và Truyền thông niên khoá 2002 - 2004
- 12 -
1.1.4.5 Tăng hiệu suất (Performance)
Bằng cách cung cấp kết nối nhanh hơn, đáng tin cậy giữa các vị trị từ xa, các
đối tác từ mạng bên ngoài, và các mạng công ty. VPN rõ ràng cải thiện hiệu suất
công việc của các công ty. Hơn nữa VPN có ít yêu cầu về bảo dưỡng hơn do vậy
thời gian ngưng hoạt động của nó sẽ ít hơn các công nghệ khác.
1.2 Các khái niệm cơ bản
1.2.1 Các vấn đề đặt ra đối với mạng riêng ảo
Khi tích hợp một công nghệ mới vào môi trường mạng hiện tại, luôn luôn có
một số yêu cầu cần phải được xem xét kỹ. Đó là các vấn đề về hợp chuẩn, khả năng
quản lý, khả năng mở rộng, thừa kế và tích hợp, tính tin cậy, và hiệu năng của hệ
thống.
Các nhà quản lý và thiết kế mong muốn tìm được những sản phẩm và dịch
vụ tuân theo các chuẩn thông dụng, đảm bảo sự tương thích với các nhà cung cấp
khác nhau. Như vậy, khi số lượng người dùng tăng lên, sẽ dễ dàng mở rộng thêm
các thành phần và dịch vụ mới vào hạ tầng mạng sẵn có. Tính tin cậy của hệ thống
cũng là một nhân tố quan trọng. Đối với VPN, tính tin cậy tập trung vào hai thành
phần: thiết bị mạng (bao gồm cả phần mềm) và môi trường truyền thông (ví dụ như
Internet). Yêu cầu về tính tin cậy của Internet như là một kênh truyền dữ liệu không
ngừng tăng lên, nhưng điều này có thể được đảm bảo bởi ISP. Hiệu năng của hệ
thống dựa trên thoả thuận mức dịch vụ (Service Level Agreements - SLAs) với ISP
thông qua các kỹ thuật về chất lượng dịch vụ.
1.2.1.1 An ninh (Security)
VPN chỉ là một phần trong kế hoạch an ninh của công ty. Bên cạnh việc thiết
lập một đường hầm giữa hai đầu của kênh truyền, các chính sách bảo mật khác cũng
cần phải được áp dụng như kiểm tra quyền truy nhập, mã hoá, và xác thực.
Việc truyền thông quốc tế cũng là một vấn đề đặt ra trong chính sách an
ninh. Nhiều nước giới hạn các kỹ thuật mã hoá tiên tiến trong phạm vi chính phủ ở
nước họ, và chỉ xuất khẩu các kỹ thuật thấp hơn ra nước ngoài. Vì vậy việc lựa chọn
công nghệ và chính sách an ninh hợp lý là một vấn đề hết sức quan trọng.
Luận văn tốt nghiệp cao học chuyên ngành Xử lý Thông tin và Truyền thông niên khoá 2002 - 2004
- 13 -
1.2.1.2 Tắc nghẽn cổ chai (Bottleneck)
Việc mã hoá và giải mã có thể chiếm nhiều năng lực tính toán dẫn tới làm
giảm tốc độ truyền dữ liệu ở các Security Gateway. Đối với các kết nối băng rộng
tốc độ cao, sử dụng một số giải pháp để khắc phục là mã hoá bằng phần cứng hoặc
dành riêng một trạm tốc độ cao để chạy phần mềm mã hoá. Có thể sử dụng phần
mềm mã hoá chạy chung trên các thiết bị chia sẻ (ví dụ Firewall hay Remote Access
Server) là thích hợp cho các kết nối băng hẹp (như Dial-Up hoặc ISDN).
Việc đóng gói dữ liệu sẽ làm tăng kích thước chuẩn của các gói tin, làm cho
chúng có thể có kích thước lớn hơn so với kích thước thông thường được xử lý bởi
các Router và các thiết bị mạng khác. Trong trường hợp này, các gói dữ liệu sẽ bị
phân mảnh, có thể làm giảm hiệu năng của hệ thống. Một giải pháp là nén các gói
dữ liệu gốc trước khi đóng gói.
1.2.1.3 Khả năng tương tác (Interoperability)
Khả năng tương tác giữa các giao thức tạo đường hầm và an ninh hiện tại là
một thách thức lớn. Để lựa chọn một giao thức đáp ứng được tất cả các yêu cầu cho
VPN là một vấn đề khó thực hiện nổi, bởi vì các giao thức như PPTP và L2TP là
phù hợp với các kết nối từ xa, trong khi IPSec lại thích hợp cho các kết nối LAN-toLAN. Thực tế là phần lớn các giao thức đều hội tụ trên IPSec để mã hoá, như vậy sẽ
làm tăng khả năng tương tác.
1.2.1.4 Quản lý địa chỉ IP (IP address management)
Vấn đề sẽ đơn giản nếu VPN được triển khai trên một mạng, và bạn có một
hệ thống Domain Name Service (DNS) duy nhất để liên kết tên với địa chỉ IP.
Nhưng thông thường, mỗi phần của VPN được xem như là một mạng riêng,
với một số đường hầm và liên kết giữa các Router. Trong trường hợp này thật khó
để xác định một bảng định tuyến duy nhất, và DNS cũng có thể bị phân mảnh, làm
khó khăn thêm cho việc quản lý VPN.
1.2.1.5 Độ tin cậy và hiệu năng (Reliability and performance)
Bởi vì VPN phụ thuộc vào nền tảng Internet, nên chúng cũng gặp phải những
Luận văn tốt nghiệp cao học chuyên ngành Xử lý Thông tin và Truyền thông niên khoá 2002 - 2004
- 14 -
vấn đề tương tự như Internet. Hơn nữa, bản thân VPN cũng có những vấn đề của
riêng nó như khả năng đảm bảo chất lượng dịch vụ, cấp phát tài nguyên mạng.
1.2.1.6 Hỗ trợ đa giao thức (Multiprotocol support)
Mặc dù rất nhiều công ty đã chuyển sang lựa chọn TCP/IP làm bộ giao thức
cho mạng của họ, nhưng những giao thức khác vẫn tồn tại với mục đích kế thừa.
IPX của NetWare là một ví dụ. Việc tạo đường hầm cho các gói tin non–IP trên
IPSec là một vấn đề, bởi vì IPSec chỉ được thiết kế cho các gói tin IP. Mặt khác,
PPTP và L2TP thì lại hỗ trợ đa giao thức. Nếu bạn thiết kế một VPN lớn và phức
tạp, mà cả PPTP và L2TP đều không đáp ứng được, bạn có thể nâng cấp các dịch vụ
non–IP sang IP. Ví dụ các phiên bản mới của Netware bây giờ, ngoài IPX cũng hỗ
trợ cả IP.
1.2.1.7 Giải pháp tích hợp (Integrated solution)
Mặc dù giải pháp đơn giản trên một thiết bị nghe có vẻ là một giải pháp tốt,
đặc biệt trên quan điểm an ninh và quản lý mạng, lưu ý rằng một thiết bị tích hợp
đơn lẻ có thể trở thành một trung tâm lỗi, và có thể gây ngừng trệ toàn bộ VPN.
1.2.2 Khái niệm đường hầm trong mạng riêng ảo
Trong VPNs, “virtual” được hiểu rằng mạng là động, với các kết nối được
thiết lập tuỳ theo yêu cầu của tổ chức. Không như kết nối Leased-line sử dụng trong
các VPN truyền thống, Internet VPN không thiết lập một liên kết cố định giữa các
điểm cuối. Thay vì như vậy, một kết nối sẽ được tạo ra khi cần thiết. Khi kết nối
không còn cần nữa, nó sẽ được cắt đi, giải phóng băng thông và tài nguyên mạng để
dùng vào việc khác.
Virtual cũng có nghĩa là cấu trúc logic mạng được hình thành bởi các thiết bị
mạng của bạn, mà không quan tâm tới cấu trúc vật lý của mạng cơ sở (trong trường
hợp này chính là Internet). Các thiết bị như Router hay Switch thuộc phần mạng của
ISP là trong suốt đối với người sử dụng. Khả năng ẩn đi ISP và cơ sở hạ tầng
Internet khỏi ứng dụng VPN của bạn gọi là tạo đường hầm (Tunneling).
Đường hầm (Tunnel) cũng được sử dụng cho các dịch vụ khác trên Internet
bên cạnh VPN, như là Multicasting và Mobile IP. Đường hầm tạo ra một kết nối
Luận văn tốt nghiệp cao học chuyên ngành Xử lý Thông tin và Truyền thông niên khoá 2002 - 2004
- 15 -
đặc biệt giữa hai điểm cuối (endpoint). Đường hầm được tạo ra bằng cách đóng gói
thêm vào phần tiêu đề mở rộng của gói tin và chuyển nó qua Internet. Với VPN,
việc đóng gói có thể bao gồm cả việc mã hoá gói tin gốc. Ở đầu nhận, Gateway sẽ
gỡ bỏ phần tiêu đề mở rộng và giải mã gói tin nếu cần thiết, sau đó nó chuyển gói
tin gốc tới đích.
Hình 1.1 Giản đồ tạo đường hầm trong VPN
Đường hầm có thể bao gồm hai loại đầu cuối: một máy tính truy nhập từ xa,
hoặc một LAN với Security Gateway (có thể là Router hay Firewall).
Hình 1.2 Đường hầm LAN-to-LAN và Client-to-LAN
Một trong những yêu cầu cơ bản cũng như là đặc điểm của đường hầm VPN
là thông tin trong đường hầm phải được bảo mật cao, và phải được cách ly giữa các
VPN khác nhau, cũng như là khả năng mở rộng của nó.
Luận văn tốt nghiệp cao học chuyên ngành Xử lý Thông tin và Truyền thông niên khoá 2002 - 2004
- 16 -
Có nhiều giao thức dùng để thiết lập đường hầm, tùy theo những công nghệ
mà nó sử dụng. Các đường hầm dựa trên những công nghệ khác nhau sẽ có những
đặc điểm khác nhau, và các đặc điểm của đường hầm có ảnh hưởng rất lớn tới các
đặc điểm chung của VPN sử dụng đường hầm đó. Một số giao thức chủ yếu dùng
để tạo đường hầm VPN là PPTP, L2TP, IPSec, GRE, MPLS. Các giao thức tạo
đường hầm trong VPN hoạt động ở lớp 2 và lớp 3 trong mô hình mạng OSI. Dưới
đây ta sẽ xem xét một số giao thức phổ biến để tạo ra đường hầm.
1.2.2.1 PPTP (Point-To-Point Tunneling Protocol)
PPTP đầu tiên được đưa ra bởi nhóm PPTP Forum gồm các công ty 3Com,
Ascend Communication, Microsoft, ECI Telematics và US Robotic. Ý tưởng chính
của giao thức PPTP là tận dụng các ưu điểm của hạ tầng Internet để cung cấp các
kết nối bảo mật giữa người dùng từ xa và mạng riêng của công ty. Người dùng từ xa
chỉ cần quay số nội hạt tới ISP và có được một đường hầm an ninh tới mạng của
công ty.
Hầu hết giao thức được sử dụng để truy cập từ xa vào Internet là giao thức
PPP (Point-to-Point Protocol). PPTP xây dựng dựa trên chức năng của PPP để cung
cấp một kết nối từ xa như là một đường hầm xuyên qua Internet. PPTP sử dụng giao
thức GRE (Generic Routing Encapsulation) để đóng gói các gói tin PPP, làm tăng
tính linh hoạt cho PPTP không những tương thích với IP, mà cả các giao thức khác
như IPX và NETBEUI.
PPTP làm việc ở lớp 2 (Link Layer) trong mô hình OSI. Chi tiết về PPTP có
thể tham khảo trong RFC 2637.
Hình 1.3 Kiến trúc của PPTP
Luận văn tốt nghiệp cao học chuyên ngành Xử lý Thông tin và Truyền thông niên khoá 2002 - 2004
- 17 -
Duy trì đường hầm với kết nối điều khiển PPTP:
Sau khi kết nối PPP được thiết lập, giao thức PPTP tạo ra một kết nối điều
khiển từ máy khách PPTP đến máy phục vụ PPTP. Các thông điệp điều khiển sẽ
thiết lập, duy trì và kết thúc đường hầm PPTP. Nó bao gồm việc truyền các thông
điệp yêu cầu phản hồi PPTP định kỳ và các thông điệp trả lời phản hồi PPTP để
phát hiện ra kết nối bị hỏng giữa PPTP client và PPTP server. Các gói kết nối điều
khiển PPTP gồm có IP Header, TCP Header, và một thông điệp điều khiển PPTP,
gói kết nối điều khiển cũng bao gồm cả phần Header và Trailer của tầng liên kết dữ
liệu.
Datalink
Header
IP
TCP
PPTP
Control
Message
Datalink
Trailer
Hình 1.4 Gói kết nối điều khiển PPTP
Tạo dữ liệu đường hầm PPTP:
Việc tạo dữ liệu đường hầm PPTP được thực hiện qua nhiều mức đóng gói.
Tải PPP ban đầu được mã hóa và đóng gói với một PPP Header để tạo ra một khung
PPP. Sau đó khung PPP được đóng gói với GRE Header. Kết quả của việc đóng gói
tải GRE và PPP sau đó được đóng gói tiếp với một IP Header chứa các địa chỉ IP
nguồn và đích của PPTP Client và Server. Để gửi được trên mạng, cuối cùng tải IP
được đóng gói bởi tầng liên kết dữ liệu.
Encrypted PPP Payload
Datalink
Header
IP
Header
GRE
Header
PPP
Header
(IP Datagram, IPX
Datagram, NetBEUI
Frame)
Datalink
Trailer
Hình 1.5 Dữ liệu đường hầm PPTP
1.2.2.2 L2F (Layer 2 Forwarding)
L2F là một giao thức chuyển tiếp lớp 2 (Layer 2 Forwarding) do hãng Cisco
Systems phát triển. Chi tiết về L2F có thể tham khảo trong RFC 2341.
Giống như PPTP, L2F được thiết kế như là một giao thức đường hầm, sử
dụng các định nghĩa đóng gói dữ liệu riêng của nó để truyền các gói tin ở lớp 2. L2F
Luận văn tốt nghiệp cao học chuyên ngành Xử lý Thông tin và Truyền thông niên khoá 2002 - 2004
- 18 -
cũng sử dụng chức năng của PPP để cung cấp một kết nối truy cập từ xa và kết nối
này có thể được đi qua một đường hầm thông qua Internet để tới đích.
Sự khác nhau chính giữa PPTP và L2F ở chỗ việc tạo đường hầm trong giao
thức L2F không phụ thuộc vào IP và GRE, điều này cho phép nó làm việc với nhiều
phương tiện truyền vật lý khác nhau. Ngoài việc sử dụng PPP để xác thực người sử
dụng, L2F còn hỗ trợ TACACS+ và RADIUS. Khác với PPTP, L2F định nghĩa các
kết nối bên trong một đường hầm, cho phép một đường hầm hỗ trợ nhiều kết nối.
1.2.2.3 L2TP (Layer 2 Tunneling Protocol)
L2TP là một sự kết hợp của PPTP và L2F. Việc có nhiều hơn hai giao thức
đường hầm không tương thích, cạnh tranh trên thị trường khiến cho các khách hàng
trở nên lúng túng. Tổ chức IETF đã kết hợp hai công nghệ trên thành một giao thức
đường hầm mang lại các tính năng tốt nhất của cả hai. L2TP được định nghĩa trong
RFC 2661.
L2TP đóng gói các khung PPP để gửi qua mạng IP, X.25, Frame Relay hoặc
ATM. Nếu được gửi qua mạng IP, các khung L2TP được đóng gói thành các thông
điệp UDP (User Datagram Protocol). L2TP sử dụng các thông điệp UDP qua mạng
IP cho cả việc duy trì đường hầm và việc gửi dữ liệu qua đường hầm.
Duy trì đường hầm với thông điệp điều khiển L2TP:
Không như PPTP, việc duy trì đường hầm L2TP không được thực hiện trên
một kết nối TCP riêng lẻ nào. L2TP điều khiển cuộc gọi và quản lý giao thông bằng
các thông điệp UDP.
Trong Windows 2000, cả máy khách và máy chủ L2TP đều sử dụng cổng
UDP 1701. Thông điệp điều khiển L2TP được gửi đi như các gói dữ liệu UDP là tải
mã hóa của IPSec ESP.
Hình 1.6 Thông điệp điều khiển L2TP
Luận văn tốt nghiệp cao học chuyên ngành Xử lý Thông tin và Truyền thông niên khoá 2002 - 2004
- 19 -
Dữ liệu xuyên đường hầm L2TP (L2TP Data Tunneling):
Dữ liệu xuyên đường hầm L2TP được thực hiện qua nhiều cấp đóng gói.
Hình 1.7 Đóng gói L2TP
Tại nơi nhận, quá trình mở gói L2TP được thực hiện như sau:
▪ Tháo bỏ các Data-Link, IP, IPsec-ESP Headers và Trailers. Dùng
IPSec ESP Header để giải mã phần đã mã hóa của gói.
▪ Xử lý UDP header để thu được gói L2TP. Sử dụng các trường
TunnelID và CallID của L2TP Header để xác định đường hầm cụ thể.
▪ Sử dụng PPP Header để xác định tải PPP và chuyển tiếp cho giao thức
phù hợp để xử lý.
1.2.2.4 IPsec (IP Security)
Chồng giao thức TCP/IP chưa có các phương thức để bảo đảm an ninh.
Trong những giai đoạn đầu của Internet, khi mà mục đích sử dụng chỉ mới ở mức
học tập và nghiên cứu, thì các yêu cầu về an ninh cũng không nhiều lắm. Ngày nay
với sự bùng nổ Internet, đặc biệt là trong lĩnh vực thương mại thì nhu cầu về an
ninh và bảo mật là hết sức cần thiết. Để bổ sung thêm các tính năng an ninh cho gói
tin IP, tổ chức IETF đã đưa ra giao thức IPSec để xác thực và mã hoá các gói tin IP,
và đã định nghĩa trong các RFC 1825 đến 1829 vào năm 1995. Sau đó đã sửa đổi,
bổ sung năm 1998, và đặc tả trong các RFC 2401 đến 2411.
Tập các giao thức tạo nên cơ sở cho kiến trúc IPSec, bao gồm hai Header
khác nhau được thiết kế để sử dụng trong gói tin IP:
▪ IP Authentication Header (AH) dùng để xác thực;
▪ Encapsulating Security Payload (ESP) dùng để mã hoá.
Quá trình phát triển IPSec cũng diễn ra đồng thời với việc phát triển giao
thức IP thế hệ sau, gọi là IPv6, và đã dự định bao gồm trong IPv6. Nhưng bởi sự trì
Luận văn tốt nghiệp cao học chuyên ngành Xử lý Thông tin và Truyền thông niên khoá 2002 - 2004
- 20 -
hoãn của IPv6 và yêu cầu trước mắt của vấn đề an ninh, IPSec đã được sửa đổi để
tương thích với IPv4. Hỗ trợ IPSec Header là tuỳ chọn của IPv4 nhưng là bắt buộc
đối với IPv6.
IPSec được xây dựng dựa trên một số kỹ thuật mã hoá đã được chuẩn hoá để
cung cấp khả năng xác thực, đảm bảo tính bí mật, tin cậy và toàn vẹn dữ liệu khi
truyền qua mạng IP công cộng. Ví dụ, IPSec sử dụng các kỹ thuật như:
▪ Trao đổi khoá Diffe-Hellman để phân phối các khoá bí mật giữa các
cặp trao đổi thông tin trong một mạng công cộng.
▪ Mã hoá khoá công khai để đánh dấu việc trao đổi khoá Diffe-Hellman
đảm bảo việc nhận dạng của 2 thành phần tham gia trao đổi thông tin
với nhau.
▪ Các thuật toán như DES và các thuật toán mã hoá khác để mã hoá dữ
liệu.
▪ Các thuật toán băm (HMAC, MD5 và SHA) để xác thực gói tin.
▪ Chứng chỉ số để hợp lệ các khoá công khai.
Chi tiết về hoạt động của IPSec sẽ được trình bầy trong chương II của luận
văn: Mạng riêng ảo dựa trên IPSec.
1.2.2.5 MPLS (Multiprotocol Label Switching)
MPLS được IETF phát triển từ năm 1997. Mục đích của MPLS là chuẩn hóa
các giao thức sử dụng các kỹ thuật hoán chuyển nhãn (Label Swapping). Việc sử
dụng hoán chuyển nhãn có nhiều ưu điểm to lớn, nó cách ly được các vấn đề của
định tuyến với các vấn đề của vận chuyển dữ liệu. Định tuyến là một vấn đề mạng
toàn cục và cần sự hợp tác của tất cả các Router tham gia vào, trong khi vận chuyển
chỉ là một vấn đề cục bộ.
Chuyển mạch nhãn đa giao thức (MPLS) được coi là công nghệ hoạt động ở
lớp 2.5 do nó hoạt động giữa lớp 2 và lớp 3 trong mô hình OSI. MPLS kết hợp
những đặc điểm tốt nhất giữa định tuyến lớp 3 (Network Layer) và chuyển mạch
lớp 2 (Link Layer), cho phép chuyển tải các gói rất nhanh trong mạng lõi và định
tuyến tốt ở các mạng biên bằng cách dựa vào nhãn. MPLS sử dụng chế độ tích hợp
Luận văn tốt nghiệp cao học chuyên ngành Xử lý Thông tin và Truyền thông niên khoá 2002 - 2004
- Xem thêm -