Tóm tắt nội dung 

Mạng riêng ảo (Virtual Private Network, VPN) là một trong những dịch vụ quan trọng được cung cấp bởi nhiều nhà 

cung cấp dịch vụ viễn thông của Việt nam, trong đó Công ty Viễn thông Liên tỉnh (VTN) chiếm thị phần lớn nhất với 

các khách hàng lớn là các cơ quan của Đảng và Nhà nước, các  bộ  ngành của Chính phủ, các ngân hàng, các tổ

chức tín dụng-tài chính, các doanh nghiệp và tập đoàn lớn trong và ngoài nước, v.v.

Tuy VPN không phải là một dịch vụ  mới, nhưng khách hàng có nhu cầu sử  dụng dịch vụ  này luôn đặt câu hỏi  như

VPN được xây dựng trên những công nghệ nào? Chúng khác nhau ra sao? Công nghệ VPN nào thích hợp nhất cho 

nhu cầu của  tổ  chức  mình? Cùng với sự  tư vấn kỹ  càng của bộ  phận chăm sóc khách hàng tại VTN, bài báo này 

cung cấp một số thông tin giúp khách hàng và những người quan tâm trả lời những thắc mắc nói trên.

Từ viết tắt

BGP  Border Gateway Protocol  Giao thức cổng biên mạng

CE  Customer Edge  Biên khách hàng

IGP  Interior Gateway Protocol  Giao thức cổng nội mạng

IP  Internet Protocol  Giao thức Internet

IPsec  IP Security  Giao thức an ninh mạng Internet

LAN  Local Area Network  Mạng cục bộ/nội bộ

LDP  Label Distribution Protocol  Giao thức phân phối nhãn

LSP  Label Switched Path  Đường chuyển mạch nhãn

MAC  Media Access Controller  Bộ điều khiển truy nhập môi trường

MPLS  Multiprotocol Label Switching  Chuyển mạch nhãn đa giao thức

OSI  Open Systems Interconnection  Kết nối các hệ thống mở

PE  Provider Edge  Biên nhà cung cấp

PPP  Point-to-Point Protocol  Giao thức điểm nối điểm

SSL  Secure Sockets Layer  Một giao thức đảm bảo an ninh cho dịch vụ Web 

VC  Virtual Circuit  Mạch ảo, kết nối ảo

VPN  Virtual Private Network  Mạng riêng ảo

VPLS  Virtual Private LAN Service  Dịch vụ mạng cục bộ/nội bộ riêng ảo

VTN  Vietnam Telecoms National  Công ty Viễn thông Liên tỉnh

Khái niệm về mạng riêng ảo  

Mạng riêng  ảo  (Virtual Private Network), sau đây được gọi ngắn là VPN,  được hiểu đơn giản 

như là sự  mở  rộng của một mạng riêng (private network) thông qua các mạng công cộng, nghĩa 

là thông tin và dữ liệu được mã hóa theo cách riêng và truyền qua mạng công cộng. 

Kể từ khi mạng dữ liệu ra đời, đã có rất nhiều cuộc tranh luận giữa tính năng của các thiết bị lớp 

3 (router) và thiết bị  lớp 2 (switch, hub…), hay chính là cuộc tranh luận về  việc thực hiện các 

chức năng kết nối  mạng  tại lớp 2 và lớp 3 trong mô hình OSI, và ngày  nay, chúng ta gặp lại 

những tranh luận này khi nghiên cứu dịch vụ VPN. 

Bản quyền thuộc về Công ty VTN và Trần Đại Dũng

Về  bản chất, dịch vụ  VPN lớp 2 và VPN lớp 3 tương  ứng với các công nghệ  hay các giao thức 

lớp 2 và lớp 3 trong mô hình OSI.  VPN lớp 2, ví dụ  Ethernet  VPN,  sử  dụng  2 lớp con của 

Ethernet là MAC và MAC-client để  thiết lập VPN;  còn  VPN lớp 3, ví dụ  IP VPN,  lại  dựa trên 

hai giao thức lớp 3 là IPsec (IP security) và PPP ( giao thức điểm nối  điểm) cho phép các doanh 

nghiệp dễ dàng kết nối nhiều mạng dữ liệu ở xa với nhau, hỗ trợ các nhân viên kết nối vào mạng 

VPN doanh nghiệp bằng các thiết bị đầu cuối sử dụng IP, kể cả điện thoại di động, v.v. 

Khi các nhà cung cấp dịch vụ  nâng cấp mạng để  kết hợp với các công nghệ  mạng thế  hệ  sau thì 

MPLS được sử  dụng như một giải pháp  để  tăng tính hiệu quả  trong các kết nối của mạng IP, 

đồng thời cũng để  cung cấp các dịch vụ  mới.  Các  mạng MPLS ban đầu được sử  dụng để  cung 

cấp dịch vụ  IP VPN dựa trên tiêu chuẩn RFC2547bis. Gần đây hơn, các nhà mạng cũng đã nâng 

cấp mạng của họ để hỗ trợ dịch vụ mạng cục bộ riêng ảo (Virtual Private LAN Service, VPLS) là

dịch vụ  VPN lớp 2 dựa trên Ethernet, hay còn gọi là Ethernet VPN. Một số  nhà mạng còn giới 

thiệu đến khách hàng của mình những sản phẩm kết hợp cả 2 loại hình dịch vụ trên. 

Vậy là khi đặt dịch vụ  VPN vào mạng thế  hệ  sau ta thấy xuât hiện sự  chồng chéo giữa  hai  loại 

hình dịch vụ  VPN lớp 2 và VPN lớp 3.  Nhưng không giống như  trong  một số  trường hợp  khác,

khi các công nghệ  ra đời sau tốt hơn sẽ  thay thế  các công nghệ  trước, các dịch vụ  VPN lớp 2 và 

lớp 3 không loại trừ  lẫn nhau khi nhiều nhà mạng sử  dụng công nghệ  Ethernet ở  phần truy nhập 

để  kết nối đến các đám mây IP VPN và  cung cấp cho các  doanh nghiệp  và tổ  chức  cả  hai loại 

dịch vụ VPN này. 

Tuy nhiên trước khi tìm hiểu sự chồng chéo phức tạp này chúng ta cần hiểu rõ hơn về công nghệ

của các dịch vụ VPN lớp 2 và VPN lớp 3, lợi ích của các dịch vụ này thông qua một số các công 

nghệ  VPN đang được sử  dụng hiện nay.  Đối với VPN lớp 3, công nghệ  VPN  dựa trên 

BGP/MPLS sẽ  được lấy làm ví dụ, còn với VPN lớp 2 công nghệ  VPN dựa trên  VPLS sẽ  được 

phân tích như một điển hình.

VPN lớp 3 dựa trên BGP/MPLS 

VPN lớp 3 dựa trên BGP/MPLS, sau đây được gọi ngắn là BGP/MPLS VPN, cho phép các mạng 

LAN  của doanh nghiệp kết nối  với nhau  qua mạng trục IP/MPLS  công cộng như là kết nối qua

một  mạng riêng.  BGP/MPLS VPN  được định nghĩa trong chuẩn IETF RFC2547bis,  sử  dụng 

giao thức BGP để  định tuyến gói tin  và  giao thức  MPLS để  chuyển tiếp gói tin  trong mạng trục 

IP/MPLS. 

Hình 1 thể hiện một phương thức kết nối mạng riêng của khách hàng sử dụng BGP/MPLS VPN,

trong đó mỗi VPN, ví dụ VPN-A bao gồm các mạng cục bộ LAN-A1, LAN-A2, LAN-A3 là một 

mạng IP riêng với các địa chỉ  IP riêng, được cấu hình theo mạng khách hàng tại biên mạng (CE, 

Customer Edge) và theo thiết bị ở biên mạng của nhà cung cấp dịch vụ (PE, Provider Edge).

Mối quan hệ  giữa các router PE và CE trong chuẩn RFC2547bis có một sự  khác biệt đáng quan 

tâm. Mỗi router PE quản lý một cơ sở  dữ  liệu thông tin chuyển tiếp riêng của từng VPN, gọi là 

bảng chuyển  tiếp và định tuyến  ảo (Virtual Routing and Forwarding, VRF),  chứa các thông tin 

định tuyến mà router PE nhận được từ router CE. Router PE lưu trữ các bảng VRF cùng với bảng 

định tuyến Internet của nhà cung cấp dịch vụ.  Router PE sử  dụng BGP cho báo hiệu và  định 

Bản quyền thuộc về Công ty VTN và Trần Đại Dũng

tuyến gói tin đến các  router  CE. Router  CE trở  thành ngang hàng với router PE. Vai trò chuyển 

tiếp của MPLS rất quan trọng bởi  các  router  lõi  trong mạng trục IP không cần biết về  thông tin 

định tuyến riêng của khách hàng. Router PE hướng vào (ingress) sẽ  chèn hai mào đầu Next-Hop 

BGP và mào đầu Next-Hop  IGP vào gói tin. Tại router PE hướng ra (egress),  các  gói tin được 

loại bỏ phần mào đầu MPLS và được phân phối tiếp theo như là gói tin IP đến router CE.

Hình 1. BGP/MPLS VPN và phương thức kết nối mạng riêng của khách hàng

Lợi ích của VPN lớp 3 

Từ  quan điểm của các doanh nghiệp, VPN lớp 3 có một số  các ưu thế  để  có thể  được lựa chọn 

như sau:

Tính phổ biến toàn cầu

Hầu  hết  các  nhà  cung  cấp  dịch  vụ toàn  cầu  đều  cung  cấp  dịch  vụ  VPN  lớp  3,

bắt đầu từ băng thông ở  mức thấp nhất ví dụ  như 56 Mbit/s và mở  rộng theo yêu cầu của 

doanh nghiệp. Trong khi đó, các dịch vụ VPN lớp 2 nói chung và Ethernet VPN nói riêng 

thường chỉ phù hợp với và chỉ có thể được cung cấp tại  các thị trường đã phát triển. Điều 

này có nghĩa là triển khai  Ethernet VPN tại các điểm ranh giới với các thị  trường nông 

thôn hoặc các thị  trường đang phát triển là không thể hoặc quá tốn kém. Với khả  năng 

sẵn có cao hơn VPN lớp 2, VPN lớp 3 cho phép các doanh nghiệp có thể  dễ  dàng lập kế

hoạch và thiết lập mạng toàn cầu chỉ với các kết nối thuê bao đơn giản. 

Nhà cung cấp dịch vụ thực hiện cấu hình và định tuyến

Bản quyền thuộc về Công ty VTN và Trần Đại Dũng

Trong kịch bản này các doanh nghiệp chỉ  cần đưa ra một danh sách về  thông tin định 

tuyến và các yêu cầu về  mạng hay yêu cầu về  dịch vụ  của chính họ, từ  đó các nhà cung 

cấp dịch vụ  sẽ  tạo ra các kết nối VPN phù hợp. Doanh nghiệp có thể  giao 

trách nhiệm cho các nhà cung cấp dịch vụ bằng cách sử  dụng dịch vụ  IP  VPN nếu 

không muốn tốn thời gian và nguồn lực của mình để duy trì và quản  lý định tuyến trong 

mạng nội bộ của mình.

Có thể được xây dựng bởi chính các doanh nghiệp

Một số  các nhà cung cấp thiết bị  cũng đưa ra một số  thiết bị  như VPN dialers, IADs,… 

cho phép các doanh nghiệp xây dựng các VPN của chính mình, phương thức này rất  hữu 

dụng với những nhân viên cần truy nhập ở xa, hay nhân viên dùng điện thoại di động truy 

nhập vào mạng nội bộ của doanh nghiệp. Loại VPN này dựa trên nền tảng của IPsec hoặc 

mã hóa SSL. Tất nhiên có thể  nó không hoàn toàn giống dịch vụ  VPN cơ bản nhưng nó 

rẻ, đơn giản và có thể triển khai nhanh chóng.

VPN lớp 2 với công nghệ VPLS

Giải pháp VPN lớp 2 dựa trên MPLS cung cấp dịch vụ  đa điểm là dịch vụ  LAN riêng  ảo  –

VPLS. Với VPLS, nhiều mạng LAN của khách hàng có thể giao tiếp với nhau tương tự như được 

kết nối qua phân đoạn mạng Ethernet LAN của riêng mình. 

Hình 2 thể  hiện một phương thức kết nối mạng riêng của khách hàng, trong đó mỗi VPN, ví dụ

VPLS VPN-A bao gồm các mạng LAN-A1,  LAN-A2, LAN-A3 được kết nối với nhau bằng 

VPLS. Trong phương thức này,  MPLS  được sử  dụng  để  chuyển tiếp gói tin, vì vậy thiết bị  lõi 

trong VPLS cũng tương tự như trong BGP/MPLS. 

Điểm khác nhau  giữa BGP/MPLS VPN và VPLS VPN chính là giao tiếp giữa thiết bị CE và PE. 

Trong VPLS  VPN, CE không cần phải là một router và không ngang hàng với PE nên PE không 

cần quản lý bảng định tuyến của mỗi CE. VPLS đơn giản chỉ  ánh xạ  lưu lượng lớp 2 đến từ

khách hàng vào một  đường chuyển mạch nhãn  (LSP)  thích hợp trong MPLS. VPLS  VPN  hoạt 

động theo mô hình bao phủ trong khi BGP/MPLS VPN là mô hình ngang hàng.

Nguyên tắc hoạt động cơ bản của dịch vụ  VPLS là sử  dụng giao thức phân phối nhãn (LDP, 

Label Distribution Protocol) để  thiết lập một mạng đầy đủ  các LSP  –  đường hầm giữa các nút 

PE. Các đường hầm đó được gán các nhận dạng VPLS (VPLS ID) giúp nhận dạng các kết nối ảo 

(Virtual Circuit Label Switched Path,  VC LSP) giữa các nút PE của mạng VPN. Các kết nối  ảo 

sẽ tạo một kết nối logic giữa các PE dùng để cấu hình VPLS cho khách hàng.

Một trong các tính năng cơ bản của VPLS là khả năng của các router PE tự học địa chỉ MAC gửi 

từ  phía mạng khách hàng. Các PE tiếp nhận và học địa chỉ  MAC qua các gói tin unicast hoặc 

multicast gửi qua mạng. Các địa chỉ  MAC sau khi tự  học sẽ  được gán với một LSP và là cơ sở

cho việc chuyển tiếp các gói tin giữa các nút PE.

Bản quyền thuộc về Công ty VTN và Trần Đại Dũng

Hình 2. Công nghệ VPLS và phương thức kết nối mạng riêng của khách hàng

Lợi ích của dịch vụ VPLS VPN

Từ  quan điểm của các doanh nghiệp,  VPLS  hay Ethernet VPN  có một số  các ưu thế  để  có thể

được lựa chọn như sau:

Mềm dẻo, có khả năng mở rộng băng thông

VPLS  VPN  có khả  năng thay đổi cấp độ  băng thông. Sử  dụng hạn mức tốc độ, băng 

thông của dịch vụ  có thể  được tính toán theo nhu cầu và túi tiền của doanh nghiệp, trong 

khi  các công nghệ  frame relay, ATM, hay các kênh thuê riêng TDM lại có mức băng 

thông cố định không linh hoạt.

Dễ dàng bảo trì

Phần lớn bộ phận IT của doanh nghiệp đều có hiểu biết sâu về Ethernet, một số nhân viên 

IT còn có khả  năng xử  lý sự  cố  tại điểm ranh giới có sử  dụng Ethernet, và họ  đều hiểu 

rằng với VPN lớp 3, các giao thức lớp 3 còn phải dựa vào các giao thức  ở  lớp thấp hơn 

trong mô hình OSI để  chuyển gói tin qua mạng WAN hoặc MAN. Chính vì vậy trong 

trường  hợp công nghệ  Ethernet  được  sử  dụng tại các điểm ranh giới (demarcation point) 

thì  việc  bảo trì  mạng sẽ  dễ  dàng  hơn là mạng sử  dụng các công nghệ  như Frame relay, 

ATM, hoặc TDM vì đơn giản là các nhân viên IT không có nhiều hiểu biết về  các công 

nghệ  đó. Tóm lại sử  dụng Ethernet tại các điểm ranh  giới sẽ  cung cấp giao diện đơn giản

và dễ bảo trì hơn cho các doanh nghiệp. 

Bản quyền thuộc về Công ty VTN và Trần Đại Dũng

Kết nối mạng và định tuyến được thực hiện bởi doanh nghiệp

Sự  ưu tiên này thường được đặt lên hàng đầu cho các doanh nghiệp muốn đảm bảo sự  an 

toàn dữ  liệu. Với dịch vụ  VPLS  VPN, việc cấu hình  các thiết bị  mạng đầu cuối  và  quá 

trình định tuyến được quyết định bởi chính các doanh nghiệp mà không cần phải liên 

quan đến các nhà cung cấp dịch vụ, và những quyết định đó chỉ  cần được biết đến trong 

doanh nghiệp.  Cũng chính vì vậy, những thay đổi trong mạng nếu cần sẽ  được thực 

hiện nhanh hơn.

Có khả năng mở rộng

Với VPLS  VPN, các doanh nghiệp có thể  dễ  dàng thêm một mạng riêng mới vào VPN 

đang  có mà không cần phải thay đổi về  cấu hình mạng cũng như cấu hình 

định tuyến cho tất cả  các thiết bị  trên mạng hiện có. Trong ví dụ  này, khi một mạng cục 

bộ  mới được kết nối với  một  VPLS  VPN, nó có thể  tự  động liên lạc với tất cả  các mạng 

hiện có, và ngược lại.

Khả năng hỗ trợ các giao thức ứng dụng cơ bản khác IP

Thông thường các giao thức được sử dụng trong loại hình dịch vụ này là các giao thức có 

tính trong suốt, tức là có khả  năng giao vận với tất cả  các giao thức  ứng dụng trước nó, 

chẳng hạn như SNA, DECnet, IPX, và một số  giao thức khác. Ethernet được xem như là 

một giao thức lớp 2 trong mô hình OSI, có thể  hỗ  trợ một vài giao thức lớp cao hơn, hay 

một số  giao thức cũ hơn. Chính điều này làm cho nó trở thành một giải pháp lý tưởng, có 

khả  năng hỗ  trợ  các giao thức ứng dụng cũ vẫn còn sử  dụng tại một số doanh 

nghiệp. Trong khi đó, IP là một giao thức OSI lớp 3, vì vậy nó không thể hỗ  trợ  các giao 

thức ứng dụng cũ, và chỉ có thể hỗ trợ các ứng dụng dựa trên IP. 

Tính phổ biến của Ethernet

Hầu như tất cả các bộ định tuyến đều có cổng Ethernet. Chính vì thế các doanh nghiệp sử

dụng giải pháp này không cần phải đầu tư một khoản chi phí khá cao để  mua các giao 

diện nối tiếp tốc độ  cao (giao diện TDM) để  hỗ  trợ  cho mạch vòng TDM, hay thêm 

CSU/DSU cho dịch vụ  Frame relay. Việc sử  dụng Ethernet làm đơn giản hóa, tức làm 

giảm giá thành tủ thiết bị viễn thông, điều mà các doanh nghiệp nhỏ đặc biệt quan tâm.

Dịch vụ VPN lớp 2 và lớp 3 của công ty VTN

Hiện nay Công ty VTN cung cấp cả  hai loại dịch vụ  VPN lớp 2 và lớp 3 nhằm thoản mãn các 

yêu cầu khác nhau của khách hàng, trong đó dịch vụ VPN lớp 2 có tên thương mại là MetroNET 

và dịch vụ VPN lớp 3 có tên thương mại là MegaWAN.

Từ  việc nghiên cứu 2 loại hình dịch vụ  này, có thể  thấy một cách  tổng quan về  những lợi 

ích nổi bật của chúng mang lại cho doanh nghiệp trong bảng như sau

So sánh lợi ích của các dịch vụ VPN lớp 2 và VPN lớp 3

Dịch vụ Ethernet VPN/VPN lớp 2(VTN MetroNet)Dịch vụ BGP/MPLS VPN//VPN lớp 3(VTN MegaWAN)

Hỗ trợ các giao thức ứng dụng cơ bản khác IP  Chỉ hỗ trợ các ứng dụng chạy trên giao thức IP

Tính linh hoạt cao, có khả  năng mở  rộng băng thông.Tính phổ biến toàn cầu.

Các sự  cố  của dịch vụ  thường đơn giản, dễ  xử lý bởi bộ  phận IT của tổ  chức hoặc doanh nghiệp Nhà cung cấp dịch vụ thực hiện quản lý, bảo mật, thực hiện định tuyến và thay đổi các liên kết  trong mạng của các doanh nghiệp.

Doanh nghiệp có thể  tự  quản lý các kết nối mạng và tự  quyết định quá trình định tuyến trong nội bộ. Doanh nghiệp và tổ  chức có thể  outsource cho nhà cung cấp dịch vụ  thực hiện quản lý, quản trị, bảo trì VPN để tiết kiệm chi phí.

Dễ  dàng mở  rộng khi kết nối các mạng LAN mới vào VPN của doanh nghiệp  Dễ  dàng mở  rộng tới các thiết bị  hỗ  trợ  IP, trong đó quan trọng là tới các thiết bị IP mobile. 

Kết luận

VPN là một dịch vụ  viễn thông tiện lợi với giá thành thấp, rất cần thiết cho các tổ  chức, doanh 

nghiệp trong việc kết nối các mạng LAN nằm trên các vùng địa lý cách xa nhau thành một mạng 

doanh nghiệp thống nhất.

Có nhiều giải pháp triển khai VPN dựa trên các công nghệ  thuộc  lớp  2  và lớp 3 trong mô hình 

OSI, trong đó tương  ứng có  thể  kể  đến VPLS VPN dựa trên Ethernet  và  BGP/MPLS VPN.  Mỗi 

giải  pháp  VPN kể  trên  đều có những đặc điểm và ưu thế  riêng, và có thể  được cung cấp bởi nhà 

vận hành mạng một các riêng rẽ hoặc phối hợp với nhau.

Tại thị trường viễn thông Việt nam, VTN là nhà cung cấp dịch vụ VPN lớn nhất, với khách hàng 

là các cơ quan, tổ  chức của Đảng, Nhà nước, các bộ  ngành của Chính phủ, các doanh nghiệp 

lớn,…Các giải pháp VPN của VTN bao gồm cả  VPN lớp 2  (dịch vụ  MetroNET)  và VPN lớp 3

(dịch vụ  MegaWAN)  với khả  năng bao phủ  rộng lớn, chất lượng tốt, giá thành hợp lý, hỗ  trợ  tin 

cậy cho khách hàng. Khi có nhu cầu sử dụng dịch vụ VPN, đến với VTN khách hàng sẽ được đội 

ngũ kỹ  thuật và chăm sóc khách hàng tư vấn kỹ  càng để  có thể  lựa chọn giải pháp phù hợp nhất 

cho nhu cầu của mình.