📡 Các Loại VPN – Overlay vs Peer-to-Peer


VPN (Virtual Private Network) cho phép chúng ta sử dụng hạ tầng chia sẻ của nhà cung cấp dịch vụ (Service Provider – SP) để xây dựng mạng riêng (Private Network) một cách an toàn. Có hai mô hình chính để triển khai:

---

1️⃣ Overlay VPN


Khái niệm:
SP cung cấp các virtual circuit (VC) giữa các site của khách hàng, thay thế cho các đường point-to-point truyền thống.
Hạ tầng SP chỉ đóng vai trò vận chuyển, không tham gia định tuyến của khách hàng.

Các công nghệ Overlay VPN:

• Layer 2: X.25, Frame Relay, ATM.
• Layer 3: GRE, DMVPN, IPsec, SSL VPN, L2TP.

Đặc điểm:
Trong mô hình này, mạng SP xuất hiện như các liên kết point-to-point. SP hoàn toàn không thấy bảng định tuyến của khách hàng. Nếu là Layer 3 VPN, giao thức định tuyến sẽ chạy trực tiếp giữa các router của khách hàng. Nếu là Layer 2 VPN, dữ liệu sẽ được truyền trong suốt ở tầng 2, ví dụ như L2TPv3 có thể tunnel bất kỳ payload L2 nào.

---

2️⃣ Peer-to-Peer VPN


Khái niệm:
SP tham gia tích cực vào định tuyến của khách hàng. Router của SP và khách hàng sẽ trao đổi thông tin định tuyến với nhau.

Các công nghệ tiêu biểu:

• GET VPN (Group Encrypted Transport VPN) – mã hóa nhóm trên hạ tầng IP thuần.
• MPLS VPN – phân tách router/VRF cho từng khách hàng.

---

🌐 Overlay Layer 3 VPN và Tunneling


Với sự phổ biến của IP, nhiều SP đã triển khai backbone IP thuần để cung cấp dịch vụ VPN dựa trên IP. Trong nhiều trường hợp, khách hàng muốn tận dụng Internet giá rẻ để xây dựng VPN.

Khi triển khai Overlay L3 VPN, SP thường chỉ xuất hiện với vai trò như các đường point-to-point, không thấy route của khách hàng. Mọi triển khai Layer 3 VPN trên IP backbone đều cần đến tunneling – tức là đóng gói gói tin theo một giao thức ở cùng hoặc cao hơn trong mô hình OSI.

---

🔐 Các công nghệ tunneling phổ biến

• GRE (Generic Routing Encapsulation): Ưu điểm là đơn giản, dễ triển khai, hỗ trợ nhiều giao thức định tuyến khác nhau. Tuy nhiên, GRE không cung cấp bảo mật nên không phù hợp để chạy trực tiếp trên Internet.
• IPsec (Internet Protocol Security): Cung cấp xác thực và mã hóa ở tầng mạng, đảm bảo dữ liệu an toàn khi truyền qua Internet. Nhược điểm là chỉ hỗ trợ IP, không hỗ trợ các giao thức khác.
• SSL VPN (Secure Sockets Layer VPN): Sử dụng SSL/TLS làm giao thức truyền tải, rất phù hợp cho remote access, tương thích tốt với firewall và thường không cần cài đặt client phức tạp.
• L2TPv3 (Layer 2 Tunneling Protocol version 3): Có khả năng tunnel mọi payload ở tầng 2, giúp kết nối các site như cùng chung một mạng LAN.

---

💡 Ví dụ thực tế

• GRE over IPsec: Kết hợp GRE để chạy OSPF hoặc BGP qua Internet và dùng IPsec để mã hóa dữ liệu.
• DMVPN: Triển khai mạng kết nối động giữa nhiều chi nhánh mà không cần cấu hình thủ công từng tunnel.
• MPLS L3 VPN: SP quản lý định tuyến giữa các site, khách hàng chỉ cần giao tiếp với CE Router.

---

📌 Kết luận

• Overlay VPN: SP giống như “xe tải chở hàng” – chỉ vận chuyển, không quan tâm bên trong là gì.
• Peer-to-Peer VPN: SP giống như “dịch vụ vận tải + quản lý kho” – biết hàng của ai, chở đi đâu, quản lý lộ trình.
• Việc chọn mô hình nào phụ thuộc vào yêu cầu bảo mật, chi phí và mức độ quản lý mong muốn từ SP.

​