🔥 Khi bước chân vào thế giới mạng diện rộng (WAN), một trong những chủ đề “nóng” mà kỹ sư mạng cần nắm vững chính là VPN do nhà cung cấp dịch vụ quản lý (Provider-Managed VPNs). Đây là mảnh ghép quan trọng giúp doanh nghiệp kết nối an toàn giữa trụ sở chính, chi nhánh và cả người dùng di động, mà không cần phải tự gánh toàn bộ hạ tầng phức tạp.

---

VPN do nhà cung cấp quản lý – Họ làm gì cho doanh nghiệp?


Các nhà cung cấp dịch vụ (ISP/Carrier) sử dụng công nghệ có sẵn trong mạng lõi của họ để triển khai VPN cho khách hàng. Về mặt vật lý, lưu lượng của nhiều khách hàng cùng đi chung trên một hạ tầng chia sẻ. Nhưng đừng lo – lưu lượng được cách ly hoàn toàn, không khách hàng nào có thể thấy dữ liệu của khách hàng khác.

Với MPLS, có hai mô hình chính: MPLS Layer 2 VPN và MPLS Layer 3 VPN.

---

Layer 2 MPLS VPN – Doanh nghiệp tự quản định tuyến

• Khái niệm: Nhà cung cấp chỉ cung cấp kết nối lớp 2, doanh nghiệp sẽ tự lo phần Layer 3 (routing).
• Ví dụ phổ biến:
  • VPLS (Virtual Private LAN Service): giống như toàn bộ mạng của nhà cung cấp trở thành một switch ảo khổng lồ nối các site của khách hàng lại với nhau.
  • VPWS (Virtual Private Wire Service): cung cấp “đường dây ảo” point-to-point giữa hai site.
• Ưu điểm: Một số ứng dụng chỉ hoạt động nếu tất cả node nằm trong cùng một mạng L2 (ví dụ: một số giao thức clustering, legacy application).
• Ví dụ thực tế: Một ngân hàng muốn các chi nhánh “nhìn thấy nhau” như cùng trong một VLAN, để các ứng dụng giao dịch hoạt động bình thường → họ chọn VPLS.

---

Layer 3 MPLS VPN – Nhà cung cấp lo hết phần định tuyến

• Khái niệm: Nhà cung cấp cung cấp dịch vụ lớp 3. Mỗi site của doanh nghiệp nằm trong một subnet riêng. Router CE (Customer Edge) của khách hàng sẽ chạy routing protocol với PE (Provider Edge) của nhà cung cấp.
• Cấu trúc:
  • CE: router của khách hàng.
  • PE: router biên của nhà cung cấp, thiết lập quan hệ định tuyến với CE.
  • P routers: router lõi chỉ có nhiệm vụ chuyển mạch gói MPLS giữa các PE.
• Ưu điểm: Doanh nghiệp “khoán” phần routing cho nhà cung cấp, giảm gánh nặng quản trị.
• Ví dụ thực tế: Một chuỗi siêu thị muốn kết nối hàng trăm cửa hàng về trung tâm dữ liệu, nhưng không muốn tự quản lý bảng định tuyến khổng lồ → chọn L3 MPLS VPN. Khi đó, toàn bộ mạng nhà cung cấp giống như một router ảo khổng lồ.

---

Hỏi nhanh – kiểm tra kiến thức


❓Câu hỏi: VPLS là gì?

• VPLS do doanh nghiệp quản lý.
• VPLS là VPN dùng mã hóa.
• VPLS là Layer 3 VPN.
• ✅ VPLS là VPN dựa trên MPLS (Layer 2).

---

Bức tranh WAN toàn cảnh

• WAN luôn được quản lý bởi nhà cung cấp (ISP, Carrier), khác với LAN do doanh nghiệp toàn quyền kiểm soát.
• Các kết nối WAN truyền thống: ISDN, Frame Relay, ATM, Leased Line.
• Các công nghệ hiện đại: cáp quang, 5G, broadband, và dĩ nhiên MPLS VPN.
• Doanh nghiệp cần lựa chọn topology logic phù hợp:
  • Point-to-point: chỉ 2 site.
  • Hub-and-spoke: tất cả chi nhánh đi qua trung tâm dữ liệu.
  • Full-mesh: site nào cũng kết nối được với site nào (chi phí cao hơn).

---

Bảo mật WAN – Không thể bỏ qua


Ngay cả khi dùng MPLS, dữ liệu đi trên hạ tầng nhà cung cấp vẫn cần cơ chế mã hóa đầu-cuối. Do đó, nhiều doanh nghiệp còn chồng thêm lớp IPsec VPN để đảm bảo tính riêng tư và toàn vẹn dữ liệu.

Ví dụ: Một tập đoàn tài chính thường yêu cầu MPLS VPN + IPsec overlay, đảm bảo lưu lượng giao dịch không thể bị đọc trộm ngay cả khi nhà cung cấp gặp sự cố bảo mật.

---

👉 Kết luận:
Provider-Managed VPN (MPLS VPN) là giải pháp mạnh mẽ giúp doanh nghiệp kết nối đa chi nhánh an toàn, linh hoạt. Nếu muốn toàn quyền quản lý routing, chọn L2 MPLS VPN (VPLS/VPWS). Nếu muốn outsource routing cho nhà cung cấp, chọn L3 MPLS VPN.
​