Tải bản đầy đủ (.pdf) (73 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Quản trị mạng

TÍCH HỢP KÊNH TRUYỀN MPLS LAYER 3 VPN VỚI AMAZON WEB SERVICES TRONG MẠNG DOANH NGHIỆP

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (4.14 MB, 73 trang )

HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG
CƠ SỞ TẠI THÀNH PHỐ HỒ CHÍ MINH

KHOA VIỄN THƠNG II
_____________

ĐỒ ÁN
TỐT NGHIỆP ĐẠI HỌC
CHUYÊN NGÀNH: ĐIỆN TỬ - TRUYỀN THÔNG
HỆ ĐẠI HỌC CHÍNH QUY
NIÊN KHĨA: 2018-2023
Đề tài:

TÍCH HỢP KÊNH TRUYỀN MPLS LAYER 3 VPN
VỚI AMAZON WEB SERVICES TRONG MẠNG
DOANH NGHIỆP
Mã số đề tài: 23 – N18DCVT008

Sinh viên thực hiện:

VÕ ANH DUY

MSSV:

N18DCVT008

Lớp:

Đ18CQVT01-N

Giáo viên hướng dẫn: ThS. TRẦN ĐÌNH THUẦN



TP.HCM – 12/2022


HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG
CƠ SỞ TẠI THÀNH PHỐ HỒ CHÍ MINH

KHOA VIỄN THƠNG II
_____________

ĐỒ ÁN
TỐT NGHIỆP ĐẠI HỌC
CHUYÊN NGÀNH: ĐIỆN TỬ - TRUYỀN THÔNG
HỆ ĐẠI HỌC CHÍNH QUY
NIÊN KHĨA: 2018-2023

Đề tài:

TÍCH HỢP KÊNH TRUYỀN MPLS LAYER 3 VPN
VỚI AMAZON WEB SERVICES TRONG MẠNG
DOANH NGHIỆP
Mã số đề tài: 23 – N18DCVT008
NỘI DUNG:
-

CHƯƠNG I: GIỚI THIỆU CHUNG VỀ KÊNH TRUYỀN MPLS LAYER 3 VPN
CHƯƠNG II: TỔNG QUAN VỀ AWS NETWORKING SERVICES
CHƯƠNG III: TÍCH HỢP MPLS LAYER 3 VPN VỚI AMAZON WEB SERVICES TRONG
MẠNG DOANH NGHIỆP
CHƯƠNG IV: MÔ PHỎNG


Sinh viên thực hiện:

VÕ ANH DUY

MSSV:

N18DCVT008

Lớp:

Đ18CQVT01-N

Giáo viên hướng dẫn: ThS. TRẦN ĐÌNH THUẦN


LỜI CẢM ƠN
Trước hết, em gửi lời tri ân sâu sắc, chân thành nhất đến tồn bộ q Thầy, Cơ
Khoa Viễn Thơng 2 - Học Viện Cơng Nghệ Bưu Chính Viễn Thông đã dạy dỗ, truyền
đạt những kiến thức quý báu cho em trong suốt bốn năm học tập và rèn luyện tại Học
Viện.
Em cũng xin gửi lời cảm ơn sâu sắc đến giáo viên hướng dẫn Thầy ThS. Trần Đình
Thuần, thầy đã trực tiếp hướng dẫn cho em một cách tận tình để em có thể chuẩn bị chu
đáo cũng như xây dựng bài báo cáo đồ án tốt nghiệp một cách hồn chỉnh.
Do kiến thức cịn hạn chế nên khơng tránh khỏi những thiếu sót trong cách hiểu,
lỗi trình bày. Em rất mong nhận được những ý kiến đóng góp, phê bình của q Thầy,
Cơ. Đó sẽ là hành trang q giá để em có thể hồn thiện mình sau này.
Em xin chân thành cảm ơn!
TP. Hồ Chí Minh, ngày 18 tháng 12 năm 2022
Sinh viên thực hiện


Võ Anh Duy


BM10-TN

HỌC VIỆN CƠNG NGHỆ
BƯU CHÍNH VIỄN THƠNG
CƠ SỞ TẠI THÀNH PHỚ HỒ CHÍ MINH

CỘNG HỒ XÃ HỘI CHỦ NGHĨA VIỆT NAM

Khoa Viễn Thơng 2

TP. Hồ Chí Minh, ngày……tháng……..năm 202…

Độc lập – Tự do – Hạnh phúc

PHIẾU GIAO NHIỆM VỤ THỰC HIỆN
ĐỒ ÁN TỐT NGHIỆP
Căn cứ Quyết định số:……./QĐ-HVCS, ngày.…..tháng……năm 202…. của Phó Giám
đốc Học viện – Phụ trách Cơ sở tại Thành Phố Hồ Chí Minh về việc Giao nhiệm vụ thực hiện
Đồ án tốt nghiệp cho…….sinh viên Khoá 201… hệ Đại học chính qui Ngành KT-Điện tử truyền
thơng, Khoa Viễn thông 2 giao nhiệm vụ thực hiện Đồ án tốt nghiệp cho sinh viên:
1. Họ và tên sinh viên: VÕ ANH DUY
Mã SV: N18DCVT008
Lớp: Đ18CQVT01-N Ngành: KT-Điện tử truyền thơng Hình thức đào tạo: chính qui
2. Tên đề tài: Tích hợp kênh truyền MPLS Layer 3 VPN với Amazon Web Services
trong mạng doanh nghiệp.
3. Nội dung thực hiện:

Lý thuyết
- Giới thiệu chung về kênh truyền MPLS Layer 3 VPN.
- Hoạt động của kênh truyền MPLS Layer 3 VPN.
- Ứng dụng của kênh truyền MPLS Layer 3 VPN trong mạng doanh nghiệp.
- Tổng quan về AWS Networking Services.
Mô phỏng
- Mô phỏng kênh truyền MPLS Layer 3 VPN.
- Tích hợp MPLS Layer 3 VPN với Amazon Web Services.
4. Giáo viên hướng dẫn: ThS. Trần Đình Thuần

ký tên ………………….

5. Yêu cầu kết quả thực hiện:
Kết quả thực hiện phải được lập thành Báo cáo tốt nghiệp: Số lượng, hình thức và nội dung tuân
thủ quy định của Học viện;
Sản phẩm: Chương trình phần mềm, hoặc Phần cứng, mơ hình, thiết bị kèm theo.
6. Thời gian thực hiện:
Từ ngày:……..tháng……năm 202… đến ngày……tháng…….năm 202….
TRƯỞNG KHOA
Nơi nhận:
- Sinh viên có tên tại khoản 1;
- Lưu VP khoa.

PGS. TS. Võ Nguyễn Quốc Bảo


MỤC LỤC
LỜI MỞ ĐẦU ........................................................................................................................... 1
CHƯƠNG I: GIỚI THIỆU CHUNG VỀ KÊNH TRUYỀN MPLS LAYER 3 VPN ......... 2
1.1.


Mạng riêng ảo MPLS VPN ....................................................................................... 2

1.1.1.

Tổng quan về MPLS và VPN ............................................................................ 2

1.1.2.

Mơ hình MPLS VPN .......................................................................................... 3

1.1.2.1.

Các thành phần chính của kiến trúc MPLS VPN .................................... 3

1.1.2.2.

Mơ hình định tuyến MPLS VPN ................................................................ 4

1.1.3.

Virtual Routing and Forwarding Table – VRF ............................................... 4

1.1.4.

Route Distinguisher – RD .................................................................................. 5

1.1.5.

Route Targets – RT ............................................................................................ 6


1.1.6.

Hoạt động của MPLS VPN ................................................................................ 7

1.2.

Dịch vụ kênh truyền L3VPN..................................................................................... 8

1.2.1.

Định nghĩa, đặc điểm dịch vụ kênh truyền L3VPN ........................................ 8

1.2.2.

Ưu điểm dịch vụ kênh truyền L3VPN .............................................................. 9

1.2.3.

Ứng dụng dịch vụ kênh truyền L3VPN ............................................................ 9

1.2.4.

Hoạt động cơ bản của kênh truyền L3VPN ..................................................... 9

1.2.4.1.

Các loại nhãn sử dụng trong kênh truyền L3VPN ................................... 9

1.2.4.2.


Hoạt động chuyển tiếp và xử lý nhãn giữa 2 Site khách hàng .............. 10

CHƯƠNG II: TỔNG QUAN VỀ AWS NETWORKING SERVICES ............................. 15
2.1. AWS Regions ................................................................................................................ 15
2.2. Availability Zones ........................................................................................................ 15
2.3. Amazon Virtual Private Cloud - Amazon VPC ........................................................ 16
2.3.1. Amazon EC2 .......................................................................................................... 16
2.3.2. Subnets ................................................................................................................... 16
2.3.3. Internet Gateway ................................................................................................... 17
2.3.4. NAT Gateway ........................................................................................................ 17
2.3.5. AWS Site-to-Site VPN ........................................................................................... 18
2.3.6. AWS Direct Connect ............................................................................................. 19
CHƯƠNG III: TÍCH HỢP MPLS LAYER 3 VPN VỚI AMAZON WEB SERVICES
TRONG MẠNG DOANH NGHIỆP ..................................................................................... 21
3.1. Sử dụng AWS Direct Connect .................................................................................... 21
3.2. Sử dụng AWS VPN ...................................................................................................... 24
3.2.1. AWS Site-to-Site VPN ........................................................................................... 24
3.2.2. AWS Client VPN ................................................................................................... 26


CHƯƠNG IV: MƠ PHỎNG.................................................................................................. 27
4.1. Mơ phỏng kênh truyền MPLS Layer 3 VPN ............................................................. 27
4.1.1. Cấu hình MPLS trong mạng lõi của ISP ............................................................ 28
4.1.2. Cấu hình MPLS L3VPN ....................................................................................... 30
4.1.2.1. Cấu hình định tuyến BGP PE-PE trên router PE ....................................... 30
4.1.2.2. Cấu hình VRF trên PE ................................................................................... 32
4.1.2.3. Cấu hình định tuyến giữa CE – PE ............................................................... 34
4.2. Tích hợp MPLS Layer 3 VPN với Amazon Web Services ....................................... 40
4.2.1. Triển khai hạ tầng AWS VPC .............................................................................. 40

4.2.1.1. Triển khai VPC ............................................................................................... 41
4.2.1.2. Triển khai Subnet ........................................................................................... 41
4.2.1.3. Triển khai Internet Gateway ......................................................................... 41
4.2.1.4. Triển khai NAT Gateway .............................................................................. 41
4.2.1.5. Triển khai Route Table .................................................................................. 42
4.2.1.6. Triển khai Security Group ............................................................................ 43
4.2.1.7. Triển khai máy chủ EC2 ................................................................................ 45
4.2.2. Triển khai AWS VPN Site-to-Site ....................................................................... 46
4.2.2.1. Triển khai Virtual Private Gateway ............................................................. 46
4.2.2.2. Triển khai Customer Gateway ...................................................................... 46
4.2.2.3. Triển khai kết nối VPN .................................................................................. 47
4.2.2.4. Cấu hình Site-to-Site VPN Connection trong EC2 Customer Gateway .... 47
4.2.3. Triển khai AWS Client VPN ................................................................................ 51
4.2.3.1. Triển khai kết nối VPN .................................................................................. 51
4.2.3.2. Triển khai VPN trên Client ........................................................................... 53
4.2.4. Giám sát các kết nối VPN bằng AWS CloudWatch........................................... 57
4.2.4.1. Giám sát Site-to-Site VPN .............................................................................. 57
4.2.4.2. Giám sát Client VPN ...................................................................................... 58
KẾT LUẬN ............................................................................................................................. 60
CÁC TỪ VIẾT TẮT............................................................................................................... 61
TÀI LIỆU THAM KHẢO...................................................................................................... 63


MỤC LỤC HÌNH
Hình 1.1: Sơ đồ tổng quan về MPLS VPN ............................................................................... 3
Hình 1.2: Chức năng của router PE ........................................................................................ 4
Hình 1.3: VRF trên một router PE ........................................................................................... 5
Hình 1.4: Các giá trị RD giúp phân biệt các khách hàng có cùng địa chỉ IPv4 .................... 6
Hình 1.5: Ví dụ Extranet VPN với các RT ............................................................................... 7
Hình 1.6: chuyển tiếp dữ liệu qua mạng MPLS VPN ............................................................. 8

Hình 1.7: Sự tương tác của các giao thức trong mặt phẳng điều khiển của MPLS L3VPN
.................................................................................................................................................. 11
Hình 1.8: Hoạt động chuyển tiếp và xử lý nhãn từ Site 1 đến Site 2 trong MPLS L3VPN . 12
Hình 2.1: Đám mây AWS trải rộng trên 87 AZ tại 27 Regions trên khắp thế giới và đã công
bố kế hoạch tăng thêm 21 AZ và 7 AWS Regions khác tại Úc, Canada, Ấn Độ, Israel, New
Zealand, Tây Ban Nha và Thụy Sĩ.......................................................................................... 15
Hình 2.2: Internet Gateway (IGW) ......................................................................................... 17
Hình 2.3: NAT Gateway .......................................................................................................... 18
Hình 2.4: AWS Site-to-Site VPN ............................................................................................ 19
Hình 2.5: AWS Direct Connect giao tiếp với mạng khách hàng........................................... 19
Hình 3.1: AWS với MPLS và Direct Connect ........................................................................ 21
Hình 3.2: Thiết kế hệ thống cơ bản sử dụng Direct Connect................................................ 23
Hình 3.3: AWS với MPLS và VPN từ Datacenter Firewall.................................................. 24
Hình 3.4: Kiến trúc Client VPN cơ bản.................................................................................. 26
Hình 4.1: Sơ đồ mơ phỏng kênh truyền MPLS L3VPN ........................................................ 27
Hình 4.2: Các bước cấu hình frame-mode MPLS cơ bản ..................................................... 28
Hình 4.3: Các bước cấu hình định tuyến BGP trên PE ........................................................ 31
Hình 4.4: Các bước cấu hình MPLS L3VPN......................................................................... 32
Hình 4.5: Triển khai hạ tầng AWS VPC ................................................................................ 40
Hình 4.6: Tổng 2 VPC được tạo thành cơng.......................................................................... 41
Hình 4.7: Tổng 5 Subnet được tạo thành cơng ...................................................................... 41
Hình 4.8: Tổng 2 Internet Gateway được tạo thành cơng ..................................................... 41
Hình 4.9: NAT Gateway được tạo thành cơng ....................................................................... 41
Hình 4.10: Route table-Public được tạo thành cơng ............................................................. 42
Hình 4.11: Route table - Private được tạo thành cơng .......................................................... 42
Hình 4.12: Route table VPN - Public được tạo thành cơng .................................................. 43
Hình 4.13: Public subnet - SG được tạo thành cơng ............................................................. 43
Hình 4.14: Private subnet - SG được tạo thành cơng ............................................................ 44
Hình 4.15: VPN Public - SG được tạo thành công ................................................................ 44
Hình 4.16: EC2 Public với Platform Amazon Linux được tạo thành cơng.......................... 45

Hình 4.17: EC2 Private với Platform Amazon Linux được tạo thành cơng......................... 45
Hình 4.18: Customer Gateway với Platform Amazon Linux được tạo thành cơng ............. 46
Hình 4.19: VPN Gateway được tạo thành cơng ..................................................................... 46
Hình 4.20: Customer Gateway được tạo thành cơng ............................................................. 46
Hình 4.21: Site-to-Site VPN connections được tạo thành cơng ............................................ 47
Hình 4.22: Tải xuống file cấu hình Site-to-Site VPN Connection ........................................ 48
Hình 4.23: 2 Tunnel đã hoạt động.......................................................................................... 50
Hình 4.24: Client VPN endpoints được tạo thành cơng ........................................................ 51
Hình 4.25: Client VPN Target network associations vào Private subnet 2 .......................... 52
Hình 4.26: Client VPN Security groups vào Private subnet - SG ......................................... 52
Hình 4.27: Client VPN Authorization rules ........................................................................... 52


Hình 4.28: Client VPN Route table ........................................................................................ 52
Hình 4.29: Tải xuống file cấu hình Client VPN .................................................................... 53
Hình 4.30: Thêm Client Certificate và Key vào file cấu hình ............................................... 53
Hình 4.31: Nhập file cấu hình vào OpenVPN ....................................................................... 54
Hình 4.32: Tiến hành kết nối VPN trên Client ...................................................................... 54
Hình 4.33: Kiểm tra IP VPN trong Command Prompt.......................................................... 55
Hình 4.34: Kiểm tra IP VPN trong OpenVPN ....................................................................... 55
Hình 4.35: Trạng thái kết nối là Active với Client IP là 30.0.0.34 ........................................ 55
Hình 4.36: Ping từ Client lên máy chủ EC2 Private thành cơng .......................................... 56
Hình 4.37: Ping từ Client lên máy chủ EC2 Public thành cơng ........................................... 56
Hình 4.38: Ping từ Client lên máy chủ Customer Gateway thành cơng............................... 56
Hình 4.39: Giám sát Site-to-Site VPN Tunnels bằng CloudWatch ....................................... 58
Hình 4.40: Giám sát Client VPN bằng CloudWatch ............................................................. 59


LỜI MỞ ĐẦU


LỜI MỞ ĐẦU
Hiện nay, sự phát triển lớn mạnh của Internet vạn vật (IoT), tự động hóa và trí tuệ nhân tạo,
cùng với dữ liệu lớn (Big data) và phân tích dữ liệu (Analytics), đã tạo tiền đề cho cách mạng
công nghiệp lần thứ tư - cuộc cách mạng công nghiệp 4.0. Cuộc cách mạng này đã đem lại
nhiều sự phát triển xuyên suốt cho mọi lĩnh vực, cho dù làm việc tại lĩnh vực nào thì cơng nghệ
Cloud vẫn đóng một vai trị rất quan trọng trong việc thúc đẩy cuộc cách mạng công nghiệp
này, bằng cách cung cấp nền tảng cho doanh nghiệp đổi mới và phát triển.
Các doanh nghiệp trên khắp thế giới đang tận dụng tối ưu những lợi ích mà cơng nghệ đám
mây mang lại. Theo một nghiên cứu của trang HBR Analytic Services, 74% doanh nghiệp tin
rằng điện toán đám mây mang đến nhiều lợi thế cạnh tranh. Trên thực tế, thị trường điện tốn
đám mây tồn cầu dự kiến sẽ tăng từ 272 tỉ USD năm 2018 lên 623 tỉ USD vào năm 2023. Cuộc
cách mạng mới đang tạo ra một số thay đổi lớn trên nhiều lĩnh vực, nghiên cứu cũng chỉ ra rằng
60% lãnh đạo doanh nghiệp tin rằng tích hợp Cloud sẽ “mở khóa tiềm năng” cho những công
nghệ đột phá.
Diwakar Nigam, Giám đốc của Newgen Software chia sẻ: “Điện toán đám mây chắc chắn
đã mang tới nhiều khía cạnh hơn trong các phương thức vận hành doanh nghiệp. Các tổ chức
cũng cần tận dụng được năng lực của một nền tảng ít code thơng qua các mơ hình linh hoạt,
dễ mở rộng, và nhanh nhạy. Việc triển khai Cloud sẽ giải quyết được mọi yếu tố nêu trên, thơng
qua việc giảm chi phí phân phối và triển khai…”
Nhiều doanh nghiệp quy mô vừa đến lớn sử dụng dịch vụ Chuyển mạch nhãn đa giao thức
(MPLS) cho kết nối Mạng diện rộng (WAN) của họ. Khi việc áp dụng đám mây tăng lên, các
cơng ty tìm cách tích hợp AWS với cơ sở hạ tầng MPLS hiện có của họ theo cách tiết kiệm chi
phí mà khơng cần thiết kế lại kiến trúc WAN hiện có.
Các cơng ty muốn có một giải pháp linh hoạt và có thể mở rộng để kết nối khối lượng công
việc của trung tâm dữ liệu tại chỗ hiện tại và cơ sở hạ tầng đám mây của họ. Họ cũng muốn
cung cấp q trình chuyển đổi hoặc tiện ích mở rộng liền mạch giữa đám mây và trung tâm dữ
liệu tại chỗ.
Nội dung đề tài bao gồm việc tìm hiểu kênh truyền MPLS Layer 3 VPN và tổng quan về
AWS Networking Services, tìm kiếm các giải pháp tích hợp AWS với cơ sở hạ tầng MPLS hiện
có của doanh nghiệp.


SVTH: VÕ ANH DUY

LỚP: D18CQVT01-N

Trang 1


CHƯƠNG I: GIỚI THIỆU CHUNG VỀ KÊNH TRUYỀN MPLS LAYER 3 VPN

CHƯƠNG I: GIỚI THIỆU CHUNG VỀ KÊNH TRUYỀN MPLS LAYER 3 VPN
1.1. Mạng riêng ảo MPLS VPN
1.1.1. Tổng quan về MPLS và VPN
MPLS là một giao thức đóng gói được sử dụng trong nhiều nhà cung cấp dịch vụ và mạng
doanh nghiệp quy mơ lớn. Thay vì dựa vào tra cứu IP để phát hiện ra "next-hop" khả thi tại mỗi
bộ định tuyến duy nhất trong một đường dẫn (như trong mạng IP truyền thống), trong mạng
MPLS, quá trình chuyển mạch dựa trên một nhãn gắn thêm vào gói tin. MPLS xác định trước
đường dẫn và sử dụng phương pháp push, pop và swap nhãn để định hướng lưu lượng đến đích.
Q trình định tuyến thì khơng khác biệt nhiều, tức vẫn dựa vào địa chỉ IP và các giao thức định
tuyến để định tuyến. Tuy nhiên router còn phải nắm giữ sự thay đổi về nhãn của các gói tin khi
các gói này được chuyển tiếp qua router. Như vậy, khác với router thông thường, các router
trong mạng MPLS phải hiểu được các giao thức phân phối nhãn. [1].
VPN được giới thiệu để cho phép các nhà cung cấp dịch vụ sử dụng cơ sở hạ tầng công
cộng có sẵn để thực thi các kết nối point-to-point giữa các site khách hàng. Một mạng khách
hàng thực thi với bất kỳ công nghệ VPN nào sẽ nằm trong vùng điều khiển của khách hàng
được gọi là các site khách hàng, các site này được kết nối với nhau thông qua mạng của nhà
cung cấp dịch vụ (SP – service provider). Trong các mạng dựa trên bộ định tuyến truyền thống
(traditional router-based network), các site khác nhau của cùng khách hàng được kết nối với
nhau bằng các kết nối point-to-point chuyên dụng (lease line, Frame Relay,…). Chi phí thực
hiện phụ thuộc vào số lượng site khách hàng. Các site kết nối dạng full mesh sẽ làm gia tăng

chi phí theo cấp số mũ. Frame Relay và ATM là những công nghệ đi đầu thích hợp thực thi
VPN. Các mạng này bao gồm các thiết bị khác nhau thuộc về khách hàng hoặc nhà cung cấp
dịch vụ, đó là các thành phần của giải pháp VPN [2].
VPN gồm các vùng [2]:
Mạng khách hàng (Customer network) – gồm các router tại các site khách hàng khác
nhau. Các router kết nối các site cá nhân với mạng của nhà cung cấp được gọi là các router biên
phía khách hàng (CE – customer edge).
Mạng nhà cung cấp (Provider network) – được dùng để cung cấp các kết nối point-topoint qua hạ tầng mạng của nhà cung cấp dịch vụ. Các thiết bị của nhà cung cấp dịch vụ mà nối
trực tiếp vối CE router được gọi là router biên phía nhà cung cấp (PE – Provider edge). Mạng
của nhà cung cấp cịn có các thiết bị dùng để chuyển tiếp dữ liệu trong mạng trục (SP backbone)
được gọi là các router nhà cung cấp (P - Provider). Dựa trên sự tham gia của nhà cung cấp dịch
vụ trong việc định tuyến cho khách hàng, VPN có thể chia thành hai loại mơ hình: Overlay và
Peer-to-peer.
● Mơ hình Overlay: Khi Frame Relay và ATM cung cấp cho khách hàng các mạng riêng,
nhà cung cấp không thể tham gia vào việc định tuyến khách hàng. Các nhà cung cấp
dịch vụ chỉ vận chuyển dữ liệu qua các kết nối point-to-point ảo. Như vậy nhà cung cấp
chỉ cung cấp cho khách hàng kết nối ảo tại lớp 2.
● Mơ hình Peer-to-peer: Mơ hình ngang cấp (peer-to-peer) được phát triển để khắc phục
nhược điểm của mơ hình Overlay và cung cấp cho khách hàng cơ chế vận chuyển tối
ưu qua SP backbone. Do đó nhà cung cấp dịch vụ có thể tham gia vào việc định tuyến
của khách hàng. Trong mơ hình peer-to-peer, thơng tin định tuyến được trao đổi giữa
các router khách hàng và các router của nhà cung cấp dịch vụ, dữ liệu của khách hàng
được vận chuyển qua mạng lõi của nhà cung cấp. Thông tin định tuyến của khách hàng
được mang giữa các router trong mạng của nhà cung cấp (P và PE), và mạng khách
hàng (các CE router).
SVTH: VÕ ANH DUY

LỚP: D18CQVT01-N

Trang 2



CHƯƠNG I: GIỚI THIỆU CHUNG VỀ KÊNH TRUYỀN MPLS LAYER 3 VPN

1.1.2. Mơ hình MPLS VPN

Hình 1.1: Sơ đồ tổng quan về MPLS VPN
Trong kiến trúc mạng MPLS VPN, các router biên mang thông tin định tuyến khách hàng,
cung cấp định tuyến tối ưu cho lưu lượng giữa các site của khách hàng. Mơ hình MPLS-based
VPN cũng giúp cho khách hàng sử dụng không gian địa chỉ trùng lặp (overlapping address
spaces), khơng giống như mơ hình peer-to-peer truyền thống trong việc định tuyến lưu lượng
khách hàng yêu cầu nhà cung cấp phải gán địa chỉ IP riêng cho mỗi khách hàng (hoặc khách
hàng phải thực hiện NAT) để tránh trùng lặp không gian địa chỉ [2].
MPLS VPN là một dạng thực thi đầy đủ của mơ hình peer-to-peer; MPLS VPN backbone
và các site khách hàng trao đổi thông tin định tuyến lớp 3, và dữ liệu được chuyển tiếp giữa các
site khách hàng sử dụng MPLS-enable SP IP backbone [2].
Miền (domain) MPLS VPN, giống như VPN truyền thống, gồm mạng của khách hàng và
mạng của nhà cung cấp. Mơ hình MPLS VPN giống với mơ hình router PE dành riêng
(dedicated PE router model) trong các dạng thực thi VPN ngang cấp peer-to-peer VPN. Tuy
nhiên, thay vì triển khai các router PE khác nhau cho từng khách hàng, lưu lượng khách hàng
được tách riêng trên cùng router PE nhằm cung cấp khả năng kết nối vào mạng của nhà cung
cấp cho nhiều khách hàng [2].

1.1.2.1. Các thành phần chính của kiến trúc MPLS VPN
Mạng khách hàng – thường là miền điều khiển của khách hàng gồm các thiết bị hay các
router trải rộng trên nhiều site của cùng một khách hàng. Các router CE – là những router trong
mạng khách hàng giao tiếp với mạng của nhà cung cấp. Ở hình trên, mạng khách hàng của
Customer A gồm các router CE1-A, CE2-A và các thiết bị trong Site 1 và Site 2 của Customer.
Các router CE của Customer A là CE1-A và CE2-A, và router CE của Customer B là CE1-B
và CE2-B [2].

Mạng của nhà cung cấp – miền thuộc điều khiển của nhà cung cấp gồm các router biên
(edge) và lõi (core) để kết nối các site thuộc vào các khách hàng trong một hạ tầng mạng chia
sẻ. Các router PE – là các router trong mạng của nhà cung cấp giao tiếp với router biên của
khách hàng. Các router P – router trong lõi của mạng, giao tiếp với các router lõi khác hoặc
router biên của nhà cung cấp. Trong hình trên, mạng của nhà cung cấp gồm các router PE1,
PE2, P1, P2, P3, và P4. PE1 và PE2 là router biên của nhà cung cấp trong miền MPLS VPN
cho khách hàng A và B. Router P1, P2, P3 và P4 là các router nhà cung cấp (provider router)
[2].

SVTH: VÕ ANH DUY

LỚP: D18CQVT01-N

Trang 3


CHƯƠNG I: GIỚI THIỆU CHUNG VỀ KÊNH TRUYỀN MPLS LAYER 3 VPN

1.1.2.2. Mơ hình định tuyến MPLS VPN
MPLS VPN giống như mơ hình mạng ngang cấp với router dành riêng. Từ một router
CE, chỉ cập nhật IPv4, dữ liệu được chuyển tiếp đến router PE. CE không cần bất kỳ một cấu
hình riêng biệt nào cho phép nó tham gia vào miền MPLS VPN. Yêu cầu duy nhất trên CE là
một giao thức định tuyến (hay tuyến tĩnh(static)/tuyến ngầm định(default)) cho phép nó trao
đổi thơng tin định tuyến IPv4 với các router PE. Trong mơ hình MPLS VPN, router PE thực
hiện rất nhiều chức năng. Trước tiên nó phải phân tách lưu lượng khách hàng nếu có nhiều hơn
một khách hàng kết nối tới nó. Vì thế mỗi khách hàng được gắn với một bảng định tuyến độc
lập. Định tuyến qua SP backbone thực hiện bằng một tiến trình định tuyến trong bảng định
tuyến toàn cục [2].
Router P cung cấp chuyển mạch nhãn giữa các router biên của nhà cung cấp và không
biết đến các tuyến VPN. Các router CE trong mạng khách hàng không nhận biết được các router

P và do đó cấu trúc mạng nội bộ của mạng SP trong suốt đối với khách hàng. Hình sau mơ tả
chức năng của router PE [2].

Hình 1.2: Chức năng của router PE

1.1.3. Virtual Routing and Forwarding Table – VRF
Khách hàng được phân biệt trên router PE bằng các bảng định tuyến ảo (virtual routing
tables) hoặc các instance, còn được gọi là VRF (virtual routing and forwarding
tables/instances). Thực chất nó giống như duy trì nhiều router riêng biệt cho các khách hàng
kết nối vào mạng của nhà cung cấp. Chức năng của VRF giống như một bảng định tuyến toàn
cục, ngoại trừ việc nó chứa mọi tuyến liên quan đến một VPN cụ thể. VRF cũng chứa một bảng
chuyển tiếp CEF cho VRF riêng biệt (VRF- specific CEF forwarding table) tương ứng với bảng
CEF toàn cục xác định các yêu cầu kết nối và các giao thức cho mỗi site khách hàng kết nối
trên một router PE. VRF xác định bối cảnh (context) giao thức định tuyến tham gia vào một
VPN cụ thể cũng như giao tiếp trên router PE cục bộ tham gia vào VPN, nghĩa là sử dụng VRF.
Giao tiếp tham gia vào VRF phải hỗ trợ chuyển mạch CEF. Một VRF có thể gồm một giao tiếp
(logical hay physical) hoặc nhiều giao tiếp trên một router [2].
VRF chứa một bảng định tuyến IP tương ứng với bảng định tuyến IP toàn cục, một bảng
CEF, liệt kê các giao tiếp tham gia vào VRF, và một tập hợp các nguyên tắc xác định giao thức
định tuyến trao đổi với các router CE (routing protocol contexts). VRF còn chứa các định danh
VPN (VPN identifier) như thông tin thành viên VPN (RD và RT). Hình 1.3 cho thấy chức năng
của VRF trên một router PE thực hiện tách tuyến khách hàng [2].

SVTH: VÕ ANH DUY

LỚP: D18CQVT01-N

Trang 4



CHƯƠNG I: GIỚI THIỆU CHUNG VỀ KÊNH TRUYỀN MPLS LAYER 3 VPN

Hình 1.3: VRF trên một router PE
Cisco IOS hỗ trợ các giao thức định tuyến khác nhau như những tiến trình định tuyến
riêng biệt (OSPF, EIGRP,…) trên router. Tuy nhiên, một số giao thức như RIP và BGP, IOS
chỉ hỗ trợ một instance của giao thức định tuyến. Do đó, thực thi định tuyến VRF bằng các giao
thức này phải tách riêng hoàn toàn các VRF với nhau. Bối cảnh định tuyến (routing context)
được thiết kế để hỗ trợ các bản sao của cùng giao thức định tuyến VPN PE-CE. Các bối cảnh
định tuyến này có thể được thực thi như các tiến trình riêng biệt (OSPF), hay như nhiều instance
của cùng một giao thức định tuyến (BGP, RIP, …). Nếu nhiều instance của cùng một giao thức
định tuyến được sử dụng thì mỗi instance có một tập các tham số của riêng nó. Hiện tại, Cisco
IOS hỗ trợ RIPv2, EIGRP, BGPv4 (nhiều instance), và OSPFv2 (nhiều tiến trình) được dùng
cho VRF để trao đổi thông tin định tuyến giữa CE và PE. Các giao tiếp VRF có thể là luận lý
(logical) hoặc vật lý (physical) nhưng mỗi giao tiếp chỉ được gán với một VRF [2].

1.1.4. Route Distinguisher – RD
Trong mơ hình MPLS VPN, router PE phân biệt các khách hàng bằng VRF. Tuy nhiên,
thông tin này cần được mang theo giữa các router PE để cho phép truyền dữ liệu giữa các site
khách hàng qua MPLS VPN backbone. Router PE phải có khả năng thực thi các tiến trình cho
phép các mạng khách hàng kết nối vào có khơng gian địa chỉ trùng lặp (overlapping address
spaces). Router PE học các tuyến này từ các mạng khách hàng và quảng bá thông tin này bằng
mạng trục chia sẻ của nhà cung cấp (shared provider backbone). Điều này thực hiện bằng việc
kết hợp với RD (route distinguisher) trong bảng định tuyến ảo (virtual routing table) trên một
router PE. RD là một định danh 64-bit duy nhất, thêm vào trước 32-bit địa chỉ tuyến được học
từ router CE tạo thành địa chỉ 96-bit duy nhất có thể được chuyển vận giữa các router PE trong
miền MPLS. Do đó chỉ duy nhất một RD được cấu hình cho 1 VRF trên router PE. Địa chỉ 96bit cuối cùng (tổng hợp của 32-bit địa chỉ khách hàng và 64-bit RD) được gọi là một địa chỉ
VPNv4 [2].
Địa chỉ VPNv4 trao đổi giữa các router PE trong mạng nhà cung cấp. RD có thể có hai
định dạng: ASN:nn hoặc IP-address:nn (trong đó nn đại diện cho một số). Định dạng phổ biến
nhất là ASN:nn, trong đó ASN là chữ viết tắt của từ autonomous system number (số hệ thống

tự trị). Thông thường, các nhà cung cấp dịch vụ sử dụng ASN:nn, trong đó ASN là số hệ thống
tự trị mà tổ chức Internet Assigned Numbers Authority (IANA) giao cho các nhà cung cấp dịch
vụ và nn là số mà nhà cung cấp dịch vụ chỉ định duy nhất cho VRF. Hình 1.4 cho thấy hai khách
hàng có địa chỉ mạng giống nhau, 172.16.10.0/24, được phân biệt nhờ vào các giá trị RD khác
nhau, 1:100 và 1:101, ưu tiên quảng bá địa chỉ VPNv4 trên router PE [2].

SVTH: VÕ ANH DUY

LỚP: D18CQVT01-N

Trang 5


CHƯƠNG I: GIỚI THIỆU CHUNG VỀ KÊNH TRUYỀN MPLS LAYER 3 VPN

Hình 1.4: Các giá trị RD giúp phân biệt các khách hàng có cùng địa chỉ IPv4
Giao thức dùng để trao đổi các tuyến VPNv4 giữa các PE là multiprotocol BGP (MPBGP). IGP yêu cầu duy trì iBGP khi thực thi MPLS VPN. Do đó, PE phải chạy một IGP cung
cấp thông tin NLRI cho iBGP nếu cả hai PE cùng trong một AS. Hiện tại, sử dụng OSPFv2
trong mạng nhà cung cấp như là IGP. MP-BGP cũng chịu trách nhiệm chỉ định nhãn VPN. Khả
năng mở rộng là lý do chính chọn BGP làm giao thức mang thơng tin định tuyến khách hàng.
Hơn nữa, BGP cho phép sử dụng địa chỉ VPNv4 trong môi trường MPLS VPN với dãy địa chỉ
trùng lặp cho nhiều khách hàng [2].
Một phiên làm việc MP-BGP giữa các PE trong một BGP AS được gọi là MP-iBGP
session và kèm theo các nguyên tắc thực thi của iBGP liên quan đến thuộc tính của BGP (BGP
attributes). Nếu VPN mở rộng ra khỏi phạm vi một AS, các VPNv4 sẽ trao đổi giữa các AS tại
biên bằng MP-eBGP session [2].

1.1.5. Route Targets – RT
Nếu các RD chỉ được sử dụng để chỉ ra các VPN, việc liên lạc giữa các site của những
VPN khác nhau sẽ trở thành vấn đề. Một site của công ty A sẽ khơng có khả năng giao tiếp với

một site của cơng ty B bởi vì các RD khác nhau. Khái niệm về việc có nhiều site của cơng ty A
có khả năng liên lạc với những site của cơng ty B được gọi là Extranet VPN. Việc liên lạc giữa
các site trong cùng một công ty – cùng VPN được gọi là Intranet VPN. Việc liên lạc giữa các
site được điều khiển bởi một tính năng khác của MPLS VPN gọi là RT (Route Target) [3].
RT được thực thi bởi các BGP community mở rộng sử dụng 16 bit cao của BGP extended
community (64 bit) mã hóa với một giá trị tương ứng với thành viên VPN của site cụ thể. Khi
một tuyến VPN học từ một CE chèn vào VPNv4 BGP, một danh sách các thuộc tính community
mở rộng cho VPN router target được kết hợp với nó. Export RT dùng để xác định thành viên
VPN và được kết hợp với mỗi VRF. Export RT được nối thêm vào địa chỉ khách hàng khi
chuyển thành địa chỉ VPNv4 bởi PE và quảng bá trong các cập nhật MP-BGP. Import RT kết
hợp với mỗi VRF và xác định các tuyến VPNv4 được thêm vào VRF cho khách hàng cụ thể.
Định dạng của RT giống như giá trị RD [3].
SVTH: VÕ ANH DUY

LỚP: D18CQVT01-N

Trang 6


CHƯƠNG I: GIỚI THIỆU CHUNG VỀ KÊNH TRUYỀN MPLS LAYER 3 VPN

Hình 1.5: Ví dụ Extranet VPN với các RT
Trong hình trên, site A và site B từ VRF cust-one phải có khả năng giao tiếp với nhau.
Tương tự nó cũng đúng trên site A và site B của VRF cust-two. RT mà VPN cust-one sử dụng
là 1:1. RT mà VPN cust-two sử dụng là 1:2. Khi site A của VRF cust-one cần giao tiếp với site
A của VRF cust-two, hồn tồn có thể và được xác định bằng cách cấu hình RT phù hợp. Với
RT 100:1 là Export và Import cho site A của VRF cust-one và site A của VRF cust-two lần lượt
trên PE1 và PE2 để đạt được điều này [3].
Khi thực thi các cấu trúc mạng VPN phức tạp (như: Extranet VPN, Internet access VPNs,
Network management VPN,…) sử dụng cơng nghệ MPLS VPN thì RT giữ vai trị nịng cốt.

Một địa chỉ mạng có thể được kết hợp với một hoặc nhiều export RT khi quảng bá qua mạng
MPLS VPN. Như vậy, RT có thể kết hợp với nhiều site thành viên của nhiều VPN [3].
RT là cấu hình bắt buộc trong một MPLS VPN cho mọi VRF trên một router, giá trị RT
có thể được dùng để thực thi trên cấu trúc mạng VPN phức tạp, trong đó một site có thể tham
gia vào nhiều VPN. Giá trị RT cịn có thể dùng để chọn tuyến nhập vào VRF khi các tuyến
VPNv4 được học trong các cập nhật MP-iBGP. Nhãn VPN chỉ được hiểu bởi egress PE (mặt
phẳng dữ liệu) kết nối trực tiếp với CE quảng bá mạng đó. Các trạm kế (next hop) phải được
học từ IGP khi thực thi MPLS VPN chứ khơng phải quảng bá từ tiến trình BGP [3].

1.1.6. Hoạt động của MPLS VPN
Cơ chế truyền thông tin của khách hàng theo mạng MPLS-VPN
Bộ định tuyến CE gửi cập nhật định tuyến IP đến bộ định tuyến PE. Bộ định tuyến PE
sau đó thêm trường phân biệt tuyến RD (64 bit) vào trường địa chỉ IP (32bit) mà nó đã nhận,
kết quả là tạo ra địa chỉ VPNv4 96 bit duy nhất. Địa chỉ VPNv4 này được truyền đi thông qua
phiên MP-BGP đến các bộ định tuyến PE khác. Bộ định tuyến PE nhận sẽ loại bỏ trường phân
biệt tuyến RD từ địa chỉ VPNv4 để tạo thành IP như ban đầu mà CE đầu xa đã gửi [2].

SVTH: VÕ ANH DUY

LỚP: D18CQVT01-N

Trang 7


CHƯƠNG I: GIỚI THIỆU CHUNG VỀ KÊNH TRUYỀN MPLS LAYER 3 VPN

Địa chỉ IP này được chuyển tiếp đến bộ định tuyến CE khác trong bản cập nhật định tuyến
IP. Địa chỉ VPNv4 chỉ được xử lý trong các giao thức định tuyến chứ không được tải trong
phần mào đầu của gói IP. Vì vậy VPNv4 khơng thể sử dụng một cách trực tiếp để chuyển gói.
Nhiệm vụ chuyển tiếp các gói được thực hiện dựa trên MPLS [2].


Hình 1.6: chuyển tiếp dữ liệu qua mạng MPLS VPN

1.2. Dịch vụ kênh truyền L3VPN
1.2.1. Định nghĩa, đặc điểm dịch vụ kênh truyền L3VPN
Trong kiến trúc Layer 3 VPN, các bộ định tuyến khách hàng và của nhà cung cấp được
coi là các phần tử ngang hàng. Bộ định tuyến biên khách hàng CE cung cấp thông tin định tuyến
tới bộ định tuyến biên nhà cung cấp PE. PE lưu các thông tin định tuyến trong bảng VRF. Mỗi
khoản mục của VRF tương ứng với một mạng khách hàng và hoàn toàn biệt lập với các mạng
khách hàng khác. Người dùng VPN chỉ được phép truy cập tới các site hoặc máy chủ trong
cùng một mạng riêng này [2].
Dịch vụ mạng riêng ảo L3VPN cung cấp các tuyến kênh kết nối các điểm của khách hàng
với nhau để trao đổi thông tin, dữ liệu…trên hạ tầng cáp quang thông qua cổng Ethernet của
DSLAM/Switch Layer2/SiteRouter dựa trên công nghệ IP/MPLS – Công nghệ đang được sử
dụng phổ biến nhất hiện nay, tương đương như một mạng riêng xét trên phương diện chất lượng,
độ an tồn, ổn định và khả năng kiểm sốt. Các điểm kết nối thơng nhau ở Layer 3 trong mơ
hình OSI.
Với dịch vụ MPLS L3VPN, Mạng MPLS của ISP sẽ trở thành một thiết bị Router ảo đối
với khách hàng. Các điểm kết nối giữa chi nhánh và điểm chính (ATM và DataCenter…) của
khách hàng sẽ thông Layer 3 với nhau.

SVTH: VÕ ANH DUY

LỚP: D18CQVT01-N

Trang 8


CHƯƠNG I: GIỚI THIỆU CHUNG VỀ KÊNH TRUYỀN MPLS LAYER 3 VPN


1.2.2. Ưu điểm dịch vụ kênh truyền L3VPN
❖ MPLS Layer 3 VPN đáp ứng được tất cả các mô hình kết nối: Kết nối điểm – điểm
(Point to point); Kết nối điểm – đa điểm (Point to Multipoint); Kết nối full mesh.
❖ Tiết kiệm chi phí: Dịch vụ L3VPN giúp khách hàng thiết lập mạng riêng với chi phí
thấp do chỉ tạo kết nối ảo. Tất cả các điểm có thể liên hệ trực tiếp với nhau với chỉ một
kết nối vật lý duy nhất tại mỗi địa điểm.
❖ Tính linh hoạt: Sử dụng dịch vụ này khách hàng dễ dàng mở rộng mơ hình, tăng thêm
điểm kết nối, tăng tốc độ trong thời gian sử dụng mà không cần phải thay đổi mơ hình
hay kiến trúc mạng.
❖ Tính bảo mật cao: Kết nối giữa các điểm được mã hóa, gán nhãn và thiết lập đường
hầm (tunnel) riêng trên hệ thống mạng lõi của ISP.

1.2.3. Ứng dụng dịch vụ kênh truyền L3VPN
Được sử dụng bởi các tổ chức, doanh nghiệp có nhiều chi nhánh, văn phịng, nhà xưởng sản
xuất và làm việc trên toàn quốc cần kết nối kênh truyền riêng có tốc độ ổn định, bảo mật để
thiết lập mạng riêng ảo (VPN) triển khai xây dựng và ứng dụng các dịch vụ yêu cầu chất lượng
cao như: thoại, fax, data, video, phần mềm tài chính kế tốn,vv…
❖ Các Bộ, sở ban ngành, ủy ban nhân dân Tỉnh/TP;
❖ Các doanh nghiệp lớn, tập đồn, tổng cơng ty, liên doanh FDI;
❖ Các doanh nghiệp khối tài chính, ngân hàng, chứng khốn, bảo hiểm,..;
❖ Các khu cơng nghiệp, nhà xưởng sản xuất;
❖ Các trường cao đẳng, đại học;
❖ Các đại sứ quán, tổ chức quốc tế, văn phòng đại diện;
❖ Các công ty về lĩnh vực như: phần mềm, công nghệ thông tin, viễn thông, phát triển
dịch vụ giá trị gia tăng trên internet và trên di động.
❖ Các doanh nghiệp viễn thông khác như: VNPT, FPT, CMC, SPT,…

1.2.4. Hoạt động cơ bản của kênh truyền L3VPN
1.2.4.1. Các loại nhãn sử dụng trong kênh truyền L3VPN
Việc chuyển tiếp trong mạng MPLS VPN đòi hỏi phải dùng chồng nhãn (label stack).

Nhãn trên (top label) được gán và hoán đổi (swap) để chuyển tiếp gói dữ liệu đi trong lõi MPLS.
Các loại nhãn được sắp xếp theo thứ tự từ trên xuống trong chồng nhãn [2]:
1/ Nhãn LDP: Để gói tin được truyền theo đường chuyển nhãn LSP qua mạng MPLS,
tất cả các LSR phải sử dụng giao thức phân phối nhãn và trao đổi nhãn. Khi tất cả LSR có nhãn
cho FEC, gói tin có thể được chuyển đi theo đường chuyển nhãn LSP bằng cách đổi nhãn tại
mỗi Transit LSR (LSR trung gian). Tất cả các LSR kết nối trực tiếp sử dụng giao thức LDP để
thiết lập Neighbor và tạo các phiên trao đổi.
* Nhãn Explicit-null: được gán để giữ giá trị EXP cho nhãn trên (top label) của gói đến.
Nhãn trên được hốn đổi với giá trị 0 và chuyển tiếp như một gói MPLS tới trạm kế xi dịng.
Nhãn này sử dụng khi thực hiện QoS với MPLS.
2/ Nhãn BGP-LU: BGP Labeled Unicast được định nghĩa trong RFC 3107. BGP LU cho
phép BGP quảng bá nhãn cho các tiền tố Unicast IPv4 và IPv6. BGP LU cung cấp cho việc vận
chuyển MPLS qua các ranh giới IGP (miền OSPF…). Bằng cách quảng bá loopback của router
và các ràng buộc nhãn qua các ranh giới IGP. Quảng bá của BGP-LU chỉ tác động đến bộ định
tuyến biên chứ không ảnh hưởng đến bộ định tuyến vận chuyển ở giữa chuỗi kết nối.

SVTH: VÕ ANH DUY

LỚP: D18CQVT01-N

Trang 9


CHƯƠNG I: GIỚI THIỆU CHUNG VỀ KÊNH TRUYỀN MPLS LAYER 3 VPN

3/ Nhãn VPNv4: Router PE học các tuyến từ các mạng khách hàng và quảng bá thông
tin này bằng mạng trục chia sẻ của nhà cung cấp (shared provider backbone). Điều này thực
hiện bằng việc kết hợp với RD trong bảng định tuyến ảo VRF trên một router PE. RD là một
định danh 64-bit duy nhất, thêm vào trước 32-bit địa chỉ tuyến được học từ router CE tạo thành
địa chỉ 96-bit duy nhất có thể được chuyển vận giữa các router PE trong miền MPLS. Do đó

chỉ duy nhất một RD được cấu hình cho 1 VRF trên router PE. Các giá trị RD giúp phân biệt
các khách hàng có cùng địa chỉ IPv4. Địa chỉ 96-bit cuối cùng (tổng hợp của 32-bit địa chỉ
khách hàng và 64-bit RD) được gọi là một địa chỉ VPNv4.
PE thực chất là một LER biên (Edge LSR) và thực hiện tất cả chức năng của một Edge
LSR. PE yêu cầu LDP cho việc gán và phân phối nhãn cũng như chuyển tiếp các gói được gắn
nhãn. Cộng thêm các chức năng của một Edge LSR, PE thực thi một giao thức định tuyến (hay
định tuyến tĩnh) với các CE trong một bảng định tuyến ảo (virtual routing table) và yêu cầu
MP-BGP quảng bá các mạng học được từ CE như các VPNv4 trong MP-iBGP đến các PE khác
bằng nhãn VPNv4.

1.2.4.2. Hoạt động chuyển tiếp và xử lý nhãn giữa 2 Site khách hàng
Mỗi VPN được kết hợp với một bảng định tuyến - chuyển tiếp VPN (VRF) riêng biệt.
VRF cung cấp các thông tin về mối quan hệ trong VPN của một site khách hàng khi được nối
với PE router. Bảng VRF bao gồm thông tin bảng định tuyến IP (IP routing table), bảng CEF
(Cisco Express Forwarding), các giao diện của bảng định tuyến; các quy tắc, các tham số của
giao thức định tuyến... Mỗi site chỉ có thể kết hợp với một và chỉ một VRF. Các VRF của site
khách hàng mang tồn bộ thơng tin về các tuyến có sẵn từ site tới VPN mà nó là thành viên [4].
Đối với mỗi VRF, thông tin sử dụng để chuyển tiếp các gói tin được lưu trong các bảng
định tuyến IP và bảng CEF. Các bảng này được duy trì riêng rẽ cho từng VRF nên nó ngăn chặn
được hiện tượng thơng tin bị chuyển tiếp ra ngồi mạng VPN cũng như ngăn chặn các gói tin
bên ngồi mạng VPN chuyển tiếp vào các router bên trong mạng VPN, đây chính là cơ chế bảo
mật của MPLS VPN. Bên trong mỗi một MPLS VPN, có thể kết nối bất kỳ hai điểm nào với
nhau và các site có thể gửi thông tin trực tiếp cho nhau mà không cần thông qua site trung tâm
[4].
Tham số phân biệt tuyến RD giúp nhận biết các địa chỉ IP thuộc VPN riêng biệt nào. Một
mạng MPLS có thể hỗ trợ hàng trăm đến hàng nghìn VPN. Phần bên trong của kiến trúc mạng
MPLS VPN được kết cấu bởi các thiết bị của nhà cung cấp. Những thiết bị này hình thành mạng
lõi (core) MPLS và không được nối trực tiếp đến các CE router. Các chức năng VPN của một
mạng MPLS VPN sẽ được thực hiện bởi các PE router bao quanh mạng lõi này. Cả P router và
PE router đều là các bộ định tuyến chuyển mạch nhãn LSR (Label Switch Router) trong mạng

MPLS. Các site khách hàng được kết nối với các PE router bằng các giao thức định tuyến trên
mạng truyền tải IP [4].

SVTH: VÕ ANH DUY

LỚP: D18CQVT01-N

Trang 10


CHƯƠNG I: GIỚI THIỆU CHUNG VỀ KÊNH TRUYỀN MPLS LAYER 3 VPN

Hoạt động của mặt phẳng điều khiển MPLS L3VPN [2]:
Mặt phẳng điều khiển trong MPLS L3VPN chứa mọi thông tin định tuyến lớp 3 và các
tiến trình trao đổi thông tin của các IP prefix được gán và phân phối nhãn bằng LDP. Mặt phẳng
dữ liệu thực hiện chức năng chuyển tiếp các gói IP được gán nhãn đến trạm kế để về đích.

Hình 1.7: Sự tương tác của các giao thức trong mặt phẳng điều khiển của MPLS L3VPN
Các gói từ CE đến PE ln được quảng bá như các gói IPv4. Các router CE được kết nối
với các PE, và một IGP, BGP, hay tuyến tĩnh (static route) được yêu cầu trên các CE cùng với
các PE để thu thập và quảng bá thông tin NLRI. Trong MPLS VPN backbone gồm các router
P và PE, một IGP (sử dụng OSPF) kết hợp với LDP được sử dụng giữa các PE và P. LDP dùng
để phân phối nhãn trong một MPLS domain. IGP dùng để trao đổi thông tin NLRI, ánh xạ
(map) các NLRI này vào MP-BGP. MP-BGP được duy trì giữa các PE trong một miền MPLS
VPN và trao đổi cập nhật MP-BGP.

SVTH: VÕ ANH DUY

LỚP: D18CQVT01-N


Trang 11


CHƯƠNG I: GIỚI THIỆU CHUNG VỀ KÊNH TRUYỀN MPLS LAYER 3 VPN

Hình 1.8: Hoạt động chuyển tiếp và xử lý nhãn từ Site 1 đến Site 2 trong MPLS L3VPN

SVTH: VÕ ANH DUY

LỚP: D18CQVT01-N

TRANG 12


CHƯƠNG I: GIỚI THIỆU CHUNG VỀ KÊNH TRUYỀN MPLS LAYER 3 VPN

Tại các điểm trên Hình 1.8: Hoạt động chuyển tiếp và xử lý nhãn từ Site 1 đến Site 2 trong
MPLS L3VPN
Các điểm

Hoạt động nhãn

SP1

PUSH LDP: 123
PUSH VPNv4

S1

SWAP LDP: 123 => Exp-Null

VPNv4

H1

SWAP LDP: Exp-Null => ExpNull
PUSH BGP_LU: 123
VPNv4

T1

SWAP LDP: Exp-Null => 456
SWAP BGP_LU: 123 => 456
VPNv4

SVTH: VÕ ANH DUY

Mô tả
- Gói tin IP từ Site 1 vào miền MPLS
VPN được gắn 2 loại nhãn, bao gồm
nhãn LDP và VPNv4.
- LDP là nhãn trên (top label) được gán
và hoán đổi (swap) để chuyển tiếp gói
dữ liệu đi trong lõi MPLS.
- Nhãn VPNv4 nhằm phân biệt giữa các
khách hàng sử dụng dịch vụ bằng cách
kết hợp với VRF ở router PE để chuyển
tiếp gói đến các CE. Nhãn VPNv4 chỉ
được xử lý tại thiết bị định tuyến biên
PE (SP1, SP2) nối với bộ định tuyến
khách hàng CE (Site 1, Site 2).

- Gói dữ liệu đi qua Transit LSR (S1)
thuộc 1 Area OSPF. Tại các LSR trung
gian này Router chỉ xử lý nhãn trên
cùng, tức chỉ tra bảng LFIB và swap
nhãn LDP để tiếp tục thực hiện tìm
thơng tin để chuyển tiếp gói dữ liệu. Tại
S1, do có nhận được báo hiệu cho biết
rằng tại LSR kế tiếp, 1 Area OSPF sẽ
kết thúc tại đó nên nhãn LDP được
SWAP qua LDP Exp-Null để giữ lại bit
EXP trong cấu trúc nhãn khi nhãn bị
loại bỏ nhằm phục vụ cho khả năng
QoS của mạng MPLS.
- Gói dữ liệu sau khi tới H1 sẽ SWAP
nhãn LDP đang ở giá trị Exp-Null và
giữ lại bit EXP sang một giá trị ExpNull khác do nhận thấy tại LSR kế tiếp,
1 Area OSPF sẽ kết thúc.
- Bên cạnh đó gói dữ liệu sẽ được
PUSH thêm một nhãn BGP_LU giúp
cung cấp cho việc vận chuyển MPLS
qua các ranh giới IGP (miền OSPF).
Bằng cách quảng bá loopback của
router và các ràng buộc nhãn qua các
ranh giới IGP.
- Nhãn VPNv4 giữ nguyên.
Tại T1 sẽ thực hiện SWAP nhãn LDP
ở giá trị Exp-Null sang nhãn mang giá
trị cụ thể (456) để phục phụ việc
chuyển tiếp gói dữ liệu trong 1 Area
OSPF, nhãn BGP_LU SWAP một giá

trị mới (456) phục vụ cho việc quảng
bá thông tin qua ranh giới IGP (miền
OSPF). Nhãn VPNv4 giữ nguyên do

LỚP: D18CQVT01-N

TRANG 13


CHƯƠNG I: GIỚI THIỆU CHUNG VỀ KÊNH TRUYỀN MPLS LAYER 3 VPN

CRS1

SWAP LDP: 456 => Exp-Null
BGP_LU: 456
VPNv4

T2

SWAP LDP: Exp-Null => ExpNull
SWAP BGP_LU: 456 => 789
VPNv4

H2

SWAP LDP: Exp-Null => 789
POP BGP_LU: 789
VPNv4

S2


SWAP LDP: 789 => 987
VPNv4

SP2

POP LDP
POP VPNv4

gói dữ liệu vẫn đang được truyền trong
miền MPLS VPN.
Khi tới CRS1, LSR này lại nhận thấy
LSR kế tiếp, 1 Area OSPF sẽ kết thúc
tại đó nên nhãn LDP được SWAP sang
nhãn LDP Exp-Null. Nhãn BGP_LU
và VPNv4 giữ nguyên.
- Gói dữ liệu sau khi tới T2 sẽ SWAP
nhãn LDP Exp-Null và giữ lại bit EXP
sang một nhãn LDP Exp-Null khác do
nhận thấy tại LSR kế tiếp, 1 Area OSPF
sẽ kết thúc.
- Bên cạnh đó gói dữ liệu sẽ được
SWAP sang một nhãn BGP_LU khác
giúp cung cấp cho việc vận chuyển
MPLS qua các ranh giới IGP (miền
OSPF). Bằng cách quảng bá loopback
của router và các ràng buộc nhãn qua
các ranh giới IGP. Nhãn VPNv4 giữ
nguyên.
Khi gói dữ liệu chuyển tới H2, SWAP

nhãn LDP Exp-Null sang một giá trị cụ
thể (789) để phục phụ việc chuyển tiếp
gói dữ liệu trong 1 Area OSPF, tiếp đến
POP nhãn BGP LU do cùng 1 Area
OSPF. Nhãn VPNv4 giữ nguyên.
Khi gói dữ liệu chuyển tới S2. Do cùng
1 Area OSPF nên nhãn LDP được
chuyển đổi để tiếp tục thực hiện chuyển
tiếp gói tin. Nhãn VPNv4 giữ nguyên.
Khi tới SP2, LSR tại đây POP tất cả
nhãn hiện có và chuyển gói IP tới Site
2. Kết thúc q trình chuyển tiếp một
gói IP từ site 1 tới Site 2.

Chú thích Hình 1.8: Hoạt động chuyển tiếp và xử lí nhãn từ Site 1 đến Site 2 trong MPLS
L3VPN:
 Site 1, Site 2: Mạng khách hàng (Customer network) – gồm các router tại các site khách
hàng khác nhau. Các router kết nối các site cá nhân với mạng của nhà cung cấp được
gọi là các router biên phía khách hàng (CE – customer edge).
 SP1, SP2, S1, S2, S3, S4: Đây là các thiết bị của nhà cung cấp dịch vụ mà nối trực tiếp
với CE router được gọi là router biên phía nhà cung cấp (PE – Provider edge).
 H1, H2, H3, H4; T1, T2, T3, T4, CRS1, CRS2, CRS3, CRS4: Mạng của nhà cung
cấp cịn có các thiết bị dùng để chuyển tiếp dữ liệu trong mạng trục (SP backbone) được
gọi là các router nhà cung cấp (P - Provider). H làm nhiệm vụ tổng hợp lưu lượng từ
các S và chuyển lên T. T làm nhiệm vụ tổng hợp lưu lượng từ các H và chuyển lên
CRS. Router P cần chạy một IGP (OSPF) khi MPLS cho phép chuyển tiếp các gói được
gán nhãn (mặt phẳng dữ liệu – data plane) giữa các PE. IGP quảng bá các NLRI đến các
P và PE để thực thi một MP-iBGP session giữa các PE (mặt phẳng điều khiển – control
plane). LDP chạy trên các router P để gán và phân phối nhãn.


SVTH: VÕ ANH DUY

LỚP: D18CQVT01-N

Trang 14


CHƯƠNG II: TỔNG QUAN VỀ AWS NETWORKING SERVICES

CHƯƠNG II: TỔNG QUAN VỀ AWS NETWORKING SERVICES
2.1. AWS Regions
AWS có khái niệm về Regions, đây là vị trí địa lý trên khắp thế giới nơi phân cụm các
trung tâm dữ liệu. Mỗi nhóm trung tâm dữ liệu logic là một Availability Zones (AZ). Mỗi AWS
Region bao gồm nhiều AZ riêng lẻ, cách ly và tách biệt về mặt vật lý trong một khu vực địa lý.
Không giống như các nhà cung cấp đám mây khác thường xác định một Region là trung tâm
dữ liệu đơn lẻ, thiết kế nhiều AZ của mỗi AWS Region mang lại lợi thế cho khách hàng. Mỗi
AZ có nguồn điện, làm mát và bảo mật vật lý độc lập cũng như được kết nối thông qua các
mạng dự phịng, có độ trễ cực thấp. Khách hàng AWS tập trung vào độ sẵn sàng cao có thể thiết
kế các ứng dụng của họ chạy trong nhiều AZ để đạt được khả năng chịu lỗi cao hơn. Cơ sở hạ
tầng của AWS Regions đáp ứng mức độ bảo mật, tuân thủ và bảo vệ dữ liệu cao nhất [5].
AWS cung cấp một phạm vi toàn cầu rộng lớn hơn bất kỳ nhà cung cấp đám mây nào
khác. Để hỗ trợ cho phạm vi toàn cầu cũng như đảm bảo khách hàng được phục vụ trên toàn
thế giới, AWS nhanh chóng mở các Region mới. AWS duy trì nhiều Region, bao gồm các
Region ở Bắc Mỹ, Nam Mỹ, Châu Âu, Trung Quốc, Châu Á Thái Bình Dương, Nam Phi và
Trung Đơng [5].

Hình 2.1: Đám mây AWS trải rộng trên 87 AZ tại 27 Regions trên khắp thế giới và đã công
bố kế hoạch tăng thêm 21 AZ và 7 AWS Regions khác tại Úc, Canada, Ấn Độ, Israel, New
Zealand, Tây Ban Nha và Thụy Sĩ


2.2. Availability Zones
Availability Zones (AZ) bao gồm một hoặc nhiều trung tâm dữ liệu riêng biệt, mỗi trung
tâm có nguồn điện dự phịng, mạng và kết nối, được đặt trong một AWS Region. Availability
Zones (AZ) này cung cấp cho khách hàng khả năng vận hành các ứng dụng và cơ sở dữ liệu
sản xuất có tính sẵn sàng, dung sai và khả năng thay đổi quy mô cao hơn so với khi vận hành
bằng một trung tâm dữ liệu duy nhất. Tất cả các AZ trong Khu vực AWS được kết nối với mạng
băng thông cao, độ trễ thấp, dự phòng trên mức đầy đủ, sử dụng hệ thống cáp sợi metro chuyên
dụng, cung cấp kết nối mạng thông lượng cao, độ trễ thấp giữa các AZ. Mọi lưu lượng truy cập
SVTH: VÕ ANH DUY

LỚP: D18CQVT01-N

Trang 15


CHƯƠNG II: TỔNG QUAN VỀ AWS NETWORKING SERVICES

giữa các AZ đều được mã hóa. Hiệu suất mạng đủ để thực hiện sao chép đồng bộ giữa các AZ.
AZ tạo điều kiện để việc phân vùng các ứng dụng để có độ sẵn sàng cao trở nên dễ dàng. Nếu
một ứng dụng được phân vùng trên các AZ, các công ty sẽ được cô lập và bảo vệ tốt hơn khỏi
các vấn đề như mất điện, sét đánh, lốc xoáy, động đất và nhiều thảm họa khác. Các AZ tách
biệt với nhau về mặt vật lý với một khoảng cách chưa đến 100 km (60 dặm) [5].

2.3. Amazon Virtual Private Cloud - Amazon VPC
Amazon Virtual Private Cloud (Amazon VPC) cho phép khởi chạy các tài nguyên AWS
vào một mạng ảo đã xác định. Mạng ảo này gần giống với mạng truyền thống vận hành trong
trung tâm dữ liệu của riêng mình, với những lợi ích của việc sử dụng cơ sở hạ tầng có thể mở
rộng của AWS. Các tính năng sau đây giúp định cấu hình VPC để cung cấp kết nối mà các ứng
dụng cần [6]:


2.3.1. Amazon EC2
Amazon Elastic Compute Cloud (Amazon EC2) cung cấp khả năng điện toán có thể thay
đổi quy mơ trong Đám mây Amazon Web Services (AWS). Sử dụng Amazon EC2 giúp không
phải đầu tư trước vào phần cứng, nhờ đó có thể phát triển và triển khai ứng dụng nhanh hơn.
Có thể sử dụng Amazon EC2 để khởi chạy số lượng hoặc số lượng máy chủ ảo tùy theo nhu
cầu, định cấu hình bảo mật và kết nối mạng cũng như quản lý dung lượng lưu trữ. Amazon EC2
cho phép tăng hoặc giảm quy mô để xử lý các thay đổi về yêu cầu hoặc mức độ phổ biến tăng
đột biến, giúp giảm nhu cầu dự báo lưu lượng [11].
Amazon EC2 là nền tảng điện toán sâu rộng, với hơn 500 phiên bản và tuyển tập bộ xử
lý, dung lượng lưu trữ, kết nối mạng, hệ điều hành…Đáp ứng tốt nhất những nhu cầu về khối
lượng công việc. EC2 hỗ trợ các bộ xử lý Intel, AMD và Arm, đám mây duy nhất có phiên bản
EC2 Mac theo nhu cầu và đám mây duy nhất có kết nối mạng Ethernet 400 Gbps. Các khối
lượng cơng việc liên quan đến SAP, điện tốn hiệu năng cao (HPC), ML và Windows chạy trên
AWS [11].

2.3.2. Subnets
Subnet là một dải địa chỉ IP trong VPC. Một Subnet phải nằm trong một AZ duy nhất.
Sau khi thêm Subnet, có thể triển khai tài nguyên AWS trong VPC vào một mạng con được chỉ
định [7].
Tùy thuộc vào cách định cấu hình VPC, các Subnet được chia thành Public, Private hoặc
VPN-only [7]:





Public Subnet: Lưu lượng mạng con được định tuyến đến Internet công cộng thông qua
một cổng Internet (IGW) hoặc một cổng Internet chỉ lối ra.
Private Subnet: Lưu lượng mạng con không thể truy cập Internet công cộng thông qua
cổng Internet (IGW) hoặc cổng Internet chỉ đi ra. Truy cập Internet công cộng yêu cầu

thiết bị NAT.
VPN-Only Subnet: Lưu lượng mạng con được chuyển đến kết nối VPN Site-to-Site
thông qua một cổng riêng ảo (VGW). Lưu lượng truy cập mạng con không thể truy cập
Internet công cộng thông qua cổng Internet.

SVTH: VÕ ANH DUY

LỚP: D18CQVT01-N

Trang 16


CHƯƠNG II: TỔNG QUAN VỀ AWS NETWORKING SERVICES

2.3.3. Internet Gateway
Internet Gateway (IGW) là một thành phần VPC có tính dự phòng và khả dụng cao cho
phép giao tiếp giữa VPC và Internet. Nó hỗ trợ lưu lượng IPv4 và IPv6. Để sử dụng IGW, cần
phải chỉ định rõ ràng một tuyến đường trỏ đến IGW trong bảng định tuyến [8].
Internet Gateway cho phép các tài nguyên trong Public Subnet (chẳng hạn như phiên bản
EC2) kết nối với Internet nếu tài nguyên có địa chỉ IPv4 Public hoặc địa chỉ IPv6. Tương tự,
các tài nguyên trên Internet có thể bắt đầu kết nối với các tài nguyên trong Subnet bằng địa chỉ
IPv4 Public hoặc địa chỉ IPv6. Ví dụ: Internet Gateway cho phép kết nối với phiên bản EC2
trong AWS bằng máy tính cục bộ [8].
Một Internet Gateway cung cấp một mục tiêu trong các VPC Route Tables cho lưu lượng
Internet – Route Table. Đối với giao tiếp bằng IPv4, Internet Gateway cũng thực hiện dịch địa
chỉ mạng (NAT). Đối với giao tiếp sử dụng IPv6, NAT là không cần thiết vì địa chỉ IPv6 là
Public [8].

Hình 2.2: Internet Gateway (IGW)


2.3.4. NAT Gateway
Mặc định, mọi EC2 chạy bên trong Private subnet thì sẽ khơng có khả năng giao tiếp với
Internet thơng qua IGW. Từ đó vấn đề phát sinh khi EC2 đó cần truy cập ra ngồi Internet để
áp dụng các bản cập nhật bảo mật, tải xuống các bản vá hoặc cập nhật phần mềm ứng dụng.
Nắm bắt được nhu cầu đó, AWS cung cấp 2 phương thức cho phép các EC2 bên trong
Private Subnet có quyền được truy cập Internet, đó là NAT Instance và NAT Gateway. Với các
trường hợp thơng thường, thì ta nên sử dụng NAT Gateway thay cho NAT Instance. NAT
SVTH: VÕ ANH DUY

LỚP: D18CQVT01-N

Trang 17


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×