Tải bản đầy đủ (.doc) (73 trang)
  1. Trang chủ
    2. >>
  2. Thạc sĩ - Cao học
    3. >>
  3. Kỹ thuật

CÔNG NGHỆ VPN – MPLS. THỰC TIỄN TRIỂN KHAI CUNG CẤP DỊCH VỤ

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (6.73 MB, 73 trang )

i
LỜI CẢM ƠN
Trong suốt quá trình nghiên cứu và thực hiện Luận văn, tôi đã nhận được sự
động viên, giúp đỡ tận tình của TSKH. Hoàng Đăng Hải, người trực tiếp hướng dẫn tôi
hoàn thành luận văn này. Đầu tiên, tôi xin được bày tỏ lòng biết ơn sâu sắc về sự giúp
đỡ quý báu của thầy.
Tôi xin chân thành cảm ơn các thầy cô giáo trong Khoa Quốc tế và Sau Đại Học
– Học viện Công nghệ Bưu chính Viễn thông đã dạy bảo, giúp đỡ tôi trong suốt khóa
học cao học, để tôi có được những kiến thức như ngày hôm nay và cụ thể là qua những
kết quả Luận văn này đã phần nào thể hiện.
Tôi xin cảm ơn sự trợ giúp, động viên to lớn về mặt vật chất cũng như tinh thần
của gia đình, người thân, bạn bè và đồng nghiệp, tạo điều kiện cho tôi hoàn thành luận
văn này.
Hà Nội, tháng 09 năm 2008
Học viên
Đặng Đình Trường

MỤC LỤC
LỜI GIỚI THIỆU iii
CHƯƠNG 1: TỔNG QUAN VỀ VPN MPLS v
CHƯƠNG 2: CÔNG NGHỆ MPLS, VPN, VPN-MPLS x
2.1. GIỚI THIỆU MPLS x
2.1.1. Mô hình định tuyến lớp mạng x
2.1.2. Công nghệ ATM và mô hình hướng kết nối xi
2.2. CÁC THÀNH PHẦN VÀ HOẠT ĐỘNG MPLS xii
2.2.1. Nhãn –Label xiii
2.2.2. Mặt phẳng dữ liệu và điều khiển IP xiv
2.2.3. Mặt phẳng điều khiển và mặt phẳng dữ liệu MPLS xvi
2.3. TỔNG QUAN VỀ VPN xix
2.4. CÔNG NGHỆ MPLS/VPN xxi
2.4.1. Các thành phần trong mạng MPLS/VPN xxii


2.4.2. Mô hình định tuyến MPLS VPN xxiii
2.4.3. Bảng định tuyến và chuyển tiếp VPN xxiv
CHƯƠNG 3: CÁC MÔ HÌNH TRIỂN KHAI xxvi
VPN-MPLS TRONG THỰC TẾ xxvi
3.1. SO SÁNH MPLS/VPN VÀ CÁC KỸ THUẬT VPN TRUYỀN THỐNG. VẤN
ĐỀ BẢO MẬT TRONG MPLS/VPN xxvi
3.1.1. Các mạng VPN truyền thống xxvi
3.1.2. Công nghệ MPLS/VPN – Bảo mật trong mạng MPLS/VPN xxviii
3.2. KHẢ NĂNG MỞ RỘNG VÀ CÁC MÔ HÌNH MPLS/VPN NÂNG CAO xxxiii
3.2.1. Inter-AS MPLS/VPN xxxv
3.2.2. Carrier’s Carrier xxxix
3.3. CÁC MÔ HÌNH TRIỂN KHAI MPLS/VPN xli
3.3.1. Kết nối Internet và MPLS VPN chia sẻ xlii
3.3.2. Kết nối Internet và MPLS VPN chia sẻ một phần xliii
3.3.3. Kết nối Internet và MPLS VPN tách biệt hoàn toàn xliv
CHƯƠNG 4: TRIỂN KHAI MPLS/VPN xlv
4.1. TRIỂN KHAI MẠNG MPLS/VPN PHÍA NHÀ CUNG CẤP DỊCH VỤ xlv
4.1.1. Cấu hình mạng VDC trước khi nâng cấp xlv
4.1.2. Phương án nâng cấp mạng sử dụng công nghệ MPLS xlvii
4.1.3. Triển khai dịch vụ MPLS-VPN l
4.2. TRIỂN KHAI MẠNG MPLS/VPN PHÍA ĐẦU CUỐI lvi
4.2.1 Mạng giao dịch chứng khoán lvii
4.2.2 Mạng chuyển mạch thanh toán của Công ty Cổ phần Thanh toán Điện tử
VNPT (VNPT EPAY) lxvi
KẾT LUẬN lxxiii
ii
LỜI GIỚI THIỆU
Sự phát triển nhanh chóng các dịch vụ IP và sự bùng nổ của Internet hiện nay đã
dẫn đến một loạt sự thay đổi trong nhận thức cũng như kinh doanh của các nhà khai
thác. Giao thức IP thống trị toàn bộ các giao thức lớp 3. Hệ quả là tất cả các xu hướng

phát triển đều hướng vào IP, lưu lượng lớn nhất hiện nay trên mạng trục hầu hết đều là
lưu lượng IP, dẫn đến các công nghệ lớp dưới đều có xu hướng hỗ trợ các dịch vụ IP.
Nhu cầu thị trường cấp bách cho mạng tốc độ cao và bảo mật là cơ sở cho một loạt các
công nghệ, trong đó có MPLS/VPN.
Thông thường, mỗi công nghệ đều có ưu điểm và nhược điểm riêng của từng
công nghệ. Vì thế, việc kết hợp các công nghệ để tập hợp các ưu điểm của các công
nghệ này cũng như khắc phục các nhược điểm của từng công nghệ là hướng nghiên
cứu phát triển của các nhà cung cấp dịch vụ, việc kết hợp này nhằm đưa ra một công
nghệ tương đối hoàn thiện để cung cấp tới khách hàng. Điều này phù hợp với xu hướng
tích hợp công nghệ trong thời đại ngày nay.
Việc kết hợp giữa MPLS và VPN cũng nằm trong xu thế này. Việc kết hợp này
cho phép tận dụng các ưu điểm về chuyển mạch tiên tiến của MPLS với việc tạo ra các
mạng riêng bảo mật dưới dạng các đường hầm của VPN. Đồng thời khắc phục được
các nhược điểm của MPLS và VPN.
Xuất phát từ nhu cầu thực tế về mạng dùng riêng của các cơ quan, tổ chức,
doanh nghiệp, từ nhu cầu triển khai mạng chứng khoán và mạng giao dịch thanh toán
tại Công ty Cổ phần Thanh toán Điện tử VNPT (VNPT EPAY), bài luận văn đặt vấn
đề nghiên cứu giải pháp kết hợp MPLS và VPN, trên cơ sở đó đề xuất phương án triển
khai dịch vụ mạng riêng ảo trên nền công nghệ chuyển mạch nhãn đa giao thức áp
dụng cho thực tế.
Luận văn chia làm 4 chương và 1 phụ lục, được tóm tắt như sau:
iii
Chương 1: Nêu lên nhu cầu kết nối với các công ty lớn có nhiều chi nhánh, một
số ngành đặc thù cần độ tin cậy và bảo mật dữ liệu ở mức cao như tài chính, ngân
hàng. Trình bày tổng quan về VPN và công nghệ chuyển mạch nhãn đa giao thức. Đưa
ra mô hình VPN tổng quát dựa trên nền công nghệ MPLS trong mạng kết nối.
Chương 2: Trình bày các công nghệ mạng riêng ảo. Các thành phần và hoạt
động của MPLS. Sự kết hợp tạo thành công nghệ VPN-MPLS: Các thành phần trong
mạng VPN-MPLS, mô hình định tuyến, bảng định tuyến và chuyển tiếp VNP-MPLS.
Chương 3: So sánh MPLS/VPN với các kỹ thuật VPN truyền thống. Đưa ra khả

năng mở rộng và các mô hình MPLS/VPN nâng cao. Thiết kế các mô hình triển khai
MPLS/VPN.
Chương 4: Trình bày phương án triển khai dịch vụ mạng riêng ảo trên nền công
nghệ chuyển mạch nhãn đa giao thức phía nhà cung cấp dịch vụ và triển khai phía đầu
cuối. Cụ thể là triển khai cho mạng chứng khoán và mạng giao dịch thanh toán tại
Công ty Cổ phần Thanh toán Điện tử VNPT (VNPT EPAY).
Ph lc: Lập trình cấu hình thiết bị và tài liệu tham khảo.
iv
CHƯƠNG 1: TỔNG QUAN VỀ VPN MPLS
Xu hướng toàn cầu hóa đã buộc các doanh nghiệp, các tổ chức ngày càng phải
hiệu quả hóa hệ thống thông tin của chính mình. Các Công ty lớn, các tập đoàn xuyên
quốc gia hiện nay thường có hệ thống trụ sở, chi nhánh rải rộng trên khắp thế giới. Một
số ngành đặc thù như viễn thông, ngân hàng, tài chính…nhu cầu kết nối, giao dịch
thông tin giữa các chi nhánh, giữa Công ty và các đối tác là rất lớn. Do đó việc phải sử
dụng một mạng kết nối - trao đổi thông tin riêng (WAN) trong nội bộ Công ty có nhiều
chi nhánh là vô cùng quan trọng. Việc kết nối các Công ty, tổ chức với nhau bằng
phương thức bảo mật, tin cậy cũng có ý nghĩa quan trọng vì các thông tin trao đổi có
nhiều thông tin nhạy cảm như chiến lược kinh doanh, kế hoạch tài chính…
Để đảm bảo các thông tin truyền đi giữa các khu vực địa lý khác nhau được bảo
mật, điều kiện tiên quyết cần phải có mạng đường trục đáp ứng được các yêu cầu về
bảo mật, vì dữ liệu khi được lưu chuyển trên mạng diện rộng dễ bị lộ nhất. Do đó việc
xây dựng mạng đường trục có độ ổn định và an toàn cao luôn là yếu tố quan trọng với
các nhà cung cấp dịch vụ Internet.
Với các công nghệ mạng trước đây như Leased Line hoặc Frame Relay hoặc
VPN, để kết nối giữa các chi nhánh với Văn phòng, doanh nghiệp sẽ phải đầu tư chi
phí rất lớn về cả thiết bị mạng cũng như chi phí sử dụng. Tuy nhiên, do hạn chế về
công nghệ, công nghệ mạng truyền thống này rất phức tạp, khó quản trị, và khả năng
mở rộng mạng khó khăn.
Mạng riêng ảo VPN (Virtual Private Network) là giải pháp công nghệ cho
phép thiết lập mạng dùng riêng trên nền mạng công cộng sẵn có bằng cơ chế mã hóa,

tạo ra các “đường hầm ảo” thông suốt và bảo mật.
v
Mạng riêng ảo VPN (Virtual Private Network) là giải pháp công nghệ cho
phép thiết lập mạng dùng riêng trên nền mạng công cộng sẵn có bằng cơ chế mã hóa,
tạo ra các “đường hầm ảo” thông suốt và bảo mật.
Thông thường để sử dụng giải pháp mạng riêng ảo, doanh nghiệp sẽ tự đầu tư
thiết bị, từ mã hóa và chịu trách nhiệm về mạng của mình. Đây là điều rất khó khăn
cho các doanh nghiệp không chuyên về viễn thông và công nghệ thông tin khi quản
trị hệ thống.
MPLS được các hãng cung cấp dịch vụ quan tâm đặc biệt bởi khả năng vượt trội
trong việc cung cấp dịch vụ chất lượng cao qua mạng IP, bởi tính đơn giản, hiệu quả và
quan trọng nhất là khả năng triển khai VPN.
MPLS là một công nghệ trong mạng IP, là sự thay đổi của công nghệ IPoA (IP
over ATM) truyền thống. MPLS sử dụng chế độ tích hợp bởi vậy nó có được các ưu
điểm của cả ATM như tốc độ cao, QoS, điều khiển luồng cũng như độ mềm dẻo, khả
năng mở rộng của IP. MPLS không những giải quyết được rất nhiều vấn đề của mạng
hiện tại mà còn hỗ trợ được nhiều chức năng mới, do đó có thể nói rằng MPLS là công
nghệ mạng trục IP lý tưởng.
Những tiêu chuẩn cơ bản của MPLS đã được IETF (Internet Engineering Task
Force) ban bố dưới dạng RFC. ITU-T hiện cũng đang xúc tiến các nghiên cứu liên
vi
quan. Công nghệ này được coi là giải pháp cơ sở cho IP thế hệ tiếp theo. Điều đó đồng
nghĩa với việc cung cấp khả năng đáp ứng băng thông, QoS ngày càng cao của
Internet.
Giải pháp VPN/MPLS được ứng dụng triển khai với mục tiêu tạo ra một giải
pháp mạng an toàn bảo mật tối ưu, độ trễ thấp, và tích hợp với mọi ứng dụng dữ liệu
như Data, Voice, Video
Mô hình cung cấp dịch v VPN trên nền MPLS cơ bản như sau:
Khác với các công nghệ VPN trên Internet (PPTP, L2TP, VPN IP sec), cơ chế
“đường hầm” được thiết lập hoàn toàn trong MPLS core của của nhà cung cấp dịch

vụ. Mỗi kết nối VPN sẽ thiết lập một “đường hầm” riêng biệt bằng cơ chế gán nhãn
và chuyển tiếp gói IP (Label Swiching). Mỗi kết nối VPN chỉ nhận 01 giá trị nhãn
(Label) duy nhất do thiết bị định tuyến MPLS trong mạng cung cấp, do vậy, mỗi
“đường hầm” trong MPLS core là riêng biệt hoàn toàn. Với khả năng che giấu địa
chỉ mạng lõi (MPLS core), mọi tấn công mạng (Hacker) như DDoS, IP snoofing,
Label snoofing sẽ được giảm thiểu tối đa.
vii
Các ưu điểm nổi bật của công nghệ VPN-MPLS trong mạng đường trục:
- Đáp ứng mô hình điểm – đa điểm: Cho phép kết nối mạng riêng với chỉ
1 đường kênh vật lý duy nhất.
- Bảo mật an toàn: Bảo mật tuyệt đối trên mạng core MPLS
- Khả năng mở rộng đơn giản: Mọi cấu hình kết nối đều thực hiện tại mạng
core MPLS, thành viên mạng không cần bất kì một cấu hình nào.
- Tốc độ cao, đa ứng dng và cam kết QoS: VPN MPLS cho phép chuyển tải
dữ liệu lên tới tốc độ Gbps qua hệ thống truyền dẫn cáp quang. Không chỉ
là Data, VPN MPLS có thể triển khai đầy đủ các ứng dụng về thời gian
thực như VoIP, Video Conferencing với độ trễ thấp nhất. Cung cấp các
khả năng cam kết tốc độ và băng thông tối thiểu ( QoS).
Theo đánh giá của Diễn đàn công nghệ Ovum, VPN/MPLS là công nghệ
nhiều tiềm năng, đang bước vào giai đoạn phát triển mạnh mẽ nhờ những tính năng
ưu việt hơn hẳn những công nghệ truyền thống. Dự kiến cuối năm 2010, VPN MPLS
sẽ dần thay thế hoàn toàn các công nghệ mạng truyền thống đã lạc hậu và là tiền đề
tiến tới một hệ thống mạng băng rộng – Mạng thế hệ mới NGN ( Next Generation
Network).
Công nghệ MPLS có thể sử dụng kết hợp với nhiều công nghệ khác như IP,
ATM, tuy nhiên ứng dụng đáng chú ý nhất hiện nay là sử dụng MPLS trong mạng IP
để xây dựng mạng riêng ảo (VPN) phục vụ cho nhu cầu kết nối của các tổ chức và
doanh nghiệp. Với khả năng quản lý và mở rộng dễ dàng và dựa trên cơ sở hạng tầng
Internet hiện có, ứng dụng này đang được phát triển rất mạnh mẽ tại nhiều khối ngành:
các doanh nghiệp, các tổ chức tài chính, ngân hàng…đặc biệt là các tổ chức yêu cầu độ

tin cậy và bảo mật dữ liệu ở mức cao.
Đây chính là các cơ sở thực tế để luận văn chọn nghiên cứu giải pháp VPN-
MPLS. Nội dung chính của luận văn là nghiên cứu các mô hình triển khai VPN-MPLS,
viii
đề xuất một giải pháp thiết kế mạng VPN-MPLS khả thi, có thể ứng dụng vào thực tế.
Giải pháp thiết kế này có thể áp dụng cho các Công ty, tổ chức có nhiều chi nhánh tại
Việt nam và nước ngoài. Kết quả nghiên cứu của bài, các cấu hình chi tiết trên các
Router Cisco đã đề xuất trong bài đã được thử nghiệm thực tế và đang được triển khai
áp dụng tại nhà cung cấp dịch vụ VDC.
Giải pháp triển khai VPN-MPLS trong luận văn bao gồm hai phần: Triển khai
cho phía nhà cung cấp dịch vụ VDC và triển khai phía đầu cuối:
- Triển khai VPN-MPLS phía nhà cung cấp dịch vụ: Dựa trên thiết kế mạng
của VDC hiện tại, bài đề xuất nâng cấp mạng theo hướng sử dụng VPN-
MPLS.
- Triển khai VPN-MPLS phía đầu cuối: Bài đề xuất thiết kế mạng và kết nối
cho các công ty sử dụng VPN-MPLS. Bài đã trình bày một ứng dụng cụ thể
là thiết kế đường truyền kết nối cho các Công ty Chứng khoán phục vụ việc
nhập lệnh trực tuyến và thiết kế mạng giao dịch thanh toán cho Công ty Cổ
phần thanh toán Điện tử VNPT EPAY sử dụng VPN-MPLS.
ix
CHƯƠNG 2: CÔNG NGHỆ MPLS, VPN, VPN-MPLS
2.1. GIỚI THIỆU MPLS
Chuyển tiếp gói IP truyền thống phân tích địa chỉ IP đích chứa trong tiêu đề của
lớp mạng ở mỗi gói. Mỗi bộ định tuyến phân tích địa chỉ đích độc lập ở mỗi chặng
trong mạng. Giao thức định tuyến động hay tĩnh khi xây dựng cơ sở dữ liệu cần phải
phân tích địa chỉ IP đích tạo ra bảng định tuyến. Quá trình này gọi là định tuyến unicast
từng chặng dựa trên đích đến của các gói tin. Việc định tuyến bằng các giao thức phi
kết nối đáp ứng được nhu cầu đơn giản của khách hàng. Khi mạng Internet phát triển
và mở rộng, lưu lượng Internet trên mạng bùng nổ, phương thức chuyển tiếp gói hiện
tại tỏ ra không hiệu quả, mất tính linh hoạt. Do đó cần một kỹ thuật mới để gán địa chỉ

và mở rộng các chức năng của cấu trúc mạng dựa trên IP.
2.1.1. Mô hình định tuyến lớp mạng
Trong môi trường phi kết nối truyền thống không phải sử dụng các bản tin báo
hiệu để thiết lập kết nối, phương thức chuyển tin là chuyển từng chặng một. Tất cả các
gói tin được chuyển đi dựa trên các giao thức định tuyến lớp mạng (như giao thức tìm
đường ngắn nhất [OSPF] hay giao thức cổng biên [BGP]), hay định tuyến tĩnh. Các
router xử lí tất cả các gói tin như nhau và có quyền huỷ bỏ các gói tin mà không cần
bất kì thông báo nào cho cả bên gửi và bên nhận. Chính vì vậy, IP chỉ cung cấp các
dịch vụ đặc biệt với “hiệu quả tốt nhất” chứ không thích hợp cho các dịch vụ có yêu
cầu nghiêm ngặt về QoS. Cơ chế phi kết nối gây khó khăn trong việc điều khiển luồng
và phân bổ lưu lượng mạng làm tắc nghẽn tại các nút mạng. Các nhà cung cấp dịch vụ
Internet (ISP) xử lý bằng cách tăng dung lượng các kết nối và nâng cấp router nhưng
hiện tượng nghẽn mạch vẫn xảy ra. Lý do là các giao thức định tuyến Internet thường
hướng lưu lượng vào cùng một số các kết nối nhất định dẫn tới các kết nối này bị quá
tải trong khi một số khu vực khác tài nguyên không được sử dụng. Đây là tình trạng
phân bố tải không đồng đều và sử dụng lãng phí tài nguyên mạng. Tuy nhiên, bên cạnh
x
hạn chế như vậy, mô hình phi kết nối cũng có những ưu điểm, đó là: khả năng định
tuyến gói tin một cách độc lập và cơ cấu định tuyến, chuyển tin đơn giản, hiệu quả, nên
mô hình phi kết nối rất phù hợp với các luồng có thời gian kết nối chậm.
2.1.2. Công nghệ ATM và mô hình hướng kết nối
ATM là công nghệ chuyển mạch hướng kết nối, tức là kết nối từ điểm đầu đến
điểm cuối phải được thiết lập trước khi thông tin được gửi đi. Việc tạo kết nối mạch ảo
có thể đạt hiệu quả trong mạng nhỏ, nhưng đối với mạng lớn thì những vấn đề có thể
xảy ra: Mỗi khi một router mới đưa vào mạng lõi WAN thì mạch ảo phải được thiết lập
giữa router này với các router còn lại để đảm bảo việc định tuyến tối ưu. Điều này làm
lưu lượng định tuyến trong mạng tăng. Thông thường việc thiết lập kết nối này được
thực hiện bởi giao thức báo hiệu. Giao thức này cung cấp các thông tin trạng thái liên
quan đến kết nối cho các chuyển mạch nằm trên đường đã định tuyến. Chức năng điều
khiển chấp nhận kết nối CAC (Connection Admission Control) đảm bảo rằng các tài

nguyên liên quan đến kết nối hiện tại sẽ không được đưa vào để sử dụng cho các kết
nối mới. Điều này buộc mạng phải duy trì trạng thái của từng kết nối (bao gồm thông
tin về sự tồn tại của kết nối và tài nguyên mà kết nối đó sử dụng) tại các node có dữ
liệu đi qua. Việc lựa chọn tuyến được thực hiện dựa trên các yêu cầu về QoS đối với
kết nối và dựa trên khả năng của thuật toán định tuyến trong việc tính toán các tuyến có
khả năng đáp ứng các yêu cầu QoS đó. Do khả năng nhận dạng mạng, khả năng cô lập
từng kết nối với các tài nguyên liên quan đến kết nối trong suốt thời gian tồn tại của kết
nối mà môi trường hướng kết nối có thể đảm bảo chất lượng cho từng luồng thông tin.
Mạng sẽ giám sát từng kết nối, thực hiện định tuyến lại trong trường hợp có sự cố và
việc thực hiện định tuyến lại này cũng phải thông qua báo hiệu.
Từ cơ chế truyền tin ta thấy mạng hướng kết nối thích hợp với các ứng dụng yêu
cầu phải đảm bảo QoS một cách nghiêm ngặt và các ứng dụng có thời gian kết nối lớn.
Đối với các ứng dụng có thời gian kết nối ngắn thì môi trường hướng kết nối dường
như không thích hợp do thời gian để thiết lập kết nối cũng như tỉ lệ phần thông tin
xi
header lớn. Với các loại lưu lượng như vậy thì môi trường phi kết nối với phương thức
định tuyến đơn giản, tránh phải sử dụng các giao thức báo hiệu phức tạp sẽ phù hợp
hơn.
Như vậy cần có một phương thức chuyển mạch có thể phối hợp ưu điểm của IP
(như cơ cấu định tuyến) và của ATM (như phương thức chuyển mạch) và để thực sự
phù hợp với mạng đa dịch vụ cả hai công nghệ ATM và IP đều phải có những thay đổi,
cụ thể là đưa thêm khả năng phi kết nối vào công nghệ ATM, và khả năng hướng kết
nối vào công nghệ IP.
2.2. CÁC THÀNH PHẦN VÀ HOẠT ĐỘNG MPLS
Phương pháp chuyển mạch nhãn giúp các bộ định tuyến ra quyết định theo nội
dung nhãn tốt hơn việc định tuyến phức tạp theo địa chỉ IP đích. MPLS là một công
nghệ kết hợp đặc điểm tốt nhất giữa định tuyến lớp ba và chuyển mạch lớp hai cho
phép chuyển tải gói tin rất nhanh trong mạng lõi (core) và định tuyến tốt ở mạng biên
(edge) bằng cách dựa vào nhãn. MPLS là một phương pháp cải tiến việc chuyển tiếp
gói tin trên mạng bằng các nhãn được gắn với mỗi gói IP, tế bào ATM, hoặc frame lớp

hai. MPLS cho phép các ISP cung cấp nhiều dịch vụ khác nhau mà không cần phải bỏ
đi nền tảng cơ sở hạ tầng sẵn có. Cấu trúc MPLS có tính mềm dẻo trong sự phối hợp
với các công nghệ hiện đang sử dụng. MPLS hỗ trợ mọi giao thức lớp 2 và triển khai
hiệu quả các dịch vụ IP trên một mạng chuyển mạch IP. MPLS hỗ trợ việc tạo ra các
tuyến khác nhau giữa nguồn và đích trên một đường trục Internet, bằng việc tích hợp
MPLS vào kiến trúc mạng, các ISP có thể giảm chi phí tăng lợi nhuận, cung cấp nhiều
hiệu quả khác nhau và đạt được hiệu quả cạnh tranh cao. Đặc điểm của mạng sử dụng
công nghệ MPLS:
- MPLS chỉ nằm trên các bộ định tuyến.
- Không có thành phần giao thức phía khách hàng.
xii
- MPLS là một giao thức độc lập có thể hoạt động cùng với các giao thức khác IP,
IPX, ATM, Frame relay…
- MPLS làm đơn giản hóa quá trình định tuyến và làm tăng tính linh động của
tầng trung gian.
Điểm khác biệt quan trọng giữa MPLS và kỹ thuật WAN truyền thống là cách
gán nhãn và khả năng gán một chồng nhãn (stack of label) vào gói tin. Khái niệm
chồng nhãn mở ra những ứng dụng mới, như quản lý lưu lượng (Traffic Engineering),
mạng riêng ảo (Virtual Private Network).
2.2.1. Nhãn –Label.
Nhãn là một thực thể có độ dài ngắn và không có cấu trúc bên trong. Nhãn
không trực tiếp mã hoá thông tin của mào đầu lớp mạng như địa chỉ lớp mạng. Nhãn
được gán vào một gói tin cụ thể sẽ đại diện cho FEC (Forwarding Equivalence Class-
lớp chuyển tiếp tương đương) mà gói tin đó được ấn định.
Dạng của nhãn phụ thuộc vào phương thức truyền gói tin của lớp 2. Ví dụ các tế
bào ATM sử dụng giá trị VPI/VCI như nhãn, Frame Relay sử dụng DLCI làm nhãn.
Đối với các phương tiện gốc không có cấu trúc nhãn, một trường đệm được chèm thêm
vào để sử dụng làm nhãn. Khuôn dạng trường đệm 4 byte có cấu trúc như trong hình
1.1:
Hình 2.1: Định dạng nhãn

Ý nghĩa của các trường như sau:
- Label: có độ dài 20 bit, chứa giá trị nhãn MPLS.
xiii
- EXP: có độ dài 3 bit, biểu thị nhóm dịch vụ, tác động đến thuật toán xếp hàng
đợi và loại bỏ với gói tin.
- S : có độ dài 1 bit. MPLS cung cấp khả năng sử dụng ngăn xếp nhãn, có nghĩa
là nhiều nhãn được gắn vào một gói tin. Khi một nhãn chứa bit S có giá trị 1 thì
nó là nhãn cuối cùng, nằm ở đáy của ngăn xếp nhãn (tính theo chiều từ mào đầu
lớp 2 đến mào đầu lớp 3). Thao tác định tuyến được thực hiện dựa trên thông tin
của nhãn nằm trên đỉnh ngăn xếp.
- TTL: có độ dài 8 bit, có chức năng giống trường TTL trong mào đầu gói IP, nó
quyết định số nút trên mạng mà gói tin có thể đi qua trước khi bị loại bỏ nhằm
tránh sự quay vòng của gói tin trên mạng. Đối với các khung PPP hay Ethernet
giá trị nhận dạng giao thức được chèn thêm vào đầu mào khung tương ứng để
thông báo khung là MPLS unicast hay multicast.
Nhãn được gắn thêm vào gói tin IP khi gói đi vào mạng MPLS. Nhãn được tách
ra khi gói ra khỏi mạng MPLS. Nhãn được chèn vào giữa tiếp đầu lớp ba và tiếp đầu
lớp 2. Sử dụng nhãn trong quá trình gửi gói sau khi đã thiết lập đường đi. MPLS tập
trung vào quá trình hoán đổi nhãn. Một trong những thế mạnh của MPLS là tự định
nghĩa chồng nhãn
Chuyển tiếp gói tin trong MPLS hoàn toàn tương phản với môi trường mạng vô
hướng ngày nay, nơi mà các gói tin được phân tích theo từng chặng (hop-by-hop), tiếp
đầu lớp 3 được kiểm tra, và một quyết định chuyển tiếp độc lập được tạo ra dựa trên
thông tin được trích ra từ giải thuật định tuyến lớp mạng.
2.2.2. Mặt phẳng dữ liệu và điều khiển IP
Trong môi trường mạng IP, mặt phẳng điều khiển là tập hợp phần mềm và hoặc
phần cứng trong các bộ định tuyến, và thường được dùng để điều khiển các hoạt động
của mạng như định tuyến, khôi phục khi có lỗi Công việc của mặt phẳng điều khiển
xiv
là cung cấp các dịch vụ cho mặt phẳng dữ liệu, mà đây là mặt phẳng chịu trách nhiệm

truyền dữ liệu qua bộ định tuyến
Hình 2.2: Mặt phẳng điều khiển và mặt phẳng dữ liệu IP
Trên các giao thức Internet, các mặt phẳng điều khiển chính là các giao thức
định tuyến (OSPF, IS-IS, BGP, ) cho phép IP (trong mặt phẳng dữ liệu) có thể được
chuyển tiếp đúng. Các bản tin điều khiển được thay đổi giữa các router để thực hiện
một loạt các công việc khác nhau, bao gồm:
- Trao đổi các bản tin giữa các nút để thiết lập một sự nhất trí về các tham số định
tuyến (bao gồm cả sự đồng ý về bảo mật)
- Trao đổi các bản tin một cách tuần hoàn để biết chắc là nút láng giềng đang hoạt
động hay không
- Trao đổi các bản tin quảng bá địa chỉ và định tuyến để xây dựng các bảng định
tuyến sử dụng cho mục đích chuyển tiếp IP
Trong hình 2.2 mũi tên chỉ từ mặt phẳng điều khiển đến bảng định tuyến có
nghĩa rằng con đường định tuyến được tìm ra bởi các giao thức định tuyến được lưu trữ
xv
trong bảng định tuyến. Mũi tên hai chiều giữa bảng định tuyến và mặt phẳng dữ liệu có
nghĩa IP quản lý bảng định tuyến để thực hiện hoạt động chuyển tiếp của nó
2.2.3. Mặt phẳng điều khiển và mặt phẳng dữ liệu MPLS
Cấu trúc được chia ra thành hai thành phần riêng biệt: thành phần chuyển tiếp -
forwarding (hay còn gọi là mặt phẳng dữ liệu - data plane), và thành phần điều khiển -
control (hay còn gọi là mặt phẳng điều khiển - control plane). Thành phần chuyển tiếp
sử dụng cơ sở dữ liệu chuyển tiếp nhãn (được duy trì bởi một switch nhãn) để thực
hiện chuyển tiếp các gói dữ liệu dựa vào việc gán nhãn các gói tin. Thành phần điều
khiển chịu trách nhiệm về việc tạo và duy trì thông tin chuyển tiếp nhãn giữa một
nhóm các switch nhãn liên kết với nhau.
Hình 2.3: Mặt phẳng điều khiển và dữ liệu MPLS
Hình 2.3 biểu diễn cấu trúc và chức năng cơ bản của một node MPLS thực hiện
định tuyến IP.
xvi
- Mặt phẳng điều khiển: tại đây các giao thức định tuyến lớp 3 thiết lập các đường

đi được sử dụng cho việc chuyển tiếp gói tin. Mặt phẳng điều khiển đáp ứng cho
việc tạo ra và duy trì thông tin chuyển tiếp nhãn giữa các router chạy MPLS
(còn gọi là binding )
- Mặt phẳng dữ liệu: sử dụng cơ sở dữ liệu chuyển tiếp nhãn được duy trì bởi các
router chạy MPLS để thực hiện việc chuyển tiếp các gói tin dựa trên thông tin
nhãn.
Mỗi MPLS node chạy một hoặc nhiều giao thức định tuyến IP (hoặc có thể sử
dụng định tuyến tĩnh) để trao đổi thông tin định tuyến với MPLS node khác trong
mạng. Trong MPLS, bảng định tuyến IP được sử dụng để quyết định việc trao đổi
nhãn, tại đó các node MPLS cận kề trao đổi nhãn với nhau theo từng subnet riêng biệt
có trong bảng định tuyến. Việc trao đổi nhãn này đươc thực hiện bằng hai giao thức là
TDP và LDP. TDP (Tag Distribution Protocol) là sản phẩm của Cisco, LDP (Label
Distribution Protocol) là phiên bản của TDP nhưng do IETF tạo nên. Tiến trình điều
khiển định tuyến IP MPLS sử dụng việc trao đổi nhãn với các node MPLS để xây dựng
thành bảng chuyển tiếp nhãn (Label Forwarding Table), bảng này là cơ sở dữ liệu của
mặt phẳng dữ liệu được sử dụng để chuyển tiếp các gói tin có gắn nhãn qua mạng
MPLS.
Như vậy công việc chính của mặt phẳng điều khiển là quảng bá nhãn, địa chỉ và
gắn chúng lại với nhau-có nghĩa là kết một nhãn đến một địa chỉ. Bộ định tuyến
chuyển mạch nhãn (LSR) là một router được cấu hình để hỗ trợ MPLS. LSR sử dụng
thông tin trong bảng chuyển tiếp nhãn cơ bản (LFIB) để xử lý một gói MPLS đến, như
xác định nút kế tiếp mà sẽ nhận gói này. LFIB đối với MPLS như một bảng định tuyến
đối với IP. Nhiều giao thức có thể hoạt động ở trên mặt phẳng điều khiển của MPLS,
RSVP được mở rộng để cho phép sử dụng giao thức này để quảng bá, phân phối, và kết
nhãn cho địa chỉ IP. Sự mở rộng giao thức này gọi là RSVP-TE. Một giao thức có tên
là giao thức phân phối nhãn (LDP) là một tuỳ chọn khác cho việc thực thi trên mặt
xvii
phẳng MPLS. Chúng ta có thể mở rộng các giao thức khác như OSPF và BGP, chúng
cũng hoạt động trên mặt phẳng điều khiển đó là các giao thức OSPF-E, BGP-E. Các
bản tin điều khiển được trao đổi giữa các LSR để thực hiện một loạt các hoạt động, bao

gồm:
- Trao đổi các bản tin giữa các nút để thiết lập mối quan hệ (bao gồm cả bảo mật).
Sau khi hoạt động này hoàn thành, nút được gọi là các LSR ngang cấp (LSR
peer).
- Trao đổi các bản tin một cách tuần hoàn (gọi là bắt tay) để chắc chắn nút láng
giềng có hoạt động hay không
- Trao đổi các bản tin về nhãn và địa chỉ để kết địa chỉ với nhãn và xây dựng bảng
chuyển tiếp (LFIB), mà được sử dụng bởi mặt phẳng dữ liệu MPLS để chuyển
tiếp các luồng lưu lượng.
Sau khi các nút MPLS đã trao đổi các nhãn và địa chỉ IP cho nhau, chúng sẽ kết
các nhãn và địa chỉ với nhau. Sau đó, mặt phẳng dữ liệu của MPLS sẽ chuyển tất cả dữ
liệu nhận được bằng việc xem xét nhãn được gắn trong tiêu đề của gói. Địa chỉ IP
không được xem xét cho đến khi gói đã đi ra khỏi mạng, nhãn sau đó bị loại bỏ, và địa
chỉ IP lại được sử dụng lại trong mặt phẳng dữ liệu IP tại các nút không được cài đặt để
hoạt động MPLS để đến người dùng cuối cùng
Mọi nút MPLS phải chạy một hay nhiều giao thức định tuyến IP (hoặc dựa vào
định tuyến tĩnh) để trao đổi thông tin định tuyến IP với các node MPLS khác trong
mạng. Trong trường hợp này, mọi nút MPLS là một router IP trên mặt phẳng điều
khiển.
Trong một nút MPLS, bảng định tuyến IP được sử dụng để xác định nhãn bắt
buộc trao đổi, nơi mà nút MPLS gần kề trao đổi nhãn cho từng subnet nằm trong bảng
định tuyến IP. Nhãn bắt buộc trao đổi cho việc định tuyến IP dựa trên đích đến xác
định được thực hiện sử dụng giao thức độc quyền của Cisco phân phối nhãn (Tag
xviii
Distribution Protocol - TDP) hoặc chuẩn IETF là giao thức phân phối nhãn (Label
Distribution Protocol - LDP).
Quá trình điều khiển định tuyến IP MPLS sử dụng các nhãn trao đổi với các
node gần kề để xây dựng bảng chuyển tiếp nhãn (Label Forwarding Table - LFT), là cơ
sở dữ liệu mặt phẳng chuyển tiếp được sử dụng để chuyển tiếp các gói tin được gán
nhãn thông qua mạng MPLS.

2.3. TỔNG QUAN VỀ VPN.
Theo định nghĩa chuẩn được đưa ra bởi tổ chức Internet Engineering Task Force
(IETF), một mạng VPN là "một sự mở rộng của một mạng diện rộng - Wide Area
Network (WAN) - sử dụng mạng IP sẵn có được chia sẻ hoặc công cộng, như Internet
hoặc backbones IP ". Nói một cách đơn giản, mạng VPN là sự mở rộng của mạng
intranet riêng thông qua mạng công cộng (mạng Internet) bảo đảm kết nối tin cậy và
mang lại lợi nhuận giữa hai điểm truyền thông cuối. Mạng intranet riêng được mở rộng
với sự trợ giúp của các đường hầm (tunnel) logic riêng. Các đường hầm cho phép hai
điểm cuối trao đổi dữ liệu theo kiểu như kết nối point-to-point. Hình 2.4 mô tả một kết
nối VPN đặc trưng.
Hình 2.4: Kết nối VPN
xix
Mặc dù công nghệ tạo đường hầm là cốt lõi của các mạng VPN, các kỹ thuật và
tiêu chuẩn bảo mật tinh vi cũng được sử dụng để truyền dữ liệu quan trọng được an
toàn qua một môi trường không bảo đảm. Các kỹ thuật an toàn bao gồm:
- Mã hoá (Encryption): mã hoá là quá trình chuyển dữ liệu sang dạng chỉ có thể
được đọc bởi người nhận được chỉ định. Để đọc được thông điệp, người nhận
phải có khoá giải mã chính xác. Trong các phương pháp mã hoá truyền thống,
người gửi và người nhận sử dụng cùng một khoá để mã hoá và giải mã dữ liệu.
Ngược lại, phương pháp mã hoá khoá công cộng (public key) sử dụng hai khoá.
Đầu tiên là khoá công cộng, mà bất kỳ ai cũng có thể sử dụng trong suốt quá
trình mã hoá và giải mã. Mặc dù tên của khoá là khoá công cộng nhưng được sở
hữu bởi một thực thể. Nếu một thực thể thứ hai muốn trao đổi với thực thể chứa
khoá thì nó sử dụng khoá công cộng này. Khoá công cộng có một khoá riêng
(private key) tương ứng. Khoá riêng là riêng cho một thực thể (hoặc một người)
tạo ra nó. Như vậy, với mã hoá bằng khoá công cộng, ai cũng có thể sử dụng
khoá công cộng của họ để mã hoá và gửi thông điệp. Tuy nhiên chỉ có người sở
hữu khoá riêng cần thiết mới giải mã được thông điệp này. Trong truyền thông,
người gửi sẽ dùng khoá công cộng để mã hoá thông điệp. Người nhận phục hồi
thông điệp và giải mã thông điệp được mã hoá sử dụng khoá riêng. Data

Encryption Standard (DES) là phương pháp mã hoá khoá công cộng phổ biến
nhất.
- Chứng thực (Authentication): chứng thực là quá trình bảo đảm dữ liệu được gửi
đến người nhận được chỉ định. Hơn nữa, chứng thực cũng đảm bảo người nhận
được thông điệp toàn vẹn. Trong dạng đơn giản nhất, chứng thực yêu cầu ít nhất
là username và password để có quyền truy cập vào tài nguyên theo danh nghĩa.
Ở dạng phức tạp, chứng thực có thể dựa trên cơ sở mã hoá khoá bí mật (secret-
key) hoặc mã hoá khoá công cộng.
xx
- Cho phép (Authorization): cho phép là quá trình cho phép hoặc từ chối truy cập
tới tài nguyên đặt trong một mạng sau khi người dùng được nhận biết và được
chứng thực.
2.4. CÔNG NGHỆ MPLS/VPN.
Có hai mô hình VPN chính: VPN xếp chồng (overlay) và VPN ngang hàng
(peer-to-peer).
Mô hình VPN overlay, được sử dụng phổ biến nhất trong mạng của nhà cung
cấp dịch vụ, thiết kế và cung cấp các kênh ảo phục vụ cho bất kỳ luồng lưu lượng nào
thông qua mạng xương sống. Trong trường hợp của một mạng IP, điều này có nghĩa là
nếu công nghệ cơ sở là kết nối vô hướng (connectionless), nó cũng gần như yêu cầu
một dịch vụ kết nối có hướng (connection-oriented). Nhìn từ phía nhà cung cấp dịch
vụ, tính linh hoạt của mô hình VPN overlay sẽ bị giảm đi đáng kể khi phải quản lý và
cung cấp một số lượng lớn các kênh/đường hầm giữa các thiết bị của khách hàng. Nhìn
từ phía khách hàng, việc thiết kế giao thức cổng vào ở phía trong (Interior Gateway
Protocol) là phức tạp và cũng rất khó quản lý.
Mô hình VPN peer-to-peer thiếu sự cô lập giữa các khách hàng và sự cần thiết
về không gian địa chỉ IP liên kết giữa các thiết bị của họ.
Với việc đưa ra giao thức chuyển mạch nhãn đa giao thức MPLS, có sự kết hợp
của chuyển mạch lớp 2 với định tuyến và chuyển mạch lớp 3, nó tạo ra khả năng xây
dựng một kỹ thuật kết hợp những ưu điểm của VPN overlay (như là tính bảo mật và sự
biệt lập giữa các khách hàng) và những ưu điểm định tuyến đơn giản khi thực hiện mô

hình VPN peer-to-peer đem đến. Kỹ thuật mới được gọi là MPLS-VPN, làm cho việc
định tuyến của khách hàng đơn giản hơn và khả năng cung cấp của nhà cung cấp dịch
vụ cũng đơn giản hơn. MPLS cũng bổ sung một số những ưu điểm mới của một kết nối
gần như có hướng vào mẫu định tuyến IP, thông qua việc thiết lập các đường chuyển
mạch nhãn (LSP-Label Switched Path).
xxi
Cấu trúc MPLS/VPN cung cấp khả năng tạo ra một mạng riêng thông qua một cơ sở hạ
tầng chung. Tuy nhiên các phương pháp được dùng để cung cấp dịch vụ lại khác nhau.
2.4.1. Các thành phần trong mạng MPLS/VPN
Về cơ bản cấu trúc tổ chức của một mạng dữ liệu ứng dụng công nghệ chuyển
mạch nhãn IP/MPLS được mô tả như trong hình 2.5:
MPLS Domain
CE router
PE router
CE router
PE router
E-LSR
LSR LSR
P router 1 P router 2
C Network
(Customer Control)
P Network (Provider control)
C Network
(Customer Control)
LDP
Hình 2.5: Các thành phần trong mạng MPLS/VPN
Có nhiều thành phần được định nghĩa trong cấu trúc MPLS VPN. Các thành
phần này thực hiện những chức năng khác nhau nhưng kết hợp với nhau để cấu thành
mạng MPLS/VPN, bao gồm:
- Provider network (P-network): Mạng nhà cung cấp, mạng lõi MPLS/IP được

quản trị bởi nhà cung cấp dịch vụ.
xxii
- Provider router (P-router): Là router chạy trong mạng lõi của nhà cung cấp,
cung cấp việc vận chuyển dọc mạng backbone và không mang các route của
khách hàng.
- Provider edge router (PE-router): Router biên của mạng backbone, nó cung
cấp phân phối các route của khách hàng và thực hiện đáp ứng các dịch vụ cho
khách hàng từ phía nhà cung cấp.
- Autonomous system boundary router (ASBR-router) : Router biên trong một
AS nào đó, nó thực hiện vai trò kết nối với một AS khác. AS này có thể có
cùng hoặc khác nhà điều hành.
- Customer network (C-network): Đây là phần được khách hàng điều khiển.
- Customer edge router (CE-router): Router khách hàng đóng vai trò như là
gateway giữa mạng C và mạng P. Router CE được quản trị bởi khách hàng
hoặc có thể được nhà cung cấp dịch vụ quản lý. Các phần liên tục của mạng C
được gọi là site và được nối với mạng P thông qua router CE.
2.4.2. Mô hình định tuyến MPLS VPN
MPLS VPN giống như mô hình mạng ngang cấp với router dành riêng. Từ một
router CE, chỉ cập nhật IPv4, dữ liệu được chuyển tiếp đến router PE. CE không cần
bất kỳ một cấu hình riêng biệt nào cho phép nó tham gia vào miền MPLS VPN. Yêu
cầu duy nhất trên CE là một giao thức định tuyến (hay tuyến tĩnh(static)/tuyến ngầm
định (default)) cho phép nó trao đổi thông tin định tuyến IPv4 với các router PE. Trong
mô hình MPLS VPN, router PE thực hiện rất nhiều chức năng. Trước tiên nó phải phân
tách lưu lượng khách hàng nếu có nhiều hơn một khách hàng kết nối tới nó.
xxiii
Hình 2.6: Chức năng router PE
Mỗi khách hàng được gắn với một bảng định tuyến độc lập. Định tuyến qua
backbone thực hiện bằng một tiến trình định tuyến trong bảng định tuyến toàn cục.
Router P cung cấp chuyển mạch nhãn giữa các router biên của nhà cung cấp và không
biết đến các tuyến VPN. Các router CE trong mạng khách hàng không nhận biết được

các router P và do đó cấu trúc mạng nội bộ của mạng nhà cung cấp trong suốt đối với
khách hàng.
2.4.3. Bảng định tuyến và chuyển tiếp VPN
Mỗi VPN được kết hợp với một bảng định tuyến - chuyển tiếp VPN (VRF-
Virtual Routing and Forwarding tables) riêng biệt. VRF cung cấp các thông tin về mối
quan hệ trong VPN của một site khách hàng khi được nối với PE router. Bảng VRF
bao gồm thông tin bảng định tuyến IP (IP routing table), bảng CEF (Cisco Express
Forwarding), các giao diện của forwarding table; các quy tắc, các tham số của giao
thức định tuyến Mỗi site chỉ có thể kết hợp với một và chỉ một VRF. Các VRF của
site khách hàng mang toàn bộ thông tin về các “tuyến” có sẵn từ site tới VPN mà nó là
thành viên.
xxiv
Đối với mỗi VRF, thông tin sử dụng để chuyển tiếp các gói tin được lưu trong
các IP routing table và CEF table. Các bảng này được duy trì riêng rẽ cho từng VRF
nên nó ngăn chặn được hiện tượng thông tin bị chuyển tiếp ra ngoài mạng VPN cũng
như ngăn chặn các gói tin bên ngoài mạng VPN chuyển tiếp vào các router bên trong
mạng VPN.
VRF chứa một bảng định tuyến IP tương ứng với bảng định tuyến IP toàn cục,
một bảng CEF, liệt kê các giao tiếp tham gia vào VRF, và một tập hợp các nguyên tắc
xác định giao thức định tuyến trao đổi với các router CE. VRF còn chứa các định danh
VPN (VPN identifier) như thông tin thành viên VPN.
xxv

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×