ĐỀ TÀI LAYER 2 VPN

5N5V1 Page 1

ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH
TRƯỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN
KHOA ĐIỆN TỬ - VIỄN THÔNG
BỘ MÔN VIỄN THÔNG VÀ MẠNG

BÁO CÁO ĐỀ TÀI CÔNG NGHỆ MẠNG
ĐỀ TÀI:
LAYER 2 VPN

GVHD: Trần Thị Thảo Nguyên
Nhóm SV thực hiện: 5n5v1
1. Lê Hoài Phước 0920098
2. Nguyễn Thị Bích Thủy 0920123
3. Trương Văn Luân 0920198
4. Phạm Thị Thùy Nga 0920204
5. Hoàng Đình Thái 0920221





ĐỀ TÀI LAYER 2 VPN

5N5V1 Page 2

PHẦN 1: MẠNG RIÊNG ẢO (Virtual Private network - VPN)
I. Khái quát về mạng riêng ảo (VPN):

Mạng riêng ảo (Virtual Private Network) được định nghĩa là mạng mà khách hàng
có thể kết nối nhiều vị trí được triển khai trên một nền tảng cơ sở hạ tầng, chia sẻ với
cùng một mức độ truy cập (same access) hoặc chính sách bảo mật (security policies).
Mạng riêng ảo hoạt động trên nền giao thức IP đang ngày càng trở nên phổ biến.
Công nghệ này cho phép tạo ra một mạng riêng thông qua cơ sở hạ tầng chung của nhà
cung cấp dịch vụ Internet (ISP). Các kĩ thuật đảm bảo an ninh khác nhau đã được áp dụng
để bảo vệ thông tin của người sử dụng khi trao đổi trong một môi trường chia sẻ như
Internet.
Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạng chung (thường là
Internet) để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa.
Thay cho việc sử dụng kết nối thực, chuyên dùng như đường leased-line, mỗi VPN sử
dụng các kết nối ảo được dẫn đường qua Internet từ mạng riêng của các công ty tới các
site hay các nhân viên từ xa. Để có thể gửi và nhận dữ liệu thông qua mạng công cộng mà
vẫn bảo đảm tính an toàn và bảo mật, VPN cung cấp các cơ chế mã hoá dữ liệu trên
đường truyền tạo ra một đường ống bảo mật giữa nơi nhận và nơi gửi (Tunnel) giống như
một kết nối point-to-point trên mạng riêng. Để có thể tạo ra một đường ống bảo mật đó,
dữ liệu phải được mã hoá hay dùng cơ chế giấu đi, chỉ cung cấp phần đầu gói dữ liệu
(header) là thông tin về đường đi cho phép nó có thể đi đến đích thông qua đường mạng
chung một cách nhanh chóng. Dữ liệu được mã hoá một cách cẩn thận, do đó nếu các
packet bị bắt lại trên đường truyền chung thì cũng không thể đọc được nội dùng này vì
không có khoá để giải mã. Liên kết với dữ liệu được mã hoá và đóng gói được gọi là kết
nối VPN. Các đường kết nối VPN thường được gọi là đường ống VPN (Tunnel VPN).
ĐỀ TÀI LAYER 2 VPN

5N5V1 Page 3


II. Phân loại VPN:
Có nhiều cách phân loại VPN như:
 Phân loại theo layer mô hình OSI:

 Layer 2 VPN
 Layer 3 VPN
 Phân loại theo chức năng:
 Site-to-site VPN
 Remote access VPN
 Phân loại theo mô hình:
 Peer to peer
 Overlay
 Phân loại theo phạm vi ứng dụng:
 Phạm vi sử dụng service provider, enterprise
 Phân loại theo giao thức:
 Giao thức IPSEC, SSL VPN, L2TP
ĐỀ TÀI LAYER 2 VPN

5N5V1 Page 4

PHẦN 2: LAYER 2 VPN
I. Nguyên nhân ra đời:
Như đã khái quát ở trên, mạng riêng ảo được xây dựng bằng cách sử dụng đường
dây thuê bao để cung cấp kết nối giữa các địa điểm khách hàng khác nhau. Một khách
hàng thuê Leased Line từ nhà cung cấp dịch vụ. Đường dây thuê bao được cài đặt giữa
các site khách hàng yêu cầu kết nối thông với nhau. Đường này dành riêng cho khách
hàng đó, những người khác không được chia sẻ.
Dựa trên nền tảng VPN, công nghệ Layer 3VPN (viết tắt L3VPN) ra đời. L3VPN
là dịch vụ VPN hoạt động dựa vào các thông tin lớp 3 của mô hình OSI, nhà cung cấp
dịch vụ sẽ chuyển tiếp các gói tin của khách hàng dựa vào các thông tin lớp 3. Kĩ thuật
VPN lớp 3 sử dụng phổ biến nhất là công nghệ VPN dựa trên IP Security (IPsec), MPLS
VPN Border Gateway Protocol (BGP) VPN. Trong L3VPN, các nhà cung cấp dịch vụ
cung cấp một đường dây thuê bao hoặc kết nối PVC giữa khách hàng và điểm gần nhất
về sự hiện diện (POP) trên mạng của nhà cung cấp dịch vụ.


Hình 2: Mô hình BGP/MPLS VPN
ĐỀ TÀI LAYER 2 VPN

5N5V1 Page 5


Với L3VPN, khách hàng dựa vào các nhà cung cấp dịch vụ Internet (ISP) IP /
MPLS dựa trên xương sống cho giao tiếp site–to-site riêng tư và an toàn. Công nghệ
L3VPN thật sự là một bước tiến cho các nhà cung cấp dịch vụ trong việc triển khai mô
hình VPN tới các doanh nghiệp. Tuy nhiên, L3VPN cũng có một vài hạn chế. Ví dụ: IP là
giao thức duy nhất được hỗ trợ trên mạng MPLS Layer 3 VPN. Về mặt tốc độ truyền dữ
liệu cũng như bảo mật thông tin cho khách hàng còn một số hạn chế vì L3VPN phải phân
tích thông tin đến lớp 3 mới có thể chuyển gói tin đi tiếp Tốn nhiều thời gian hơn để xử
lý gói tin.
Vì một số lý do được nêu ở trên dẫn đến sự ra đời của Layer 2 VPN (viết tắt
L2VPN). Đây là công nghệ VPN hoạt động dựa vào các thông tin lớp 2 của mô hình OSI.
Công nghệ L2VPN ra đời và nhanh chóng trở nên phổ biến bởi những ưu điểm nổi bậc so
với L3VPN đó là giải quyết được các vấn đề về truyền dữ liệu và tính bảo mật cao mà
L2VPN mang lại. Ngoài ra, L2VPN còn hỗ trợ các giao thức ứng dụng cơ bản khác IP, có
tính linh hoạt cao, có khả năng mở rộng băng thông, dễ dàng trong việc bảo trì và khá
phổ biến với Ethernet.
II. Khái quát Layer 2 VPN:
Kể từ khi được giới thiệu vào những năm 1990, Frame relay đã thống trị công nghệ
VPN. Frame Relay cho phép nhà cung cấp dịch vụ để cung cấp các kết nối cơ bản cho
khách hàng của họ như với đường thuê bao riêng, ngoại trừ thay vì trích lập dự phòng
mỗi đường chuyên dụng cho mỗi khách hàng và phân bố mạch ảo cho mỗi khách hàng
giữ lưu lượng và phân bố mạch ảo cho mỗi khách hàng riêng biệt.
Các mạch ảo được gọi là mạch ảo vĩnh viễn (PVC). Bằng cách cấu hình PVC, liên
kết dữ liệu nhận dạng kết nối bằng DLCI liên kết các thiết bị khác nhau. Và được xây

dựng một đường hầm có lưu lượng truy cập của khách hàng theo một con đường chuyên
dụng thông qua mạng lưới các nhà cung cấp dịch vụ.
ĐỀ TÀI LAYER 2 VPN

5N5V1 Page 6

Nhà cung cấp dịch vụ chỉ đơn thuần cung cấp các nối ở layer 2 và không tham gia
vào Layer 3 khía cạnh của lưu lượng của khách hàng (L2VPN).

Hình 3: Mô hình L2VPN
Lợi thế của Layer 2 VPN là sự độc lập mà khách hàng có điều khiển và kiểm soát
các thiết lập layer 3 dùng để định tuyến. Frame Relay độc lập của tất cả 3 giao thức Layer
đã làm cho nó một sự lựa chọn phổ biến cho các kết nối LAN-to-LAN và mạng nội bộ
thông tin liên lạc.
Các nhà cung cấp dịch vụ cũng cung cấp mạng riêng ảo dựa trên ATM như là một
thay thế cao hơn tốc độ Frame Relay. Hiện nay, hầu hết các nhà cung cấp dịch vụ cung
cấp Layer 2 VPN bằng cách sử dụng Frame Relay, ATM, hoặc kết hợp cả hai.
Nhóm em xin đi sâu vào phân tích Layer 2 VPN trên nền MPLS.
III. Khái quát Layer2 VPN over MPLS:
1. Giới thiệu về MPLS:
MPLS là sự kết hợp của kỹ thuật chuyển mạch lớp 2 và kỹ thuật định tuyến lớp 3.
Mục tiêu chính của MPLS là tạo ra một cấu trúc mạng mềm dẻo để cung cấp cho đặc tính
mở rộng và ổn định của mạng.
ĐỀ TÀI LAYER 2 VPN

5N5V1 Page 7

Trong mạng MPLS, các gói tin vào được gán nhãn bởi một bộ định tuyến chuyển
mạch nhãn ở biên (Edge LSR). Các gói tin được gửi theo một đường chuyển mạch nhãn
(LSP). LSP là con đường mà mỗi LSR sử dụng để chuyển tiếp dựa trên các đối xử riêng

biệt cho từng nhãn. Tại mỗi chặng, LSR gỡ bỏ các nhãn có sẵn và thêm vào một nhãn
mới, sau đó thông báo cho chặng kế tiếp biết để chuyển tiếp gói tin. Nhãn sẽ được gỡ bỏ
tại LSR biên và gói tin sẽ tiếp tục được chuyển tiếp đến đích cần đến.
2. Hoạt động của MPLS:
Nguyên lý hoạt động chủ yếu trong công nghệ MPLS là thực hiện gắn nhãn cho
các loại gói tin cần chuyển đi tại các bộ định tuyến nhãn biên LER, sau đó các gói tin này
sẽ được trung chuyển qua các bộ định tuyến chuyển mạch nhãn đường LSR.
3. Layer 2 VPN over MPLS:
Công nghệ L2VPN là công nghệ VPN hoạt động dựa vào các thông tin lớp 2 của
mô hình OSI. Dữ liệu được đóng gói ở lớp 2, sau đó được mang đi bởi kỹ thuật MPLS
trong mạng của nhà cung cấp dịch vụ, và cuối cùng chuyển ngược lại về định dạng lớp 2
ở phía Site nhận. Sự riêng tư và bảo mật của MPLS L2VPN cũng được đảm bảo như
trong ATM hay Frame Relay VPN.
Ở L2VPN, các Router PE kết nối với từng CE phải chọn chính xác Virtual Circuit
(VC) để gửi dữ liệu đi. Chúng nhận dữ liệu, gửi nó qua mạng của nhà cung cấp tới Router
PE đã kết nối với Site nhận. Router PE chỉ xử lý các câu route của khách hàng đến lớp 2
và không cần phải lưu lại chúng. Nó chỉ cần được cấu hình để gửi thông tin đến đúng
đường hầm (Tunnel) trong mạng lõi MPLS. Nhà cung cấp chỉ cần biết có bao nhiêu lưu
lượng dữ liệu L2VPN cần được mang đi.
Hình 4 là sơ đồ phân loại L2VPN. Các dịch vụ có thể vận chuyển qua mạng lõi IP
hoặc MPLS. L2VPN được phân thành Point-to-Point Virtual Private Wire Service
(VPWS) và Multipoint Virtual Private LAN Service (VPLS).
Mô hình đầu tiên là mô hình Point-to-Point VPWS được chia ra thành các kĩ thuật
như Frame Relay, ATM và Ethernet, dựa vào các Pseudowire (VC) riêng biệt giữa hai
ĐỀ TÀI LAYER 2 VPN

5N5V1 Page 8

điểm đầu cuối lớp 3. Nó cung cấp các kết nối lớp 2 cho Frame Relay DLCI, ATM PVC,
Leased Line và Ethernet. Trong trường hợp Ethernet VPWS ta có hai loại dịch vụ là

Ethernet Relay Service (ERS) và Ethernet Wire Service (EWS). ERS sử dụng Ethernet
Virtual LAN (VLAN) để vận chuyển thông tin. EWS sử dụng Port-based, thông tin được
vận chuyển qua Pseudowire, và không quan tâm đến VLAN.
Mô hình thứ hai là dịch vụ Multipoint VPLS, thường chỉ hỗ trợ Ethernet, cung cấp
việc học địa chỉ MAC (Media Access Control) và nhân đôi gói tin. Nó vẫn dựa vào sự
thiết lập Pseudowire giữa các thiết bị PE, nhưng thêm vào việc học địa chỉ MAC, việc
chuyển tiếp dựa vào địa chỉ MAC lớp 2, làm cho nhà cung cấp hoạt động như một Switch
LAN.
Hình 4: Sơ đồ phân chia L2VPN
3.1. Virtual Private Wire Service (VPWS):
Một VPWS L2VPN là một tập hợp các đường ảo (VC) hoặc các Pseudowire lớp 2.
VPLS thực hiện tích hợp các dịch vụ lớp 2 và lớp 3 đã tồn tại dưới dạng Point-to-Point
qua đám mây IP/MPLS của nhà cung cấp dịch vụ.
ĐỀ TÀI LAYER 2 VPN

5N5V1 Page 9

Có 2 kĩ thuật Pseudowire được hỗ trợ bởi hệ thống của Cisco: AToM, là kĩ thuật
Pseudowire dùng cho mạng lõi MPLS và L2TPv3 là kĩ thuật Pseudowire dùng cho mạng
IP thuần túy. Cả AToM và L2TPv3 đều hỗ trợ Frame Relay, ATM, HDLC và Ethernet
qua mạng lõi là MPLS, dùng kĩ thuật Pseudowire là AToM. Đầu tiên chúng ta sẽ tìm hiểu
về kĩ thuật Pseudowire dùng trong mạng MPLS, đó là kĩ thuật AToM.
3.1.1. Any Transport over MPLS (AToM):
AToM ra đời sau thành công vang dội của công nghệ MPLS VPN. MPLS VPN là
giải pháp mạng riêng ảo nhằm vận chuyển luồng dữ liệu IP của khách hàng trên một
backbone chia sẻ dịch vụ MPLS của nhà cung cấp. Tuy nhiên, việc thuê kênh riêng kết
nối ATM và Frame Relay khiến cho nhà cung cấp dịch vụ tốn kém khá nhiều tiền của.
Nhiều khách hàng thuê các link ảo trên để vận chuyển traffic của họ thông qua cơ sở hạ
tầng của nhà cung cấp dịch vụ. Các router khách hàng đấu nối với nhau hoặc với các thiết
bị mạng khác ở mỗi site thông qua Leased Lines hoặc kênh ảo ATM hay Frame Relay.

Nhà cung cấp dịch vụ cung cấp cho khách hàng một mạng riêng biệt để vận
chuyển traffic lớp 2. Tuy router khách hàng giao tiếp nhau ở lớp 3, nó lại không giao tiếp
với thiết bị của nhà cung cấp dịch vụ ở lớp này.
Với sự thành công của MPLS VPN, nhà cung cấp dịch vụ đã có sẵn một backbone
MPLS nhưng bên cạnh đó vẫn thích hợp với việc vận chuyển traffic lớp 2. AToM cung
cấp giải pháp nhằm tận dụng MPLS backbone để vận chuyển traffic lớp 2 mà không cần
phải xây dựng cùng lúc hai mạng chạy song song. Vì thế, nhà cung cấp dịch vụ có thể
cung cấp những dịch vụ đã có sẵn như ATM, Frame Relay thông qua backbone MPLS
mà chỉ sử dụng duy nhất một cơ sở hạ tầng. Từ đó giúp các nhà cung cấp dịch vụ tiết
kiệm được nhiều chi phí hơn.
AToM tạo ra VPN ở lớp 2 và đôi khi được xem như là L2VPN. Nó chỉ được thiết
lập ở những router biên của nhà cung cấp dịch vụ. AToM nói một cách ngắn gọn, là công
nghệ cung cấp dịch vụ điểm - điểm lớp 2 (layer 2 point-to-point service) và còn được biết
đến như là dịch vụ đường dây ảo (VPWS) truyền tải qua MPLS backbone. Vì traffic vận
ĐỀ TÀI LAYER 2 VPN

5N5V1 Page 10

chuyển là các gói được gán nhãn, công nghệ này còn được gọi là mạng chuyển mạch gói
MPLS PSN.
Về phía khách hàng, họ sẽ khá lưỡng lự khi chuyển sang MPLS VPN vì thứ nhất
là phải chuyển đổi cơ cấu hạ tầng cũ, điều mà họ không muốn vì họ đã quen với cách
kiểm soát nó và cách nó được xây dựng từ ban đầu, thứ hai là vì một số các thiết bị khác
chạy những giao thức mà không thể vận chuyển qua IP vì MPLS VPN là công nghệ cung
cấp dịch vụ cho việc tạo ra các VPN ở lớp 3. Nhưng việc chuyển đổi từ một mạng truyền
thống sử dụng ATM hay Frame Relay qua mạng sử dụng AToM là hoàn toàn trong suốt
đối với khách hàng. Nghĩa là khách hàng sẽ không cần phải thay đổi bất cứ điều gì trên
các router của họ. Kiểu đóng gói dữ liệu lớp 2 vẫn được giữ nguyên và không cần phải
chạy bất cứ giao thức định tuyến IP nào với router biên của nhà cung cấp dịch vụ như
trong giải pháp MPLS VPN. Đây chính là điểm mạnh của AToM.

a. Pseudowire Label Blinding:
Một AToM Pseudowire về bản chất bao gồm 2 LSP đơn hướng. Mỗi LSP được
định nghĩa bởi một nhãn Pseudowire, còn gọi là nhãn VC. Nhãn Pseudowire là một phần
của ngăn xếp nhãn, dùng để đóng gói gói tin lớp 2 qua AToM Pseudowire.
Quá trình phân phối nhãn được định nghĩa trong giao thức LDP để phân phối và
quản lý nhãn Pseudowire. Để liên kết Pseudowire với một kết nối lớp 2 cụ thể, ta cần một
cách để trình bày kết nối lớp 2 đó. Mà LDP chỉ định nghĩa FEC lớp 3. Vì vậy,
Pseudowire Emulation over MPLS đã đưa ra một định nghĩa LDP mở rộng – Pseudowire
ID FEC Element. Hình diễn tả một Pseudowire ID FEC Element với các thành phần sau:
ĐỀ TÀI LAYER 2 VPN

5N5V1 Page 11


Hình 5: Cấu trúc Pseudowire ID Element.
Pseudowire ID FEC: Octet đầu tiên có giá trị 128, để xác định nó là Pseudowire
ID Element.
Control Word Bit (C bit): là đại diện cho 4-byte tùy chọn Control Word nằm ở
giữa ngăn xếp nhãn MPLS và dữ liệu lớp 2 trong gói tin Pseudowire. Control Word mang
các dữ liệu thông tin lớp 2 riêng biệt. C-bit có hai giá trị là “0” hoặc “1”.
Pseudowire Type: Là trường 15-bit thể hiện loại Psedowire. Giá trị Pseudowire
Type của Ethernet là 0x0005.
Pseudowire Information Length: Là chiều dài của trường Pseudowire ID và
Interface Parameters ở dạng Octet. Khi chiều dài được thiết lập là “0”, FEC Element này
đại diện cho tất cả các Pseudowire sử dụng Group ID cụ thể.
Group ID: Là trường có giá trị tùy ý, 32-bit được gán cho một nhóm Pseudowire.
Pseudowire ID: còn được biết như là VC ID, là 32-bit Identifier để phân biệt một
Pseudowire với các Pseudowire khác. Để kết nối hai Attachment Circuit qua một
Pseudowire, ta cần phải liên kết chúng với cùng một Pseudowire ID cụ thể.
ĐỀ TÀI LAYER 2 VPN


5N5V1 Page 12

Interface Parameters: Là trường có độ dài không cố định cung cấp thông tin cụ
thể về Attachment Circuit, như Interface MTU, miêu tả Interface,… Mỗi Interface
Parameter sử dụng một mã TLV, được mô tả như hình sau:

Hình 6: Cấu trúc Interface Parameter Encoding
Mặc dù LDP cho phép Multiple FEC Element mã hóa thành một FEC TLV, nhưng
chỉ có một FEC Element – Pseudowire ID, FEC Element – tồn tại trong mỗi FEC TLV
trong ứng dụng Pseudowire Emulation over MPLS.
b. Control Word:
Trong quá trình thiết lập Pseudowire, bản tin Label Mapping được gửi đi ở cả hai
hướng. Để bật Pseudowire, ta cần phải thiết lập một vài thông số Interface Parameter để
đảm bảo sự thống nhất giá trị giữa hai Router PE. Khi một trong các giá trị này không
khớp nhau, việc sửa chữa vấn đề đòi hỏi sự can thiệp bằng tay hoặc phải thay đổi cấu
hình. Giao thức không thể tự động sửa chữa lỗi này. Ví dụ khi Interface MTU của hai
Router PE khác nhau, Pseudowire giữa hai Router này sẽ không được thiết lập.
Ta có thể dùng giá trị Control Word trong các bản tin để đảm bảo sự thống nhất về
các thông số Interface Parameter giữa hai Router PE. Control Word có độ dài 32-bit,
được đại diện bởi bit C trong cấu trúc Pseudowire ID FEC Element. Nếu bit C được bật
lên “1”, Control Word sẽ được đóng gói thêm trong mỗi gói tin Pseudowire và mang
thông tin gói như là Sequence Number, Padding Length, và Control Flag.
ĐỀ TÀI LAYER 2 VPN

5N5V1 Page 13


Hình 7: Cấu trúc AToM Control Word
Đối với loại thông tin lớp 2 được mang qua Pseudowire như Frame Relay DLCI

và ATM AAL5, Control Word bắt buộc phải có trong đóng gói Pseudowire. Có nghĩa là
ta phải thiết lập bit C trong Pseudowire ID FEC Element là “1” trong các bản tin Label
Mapping. Khi Router nhận một bản tin Label Mapping mà đòi hỏi bắt buộc phải có
Control Word nhưng bit C lại có giá trị là “0”, Router sẽ gửi bản tin Label Release thông
báo về trạng thái không hợp lệ của bit C. Trong trường hợp này, Pseudowire giữa hai
Router không được thiết lập.
Đối với những loại thông tin lớp 2 khác, ví dụ như Ethernet, Control Word là tùy
chọn. Nếu một Router PE không thể gửi và nhận tùy chọn Control Word, hoặc có khả
năng gửi và nhận nhưng không có nhu cầu, bit C trong bản tin Label Mapping sẽ được
thiết lập là “0”. Ngược lại, nếu một Router PE có thể gửi, nhận và có nhu cầu Control
Word, bit C sẽ được bật lên “1”.
c. Thiết lập AToM Psedowire:
AToM là một giải pháp vận chuyển các Frame lớp 2 (Ethernet, ATM, Frame
Relay, HDLC, PPP) thông qua MPLS backbone, sử dụng kiến trúc dây nối ảo
(Pseudowire). Dây nối ảo mô phỏng hoạt động giống như một dây thật để vận chuyển
traffic lớp 2 từ biên này tới biên kia (giữa 2 router biên của nhà cung cấp dịch vụ) qua
mạng backbone chuyển mạch gói MPLS. Dây nối ảo sử dụng đường hầm. Trong AToM,
đường hầm này chính là LSP. Một đường hầm có thể có nhiều Pseudowire.
ĐỀ TÀI LAYER 2 VPN

5N5V1 Page 14

Hình 8: Đường hầm có nhiều Pseudowire
Có 2 loại LSP Session liên quan đến việc thiết lập AToM Pseudowire, đó là
Nontargeted LDP Session và Targeted LDP Session.
Nontargeted LDP Session: được thiết lập thông qua LDP Basic Discovery giữa
các Router PE và một Router P kết nối trực tiếp với nó, được dùng để phân phối nhãn
đường hầm (Tunnel Label). Việc quản lý và phân phối các nhãn đường hầm gắn liền với
việc triển khai mô hình mạng MPLS.
Targeted LDP Session: được thiết lập thông qua LDP Extended Discovery giữa

các Router PE. Nó được gọi là Targeted LDP Session bởi vì chúng gửi định kì các bản tin
Targeted Hello cho nhau. Targeted LDP Session phân phối các nhãn Pseudowire. Đối với
Cisco IOS Soflware, AToM sử dụng việc điều khiển các nhãn độc lập và sử dụng nhãn tự
do để nâng cao hiệu suất và thời gian hội tụ trên Pseudowire Signaling.

Hình 9: Mô hình triển khai AToM.

ĐỀ TÀI LAYER 2 VPN

5N5V1 Page 15

Quá trình thiết lập một AToM Pseudowire bao gồm các bước:
Bước 1: Một Pseudowire (dây nối ảo) được tạo ra ứng với một Attachment Circuit
(AC) trên Router PE1. Các Pseudowire sẽ nối những Attachment Circuits trên những
Router biên của nhà cung cấp dịch vụ với nhau. AC có thể là bất cứ một mạch vật lý hay
mạch ảo nào dùng để kết nối một CE vào một PE, ví dụ như ATM VPI/VCI, Frame
Relay DLCI, HDLC link, Ethernet port, VLAN, kết nối PPP trên một interface vật lý,
một phiên PPP từ một đường hầm của L2TP hay một MPLS LSP.
Bước 2: Router PE1 khởi tạo một Targeted LDP Session tới Router PE2 nếu kết
nối này chưa được thiết lập. Cả hai Router PE đều nhận được bản tin LDP Keepalive của
nhau và hoàn thành việc thiết lập phiên kết nối. Chúng đã sẵn sàng để trao đổi các
Pseudowire Label Blinding.
Bước 3: Khi trạng thái của Attachment Circuit trên Router PE1 chuyển sang “up”,
Router PE1 tạo ra một nhãn Pseudowire cục bộ tương ứng với một Pseudowire ID đã
được gán riêng cho Pseudowire đó.
Bước 4: Router PE1 mã hóa nhãn Pseudowire cục bộ thành Label TLV và
Pseudowire ID thành FEC TLV. Sau đó nó gửi thông điệp này tới Router PE2 trong bản
tin Label Mapping.
Bước 5: Router PE2 thực hiện lại bước 1 đến bước 4 một cách độc lập.
Bước 6: Khi Router PE1 nhận được bản tin Label Mapping từ Router PE2, nó tiến

hành giải mã nhãn Pseudowire và Pseudowire ID từ Label TLV và FEC TLV. Router
PE2 cũng thực hiện tương tự.
Bước 7: Sau khi Router PE1 và Router PE2 trao đổi nhãn Pseudowire và các
Interface Parameters thuộc một Pseudowire ID cụ thể, Pseudowire đã được thiết lập
tương ứng với Pseudowire ID đó.
ĐỀ TÀI LAYER 2 VPN

5N5V1 Page 16

Nếu một Attachment Circuit trên một Router PE bị “down”, một bản tin Label
Withdraw được gửi tới Router PE còn lại để rút lại nhãn Pseudowire mà nó đã quảng bá
trước đó.
Chú ý: Trong quá trình thiết lập, các PE router sẽ trao đổi các thông tin cần thiết
để thống nhất về dịch vụ sẽ thực hiện. Ví dụ như phải thống nhất về phương thức đóng
gói và công việc phải làm nếu chúng nhận được các frame không đúng thứ tự.
Khi có nhiều khách hàng đấu nối vào PE, mô hình tổng quát hơn như sau:

Hình 10: Mô hình mở rộng của Pseudowire
Kết quả của dịch vụ AToM là các router biên của khách hàng (CE) hoặc các switch biên
của khách hàng sẽ thấy bản thân chúng được kết nối trực tiếp với những con router cùng
loại khác ở lớp 2 mặc dù thực tế chúng bị chia cắt bởi Pseudowire. Ví dụ như nếu các con
router hay switch CE chạy CDP (Cisco Discovery Protocol), chúng sẽ thấy nhau như là
những CDP neighbor. Nếu chúng là router, giữa chúng có thể trực tiếp hình thành một
láng giềng trong giao thức định tuyến bởi vì router CE giống như được kết nối trực tiếp ở
lớp 2.
ĐỀ TÀI LAYER 2 VPN

5N5V1 Page 17

3.1.2. Kĩ thuật Ethernet over MPLS (EoMPLS):

EoMPLS là giải pháp kết nối L2VPN Point-to-Point. Nó là một kĩ thuật đường
hầm cho phép nhà cung cấp tạo đường hầm cho dữ liệu lớp 2 mặc dù mạng lõi là mạng
MPLS lớp 3. EoMPLS cho phép các Frame Ethernet lớp 2 được chuyển qua mạng lõi
MPLS. Vì vậy, các Router PE phải có khả năng chuyển mạch lớp 2.
Công nghệ L2 Tunneling cho phép ánh xạ các VLANs đến 1 tunnel trong miền
MPLS. Một dịch vụ L2 không yêu cầu khách hàng chạy IP (kết nối VPN không yêu cầu
định nghĩa qua địa chỉ IP). Lưu lượng khách hàng được ánh xạ đến 1 VC (vd: nhãn) dựa
trên 802.1Q VLAN trên nền MPLS core lớp 3, lưu lượng khách hàng được đóng gói và
vận chuyển dựa trên kỹ thuật L2 Tunneling đây chính là phương pháp đóng gói và ánh xạ
định nghĩa EoMPLS.
Đóng gói EoMPLS: Dựa trên Martini hoặc Vkompella IETF EoMPLS draft, thực
hiện kết nối P2P, Router PE đóng gói VLAN packet và định tuyến nó qua mạng MPLS
đường trục.
a. Đặc điểm EoMPLS:
Đặc điểm chức năng: Không tìm kiếm địa chỉ MAC đích lớp 2, không học địa chỉ
lớp 2 mà các VLAN riêng biệt hoặc gói tin Ethernet được ánh xạ đến các EoMPLS VC
và định đường hầm qua mạng MPLS.
Đặc điểm dịch vụ:
 Các port vật lý chuyên dụng cho mỗi khách hang
 Có thể cấu hình nhiều EoMPLS VCs trên một port vật lý
 Dựa trên draft Martini, EoMPLS là kết nối P2P
 Dựa trên draft Vkompella, EoMPLS là kết nối P2MP
 Mỗi EoMPLS VC đi qua cùng LSP
ĐỀ TÀI LAYER 2 VPN

5N5V1 Page 18

b. Ngăn xếp nhãn Ethernet (Ethernet Label Stack)
Hầu hết các EoMPLS đều sử dụng hai mức nhãn. Có nghĩa là trong ngăn xếp nhãn
của gói tin Ethernet được vận chuyển giữa Router Ingress và Egress PE chứa đựng hai

nhãn: nhãn ở trên (hay nhãn bên ngoài) và nhãn ở dưới (hay nhãn bên trong). Nhãn bên
ngoài cũng được biết như là nhãn đường hầm hay nhãn IGP, để định tuyến gói tin đi qua
mạng lõi MPLS. Nhãn bên trong được biết như là nhãn VC hay nhãn Pseudowire, được
xác định bởi Router Egress PE. Nhãn VC xác định Attachment Circuit kết nối với Router
Egress PE. Router Egress PE gán kết Interface ngõ ra lớp 2 với VC ID đã được cấu hình
và gửi nhãn VC này tới Router Ingress PE bằng cách sử dụng Targeted LDP Session.
Hình 11 miêu tả cấu trúc đóng gói hai mức nhãn trong ngăn xếp nhãn của định dạng
Frame EoMPLS.


Hình 11: Cấu trúc dạng Frame EoMPLS
Nhãn VC bên dưới và nhãn Tunnel bên trên tạo thành 2 mức nhãn trong ngăn xếp
nhãn. Router Ingress PE thiết lập giá trị của trường Time to Live (TTL) của nhãn VC là
2, và giá trị TTL của nhãn Tunnel là 255. Để xác định nhãn VC nằm ở bên dưới của ngăn
xếp nhãn, Router Ingress PE thiết lập Bit End-of-Stack của nhãn VC giá trị là “1”.
c. Pseudowire trong EoMPLS:
EoMPLS hoạt động ở hai chế độ:
ĐỀ TÀI LAYER 2 VPN

5N5V1 Page 19

 Port – Tunneling Mode
 VLAN – Tunneling Mode
Port – Tunneling Mode cũng giống như Port-to-Port Transport. Khi dữ liệu đến
Router PE, nó sẽ được chuyển đi đến Router Egress PE thông qua mạng MPLS dựa vào
Port đã nhận gói dữ liệu đó. Trong Port – Tunneling Mode, gói tin không có thông tin về
Port ngõ vào. Để tổng hợp các thông tin ngõ vào, Port – Tunneled Interface tạo ra một
VLAN ẩn (Hidden VLAN) và thêm vào trong gói tin. VLAN ẩn là một VLAN mà được
đánh số bên ngoài khoảng VLAN ID cho phép. Đây là cách Network Processor (NP) học
các thông tin ngõ vào.

Trong VLAN – Tunneling Mode, thông tin ngõ vào của VLAN được chứa bên
trong dot1Q Header của gói tin. Bằng cách xem VLAN ID trong dot1Q Header, Network
Processor (NP) có thể xác định bước tiếp theo trong quá trình xử lý. Router Ingress PE
khi nhận được gói tin sẽ dựa vào thông tin VLAN ID, gán một đường ảo Pseudowire và
chuyển gói tin đi đến Router Egress PE trong đường ảo này. Như vậy, ở chế độ VLAN –
Tunneled Mode không đòi hỏi VLAN ẩn.
VLAN - Tunneled Interface là Pseudowire loại 4 hay 0x0004, và Port – Tunneled
Interface là Pseudowire loại 5, 0x0005. Thiết bị Cisco hỗ trợ cả hai loại Pseudowire này.
d. Gán nhãn vào gói tin:
Việc thêm nhãn vào gói tin được gọi là Label Imposition. Router nhận một gói tin
lớp 2 và đóng gói nó để truyền qua mạng MPLS. Dựa vào chế độ Port – Tunneling hay
VLAN – Tunneling đang được dùng, Interface nhận gói tin có thể là Ethernet Port
Interface hay VLAN Interface (hoặc Subinterface). Để gán nhãn vào gói tin, Router
Ingress PE tạo một bảng liên kết một đường hầm EoMPLS với một Interface /FEC. Bảng
này giữ thông tin cần thiết cho việc gửi gói tin, như Interface ngõ ra hay việc đóng gói.
Một ngăn xếp nhãn 2 mức được học thông qua giao thức LDP cho mỗi
Pseudowire. Sau đó ngăn xếp nhãn và kiểu đóng gói ngõ ra sẽ được thêm vào đầu của gói
ĐỀ TÀI LAYER 2 VPN

5N5V1 Page 20

tin, và gói tin sẽ được chuyển tiếp tới Interface ngõ ra. Gói tin sẽ được đưa qua mạng lõi
MPLS để đến được Router Egress PE.
e. Gỡ nhãn ra khỏi gói tin:
Việc nhãn bị loại bỏ khỏi gói tin được gọi là Label Disposition, và xảy ra ở Router
Egress PE. Sau khi gán thêm nhãn, gói tin được đưa qua mạng MPLS đến Router Egress
PE. Lúc này, gói tin đã được loại bỏ nhãn Tunnel và chỉ còn lại nhãn Pseudowire (nhãn
VC). Nguyên nhân là do Router P đứng trước Router PE gỡ bỏ nhãn Tunnel ra trước khi
chuyển nó đến Router Egress PE.
Khi Router Egress PE nhận được gói tin với nhãn VC, nó cần chọn một dạng bố trí

chính xác để xử lý gói tin. Router Egress PE sẽ kiểm tra bảng chuyển tiếp thông tin nhãn
(LFIB). LFIB chứa thông tin về các liên kết giữa Interface ngõ ra và Pseudowire ID (PW
ID được thêm vào LFIB ngay từ đầu tương ứng với nhãn PW). LFIB tra thông tin tương
ứng và tìm Interface ngõ ra ứng với PW trong gói tin. Nhãn PW ngay sau đó được gỡ ra,
VLAN ID được viết lại (nếu cần thiết) và Frame sẽ được chuyển tới đúng Interface ngõ
ra.
3.2. Hoạt động của VPWS:
Như đã trình bày ở trên, để mang được các Frame lớp 2 qua một đám mây MPLS,
ta dùng đường ảo Pseudowire (PW) hay còn được gọi là Virtual Circuit (VC). Một LSP
hoạt động như một đường hầm lớn mang nhiều VC, do đó VC hoạt động như các mạch
thật sự mang các Frame lớp 2 của khách hàng.
Một VC, thật ra chỉ là một đường ảo nằm trong đường hầm LSP. Đường hầm LSP
cung cấp đường hầm giữa hai Router PE, trong khi VC chỉ mang các Frame của một
khách hàng qua đường hầm đó. Các VC chỉ là các đường đơn hướng. Vì thế, để có thể
giao tiếp hai chiều, một cặp VC ngược hướng nhau được sử dụng.
Để tạo ra mô hình này, một Frame đã được đóng gói của khách hang đi ngang qua
mạng của nhà cung cấp có hai nhãn được gán vào:
ĐỀ TÀI LAYER 2 VPN

5N5V1 Page 21


 Một nhãn gắn với đường hầm LSP để đến được Router PE đích.
 Một nhãn gán với VC mang các Frame đến đúng Site bên trong PE đích.

Hình 12: Cấu trúc gói tin sau khi đã được gán nhãn.
Trong hình 12, hai mức nhãn của ngăn xếp nhãn EoMPLS cùng với tùy chọn
Control Word được thêm vào giữa Frame Ethernet và L2 Header. Hai nhãn Tunnel và VC
chiếm 8 byte của Frame lớp 2 (4-byte cho một nhãn). Tiếp theo là 4-byte Control Word
luôn xuất hiện trong các Router của Cisco.

Đường hầm giữa các Router PE có thể được tạo ra sử dụng các giao thức như
RSVP/TE hoặc LDP. Các Router PE trao đổi nhãn VC thông qua giao thức Target LDP
Session. Ở biên của mạng nhà cung cấp, Router PE đóng gói Frame lớp 2 của thuê bao,
gán thêm nhãn VC và nhãn Tunnel vào, sau đó gửi Frame đi qua đường hầm Tunnel.
Ở phía cuối của đường hầm LSP, Router PE sẽ gỡ bỏ nhãn Tunnel đi, xác định
Port nào gói tin sẽ được gửi đi dựa vào nhãn VC, trả lại Frame lớp 2 ban đầu và gửi nó ra
Port đã xác định ở trên.
ĐỀ TÀI LAYER 2 VPN

5N5V1 Page 22

Hình 13: Đóng gói Frame trong VPWS
Sử dụng dịch vụ Ethernet L2VPN over MPLS, nhà cung cấp có thể cung cấp một
dịch vụ tương tự như Lease Line hay Frame Relay PVC, trong khi giá thành lại rẻ.
Ở chế độ Port – Based, dữ liệu từ Router CE gửi đến Router Ingress PE, dựa vào
thông tin là Port mà dữ liệu được gửi đến, dữ liệu sẽ được gửi vào một VC tương ứng với
Port đó và chuyển đến Router Egress PE. Router Egress PE dựa vào thông tin đã được
cấu hình, đưa gói tin đến đúng Port lien kết với Site nhận của khách hàng. Trong quá
trình vận chuyển gói tin trong mạng MPLS, gói tin cũng được gán hai mức nhãn như đã
trình bày.
Ở chế độ VLAN – Based, việc liên kết với VC trong mạng lõi MPLS dực vào
thông tin VLAN ID. Router Ingress PE sẽ xem xét xem gói tin mà nó nhận được từ một
Router CE là thuộc VLAN ID nào, sau đó nó sẽ gán kết một VC ID đại diện cho một VC
cụ thể để chuyển tiếp gói tin đi qua mạng MPLS. Khi Router Egress PE nhận được gói
tin, nó sẽ tiến hành ánh xạ ngược lại từ thông tin VC ID ra VLAN ID tương ứng và
chuyển đến đúng Site của khách hàng.
ĐỀ TÀI LAYER 2 VPN

5N5V1 Page 23


Điểm khác nhau cơ bản giữa Port – Based và VLAN – Based là ở việc xử lý
VLAN ID. Đối với Port – Based, việc xử lý này không cần thiết vì chế độ này không hỗ
trợ 802.1q. Còn ở chế độ VLAN – Based, các VLAN ID ở các điểm cuối của mạch có thể
khác nhau bởi vì VLAN ID chỉ có ý nghĩa cục bộ. Tuy nhiên thông tin VC ID
(Pseudowire ID) định nghĩa EoMPLS Tunnel phải giống nhau ở cả hai điểm cuối của
đường hầm EoMPLS, như hình 14. Nhìn tổng quát việc ánh xạ là VLAN ID <-> VC ID
<-> VLAN ID

Hình 14: VLAN ID – VC ID Mapping
3.3. Virtual Private LAN Service (VPLS):
3.3.1 Định nghĩa:
- Virtual Private LAN Service (VPLS) là một kỹ thuật lớp 2 hỗ trợ Multipoint Ethernet
L2VPN, cho phép kết nối nhiều Site (Multiple Sites) qua mạng lõi MPLS. Với VPLS,
nhiều mạng LAN của khách hàng có thể giao tiếp với nhau tương tự như được kết nối
qua phân đoạn mạng Ethernet LAN của riêng mình. Đây là một lựa chọn hấp dẫn cho
các nhà cung cấp dịch vụ vì nó sử dụng kỹ thuật thuật lớp 2 để cung cấp Multipoint
Ethernet L2VPN.
- Có 2 kỹ thuật VPLS cơ bản: phân tầng và không phân tầng.
ĐỀ TÀI LAYER 2 VPN

5N5V1 Page 24


Hình 15: Sơ đồ mạng VPLS
3.3.2. Nguyên tắc hoạt động của VPLS:
- VPLS VPN hoạt động theo mô hình bao phủ.
- CE không cần phải là một router và không ngang hàng với PE nên PE không cần quản
lý bảng định tuyến của mỗi CE.
- VPLS đơn giản chỉ ánh xạ lưu lượng lớp 2 đến từ khách hàng vào một đường chuyển
mạch nhãn (LSP) thích hợp trong MPLS.

- Nguyên tắc hoạt động cơ bản của dịch vụ VPLS là sử dụng giao thức phân phối nhãn
(LDP, Label Distribution Protocol) để thiết lập một mạng đầy đủ các LSP – đường
hầm giữa các nút PE. Các đường hầm đó được gán các nhận dạng VPLS (VPLS ID)
giúp nhận dạng các kết nối ảo (Virtual Circuit Label Switched Path, VC LSP) giữa
các nút PE của mạng VPN. Các kết nối ảo sẽ tạo một kết nối logic giữa các PE dùng
để cấu hình VPLS cho khách hàng.
ĐỀ TÀI LAYER 2 VPN

5N5V1 Page 25

- Vì một VPLS chuyển tiếp Frame Ethernet ở lớp 2, nên hoạt động của VPLS chính xác
giống như IEEE 802.1 Bridge. VPLS sẽ tự học địa chỉ MAC nguồn của các Port kết
nối, và Frame sẽ được chuyển tiếp dựa vào địa chỉ MAC đích. Như vậy trong mạng
VPLS, các Router PE phải được hỗ trợ cả chức năng chuyển mạch của một Switch.
Các router PE tự học địa chỉ MAC gửi từ phía mạng khách hàng. Các PE tiếp nhận và
học địa chỉ MAC qua các gói tin unicast hoặc multicast gửi qua mạng. Các địa chỉ
MAC sau khi tự học sẽ được gán với một LSP và là cơ sở cho việc chuyển tiếp các
gói tin giữa các nút PE.
3.3.3. Mô hình triển khai VPLS:
a. Mô hình VPLS không phân tầng:
 Mô hình Full Mesh:
Trong mô hình Full Mesh, mỗi Virtual Switch có một PW (Pseudowire) riêng tới
mỗi Virtual Switch khác trong cùng một VPLS Domain. Việc tránh Loop được đảm bảo
bằng cách bật chức năng Split Horizon lớp 2 trên mỗi PW trong mô hình này. Split
Horizon ngăn các gói tin nhận được từ một PW không gửi cho các PW khác.
Một mô hình Full Mesh cung cấp các kết nối không bị Loop giữa tất cả các Virtual
Switch. Nó loại bỏ nhu cầu chạy giao thức Spanning Tree trong mạng lõi, tiết kiệm được
băng thông mạng WAN. Tuy nhiên, số lượng phiên Signaling và PW tăng rất nhiều khi
số Router PE và Virtual Switch tăng lên. Điều này đòi hỏi nhiều băng thông hơn cho các
bản tin trao đổi giao thức, và nhiều năng lượng xử lý trên Router PE cho chuyển tiếp tín

hiệu và gói tin. Hiệu suất chuyển dữ liệu cũng giảm khi mà việc Flood được thực hiện
trên một số lượng lớn các PW.
 Mô hình Hub and Spoke:
Trong mô hình Hub and Spoke, một Router PE hoạt đông như một Hub kết nối tất
cả các Router PE khác đang hoạt động như các Spoke trong một VPLS Domain. Virtual
Switch trên Spoke PE có một PW kết nối chính xác tới một Virtual Switch trên Hub PE.