Ebook chuyển mạch nhãn đa giao thức MPLS phần 2 TS trần công hùng
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (4.9 MB, 123 trang )
C H f ƠNG 6 : MẠNG RIÊIVG Ả o
Trong chuofng này ta tìm hiểu cách thức mà MPLS hỗ trợ cho việc xây dựng một
mạng riêng ảo (Virtual Private Networks). Thật ra có nhiều giải pháp dùng MPLS xây dựng
mạng riêng ảo và tất cả các giải pháp này chi có một điểm chung duy nhất là sử dụng kỹ
thuật chuyển mạch nhãn MPLS. ở đây chúng ta chì xém xét một giải pháp có tên gọi
BGP/MPLS VPN. Từ tên gọi cho thấy mô hình mạng riêng ảo này là sự kết hợp hai kỹ thuật
BGP và MPLS. Chúng ta tìm hiểu các thành phần liên quan, bao gồm cả mặt chất lưọfng
dịch vụ và bảo mật. Có hai lý do cho việc lựa chọn giao thức định tuyến BGP:
•
Số lượng đường định tuyến trong một VPN sẽ rất lớn và BGP là giao thức định tuyến
duy nhất có thể phục vụ cho một số lượng lớn đường định tuyến.
•
BGP, EIGRP, IS-IS là những giao thức định tuyến duy nhất có thể hoạt động với
nhiều hình thức địa chi khác nhau. Tuy nhiên, IS-IS và EIGRP không có khả năng
phục vụ một số lượng đường định tuyến lớn như giao thức BGP. Ngoài ra, BGP con
được thiết kế thực hiện trao đổi thông tin giữa những bộ định tuyến không kết nổi
trực tiếp với nhau.
Tuy nhiên phần trình bày dưói đây không đề cập chi tiết tất cả những thành phần,
chẳng hạn như bộ phận Quản lý dịch vụ VPN (VPN Service Management) là một thành
phần quan ừọng nhưng không đề cập đến ở đây.
6.1. N H Ư T H É NÀO LÀ M ẠNG RIÊN G
Ảo- VPN?
Hiện nay một công ty có thể có rất nhiều chi nhánh ở những vùng khác nhau. Vì thế
cần có một mạng để kết nối tất cả các máy tính ở những chi nhánh này. Mạng riêng ở đây có
nghĩa là mạng chi thuộc quyền sử dụng cùa riêng công ty này cũng như việc định tuyến, cách
đánh địa chi trong mạng hoàn toàn độc lập với các mạng khác. Mạng “ảo” ờ đây có nghĩa là
cơ sở hạ tầng mạng không phải thuộc riêng về một công ty, nó được sử dụng chung với
những công ty khác và hạ tầng mạng này thuộc quyền sờ hữu của một nhà cung cấp, được
gọi là nhà cung cấp dịch vụ mạng riêng ảo (VPN Service Provider). Và công ty đăng ký sử
dụng dịch vụ mạng riêng ảo với nhà cung cấp được gọi là khách hàng (VPN Customer).
Như vậy khi sử dụng mạng riêng ảo, một công ty có thể có được một mạng riêng liên
kết tất cả các chi nhánh ở những địa điểm cách xa nhau, được gọi là những khu vực (site )
của một VPN, mà không tốn chi phí cho một cơ sờ hạ tầng mạng.
Hai mô hình mạng VPN chính là: mô hình VPN chồng lấp (overlay VPN) và VPN
ngang cấp (peer-to-peer VPN).
Tiếp theo chúng ta sẽ xem xét đến hai mô hình mạng riêng ảo này.
Chuyển mạch nhãn đa giao thức MPLS
174
6.2. M Ô HÌN H CHÒNG LÁP
Vào thời điểm hiện tại, kỹ thuật thông dụng nhất để cung cấp dịch vụ mạng riêng ảo
VPN đều dựa vào mô hình mạng chồng lấp (overlay model). Trong mô hình mạng này, mỗi
khu vực (site ) có một bộ định tuyến (router) kết nối điểm-đifcĩi vód các bộ định tuyến của
những khu vực khác trong cùng một mạng riêng ảo. Tuy nhiên một khu vực có thể có nhiều
hơn’một bộ định tuyến, các bộ định tuyến này liên kết vói tất cả những khu vực còn lại hay
chỉ liên kết với một số khu vực. Kỹ thuật được sử dụng để cung cấp những liên kết điểmđiểm này có thể là những đưÒTig kênh thuê riêng (leased lines), Frame Relay hoặc ATM. Tat
cả các bộ định tuyến và những liên kết điểm-điểm kết nối các bọ định tuyến họp thành một
đường trục (backbone) ảo. Như vậy đưÒTig trục ảo chính là cơ sở hạ tầng cung cấp liên kết
giữa các khu vực.
Mô hình mạng chồng lấp có thể thấy rõ qua ví dụ sau.
H ình 6.1: Mô hĩnh mạng chồng lấp.
VPN A/Site 2
VPN B/Site 2
VPN A/Site 1
VPN B /Site 3
Trên hình 6.1 là hai mạng riêng ảo VPN A và VPN B. Mạng VPN A có ba khu vực
lần lượt: khu vực 1 (site 1), khu vực 2 (site 2), khu vực 3 (site 3). Router R ai ở khu vực 1
liên kết với R a 2 ở khu vực 2 và R a 3 ở khu vực 3 bằng mạng Frame Relay hoặc ATM. Tương
tự như vậy, R b2 kết nối với R bi và Rb3 - Những kết nối ATM hoặc Frame Relay được cung
Chương 6: Mạng riêng ảo
175
cấp bời nhà cung cấp dịch vụ mạng riêng ảo. Hình elip ờ giữa tượng trưng cho mạng lõi của
nhà cung cấp. Mạng VPN B cũng có ba khu vực riêng biệt: khu vực 1, khu vực 2 và khu vực
3. Nhưng khu vực 1 có không phải một mà hai bộ định tuyến (router): R'bi và R^BI- Hai bộ
định tuyến này đều kết nối với Rb2 và Rb 3 - Như hình vẽ ta thấy, Rb2 và Rb3 muốn thông tin
với nhau đều phải thông qua R'bi hoặc R^I- Việc sử dụng hai bộ định tuyến (router) ở khu
vực là do; nếu chỉ sử dụng một bộ định tuyến thì khi bộ định tuyến này xảy ra sự cố VPN
này sẽ hoàn toàn bị tê liệt, các khu vực trong mạng không thể liên lạc được với nhau. Chú ý
rằng, trong ví dụ này, cách đánh địa chỉ ở VPN A và VPN B hoàn toàn giống nhau nhưng
giao thức định tuyến IP sử dụng thì khác nhau. Ví dụ VPN A sử dụng giao thức OSPF còn
VPN B sử dụng giao thức RIP.
Mặc dù mạng riêng ảo VPN hiện nay vẫn chủ yếu được xây dựng trên mô hình chồng
lấp (overlay) nhưng giải pháp này đã hạn chế rất nhiều việc triển khai dịch vụ VPN trên quy
mô lớn. Có nhiều nguyên nhân dẫn đến nhược điểm này.
Nguyên nhân thứ nhất là do yêu cầu được đặt ra cho mỗi khách hàng muốn sử dụng
dịch vụ VPN phải tự xây dựng một đưòmg trục (backbone) ảo cho sự hoạt động của mạng.
Yêu cầu này đòi hỏi một sự hiểu biết nhất định về định tuyến IP, dẫn đến có ít công ty có
thể đăng ký sử dụng loại hình mạng riêng ảo. Thêm vào đó, yêu cầu chất lượng dịch vụ
được kỹ thuật ATM và Frame Relay cung cấp nên các thông số lìày thuộc về sự xử lý của
lóp 2. Trong khi đó chất lượng dịch vụ dành cho lưu lượng được quyẹt định bởi các bộ định
tuyến đường trục (backbone router) hoạt động dưói sự kiểm soát của các khách hàng VPN
(VPN customer). Vì thế yêu cầu phải có quá trình ánh xạ chất lượng dịch vụ ở lớp IP sang
.chất lượng dịch vụ của mạng Frame Relay và ATM.
Để giải quyết vấn đề này những nhà cung cấp dịch vụ mạng riêng ảo giới thiệu một
dịch vụ mới có tên “managed router”. Trong đó nhà cung cấp dịch vụ sẽ xây dựng và đưa
vào hoạt động một đưÒTig trục (backbone) ảo cho mỗi khách hàng. Tuy nhiên nếu như số
lượng khách hàng lên đến 100.000 thì nhà cung cấp dịch vụ phải xây dựng và đưa vào hoạt
động 100.000 đưcmg ttục (backbone) ảo khác nhau. Điều này đòi hỏi rất nhiều sự đầu tư từ
nhà cung cấp dịch vụ vì sự xây dựng và đưa vào hoạt động một VPN không phải là một
công việc đơn giản.
Tuy nhiên không có khả năng phục vụ một số lượng lón khách hàng không phải là
nhược điểm duy nhất của mô hình này. Nhược điểm thứ hai tưoTig tự như nhược điểm của
mô hình mạng tích hợp IP/ATM overlay đã được trình bày ở Chương 1. Khi một VPN có
hình thức kết nổi như VPN A, nếu sổ lượng khu vực của VPN này quá lớn, từ 1000 ư ở lên,
số lượng đường kết nối trong mạng sẽ rất phức tạp.
M ột vấn đề nữa của mô hình mạng này là số lượng cấu hình phải thay đổi khi thêm
vào VPN một khu vực mới. Đúng vậy, khi mở rộng quy mô mạng, những khu vực mới phải
thiết lập kết nối với tất cả những khu vực còn lai trong mạng.
M ột biển thể khác của mô hình mạng chồng lấp (overlay) là mô hình mạng trong đó
các nhà cung cấp dịch vụ triển khai các bộ định tuyến có khả năng hoạt động như những bộ
định tuyến ảo. Trong trường họp này, một bộ định tuyến hoạt động như một tập họp các bộ
định tuyến ảo. M ột bộ định tuyến ảo có chức năiig tương đương một bộ định tuyến bình
thường, ngoại trừ việc nó có thể chia sẻ CPU, băng thông, bộ nhớ với những bộ định tuyến
ảo khác. Một bộ định tuyến ảo kết nối điểm-điểm vói các bộ định tuyến ảo khác. Mỗi khu
176
Chuyển mạch nhãa đa giao thức MPLS
vực sẽ có một bộ định tuyến kết nối với một bộ định tuyến ảo xác định. Vì thể trong trưÒTig
hợp này, đưòtig ttục ảo bao gồm những bộ định tuyến ảo và các đưÒTig liên kết giữa chúng.
Việc sử dụng bộ định tuyến ảo sẽ giảm số lượng các thiết bị vật lý mà một nhà cung
cấp dịch vụ phải quản lý. Lý do của ưu điểm này là do một bộ định tuyến có thể hoạt động
như nhiều bộ định tuyến ảo, ừong khi đó một bộ định tuyến ảo lại phục vụ cho một VPN
xác định. Tuy nhiên sử dụng bộ định tuyến ảo vẫn không khắc phục được những hạn chế
của mô hình chồng lấp mà chúng ta đã đề cập ở tìrên. Cũng không có gì ngạc nhiên bởi vì
thật ra sử dụng những bộ định tuyến ảo vẫn không làm thay đổi cấu hình mạng. Đó chỉ là sự
thay thế những bộ định tuyến vật lý bằng những bộ định tuyến ảo mà thôi.
Ngoài hình thức sử dụng đường leased line. Frame Relay, ATM có thể sử dụng GRE
và IPSec để liên kết các bộ định tuyến. Tuy nhiên cả hai loại này đều chỉ thực hiện kết nối
điểm-điểm giữa các router và không thay đổi cấu hình mạng. Vì thế, VPN này sẽ thừa
hưởng tất cả những nhược điểm của mô hình chồng lấp đồng thời cũng sinh ra một số vấn
đề cần phải giải quyết khác.
Khi sử dụng đường hầm GRE để gửi gói dữ liệu đến một địa chỉ EP là điểm kết cuối
đường hầm, có thể xảy ra hiện tượng các gói dữ liệu được đưa vào VPN và được gửi đi bởi
bất kỳ bộ định tuyến nào, không chỉ là router tại đầu đưÒTig hầm. Giải pháp cho vấn đề này
là sử dụng các bộ lọc gói nhưng cấu hình sẽ phức tạp.
Giải pháp thứ hai là sử dụng đường hầm IPSec. Với IPSec, đầu kết cuối của đường
hầm có thể nhận thực người gửi, vì thế chỉ có những gói dữ liệu thật sự do đầu gửi tạo ra
mới được nhận và các gói dữ liệu khác sẽ bị loại bỏ. M ột điều cần lưu ý là việc sử dụng
đường hầm IPSec là phương tiện kết nối các router được quản lý bởi các nhà cung cấp dịch
vụ thật sự không mang lại sự bảo mật dữ liệu cho các khách hàng. Nguyên nhân là do các
nhà cung cấp dịch vụ là ngưòd kiểm soát khoá IPSec (IPSec key).
về mặt chất lượng dịch vụ, đường
hầm GRE và IPSec hỗ trợ tốt nhất cho mô hình
dịch vụ phân biệt (Differentiated Services). Tuy nhiên không khẳng định được rằng cung
cấp chất lưọng dịch vụ bằng mô hình này thật sự không thích hợp với những khách hàng khi
họ đã quen sự hỗ trợ chất lượng dịch vụ bằng kỹ thuật Frame Relay, ATM hay các đường
leased line.
Một điểm mới của việc sử dụng đường hầm GRE và IPSec là khả năng kết nối VPN
vào mạng Internet. Tuy nhiên theo tạp chí W ữed Magazine, tháng 2.1998: “Ý txrờng xây
dựng một mạng riêng trên cơ sở hạ tầng Inttenet bằng cách tạo ra đưòmg hầm hay mã hoá
thật sự sẽ tốn ít chi phí hơn. Tuy nhiên hoạt động của nó giống như thể bạn ấn bông gòii vào
tai tại quảng trưòmg Times và giả vờ như không có ai ở xung quanh”.
Nói tóm tại, mô hình chồng lấp rất hạn chế việc triển khai dịch vụ dịch vụ mạng riêng
ảo ttên quy mô lớn.
6 3 . M Ô H ÌN H NGANG CÁ P
Trong toàn bộ phần trình bày sau đây chúng ta sẽ đề cập đến một mô hình mạng khác
cho việc xây dựng mạng riêng ảo VPN, đó là mô hình ngang cấp (peer-to-peer model).
Mục tiêu chính của mô hình này là khắc phục những hạn chế của mô hình chồng lấp.
Đặc biệt mô hình này cho phép các nhà cung cấp dịch vụ mạng riêng ảo cung cấp dịch vụ
trên quy mô lớn (với số lượng lên đển hàng ngàn, hàng triệu mạng riêng ảo), trong đó không
177
Chưomg 6: Mạng riêng ảo
yêu cầu khách hàng phải hiểu biết nhiều về định tuyến IP, đồng thòi hỗ ttợ nhiều loại hình
VPN khác nhau, từ VPN có quy mô nhỏ chỉ có vài khu vực đến những VPN quy mô lớn có
đến hàng trăm, thậm chí hàng ngàn khu vực. Mô hình này cũng nhằm giữ chi phí cung cấp
dịch vụ VPN ờ mức thấp.
Những kỹ thuật chính của mô hình này:
•
Phân bố ràng buộc thông tin định tuyến (Constrained Distribution of routing
information).
•
Bảng đa chuyển tiếp (Multiple Forwarding Tables).
•
Sử dụng hình thức địa chi mới VPN-IP.
•
MPLS.
Trong những phần sau chúng ta sẽ tìm hiểu về những kỹ thuật này, kết họp với nhau
tạo nên một giải pháp cho việc xây dựng mạng riêng ảo đáp ứng được những mục tiêu đã
được đề cập ở trên.
Trên hình 6.2 là mô hình n g an j cấp (peer-to-peer model). Đám mây ở giữa tưọng
trưng cho tập hợp của một hay nhiều nhà cung cấp dịch vụ.
Nhimg trước tiên chúng ta nên tìm hiểu về một số khái niệm mới:
•
Customer Edge (CE) router: đây là bộ định tuyến kết nối một khu vực trong VPN vào
hạ tầng cuả nhà cung cấp dịch vụ.
•
Provider Edge (PE) router: bộ định tuyển thuộc mạng lõi của nhiều nhà cung cấp dịch
vụ kết nối với bộ định tuyến CE (CE router).
•
Provider (P) router: bộ định tuyến nằm trong mạng lõi cùa nhà cung cấp dịch vụ.
H ình 6.2: Mô hình mạng BGP/MPLS VPN [1].
VPN A/Sỉte 2
VPN B/Site 1
VPN A/Site 3
178
Chuyển mạch nhãn đa giao thức MPLS
Trên hình vẽ cho thấy, mạng VPN A có ba khu vực, mỗi khu vực có một bộ định
tuyến CE (CE router). Trong khi đó, ờ khu vực 1 cùa VPN B có hai bộ định tuyển CE, khu
vực 2 và khu vực 3 mỗi khu vực có một bộ định tuyến CE. Trong mạng lõi cùa nhà cung
cấp dịch vụ, một bộ định tuyến PE có thể kết nối với các bộ định tuyến CE thuộc những
VPN khác nhau. Hơn nữa, các VPN khác nhau có thể sử dụng địa chi giống nhau. Như
ứong ví dụ toên, PE 2 kết nối vód CE'bi, CEa 2 , CEb2 - Thêm vào đó cả khu vực 2 của VPN A
và khu vực 3 của VPN B đều có chung địa chi EP 10.2/16 cho tất cả những vị trí ừong khu
vực. Không chỉ thế một khu vực có thể kết nối với nhiều hơn một bộ định tuyến PE. Ví dụ
khu vực 1 cuả VPN B kết nối với PEi và PE 2 . Mô hình mạng như hình 6.2 được gọi là mô
hình ngang £ấp (peer-to-peer model) bởi vì, đứng trên quan điểm về định tuyến, bộ định
tuyến của khách hàng chỉ kết nối trực tiếp vói bộ định tuyến PE của nhà cung cấp. Trái lại
với mô hình chồng lấp, các bộ định tuyến của khách hàng kết nối trực tiếp với nhau thông
qua kỹ thuật lớp 2 hoặc đường hầm IP được cung cấp bởi nhà cung cấp dịch vụ.
6.4. PHÂN BỐ RÀNG BUỘC THÔNG TIN ĐỊNH TUYẾN
Phân bố ràng buộc thông tin định tuyến là kỹ thuật được sử dụng để điều khiển sự kết
nối giữa các khu vực trong một VPN. Đây là một kỹ thuật khá cũ đã được sử dụng rộng rãi
trong Internet từ những năm cuối thập niên 80 của thế kỷ 20. Khả năng điều khiển được kết
nối là do sự kết nối và sự lưu thông dữ liệu được điều khiển bởi các bảng định tuyển lưu trữ
trong bộ định tuyến và nội dung của các bảng định tuyến được kiểm soát bời việc ràng buộc
lưu lượng của thông tin định tuyến. Để hiểu được cách thức sử dụng kỹ thuật này trong
BGP/MPLS VPN trước tiền chúng ta tìm hiểu năm bước của quá trình phân phối thông tin
định tuyến:
•
Bước 1: Thông tin định tuyến đi từ một bộ định tuyến CE đến một bộ định tuyến PE
có kết nối trực tiếp với nó. Có nhiều lựa chọn để thực hiện công việc này như giao
thức RIP, OSPF, BGP.
•
Bước 2: Tại bộ định tuyến igress PE, thông tin được nhập vào giao thức BGP của nhà
cung cấp.
•
Bước 3: Thông tin này được phân bổ đến các bộ định tuyến PE trong mạng của nhà
cung cấp dịch vụ, sử dụng BGP.
•
Bước 4: Bước này hoàn toàn trái ngược với bước 2. Tại bộ định tuyến egress PE,
thông tin định tuyến được tách ra từ BGP.
•
Bước 5: Bước này hoàn toàn trái ngược với bước 1. Bộ định tuyến PE gửi thông tin
định tuyển đến bộ định tuyến CE và có nhiều giao thức để thực hiện công việc này
nhưR IP,O SPF.
Để thực hiện phân bố ràng buộc thông tin định tuyến, người ta sử dụng kỹ thuật lọc
thông tin định tuyén dựa vào đặc tính BGP Community. Đặc tính này được xem như một
nhận dạng dành cho tuyến định tuyến đó. Tại bước 2, bộ định tuyến igress PE ấn định đặc
tính BGP Community thích hợp cho tuyến định tuyến trước khi đưa thông tin vào BGP. Tại
bước 4, bộ định tuyến egressPE sử dụng đặc tính Community của tuyến để kiểm soát việc
tácíi thông tin định tuyến từ BGP.
Chú ý rằng, một bộ định tuyến igress PE có thể dùng chỉ một đặc tính Community
cho bộ định tuyển CE kết nối trực tiếp với nó, đồng thời bộ định tuyến igress PE này cũng
Chương 6: Mạng riêng ảo
179
có thể ấn định nhiều đặc tính Community. Kỹ thuật này cho phép sự liên kết các khu vực
trong một VPN linh động hơn. Điều này cho phép các nhà cung cấp dịch vụ sử dụng chỉ một
kỹ thuật chung hỗ trợ cho khách hàng các chính sách liên vùng khác nhau.
Như vậy kỹ thuật phân bố ràng buộc thông tin định tuyến được thực hiện ở bước hai
và bước bốn. Hon nữa hai bước này được nhà cung cấp dịch vụ xử lý. Vì thế không yêu cầu
khách hàng có hiểu biết sâu về định tuyển vẫn được cung cấp dịch vụ mạng riêng ảo VPN.
Chúng ta tiếp tục sử dụng hình ảnh đã được trình bày ở phần trước. Trong ví dụ này,
chúng ta theo dõi quá trình thông !in định tuyến đi từ khu vực 1 đến khu'vực 3 của VPN A.
Đầu tiên là bước 1, giao thức RIP đưa thông tin định tuyến của địa chỉ 10.1/16 từ bộ định
tuyến CE của khu vực 1, CEai, đến bộ định tuyến PE kết nối với nó, PE]. ở bước 2, bộ định
tuyến igress PE, cũng chính là PEi ấn định đặc tính BGP Community thích hợp cho tuyến
định tuyến này và chuyển thông tin vào giao thức BGP của nhà cung cấp. Tại bước 3, thông
tin này sẽ di chuyển tới các bộ định tuyến PE khác bằng giao thức BGP. Bước 4, căn cứ vào
đặc tính Community, bộ định tuyến egress PE, PE 3 , tiến hành tách thông tin định tuyến ra
khỏi BGP. Bước 5, thông tin định tuyến được các giao thức định tuyến như RIP, OSPF, IS
IS đưa từ PE 3 đến CEa 3 Sau đây là kỹ thuật mà BGP/MPLS VPN sử dụng để thực hiện kết nối các khu vực
trong phạm vi một VPN. Trước hết chúng ta thấy rằng, trong một VPN, các bộ định tuyến
CE được kết nối trực tiếp với bộ định tuyến PE và không cần phải nhận những bộ định
tuyến CE ờ các khu vực khác. Vì thế, khi có thêm những khu vực mới, bộ định tuyến CE
không phải điều chỉnh lại bảng định tuyến cũng như không phải xây dựng những đưòmg kết
nối mới. Đặc điểm này cho phép các "nhà cung cấp dịch vụ xây dựng những VPN có quy mô
lớn, lên đến hàng trăm đến hàng ngàn khu vực khác nhau trong một VPN.
Thứ hai, để thêm vắo một khu vực mới, mở rộng VPN, nhà cung cấp dịch vụ chỉ cần
cấu hình lại cho bộ định tuyến PE kết nối vói bộ định tuyến CẸ cùa khu vực mới này. Vì
vậy, khối lượng cấu hình thay đổi cần được xử lý trong một VPN không phụ thuộc vào số
lượng khu vực có trong VPN đó. Trong khi đó, ờ mô hình chồng lấp, khi thêm vào một khu
vực mới, các khu vực khác phải cập nhật thông tin này và thiết lập kết nối vói khu vực này.
Cuối cùng, một bộ định tuyến PE chi phải lưu trữ thông tin định tuyến thuộc về
những VPN mà các khu vực của nó kết nối trực tiếp với bộ định tuyến PE này. Như trên
hình vẽ, PE] chỉ cần lưu giữ những đường định tuyến của VPN A và VPN B, còn riêng
những VPN khác, bộ định tuyến PE ị không cần lưu giữ bất cứ thông tin gì.
M ột vấn đề nảy sinh khi sử dụng đặc tính Community là ờ mỗi nhà cung cấp dịch vụ
chỉ có thể có nhiều nhất 2 '^ giá trị này. Bởi vì mỗi đặc tính này có chiều dài 32 bit, trong đó
16 bits sử dụng cho chỉ số AS (Autonomous System) và 16 bit còn lại được mỗi bộ địiứ]
tuyến
sử dụng độc lập. Mỗi VPN cần ít nhất một giá trị Community, diếu nàv dần dên
một nhà cung cấp dịch vụ chỉ có thể phục vụ tối đa 2 '® khách hàng. Dê khắc phụ^ han chế
này, người ta đưa ra một khái niệm mới có tên là BGP Extended Community, cho phép mỗi
bộ định tuyến PE sử dụng toàn 32 bit. Vì thế mỗi nhà cung cấp dịch vụ có thể hỗ trợ đen 2^^
đặc tính Conununity khác nhau.
180
Chuyển mạch nhãn đa giao thức MPLS
6.5. BẢNG ĐA CHUYỂN TIẾP
Chức năng phân bố ràng buộc thông tin định tuyến thật sự cần thiết cho việc điều
khiển kết nối nhưng chưa đầy đủ. Chúng ta biết rằng một bộ định tuyến PE có thể kết nối
với nhiều khu vực thuộc các VPN khác nhau. Nếu như bộ định tuyến chỉ có một bảng định
tuyến chứa tất cả đưòng định tuyến trong các VPN này, dẫn đến việc không thể định tuyến
đúng cho các gói dữ liệu nên có thể xảy ra hiện tượng gói dữ liệu bị chuyển từ VPN này
sang VPN khác, đặc biệt là khi cách đánh địa chi giống nhau.
Vì thế, yêu cầu đặt ra là các bộ định tuyến PE phải có không chỉ một mà nhiều bảng
định tuyến. Bộ định tuyến PE sẽ giữ một bảng định tuyến cho mỗi VPN nếu VPN có một
hay nhiều khu vực kết nối với bộ định tuyến PE này.
Khi nhận được gói dữ liệu, bộ định tuyến PE sẽ định tuyến cho gói dữ liệu bằng bảng
định tuyến tương ứng. Do đó bộ định tuyến PE cần phải xác định được VPN của gói. Thông
dụng nhất, bộ định tuyến PE sẽ căn cứ vào cổng mà gói dữ liệu đến ữên bộ định tuyến PE.
Mỗi bảng định tuyến trên một bộ định tuyến PE được xây dựng nên từ hai nguồn
thông tin. Thứ nhất, các tuyến định tuyến mà bộ định tuyến PE nhận được từ những bộ định
tuyến CE kết nối với bộ định tuyến PE. Nguồn thông tin thứ hai được bộ định tuyến PE
nhận được từ các bộ định tuyến PE khác trong mạng. Như đã đề cập ở phần ü'uác, mỗi
thông tin định tuyến mà các bộ định tuyến PE nhận được từ những bộ định tuyển PE khác
đều được ấn định một đặc tính BGP Community. Dựa vào đặc tính này bộ định tuyến PE
xác định được thông tin thuộc VPN nào. Hãy cùng xem xét một ví dụ trình bày phương thức
xây dựng VPN. Truờng hợp đơn giản nhất là mô hình một VPN có sự kết nối các khu vực
tương tự như VPN A. Trong trường hợp này, VPN chỉ được ấn định đặc tính BGP
Community Cciosed- Như vậy các bộ định tuyến PE kết nối với những khu vực. của VPN sẽ
đưa thông tin định tuyến nhận được từ các khu vực này vào BGP với đặc tính được dùng
Qiosed- Tương tự, với bảng định tuyến của VPN đó, bộ định tuyến PE sẽ nhập vào những
thông tin định tuyến có đặc tính CciosedTrong trường hợp các khu vực có sự két nổi giống như VPN B: các khu vực ừong
VPN muốn liên lạc với nhau cần phải thông qua một khu vực trung gian. Hình thức này
được gọi là “hub-and-spokes”, trong đó, ví dụ như trongVPN B, khu vực 1 đóng vai trò hub
và khu vựq 2, khu vực 3 đóng vai trò spokes.Vì thế VPN này cần phải có hai giá ưị đặc tính
khác nhau: Chub dành cho hub, Cspokes dành cho spokes. D o đó bộ định tuyến PE liên kết với
khu vực spokes của VPN sẽ ấn định đặc tính Cspokes cho thông tin định tuyến nhận được từ
những bộ định tuyến CE này và chỉ nhận từ BGP những thông tin định tuyến có đặc tính
Chub- Riêng bộ định tuyến PE kết nổi với khu vực hub thì ngược lại, đưa vào BGP thông tin
định tuyến có đặc tính Chub và nhận về thông tin có đặc tính Cspokes6.6. ĐỊA C H Ỉ VPN-IP
Như đã đề cập ở ưên, mô hình VPN mà ta tìm hiểu làBGP/MPLS VPN.Giao thức
BGP mà các bộ định tuyến ưong mạng lõi của nhà cung cấp dịch vụ sử dụng để trao đổi và
xây dựng thông tin định tuyến cho mỗi VPN. Giao thức BGP sử dụng địa chì IP, thế nhưng
cách đánh địa chi cuả các VPN độc lập với nhau dẫn đến trường họp các VPN có cách đánh
địa chi giống nhau. Vì thế, cần phải có một giải pháp cho vấn đề sử dụng giao thức BGP
trong một môi trường mà địa chì IP không phải là độc nhất. Rõ ràng chúng ta cần một hình
thúc địa chỉ mới thay thế cho địa chỉ IP và địa chi này phải là duy nhất. Hình thức địa chỉ
Chương 6; Mạng riêng ảo
181
mới này đưỢc gọi là địa chỉ VPN-EP. Địa chỉ VPN-IP có cấu trúc gồm
mộtthành phần có
chiều dài cố định 64 bit, được gọi là bộ phân biệt tuyến (Route Distinguisher)và thành phần
địa chỉ IP. Mỗi nhà cung cấp dịch vụ có thành phần bộ phân biệt tuyến (Route
Distinguisher) riêng biẹt. Thành phần này có cấu trúc như trong hình 6.3.
h ìn h 6.3: cấ u Uiíc cùn thành phấn bộ phân biệt tuyến.
Loại (1)
(2*8 bit)
Chỉ số AS (2)
(2*8 bit)
Chỉ số AN (3)
(4*8 bit)
Vùng (2) chứa chỉ số AS (Atonomous system) của nhà cung cấp dịch vụ. Và nhà cung
cấp dịch vụ ấn định cho mỗi VPN một chỉ số có tên gọi là AN (Assigment Number). Vì
trong phạm vi một mạng của nhà cung cấp dịch vụ, các VPN không sử dụng chung chỉ số
AN (Assigment Number) và chỉ số ASN (Autonomous System Number) là duy nhất trên
toàn cầu, do đó mỗi VPN sẽ có một thành phần bộ phân biệt tuyến riêng biệt.
Đứng trên cái nhìn về P G P , việc định tuyến theo địa chỉ VPN-EP không khác với sự
định tuyến bằng địa chỉ IP. Nhưng có một điểm quan trọng cần phải nói đến, giao thức BGP
hoàn toàn không biết đển cấu trúc địa chỉ VPN-IP cũng như cấu trúc của thành phần bộ
phân biệt tuyến, khi so sánh hai địa chỉ VPN-IP, BGP hoàn toàn bỏ qua cấu trúc này, sử
dụng BGP Route Reflector, BGP Refresh để định tuyến với địa chi VPN-IP như định tuyến
với địa chi IP thông thường.
Việc sử dụng địa chỉ IP hoàn toàn do nhà cung cấp dịch vụ VPN quyết định. Các khách
hàng VPN không biết gì về hình thức địa chi này. Quá ttình chuyển đổi từ địa chì VPN-IP
sang địa chỉ IP được tiến hành tại bộ định tuyến PE. Bộ định tuyển PE sẽ lưu giữ thành phần
bộ phân biệt tuyến (Route Distinguisher) của các VPN kết nối trực tiếp vói nó. Như vậy, khi
bộ định tuyến PE nhận đượp thông tin định tuyến từ một bộ định tuyến CE, nó sẽ xác nhận
VPN của bộ định tuyến CE này đồng thời trước khi đưa thông tin này vào giao thức BGP, nó
sẽ chuyển đổi từ địa chỉ IP sang địa chl VPN-EP. Tương tự, khi nhận được thông tin định
tuyến, bộ định tuyển PE sẽ thực hiện chuyển đổi từ địa chi VPN-IP sang địa chỉ IP.
Đến đây, chúng ta sẽ có sự so sánh về vai trò của địa chỉ VPN-BP và đặc tính BGP
Community. Có hai vấn đề cần đề cập đến. v ấn đề thứ nhất là bằng cách nào hoạt động với
những địa chi không phải là duy nhất ttong phạm vi toàn cầu. Giải pháp cho vấn đề này là
địa chỉ VPN-EP với thành phần bộ phân biệt tuyến. Vì vậy thành phần này được sử dụng để
phân biệt địa chỉ IP. Tuy nhiên thành phần naỳ không được sử dụng để kết nổi có ràng buộc,
nó không sử dụng để lọc thông tin định tuyến, vấn đề thứ hai là kết nối có ràng buộc. Giải
pháp là chức năng phân phối ràng buộc thông tin định tuyến được thực hiện bằng cách lọc
thông tin định tuyến dựa vào đặc tính BGP Community. Đặc tính này, trái lại, không sử
dụng để phân biệt địa chỉ BP.
Chú ý rằng, những VPN khác nhau thì thành phần bộ phân biệt tuyển sử dụng phải
khác nhau, thế nhumg một VPN có thể sử dụng nhiều bộ phân biệt tuyến (ví dụ của trường
hợp này là hình thức đa nhà cung cấp dịch vu). Tương tự, đặc tính BGP Community của hai
VPN bất kỳ cũng không được giống nhau nhưng một VPN có thể có nhiều đặc tính này
(trường hợp VPN có hình thức hub-and-spoke). Như vậy, nói chung, cả hai thành phần bộ
phân biệt tuyến và BGP Community đều không thể xác nhận một VPN.
182
Chuyển mạch nhãn đa giao thức MPLS
Cũng cần biết thêm rằng, địa chỉ VPN-IP chỉ được sử dụng trong các giao thức định
tuyến, nó không có trong tiêu đề cùa gói IP. Vì thế, địa chỉ không được sử dụng để chuyển
gói. MPLS là kỹ thuật thực hiện việc chuyển gói trong mạng.
6.7. M PLS
Như đã đề cập ở trên, tiến trình xây dựng thông tin định tuyến hoàn toàn chỉ sử dụng
đến địa chỉ VPN-IP, trong khi địa chỉ này không có trong tiêu đề của gói IP. Vậy căn cứ vào
đâu để di chuyển gói đi trong mạng?
Giải pháp cho vấn đề này là MPLS. MPLS sẽ chuyển gói dữ liệu IP trên những tuyến
định tuyến được xây dựng dựa trên địa chỉ VPN-IP. MPLS có khả năng này bỏi vì MPLS
tách rời ứiông tin được sử dụng để chuyển gói, đó là nhãn, vói thông tin chứa ttong tiêu đề
của gói EP. Và chúng ta cũng biết rằng địa chỉ VPN-IP chỉ do nhà cung cấp dịch vụ biết nên
cũng chỉ có nhà cung cấp dịch vụ sử dụng đến MPLS.
Như vậy, rõ ràng bộ định tuyến PE đóng vai trò một edge LSR. Có thể là igress LSR
hoặc egress LSR. Có nghĩa là bộ định tuyến PE chuyển gói dữ liệu từ không có nhãn sang
có nhãn và ngược lại.
Khi bộ định tuyến PE nhận được gói dữ liệu từ bộ định tuyến CE, căn cứ vào cổng
vào của gói dữ liệu, bộ định tuyến PE sẽ xác định VPN của bộ định tuyến CE này, cũng có
nghĩa là xác nhận được bảng định tuyến, còn được gọi là LIB (label information base). Bộ
định tuyến PE dựa vào thông tin trên tiêu đề IP, chẳng hạn như địa chì đích, tiến hành dò
tìm trên bảng FIB, xác định và gắn một nhãn tương ứng vào gói dữ liệu.
Để nâng cao khả năng mở rộng, chúng ta sử dụng chức năng định tuyến phân cấp. Để
thực hiện chức năng này, chúng ta sử dụng hai mức nhãn. Mức nhãn thứ nhất được sử dụng
để chuyển gói dữ liệu trên LSP từ igress LSR đến egress LSR. Mức nhãn thứ hai được xác
định bời giao thức LDP hoặc giao thức RSVP, CR-LDP nếu như nhà cung cấp dịch vụ
muốn thực hiện kỹ thuật lưu lượng (traffic engineering). Mức nhãn thứ hai được bộ định
tuyến PE ngõ ra sử dụng xác định VPN của gói dữ liệu và được ấn định thông qua BGP
cùng với địa chi VPN-IP. Để hiểu rõ hơn, chúng ta cùng xem xét ví dụ được trình bày trong
hình 6.4.
Hình 6.4 cho thấy hai khu vực khác nhau của một VPN, bộ định tuyến CE của khu
vực 1 được ký hiệu CEi, bộ định tuyến CE của khu vực 2 là CE 2 . Cả hai bộ định tuyến PE
PEi và PE 2 đều lưu giữ thành phần bộ phân biệt tuyến của VPN cũng như đặc tính BGP
Community, cổ n g vào của dữ liệu từ CEi đến PEi cho phép xác định LIB của VPN. CEi
gửi dữ liệu đến PE] với địa chỉ đích là 10.1.1/24, PEi xác định bảng định tuyến dành cho gói
dữ liệu và bắt đầu tiến hành tìm kiếm trên bảng này. Sau khi tìm kiếm, PEi gắn vào gói dữ
liệu hai nhãn và gửi đến bộ định tuyến P]. Bộ định tuyến Pi dựa vào nhãn thứ nhất xác định
bộ định tuyến P 2 là nút mạng kế tiếp nhận gói dữ liệu. Tại đây bộ định tuyến P 2 là
penultimate hop trên LSP kết nối PEi và PE 2 , sẽ gỡ mức nhãn thứ nhất ra khỏi gói dữ liệu và
chuyển đến PEa- PE 2 nhận được gói dữ liệu chi có một mức nhãn, nhãn này được PE2
chuyển đến các bộ định tuyến PE khác bằng giao thức BGP, và căn cứ vào nhãn này PE 2 sẽ
gửi gói dữ liệu đếnỉ>ộ định tuyến CE 2 là nút mạng có địa chỉ đích 10.1.1/24.
Sử dụng chức năng định tuyến phân cấp đã giảm thiểu được lượng thông tin lun giữ ở
mỗi bộ định tuyến p. Lấy ví dụ một nhà cung cấp dịch vụ mạng riêng ảo VPN có tất cả 200
Chương 6: Mạng riêng ảo
183
bộ định tuyến trong mạng lõi, bao gồm cả bộ định tuyến PE và bộ định tuyến p, với số
lượng mạng riêng ảo VPN là 10.000 và mỗi VPN có trung bình 100 tuyến định tuyến. Như
vậy nếu không sử dụng định tuyến phân cấp, số lưọng đưÒTig định tuyến mà bộ định tuyến p
phải lưu giữ thông tin ’ên uến 10.000*100 = 10^ Vói chức năng định tuyến phân cấp, số
lượng ấy chỉ còn là 200.
H ình 6,4: Sử dụng hai mức nhãn [1 ].
BGP(Dest=RD:10,1.1,Next hop=PE 2 ,Label=X)
CE2
Gói IP
6.7.1. Bảo mật
Bảo mật luôn là một yêu cầu quan trọng trong bất kỳ mô hình mạng riêng ảo nào.
Trong lĩnh vực bảo mật, mục tiêu của mô hình BGP/MPLS VPN là đạt được sự bảo mật có
thể so sánh với sự bảo mật mà các mô hình VPN dựa ưên FrameRelay (Frame Relay-based
VPN) hay VPN dựa trên ATM (ATM-based VPN) mang lại. Đặc biệt, mục tiêu còn đảm
bảo rằng: một gói dữ liệu thuộc VPN này không thể đi vào VPN khác khi sự liên kết có sự
cố hoặc cấu hình không chính xác.
Làm thế nào thực hiện được mục tiêu này? Đầu tiên chúng ta biết rằng các nhà cung
cấp dịch vụ sử dụng kỹ thuật chuyển mạch nhãn không phải là định tuyến IP trước đây. Vì
thế sự chuyển gói dữ liệu đi trong mạng không dựa vào địa chỉ IP trền tiêu đề. Hơn nữa, tất
cả LSP đều bắt đầu và kết thúc tại các bộ định tuyến PE, chúng không bắt đầu cũng như
không kết thúc tại các bộ định tuyến p trong mạng lõi của nhà cung cấp dịch vụ. Tại mỗi bộ
184
Chuyển mạch nhãn đa giao thức MPLS
định tuyến PE, các LSP gắn liền với những bảng định tuyến xác định cũng như các bảng
định tuyến liên hệ với các giao diện trên bộ định tuyến PE và các giao diện thì liên hệ với
các VPN.
Do đó, khi một bộ định tuyến PE gửi đến bộ định tuyến CE nào đó dữ liệu, gói dữ liệu
này có thể đến từ một bộ định tuyến CE khác hoặc một bộ định tuyến PE nào đó. Trong
trường hợp đầu tiên, cả hai bộ định tuyến CE gửi và nhận phải cùng thuộc một VPN và sử
dụng chung bảng định tuyến trên bộ định tuyến CE. ở trường hợp sau, LSP của gói dữ liệu
liên hệ với một bảng định tuyến xác định và bảng định tuyến này được xây dựng cho VPN.
Như vậy, gói dữ liệu phải đến bộ định tuyến igress PE trên giao diện liên kết với VPN. Rõ
ràng việc đưa một gói dữ liệu vàp VPN hoàn toàn được thực hiện thông qua giao diện trên bộ
định tuyến PE kết nối với VPN ấy. Vì thế các gói dữ liệu không đi lạc vào các VPN khác.
6.7.2. Hỗ trợ chất lượng dịch vụ
Trong lĩnh vực chất lượng dịch vụ, yêu cầu đặt ra là khả năng cung cấp chất lượng
dịch vụ đáp ứng được một số lượng lớn các khách hàng VPN với những yêu cầu đa dạng. Ví
dụ, một nhà cung cấp dịch vụ có thể cung cấp nhiều lớp chất lượng dịch vụ cho một VPN và
những ứng dụng khác nhau trong VPN này sẽ thuộc về những phân lớp dịch vụ khác nhau.
Với cách thức này, dịch vụ mail sẽ thuộc về một lớp dịch vụ COS (Class of Service) nào đó
ứong khi những ứng dụng thời gian thực COS hoàn toàn khác. Hơn nữa COS của một ứng
dụng trong phạm vi một mang riêng ảo VPN có thể khác với COS của cùng ứng dụng ấy
nhưng thuộc về VPN khác. Sự khác nhau này có ý nghĩa các VPN độc lập trong việc ấn
định lớp dịch vụ (COS) cho các ứng dụng. Thêm vào đó, không phải VPN nào cũng sử dụng
tất cả lớp dịch vụ COS mà nhà cung cấp dịch vụ hỗ ữợ.
Trước khi tìm hiểu đến những kỹ thuật mà BGP/MPLS VPN sử dụng để hỗ trợ chất
lượng dịch vụ, ta xem xét đến hai mô hình chất lượng dịch vụ trong VPN: mô hình đườhg
ống “pipe” và mô hình hose.
6.7.2.L Mô hình Pipe
Với mô hình đầu tiên, nhà cung cấp dịch vụ mạng riêng ảo VPN cung cấp chất lượng
dịch vụ cho luồng lim lượng khi đi từ bộ định tuyến CE này đến bộ định tuyến CE khác
cùng thuộc một VPN. Trong trường hợp này sẽ có một đường ống “pipe” kết nối hai bộ định
tuyến này và bất cứ luru lượng nào đi vào được đường hầm cũng nhận được sự đảm bảo chất
lượng dịch vụ. Ví dụ đưÒTig hầm này đảm bảo băng thông kết nối giữa hai bộ định tuyển
CE. Và quyết định lưu lượng nào được sử dụng đưòmg hầm hoàn toàn thuộc về bộ định
tuyến PE ở đầu đường hầm.
Hình thức này khá giống với mô hình chất lượng dịch vụ mà các mạng VPN dựa ưên
FrameRelay (Frame Relay- based VPN) và VPN dựa ttên ATM (ATM-based VPN) cung
cấp. Điểm khác nhau chủ yếu là các kết nối Frame Relay và ATM là các kết nối song
hướng, trong khi đó mô hình đường hầm là kết nối đơn hướng. Đặc điểm này cùa mô hình
đường hầm xuất phát từ sự bất đối xứng trong việc truyền dữ liệu, khi số lưgmg dữ liệu đi từ
khu vực này sang khu vực khác có thể khác với số lượng dữ liệu đi theo hướng ngược lại.
Hình 6.5 là một ví dụ của mô hình đường hầm “pipe”, trong đó nhà cung cấp dịch vụ
cung cấp cho VPN A một đường hầm băng thông 7 Mb/s cho dữ liệu đi từ khu vực 1 đến
185
Chương 6: Mạng riêng ảo
khu vực 3, hay có thể nói đi từ CEai đến CEa3 và một đưÒTig hầm băng thông 10 Mb/s từ
CEa 3 đến CEa 2 - Như vậy từ một bộ định tuyến CE có thể xuất phát hoTi một đưcmg hầm.
Tuy nhiên mô hình này có nhược điểm. Nó yêu cầu khách hàng phân biệt được số
lượng dữ liệu di chuyển giữa các khu vực. Đôi khi thông tin này không được cập nhật hay
không thể sử dụng được.
H ình 6.5: M ô hình QoS pipe [2].
VPN A/Site 2
VPN B/Site 1
VPN B/Site 2
10 Mb/s từ
CEa3 đến CEa2
10;^/16
VPN A/Site 1
VPN A/Site 3
VPN B/Site 3
Ố. 7.2.2. MÔ hình Hose
Trong mô hình này, nhà cung cấp chất lưọmg dịch vụ hỗ trợ cho mỗi khách hàng một
số mức chất lượng dịch vụ nhất định cho lưu lượng dữ liệu thuộc mạng riêng ảo VPN.
M ô hình Hose sử dụng hai tham số: Tốc độ ữaing bình lối vào ICR (Igress
Coramiteed Rate) và Tốc độ trung bình lối ra ECR (Egress Committed Rate). ICR là tổng số
lưu lượng mà một bộ định tuyến CE gửi đến các bộ định tuyến CE khác. Còn ECR là tổng
số lưu lượng mà một bộ định tuyến CE nhận được từ các bộ định tuyến CE khác. Đặc biệt,
với mỗi bộ định tuyến CE, không yêu cầu giá trị ICR phải bằng với gía trị ECR. Dưới đây là
hình ảnh ví dụ về mô hình Hose.
Trong mô hình này, nhà cung cấp dịch vụ mạng riêng ảo VPN đảm bảo băng thông
cho tất cả lưu lượng xuất phát từ CEb2 là 15Mb/s, ICR =15Mb/s, và không tính đến nơi nhận
luồng lưu lượng là CEbi hay CEb2 - Tương tự lưu lượng mà C E b 3 gửi đến các bộ định tuyến
CE khác trong VPN đều được cung cấp băng thông là 7Mb/s, ICR=7Mb/s. Và như ta ứiấy
trên hình 6.6, lưu lượng mà CEb2 nhận được từ các bộ định tuyến CE khác trong VPN sẽ
được cung cấp băng thông là 15Mb/s, ECR=15Mb/s.
Chuyển mạch nhãn đa giao thức MPLS
186
H ình 6.6: Mô hình QoS hose [2],
VPN A/Site 2
VPN B/Site 1
ICR 7 Mb/s
ECR 7Mb/s
VPN A/Site 1
VPN A/Site 3
VPN B/Site 3
Như vậy mô hình hose rất giống với mô hình dịch vỊự phân biệt (Differentiated
Service) đã đề cập đến ưong chưooig 4 “Chất lượng dịch vụ”. Miô hình Hose cung cấp nhiều
lớp dịch vụ và mỗi lởp khấc nhau ờ những thông số, ví dụ dịch
này có thể có ti lệ mất gói
dữ liệu thấp hơn dịch vụ khác. Tuy nhiên nếu ứng dụng yêu cầu chất lượng dịch vụ chính
xác, ví dụ như băng thông đảm bảo, thì mô hình pipe thích hợp hoti. Mô hình pipe giống với
mô hình “Dịch vụ tích hợp “ cũng đã được đề cập ờ chương 4 “Chất lượng dịch vụ”.
Cả hai mô hình này đều không loại trừ lẫn nhau. Vì thế một nhà cung cấp dịch vụ có
thể hỗ txợ cả hai mô hình này cho một khách hàng sử dụng dịch vụ VPN và khách hàng sẽ
quyết định mô hình cũng như lớp dịch vụ COS dành cho lưu lượmg,
Để hỗ ữợ mô hình pipe, chúng ta sử dụng những LSP có bãng thông đảm bảo, đã
được đề cập ở phần “Định tuyến ràng buộc” thuộc chương 5. Những LSP này xuất phát
cũng như kết thúc tại các bộ định tuyến PE và có băng thông đảm bào. Với hai bộ định
tuyến PE bất kỳ, mỗi bộ định tuyến PE kết nối với nhiều bộ định tuyển CE và giữa chúng có
nhiều đường hầm nên thay yì xây dựng cho một đường hầm một LSP, chúng ta sử dụng một
LSP cho tất cả các đưòmg hầm.
Trở lại hình 6.5, để xây dựng một đường hầm từ C Ea 3 đến CEai thuộc VPN A và một
đường hầm từ C E b 3 đến C E \i thuộc VPN B, người ta xây dựng một LSP băng thông đảm
bảo từ PE 3 đến PEi và băng thông cùa LSP này bằng tổng băng thông của hai đường hầm.
Sử dụng chỉ một LSP phục vụ cho nhiều đường hầm giữa hai bộ định tuyến PE giúp cho mô
hình này có thể triển khai rộng rãi, Vì số lượng các LSP đảm bào băng thông mà nhà cung
Chưong 6: Mạng riêng ảo
'
187
cấp dịch vụ xây dụng bị giới hạn bời số bộ định tuyến PE trong mạng lõi, thay vì phụ thuộc
vào số lư ợng đường hầm phải cung cấp cho khách hàng.
Nhà cung cấp dịch vụ sẽ sử dụng dịch vụ phân biệt (Differentiated Services) để hỗ trợ
cho mô hình hose. Ngoài ra nhà cung cấp dịch vụ có thể sử dụng chức năng quản lý lưu
ỉưọfng MPLS để nâng cao hiệu suất sử dụng tài nguyên mạng.
Bộ định tuyến PE sẽ thựG hiện công việc xác định lớp dịch vụ COS cho lưu lượng căn
cứ vào các yếu tố: giao diện lưu lượng tới trên bộ định tuyến PE, địa chỉ IP đích và địa chi
IP nguồn, IP Precedence, chỉ số cổng TCP.
Mặc dù khách hàng sẽ ký với nhà cung cấp dịch vụ một hợp đồng yêu cầu được cung
cấp lóp dịch vụ cho lưu lượng. Tuy nhiên vẫn có trường hợp lưu lưọTig khách hàng gửi đến
vượt quá ngưõTig cho phép. Vì thế nhà cung cấp dịch vụ sẽ có những biện pháp kiểm soát tại
bộ định tuyến igress PE. Nếu lưu lượng vượt ra ngoài phạm vi cam kết, nhà cung cấp dịch
vụ sẽ có hai hướng xử lý: một là hủy bỏ lưu lượng này ngay tại bộ định tuyển igress PE
hoặc vẫn gửi đi nhưng lưu lượng bị đánh dấu là không họp lệ. Với sự lựa chọn cách xử lý
thứ hai, cả hai luồng lưu lưọTig họp lệ và không hợp lệ sẽ cùng di chuyển trên LSP. Nhưng
khi trong mạng xảy ra xung đột, lưu lượng không họp lệ sẽ bị mất.
6.7.3. K hả năng m ở rộng
Qua những gì đã trình bày ờ trên, bộ định tuyến CE chỉ lưu giữ thông tin định tuyến
với bộ định tuyến PE mà nó trực tiếp kết nối. Như vậy số lượng thông tin lưu giữ không phụ
thuộc vào số lượng khu vực của VPN, do đó số lượng khu vực trong một VPN có thể lên
đển con số hàng trăm, hàng ngàn. Đồng thời khi thêm vào một khu vực không phải thiết lập
kết nối khu vực mới với tất cả các khu vực còn lại.
Ngoài ra, với việc sử dụng chức năng định tuyến phân cấp MPLS cho phép giảm
thiểu sổ lượng thông tin định tuyến lưu giữ trong p router, p router chi ]ưu giữ thông tin liên
quan đến LSP liên kết hai bộ định tuyến PE bất kỳ được xây dựng bằng các giao thức LDP
(Label Disữibution Protocol), RSVP (Resoure Reservation Protocol)...
Thứ hai, một bộ định tuyến PE chỉ lưu giữ thông tin định tuyến liên quan đến những
mạng riêng ảo VPN có các khu vực kết nối trực tiếp với nó. Nếu như số lượng thông tin
định tuyến lưu giữ txở nên quá lớn, chúng ta thêm vào một bộ định tuyến PE mới và chuyển
một số VPN từ bộ định tuyến này sang bộ định tuyến mới.
Như vậy không có thành phần nào trong mạng lõi cùa nhà cung cấpl dịch vụ phải lưu
giữ thông tin định tuyến của tất cả mạng riêng ảo VPN. Vì thế khả năng triển khai trên một
quy mô lớn không bị hạn chế.
6.8. T Ó M TẮT
M ột đặc điểm cơ bản của mô hình BGP/MPLS VPN là không có sự ràng buộc trong
kế hoạch đánh địa chỉ cho mạng riêng ảo VPN. Các VPN có thể sử dụng bất cứ hình thức
địa chỉ nào, ví dụ địa chi riêng, địa chỉ DP ...
Vấn đề bảo mật có thể so sánh với mô hình VPN dựa trên Frame Relay và VPN dựa
trên ATM.
188
Chuyển mạch nhãn đa giao thức MPLS
Hơn nữa, về lĩiứi vực cung cấp chất lượng dịch vụ, nhà cung cấp dịch vụ có thể hỗ trợ
cho khách hàng nhiều lớp dịch vụ COS với hai mô hình chính là pipe và hose. Bộ định
tuyến PE sẽ quyết định, lớp dịch vụ dành cho lini lượng.
Ngoài ra, mô hình này có thể triển khai trên quy mô lớn với số lưọfng khu vực trong
mỗi mạng riêng ảo VPN lên đến hàng trăm hàng ngàn. Mô hình này cho phép một nhà cung
cấp dịch vụ sử dụng chung hạ tầng mạng cung cấp dịch vụ VPN và dịch vụ Internet.
Vì liên kết giữa bộ định tuyến CE và bộ định tuyến PE là liên kết IP cũng như nhà
cung cấp dịch vụ sẽ sử dụng kỹ thuật chuyển mạch nhãn MPLS nên kỹ thuật lớp liên kết dữ
liệu có thể là Frame Relay, ATM, leased lines, DSL ...để kết nối bộ định tuyến CE với bộ
định tuyến PE và bộ định tuyến PE với bộ định tuyến p.
Điều quan trọng của mô hình này là không yêu cầu khách hàng VPN phải có hiểu biết
nhiều về mạng. Khách hàng không phải xây dựng và đưa vào hoạt động đưòmg trục
(backbone) ảo của riêng nó. Vì vậy mô hình này có thể phục vụ cho nhiều khách hàng hơn.
CHƯƠNG 7: XÂY DtjfNG
MẠ]VG ĐƯỜNG TRỊIC MPLS
Mạng MPLS có thể được xây dựng bởi nhiều cách, sử dụng sự kết hợp của các LSR
và các ATM MPLS LSR. Những nghiên cứu thiết kế cho mạng MPLS được mô tả như sau:
7.1. M ẠN G M PL S TR ÊN G Ó I
H inh 7.1: Mạng M PLS trên gói [3].
Khách hàng A
Khách hàng B
Frame Relay, ATM,
PVP, kênh thuê riêng,
FE. GE hoặc bất kỳ
liên kết lóp 2 nào
Nhà cung
cấp dỊch vụ
PoP-2
L
Frame Relay, ATM,
PVP, kênh thuê riêng,
FE. GE hoặc bất kỳ
liên kết lớp 2 nào
PE2
CE
Khách hàng
c
Khách hàng B
Khách hàng A
Khách hàng D
Khách hàng A Khách hàng
Nhà cung cáp
dịch vụ PoP-3
Router LSR
Nhà cung cip
dịch vụ PoP-4
Router
c
Chuyển mạch nhãn đa giao thức MPLS
190
Trong hình 7.1 cho thấy một mạng MPLS gói sử dụng đưÒTig trục là bộ định tuyến.
Những liên kết giữa các bộ định tuyến p, các PE đến p, và PE đến bộ định tuyến CE có thể
là kết họp bất kỳ các kỹ thuật lớp 2. Tiêu đề MPLS được mang trong một tiêu đề thêm vào
trong trường họp tiêu đề của lóp 2 không hỗ trợ nhãn và trong trường V P W C I trong trưÒTig
họp của ATM. Backbone MPLS không cần phải được kết thông hoàn toàn. Tuy nhiên đối
với IGP (Interior Gateway Protocol) (OSPF hay IS-IS) thì cần có kết nối hoàn toàn. Những
bộ định tuyến PE hoạt động như điểm truy cập PoP (point of presence) và có thể được đặt
tại các thiết bị hay trung tâm dữ liệu của các nhà cung cấp dịch vụ. Thiết kế mạng MPLS
trên gói theo cùng quy tắc với thiết ké cho mạng định tuyến IP chuẩn.
7.2. M ẠNG M PL S TRÊN ATM
H ình 7.2: Mạng MPLS trẽn ATM [3].
Khách hàng A
Khách hàng B
Nhà cung
cấp dỊch vụ
PoP-2
Frame Relay. ATM,
PVP, kênh thuê riêng.
FE. GE hoặc bất kỳ
liên kết lớp 2 nào
Khách hàng A
Khách hàng D
Nhà cung cấp
dịch vụ PoP-3
Router LSR
Router
Khách hàng A Khách hàng
c
Nhà cung cấp
dịch vụ PoP-4
ATM LSR
Bộ tập trung
Mạng MPLS sử dụng LSR ATM trong lõi và kết hợp các bộ định tuyến ATM hay các
LSR ATM khác (thực hiện chức năng LSR ở rìa hay PE) tại các điểm truy cập. Những sự
kết hợp khác nhau được trình bày trong hình 7.2. Các LSR ATM lõi sử dụng những kênh
191
Chương 7: Xây dựng mạng đường trục MPLS
nhãn ảo (Label Virtual Circuit LVC) để giao tiếp với các LSR lõi khác và các bộ định tuyến
PE ATM. FKần điều khiển chuyển mạch nhãn (Label Switch Controller LSC) tại PoP-1 của
nhà cung cấp dịch vụ có thể có chức năng như là một LSR ờ rìa. Điều này làm giảm yêu cầu
cho các bộ định tuyến PE ATM riêng rẽ cần được đặt cùng với LSR ATM lõi.
Lưu lượng tại PoP-2 của nhà cung cấp dịch vụ từ khách hàng B và c có thể được tổng
hợp tại giao diện của một thiết bị giao tiếp X và được truyền trên các PVC ATM đến LSR
ATM gần nhất, trong trưòng họp này là PE3. Mạng MPLS ATM vói các LSR ở rìa cho gói
có thể sử dụng các thiết bị giao tiếp như X nếu có truy nhập yêu cầu qua một thiết bị mà
không hỗ trợ dịch vụ MPLS. Lưu lưọng của khách hàng được mang qua thiết bị truy cập
đến LSR ở rìa. Giữa thiết bị truy cập và LSR ở rìa có các đưÒTig liên kết logic khác nhau cho
mỗi khách hàng, nó có thể là Frame Relay hay PVC ATM hay một liên kết ppp.
7.3. MẠNG M PLS TR ÊN H ỎN H Ợ P GIỮA ATM VÀ GÓI
H ình 7.3: Mạng MPLS hỗn hợp [3].
Khách hàng A
Khách hàng B
Nhà cung
cấp dịch vụ
PoP-2
Nhà cung cấp
dịch vụ PoP-1
trên gói |Khách hàng B
Frame Relay
hoặc tập trung
song song
Frame Relay. ATM,
PVP, kênh thuê riêng.
FE, GE hoặc bất kỳ
liên kết lớp 2 nào
Khách hàng A Khách hàng D Khách hàng A Khách hàng
Nhà cung cấp
dịch vụ PoP-3
Router LSR
Router
c
Nhà cung cấp
dịch vụ PoP-4
ATM LSR
Bộ tập tmng
192
Chuyển mạch nhãn đa giao thức MPLS
Mạng hỗn hợp sử dụng một sự kết họp của LSR ATM, LSR ATM ờ rìa và LSR trên
gói ở rìa. Điều này có thể kết hợp mạng MPLS trên ATM và mạng MPLS trên gói với các
LSR ATM ở lõi. Các LSR ờ rìa nằm trên lóp phân bố và các LSR trên gói nằm trên phần
mạch còn lại của lớp truy cập. Một ví dụ về mạng hỗn họp được chỉ ra trong hình 7.3. Trong
một mạng như vậy, một vài liên kết có thể chạy MPLS trên gói và phần khác có thể chạy
MPLS trên ATM. Thiết bị để giao tiếp giữa MPLS trên gói và MPLS ứên ATM có ứiể là
cùng các LSR ở rìa ATM.
7.4. T ÍC H H Ợ P M PLS VÀO M ẠNG ATM
Nhiều nhà cung cấp dịch vụ hiện tại hoạt động trên mạng đưÒTig trục ATM và cung
cấp các dịch vụ ATM và Frame Relay cho các khách hàng của họ. Hầu hết khách hàng chạy
ứng dụng IP trên nền ATM hay Frame Relay nhờ vào các nhà cung cấp dịch vụ. Nhưng cấu
trúc này đã cho thấy có nhiều yếu điểm của IP truyền thống trên mạng ATM, chủ yếu là
giảm các bộ định tuyến ngang cấp trong vấn đề phát triển, và hiệu quả băng thông thấp (như
ta đã thảo luận ở các phần trước).
Mạng MPLS là một thay thể xuất sắc. Chúng cho phép phát triển tối ưu và băng
thông hiệu quả với khả năng quản lý lưu lượng và QoS. MPLS có thể được triển khai vào
mạng ATM truyền thống một cách từ tìr, khởi đầu bằng một cặp ATM LSR trong mạng.
MPLS có thể được triển khai qua các chuyển mạch (switch) không có hỗ ù-ợ MPLS bằng
việc sử dụng kết nối VP qua các chuyển mạch ATM truyền thống. Những kết nối VP này
còn gọi là những đường hầm VP (tunnels VP) bởi vì chúng cho phép MPLS tạo một đường
hầm qua xuyên các chuyển mạch ATM. Những đường hầm VP làm cho tích hợp hoàn toàn
MPLS dễ dàng, mặc dù nó vẫn có những bất lợi.
Những bước sau để tích hợp MPLS vào mạng ATM:
H ình 7.4: Bước tích hợp một 13].
LSR rìa
LSR rìa
LSR rìa
193
ChưoTig 7: Xây dựng mạng đường trục MPLS
•
Bước 1: Cấu hình và cài đặt LSR ATM ở rìa nền bộ định tuyến sử dụng PVP hay
PVC qua mạng backbone ATM. Những PVP và PVC này phải được cấu hình trên các
chuyển mạch ATM sử dụng phương pháp cấu hình PCP. Một kế hoạch tích họp linh
động khỏi đầu cho sự đưa MPLS vào một mạng ATM được trình bày trong hình 7.4.
Hỉnh 7.4 chỉ ra vị trí khởi đầu với các bộ định tuyến được nối bởi các PVP qua một
đám mây ATM. Nhưng tại thòd điểm này vẫn có những yếu điểm của mạng IP- overATM. Nhưng nó có thể hỗ ừợ các dịch vụ MPLS.
H ình 7.5: Bước tích hợp hai [3].
LSR rìa
LSR rỉa
Liên kết PVP'
hoặc PVC
Liên kết PVP
hoặc PVC
Mạng đường
trục ATM
LSR rla
•
Mạng đường
trục ATM
LSR ria
LSR rìa
Bước 2: Đưa các LSR ATM vào mạng lõi, như ttong hình 7.5. Có thể chuyển đổi các
chuyển mạch ATM ùiiyền thống thành LSR ATM bằng cách gắn thêm phần điều khiển
chuyển mạch lứiãn LSC (Label Switch Conừoller) và cấu hìiih tài nguyên cho phần
MPLS. Những LSR ATM vẫn có ứiể hỗ trợ các dịch vụ ATM truyền thống. Do đó cần
cẩn thận làm việc với các khách hàng đang sừ dụng PVP hay PVC ATM. Ngoài ra phải
để dành các VCI từ 2 đến 15 cho LVC sử dụng, số lượng PVP cho mỗi LSR ở ria có
thể được giảm tới một (hoặc hai nếu có bảo vệ), và có thể là 0 nếu LSR ờ rìa nối trực
tiếp vói LSR ATM, lúc này LSR ở rìa có thể được cấu hình với LVCi Các LSR ATM
có tìiể được nối đến các chuyển mạch ATM tì^yền thống bằng nhiều cách khác nhau.
H ình 7.6: Bitớc tích hợp ba [3].
■
LSR rìa ATM
LSR rìa
Liên kết PVP
hoặc PVC
Mạng đường
trục ATM
LSR rìa ATM
LSR rìa
194
•
Chuyển mạch nhãn đa giao thức MPLS
Bước 3: Thực hiện chuyên đổi các chuyển mạch ATM ùaiyền thống trong rìa của mạng
thành LSR ATM, như trong hình 7.6. cần phải cẩn thận để không phải làm gián đoạn
các dịch vụ của các khách hàng ATM hay Frame Relay ttong quá ttình trung gian.
H ình 7.7: Bước tích hợp bốn [3].
LSR ria ATM
L S R rìa A T M
•
________
--------
-
LSR ria ATM
--------------- -
L S R rìa A T M
Bước 4: Chuyển đổi tất cả các chuyển mạch ATM còn lại trong lõi thành LSR ATM
làm mạng trở thành hoàn toàn MPLS ATM như trong hình 7.7. Sử dụng PVP không
cần thiết, thay thể bằng LVC, được sử dụng trong lõi và giữa lõi với LSR ở rìa.
7.4.1. Những vấn đề cần quan tâm kM chọn thiết bị LSR ATM ở rìa
Có bốn vấn đề cần quan tâm:
•
Các kiểu dịch vụ có thể được hỗ trợ: là các dịch vụ DP, ATM hay kết hợp cả hai.
•
Các kiểu truy cập khác nhau và những giao thức liên quan: các card đường dây phải
sử dụng một kỹ thuật và giao thức để giao tiếp với phần lớn bộ định tuyến CE như nối
tiếp, nối tiếp/Frame Relay, ISDN tới E l/T l, 10 Mb/s Ethernet, Fast Ethernet, Gigabit
Ethernet, HSSI, nối tiếp tốc độ cao, ATM, gói trên SONET/SDH......
•
Số lượng đường dây và sự tổng họp của chúng: cần lựa chọn thiết bị phù họp với số
lượng đường dây hiện tại và tương lai.
•
Yêu cầu cho việc dự trữ và độ tin cậy: các yêu cầu ữong việc lựa chọn LSR ở rìa là
khả năng dự phòng nóng (standby hot), thêm và bớt card online (không tắt máy), hỗ
ư ợ nhiều trang người dùng.
7.4.2. Những yêu cầu trong lựa chọn LSR ATM
•
Hỗ trợ các kiểu khác nhàu của đường trung kế.
•
Số lượng các trung kế có ứiể hỗ trợ.
•
Số lượng kết nối hỗ ttợ.
•
Yêu cầu cho dự trữ và tÌB cậy.
Chưong 7: Xây dựng mạng đường trục MPLS
195
7.5. XÂY DựNG MẠNG MPLS
Thiết kế mạng MPLS phải được hoàn thành trước khi cài đặt mạng để đảm bảo
mạng hoạt động tối ưu và tin cậy. Những bước cần thiết sau cần phải tính toán trong khi
xây dựng mạng.
•
Thiết kế PoP.
•
Tính kích thước liên kết đường trục MPLS.
•
Thiết kế định tuyến lófp 3.
•
T ín h L V C M P L S ...
7.5.1. Thiết kế điểm truy cập PoP
Thiết kế PoP (point of presence) bat buộc phải bao gồm sự lựa chọn kiểu truy nhập
đường dây và thiết bị cho mạng.
Vị trí của PoP được xác định chủ yếu bỏi lưu lượng người dùng và vị trí của các trung
tâm dân cư. Một kế hoạch tính toán hợp lý phải được thực hiện trước khi thiết kế PoP. Kế
hoạch này phải làm những ước tính chính xác cho sự phát triển của lưu lượng trong tương
lai dựa vào các khách hàng hiện tại.
7.5.2. T hiết kế PoP của m ột LSR ATM đơn ở rìa
Một thiết kế PoP của LSR ATM ở rìa như ttong hình 7.8, được sử dụng nếu node có
thể hỗ trợ số lượng và kiểu đưÒTig dây được yêu cầu bởi bộ định tuyến CE của khách hàng
tại vị trí PoP. Một LSR ở rìa đơn khá nhạy với vấn đề phát triển. Điều này có thể tránh nếu
LSR ATM ờ rìa được cùng đặt với LSR ATM và các LSR ở rìa thêm vào có thể gắn vào các
cổng ATM của LSR ATM lõi.
H ình 7.8: M ột LSR ATM ở rìa [3].
Router CE
7.5.3. Thiết kế PoP cho các LSR ở rìa và LSR ATM
Neu các đưòfng dây đa truy cập được hỗ trợ tại một PoP, PoP có thể yêu cầu nhiều
hơn một LSR ở rìa tại đó. Tương ứng, các kiểu của LSR ở rìa khác nhau có thể được yêu
cầu bởi vì có nhiều kiểu truy cập khác nhau được hỗ trợ. Phải chú ý là cùng đặt một LSR
ATM ở vị trí có nhiều LSR ở rìa trong PoP. cấu trúc này được chỉ ra trong hình 7.9.
Chuyển mạch nhãn đa giao thức MPLS
196
Trong hình 7.9 LSR ATM chuyển mạch các lưu lượng giữa các LSR ở rìa khác nhau
trong PoP. Nó còn có thể tập trung lưu lưọng từ PoP này vào một tập đơn các đường liên kết
MPLS ATM. Và vấn đề phát triển định tuyến được cải thiện bỏi vì chỉ một giao thức định
tuyến ngang cấp được yêu cầu từ LSR ATM đến các điểm khác ưong mạng MPLS. Nếu
không có LSR ATM, nhiều giao thức định tuyến ngang cấp phân tách sẽ được yêu cẩu bởi
tất cả các LSR ở rìa. Việc giảm các cặp đưÒTig liên kết giữa LSK ờ rìa và LSR ATM phụ
thuộc vào yêu cầu về độ tin cậy.
H ình 7.9: Nhiều LSR ở rìa [3].
Router CE
7.5.4. Thiết kế bộ tập trung, LSR ở rìa và một LSR ATM
H ình 7.10: LSR ở rìa và bộ tập trung [3],
Router CE
Chương 7: Xây dụng mạng đường trục MPLS
197
Các bộ tập trung truy cập có thể được sử dụng cùng với các LSR ờ rìa và một LSR
ATM được dùng để tập trung lưu lượng người dùng và đặt lên LSR ở rìa. Một ví dụ của
kiểu này được chỉ ra ưong hình 7.10. Lưu lưọng IP từ bộ tập trung ttny cập được mang
trong các PVP ATM đến LSR ở rìa, lưu lượng này được mang qua LSR ATM. Trong hình,
LSR P E l phài có ít nhất hai giao diện ATM, một cho các PVP truy cập từ bộ tập trung và
một cho lư'.' lirợtig MPLS ATM.
Chú ý là LSR ATM có thể hoạt động như là một LSR ở rìa đồng thời hoạt động như
một LSR. Tuy nhiên điều này không đưọc khuyến cáo cho các nhà cung cấp dịch vụ.
Số lượng LSR ở rìa ứong PoP phụ thuộc vào tổng số lượng đưòng dây ữuy cập và
tổng băng thông của các đường truy cập, được tính từ mức sử dụng trung bình.
7.5.5. Thiết kế PoP của một LSR
Một site PoP LSR thường thực hiện chức năng chuyển mạch ATM để kết cuối với các
khách hàng sử dụng bộ định tuyến ATM CE. Các khu vực (site) như vậy bao gồm một LSR
ATM đơn, như trong hình 7.11, hay là hai ữong trưòng hợp dự phòng. Bộ định tuyến ATM
CE có thể kết cuối trực tiếp vào LSR sử dụng một mạch TDM hay được chuyển mạch qua
một PVC ATM dự txữ.
H ình 7.11: PoP cùa một LSR [3].
7.6. ĐỊNH HÌNH LIÊN KÉT ĐƯỜNG TRỤC MPLS
Những bước sau đây liên quan đến việc định hình liên kết đường trục MPLS:
•
Bước 1: Thiết kế điểm truy cập PoP.
•
Bước 2: ư ớ c
tính lưu lượng từ mỗi điểm PoP.
•
Bước 3: ư ớ c
tính ma trận lưu lượng đơn hướng.
•
Bước 4: ư ớ c tính ma trận lưu lưọTig song hướng.
• Bước 5: Thiết kế cấu hình backbone trung kế.
•
Bước 6: ư ớ c tính băng thông kết nối.
•
Bước 7: Gán dung lượng kết nối.
•
Bước 8: Điều chỉnh dự phòng.
