Báo cáo thực tập tốt nghiệp tìm HIỂU về GIAO THỨC MPLSL3VPN
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.63 MB, 40 trang )
Báo cáo thực tập tốt nghiệp
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
KHOA CÔNG NGHỆ THÔNG TIN
THỰC TẬP TỐT NGHIỆP
ĐỀ TÀI : TÌM HIỂU VỀ GIAO THỨC MPLSL3VPN
Sinh viên thực tập
: Lưu Văn Khuyến
Mã sinh viên
: 1021040120
Lớp
: D11HTTT2
Khóa
: 2011-2016
Hệ
: Chính quy
Hà Nội, 7/2015
Hà Nội, tháng
7/2014
Họ Tên
: Lưu Văn Khuyến
Mã sinh viên : 1021040120 – Lớp : D11HTTT2
1
Báo cáo thực tập tốt nghiệp
LỜI NÓI ĐẦU
Ngày nay, cùng với sự phát triển nhanh chóng của khoa học kỹ thuật, Công nghệ
thông tin đã góp phần quan trọng vào sự phát triển kinh tế thế giới.
Các tổ chức, doanh nghiệp có nhiều chi nhánh, các công ty đa quốc gia trong quá
trình hoạt động luôn phải trao đổi thông tin với khách hàng, đối tác, nhân viên của
họ. Chính vì vậy đòi hỏi phải luôn nắm bắt được thông tin mới nhất, chính xác
nhất, đồng thời phải đảm bảo độ tin cậy cao giữa các chi nhánh của mình trên khắp
thế giới, cũng như với các đối tác và khách hàng.Với các tổ chức này, việc truyền
thông dữ liệu một cách an toàn với chi phí thấp, giảm nhẹ các công việc quản lý
hoạt động của mạng luôn được đặt ra, và VPN là một giải pháp hiệu quả. VPN đã
và đang là thị trường phát triển rất mạnh.
VPN được định nghĩa là mạng kết nối các site khách hàng đảm bảo an ninh
trên cơ sở hạ tầng mạng chung cùng với các chính sách điều khiển truy nhập và đảm
bảo an ninh như một mạng riêng. Đã có rất nhiều phương án triển khai VPN như:
X.25, ATM, Frame Relay, leased line…Tuy nhiên khi thực hiện các giải pháp này thì
chi phí rất lớn để mua sắm các thiết bị, chi phí cho vận hành, duy trì, quản lý rất lớn
và do doanh nghiệp phải gánh chịu trong khi các nhà cung cấp dịch vụ chỉ đảm bảo
về một kênh riêng cho số liệu và không chắc chắn về vấn đề an ninh của kênh riêng
này.
Cùng với xu hướng IP hoá mang viễn thông hiện nay, IP-VPN đã tạo ra bước
ngoặt lớn trong lịch sử phát triển của công nghệ VPN. IP-VPN đã giải quyết được
vấn đề giảm chi phí vận hành,duy trì quản lý đơn giản,linh hoạt. Tuy nhiên IP-VPN
truyền thống còn phải sử dụng các thuật toán mã hoá đi kèm, và các thuật toán mã
hoá này là rất phức tạp. Công nghệ mới MPLS, chuyển mạch nhãn đa giao thức, có
thể coi là một bước phát triển lớn, hoàn thiện công nghệ IP nói chung và IP-VPN nói
riêng. MPLS cho phép triển khai các VPN có khả năng mở rộng và cơ sở xây dựng
các dịch vụ giá trị gia tăng vượt trội so với các VPN truyền thống.
Họ Tên
: Lưu Văn Khuyến
Mã sinh viên : 1021040120 – Lớp : D11HTTT2
2
Báo cáo thực tập tốt nghiệp
Mục Lục
Phần A : Giới thiệu về đơn vị thực tập .......................................................5
Chức năng ........................................................................................5
Tổ chức .............................................................................................5
Các lĩnh vực hoạt động ...................................................................5
I.
II.
III.
Phần B : Nội dung thực tập ........................................................................ ..5
Phần giới thiệu chung .......................................................................... 5
I.
1.
2.
3.
4.
II.
Tên đề tài .................................................................................................
Mục tiêu ..................................................................................................
Nội dung .................................................................................................
Kết quả cần đạt ................................................................................... ...
5
5
5
6
Tổng quan về giao thức MPLS .................................................... 7
II.1 Khái niệm ................................................................................................... 7
II.2 Đặc điểm của MPLS .................................................................................. 7
II.3 Các thành phần của MPLS ........................................................................ 8
2.3.1 Các thiết bị trong mạng MPLS .......................................................
8
2.3.2 Đường chuyển mạch nhãn .............................................................. 9
II.4 Hoạt động của MPLS ............................................................................... 9
II.5 Kết luận .................................................................................................... 12
III.
Đặc điểm và nguyên tắc hoạt động của MPLSL3VPN………... 12
3.1. Mô hình MPLS L3VPN .......................................................................... 12
3.2. Nguyên tắc hoạt động của MPLS VPN ………………….....................
3.2.1 Kiến trúc của router biên PE trong mạng MPLS/VPN …………
13
14
3.2.2 Truyền thông tin định tuyến dọc mạng nhà cung cấp …………… 15
3.2.3 Bảng định tuyến và chuyển tiếp VPN ……………………………. 16
3.2.4 Phân phối route VPN thông qua BGP …………………………...
17
3.2.5 Chuyển tiếp gói tin trong mạng MPLS VPN…………………….. 18
3.2.6 Kết luận …………………………………………………………. 19
IV.
Cấu hình…………...……………………………………...…… 20
4.1 Command config………………………………………….……... 21
Họ Tên
: Lưu Văn Khuyến
Mã sinh viên : 1021040120 – Lớp : D11HTTT2
3
Báo cáo thực tập tốt nghiệp
4.2 Cài đặt thực tế……………………………………………...….…. 28
4.2.1 Topology trên GNS3………………………………….…..
4.2.2 Tập lệnh cấu hình đang chạy trong bộ nhớ………....…….
4.2.3 Bảng định tuyến………………………………….…...…..
4.2.4 Test mạng (ping)…………………………………....…….
V.
28
28
34
38
Kết luận………………………………………………………….38
Mục lục hình ảnh
Hình A : Sơ đồ tổ chức CDIT………………………………………........ 5
Hình 2.1 xử lý gói………………………………………………………. 10
Hình 2.2 Hoạt động của mạng MPLS………………………………….. 11
Hình 3.1 Mô hình MPLS L3VPN……………………………......…...... 13
Hình 3.2 Đường đi từ Site 1 đến Site 2……………………………...….. 14
Hình 3.3 Kiến trúc của router biên PE………………………………….. 15
Hình 3.4 Mô tả các bảng định tuyến ảo trong PE……………………….. 17
Hình 3.5 Quá trình chuyển tiếp gói tin trong mạng MPLS VPN………..…… 19
Hình 4.1 Topology MPLS L3VPN…………………………………….... 20
Hình 4.2 Mô hình MPLSL3VPN trên môi trường GNS3 giả định…..…. 29
Họ Tên
: Lưu Văn Khuyến
Mã sinh viên : 1021040120 – Lớp : D11HTTT2
4
Báo cáo thực tập tốt nghiệp
Phần B : NỘI DUNG THỰC TẬP
I.
Phần giới thiệu chung
1. Tên đề tài
Tìm hiểu về giao thức MPLS L3VPN
2. Mục tiêu
Nắm rõ về giao thức MPLS L3VPN cũng như cách cấu hình trên GNS3
Cách trình bình nội dung gọn gàng theo form mà cô giáo hướng dẫn.
3. Nội dung
1
Tìm Hiểu :
Tổng quan về Mạng máy
tính và Giao thức MPLS
Từ ngày29/6 đến
ngày 3/7
2
Tìm Hiểu :
Đặc điểm và nguyên tắc hoạt
động của MPLS
Từ ngày 4/7 đến
ngày 10/7
3
Tìm Hiểu :
Đặc điểm và nguyên tắc
hoạt động của MPLS L3VPN
Từ ngày 11/7 đến
ngày 17/7
4
Tìm hiểu :
Cấu hình và troubleshoot
MPLS L3VPN
Từ ngày 18/7 đến
ngày 24/7
5
Cấu Hình Trên GNS3
Từ ngày 25/7 đến
4/8
Họ Tên
: Lưu Văn Khuyến
Mã sinh viên : 1021040120 – Lớp : D11HTTT2
Có cái nhìn
tổng quan về
mạng máy
tính nói
chung và
giao thức
MPLS nói
riêng
Hiểu được
Đặc
điểm và
nguyên
tắc hoạt động
của
MPLS
Hiểu được
Đặc
điểm và
nguyên
tắc hoạt động
của
MPLS
L3VPN
Hiểu được
Cấu
hình và
troubleshoot
MPLS
L3VPN
Cấu hình
thành công
trên GNS3
5
Báo cáo thực tập tốt nghiệp
6
Tổng kết
Từ ngày 5/8 đến
ngày 9/8
Tổng kết báo
cáo
4. Kết quả cần đạt
Nắm bắt được những kiến thức cơ bản như: khái niệm, đặc điểm,
nguyên tắc hoạt động của MPLS VPN và MPLS L3VPN. Cấu hình
thành công trên GNS3.
II.
Tổng quan về giao thức MPLS
2.1 Khái niệm
MPLS là một giải pháp chuyển mạch IP và được chuẩn hoá bởi IETF
MPLS là viết tắt của cụm từ: chuyển mạch nhãn đa giao thức (Multiprotocol
Label Switching).
Gọi là chuyển mạch nhãn vì: Sử dụng cơ chế hoán đổi nhãn làm kỹ thuật
chuyển tiếp ở lớp bên dưới (lớp 2).
Gọi là đa giao thức vì: MPLS có thể hỗ trợ nhiều giao thức lớp mạng (lớp 3),
không chỉ riêng IP.
2.2 Đặc điểm MPLS
Tốc độ và trễ: Chuyển mạch nhãn nhanh hơn nhiều bởi vì giá trị nhãn được
đặt ở header của gói được sử dụng để truy nhập bảng chuyển tiếp tại router,
nghĩa là nhãn được sử dụng để tìm kiếm trong bảng. Việc tìm kiếm này chỉ
yêu cầu một lần truy nhập tới bảng, khác với truy nhập bảng định tuyến
truyền thống việc tìm kiếm có thể cần hàng ngàn lần truy nhập. Kết quả là lưu
lượng người sử dụng trong gói được gửi qua mạng nhanh hơn nhiều so với
chuyển tiếp IP truyền thống.
Jitter: Là sự thay đổi độ trễ của lưu lượng người sử dụng do việc chuyển gói
tin qua nhiều node trong mạng để chuyển tới đích của nó. Tại từng node, địa
chỉ đích trong gói phải được kiểm tra và so sánh với danh sách địa chỉ đích
khả dụng trong bảng định tuyến của node, do đó trễ và biến thiên trễ phụ
thuộc vào số lượng gói và khoảng thời gian mà bảng tìm kiếm phải xử lý
trong khoảng thời gian xác định. Kết quả là tại node cuối cùng, Jitter là tổng
cộng tất cả các biến thiên độ trễ gại mỗi node giữa bên gửi và bên thu. Với
gói là thoại thì cuộc thoại bị mất đi tính liên tục. Do chuyển mạch nhãn hiệu
Họ Tên
: Lưu Văn Khuyến
Mã sinh viên : 1021040120 – Lớp : D11HTTT2
6
Báo cáo thực tập tốt nghiệp
quả hơn, lưu lượng người dùng được gửi qua mạng nhanh hơn và ít Jitter hơn
so với định tuyến IP truyền thống.
Khả năng mở rộng mạng: Chuyển mạch nhãn cung cấp các giải pháp cho sự
phát triển nhanh chóng và xây dựng các mạng lớn bằng việc cho phép một
lượng lớn các địa chỉ IP được kết hợp với một hay vài nhãn. Giải pháp này
giảm đáng kể kích cỡ bảng địa chỉ và cho phép router hỗ trợ nhiều người sử
dụng hơn.
Tính đơn giản: Chuyển mạch nhãn là giao thức chuyển tiếp cơ bản, chuyển
tiếp gói chỉ dựa vào nhãn. Do tách biệt giữa điều khiển và chuyển tiếp nên kỹ
thuật điều khiển dù phức tạp cũng không ảnh hưởng đến hiệu quả của dòng
lưu lượng người sử dụng. Cụ thể là, sau khi ràng buộc nhãn được thực hiện,
các hoạt động chuyển mạch nhãn để chuyển tiếp lưu lượng là đơn giản, có thể
được thực hiện bằng phần mềm, bằng mạch tích hợp chuyên dụng hay bằng
các bộ xử lý đặc biệt.
Sử dụng tài nguyên: Các mạng chuyển mạch nhãn không cần nhiều tài
nguyên mạng để thực hiện các công cụ điều khiển trong việc thiết lập các
đường đi chuyển mạch nhãn cho lưu lượng người sử dụng.
Điều khiển đường đi: Chuyển mạch nhãn cho phép các đường đi qua một
liên mạng được điều khiển tốt hơn. Nó cung cấp một công cụ để bố trí các
node và liên kết lưu lượng phù hợp hơn, thuận lợi hơn, cũng như đưa ra phân
lớp chính xác các phân lớp lưu lượng (dựa trên các yêu cầu về QoS) khác
nhau của dịch vụ.
2.3 Các thành phần của MPLS
2.3.1 Các thiết bị trong mạng MPLS
LSR là một thiết bị định tuyến tốc độ cao trong lõi của một mạng MPLS, nó
tham gia trong việc thiết lập các đường dẫn chuyển mạch nhãn (LSP) bằng
việc sử dụng giao thức báo hiệu nhãn thích ứng và thực hiện chuyển mạch tốc
độ cao lưu lượng số liệu dựa trên các đường dẫn được thiết lập.
LER là một thiết bị hoạt động tại biên của mạng truy nhập và mạng lõi MPLS.
Các LER hỗ trợ đa cổng được kểt nối tới các mạng không giống nhau (chẳng
hạn FR, ATM và Ethernet). LER đóng vai trò quan trọng trong việc chỉ định và
huỷ bỏ nhãn, khi lưu lượng vào trong hay đi ra khỏi mạng MPLS. Sau đó, tại lối
vào nó thực hiện việc chuyển tiếp lưu lượng vào mạng MPLS sau khi đã thiết
lập LSP nhờ các giao thức báo hiệu nhãn và phân bổ lưu lượng trở lại mạng truy
nhập tại lối ra.
Họ Tên
: Lưu Văn Khuyến
Mã sinh viên : 1021040120 – Lớp : D11HTTT2
7
Báo cáo thực tập tốt nghiệp
2.3.2 Đường chuyển mạch nhãn
LSP: là một đường đi để gói tin qua mạng chuyển mạch nhãn trọn vẹn từ
điểm bắt đầu dán nhãn đến điểm nhãn bị loại bỏ khỏi gói tin. Các LSP được
thiết lập trước khi truyền dữ liệu
Đường hầm LSP: LSP từ đầu tới cuối được gọi là đường hầm LSP, nó là
chuỗi liên tiếp các đoạn LSP giữa hai node kề nhau. Các đặc trưng của đường
hầm LSP, chẳng hạn như phân bổ băng tần, được xác định bởi sự thoả thuận
giữa các node, nhưng sau khi đã thoả thuận, node lối vào (bắt đầu của LSP)
xác định dòng lưu lượng bằng việc chọn lựa nhãn của nó. Khi lưu lượng được
gửi qua đường hầm, các node trung gian không kiểm tra nội dung của tiêu đề
mà chỉ kiểm tra nhãn. Do đó, phần lưu lượng còn lại được xuyên hầm qua
LSP mà không phải kiểm tra. Tại cuối đường hầm LSP, node lối ra loại bỏ
nhãn và chuyển lưu lượng IP tới node IP.
Các đường hầm LSP có thể sử dụng để thực hiện các chính sách kỹ thuật lưu
lượng liên quan tới việc tối ưu hiệu năng mạng. Chẳng hạn, các đường hầm
LSP có thể được di chuyển tự động hay thủ công ra khỏi vùng mạng bị lỗi,
tắc nghẽn, hay là node mạng bị nghẽn cổ chai. Ngoài ra, nhiều đường hầm
LSP song song có thể được thiết lập giữa hai node, và lưu lượng giữa hai
node đó có thể được chuyển vào trong các đường hầm này theo các chính
sách cục bộ.
Trong mạng MPLS các LSP được thiết lập bằng một trong ba cách đó là:
Định tuyến từng chặng, định tuyến hiện (ER) và định tuyến cưỡng bức (CR).
Một số khái niệm liên quan tới đường chuyển mạch nhãn là đường lên và
đường xuống.
Đường lên (Upstream): Hướng đi dọc theo đường dẫn từ đích đến nguồn.
Một router đường lên có tính chất tương đối so với một router khác, nghĩa là
nó gần nguồn hơn router được nói đến đó dọc theo đường dẫn chuyển mạch
nhãn.
Đường xuống (Downstream): Hướng đi dọc theo đường dẫn từ nguồn đến
đích. Một router đường xuống có tính chất tương đối so với một router khác,
nghĩa là nó gần đích hơn router được nói đến đó dọc theo đường dẫn chuyển
mạch nhãn.
2.4 Hoạt động của MPLS
Khi một gói tin vào mạng MPLS: LSR lối vào kiểm tra nhiều trường trong tiêu
đề của gói để xác định xem gói thuộc FEC nào:
Họ Tên
: Lưu Văn Khuyến
Mã sinh viên : 1021040120 – Lớp : D11HTTT2
8
Báo cáo thực tập tốt nghiệp
Nếu chưa có một ràng buộc nhãn/FEC thì: gói được phân loại gói tin vào
trong các FEC, sau đó nhãn được ánh xạ vào trong FEC. Nhiệm vụ ấn định và
phân bổ các ràng buộc FEC/nhãn cho các LSR do LDP đảm nhiệm.Khi LDP
hoàn thành nhiệm vụ , một LSP được xây dựng từ lối vào đến lối ra.
Nếu đã có một ràng buộc nhãn/FEC thì: LSR lối vào gán nhãn cho gói và
định hướng gói tới giao diện đầu ra tương ứng.
Sau đó gói được hoán đổi nhãn qua mạng cho đến khi nó đến LSR đầu ra.
Lúc này nhãn được loại bỏ và gói được xử lý tại lớp 3.
Mặt
phẳng
Duy trì tuyến
Định tuyến
điều khiển
Mặt
phẳng
Lựa chọn cổng ra
Chuyển
chuyển tiếp
mạch
Nhận gói đầu vào
Các cổng đầu vào
Phát gói đầu ra
Các cổng đầu ra
Họ Tên
: Lưu Văn Khuyến
Mã sinh viên : 1021040120 – Lớp : D11HTTT2
9
Báo cáo thực tập tốt nghiệp
Hình 2.1 xử lý gói
Như vậy, với một gói dữ liệu để đi qua một miền MPLS, cần phải thực hiện các
bước sau:
• Tạo và phân bổ nhãn.
• Tạo bảng tại mỗi router.
• Tạo các đường dẫn chuyển mạch nhãn (LSP).
• Chèn/tìm kiếm bảng nhãn.
• Chuyển tiếp gói.
• Phân tích cụ thể các bước như sau:
Tạo & phân bổ nhãn
Trước khi lưu lượng bắt đầu, các router quyết định để ràng buộc một nhãn với
một FEC xác định và xây dựng bảng của chúng.Trong LDP, các router đường xuống
khởi tạo sự phân bổ các nhãn và ràng buộc nhãn/FEC.Ngoài ra, các đặc tính liên
quan đến lưu lượng và khả năng MPLS được thoả thuận bằng việc sử dụng LDP.
Hình 2.2 Hoạt động của mạng MPLS
Tạo bảng
Tại phía nhận các ràng buộc nhãn, mỗi LSR tạo các lối vào trong cơ sở thông tin
nhãn (LIB : Label Information Base). Nội dung của bảng sẽ xác định ánh xạ giữa
Họ Tên
: Lưu Văn Khuyến
Mã sinh viên : 1021040120 – Lớp : D11HTTT2
10
Báo cáo thực tập tốt nghiệp
một nhãn và một FEC. Ánh xạ giữa cổng vào và bảng nhãn đầu vào tới cổng ra và
bảng nhãn đầu ra. Các lối vào được cập nhật bất cứ khi nào sự tái đàm phán về ràng
buộc nhãn xảy ra.
Tạo đường dẫn chuyển mạch nhãn
Như được biểu diễn bằng đường ngắt quãng trong hình 2.4, các LSP được tạo ở
phương ngược lại với sự tạo các lối vào trong các LIB.
Chèn/tìm kiếm bảng nhãn
Router đầu tiên sử dụng bảng trong LIB để tìm chặng kế tiếp và yêu cầu một
nhãn cho FEC xác định. Các router lần lượt sử dụng nhãn để tìm chặng kế tiếp. Mỗi
lần gói chạm tới LSR lối ra (LER4), nhãn được xoá bỏ và gói được cung cấp cho
đích.
Chuyển tiếp gói
LER1 có thể không có nhãn nào cho gói này khi đó là lần đầu tiên xảy ra yêu
cầu này. Trong một mạng IP, nó sẽ tìm sự phù hợp địa chỉ dài nhất để tìm chặng kế
tiếp. Cho LSR1 là chặng kế tiếp của LER1. LER1 sẽ khởi tạo một yêu cầu nhãn
chuyển tới LSR1. Yêu cầu này sẽ phát thông qua mạng. Mỗi router trung gian sẽ
nhận một nhãn từ router phía sau nó bắt đầu từ LER2 và đi lên trên cho đến LER1.
LSP được thiết lập bằng cách sử dụng LDP hay bất kì giao thức báo hiệu nào khác.
Nếu kĩ thuật lưu lượng được yêu cầu, CR-LDP sẽ được sử dụng trong việc quyết
định thiết lập đường dẫn thực sự để chắc chắn yêu cầu QoS/CoS được tuân thủ.
LER1 sẽ chèn nhãn và chuyển tiếp gói tới LSR 1. Mỗi LSR lần lượt, nghĩa là LSR2
và LSR3, sẽ kiểm tra nhãn với các gói nhận được, thay thế nó với các nhãn đầu ra và
chuyển tiếp nó. Khi gói tới LER4, nó sẽ xoá bỏ nhãn bởi vì gói sẽ rời khỏi miền
MPLS và được phân phát tới đích.
2.5 Kết luận
Như vậy, trong chương này chúng ta đã tìm hiểu về công nghệ MPLS, các khái
niệm và hoạt động cơ bản của công nghệ này. Có thể thấy rằng, công nghệ MPLS
được thiết kế ban đầu chỉ nhằm mục đích tăng hiệu năng của chuyển mạch lớp 3,
nhưng sau đó những lợi ích mà MPLS đem lại còn hơn cả mục đích ban đầu thiết kế.
MPLS được dùng rất hữu hiệu cho các mạng đa dịch vụ, tích hợp các mạng kế thừa,
kỹ thuật lưu lượng, bảo vệ path/link, hỗ trợ QoS và CoS, tăng cường khả năng mở
rộng của IP và đặc biệt là các ứng dụng trong mạng riêng ảo. MPLS có thể hỗ trợ
cung cấp mạng riêng ảo ở cả lớp 2 và lớp 3. Để sang chương sau ta có thể tìm hiểu
về các mô hình hoạt động cũng như nguyên lý hoạt động của MPLS L3VPN.
III.
Đặc điểm và nguyên tắc hoạt động của MPLS L3VPN
Họ Tên
: Lưu Văn Khuyến
Mã sinh viên : 1021040120 – Lớp : D11HTTT2
11
Báo cáo thực tập tốt nghiệp
3.1 Mô hình MPLS L3VPN
Kiến trúc mạng riêng ảo L3VPN chia thành hai lớp, tương ứng với các lớp 3 và 2
của mô hình OSI. L3VPN dựa trên RFC 2547 bits, mở rộng một số đặc tính cơ bản
của giao thức cổng biên BGP (Border Gateway Protocol) và tập trung vào hướng đa
giao thức của BGP nhằm phân bổ các thông tin định tuyến qua mạng lõi của nhà
cung cấp dịch vụ như là chuyển tiếp các lưu lượng VPN qua mạng lõi.
Trong kiến trúc L3VPN, các bộ định tuyến khách hàng và nhà cung cấp được coi
như là các phần tử ngang hàng. Bộ định tuyến biên khách hàng CE cung cấp thông
tin định tuyến tới bộ định tuyến biên nhà cung cấp PE. PE lưu các thông tin định
tuyến trong bảng định tuyến và chuyển tiếp ảo VRF. Mỗi khoản mục của VRF tương
ứng với một mạng khách hàng và hoàn toàn biệt lập với các mạng khách hàng khác.
Người sử dụng VPN chỉ được phép truy nhập các site hoặc máy chủ trong cùng một
mạng riêng này. Bộ định tuyến PE còn hỗ trợ các bảng định tuyến thông thường
nhằm chuyển tiếp lưu lượng của khách hàng qua mạng công cộng. Một cấu hình
mạng L3VPN dựa trên MPLS như hình dưới đây :
Gói IP
Nhãn LSF
Nhãn VRF
Gói IP
Gói IP
PE
CE
P
VPN A
VPN B
PE
VPN B
P
P
CE
P
PE
CE
Bảng VRF VPN A
Bảng VRF VPN B
VPN A
Mạng MPLS cung cấp dịch vụ
Bảng định tuyến
Họ Tên
: Lưu Văn Khuyến
Mã sinh viên : 1021040120 – Lớp : D11HTTT2
Bảng VRF VPN A
12
Báo cáo thực tập tốt nghiệp
Bảng định tuyến
Hình 3.1 Mô hình MPLS L3VPN
Mô hình MPLS L3VPN các gói tin IP qua miền MPLS được gắn hai loại nhãn, bao
gồm nhãn MPLS chỉ dẫn các đường chuyển mạch nhãn LSP để chuyển tiếp các gói
tin qua miền MPLS. Nhãn VRF chỉ được xử lý tại thiết bị định tuyến PE nối với bộ
định tuyến khách hàng.
Mô hình L3VPN có ưu điểm là không gian địa chỉ khách hàng được quản lý bởi nhà
khai thác, và do vậy đơn giản hoá việc triển khai kết nối với nhà cung cấp. Ngoài ra,
L3VPN còn cung cấp khả năng định tuyến động để phân phối các thông tin định
tuyến tới các bộ đinh tuyến VPN. Tuy nhiên, L3VPN chỉ hỗ trợ các lưu lượng IP
hoặc lưu lượng đóng gói vào gói tin IP. Đồng thời, việc tồn tại hai bảng định tuyến
tại các thiết bị mạng cũng là một vấn đề cần giải quyết trong điều hành và ảnh
hưởng tới khả năng mở rộng các hệ thống thiết bị.
3.2 Nguyên tắc hoạt động của MPLS VPN
Dựa trên ứng dụng của công nghệ MPLS các gói tin IP sẽ được nhãn hóa và được
chuyển tiếp trong mạng của nhà cung cấp dịch vụ bằng các nhãn trên gói tin và mỗi
mạng riêng ảo VPN cho một khách hàng được xây dựng một cách hợp lý và hiệu
quả. Hơn nữa, các router P lúc này không cần phải có bảng định tuyến cho mỗi
khách hàng hay BGP cũng không cần phải được sử dụng trên các router này. Tất cả
vấn đề này được giải quyết bởi MPLS và quá trình thực hiện cũng chỉ diễn ra chủ
yếu trên các router PE. Khi sử dụng MPLS, chỉ cần router PE có khả năng nhận biết
các tuyến VPN và quá trình định tuyến chỉ thật sự diễn ra trên các router này, các
router P chỉ làm nhiệm vụ chuyển tiếp trung gian gói tin đến đích. Giải pháp MPLS
VPN thực sự rất hữu ích và hiệu quả.
Họ Tên
: Lưu Văn Khuyến
Mã sinh viên : 1021040120 – Lớp : D11HTTT2
13
Báo cáo thực tập tốt nghiệp
Hình 3.2 Đường đi từ Site 1 đến Site 2
Một số khái niệm trong MPLS VPN
Router PE (Provider Edge router): router cung cấp dịch vụ biên, được sử dụng để
tạo kết nối trực tiếp với các router CE của khách hàng tại lớp 3.
Router P (Provider router): router cung cấp dịch vụ. Router của nhà cung cấp dịch
vụ nhưng không tạo kết nối trực tiếp với khách hàng.
Trong mạng MPLS VPN, cả router P và PE đều chạy MPLS. Điều này có nghĩa là
chúng phải có khả năng phân phối nhãn và chuyển tiếp gói tin nhãn.
Router CE (Customer Edge): router biên khách hàng, được sử dụng để tạo kết nối
với router PE của nhà cung cấp dịch vụ. Vì router này tương tác với router PE tại lớp
3 nên cần phải có một giao thức định tuyến chạy giữa chúng mà không cần phải
chạy MPLS. Đối với một site của khách hàng, thông thường chỉ cần có 1 router CE
và 1 router PE peer với nó (chỉ đúng trong mô hình mạng riêng ảo ngang hàng peerto-peer). Nếu router CE được kết nối multihomed, nó có thể có nhiều router PE peer.
3.2.1 Kiến trúc của router biên PE trong mạng MPLS/VPN
Mỗi khách hàng đăng kí một bảng định tuyến độc lập nhau (bảng định tuyến ảo)
tương ứng như một router ảo trong mô hình VPN ngang cấp.
Họ Tên
: Lưu Văn Khuyến
Mã sinh viên : 1021040120 – Lớp : D11HTTT2
14
Báo cáo thực tập tốt nghiệp
Khách
A,Site 1
Khách
A,Site 2
hàng
Bảng định tuyến khách
hàng A
Định tuyến toàn cục
Bảng định tuyến ảo cho
khách hàng A
Bảng định tuyến toàn cục
hàng
P-Router
Khách
A,Site 3
hàng
Bảng định tuyến khách
hàng B
Khách
B,Site 1
hàng
Bảng định tuyến ảo cho
khách hàng B
PE-Router
Hình 3.3 Kiến trúc của router biên PE
Định tuyến dọc mạng của nhà cung cấp được thực hiện bởi tiến trình định tuyến
khác sử dụng bảng định tuyến toàn cục (global), tương đương như intra-POP-Prouter trong mô hình VPN ngang cấp.
3.2.2 Truyền thông tin định tuyến dọc mạng nhà cung cấp
Khi bảng định tuyến ảo đảm bảo sự cách ly giữa các khách hàng, dữ liệu từ
các bảng định tuyến này vẫn cần được trao đổi giữa các Router PE để dữ liệu có thể
truyền giữa các site gắn vào các Router PE khác nhau. Do đó chúng ta cần phải có
một giao thức định tuyến sẽ vận chuyển tất cả các router của khách hàng dọc mạng
Họ Tên
: Lưu Văn Khuyến
Mã sinh viên : 1021040120 – Lớp : D11HTTT2
15
Báo cáo thực tập tốt nghiệp
nhà cung cấp trong khi vẫn duy trì được không gian địa chỉ độc lập giữa khách hàng
với nhau.
Một giải pháp được đưa ra là chạy giao thức định tuyến riêng cho mỗi khách
hàng. Các router PE có thể được kết nối thông qua các đường hầm điểm – điểm (và
giao thức định tuyến cho mỗi khách hàng sẽ chạy giữa các router PE) hoặc là router
P có thể tham gia vào quá trình định tuyến của khách hàng. Giải pháp này, mặc dù
thực hiện đơn giản nhưng lại không thích hợp trong môi trường khách hàng, vì nó
không có khả năng mở rộng và phải đối mặt với nhiều vấn đề khi có yêu cầu hỗ trợ
VPN chồng lấn (overlapping VPN):
•
Router PE phải chạy một số lượng lớn các giao thức định tuyến .
•
Router P phải mang tất cả các router của khách hàng.
Sau đó, một giải pháp tốt hơn được đưa ra là chỉ triển khai một giao thức định
tuyến có thể trao đổi tất cả các router của khách hàng dọc mạng nhà cung cấp. Rõ
ràng giải pháp này tốt hơn giải pháp trước nhưng router P vẫn phải tham gia vào
định tuyến khách hàng, do đó nó vẫn không giải quyết được vấn đề mở rộng.
3.2.3 Bảng định tuyến và chuyển tiếp VPN
Mỗi router PE có một cơ chế VRF riêng cho một mạng VPN. Quan sát ví dụ sau
để thấy rằng router PE lưu giữ bảng định tuyến IP tổng thể (global IP routing tabel),
nhưng cũng có một bảng định tuyến VRF cho một VPN được kết nối tới router PE.
Hình 3.4 Mô tả các bảng định tuyến ảo trong PE
Vì quá trình định tuyến là tách biệt cho mỗi mạng riêng ảo VPN của khách hàng
trên một router PE, nên mỗi mạng VPN phải có bảng định tuyến của riêng nó. Bảng
Họ Tên
: Lưu Văn Khuyến
Mã sinh viên : 1021040120 – Lớp : D11HTTT2
16
Báo cáo thực tập tốt nghiệp
định tuyến riêng biệt này gọi là bảng định tuyến VRF. Các interface trên router PE
nối đến router CE có thể chỉ thuộc vào một VRF. Vì thế, tất cả các gói tin IP nhận
được trên một interface VRF không thật sự xác định được là nó có thuộc vào VRF
đó hay không. Vì mỗi VPN có một bảng định tuyến riêng biệt nên các router PE
cũng sẽ có một bảng CEF riêng biệt được dùng để chuyển tiếp các gói tin trong một
VPN. Bảng này gọi là bảng chuyển tiếp VRF CEF được rút ra từ bảng định tuyến
VRF.
Bảng định tuyến VRF thật sự không quá khác biệt so với bảng định tuyến thông
thường, chỉ khác ở chỗ chúng chỉ được sử dụng cho một số site của một VPN và
hoàn toàn tách biệt với các bảng định tuyến khác (bảng định tuyến tổng thể hay bảng
định tuyến mặc định).
Các khái niệm metric, khoảng cách, next-hop,... không thay đổi. Vì VRF được
xây dựng kết hợp với các interface, nên chỉ những gói tin IP đi vào router PE thông
qua các interface VRF mới được thực hiện chuyển tiếp dựa trên bảng VRF CEF.
3.2.4 Phân phối route VPN thông qua BGP
Với việc triển khai một giao thức định tuyến là BGP để trao đổi tất cả các
route của khách hàng giữa các router PE, một vấn đề được đặt ra là: làm thế nào mà
BGP có thể truyền nhiều prefix xác định thuộc về các khách hàng khác nhau giữa
các Router PE?
Như ta đã biết BGP, trong dạng chuẩn của nó, chỉ có thể thực hiện được đối
với các route IPv4. Trong MPLS/VPN, vì mỗi VPN phải có khả năng sử dụng (mặc
dù điều này không cần thiết) các IP prefix giống nhau như các VPN khác (ngay cả
khi chúng không liên lạc với nhau). BPG sử dụng địa chỉ IPv4 chọn một đường đi
giữa tất cả các đường có thể đi đến đích (gồm có network và mask). Do đó, MPBGP không thể làm việc đúng nếu khách hàng sử dụng cùng không gian địa chỉ.
Chỉ có một giải pháp để giải quyết vấn đề này là mở rộng ip prefix khách
hàng với một prefix duy nhất sẽ làm cho địa chỉ của khách hàng trở nên duy nhất
ngay cả khi có sự trùng lắp địa chỉ. Hơn nữa ta phải đảm bảo rằng chính sách được
sử dụng để quyết định route nào trong số các router được BGP sử dụng chỉ có thể có
ở trong bảng VRF mà nó phải thuộc về.
Việc truyền router của khách hàng dọc mạng MPLS/VPN sẽ được thực hiện như
sau:
•
Router CE gửi cập nhật định tuyến IPv4 đến Router PE.
•
Router PE sau đó thêm vào Router Distinguisher 64 bit vào cập nhật định
tuyến IPv4 mà nó đã nhận đó, kết quả là tạo ra địa chỉ VPNv4 96 bit duy
nhất.
Họ Tên
: Lưu Văn Khuyến
Mã sinh viên : 1021040120 – Lớp : D11HTTT2
17
Báo cáo thực tập tốt nghiệp
•
Địa chỉ VPNv4 này được truyền đi thông qua phiên MP-IBGP đến các
Router PE khác.
•
Router PE nhận sẽ loại bỏ Router Distinguisher từ địa chỉ VPNv4 tạo
thành địa chỉ IPv4 như ban đầu mà CE đầu xa đã gửi.
•
Địa chỉ IPv4 này được chuyển tiếp đến router CE khác trong bản cập nhật
định tuyến IPv4.
3.2.5 Chuyển tiếp gói tin trong mạng MPLS VPN
Làm thế nào để router ePE biết gói tin thuộc vào VRF nào? Thông tin này không
nằm trong header gói tin IP và nó cũng không thể nhận được từ nhãn, vì nó được sử
dụng duy nhất để chuyển tiếp gói tin qua mạng cung cấp dịch vụ. Giải pháp cho vấn
đề này là thêm vào một nhãn khác trong ngăn xếp nhãn MPLS. Nhãn này chỉ định
gói tin đó thuộc vào VRF nào. Vì thế, tất cả các gói tin khách hàng được chuyển tiếp
với hai nhãn: nhãn IGP làm nhãn đỉnh và nhãn VPN làm nhãn đáy. Nhãn VPN phải
được thêm vào tại router iPE để chỉ cho router ePE biết gói tin đó thuộc vào VRF
nào. Vậy thì làm thế nào router ePE báo hiệu cho router iPE biết nhãn nào được sử
dụng cho tiền tố VRF cụ thể nào đó? Vì MP-BGP được sử dụng để quảng cáo tiền tố
vpnv4 nên nó cũng được sử dụng để báo hiệu nhãn VPN (còn gọi là nhãn BGP)
được sử dụng kết hợp với tiền tố vpnv4 đó.
Trong thực tế cách thức sử dụng một nhãn VPN để chỉ ra gói tin thuộc vào VRF
nào là không thực sự chính xác. Điều này có thể đúng trong một số trường hợp,
nhưng sai trong hầu hết các trường hợp. Một nhãn VPN thường chỉ ra next-hop mà
gói tin phải được thực hiện chuyển tiếp đến để gởi đến router PE. Vì thế, trong hầu
hết các trường hợp, mục đích chính của nhãn VPN là chỉ ra router CE nào đó là
next-hop của gói tin.
Lưu lượng VRF-to-VRF trong mạng MPLS VPN có hai nhãn. Nhãn đỉnh là nhãn
IGP được phân phối bởi LDP hay RSVP (cho TE) giữa tất cả các router P và PE qua
từng hop (hop by hop). Nhãn đáy là nhãn VPN được quảng cáo bởi MP-iBGP từ PE
đến PE. Các router P sử dụng nhãn IGP để chuyển tiếp gói tin đến chính xác router
ePE. Router ePE sử dụng nhãn VPN để chuyển tiếp gói IP đến chính xác router CE.
Họ Tên
: Lưu Văn Khuyến
Mã sinh viên : 1021040120 – Lớp : D11HTTT2
18
Báo cáo thực tập tốt nghiệp
Hình 3.5 Quá trình chuyển tiếp gói tin trong mạng MPLS VPN
3.2.6 Kết luận
Như vậy ta đã thấy được một ứng dụng của MPLS là dịch vụ mạng riêng ảo
MPLS-VPN. Trong chương này đã trình bày những thành phần cơ bản của một
mạng MPLS-VPN, mô hình lớp 3 và đặc biệt là nguyên lý hoạt động MPLS VPN.
Việc cấu hình trên thiết bị giả lập GNS3 sẽ trình bày vào phần sau.
Họ Tên
: Lưu Văn Khuyến
Mã sinh viên : 1021040120 – Lớp : D11HTTT2
19
Báo cáo thực tập tốt nghiệp
IV.
Cấu hình trên GNS3
Topology :
Hình 4.1 Topology MPLS L3VPN
Mô tả
- Bài lab này minh họa nhà cung cấp dịch vụ cung cấp các kết nối cho các khách
hàng qua mạng trục MPLS. Bằng cách sử dụng công nghệ MPLS VPN để đảm
bảo tính riêng tư của khách hàng.
- Trong bài lab này, ta sẽ cấu hình cho toàn mô hình bao gồm phía khách hàng và
nhà cung cấp dịch vụ. Trong đó:
•
R1-CE và R5-CE là 2 router của cùng 1 khách hàng A (Customer A).
•
R6-CE và R7-CE là 2 router của cùng 1 khách hàng B (Customer B).
Họ Tên
: Lưu Văn Khuyến
Mã sinh viên : 1021040120 – Lớp : D11HTTT2
20
Báo cáo thực tập tốt nghiệp
4.1
Command config.
Bước 1 : Cấu hình cơ bản
-
Đặt hostname cho Router :
R1(config)#hostname R1-CE
R2(config)#hostname R2-PE
R3(config)#hostname R3-P
R4(config)#hostname R4-PE
R5(config)#hostname R5-CE
R6(config)#hostname R6-CE
R7(config)#hostname R7-CE
-
Đặt địa chỉ IP :
Trên R1-CE :
R1-CE(config)#int F0/0
R1-CE(config-if)#ip add 192.168.12.1 255.255.255.0
Trên R2-PE
R2-PE(config)#int F0/0
R2-PE(config-if)#ip add 192.168.12.2 255.255.255.0
R2-PE(config)#int S1/0
R2-PE(config-if)#ip add 192.168.23.2 255.255.255.0
R2-PE(config)#int F0/1
R2-PE(config-if)#ip add 192.168.26.2 255.255.255.0
Trên R3-P
R3-P(config)#int S1/2
R3-P(config-if)#ip add 192.168.23.3 255.255.255.0
R3-P(config)#int S1/0
R3-P(config-if)#ip add 192.168.34.3 255.255.255.0
Trên R4-PE
R4-PE(config)#int S1/3
R4-PE(config-if)#ip add 192.168.34.4 255.255.255.0
R4-PE(config)#int F0/0
R4-PE(config-if)#ip add 192.168.45.4 255.255.255.0
Họ Tên
: Lưu Văn Khuyến
Mã sinh viên : 1021040120 – Lớp : D11HTTT2
21
Báo cáo thực tập tốt nghiệp
R4-PE(config)#int F0/1
R4-PE(config-if)#ip add 192.168.47.4 255.255.255.0
Trên R5-CE
R5-CE(config)#int F0/0
R5-CE(config-if)#ip add 192.168.45.5 255.255.255.0
Trên R6-CE
R6-CE(config)#int F0/1
R6-CE(config-if)#ip add 192.168.26.6 255.255.255.0
Trên R7-CE
R7-CE(config)#int F0/1
R7(config-if)#ip add 192.168.47.7 255.255.255.0
Bước 2: Định tuyến IP trong mạng lõi của nhà cung cấp dịch vụ bằng cách dùng
giao thức định tuyến OSPF
Trên R2-PE:
R2-PE(config)#router ospf 1
R2-PE(config-router)# network 2.2.2.2 0.0.0.0 area 0
R2-PE(config-router)# network 192.168.23.0 0.0.0.255 area 0
Trên R3-P:
R3-P(config)#router ospf 1
R3-P(config-router)# network 192.168.34.0 0.0.0.255 area 0
R3-P(config-router)# network 192.168.23.0 0.0.0.255 area 0
Trên R4-PE:
R3-P(config)#router ospf 1
R3-P(config-router)# network 4.4.4.4 0.0.0.0 area 0
Họ Tên
: Lưu Văn Khuyến
Mã sinh viên : 1021040120 – Lớp : D11HTTT2
22
Báo cáo thực tập tốt nghiệp
R3-P(config-router)# network 192.168.34.0 0.0.0.255 area 0
Bước 3: Cấu hình MPLS trong mạng lõi nhà cung cấp dịch vụ
R2-PE(config)# interface s1/3
R2-PE(config-if)#mpls label protocol ldp
R2-PE(config-if)#mpls ip
R3-P(config)# interface s1/2
R3-P(config-if)#mpls label protocol ldp
R3-P(config-if)#mpls ip
R3-P(config)# interface s1/0
R3-P(config-if)#mpls label protocol ldp
R3-P(config-if)#mpls ip
R4-PE(config)# interface s1/3
R3-PE(config-if)#mpls label protocol ldp
R3-PE(config-if)#mpls ip
Bước 4: Tạo bảng VRF tương ứng cho từng khách hàng trên các router PE
Customer A :
R2-PE(config)#ip vrf A
R2-PE(config-vrf)#rd 15:15
R2-PE(config-vrf)#route-target export 1:1
R2-PE(config-vrf)#route-target import 5:5
R4-PE(config)#ip vrf A
R4-PE(config-vrf)#rd 15:15
R4-PE(config-vrf)#route-target export 5:5
R4-PE(config-vrf)#route-target import 1:1
Họ Tên
: Lưu Văn Khuyến
Mã sinh viên : 1021040120 – Lớp : D11HTTT2
23
Báo cáo thực tập tốt nghiệp
Customer B :
R2-PE(config)#ip vrf B
R2-PE(config-vrf)#rd 67:67
R2-PE(config-vrf)#route-target export 6:6
R2-PE(config-vrf)#route-target import 7:7
R4-PE(config)#ip vrf B
R4-PE(config-vrf)#rd 67:67
R4-PE(config-vrf)#route-target export 7:7
R4-PE(config-vrf)#route-target import 6:6
Bước 5: Kết hợp (associate) bảng VRF với các interface của từng khách hàng.
Customer A:
R2-PE(config)# interface f0/0
R2-PE(config-if)#ip vrf forwarding A
R2-PE(config-if)#ip address 192.168.12.2 255.255.255.0
R4-PE(config)# interface f0/0
R4-PE(config-if)#ip vrf forwarding A
R4-PE(config-if)#ip address 192.168.45.4 255.255.255.0
Customer B:
R2-PE(config)# interface f0/1
R2-PE(config-if)#ip vrf forwarding B
Họ Tên
: Lưu Văn Khuyến
Mã sinh viên : 1021040120 – Lớp : D11HTTT2
24
Báo cáo thực tập tốt nghiệp
R2-PE(config-if)#ip address 192.168.26.2 255.255.255.0
R4-PE(config)# interface f0/1
R4-PE(config-if)#ip vrf forwarding B
R4-PE(config-if)#ip address 192.168.47.4 255.255.255.0
Bước 6: Định tuyến giữa PE và CE. Bằng cách sử dụng giao thức định tuyến OSPS
Cấu hình trên các router PE phía nhà cung cấp dịch vụ:
R2-PE(config)#router ospf 2 vrf A
R2-PE(config-router)#redistribute bgp 24 metric 10 subnets
R2-PE(config-router)#network 192.168.12.0 0.0.0.255 area 0
R2-PE(config-router)#address-family ipv4 vrf A
R2-PE(config-router-af)# redistribute ospf 2 vrf A metric 10
R2-PE(config-router-af)#no synchronization
R2-PE(config-router-af)#exit
R2-PE(config)#router ospf 3 vrf B
R2-PE(config-router)#redistribute bgp 24 metric 10 subnets
R2-PE(config-router)#network 192.168.26.0 0.0.0.255 area 0
R2-PE(config-router)#address-family ipv4 vrf B
R2-PE(config-router-af)# redistribute ospf 3 vrf B metric 10
R2-PE(config-router-af)#no synchronization
R2-PE(config-router-af)#end
R4-PE(config)#router ospf 2 vrf A
R4-PE(config-router)#redistribute bgp 24 metric 10 subnets
R4-PE(config-router)#network 192.168.45.0 0.0.0.255 area 0
Họ Tên
: Lưu Văn Khuyến
Mã sinh viên : 1021040120 – Lớp : D11HTTT2
25
