Tải bản đầy đủ (.docx) (42 trang)
  1. Trang chủ
    2. >>
  2. Giáo Dục - Đào Tạo
    3. >>
  3. Cao đẳng - Đại học

tổng quan về vpn, giới thiệu về công nghệ mpls

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (679.65 KB, 42 trang )

MỤC LỤC
Trang
CHƯƠNG I : TỔNG QUAN VỀ VPN
1.1

1.2

3

Giới thiệu về VPN

3

1.1.1 VPN là gì

3

1.1.2 Lợi ích VPN mang lại

4

1.1.3 Các thành phần cần thiết để tạo kết nối VPN

5

Các loại VPN

6

1.2.1
1.2.2



6
7

VPN remote Access
VPN site to site
- Intranet VPN
- Extranet VPN

CHƯƠNG II: GIỚI THIỆU VỀ CÔNG NGHỆ MPLS
2.1 Tổng quan về công nghệ MPLS

8
8

2.1.1 Giới thiệu công nghệ MPLS

8

2.1.2 Lịch sử phát triển

9

2.1.3 Lợi ích của MPLS

10

2.2 . Công nghệ chuyển mạch MPLS

11


2.2.1 Cấu trúc MPLS

11

2.2.2 Cấu trúc nhãn

12

2.2.3 Quá trình gán nhãn gói tin

14

2.3 Ứng dụng công nghệ MPLS-VPN

14

2.3.1 Giới thiệu MPLS-VPN

16

2.3.2 Mô hình mạng MPLS-VPN

18

2.3.3 Thành phần trong cấu trúc MPLS-VPN

19

2.3.4 Thông tin định tuyến qua môi trường MPLS-VPN


22

2.3.5 So sánh giữa MPLS-VPN và VPN truyền thống

23

Công nghệ MPLS tại Việt Nam
2.4 Mô hình triển khai

27
1


2.5.

Các bước triển khai cấu hình

28

Kiểm tra cấu hình
KẾT QUẢ ĐẠT ĐƯỢC

35

TÀI LIỆU THAM KHẢO
[1] TRIỂN KHAI CÔNG NGHỆ CHUYỂN MẠCH NHÃN MPLS - VPN
Tác giả: Phan Nguyễn Vũ Linh, Nguyễn Siêu Đẳng.
Khoa CNTT, Trường Cao Đẳng Nghề CNTT iSpace
[2] Các nguồn tổng hợp từ Internet.

Các thuật ngữ
ATM Asynchnorous Tranfer Mode

Truyền dẫn không đồng bộ

BGP Border Gateway Protocol

Giao thức cổng biên

CE Custome Edge

Biên phía khách hàng

CEF Cisco Express Forwarding

Chuyển tiếp nhanh của Cisco

DiffServ Differentiated Services

Dịch vụ khác biệt

E-LSR Egress LER

LER biên ra

FEC Forwarding Equivalency Class

Lớp chuyển tiếp tương đương

FTP File Tranfer Protocol


Giao thức truyền file

IGP Interior Gateway Protocol

Giao thức định tuyến tron

2


CHƯƠNG I : TỔNG QUAN VỀ VPN
1.1 Giới thiệu về VPN
1.1.1 VPN là gì.

Mạng riêng ảo hay còn được biết đến với từ viết tắt VPN,đây không phải là một khái
niệm mới trong công nghệ mạng. VPN có thể được định nghĩa như một dịch vụ mạng ảo
được triển khai trên cơ sở hạ tầng của hệ thống mạng công cộng với mục đích tiết kiệm
chi phí cho các kết nối điểm-điểm. Hai đặc điểm quan trọng của công nghệ VPN là
“riêng” và “ ảo ” tương ứng với hai thuật ngữ tiếng anh (Virtual and Private). VPN có
thể xuất hiện tại bất cứ lớp nào của mô hình OSI, VPN là sự cải tiến cơ sở hạ tầng mạng
WAN, làm thay đổi và tăng thêm tính chất của mạng cục bộ cho WAN.

Hình 1:VPN= đường hầm + mã hóa

3


Hình 2: Mô hình VPN

1.1.2

-

Lợi ích VPN mang lại
VPN làm giảm chi phí thường xuyên: VPN cho phép tiết kiệm chi phí đường
truyền và giảm chi phí phát sinh cho nhân viên ở xa nhờ vào việc họ truy cập vào hệ
thống nội bộ thông qua các điểm cung cấp dịch vụ ở địa phương POP(Point of
Presence), hạn chế thuê đường truy cập của nhà cung cấp dẫ đến giá thành cho việc

-

kết nối Lan-to-Lan giảm đi đáng kể so với việc thuê đường Leased-Line
Giảm chi phí quản lý và hỗ trợ: với việc sử dụng dịch vụ của nhà cung cấp,
chúng ta chỉ phải quản lý các kết nối đầu cuối tại các chi nhánh mạng không phải
quản lý các thiết bị chuyển mạch trên mạng. Đồng thời tận dụng cơ sở hạ tầng của
mạng Internet và đội ngũ kỹ thuật của nhà cung cấp dịch vụ.

4


-

VPN đảm bảo an toàn thông tin, tính toàn vẹn và xác thực: dữ liệu truyền trên
mạng được mã hóa bằng các thuật toán, đồng thới được truyền trong các đường hầm

-

(Tunnle) nên thông tin có độ an toàn cao.
VPN dễ dàng kết nối các chi nhánh thành một mạng cục bộ : việc tập trung quản
lý thông tin tại tất cả các chi nhánh là cần thiết. VPN có thể dễ dàng kết nối hệ thống
mạng giữa các chi nhánh và văn phòng trung tâm thành một mạng LAN với chi phí


-

thấp.
VPN hỗ trợ các giáo thức mạng thông dụng nhất hiện nay như TCP/IP: bảo mật
địa chỉ IP: thông tin được gửi đi trên VPN đã được mã hóa do đó các địa chỉ trên

mạng riêng được che giấu và chỉ sử dụng các địa chỉ bên ngoài Internet.
1.1.3 Các thành phần cần thiết cấu tạo nên kết nối VPN
- User authentication : cung cấp cơ chế chứng thực người dùng chỉ cho phép người
-

dùng hợp lệ kết nối vào hệ thống VPN
Address management : cung cấp địa chỉ IP hợp lệ cho người dùng sau khi gia nhập hệ
thống VPN có thể truy cập tài nguyên trên mạng nội bộ gia nhập hệ thống VPN để

-

truy cập tài nguyên trên mạng nội bộ.
Data Encryption : cung cấp giải pháp mã hóa dữ liệu trong quá trình truyền nhằm

-

đảm bảo tính riêng tư và toàn vẹn dữ liệu.
Key Management : cung cấp giải pháp quản lý các khóa dùng cho quá trình mã hóa
và giải mã dữ liệu.

1.2 Các loại VPN

1.2.1 VPN Remote Access

Cung cấp các kết nối truy cập từ xa đến một mạng Intranet hoặc Extranet dựa trên
hạ tầng được chia sẻ. VPN Remote Access sử dụng đường truyền qua Analog, Dial,
INDS, DSL, Mobile IP và cable để thiết lập kết nối đến các mobile user.
Một đặc điểm quan trọng của VPN Remote Access : cho phép người dùng di động
truy cập từ xa vào hệ thống nội bộ trong cong ty để làm việc.
Để thực hiện được VPN Remote Access cần có:
+ 1 VPN Getway(1 IP Public). Đây là địa điểm tập trung xử lý VPN Client quay số truy
cập hệ thống VPN nội bộ
+ các VPN client kết nối vào mạng Internet

5


Hình 3: mô hình VPN Remote Access
VPN Site - to – Site
VPN Site - to – Site được chia thành 2 loại Intranet VPN và Extranet VPN.
Intranet VPN : kết nối văn phòng trung tâm, các chi nhánh văn phòng ở xa vào

1.2.2

mạng nội bộ của công ty dưa trên hạ tầng được chia sẻ. Intranet VPN khác với
Extranet VPN ở chỗ chỉ cho phép các nhân viên nội bộ trong công ty truy cập vào hệ
-

thống mạng nội bộ của công ty.
Extranet VPN : kết nối bộ phận khách hàng của công ty, bộ phận tư vấn hoặc các
đối tác của công ty thành 1 hệ thống mạng dựa trên hạ tầng được chia sẻ. Extranet
VPN khác với Intranet VPN ở chỗ cho phép các user ngoài công ty truy cập vào hệ
thống.
Để thực hiện được VPN Site-to-Site cần có:


+

2 VPN getway(mỗi VPN getway có 1 IP public). Đây là điểm tập trung xư lý khi

VPN getway phía bên kia quay số truy cập vào.
+ Các clinet để nối vào hệ thống mạng nội bộ.

6


Hình 4: Mô hình VPN Site-to-Site

CHƯƠNG II: GIỚI THIỆU VỀ CÔNG NGHỆ MPLS
2.1 Tổng quan về công nghệ MPLS
2.1.1. Giới thiệu công nghệ MPLS
MPLS là một công nghệ kết hợp đặc điểm tốt nhất giữa định tuyến lớp ba và chuyển
mạch lớp hai cho phép chuyển tải các gói rất nhanh trong mạng lõi (core) và định tuyến
tốt ở mạng biên (edge) bằng cách dựa vào nhãn (label). MPLS là một phương pháp cải
tiến việc chuyển tiếp gói trên mạng bằng các nhãn được gắn với mỗi gói IP, tế bào ATM,
hoặc frame lớp hai. Phương pháp chuyển mạch nhãn giúp các Router và MPLS-enable
ATM switch ra quyết định theo nội dung nhãn tốt hơn việc định tuyến phức tạp theo địa
chỉ IP đích. MPLS kết nối tính thực thi và khả năng chuyển mạch lớp hai với định tuyến
lớp ba. Cho phép các ISP cung cấp nhiều dịch vụ khác nhau mà không cần phải bỏ đi cơ
sở hạ tầng sẵn có. Cấu trúc MPLS có tính mềm dẻo trong bất kỳ sự phối hợp với công
nghệ lớp hai nào.
7


MPLS hỗ trợ mọi giao thức lớp hai, triển khai hiệu quả các dịch cụ IP trên một

mạng chuyển mạch IP. MPLS hỗ trợ việc tạo ra các tuyến khác nhau giữa nguồn và đích
trên một đường trục Internet. Bằng việc tích hợp MPLS vào kiến trúc mạng, Các ISP có
thể giảm chi phí, tăng lợi nhuận, cung cấp nhiều hiệu quả khác nhau và đạt được hiệu
quả cạnh tranh cao.

Hình 5 : Mô hình MPLS cơ bản
Thành phần cơ bản của mạng MPLS:
-

Bộ định tuyến chuyển mạch nhãn(Label Switching router-LSR) .
Bộ định tuyến nhãn biên (Label Edge Router – LER)
Lớp chuyển tiếp tương đương FEC (Forwarding Equivalence Class)

- Tuyến chuyển mạch nhãn LSP (Label Switching Path) .
2.1.2. Lịch sử phát triển
Khi mạng Internet phát triển và mở rộng, lưu lượng Internet bùng nổ. Các ISP xử lý
bằng cách tăng dung lượng các kết nối và nâng cấp router nhưng vẫn không tránh khỏi
nghẽn mạch. Lý do là các giao thức định tuyến thường hướng lưu lượng vào cùng một
số các kết nối nhất định dẫn đến kết nối này bị quá tải trong khi một số tài nguyên khác
không được sử dụng.

8


Vào thập niên 90, các ISP phát triển mạng của họ theo mô hình chồng lớp (overlay)
bằng cách đưa ra giao thức IP over ATM . ATM là công nghệ connection-oriented, thiết
lập các kênh ảo (Virtual Circuit), tuyến ảo (Virtual Path) tạo thành một mạng logic nằm
trên mạng vật lý giúp định tuyến, phân bố tải đồng đều trên toàn mạng. Tuy nhiên, IP và
ATM là hai công nghệ hoàn toàn khác nhau, được thiết kế cho những môi trường mạng
khác nhau, khác nhau về giao thức, cách đánh địa chỉ, định tuyến, báo hiệu, phân bổ tài

nguyên.... Khi các ISP càng mở rộng mạng theo hướng IP over ATM, họ càng nhận rọ
nhược điểm của mô hình này, đó là sự phức tạp của mạng lưới do phải duy trì hoạt động
của hai hệ thống thiết bị. Sự bùng nổ của mạng Internet dẫn tới xu hướng hội tụ các
mạng viễn thông khác như mạng thoại, truyền hình dựa trên Internet, giao thức IP trở
thành giao thức chủ đạo trong lĩnh vực mạng. Xu hướng của các ISP là thiết kế và sử
dụng các router chuyên dụng, dung lượng chuyển tải lớn, hỗ trợ các giải pháp tích hợp,
chuyển mạch đa lớp cho mạng trục Internet. Nhu cầu cấp thiết trong bối cảnh này là phải
ra đời một công nghệ lai có khả năng kết hợp những đặc điểm tốt của chuyển mạch kênh
ATM và chuyển mạch gói IP. Và công nghệ MPLS ra đời trong bối cảnh này đã đáp
ứng được nhu cầu của thị trường đúng theo tiêu chí phát triển của Internet đã mang lại
những lợi ích thiết thực, đánh dấu một bước phát triển mới của mạng Internet trước xu
thế tích hợp công nghệ thông tin và viễn thông (ICT - Information Communication
Technology) trong thời kỳ mới.
Cisco phát hành ấn bản đầu tiên về chuyển mạch nhãn đa giao thức (MPLS) vào
tháng 3 năm 1998 và trong vài tháng gần đây công nghệ này được
c h u ẩ n h o á t ạ i n h ó m đặc trách kỹ thuật Internet (IETF). Một vài đặc tính MPLS
mới trở nên có giá trị trong năm nay sẽ cung cấp những khả năng mới cho các mạng
cung cấp dịch vụ. Các khả năng cơ bản mà MPLS cung cấp cho việc phân phối các dịch
vụ thương mại IP bao gồm:
- Hỗ trợ VPN
- Định tuyến thẳng (cũng được biết đến như là định tuyến có điều tiết
h a y đ i ề u khiển lưu lượng)
- Hỗ trợ cục bộ cho định tuyến IP trong các tổng đài chuyển mạch ATM.
2.1.3. Lợi ích của MPLS
9


- Làm việc với hầu hết các công nghệ liên kết dữ liệu
- Tương thích với hầu hết các giao thức định tuyến và các công nghệ khác liên quan đến
Internet

- Hoạt động độc lập với các giao thức định tuyến (routing protocol).
- Tìm đường đi linh hoạt dựa vào nhãn (label) cho trước.
- Hỗ trợ việc cấu hình quản trị và bảo trì hệ thống (OAM).
- Có thể hoạt động trong một mạng phân cấp.
- Có tính tương thích cao.
2.2. Công nghệ chuyển mạch MPLS
MPLS là chữ viết tắt của Multi Protocol Label Switching, chuyển mạch nhãn đa giao
thức. Mỗi gói tin IP bao gồm cả IPv4 và IPv6 hoặc cả những khung Frame lớp 2 khi đi
vào miền MPLS sẽ được gán nhãn và truyền đi trong môi trường mạng. Bằng cách này
gói tin có thể chuyển mạch nhanh hơn và có thể kết hợp được đa tầng mạng hợp nhất.
2.2.1. Cấu trúc MPLS
Cấu trúc của MPLS sẽ chia làm 02 mặt phẳng riêng .
- Mặt phẳng điều khiển: chứa các giao thức định tuyến để thiết lập các đường đi được
sử dụng cho việc chuyển tiếp gói tin ở lớp 3. Ngoài ra mặt phẳng điều khiển còn chứa
giáo thức phân phối nhãn để đáp ứng cho việc tạo và duy trì thông tin chuyển tiếp nhãn
(gọi là binding) giữa một nhóm switch chuyển mạch nhãn kết nối với nhau. Các giao
thức định tuyến như OSPF, ISIS, EIGRP và các giao thức trao đổi nhãn như LDP, BGP.
- Mặt phẳng dữ liệu: sử dụng cơ sở dữ liệu chuyển tiếp nhãn (LFIB-label forwarding
information base) được duy trì bởi một thiết bị chuyển mạch nhãn để thực hiện việc
chuyển tiếp gói tin dựa trên thông tin nhãn mang trên gói tin. Mặt phẳng dữ liệu chỉ là
một thành phần chuyển tiếp dựa trên nhãn đơn giản độc lập với các giao thức định tuyến
và các giao thức trao đổi nhãn.

10


Hình 6: Cấu trúc MPLS
2.2.2. Cấu trúc nhãn
Nhãn của MPLS là 1 trường 32 bit cố định với cấu trúc xác định. Trong đó :
-


Label : có giá trị từ 0->220 -1. Giá trị từ 0 à15 là giá trị dành riêng, sử dụng giá trị từ

-

16 -> 220 -1.
EXP (Experimental) : dùng cho QoS.
S (Bottom of Stack) : cho biết đây là nhãn cuối cùng của chồng nhãn (label stack)

-

chưa.
TTL (Time – To – Live) : tương tự như trường TTL của IP header.

Hình 7: Nhãn chứa MPLS
Một số nhãn đặc biệt trong công nghệ MPLS:

11


Hình 8: Nhãn đặc biệt trong MPLS
-

-

Nhãn untagged:
Gói MPLS được chuyển thành gói IP và được chuyển tiếp đến đích. Untagged
được dùng trong thực thi MPLS VPN.
Nhãn pop hay implicit null:
+ Nhãn này được gán bằng P Router gần LSR nhất khi gói tin MPLS được chuyển


đến LSR
+ Dùng 1 giá trị riêng là 3 khi được quảng bá bởi LSR láng giềng.
+ Nhãn được dùng trong mạng MPLS cho những trạm kế cuối.
Nhãn Explicit-null:
+ Được gán để giữ giá trị EXP cho nhãn top của gói đến.
+ Được sử dụng khi thực hiện QoS với MPLS
Nhãn aggregate:
Với nhãn này, khi gói tin MPLS đến nó bị bóc tất cả nhãn trong chồng nhãn ra
-

thành gói IP, sau đó tìm kiếm trong FIB để xác định giao thức ngõ ra cho gói tin này.

12


2.2.3. Quá trình gán nhãn gói tin
- Xây dựng bảng định tuyến :
+ Các Router sau khi khởi tạo sẽ dựa vào giao thức định tuyến để xây dựng bảng
định tuyến RIB (Routing Table Information Base) và được lưu trử trong mặt phẳng điều
khiển.
+ Dựa vào bảng RIB, Router sẽ tạo ra bảng FIB (Forwarding Information Base) và
được lưu trữ trong mặt phẳng dữ liệu.

Hình 9: Xây dựng bảng FIB
Xây dựng bảng LIB
Giao thức trao đổi nhãn LDP sẽ khởi tạo và trao đổi nhãn giữa những Router trong miền
-

MPLS để tạo ra bảng LIB (Label Information Base)


13


Hình 10: Xây dựng bảng LIB
-

Xây dựng bản LFIB
+ Sự kết hợp giữa bản LIB và bảng FIB sẽ tạo ra bảng LFIB.

Hình 11: Xây dựng bảng LFIB
-

Chuyển tiếp gói tin
+ Ở chặng đầu tiên, gói tin IP đi vào miền MPLS, Router biên sẽ dựa vào địa chỉ đích

tìm kiếm trong bảng FIB để gán nhãn cho gói tin.
+ Ở chặn kế tiếp, Router trong miền MPLS sẽ dựa vào nhãn được lưu trong bảng
LFIB để xác định nút kế tiếp, thay đổi nhãn và forward gói tin đi.
14


+ Ở chặn cuối cùng, Router biên sẽ dựa vào nhãn đặc biệt để gở bỏ gói tin và gởi ra
ngoài miền MPLS.

Hình 12: chuyển tiếp gói tin trong MPLS
2.3. Ứng dụng công nghệ MPLS vào mạng riêng ảo VPN
2.3.1. Giới thiệu MPLS-VPN
MPLS-VPN không giống như các mạng VPN truyền thống, các mạng MPLS-VPN
không sử dụng hoạt động đóng gói và mã hóa gói tin để đạt được mức độ bảo mật cao.

MPLS VPN sử dụng bảng chuyển tiếp và các nhãn “tags” để tạo nên tính bảo mật cho
mạng VPN. Kiến trúc mạng loại này sử dụng các tuyến mạng xác định để phân phối các
dịch vụ iVPN, và các cơ chế xử lý thông minh của MPLS VPN lúc này nằm hoàn toàn
trong phần lõi của mạng.
MPLS-VPN là công nghệ mạng riêng ảo được xây dựng dựa trên hạ tầng của MPLS.
Một mạng riêng yêu cầu các khách hang đầu cuối có thể kết nối với nhau và hoàn toàn
độc lập với các mạng riêng khác. Ngày nay, mỗi công ty đều có các chi nhánh được
phân bố khắp nơi, yêu cầu của công nghệ VPN là xây dựng các kết nối ảo (Tunnel) thay
15


cho các kết nối thật (Lease Line) kết nối các chi nhánh lại với nhau thông qua hạ tầng
của nhà cung cấp dịch vụ chung. Dịch vụ VPN được xây dựng dưa trên 2 mô hình chính:
-

Overlay VPNs: dùng khi ISP cung cấp kết nối ảo (virtual point-to-point links) giữa
các site khách hàng (Frame Relay là 1 ví dụ của Overlay VPNs).

Hình 13: Overlay VPNs
-

Peer-to-peer VPNs: dùng khi ISP cùng tham gia trong quá trình định tuyến cho khách
hàng.

16


Hình 14: Peer-to-peer VPNs
2.3.2. Mô hình mạng MPLS-VPN
Nhà cung cấp dịch vụ sẽ cung cấp hạ tầng dùng chung cho các khác hàng có kết nối

VPN trong đó:
-

Mạng khách hàng (customer network): thường là miền điều khiển của khách hàng
gồm các thiết bị hay các router trải rộng trên nhiều site của cùng một khách hàng.
Các router CE- là những router trong mạng khách hàng giao tiếp với mạng của nhà
cung cấp. Ở hình 10, mạng khách hàng của Customer A gồm các router CE1-A, CE2A và các thiết bị trong Site1 và Site2 của Customer A. Các router CE của Customer A

-

là CE1-A, CE2-A, router CE của Customer B là CE1-B, CE2-B.
Mạng của nhà cung cấp (provider network): miền thuộc điều khiển của nhà cung
cấp gồm các router biên và lõi để kết nối các site thuộc vào các khách hàng trong
một hạ tầng mạng chia sẻ. Các router PE là các router trong mạng của nhà cung cấp
giao tiếp với router biên của khách hàng. Các router P là router trong lõi của mạng,
giao tiếp với router lõi khác hoặc router biên của nhà cung cấp. Trong hình 10, mạng
17


của nhà cung cấp gồm các router PE1, PE2, P1, P2, P3, P4. Trong đó, PE1 và PE2 là
router biên của nhà cung cấp trong miền MPLS-VPN cho khách hàng A và B.
Router P1, P2, P3, P4 là router nhà cung cấp

Hình 15: Cấu trúc mạng MPLS-VPN
2.3.3. Thành phần trong cấu trúc MPLS-VPN
- Bảng định tuyến và chuyển mạnh ảo VRF
VRF -Virtual Routing Forwarding: là một tổ hợp định tuyến và chuyển mạch đi kèm
với một giao thức định tuyến trên PE router. Trên PE mỗi VRF được gán cho 1 VPN của
khách hang để phân biệt các khách hang với nhau. Chấp nhận cho phép các khách hang
khác nhau có thể trùng lập IP lẫn nhau.


18


Hình 16: Chức năng của VRF
-

Route Distinguisher
Trong mô hình định tuyến MPLS VPN, router PE phân biệt các khách hàng bằng

VRF. Tuy nhiên, thông tin này cần được mang theo giữa các router PE để cho phép
truyền dữ liệu giữa các site khách hàng qua MPLS VPN backbone. Router PE phải có
khả năng thực thi các tiến trình cho phép các mạng khách hàng kết nối vào có không
gian địa chỉ trùng lắp (overlapping address spaces). Router PE học các tuyến này từ các
mạng khách hàng và quảng bá thông tin này bằng mạng trục chia sẻ của nhà cung cấp
(share provider backbone). Điều này thực hiện bằng việc kết hợp với RD (route
distinguisher) trong bảng định tuyến ảo (virtual routing table) trên một route PE. RD là
một định danh 64-bit duy nhất, thêm vào trước 32-bit địa chỉ tuyến được học từ router
CE tạo thành địa chỉ 96-bit duy nhất có thể được chuyển vận giữa các router PE trong
miền MPLS. Do đó, duy nhất một RD được cấu hình cho 1 VRF trên router PE. Địa chỉ
96-bit cuối cùng (tổng hợp của 32-bit địa chỉ khách hàng và 64-bit RD) được gọi là một
địa chỉ VPNv4 (Hình 17).
Địa chỉ VPNv4 được truyền tải giữa các Router PE bằng giáo thức MPBGP
(Multiprotocol BGP).
19


Hình 17: Hoạt động của RD
-


Route-Target (RT)
RD chỉ sử dụng riêng cho 1 VPN để phân biệt địa chỉ IP đẫn đến việc các khách hang

có nhiều kết nối VPN trở nên khó giải quyết. Khi thực thi các cấu trúc mạng VPN phức
tạp (như: extranet VPN, Internet access VPNs, network management VPN…) sử dụng
công nghệ MPLS VPN thì RT giữ vai trò nồng cốt. Một địa chỉ mạng có thể được kết
hợp với một hoặc nhiều export RT khi quảng bá qua mạng MPLS VPN. Như vậy , RT có
thể kết hợp với nhiều site thành viên của nhiều VPN.
2.3.4. Thông tin định tuyến qua môi trường MPLS-VPN

20


Hình 18: Thông tin định tuyến qua môi trường MPLS
-

Gói tin IPv4 được gởi từ CE Router đến PE Router và được cập nhật vào trong

-

bảng VRF.
Gói tin IPv4 sẽ được gắn vào thông số RD để phân biệt những địa chỉ IP trùng lấp
trở thành địa chỉ VPNv4 và được gởi từ PE router này đến PE router khác bằng giao

-

thức MP BGP.
PE Router đầu xa nhận được địa chỉ VPNv4 gở bỏ giá trị RD , cho vào bảng VRF
dựa vào giá trị RT để xác định cổng ra và gởi đến cho CE Router đích.


2.3.5

So sánh giữa MPLS-VPN và VPN truyền thống

VPN truyền thống:
-

Độ trễ của mạng
21


Các mạng VPN tuyền thống sử dụng 3 chức năng bảo mật như: tạo đường hầm
(Tunneling), mã hóa dữ liệu (Encryption) và chứng thực (Authentication). Hạn chế đầu
tiên và cũng là dễ nhận thấy nhất ở IPSec đó là làm giảm hiệu năng của mạng. Khi xét
đường đi giữa hai máy tính A và B ở hai chi nhánh khác nhau. Khi A gởi gói tin cho B,
gói tin sẽ được gởi đến VPN Server ở chi nhánh A, VPN Server này sẽ kiểm tra gói tin
xem liệu nó có cần thiết để chuyển đến VPN Server bên kia không. Với giao thức
IPSec, đầu tiên, gói tin phải được mã hóa, sau đó đóng gói vào các gói IP, hoạt động này
tiêu tốn thời gian và gây trễ cho gói tin. Khi gói tin đến được VPN Server bên kia, nó lại
phải được mở gói và giải mã, sau đó mới được chuyển đến máy B bằng gói IP, điều này
một lần nữa lại làm tăng thêm độ trễ của mạng.
- Chi phí triển khai
Để cải thiện điều này, nhiều thiết bị phần cứng có tốc độ xử lý gói tin rất lớn được
ra đời nhưng lại tỉ lệ thuận với giá thành, điều này làm cho chi phí triển khai IPSec VPN
rất lớn. Lại nói về chi phí, một điểm chúng ta cần cân nhắc khi triển khai các mạng
VPN đó là các VPN Server – Customer Premise Equipment (CPE). Mỗi một CPE phải
đóng vai trò như là một Router và có khả năng hỗ trợ Tunneling. Những CPE với chức
năng này có giá thành rất cao, điều này lần nữa làm nổi bật yêu cầu chi phí khi xây dựng
mạng IPSec VPN. Để khắc phục điều này, cách duy nhất là tải các phần mềm IPSec
Client vào tất cả các PC, cách này giảm thiểu được chi phí nhưng ngược lại đòi hỏi sự

hỗ trợ người dùng, khó khăn trong quản lý mạng và hiệu năng thì không cao.
- Khó khăn mở rộng và bảo trì
Khai thác và bảo dưỡng cũng là một vấn đề nữa của các mạng IPSec VPN vì mỗi
một đường hầm IPSec đều phải được thiết lập bằng tay. Cấu hình cho một đường hầm
IPSec đơn lẻ không phải là vấn đề thế nhưng thời gian để thiết lập và duy trì một mạng
VPN với nhiều site sẽ tăng lên đáng kể khi kích thước mạng được mở rộng. đặc biệt là
với mạng VPN có cấu hình “full mesh” thì các nhà cung cấp dịch vụ sẽ gặp nhiều khó
khăn trong hỗ trợ và xử lý sự cố kỹ thuật.
- Vấn đề bảo mật
Vấn đề bảo mật cũng cần được quan tâm trong các mạng VPN. Mỗi CPE có thể
truy nhập vào mạng Internet công cộng nhưng tin tức vẫn cần được bảo mật trong quá

22


trình truyền giữa các site. Vì vậy, mỗi thiết bị CPE phải có biện pháp bảo mật nhất định
(như Firewall).
Và sự quản lý các firewall này sẽ trở nên rất khó khăn nhất là khi kích thước của
mạng rất lớn. Với một mạng VPN khoảng 100 nút mạng, sẽ cần 100 firewall và mỗi khi
cần một sự thay đổi nhỏ trong chính sách (policy) của firewall, chúng ta phải tiếp cận cả
100 firewall này trong mạng. Rõ ràng đây là một điểm hạn chế lớn của các mạng IPSec
VPN về khía cạnh bảo mật.
MPLS VPN:
-

Độ trễ của mạng
Trễ trong mạng được giữ ở mức thấp nhất vì các gói tin lưu chuyển trong mạng

không phải thông qua các hoạt động như đóng gói và mã hóa. Sở dĩ không cần chức
năng mã hóa là vì MPLS VPN tạo nên một mạng riêng. Phương pháp bảo mật này gần

giống như bảo mật trong mạng Frame Relay. Ngoài ra, cơ chế chuyển mạch dựa vào
thông tin nhãn giúp MPLS VPN cải thiện tốc độ chuyển mạch và cũng giảm độ trễ gói
tin trong mạng so mới IPSec VPN.
- Chi phí thiết bị
Toàn bộ thông tin định tuyến giữa các chi nhánh của khách hàng được ISP quản lý
trên các PE Router thông qua các bảng VRF. Đó là một trong những ưu điểm lớn nhất
của MPLS VPN, không đòi hỏi các thiết bị CPE thông minh bởi vì toàn bộ các chức
năng VPN được thực hiện ở phía trong mạng lõi của nhà cung cấp dịch vụ và hoàn toàn
“trong suốt” đối với các CPE. Các CPE không đòi hỏi chức năng VPN và hỗ trợ IPSec.
điều này có nghĩa là khách hàng không phải chi phí quá cao cho các thiết bị CPE.
- Khả năng mở rộng
Việc tạo một mạng đầy đủ (full mesh) VPN, hay sâu hơn là khả khả năng mở rộng
của mạng MPLS VPN hoàn toàn đơn giản vì các MPLS VPN không sử dụng cơ chế tạo
đường hầm. Vì vậy, cấu hình mặc định cho các mạng MPLS VPN là full mesh, chỉ cần
một kết nối duy nhất cho mỗi remote site. trong đó các site được nối trực tiếp với PE vì
vậy các site bất kỳ có thể trao đổi thông tin với nhau trong VPN. Và thậm chí, nếu site
trung tâm gặp trục trặc, các site khác vẫn có thể liên lạc với nhau. Hoạt động khai thác
và bảo dưỡng cũng đơn giản hơn trong mạng MPLS-VPN. Hoạt động này chỉ cần thực
23


hiện tại các thiết bị bên trong mạng core mà không cần phải tiếp xúc đến các CPE. Một
khi một site đã được cấu hình xong, ta không cần đụng chạm đến nó nữa cho dù nếu
muốn thêm một site mới vào mạng vì những thay đổi về cấu hình lúc này chỉ cần thực
hiện tại PE mà nó nối tới.
- Vấn đề bảo mật
Vấn đề bảo mật thậm chí còn đơn giản hơn nhiều khi triển khai trong các mạng
MPLS VPN vì một VPN hoàn toàn dựa trên mạng Core của ISP khép kín, bản thân nó
đã đạt được sự an toàn thông tin do không có kết nối với mạng Internet công cộng. Nếu
có nhu cầu truy nhập Internet, một tuyến sẽ được thiết lập để cung cấp khả năng truy

nhập. Lúc này, một firewall sẽ được sử dụng trên tuyến này để đảm bảo một kết nối bảo
mật cho toàn bộ mạng VPN. Cơ chế hoạt động này rõ ràng dễ dàng hơn nhiều cho hoạt
động quản lý mạng vì chỉ cần duy trì các chính sách bảo mật cho một firewall duy nhất
mà vẫn đảm bảo an toàn cho toàn bộ VPN.

GIẢI PHÁP
TIÊU CHÍ

MPLS VPN

IP VPN

Công
nghệ
chuyển mạch

Chuyển
Nhãn

Chuyển mạch IP

Hạ tầng mạng

Mạng Core của
ISP

mạch

Internet


24


Tốc độ chuyển
mạch

Cao

Thấp

Thời gian
mạng

Thấp

Cao

Tỉ lệ mất gói tin

Thấp

Cao

Độ bảo
thông tin

Rất cao

Tương đối


Cao, dễ dàng

Khó mở rộng với mạng lớn

Chi phí thiết bị

Thấp

Rất cao nếu muốn đảm bảo
chất lượng

Chi phí dịch vụ

Có phí

Miễn phí

Đơn vị thực hiện

ISP

Khách hàng

trễ

mật

Khả năng mở
rộng


Bảng đánh giá dưới góc độ khách hàng và quá trình phân tích các tiêu chí
Như vậy, có thể thấy rằng MPLS-VPN đáp ứng được những yêu cầu đặt ra của một
mạng VPN, đồng thời giải quyết được một cách triệt để những hạn chế của các mạng
VPN truyền thống dựa trên công nghệ ATM, Frame Relay và đường hầm IP.
Công nghệ MPLS-VPN tại Việt Nam:
MPLS hiện đang được xúc tiến xây dựng trong mạng truyền tải của Tổng Công Ty
Bưu Chính Viễn Thông (VNPT). Với dự án VoIP đang triển khai, VNPT đã thiết lập
mạng trục MPLS với 3 LSR lõi. Các LSR biên sẽ được tiếp tục đầu tư và mở rộng tại
25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×