Tải bản đầy đủ (.doc) (36 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Quản trị Web

tim hieu ve cong nghe MPLSVPN

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.71 MB, 36 trang )

CHƯƠNG I : TỔNG QUAN VỀ MẠNG RIÊNG ẢO VPN
1.1 Định nghĩa
Mạng riêng ảo VPN được định nghĩa là một kết nối mạng triển khai trên cơ
sở hạ tầng mạng công cộng (như mạng Internet) với các chính sách quản lý và bảo
mật giống như mạng cục bộ.

Hình 1.1 Mô hình VPN
Các thuật ngữ dùng trong VPN như sau:
Virtual- nghĩa là kết nối là động, không được gắn cứng và tồn tại như một kết
nối khi lưu lượng mạng chuyển qua. Kết nối này có thể thay đổi và thích ứng với
nhiều môi trường khác nhau và có khả năng chịu đựng những khuyết điểm của
mạng Internet. Khi có yêu cầu kết nối thì nó được thiết lập và duy trì bất chấp cơ sở
hạ tầng mạng giữa những điểm đầu cuối.
Private- nghĩa là dữ liệu truyền luôn luôn được giữ bí mật và chỉ có thể bị truy
cập bởi những nguời sử dụng được trao quyền. Điều này rất quan trọng bởi vì giao
thức Internet ban đầu TCP/IP- không được thiết kế để cung cấp các mức độ bảo mật.
Do đó, bảo mật sẽ được cung cấp bằng cách thêm phần mềm hay phần cứng VPN.
Network- là thực thể hạ tầng mạng giữa những người sử dụng đầu cuối, những
trạm hay những node để mang dữ liệu. Sử dụng tính riêng tư, công cộng, dây dẫn,
vô tuyến, Internet hay bất kỳ tài nguyên mạng dành riêng khác sẵn có để tạo nền
mạng.
Mạng riêng ảo VPN không phải là khái niệm mới, chúng đã từng được sử dụng
trong các mạng điện thoại trước đây nhưng còn một số hạn chế. Trong thời gian gần
đây, do sự phát triển của mạng thông minh, cơ sở hạ tầng mạng IP đã làm cho VPN
thực sự có tính mới mẻ. VPN cho phép thiết lập các kết nối riêng với những người
dùng ở xa…


1.2 Chức năng và ưu nhược điểm của VPN
1.2.1 Chức năng
VPN cung cấp ba chức năng chính đó là: tính xác thực (Authentication), tính


toàn vẹn (Integrity) và tính bảo mật (Confidentiality).

 Tính xác thực : Để thiết lập một kết nối VPN thì trước hết cả hai phía phải
xác thực lẫn nhau để khẳng định rằng mình đang trao đổi thông tin với người
mình mong muốn chứ không phải là một người khác.
 Tính toàn vẹn : Đảm bảo dữ liệu không bị thay đổi hay đảm bảo không có bất
kỳ sự xáo trộn nào trong quá trình truyền dẫn.
 Tính bảo mật : Người gửi có thể mã hoá các gói dữ liệu trước khi truyền qua
mạng công cộng và dữ liệu sẽ được giải mã ở phía thu. Bằng cách làm như
vậy, không một ai có thể truy nhập thông tin mà không được phép. Thậm chí
nếu có lấy được thì cũng không đọc được.
1.2.2 Ưu điểm
VPN mang lại lợi ích thực sự và tức thời cho các công ty. Có thể dùng VPN
không chỉ để đơn giản hoá việc thông tin giữa các nhân viên làm việc ở xa, người
dùng lưu động, mở rộng Intranet đến từng văn phòng, chi nhánh, thậm chí triển khai
Extranet đến tận khách hàng và các đối tác chủ chốt mà còn làm giảm chi phí cho
công việc trên thấp hơn nhiều so với việc mua thiết bị và đường dây cho mạng
WAN riêng. Những lợi ích này dù trực tiếp hay gián tiếp đều bao gồm: Tiết kiệm chi
phí (cost saving), tính mềm dẻo (flexibility), khả năng mở rộng (scalability) và một
số ưu điểm khác.
 Tiết kiệm chi phí
Việc sử dụng một VPN sẽ giúp các công ty giảm được chi phí đầu tư và chi
phí thường xuyên. Tổng giá thành của việc sở hữu một mạng VPN sẽ được thu nhỏ,
do chỉ phải trả ít hơn cho việc thuê băng thông đường truyền, các thiết bị mạng
đường trục và duy trì hoạt động của hệ thống. Giá thành cho việc kết nối LAN-toLAN giảm từ 20 tới 30% so với việc sử dụng đường thuê riêng truyền thống. Còn
đối với việc truy cập từ xa giảm từ 60 tới 80%.
Bảng 1.1: Chi phí hàng tháng cho các mạng dùng đường thuê kép so với

Internet VPN.
Thành phố


Khoảng cách
(dặm)

Chi phí cho T1

Chi phí cho Internet
VPN


San FranCiscoDenver

1.267

$13.535

$1.900

Denver-chicago

1.023

$12.315

$1.900

Chicago-New York

807


$11.235

$1.900

Denver-Salt Lake

537

$6.285

$1.900

Denver-Dallas

794

$7.570

$1.900

New YorkWashington

235

$4.775

$1.900

New York- Boston


194

$4.570

$1.900

Tổng

4857

$60.285

$13.300

Bảng 1.2: Chi phí hàng tháng cho các mạng dùng đường thuê riêng so với

internet VPN .
Thành phố

Khoảng cách

Chi phí cho T1

(dặm)

Cho phí cho
Internet VPN

Boston-New York


194

$4.570

$1.900

New YorkWashington

235

$4.775

$1.900

$9.345

$3.800

Tổng

429

 Tính linh hoạt
Tính linh hoạt ở đây không chỉ là linh hoạt trong quá trình vận hành và khai
thác mà nó còn thực sự mềm dẻo đối với yêu cầu sử dụng. Khách hàng có thể sử
dụng kết nối T1, T3 giữa các văn phòng và nhiều kiểu kết nối khác cũng có thể được
sử dụng để kết nối các văn phòng nhỏ, các đối tượng di động. Nhà cung cấp dịch vụ
VPN có thể cung cấp nhiều lựa chọn cho khách hàng, có thể là kết nối modem 56
kbit/s, ISDN 128 kbit/s, xDSL, T1, T3 …
 Khả năng mở rộng

Do VPN được xây dựng dựa trên cơ sở hạ tầng mạng công cộng (Internet), bất
cứ ở nơi nào có mạng công cộng là đều có thể triển khai VPN. Mà mạng công cộng
có mặt ở khắp mọi nơi nên khả năng mở rộng của VPN là rất linh động. Một cơ
quan ở xa có thể kết nối một cách dễ dàng đến mạng của công ty bằng cách sử dụng
đường dây điện thoại hay DSL…Và mạng VPN dễ dàng gỡ bỏ khi có nhu cầu.
Khả năng mở rộng băng thông là khi một văn phòng, chi nhánh yêu cầu băng
thông lớn hơn thì nó có thể được nâng cấp dễ dàng.


 Giảm thiểu các hỗ trợ kỹ thuật
Việc chuẩn hoá trên một kiểu kết nối từ đối tượng di động đến một POP của
ISP và việc chuẩn hoá các yêu cầu về bảo mật đã làm giảm thiểu nhu cầu về nguồn
hỗ trợ kỹ thuật cho mạng VPN. Và ngày nay, khi mà các nhà cung cấp dịch vụ đảm
nhiệm các nhiệm vụ hỗ trợ mạng nhiều hơn thì những yêu cầu hỗ trợ kỹ thuật đối
với người sử dụng ngày càng giảm.
 Giảm thiểu các yêu cầu về thiết bị
Bằng việc cung cấp một giải pháp đơn cho các xí nghiệp truy cập bằng quay số
truy cập Internet, VPN yêu cầu về thiết bị ít hơn, đơn giản hơn nhiều so với việc bảo
trì các modem riêng biệt, các card tương thích (adapter) cho các thiết bị đầu cuối và
các máy chủ truy cập từ xa. Một doanh nghiệp có thể thiết lập các thiết bị khách
hàng cho một môi trường đơn, như môi trường T1.
Đáp ứng các nhu cầu thương mại
Các sản phẩm dịch vụ VPN tuân theo chuẩn chung hiện nay, một phần để đảm
bảo khả năng làm việc của sản phẩm nhưng có lẽ quan trọng hơn là để sản phẩm của
nhiều nhà cung cấp khác nhau có thể làm việc với nhau.
Đối với các thiết bị và Công nghệ Viễn thông mới thì vấn đề cần quan tâm
là chuẩn hoá, khả năng quản trị, khả năng mở rộng, khả năng tích hợp mạng, tính
kế thừa, độ tin cậy và hiệu suất hoạt động, đặc biệt là khả năng thương mại của
sản phẩm.
1.2.3 Nhược điểm và các vấn đề cần khắc phục

 Sự rủi ro an ninh
Một mạng riêng ảo thường rẻ và hiệu quả hơn so với giải pháp sử dụng kênh
thuê riêng. Tuy nhiên, nó cũng tiềm ẩn nhiều rủi ro an ninh khó lường trước. Mặc dù
hầu hết các nhà cung cấp dịch vụ quảng cáo rằng giải pháp của họ là đảm bảo an
toàn, sự an toàn không bao giờ là tuyệt đối. Cũng có thể làm cho mạng riêng ảo khó
phá hoại hơn bằng cách bảo vệ tham số của mạng một cách thích hợp, song điều này
lại ảnh hưởng đến giá thành của dịch vụ.
 Độ tin cậy và sự thực thi
VPN sử dụng phương pháp mã hoá để bảo mật dữ liệu, và các hàm mật mã
phức tạp có thể dẫn đến lưu lượng tải trên các máy chủ khá nặng. Nhiệm vụ của
người quản trị mạng là quản lí tải trên máy chủ bằng cách giới hạn số kết nối đồng
thời để biết máy chủ nào có thể điều khiển. Tuy nhiên, khi số người cố gắng kết
nối tới VPN đột nhiên tăng vọt và phá vỡ hết quá trình truyền tin, thì chính các
nhân viên quản trị này cũng không thể kết nối được vì tất cả các cổng của VPN


đều bận. Điều đó chính là động cơ thúc đẩy người quản trị tạo ra các khoá ứng
dụng làm việc mà không đòi hỏi VPN. Chẳng hạn thiết lập dịch vụ Proxy hoặc
dịch vụ Internet Message Access Protocol để cho phép nhân viên truy nhập e-mail
từ nhà hay trên đường.
1.3 Phân loại mạng và các mô hình VPN
1.3.1 Phân loại mạng VPN
Mục tiêu đặt ra đối với công nghệ mạng VPN là thoả mãn ba yêu cầu cơ bản
sau:
- Tại mọi thời điểm, các nhân viên của công ty có thể truy nhập từ xa hoặc di
động vào mạng nội bộ của công ty.
- Nối liền các chi nhánh, văn phòng di động.
- Khả năng điều khiển được quyền truy nhập của khách hàng, các nhà cung
cấp dịch vụ hoặc các đối tượng bên ngoài khác.
Dựa vào những yêu cầu cơ bản trên, mạng riêng ảo VPN được phân làm ba

loại:
- Mạng VPN truy nhập từ xa (Remote Access VPN)
- Mạng VPN cục bộ (Intranet VPN)
- Mạng VPN mở rộng (Extranet VPN)
a) Mạng VPN truy nhập từ xa
Các VPN truy nhập từ xa cung cấp khả năng truy nhập từ xa. Tại mọi thời
điểm, các nhân viên, chi nhánh văn phòng di động có khả năng trao đổi, truy nhập
vào mạng của công ty. Kiểu VPN truy nhập từ xa là kiểu VPN điển hình nhất. Bởi
vì, những VPN này có thể thiết lập bất kể thời điểm nào, từ bất cứ nơi nào có mạng
Internet. VPN truy nhập từ xa mở rộng mạng công ty tới những người sử dụng
thông qua cơ sở hạ tầng chia sẻ chung, trong khi những chính sách mạng công ty
vẫn duy trì. Chúng có thể dùng để cung cấp truy nhập an toàn từ những thiết bị di
động, những người sử dụng di động, những chi nhánh và những bạn hàng của công
ty. Những kiểu VPN này được thực hiện thông qua cơ sở hạ tầng công cộng bằng
cách sử dụng công nghệ ISDN, quay số, IP di động, DSL và công nghệ cáp và
thường yêu cầu một vài kiểu phần mềm client chạy trên máy tính của người sử
dụng.


Hình 1.2 Mô hình mạng VPN truy nhập từ xa
Các ưu điểm của mạng VPN truy nhập từ xa so với các phương
pháp truy nhập từ xa truyền thống như:
Mạng VPN truy nhập từ xa không cần sự hỗ trợ của nhân viên mạng bởi vì
quá trình kết nối từ xa được các ISP thực hiện.
Giảm được các chi phí cho kết nối từ khoảng cách xa bởi vì các kết nối
khoảng cách xa được thay thế bởi các kết nối cục bộ thông qua mạng
Internet.
Cung cấp dịch vụ kết nối giá rẻ cho những người sử dụng ở xa.
-


Bởi vì các kết nối truy nhập là nội bộ nên các Modem kết nối hoạt động ở
tốc độ cao hơn so với các truy nhập khoảng cách xa.

-

VPN cung cấp khả năng truy nhập tốt hơn đến các site của công ty bởi vì
chúng hỗ trợ mức thấp nhất của dịch vụ kết nối.

Mặc dù có nhiều ưu điểm nhưng mạng VPN truy nhập từ xa
vẫn còn những nhược điểm cố hữu đi cùng như:
-

Mạng VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo QoS.
Nguy cơ bị mất dữ liệu cao. Hơn nữa, nguy cơ các gói có thể bị phân phát
không đến nơi hoặc mất gói.
Bởi vì thuật toán mã hoá phức tạp, nên tiêu đề giao thức tăng một cách
đáng kể.

b) Mạng VPN cục bộ
Các VPN cục bộ được sử dụng để bảo mật các kết nối giữa các địa điểm khác
nhau của một công ty. Mạng VPN liên kết trụ sở chính, các văn phòng, chi nhánh
trên một cơ sở hạ tầng chung sử dụng các kết nối luôn được mã hoá bảo mật. Điều
này cho phép tất cả các địa điểm có thể truy nhập an toàn các nguồn dữ liệu được
phép trong toàn bộ mạng của công ty. Những VPN này vẫn cung cấp những đặc tính
của mạng WAN như khả năng mở rộng, tính tin cậy và hỗ trợ cho nhiều kiểu giao
thức khác nhau với chi phí thấp nhưng vẫn đảm bảo tính mềm dẻo. Kiểu VPN này
thường được cấu hình như là một VPN Site- to- Site.


Hình 1.3 Mô hình mạng VPN cục bộ

Những ưu điểm chính của mạng cục bộ dựa trên giải pháp VPN
bao gồm:
- Các mạng lưới cục bộ hay toàn bộ có thể được thiết lập (với điều kiện mạng
thông qua một hay nhiều nhà cung cấp dịch vụ).
- Giảm được số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi xa
- Bởi vì những kết nối trung gian được thực hiện thông qua mạng Internet, nên
nó có thể dễ dàng thiết lập thêm một liên kết ngang cấp mới.
- Tiết kiệm chi phí thu được từ những lợi ích đạt được bằng cách sử dụng
đường ngầm VPN thông qua Internet kết hợp với công nghệ chuyển mạch
tốc độ cao. Ví dụ như công nghệ Frame Relay, ATM. Tuy nhiên mạng cục bộ
dựa trên giải pháp VPN cũng có những nhược điểm đi cùng như:
-

Bởi vì dữ liệu được truyền “ngầm” qua mạng công cộng – mạng Internet –
cho nên vẫn còn những mối “đe dọa” về mức độ bảo mật dữ liệu và mức độ
chất lượng dịch vụ (QoS).

- Khả năng các gói dữ liệu bị mất trong khi truyền dẫn vẫn còn khá cao.
- Trường hợp truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với
yêu cầu truyền dẫn tốc độ cao và đảm bảo thời gian thực là thách thức lớn
trong môi trường Internet.
c) Mạng VPN mở rộng
Không giống VPN cục bộ và VPN truy nhập từ xa, VPN mở rộng không bị cô
lập với “thế giới bên ngoài”.


Hình 1.4 Mô hình mạng VPN mở rộng
Các VPN mở rộng cung cấp một đường hầm bảo mật giữa các
khách hàng, các nhà cung cấp và các đối tác qua một cơ sở hạ
tầng công cộng. Kiểu VPN này sử dụng các kết nối luôn luôn được

bảo mật và được cấu hình như một VPN Site–to– Site. Sự khác nhau
giữa một VPN cục bộ và một VPN mở rộng đó là sự truy cập mạng
được công nhận ở một trong hai đầu cuối của VPN.
Những ưu điểm chính của mạng VPN mở rộng:
-

Chi phí cho mạng VPN mở rộng thấp hơn rất nhiều so với
mạng truyền thống.

-

Dễ dàng thiết lập, bảo trì và dễ dàng thay đổi đối với mạng
đang hoạt động.

-

Vì mạng VPN mở rộng được xây dựng dựa trên mạng
Internet nên có nhiều cơ hội trong việc cung cấp dịch vụ và
chọn lựa giải pháp phù hợp với các nhu cầu của mỗi công ty
hơn.

-

Bởi vì các kết nối Internet được nhà cung cấp dịch vụ
Internet bảo trì, nên giảm được số lượng nhân viên kỹ thuật
hỗ trợ mạng, do vậy giảm được chi phí vận hành của toàn
mạng.

Bên cạnh những ưu điểm ở trên giải pháp mạng VPN mở rộng
cũng còn những nhược điểm đi cùng như:

-

Khả năng bảo mật thông tin, mất dữ liệu trong khi truyền
qua mạng công cộng vẫn tồn tại.

-

Truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với
yêu cầu truyền dẫn tốc độ cao và đảm bảo thời gian thực, là
thách thức lớn trong môi trường Internet.


-

Làm tăng khả năng rủi ro đối với các mạng cục bộ của công
ty.

1.3.2 Các mô hình VPN
Khái niệm VPN ra đời từ rất sớm, khi mà các công nghệ truyền thông như
X.25, Frame Relay được giới thiệu. VPN có thể là mạng riêng ảo giữa hai đầu cuối
hệ thống, hai giữa hai hoặc nhiều mạng riêng. Nó có thể được xây dựng bằng cách
sử dụng đường hầm.
Do đó, có thể chia VPN ra thành hai loại chính, đó là:
 Customer-based VPN (còn gọi là overlay VPN): là VPN được cấu hình trên
các thiết bị của khách hàng sử dụng các giao thức đường hầm xuyên qua
mạng công cộng. Nhà cung cấp dịch vụ sẽ bán các mạch ảo giữa các site của
khách hàng như là đường kết nối leased line.
 Network-based VPN (còn gọi là VPN ngang cấp): là VPN được cấu hình
trên các thiết bị của nhà cung cấp dịch vụ và được quản lý bởi nhà cung cấp
dịch vụ. Nhà cung cấp dịch vụ và khách hàng trao đổi thông tin định tuyến

lớp 3, nhà cung cấp sắp đặt dữ liệu các site khách hàng vào đường đi tối ưu
nhất mà không cần có sự tham gia của khách hàng.
 Mô hình VPN chồng lấn (overlay) có một số ưu điểm sau:
 Đó là mô hình dễ thực hiện, nhìn theo quan điểm của khách hàng và của cả
nhà cung cấp dịch vụ.
 Nhà cung cấp dịch vụ không tham gia vào định tuyến khách hàng trong
mạng VPN overlay. Nhiệm vụ của họ là vận chuyển dữ liệu điểm-điểm giữa
các site của khách hàng, việc đánh dấu điểm tham chiếu giữa nhà cung cấp
dịch vụ và khách hàng sẽ quản lý dễ dàng hơn.
 Hạn chế của mô hình overlay VPN:
 Nó thích hợp trong các mạng không cần độ dự phòng với ít site trung tâm và
nhiều site ở đầu xa, nhưng lại khó quản lý nếu như cần nhiều cầu hình mắt
lưới.
 Việc cung cấp càng nhiều VC đòi hỏi phải có sự hiểu biết cặn kẽ về loại lưu
lượng giữa hai site với nhau mà điều này thường không thật sự thích hợp.
 Khi thực hiện mô hình này với các công nghệ lớp 2 thì chỉ tạo ra một lớp
mới không cần thiết đối với các nhà cung cấp hầu hết chỉ dựa trên IP, do đó
làm tăng thêm chi phí hoạt động.


 Ưu điểm của mô hình VPN ngang cấp :
 VPN ngang cấp cho ta định tuyến tối ưu giữa các site khách hàng mà
không cần phải cấu hình hay thiết kế gì đặc biệt.
 Dễ mở rộng.
 Hạn chế của mô hình VPN ngang cấp :
 Nhà cung cấp dịch vụ phải đáp ứng được định tuyến khách hàng cho đúng
và đảm bảo việc hội tụ của mạng khách hàng khi có lỗi liên kết.
 Router P của nhà cung cấp dịch vụ phải mang tất cả các router của khách
hàng.
 Nhà cung cấp dịch vụ cần phải biết rõ chi tiết về định tuyến IP, mà điều

này thực sự không cần thiết đối với nhà cung cấp từ xưa đến nay.

CHƯƠNG II: TỔNG QUAN CÔNG NGHỆ MPLS
2.1 Khái niệm MPLS
MPLS là một giải pháp chuyển mạch IP và được chuẩn hoá bởi IETF .
MPLS là viết tắt của cụm từ: chuyển mạch nhãn đa giao thức (Multiprotocol
Label Switching).
 Gọi là chuyển mạch nhãn vì: Sử dụng cơ chế hoán đổi nhãn làm kỹ thuật
chuyển tiếp ở lớp bên dưới (lớp 2).
 Gọi là đa giao thức vì: MPLS có thể hỗ trợ nhiều giao thức lớp mạng (lớp 3),
không chỉ riêng IP.
2.2 Đặc điểm MPLS
 Tốc độ và trễ: Chuyển mạch nhãn nhanh hơn nhiều bởi vì giá trị nhãn được
đặt ở header của gói được sử dụng để truy nhập bảng chuyển tiếp tại router,
nghĩa là nhãn được sử dụng để tìm kiếm trong bảng. Việc tìm kiếm này chỉ
yêu cầu một lần truy nhập tới bảng, khác với truy nhập bảng định tuyến
truyền thống việc tìm kiếm có thể cần hàng ngàn lần truy nhập. Kết quả là
lưu lượng người sử dụng trong gói được gửi qua mạng nhanh hơn nhiều so
với chuyển tiếp IP truyền thống.
 Jitter: Là sự thay đổi độ trễ của lưu lượng người sử dụng do việc chuyển gói
tin qua nhiều node trong mạng để chuyển tới đích của nó. Tại từng node, địa
chỉ đích trong gói phải được kiểm tra và so sánh với danh sách địa chỉ đích


khả dụng trong bảng định tuyến của node, do đó trễ và biến thiên trễ phụ
thuộc vào số lượng gói và khoảng thời gian mà bảng tìm kiếm phải xử lý
trong khoảng thời gian xác định. Kết quả là tại node cuối cùng, Jitter là tổng
cộng tất cả các biến thiên độ trễ gại mỗi node giữa bên gửi và bên thu. Với
gói là thoại thì cuộc thoại bị mất đi tính liên tục. Do chuyển mạch nhãn hiệu
quả hơn, lưu lượng người dùng được gửi qua mạng nhanh hơn và ít Jitter hơn

so với định tuyến IP truyền thống.
 Khả năng mở rộng mạng: Chuyển mạch nhãn cung cấp các giải pháp cho sự
phát triển nhanh chóng và xây dựng các mạng lớn bằng việc cho phép một
lượng lớn các địa chỉ IP được kết hợp với một hay vài nhãn. Giải pháp này
giảm đáng kể kích cỡ bảng địa chỉ và cho phép router hỗ trợ nhiều người sử
dụng hơn.
 Tính đơn giản: Chuyển mạch nhãn là giao thức chuyển tiếp cơ bản, chuyển
tiếp gói chỉ dựa vào nhãn. Do tách biệt giữa điều khiển và chuyển tiếp nên kỹ
thuật điều khiển dù phức tạp cũng không ảnh hưởng đến hiệu quả của dòng
lưu lượng người sử dụng. Cụ thể là, sau khi ràng buộc nhãn được thực hiện,
các hoạt động chuyển mạch nhãn để chuyển tiếp lưu lượng là đơn giản, có
thể được thực hiện bằng phần mềm, bằng mạch tích hợp chuyên dụng hay
bằng các bộ xử lý đặc biệt.
 Sử dụng tài nguyên: Các mạng chuyển mạch nhãn không cần nhiều tài
nguyên mạng để thực hiện các công cụ điều khiển trong việc thiết lập các
đường đi chuyển mạch nhãn cho lưu lượng người sử dụng.
 Điều khiển đường đi: Chuyển mạch nhãn cho phép các đường đi qua một
liên mạng được điều khiển tốt hơn. Nó cung cấp một công cụ để bố trí các
node và liên kết lưu lượng phù hợp hơn, thuận lợi hơn, cũng như đưa ra phân
lớp chính xác các phân lớp lưu lượng (dựa trên các yêu cầu về QoS) khác
nhau của dịch vụ.
2.3 Các thành phần của MPLS
2.3.1 Các thiết bị trong mạng MPLS
LSR là một thiết bị định tuyến tốc độ cao trong lõi của một mạng MPLS, nó
tham gia trong việc thiết lập các đường dẫn chuyển mạch nhãn (LSP) bằng việc sử
dụng giao thức báo hiệu nhãn thích ứng và thực hiện chuyển mạch tốc độ cao lưu
lượng số liệu dựa trên các đường dẫn được thiết lập.
LER là một thiết bị hoạt động tại biên của mạng truy nhập và mạng lõi MPLS.
Các LER hỗ trợ đa cổng được kểt nối tới các mạng không giống nhau (chẳng hạn FR,
ATM và Ethernet). LER đóng vai trò quan trọng trong việc chỉ định và huỷ bỏ nhãn,



khi lưu lượng vào trong hay đi ra khỏi mạng MPLS. Sau đó, tại lối vào nó thực hiện
việc chuyển tiếp lưu lượng vào mạng MPLS sau khi đã thiết lập LSP nhờ các giao thức
báo hiệu nhãn và phân bổ lưu lượng trở lại mạng truy nhập tại lối ra.
2.3.2 Đường chuyển mạch nhãn
LSP: là một đường đi để gói tin qua mạng chuyển mạch nhãn trọn vẹn từ
điểm bắt đầu dán nhãn đến điểm nhãn bị loại bỏ khỏi gói tin. Các LSP được thiết lập
trước khi truyền dữ liệu
Đường hầm LSP: LSP từ đầu tới cuối được gọi là đường hầm LSP, nó là
chuỗi liên tiếp các đoạn LSP giữa hai node kề nhau. Các đặc trưng của đường hầm
LSP, chẳng hạn như phân bổ băng tần, được xác định bởi sự thoả thuận giữa các
node, nhưng sau khi đã thoả thuận, node lối vào (bắt đầu của LSP) xác định dòng
lưu lượng bằng việc chọn lựa nhãn của nó. Khi lưu lượng được gửi qua đường hầm,
các node trung gian không kiểm tra nội dung của tiêu đề mà chỉ kiểm tra nhãn. Do
đó, phần lưu lượng còn lại được xuyên hầm qua LSP mà không phải kiểm tra. Tại
cuối đường hầm LSP, node lối ra loại bỏ nhãn và chuyển lưu lượng IP tới node IP.
Các đường hầm LSP có thể sử dụng để thực hiện các chính sách kỹ thuật lưu
lượng liên quan tới việc tối ưu hiệu năng mạng. Chẳng hạn, các đường hầm LSP có
thể được di chuyển tự động hay thủ công ra khỏi vùng mạng bị lỗi, tắc nghẽn, hay là
node mạng bị nghẽn cổ chai. Ngoài ra, nhiều đường hầm LSP song song có thể được
thiết lập giữa hai node, và lưu lượng giữa hai node đó có thể được chuyển vào trong
các đường hầm này theo các chính sách cục bộ.
Trong mạng MPLS các LSP được thiết lập bằng một trong ba cách đó là:
Định tuyến từng chặng, định tuyến hiện (ER) và định tuyến cưỡng bức (CR).
Một số khái niệm liên quan tới đường chuyển mạch nhãn là đường lên và
đường xuống.
Đường lên (Upstream): Hướng đi dọc theo đường dẫn từ đích đến nguồn.
Một router đường lên có tính chất tương đối so với một router khác, nghĩa là nó gần
nguồn hơn router được nói đến đó dọc theo đường dẫn chuyển mạch nhãn.

Đường xuống (Downstream): Hướng đi dọc theo đường dẫn từ nguồn đến
đích. Một router đường xuống có tính chất tương đối so với một router khác, nghĩa
là nó gần đích hơn router được nói đến đó dọc theo đường dẫn chuyển mạch nhãn.
2.3.3 Nhãn và các vấn đề liên quan
a) Nhãn, ngăn xếp nhãn, không gian nhãn
Tiêu đề MPLS: MPLS định nghĩa một tiêu đề có độ dài 32 bit, được đặt ngay
sau tiêu đề lớp 2 bất kì và trước một tiêu đề lớp 3.


Cấu trúc tiêu đề MPLS:

Link Layer
Header

MPLS SHIM

Network
Layer Header

Other Headers Layer
and Data

32 bits

Hình
202.1
bits Khuôn dạng tiêu đề nhãn
3 bits 1bit
Ý nghĩa các trường :


8 bits

 Nhãn: là một thực thể có chiều dài cố định (20 bit) dùng làm cơ sở cho việc
chuyển tiếp.
 Exp (Experimental): Các bit Exp được dự trữ về mặt kỹ thuật cho sử dụng
thực tế. Chẳng hạn sử dụng những bit này để chỉ thị QoS - thường là một bản
sao trực tiếp của các bit chỉ thị độ ưu tiên trong gói IP. Khi các gói MPLS bị
xếp hàng, có thể sử dụng các bit Exp như cách sử dụng các bit chỉ thị độ ưu
tiên IP.
 BS (Bottom of stack): Có thể có hơn một nhãn với một gói. Bit này dùng để
chỉ thị cho nhãn ở cuối ngăn xếp nhãn. Nhãn ở đáy của ngăn xếp nhãn có giá
trị BS bằng 1. Các nhãn khác có giá trị bit BS bằng 0.
 TTL (Time To Live): Thông thường các bit TTL là một bản sao trực tiếp của
các bit TTL trong tiêu đề gói IP. Chúng giảm giá trị đi một đơn vị khi gói đi
qua mỗi chặng để tránh lặp vòng vô hạn. TTL cũng có thể được sử dụng khi
các nhà điều hành mạng muốn dấu cấu hình mạng nằm bên dưới.


Ngăn xếp nhãn là một tập các nhãn có thứ tự được chỉ định cho gói. Việc xử
lý các nhãn này cũng tuân theo một thứ tự .
Tiêu đề MPLS

Nhãn MPLS(20bit)

Nhãn#m

Nhãn#2

Gói IP


EXP

S

Nhãn#1

TTL

Gói IP

Hình 2.2 Cấu trúc ngăn xếp nhãn
Nếu ngăn xếp nhãn của gói có độ sâu m, nhãn tại đáy của ngăn xếp được xem
như là nhãn mức 1, nhãn trên nó là nhãn mức 2, và nhãn trên cùng là nhãn mức m.
Mục đích ngăn xếp nhãn: tăng cường các dịch vụ (VPN, CoS), cho mở rộng
mạng (phân cấp) …
Không gian nhãn: Thuật ngữ không gian nhãn dùng để chỉ ra cách thức mà
một nhãn được kết hợp với một LSR. Có hai phương pháp để phân nhãn giữa các
LSR, tương ứng với hai dạng không gian nhãn, đó là: không gian nhãn theo từng
giao diện và không gian nhãn theo từng node.
Không gian nhãn theo từng giao diện: Nhãn được kết hợp với một giao diện
đặc trưng ở một LSR, ví dụ như DS3 hoặc giao diện SONET. LSR sẽ dùng một giá
trị giao diện để giữ dấu vết của các nhãn ở mỗi giao diện, nên nhãn có thể được
dùng lại tại mỗi giao diện, miễn là thoả mãn điều kiện một nhãn là duy nhất trong
không gian nhãn. Và khi này định danh giao diện này trở thành một nhãn nội bộ
trong LSR đối với nhãn bên ngoài được gửi đi giữa các LSR.
Không gian nhãn theo từng node (theo tất cả các giao diện): Ở đây, các nhãn
đầu vào được xẻ dọc theo tất cả các giao diện tham gia vào một node. Nghĩa là,
node này phải chỉ định không gian nhãn dọc theo tất cả các giao diện,
b) Ràng buộc FEC và nhãn



Khái niệm FEC: FEC là một nhóm các gói, nhóm các gói này chia sẻ cùng
yêu cầu trong sự chuyển tiếp chúng qua mạng. Tất cả các gói trong một nhóm như
vậy được cung cấp cùng cách chọn đường tới đích. Dựa trên FEC, nhãn được thoả
thuận giữa các LSR lân cận từ lối vào tới lối ra trong một vùng định tuyến. Mỗi
LSR xây dựng một bảng để xác định xem một gói phải được chuyển tiếp như thế
nào. Bảng này được gọi là cơ sở thông tin nhãn (LIB: Label Information Base), nó
là tổ hợp các ràng buộc FEC với nhãn (FEC-to-label). Và nhãn lại được sử dụng để
chuyển tiếp lưu lượng qua mạng.
Lý do dùng FEC: Thứ nhất, nó cho phép nhóm các gói vào các lớp. Từ nhóm
này, giá trị FEC trong một gói có thể được dùng để thiết lập độ ưu tiên cho việc xử
lý các gói. Thứ hai, FEC có thể được dùng để hỗ trợ hiệu quả hoạt động QoS. Ví dụ,
FEC có thể liên kết với độ ưu tiên cao, lưu lượng thoại thời gian thực, lưu lượng
nhóm mới ưu tiên thấp…
Sự kết hợp một FEC với một gói được thực hiện bởi việc dùng một nhãn để
định danh một FEC đặc trưng. Với các lớp dịch vụ khác nhau, phải dùng các FEC
khác nhau và các nhãn liên kết khác nhau. Đối với lưu lượng Internet, các định danh
sử dụng là các tham số ứng cử cho việc thiết lập một FEC. Trong một vài hệ thống,
chỉ địa chỉ đích IP được sử dụng.
2.4 Hoạt động của MPLS
Khi một gói tin vào mạng MPLS: LSR lối vào kiểm tra nhiều trường trong
tiêu đề của gói để xác định xem gói thuộc FEC nào:
 Nếu chưa có một ràng buộc nhãn/FEC thì: gói được phân loại gói tin vào
trong các FEC, sau đó nhãn được ánh xạ vào trong FEC. Nhiệm vụ ấn định
và phân bổ các ràng buộc FEC/nhãn cho các LSR do LDP đảm nhiệm.Khi
LDP hoàn thành nhiệm vụ , một LSP được xây dựng từ lối vào đến lối ra.
 Nếu đã có một ràng buộc nhãn/FEC thì: LSR lối vào gán nhãn cho gói và
định hướng gói tới giao diện đầu ra tương ứng.
Sau đó gói được hoán đổi nhãn qua mạng cho đến khi nó đến LSR đầu ra.
Lúc này nhãn được loại bỏ và gói được xử lý tại lớp 3.

Các lớp trên
Mặt phẳng
điều khiển
Mặt phẳng
chuyển tiếp

Duy trì tuyến
Lựa chọn cổng ra

Định tuyến
Chuyển
mạch


Nhận gói đầu vào

Phát gói đầu ra

Các cổng đầu vào

Các cổng đầu ra

Hình 2.3 Xử lý gói
Như vậy, với một gói dữ liệu để đi qua một miền MPLS, cần phải thực hiện
các bước sau:
 Tạo và phân bổ nhãn.
 Tạo bảng tại mỗi router.
 Tạo các đường dẫn chuyển mạch nhãn (LSP).
 Chèn/tìm kiếm bảng nhãn.
 Chuyển tiếp gói.

Phân tích cụ thể các bước như sau:
Tạo & phân bổ nhãn
Trước khi lưu lượng bắt đầu, các router quyết định để ràng buộc một nhãn
với một FEC xác định và xây dựng bảng của chúng.
Trong LDP, các router đường xuống khởi tạo sự phân bổ các nhãn và ràng
buộc nhãn/FEC.
Ngoài ra, các đặc tính liên quan đến lưu lượng và khả năng MPLS được thoả
thuận bằng việc sử dụng LDP.


Hình 2.4 Hoạt động của mạng MPLS
Tạo bảng
Tại phía nhận các ràng buộc nhãn, mỗi LSR tạo các lối vào trong cơ sở thông
tin nhãn (LIB : Label Information Base).
Nội dung của bảng sẽ xác định ánh xạ giữa một nhãn và một FEC.
Ánh xạ giữa cổng vào và bảng nhãn đầu vào tới cổng ra và bảng nhãn đầu ra.
Các lối vào được cập nhật bất cứ khi nào sự tái đàm phán về ràng buộc nhãn
xảy ra.
Tạo đường dẫn chuyển mạch nhãn
Như được biểu diễn bằng đường ngắt quãng trong hình 2.4, các LSP được tạo
ở phương ngược lại với sự tạo các lối vào trong các LIB.
Chèn/tìm kiếm bảng nhãn
Router đầu tiên (LER1 trong hình 2.4) sử dụng bảng trong LIB để tìm chặng
kế tiếp và yêu cầu một nhãn cho FEC xác định.
Các router lần lượt sử dụng nhãn để tìm chặng kế tiếp.
Mỗi lần gói chạm tới LSR lối ra (LER4), nhãn được xoá bỏ và gói được cung
cấp cho đích.
Chuyển tiếp gói
LER1 có thể không có nhãn nào cho gói này khi đó là lần đầu tiên xảy ra
yêu cầu này. Trong một mạng IP, nó sẽ tìm sự phù hợp địa chỉ dài nhất để tìm chặng

kế tiếp. Cho LSR1 là chặng kế tiếp của LER1. LER1 sẽ khởi tạo một yêu cầu nhãn
chuyển tới LSR1.


Yêu cầu này sẽ phát thông qua mạng. Mỗi router trung gian sẽ nhận một
nhãn từ router phía sau nó bắt đầu từ LER2 và đi lên trên cho đến LER1. LSP được
thiết lập bằng cách sử dụng LDP hay bất kì giao thức báo hiệu nào khác. Nếu kĩ
thuật lưu lượng được yêu cầu, CR-LDP sẽ được sử dụng trong việc quyết định thiết
lập đường dẫn thực sự để chắc chắn yêu cầu QoS/CoS được tuân thủ.
LER1 sẽ chèn nhãn và chuyển tiếp gói tới LSR 1.
Mỗi LSR lần lượt, nghĩa là LSR2 và LSR3, sẽ kiểm tra nhãn với các gói nhận
được, thay thế nó với các nhãn đầu ra và chuyển tiếp nó.
Khi gói tới LER4, nó sẽ xoá bỏ nhãn bởi vì gói sẽ rời khỏi miền MPLS và
được phân phát tới đích.
2.5 Kiến trúc ngăn xếp trong MPLS
Từ việc phân tích hoạt động MPLS như trên ta có thể chia MPLS ra thành
các thành phần cơ bản sau:
 Các giao thức định tuyến (IP) lớp mạng.
 Chuyển tiếp biên của lớp mạng.
 Chuyển tiếp dựa trên nhãn mạng lõi.
 Lược đồ nhãn.
 Giao thức báo hiệu để phân bố nhãn.
 Kĩ thuật lưu lượng.
 Khả năng tương thích với các lược đồ chuyển tiếp lớp 2 khác nhau
(ATM, FR, PPP: Point to Point Protocol).


Routing

LDP


TCP

CR LDP

UDP

IP Fwd

LIB

MPLS Fwd

PHY

Hình 2.5 Ngăn xếp giao thức MPLS
Trong đó:
 Module định tuyến: có thể là bất cứ giao thức nào trong các giao thức
công nghiệp phổ biến. Phụ thuộc vào môi trường hoạt động, module
định tuyến có thể là OSPF, BGP hay PNNI của ATM, etc…
 Module LDP: sử dụng TCP để truyền dẫn tin cậy các dữ liệu điều
khiển từ LSR này đến LSR khác trong suốt một phiên. LDP cũng duy
trì LIB. LDP sử dụng UDP trong suốt quá trình khám phá của nó về
trạng thái hoạt động. Trong trạng thái này, LSP cố gắng nhận dạng các
phần tử lân cận và cũng như sự có mặt của chính các tín hiện của nó
với mạng. Điều này được thực hiện thông qua trao đổi gói hello.
 IP Fwd: là module chuyển tiếp IP cổ điển, nó tìm kiếm chặng kế tiếp
bằng việc so sánh để phù hợp với địa chỉ dài nhất trong các bảng của
nó. Với MPLS, điều này được thực hiện chỉ bởi các LER.
 MPLS Fwd: là module chuyển tiếp MPLS, nó so sánh một nhãn với

một cổng đầu ra và chọn sự phù hợp nhất với một gói đã cho.
 Các lớp được biểu diễn trong hộp với đường gãp khúc có thể được
thực hiện bằng phần cứng để hoạt động nhanh và có hiệu quả.


CHƯƠNG 3. MẠNG RIÊNG ẢO TRÊN NỀN MPLS
3.1 Tổng quan về MPLS-VPN
3.1.1 Thành phần mạng MPLS-VPN

Hình 3.1 Thành phần mạng trong MPLS-VPN
Có nhiều thành phần mạng được định nghĩa trong cấu trúc MPLS-VPN. Các
thành phần này thực hiện những chức năng khác nhau nhưng kết hợp với nhau để
cấu thành mạng MPLS/VPN. Bao gồm:
+ Provider network (P-network): mạng nhà cung cấp, mạng lõi MPLS/IP
được quản trị bởi nhà cung cấp dịch vụ.
+ Provider router (P-router): là router chạy trong mạng lõi của nhà cung cấp,
cung cấp việc vận chuyển dọc mạng backbone và không mang các router của khách
hàng.
+ Provider edge router (PE-router): Router biên của mạng backbone, nó cung
cấp phân phối các router của khách hàng và thực hiện đáp ứng các dịch vụ cho
khách hàng từ phía nhà cung cấp.
+ Autonomous system boundary router (ASBR-router) : router biên trong một
AS nào đó, nó thực hiện vai trò kết nối với một AS khác. AS này có thể có cùng
hoặc khác nhà điều hành.


+ Customer network (C-network): đây là phần được khách hàng điều khiển.
+ Customer edge router (CE-router): router khách hàng đóng vai trò như là
gateway giữa mạng C và mạng P. Router CE được quản trị bởi khách hàng hoặc có
thể được nhà cung cấp dịch vụ quản lý. Các phần liên tục của mạng C được gọi là

site và được nối với mạng P thông qua router CE.
Hiện nay có hai mô hình mạng riêng ảo trên nền MPLS phổ biến là mạng
riêng ảo lớp 3 (L3VPN) và mạng riêng ảo lớp 2 (L2VPN). Sau đây là những đặc
điểm chính của hai mô hình này.
3.1.2 Mô hình L3VPN
Kiến trúc mạng riêng ảo L3VPN chia thành hai lớp, tương ứng với các lớp 3
và 2 của mô hình OSI. L3VPN dựa trên RFC 2547 bits, mở rộng một số đặc tính cơ
bản của giao thức cổng biên BGP (Border Gateway Protocol) và tập trung vào
hướng đa giao thức của BGP nhằm phân bổ các thông tin định tuyến qua mạng lõi
của nhà cung cấp dịch vụ như là chuyển tiếp các lưu lượng VPN qua mạng lõi.
Trong kiến trúc L3VPN, các bộ định tuyến khách hàng và nhà cung cấp
được coi như là các phần tử ngang hàng. Bộ định tuyến biên khách hàng CE cung
cấp thông tin định tuyến tới bộ định tuyến biên nhà cung cấp PE. PE lưu các thông
tin định tuyến trong bảng định tuyến và chuyển tiếp ảo VRF. Mỗi khoản mục của
VRF tương ứng với một mạng khách hàng và hoàn toàn biệt lập với các mạng
khách hàng khác. Người sử dụng VPN chỉ được phép truy nhập các site hoặc máy
chủ trong cùng một mạng riêng này. Bộ định tuyến PE còn hỗ trợ các bảng định
tuyến thông thường nhằm chuyển tiếp lưu lượng của khách hàng qua mạng công
cộng. Một cấu hình mạng L3VPN dựa trên MPLS như hình dưới đây.


Hình 3.2 Mô hình MPLS L3VPN
Mô hình L3VPN có ưu điểm là không gian địa chỉ khách hàng được quản lý
bởi nhà khai thác, và do vậy đơn giản hoá việc triển khai kết nối với nhà cung cấp.
Ngoài ra, L3VPN còn cung cấp khả năng định tuyến động để phân phối các thông
tin định tuyến tới các bộ đinh tuyến VPN. Tuy nhiên, L3VPN chỉ hỗ trợ các lưu
lượng IP hoặc lưu lượng đóng gói vào gói tin IP. Đồng thời, việc tồn tại hai bảng
định tuyến tại các thiết bị mạng cũng là một vấn đề cần giải quyết trong điều hành
và ảnh hưởng tới khả năng mở rộng các hệ thống thiết bị.
3.1.3 Mô hình L2VPN

Có hai dạng L2VPN cơ bản là:
-

Điểm tới điểm: tương tự như công nghệ ATM và FR, nhằm thiểt lập các
đường dẫn chuyển mạch ảo qua mạng;

-

Điểm tới đa điểm: hỗ trợ các cấu hình mắt lưới và phân cấp.

Trong mô hình L2VPN các bộ đinh tuyến PE và CE không nhất thiết phải
được coi là ngang hàng. Thay vào đó, chỉ tồn tại kết nối giữa hai bộ định tuyến này.
Bộ định tuyến PE chuyển mạch các luồng lưu lượng vào trong các đường hầm đã
được cấu hình trước tới các bộ định tuyến PE khác.

Hình 3.3 Mô hình MPLS-L2VPN
L2VPN có ưu điểm quan trọng nhất là cho phép các giao thức lớp cao
được truyền trong suốt đối với MPLS. Nó có thể hoạt động hầu hết công nghệ lớp 2
gồm ATM, FR, Ethernet và mở ra khả năng tích hợp các mạng phi kết nối IP với các


mạng hướng kểt nối. Ngoài ra, trong giải pháp này người sử dụng đầu cuối không
cần phải cấu hình định tuyến cho các bộ định tuyến khách hàng CE.
Tuy nhiên, L2VPN không dễ dàng mở rộng như L3VPN. Một cấu hình
đầy đủ cho các LSP phải được sử dụng để kết nối các VPN trong mạng. Hơn nữa,
L2VPN không hề tự động định tuyến giữa các site. Vì vậy, tuỳ thuộc vào cấu
hình mạng MPLS và nhu cầu cụ thể mà nó có thể sử dụng một trong hai mô hình
nói trên.
3.2 Hoạt động của MPLS-VPN
3.2.1 Truyền thông tin định tuyến dọc mạng nhà cung cấp

Khi bảng định tuyến ảo đảm bảo sự cách ly giữa các khách hàng, dữ liệu
từ các bảng định tuyến này vẫn cần được trao đổi giữa các Router PE để dữ liệu có
thể truyền giữa các site gắn vào các Router PE khác nhau. Do đó chúng ta cần phải
có một giao thức định tuyến sẽ vận chuyển tất cả các router của khách hàng dọc
mạng nhà cung cấp trong khi vẫn duy trì được không gian địa chỉ độc lập giữa
khách hàng với nhau.
Một giải pháp được đưa ra là chạy giao thức định tuyến riêng cho mỗi
khách hàng. Các router PE có thể được kết nối thông qua các đường hầm điểm –
điểm (và giao thức định tuyến cho mỗi khách hàng sẽ chạy giữa các router PE) hoặc
là router P có thể tham gia vào quá trình định tuyến của khách hàng. Giải pháp này,
mặc dù thực hiện đơn giản nhưng lại không thích hợp trong môi trường khách hàng,
vì nó không có khả năng mở rộng và phải đối mặt với nhiều vấn đề khi có yêu cầu
hỗ trợ VPN chồng lấn (overlapping VPN):
+ Router PE phải chạy một số lượng lớn các giao thức định tuyến .
+ Router P phải mang tất cả các router của khách hàng.
Sau đó, một giải pháp tốt hơn được đưa ra là chỉ triển khai một giao thức
định tuyến có thể trao đổi tất cả các router của khách hàng dọc mạng nhà cung cấp.
Rõ ràng giải pháp này tốt hơn giải pháp trước nhưng router P vẫn phải tham gia vào
định tuyến khách hàng, do đó nó vẫn không giải quyết được vấn đề mở rộng.
Giải pháp tối ưu là truyền thông tin định tuyến khách hàng sẽ do một giao
thức định tuyến giữa các router PE điều hành, các router P không tham gia vào việc
định tuyến này. Giải pháp này hiệu quả vì nó có khả năng mở rộng:
+ Số lượng giao thức định tuyến giữa các router PE không tăng khi tăng số
lượng khách hàng.
+ Router P không mang các router của khách hàng.
Do đó yêu cầu bây giờ là việc lựa chọn giao thức định tuyến nào sẽ chạy
giữa các router PE. Khi tổng số router của khách hàng rất lớn, nên chỉ có một giao


thức định tuyến mới có khả năng đảm bảo được vấn đề này là BGP. BGP được sử

dụng trong mạng MPLS/VPN trên các router PE để vẫn chuyển các router của
khách hàng. Giao thức BGP dùng trong mạng MPLS/VPN được gọi là
Multiprotocol BGP (MP-BGP).
Ta có thể tóm tắt các ưu điểm của BGP để chọn nó là giao thức dùng cho
việc vận chuyển các VPN router là:
+ VPN router trong mạng có thể tăng lên đáng kể với số lượng lớn. BGP là
giao thức định tuyến có thể hỗ trợ số lượng lớn các router như vậy.
+ BGP, EIGRP, ISIS cũng là các giao thức định tuyến mang thông tin định
tuyến cho nhiều lớp địa chỉ khác nhau. Nhưng ISIS và EIGRP không có khả năng
mở rộng, không mang được một số lượng lớn các router như BGP. BGP cũng được
thiết kế để trao đổi thông tin định tuyến giữa các router không kết nối trực tiếp. Đặc
điểm này hỗ trợ việc giữ thông tin định tuyến không cho các router P biết.
3.2.2 Bảng định tuyến và chuyển tiếp VPN
Sự kết hợp giữa bảng định tuyến VPN và bảng chuyển tiếp VPN tạo thành
bảng định tuyến chuyển tiếp VPN (VRF).
Mỗi VPN đều có bảng định tuyến và chuyển tiếp riêng của nó trong router
PE, mỗi router PE duy trì một hoặc nhiều bảng VRF. Mỗi site mà có router PE gắn
vào đó sẽ liên kết với một trong các bảng này. Địa chỉ IP đích của gói tin nào đó chỉ
được kiểm tra trong bảng VRF mà nó thuộc về nếu gói tin đến trực tiếp từ site tương
ứng với bảng VRF đó. Một VRF đơn giản chỉ là một tập hợp các router thích hợp
cho một site nào đó (hoặc một tập hợp gồm nhiều site) kết nối đến router PE. Các
router này có thể thuộc về hơn một VPN.
3.2.3 Phân phối router VPN thông qua BGP
Với việc triển khai một giao thức định tuyến là BGP để trao đổi tất cả các
route của khách hàng giữa các router PE, một vấn đề được đặt ra là: làm thế nào mà
BGP có thể truyền nhiều prefix xác định thuộc về các khách hàng khác nhau giữa
các Router PE?
Như ta đã biết BGP, trong dạng chuẩn của nó, chỉ có thể thực hiện được đối
với các route IPv4. Trong MPLS/VPN, vì mỗi VPN phải có khả năng sử dụng (mặc
dù điều này không cần thiết) các IP prefix giống nhau như các VPN khác (ngay cả

khi chúng không liên lạc với nhau). BPG sử dụng địa chỉ IPv4 chọn một đường đi
giữa tất cả các đường có thể đi đến đích (gồm có network và mask). Do đó, MPBGP không thể làm việc đúng nếu khách hàng sử dụng cùng không gian địa chỉ.
Chỉ có một giải pháp để giải quyết vấn đề này là mở rộng ip prefix khách
hàng với một prefix duy nhất sẽ làm cho địa chỉ của khách hàng trở nên duy nhất


ngay cả khi có sự trùng lắp địa chỉ. Hơn nữa ta phải đảm bảo rằng chính sách được
sử dụng để quyết định route nào trong số các router được BGP sử dụng chỉ có thể có
ở trong bảng VRF mà nó phải thuộc về.
Việc truyền router của khách hàng dọc mạng MPLS/VPN sẽ được thực hiện
như sau:
+ Router CE gửi cập nhật định tuyến IPv4 đến Router PE.
+ Router PE sau đó thêm vào Router Distinguisher 64 bit vào cập nhật định
tuyến IPv4 mà nó đã nhận đó, kết quả là tạo ra địa chỉ VPNv4 96 bit duy nhất.
+ Địa chỉ VPNv4 này được truyền đi thông qua phiên MP-IBGP đến các
Router PE khác.
+ Router PE nhận sẽ loại bỏ Router Distinguisher từ địa chỉ VPNv4 tạo thành
địa chỉ IPv4 như ban đầu mà CE đầu xa đã gửi.
+ Địa chỉ IPv4 này được chuyển tiếp đến router CE khác trong bản cập nhật
định tuyến IPv4.
3.2.4 Địa chỉ VPN-IP
Địa chỉ VPN-IP được tạo ra bằng cách ghép 2 thành phần có độ dài
không đổi đó là: bộ nhận dạng tuyến và địa chỉ IP cơ sở. Yếu tố làm cho các địa chỉ
mới tạo ra này là duy nhất là bộ nhận dạng tuyến. Bộ nhận dạng tuyến có cấu trúc
cho phép mỗi nhà cung cấp dịch vụ VPN tự tạo ra một giá trị cho bộ nhận dạng
tuyến mà không sợ một giá trị tương tự được sử dụng bởi nhà cung cấp dịch vụ
khác. Theo định nghĩa, bộ nhận dạng tuyến bao gồm 3 trường hợp đó là:
 Loại (2 octet)
 Số hệ thống (2 octet)
 Số ấn định (4 octet).

Trong đó trường Số hệ thống sẽ chứa số hệ thống của nhà cung cấp dịch vụ
VPN. Trường Số ấn định do mỗi nhà cung cấp dịch vụ mạng VPN tự quản lý. Trong
hầu hết các trường hợp, nhà cung cấp dịch vụ mạng ấn định một giá trị trường Số ấn
định cho một mạng VPN, tuy nhiên đôi khi có thể ấn định nhiều giá trị cho một
mạng VPN. Vì không có hai mạng VPN do một nhà cung cấp dịch vụ quản lý lại sử
dụng chung một Số ấn định và cũng vì Số hệ thống là duy nhất trong mạng toàn cầu
nên sẽ không có hai mạng VPN nào lại có bộ nhận dạng tuyến trùng nhau. Khi mà
địa chỉ IP là duy nhất trong một mạng VPN và vì không có hai mạng VPN nào lại
dùng chung một bộ định dạng tuyến do đó các địa chỉ VPN-IP là duy nhất trong
mạng toàn cầu.


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×