Tài liệu Đề tài Tìm hiểu MPLS và ứng dụng MPLS/VPN: Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
1
MỞ ĐẦU
Trong những năm qua, ngành công nghiệp viễn thông đã và đang tìm
một phương thức chuyển mạch có thể phối hợp ưu điểm của IP và ATM để
đáp ứng nhu cầu phát triển của mạng lưới trong giai đoạn tiếp theo. Đã có
nhiều nghiên cứu được đưa ra trong đó có việc nghiên cứu công nghệ chuyển
mạch nhãn MPLS.
Công nghệ MPLS là kết quả phát triển của công nghệ chuyển mạch IP sử
dụng cơ chế hoán đổi nhãn như của ATM để tăng tốc độ truyền gói tin mà
không cần thay đổi các giao thức định tuyến của IP. MPLS tách chức năng
của IP thành hai phần riêng biệt: chức năng chuyển gói tin và chức năng điều
khiển. Bên cạnh đó, MPLS cũng hỗ trợ việc quản lý dễ dàng hơn.
Trong những năm gần đây, MPLS đã được lựa chọn để đơn giản hoá và
tích hợp mạng trong mạng lõi. Nó cho phép các nhà khai thác giảm chi phí,
đơn giản hoá việc quản lý lưu lượng và hỗ trợ các dịch vụ Internet. Quan trọng
hơn cả, nó là một bước ...
92 trang |
Chia sẻ: hunglv | Lượt xem: 1660 | Lượt tải: 2
Bạn đang xem trước 20 trang mẫu tài liệu Đề tài Tìm hiểu MPLS và ứng dụng MPLS/VPN, để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
1
MỞ ĐẦU
Trong những năm qua, ngành công nghiệp viễn thông đã và đang tìm
một phương thức chuyển mạch có thể phối hợp ưu điểm của IP và ATM để
đáp ứng nhu cầu phát triển của mạng lưới trong giai đoạn tiếp theo. Đã có
nhiều nghiên cứu được đưa ra trong đó có việc nghiên cứu công nghệ chuyển
mạch nhãn MPLS.
Công nghệ MPLS là kết quả phát triển của công nghệ chuyển mạch IP sử
dụng cơ chế hoán đổi nhãn như của ATM để tăng tốc độ truyền gói tin mà
không cần thay đổi các giao thức định tuyến của IP. MPLS tách chức năng
của IP thành hai phần riêng biệt: chức năng chuyển gói tin và chức năng điều
khiển. Bên cạnh đó, MPLS cũng hỗ trợ việc quản lý dễ dàng hơn.
Trong những năm gần đây, MPLS đã được lựa chọn để đơn giản hoá và
tích hợp mạng trong mạng lõi. Nó cho phép các nhà khai thác giảm chi phí,
đơn giản hoá việc quản lý lưu lượng và hỗ trợ các dịch vụ Internet. Quan trọng
hơn cả, nó là một bước tiến mới trong việc đạt mục tiêu mạng đa dịch vụ với
các giao thức gồm di động, thoại, dữ liệu …
Mạng riêng ảo VPN là một trong những ứng dụng rất quan trọng trong
mạng MPLS. Các công ty, doanh nghiệp đặc biệt các công ty đa quốc gia có
nhu cầu rất lớn về loại hình dịch vụ này. Với VPN họ hoàn toàn có thể sử
dụng các dịch vụ viễn thông, truyền số liệu nội bộ với chi phí thấp, an ninh bảo
đảm. Đây là một ứng dụng rất quan trọng đáp ứng các yêu cầu của các
mạng riêng sử dụng hạ tầng cơ sở thông tin quốc gia với những yêu cầu khác
nhau về độ an toàn, bảo mật và chất lượng dịch vụ.
Luận văn được trình bày trong 6 chương và được chia làm hai phần.
Phần đầu tập trung vào tìm hiểu công nghệ chuyển mạch nhãn đa giao thức.
Phần thứ hai tìm hiểu về ứng dụng của mạng riêng ảo trong công nghệ MPLS.
Phần đầu gồm có 3 chương.
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
2
Chương 1: Trình bày về cấu trúc tổng quan của mạng MPLS, những vấn
đề mà đang tồn tại trong mạng IP truyền thống, một số ứng dụng của chuyển
mạch nhãn đa giao thức
Chương 2: Hoạt động của MPLS ở chế độ Frame-mode: Hoạt động trên
miền dữ liệu, quá trình truyền và kết hợp nhãn, và xử lý ở bộ định tuyến cuối
cùng trong quá trình truyền dữ liệu.
Chương 3: Hoạt động của MPLS ở chế độ Cell-mode: Sự kết nối trong
vùng điều khiển qua giao diện LC-ATM, sự chuyển tiếp gói tin đã được gán
nhãn qua miền ATM-LSR, phân phối và phân bổ nhãn qua miền ATM-LSR.
Phần hai gồm 3 chương:
Chương 4: Tổng quan về mạng riêng ảo VPN: sự phát triển của mạng
riêng ảo, phân loại và chức năng của mạng riêng ảo, đường hầm và mã hóa,
các giao thức dùng cho VPN, mô hình ngang hàng và chồng lấn.
Chương 5: Mô hình mạng MPLS/VPN: Mô hình ở lớp 2 (các thành phần
VPN lớp 2, mô hình Martini, thông tin định tuyến) và lớp 3 (BGP/MPLS, các
thành phần trong VPN lớp 3, hoạt động của BGP/MPLS, tồn tại và giải pháp.
Chương 6: Vấn đề bảo mật và chất lượng dịch vụ trong MPLS VPN:
Tách biệt các VPN, chống lại các sự tấn công, dấu cấu trúc mạng lõi, chống
lại sự giả mạo, chất lượng dịch vụ và xu hướng cũng như cơ hội của nhà cung
cấp dịch vụ khi triển khai công nghệ MPLS VPN.
Đề tài MPLS là một đề tài khó và rộng, lại do trình độ và hiểu biết còn
nhiều hạn chế nên luận văn này không thể tránh khỏi những thiếu sót, và có
những phần còn chưa thể đề cập hết được. Em rất mong nhận được sự đóng
góp ý kiến của các thầy cô và các bạn sinh viên. Em xin chân thành cám ơn
Hà Nội, những ngày tháng 6/2008
Sinh viên
Lê Phạm Minh Thông
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
3
Phần 1: Chuyển mạch nhãn đa giao thức MPLS
Chương 1. Cấu trúc tổng quan của MPLS.
1. 1. Các nhà cung cấp dịch vụ mạng [4]
Chúng ta hãy xét các ví dụ sau để thấy được các vấn đề mà nhà cung
cấp dịch vụ đang gặp phải, qua đó thấy được sự cần thiết ra đời một công
nghệ có khả năng giải quyết tốt các vấn đề này.
Hình 1.1 gồm 4 địa điểm sau: Atlanta, Miami, Orlando và Raleigh. Tại các
địa điểm này các router được kết nối tới chuyển mạch ATM dưới dạng full
mesh, tạo ra lõi của mạng cung cấp dịch vụ.
Hình 1. 1: Topo vật lý của nhà cung cấp dịch vụ
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
4
Hình 1. 2: Topo logic của nhà cung cấp dịch vụ
Một cách khác để nhìn mô hình mạng trên chính là việc xem các địa
điểm trên kết nối tới một đám mây mạng (cloud network) như trên hình 1. 2
Đám mây mạng chính là sự minh họa vấn đề gặp phải khi kết nối giữa
ATM và IP. IP và ATM được phát triển độc lập và không có sự liên hệ giữa
chúng. Chuyển mạch ATM chỉ quan tâm tới việc truyền tải lưu lượng dựa trên
các giá trị VPI/VCI trong khi đó các router là thiết bị lớp 3 quan tâm tới việc
chuyển tiếp các gói tin dựa trên thông tin chứa trong các gói.
1. 1. 1. Tính khả chuyển (Scalability)
Một vấn đề mà nhà cung cấp dịch vụ gặp phải nữa là tính khả chuyển.
Tức là để đảm bảo việc dự phòng và tối ưu trong quá trình định tuyến thì mô
hình full mesh của các mạch ảo (VCs) phải được tạo ra mà kết quả có quá
nhiều kết nối.
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
5
Hình 1. 3: Full mesh với 6 kết nối ảo
Và càng nhiều các địa điểm thêm vào mạng lõi thì càng cần phải có nhiều
kết nối ảo (VCs) được tạo ra. Điều đó cũng có nghĩa là các router sẽ phải trao
đổi cập nhật bảng thông tin định tuyến với nhiều router liền kề gây ra một sự
lưu thông lớn trên mạng. Sự quá tải này cũng sẽ làm ảnh hưởng tới hiệu suất
của router là làm tốc độ xử lý của chúng giảm.
1. 1. 2. Điều khiển lưu lượng
Điều khiển lưu lượng là quá trình xử lý mà lưu lượng được vận chuyển
một cách tối ưu theo yêu cầu. Mặc dù cả hai công nghệ IP và ATM đều có
nhưng rõ ràng IP không thể sánh được với ATM về đặc tính này. ATM và IP là
hai công nghệ hoàn toàn tách biệt nhau cho nên thật khó để kết hợp triển khai
điều khiển lưu lượng đầu cuối
1. 1. 3. Chất lượng của dịch vụ (QoS)
Cả IP và ATM đều có khả năng QoS. Một sự khác nhau giữa chúng
chính là IP là giao thức không kết nối (connectionless) còn ATM là giao thức
có kết nối (connection-oriented).
Vì vậy vấn đề đặt ra ở đây chính là các nhà cung cấp dịch vụ phải làm
thế nào để kết hợp được 2 cách triển khai chất lượng dịch vụ thành một giải
pháp duy nhất
Chúng ta cũng có thể thấy rõ sự bất cập tồn tại ở chuyển tiếp gói tin ở
lớp mạng truyền thống(ví dụ chuyển tiếp gói tin IP qua mạng Internet). Sự
chuyển tiếp gói tin dựa trên các thông tin được cung cấp bởi các giao thức
định tuyến (ví dụ RIP, OSPF, EIGRP, BGP…), hoặc định tuyến tĩnh để đưa ra
quyết định chuyển tiếp gói tin tới hop tiếp theo trong mạng. Sự chuyển tiếp
này chỉ duy nhất dựa trên địa chỉ đích. Tất cả các gói tin có cùng một đích đến
sẽ đi theo cùng một con đường nếu không tồn tại các tuyến có cùng cost.
Trong trường hợp ngược lại sẽ sinh ra hiện tượng load balancing (cân bằng
tải).
Các router (bộ định tuyến) đưa ra quyết định gói tin sẽ đi theo đường nào.
Các thiết bị lớp mạng thu thập và phân phối các thông tin lớp mạng, và thực
hiện chuyển mạch lớp 3 dựa trên dựa trên các nội dung của tiêu đề lớp mạng
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
6
trong mỗi gói tin. Chúng ta có thể kết nối các router trực tiếp với nhau qua liên
kết point-to-point hoặc LAN, cũng có thể kết nối chúng bằng chuyển mạch
WAN (ví dụ Frame-relay hoặc ATM). Tuy nhiên chuyển mạch này lại không có
khả năng xử lý các thông tin định tuyến lớp 3 hoặc chọn tuyến cho gói tin
thông qua việc phân tích địa chỉ đích. Vì vậy chuyển mạch lớp 2 không thể
tham gia vào quá trình đưa ra quyết định chuyển tiếp gói tin ở lớp 3. Trong
trường hợp môi trường mạng WAN này, người thiết kế mạng phải thiết lập các
tuyến lớp 2 một cách thủ công qua mạng WAN. Các tuyến sau đó chuyển tiếp
gói tin lớp 3 giữa các router mà nó có kết nối vật lý đến mạng lớp 2.
Các đường dẫn lớp 2 trong mạng LAN thiết lập kết nối khá đơn giản.
Tuy nhiên thiết lập kết nối tuyến lớp 2 trong WAN phức tạp hơn. Các tuyến lớp
2 trong WAN thường dựa trên kiểu point-to-point (ví dụ như các mạch ảo
trong phần lớn công nghệ WAN) và chỉ được thiết lập theo yêu cầu cấu hình
thủ công. Bất kỳ thiết bị định tuyến nào (ví dụ như định tuyến đầu vào) ở biên
của mạng lớp 2 muốn chuyển tiếp các gói tin lớp 3 tới một thiết bị định tuyến
khác (định tuyến đầu ra) cần hoặc là thiết lập sự kết nối trực tiếp qua mạng tới
thiết bị đầu ra hoặc gửi dữ liệu tới một thiết bị khác để tryền dữ liệu tới đích.
Hình 1. 4: Một ví dụ về mạng IP dựa trên mạng lõi ATM
Để đảm bảo quá trình chuyển tiếp gói tin trong mạng là tối ưu, một mạch
ảo ATM phải tồn tại giữa bất kỳ hai router kết nối tới mạng lõi ATM. Điều đó có
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
7
nghĩa là nếu quy mô của mạng lớn, có đến vài chục hoặc thậm chí hàng trăm
router kết nối với nhau thì xảy ra một vấn đề khá trầm trọng
Ta có thể gặp các vấn đề sau:
Khi một router mới được nối vào mạng lõi WAN thì một mạch ảo
phải được thiết lập
Nếu một mạng chạy giao thực định tuyến (giả sử OSPF hoặc IS-
IS) thì mọi router sẽ thông báo sự thay đổi trong mạng tới mọi
router khác cùng kết nối tới WAN đường trục, kết quả là có quá
nhiều lưu lượng trong mạng.
Sử dụng các mạch ảo giữa các router là phức tạp bởi vì thật là
khó để dự đoán chính xác lưu lượng giữa bất kỳ hai router trong
mạng.
Sự thiếu thông tin trao đổi giữa các router và các chuyển mạch WAN
không phải là vấn đề với mạng Internet truyền thống bởi chúng chỉ đơn thuần
sử dụng các router cho định tuyến, hoặc các dịch vụ WAN(ATM hay Frame-
relay). Tuy nhiên nếu có sự kết hợp giữa hai dịch vụ trên thì lại là vấn đề. Vì
vậy yêu cầu đòi hỏi một kiến trúc khác cho phép trao đổi thông tin lớp mạng
giữa các router với các chuyển mạch WAN và cho phép các chuyển mạch
tham gia vào quá trình xử lý chuyển tiếp các gói tin, khi đó sự kết nối giữa các
router biên là không cần thiết.
1. 2. Chuyển mạch nhãn đa giao thức là gì?
Chuyển mạch nhãn đa giao thức (Multiprotocol Label Switching – MPLS)
là một công nghệ được đưa ra với mục đích giải quyết nhiều vấn đề đang tồn
tại liên quan tới chuyển mạch gói trong môi trường kết nối internet.
Chuyển mạch nhãn đa giao thức kết hợp giữa lợi ích của chuyển mạch
gói dựa trên chuyển mạch lớp 2 với định tuyến lớp 3. Tương tự như các
mạng lớp 2 ( Frame relay hay ATM), MPLS là một phương pháp cải tiến việc
chuyển tiếp gói trên mạng bằng cách gán nhãn cho các gói IP, tế bào ATM
hoặc frame lớp 2. Cơ chế chuyển tiếp qua mạng như thế được gọi là đổi nhãn
(label swapping), trong đó các đơn vị dữ liệu (ví dụ như gói hoặc tế bào)
mang một nhãn ngắn có chiều dài cố định để tại các node các gói được xử lý
và chuyển tiếp.
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
8
Sự khác nhau cơ bản giữa MPLS và các công nghệ WAN truyền thống
chính là cách mà các nhãn được gán và khả năng mang một ngăn xếp của
các nhãn (stack of labels) cho một gói tin. Khái niệm ngăn xếp nhãn cho phép
chúng ta có nhiều ứng dụng mới ví dụ như Điều khiển lưu lượng (Traffic
Engineering), Mạng riêng ảo (Virtual Private Network – VPN )….
Chuyển tiếp các gói trong MPLS hoàn toàn tương phản với môi trường
không kết nối hiện có, nơi mà các gói tin được phân tích trên từng hop một
(router), đấy chính là quá trình kiểm tra tiêu đề lớp 3, và một quyết định
forward gói tin được tiến hành dựa trên thuật toán định tuyến ở lớp mạng
Cấu trúc của một nút MPLS bao gồm 2 mặt thành phần:thành phần
chuyển tiếp (hay còn được gọi là mặt phẳng dữ liệu) và thành phần điều
khiển (còn được gọi là mặt phẳng điều khiển). Thành phần chuyển tiếp sử
dụng một cơ sở dữ liệu chuyển tiếp nhãn để chuyển tiếp dữ liệu dựa trên các
nhãn đi kèm với gói tin. Thành phần điều khiển chịu trách nhiệm tạo và duy trì
các thông tin chuyển tiếp nhãn (còn được gọi là bindings ) giữa nhóm các
chuyển mạch nhãn với nhau.
Tất cả các nút MPLS phải chạy một hoặc nhiều giao thức định tuyến IP
(hoặc dựa trên định tuyến tĩnh) để có thể trao đổi thông tin định tuyến với các
nút MPLS khác trên mạng. Theo đó, mỗi một nút MPLS (bao gồm cả chuyển
mạch ATM) là một router trên mặt phẳng điều khiển.
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
9
Hình 1. 4: Cấu trúc cơ bản của một nút MPLS
Tương tự như các router truyền thống, các giao thức định tuyến IP sẽ
dùng để xây dựng nên bảng định tuyến. Bảng định tuyến IP được sử dụng để
forward gói tin.
Tại một nút MPLS, bảng định tuyến được sử dụng để xác định việc trao
đổi thông tin nhãn chuyển tiếp, nơi mà các nút MPLS kề cận với nó trao đổi
các nhãn cho các mạng con (subnets) cụ thể được chứa trong bảng định
tuyến.
Các quá trình Điều khiển định tuyến MPLS IP (MPLS IP Routing Control)
sử dụng các nhãn để trao đổi với các nút MPLS cạnh nó để tạo ra Bảng
chuyển tiếp nhãn (Label Forwarding Table), bảng này là vùng cơ sở dữ liệu
được sử dụng để chuyển tiếp các gói được gán nhãn qua mạng MPLS
1.2.1. Kiến trúc MPLS
Trước hết chúng ta tìm hiểu các khái niệm mới trong kiến trúc MPLS và
chức năng của chúng trong miền cấu tạo MPLS
Thiết bị đầu tiên là Bộ định tuyến chuyển nhãn (Label Switch Router-
LSR). Đó là các router hoặc switch triển khai phân phối nhãn và có thể chuyển
tiếp các gói dựa trên các nhãn. Chức năng cơ bản của quá trình phân phối
nhãn này cho phép một LSR phân phối nhãn thông tin chuyển tiếp của nó tới
các LSRs khác trong mạng MPLS.
Có một vài loại LSR khác nhau và chúng được phân biệt nhờ chức năng
của chúng trong cơ sở hạ tầng mạng. Sự khác nhau của các loại LSR được
mô tả bên trong cấu trúc của Edge-LSR, ATM-LSR và ATM edge-LSR. Sự
khác nhau giữa các loại LSR chỉ là cấu trúc bởi một loại có thể đóng nhiều vai
trò khác nhau.
Chúng ta có thể tóm tắt các chức năng của các loại LSR. Chú ý rằng bất
kỳ một thiết bị trên mạng nào có thể có nhiều hơn một chức năng (một thiết bị
có thể vừa là LSR biên vừa là ATM LSR biên.
Kiểu LSR Chức năng
LSR Chuyển tiếp các gói tin đã được gán nhãn
LSR biên - Có thể nhận một gói tin IP, thực hiện kiểm tra lớp 3, và gán
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
10
1. 2. 2. Tạo nhãn ở mạng biên
Các gói tin phải được đánh nhãn trước khi chuyển tiếp tới miền mạng
MPLS. Để thực hiện được nhiệm vụ này, LSR biên phải biết nơi gói tin được
đánh tiêu đề, hoặc ngăn xếp nhãn, nó phải khai báo cho gói tin. Để chuyển
tiếp IP lớp 3 tới hop tiếp theo, nó kiểm tra trong bảng định tuyến địa chỉ IP đích
được chứa trong header lớp 3 của gói tin. Sau đó lựa chọn hop tiếp theo để
chuyển tiếp gói tin. Và cứ như thế cho đến khi gói tin đi đến đích.
Có 2 cách để gói IP tới hop tiếp theo. Cách thứ nhất là toàn bộ các gói
được coi là như nhau khi chuyển qua mạng. Cách thứ hai là ánh xạ từng địa
chỉ IP đích tới một IP của hop tiếp theo. Trong mạng MPLS cách thứ nhất
được gọi là nhóm chuyển tiếp tương đương – FECs (Forwarding Equivalence
Classes). FEC là một nhóm các gói, nhóm các gói này chia sẻ cùng yêu cầu
trong sự chuyển tiếp chúng qua mạng. Tất cả các gói trong một nhóm như vậy
được cung cấp cùng cách chọn đường tới đích. Khác với chuyển tiếp IP
truyền thống, trong MPLS việc gán một gói cụ thể vào một FEC cụ thể chỉ
được thực hiện một lần khi các gói vào trong mạng. MPLS không ra quyết
định chuyển tiếp với mỗi datagram lớp 3 mà sử dụng khái niệm FEC. FEC phụ
thuộc vào một số các yếu tố, ít nhất là phụ thuộc vào địa chỉ IP và có thể là
phụ thuộc cả vào kiểu lưu lượng trong datagram (thoại, dữ liệu, fax…). Sau
đó dựa trên FEC, nhãn được thoả thuận giữa các LSR lân cận từ lối vào tới lối
một ngăn xếp nhãn trước khi chuyển tiếp gói vào miền LSR
- Có thể nhận một gói IP, thực hiện việc kiểm tra ở lớp 3,
chuyển tiếp gói IP tới điểm tiếp theo (next-hop)
ATM-LSR - Chạy các giao thức MPLS trong mặt phẳng điều khiển để
tạo ra các mạch ảo ATM, và chuyển tiếp các tế bào tới ATM-
LSR ở điểm tiếp theo(next-hop)
ATM LSR-
biên
- Có thể nhận 1 gói đã được gán nhãn hoặc chưa, chia nó
thành các tế bào ATM và chuyển tiếp các tế bào tới ATM-
LSR tiếp theo
- Có thể nhận các tế bào ATM từ một ATM-LSR kề cận, lắp
ghép các tế bào này trở lại gói tin gốc và sau đó chuyển tiếp
gói tin này dưới dạng đã được gán nhãn hoặc chưa.
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
11
ra trong một vùng định tuyến. Mỗi LSR xây dựng một bảng để xác định xem
một gói phải được chuyển tiếp như thế nào. Bảng này được gọi là cơ sở
thông tin nhãn (LIB: Label Information Base), nó là tổ hợp các ràng buộc FEC
với nhãn (FEC-to-label). Và nhãn lại được sử dụng để chuyển tiếp lưu lượng
qua mạng.
Một cách để phân chia lưu lượng vào trong các FEC là tạo một FEC
riêng biệt cho mỗi tiền tố địa chỉ xuất hiện trong bảng định tuyến. Cách này có
thể tạo ra một tập hợp các FEC cho phép cùng đi một đường tới đích. Theo
cách này thì bên trong một miền MPLS, sẽ có nhiều FEC riêng biệt và như thế
sẽ không hiệu quả. Trên thực tế MPLS hợp nhất những FEC đó thành một
FEC duy nhất.
Egress
Node
Routing Table
172.16.10.5/16
172.16.17.3/16
172.16.12.8/16
192.168.14.7/24
192.168.14.20/24
Ingress Node
1 Prefix = 1 FEC
Hình 1. 5: Các FEC riêng biệt cho mỗi tiền tố địa chỉ
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
12
Egress
Node
Routing Table
172.16.10.5/16
172.16.17.3/16
172.16.12.8/16
192.168.14.7/24
192.168.14.20/24
Ingress Node
n Prefix = 1 FEC
Hình 1. 6: Tổng hợp các FEC
Hình 1. 7: Sự tạo nhãn MPLS và chuyển tiếp
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
13
Với cơ chế chuyển tiếp IP truyền thống, thì mỗi gói tin được xử lý tại
một hop trong mạng. Tuy nhiên với MPLS, một gói tin cụ thể được gán tới một
FEC cụ thể, và được thực hiện tại thiết bị mạng biên khi mà gói tin tham gia
vào mạng. Nhóm chuyển tiếp tương đương cho mỗi gói được khai báo sau đó
mã hóa thành một chỉ số định dạng ngắn có chiều dài cố định, được gọi là
nhãn.
1. 2. 3. Chuyển tiếp gói MPLS và Đường chuyển mạch nhãn
Mỗi một gói tin khi tham gia mạng MPLS tại LSR vào và ra khỏi mạng
MPLS tại một LSR ra. Cơ chế này tạo ra Đường chuyển mạch nhãn – Label
Switched Path (LSP), được mô tả như là một nhóm các LSRs mà các gói
được gán nhãn phải đi qua để tới LSR đầu ra cho một FEC cụ thể. LSP này là
theo một phương hướng duy nhất, có nghĩa là một LSP khác được sử dụng
để cho lưu lượng có thể trở về từ một FEC nào đó
LSP là một hướng kết nối (connection-oriented) bởi vì đường dẫn được
tạo ra trước khi có sự vận chuyển lưu lượng. Tuy nhiên, việc thiết lập kết nối
này dựa trên thông tin về mô hình mạng hơn là yêu cầu về luồng lưu lượng.
Khi gói tin đi qua mạng MPLS, mỗi LSR sẽ hoán đổi nhãn đi vào với một
nhãn đi ra cho đến LSR cuối cùng, được biết đến là LSR ra. (giống như cơ
chế được sử dụng trong mạng ATM nơi mà một cặp VPI/VCI này được tráo
đổi với một cặp VPI/VCI khác khi ra khỏi chuyển mạch ATM)
1. 3. Các ứng dụng khác của MPLS
Hình 1. 8: Các ứng dụng khác nhau của MPLS
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
14
MPLS được tạo ra để kết hợp của định tuyến truyền thống và chuyển
mạch ATM trong một mạng lõi IP thống nhất ( IP-ATM cấu trúc). Tuy nhiên ưu
thế thực sự của MPLS chính là các ứng dụng khác mà nó đem lại, từ điều
khiển lưu lượng (Traffic Engineering) tới mạng riêng ảo (Virtual Private
Networks). Tất cả các ứng dụng này sử dụng chức năng miền điều khiển để
thiết lập một cơ sở dữ liệu chuyển mạch
1. 3. 1. Điều khiển lưu lượng:
Vấn đề quan trọng trong các mạng IP là thiếu khả năng điều khiển linh
hoạt các luồng lưu lượng IP để sử dụng hiệu quả dải thông mạng có sẵn. Do
vậy, thiếu hụt này liên quan đến khả năng gửi các luồng được chọn xuống
các đường được chọn ví dụ như chọn các đường trung kế được bảo đảm
cho các lớp dịch vụ riêng. MPLS sử dụng các đường chuyển mạch nhãn LSP,
đó chính là một dạng của “lightweight VC” mà có thể được thiết lập trên cả
ATM và thiết bị dựa trên gói tin. Khả năng kỹ thuật lưu lượng của MPLS sử
dụng thiết lập các LSP để điều khiển một cách linh hoạt các luồng lưu lượng
IP.
1. 3. 2. Mạng riêng ảo VPN (Virtual Private Network)
VPN thiết lập cơ sở hạ tầng cho mạng Intranet và Extranet, đó là các
mạng IP mà các công ty kinh doanh sẽ thiết lập trên cơ sở toàn bộ cấu trúc
kinh doanh của họ. Dịch vụ VPN là dịch vụ mạng Intranet và Extranet mà các
mạng đó được cung cấp bởi nhà cung cấp dịch vụ đến nhiều tổ chức khách
hàng. MPLS kết hợp với giao thức BGP cho phép một nhà cung cấp mạng hỗ
trợ hàng nghìn VPN của khách hàng. Như vậy, mạng MPLS cùng với BGP tạo
ra cách thức cung cấp dịch vụ VPN trên cả ATM và các thiết bị dựa trên gói tin
rất linh hoạt, dễ mở rộng quy mô và dễ quản lý. Thậm chí trên các mạng của
nhà cung cấp khá nhỏ, khả năng linh hoạt và dễ quản lý của các dịch vụ
BGP/MPLS VPN là ưu điểm chủ yếu.
1. 3. 3. Tích hợp IP và ATM
Do “chuyển mạch nhãn” có thể thực hiện được bởi các chuyển mạch
ATM, MPLS là một phương pháp tích hợp các dịch vụ IP trực tiếp trên chuyển
mạch ATM. Sự tích hợp này cần phải đặt định tuyến IP và phần mềm LDP
trực tiếp trên chuyển mạch ATM. Do tích hợp hoàn toàn IP trên chuyển mạch
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
15
ATM, MPLS cho phép chuyển mạch ATM hỗ trợ tối ưu các dịch vụ IP như IP
đa hướng (multicast), lớp dịch vụ IP, RSVP và mạng riêng ảo VPN
1. 3. 4. Hỗ trợ chất lượng dịch vụ Qos (Quality of Service)
Một thiếu sót của mạng IP so với mạng Frame Relay và ATM, là sự bất
lực của chúng để cung cấp dịch vụ thoả mãng nhu cầu lưu lượng. Ví dụ lưu
lượng thời gian thực như voice hay video cần dịch vụ chất lượng cao (độ trễ
luồng thấp, mất luồng thấp…) khi truyền qua mạng. Tương tự dữ liệu trong
kinh tế thương mại phải được ưu tiên qua trình duyệt web thông thường.
Kết nối định hướng mang tính tự nhiên của MPLS cung cấp khung làm
việc hợp lý để đảm bảo chất lượng lưu lượng IP. Trong khi QoS và lớp dịch vụ
CoS (Class of Service) không phải là cơ sở đặc biệt của MPLS, chúng có thể
ứng dụng trong mạng MPLS khi kỹ thuật lưu lượng được sử dụng. Điều này
cho phép nhà cung cấp thiết lập hợp đồng mức dịch vụ SLA (Service Level
Agreements) với khách hàng để đảm bảo dịch vụ như độ rộng băng, độ trễ,
mức thấp thoát. Dịch vụ giá trị gia tăng có thể được phân phối bổ sung như
truyển tải dữ liệu cơ sở, tăng thu nhập và cuối cùng cho tiến tới mạng hội tụ.
Intserv and Diffserv, qua thời gian một số kỹ thuật được phát triển để
thiết lập QoS/CoS trong một mạng. Trong mô hình dịch vụ tích hợp Intserv
(Integrated Services), RSVP đã phát triển thủ tục báo hiệu QoS qua một mạng,
cho phép thiết bị sắp xếp và thiết lập thông số lưu lượng đảm bảo như độ
rộng băng và độ trễ đầu cuối - đầu cuối. Nó sử dụng nguồn tài nguyên tại chỗ,
đảm bảo dịch vụ xuống theo luồng cơ sở. Mô hình dịch vụ khác nhau Diffserv
(Differentiated Services) giảm bớt cứng nhắc, cung cấp phân phối CoS để đối
xử như nhau đối với lớp lưu lượng có mức ưu tiên như nhau, nhưng không có
báo hiệu hay đảm bảo dịch vụ đầu cuối đầu cuối. Diffserv định nghĩa lại kiểu
dịch vụ ToS (Type of Service) trong tiêu đề gói IP để cung cấp sự phân loại
này.
Trong khi Intserv đảm bảo độ rộng băng lưu lượng, nó xác nhận không
thể tăng hay thực hiện hoạt động qua mạng lớn. Khiến trúc Diffserv, có một
tăng luôn phiên, nhưng không cung cấp đản bảo. IETF kết hợp Difserv và kỹ
thuật lưu lượng MPLS để cung cấp QoS đảm bảo trong mạng MPLS. Thông
tin Diffserv trong tiêu đề gói IP được ánh xạ trong thông tin nhãn của gói
MPLS. Bộ định tuyến MPLS cập nhật thông tin ưu tiên để truyển tiếp dữ liệu
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
16
thích hợp. Một số cơ chế sử dụng gồm chia sẻ lưu lượng, đợi, và phân loại
gói.
QoS thực hiện ở biên của đám mây MPLS, ở nơi lưu lượng phi nhãn từ
mạng khách hàng đi vào mạng truyền thông. Tại cổng vào này, lưu lượng thời
gian thực dễ bị ảnh hưởng như lưu lượng định dạng voice IP hay hội nghị
video có thể được ưu tiên phân phát qua sự chuyển giao dữ liệu lớn.
Chương 2. Hoạt động của MPLS ở chế độ Frame-mode
Trong Chương 1, chúng ta đã có cái nhìn tổng quan về kiến trúc của
MPLS. Trong phần này chúng ta sẽ một trong những ứng dụng của nó:
Định tuyến IP với địa chỉ đích là unicast trong môi trường đơn thuần các
bộ định tuyến. Cũng được gọi là Frame-mode MPLS, bởi vì các nhãn được
gán được trao đổi giống như là các frames ở lớp 2.
Ở phần này chúng ta tập trung trên miền dữ liệu (MPLS data plane), giả
sử rằng, bằng một cách nào đó các nhãn được trao đổi giữa các bộ định
tuyến. Ở phần tiếp theo chúng ta sẽ giải thích một cách chính xác cơ chế
phân phối nhãn giữa các router.
2. 1. Hoạt động miền dữ liệu MPLS ở chế độ Frame-mode
Trong Chương 1 chúng ta đã hiểu một cách tóm tắt quá trình một gói tin
IP đi qua mạng lõi MPLS. Có 3 bước chính trong quá trình này đấy là:
Một LSR biên vào nhận một gói tin IP, phân loại gói tin này vào
một nhóm các chuyển tiếp tương đương nào đó (FEC) và gán
nhãn cho gói tin với ngăn xếp nhãn ra (outgoing label stack) phù
hợp với FEC. Để định tuyến dựa trên địa chỉ đích IP, FEC phải
phù hợp với subnet của địa chỉ đích và việc phân loại gói tin chỉ là
việc kiểm tra lớp 3 dựa theo bảng định tuyến.
Các LSR lõi nhận các gói tin đã được gán nhãn và sử dụng các
bảng chuyển tiếp nhãn để trao đổi nhãn đi vào trong gói tin với
nhãn ra phù hợp với FEC ( trong trường hợp này là IP subnet).
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
17
Khi đến LSR biên lối ra nhận gói tin đã được gán nhãn, nó bỏ
nhãn này ra và thực hiện việc tra cứu lớp 3 trong gói tin IP đó.
Một câu hỏi được đặt ra ở đây là: Ở đâu nhãn được tạo ra và ở
bộ định tuyến nhận được gói tin thì đó là gói tin đã được gán nhãn
hay đơn thuần chỉ là gói tin IP
Chúng ta xem lại mô hình sau:
Hình 2. 1: Mô hình chuyển mạch gói tin giữa các bộ định tuyến
2. 1. 1. Tiêu đề ngăn xếp nhãn MPLS ( MPLS label stack header)
Vì nhiều lý do, mà hiệu suất chuyển mạch là một trong những số đó,
nhãn MPLS phải được đặt ở trước dữ liệu được dán nhãn trong chế độ
frame-mode. Vì vậy nhãn MPLS phải được chèn vào giữa tiêu đề lớp 2 và nội
dung lớp 3 của frame lớp 2.
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
18
Hình 2. 2. Vị trí của nhãn MPLS trong một Frame lớp 2
Theo cách mà nhãn MPLS được chèn vào giữa gói tin lớp 3 và tiêu đề
lớp 2, thì tiêu đề nhãn MPLS được gọi là shim header. Một tiêu đề của nhãn
MPLS bao gồm: 20 bit nhãn MPLS, 3 bit thông tin lớp dịch vụ (class-of-service
information), 8 bit trường Time-to-live (TTL) dùng để xác định dò loop giống
như chức năng của trường TTL trong IP và 1 bit được gọi là bit đáy của ngăn
xếp (Bottom-of-Stack)
Hình 2. 3: Tiêu đề ngăn xếp nhãn MPLS
Bit đáy ngăn xếp nhãn đóng vai trò (implement) như ngăn xếp nhãn
MPLS. Chúng ta nhắc lại khái niệm ngăn xếp nhãn, nó được định nghĩa giống
như là một sự kết hợp của hai hoặc nhiều tiêu đề nhãn đính vào một gói tin.
Trong định tuyến IP theo địa chỉ unicast thì không sử dụng ngăn xếp, nhưng
với các ứng dụng khác của MPLS, ví dụ như MPLS-VPN hay MPLS Traffic
Engineering thì đây là một yếu tố rất quan trọng
Với tiêu đề ngăn xếp nhãn MPLS được chèn vào giữa tiêu đề lớp 2 và tải
trọng lớp 3 thì router gửi phải có vài cách thức để thông báo với router nhận
rằng gói tin đang được truyền không phải là gói IP đơn thuần mà là gói tin
được gán nhãn. Để làm được điều đó một cách thuận lợi, các loại giao thức
mới được định nghĩa ở trên lớp 2:
Trong môi trường mạng LAN (Local Area Network), các gói tin đã
được gán nhãn mang địa chỉ unicast và multicast lớp 3 sử dụng
kiểu ethernet có giá trị 8847 và 8848 trong hệ 16. Những giá của
kiểu ethernet này có thể được sử dụng trực tiếp trong môi trường
Ethernet (Fast Ethernet và Gigabit Ethernet)
Trong kiểu kết nối point-to-point sử dụng cách thức đóng gói PPP,
một giao thức điều khiển mạng mới (new Network Control
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
19
Protocol – NCP) được gọi là giao thức điều khiển
MPLS(MPLSCP) được sử dụng. Các gói tin MPLS được đánh
dấu bằng trường giao thức PPP có giá trị là 8281 trong hệ 16
Các gói tin MPLS đi qua một DLCI Frame Relay giữa một cặp
định tuyến(router) được đánh dấu bởi chỉ số giao thức lớp mạng
SNP của Frame Relay(Frame Relay SNAP Network Layer
Protocol ID – NLPID), theo sau đó là tiêu đề SNAP với giá trị của
kiểu ethernet là 8847 trong hệ hex.
San Jose router trong hình 2.1 chèn nhãn MPLS vào trước gói IP mà nó
nhận được, đóng gói gói tin đã gán nhãn đó trong một khung PP với trường
giao thức PPP có giá trị là 8281 trong hệ 16 và chuyển tiếp khung lớp 2 tới
router San Francisco.
2. 1. 2. Chuyển mạch nhãn trong chế độ Frame-mode
Sau khi nhận được frame PPP lớp 2 từ router San Jose, router San
Francisco ngay lập tức xác định gói tin vừa nhận được là một gói tin đã được
gán nhãn dựa trên giá trị trường giao thức PPP của nó và thực hiện tra cứu
trong cơ sở thông tin chuyển tiếp nhãn (Label Forwarding Information – LFIB)
Các gói tin được gán nhãn được truyền như vậy cho đến đích, đến router
cuối cùng thì LFIB sẽ thông báo với router bỏ nhãn và chuyển tiếp gói tin
không gán nhãn này.
2. 1. 3. Chuyển mạch nhãn MPLS với ngăn xếp nhãn
Hoạt động của chuyển mạch nhãn được thực hiện mà không quan tâm
tới số lượng nhãn gán vào gói tin, có thể là một nhãn hoặc một ngăn xếp gồm
một số nhãn bên trong. Trong cả hai trường hợp, LSR sẽ chỉ xử lý nhãn ở trên
cùng của ngăn xếp, bỏ qua các nhãn khác. Chức năng này cho phép nhiều
ứng dụng ở các bộ định tuyến biên có thể cho phép phân loại nhãn và kết hợp
các nhãn (Can agree on packet classification rules and associated labels) mà
không cần biết các bộ định tuyến lõi của mạng.
Ví dụ, giả sử rằng router San Joe và router New York ở trong mạng có hỗ
trợ MPLS/VPN và cùng biết mạng 10. 1. 0. 0/16, mạng này có thể đến được
thông qua router New York, nhãn được khai báo với giá trị là 73. Các router
trong mạng lõi (San Francisco và Washington) không có thông tin về điều này.
Để gửi một gói tin tới host có địa chỉ là 10. 1. 0. 0/16, router San Jose tạo ra
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
20
một ngăn xếp nhãn. Nhãn dưới cùng trong ngăn xếp được khai báo cho router
New York còn nhãn trên cùng được khai báo cho địa chỉ IP của router New
York thông qua router San Francisco. Khi mạng chuyển gói tin thì nhãn trên
cùng được chuyển mạch chính xác giống như chuyển tiếp gói tin IP qua mạng
đường trục và nhãn thứ 2 trong ngăn xếp sẽ nguyên vẹn khi đến router New
York
Hình 2. 4: Chuyển mạch nhãn với ngăn xếp
2. 2. Quá trình truyền và kết hợp nhãn trong Frame-mode MPLS
Phần này sẽ tập trung vào quá trình kết hợp FEC với nhãn và truyền
chúng giữa các LSRs qua các giao diện đã được đóng khung.
Có hai giao thức kết hợp nhãn được sử dụng để tổng hợp một IP mạng
con (subnet) với một số nhãn MPLS cho mục đích gửi tới địa chỉ đích:
Giao thức phân phối thẻ (Tag Distribution Protocol – TDP)
Giao thức phân phối nhãn(Label Distribution Protocol – LDP)
Cả TDP và LDP đều có chức năng giống nhau và có thể được sử dụng
trong mạng, thậm chí trên các interface khác nhau của cùng một LSR. Ở đây
chúng ta chỉ đề cập đến TDP
2. 2. 1. Thiết lập một phiên LDP/TDP
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
21
Khi bắt MPLS trên interface của router, thì TDP/LDP được khởi tạo và
cấu trúc cơ sở thông tin nhãn(LIB) được tạo ra. Bộ định tuyến(router) cũng tìm
cách nhận ra các LSRs khác trên interface đang chạy MPLS thông qua gói tin
hello TDP. Các gói tin hello TDP này được gửi quảng bá(broadcast) hoặc là
gói tin UDP multicast(tới một nhóm các đích), tạo ra quan hệ hàng xóm LSR.
Sau khi gói tin hello TDP khám phá ra TDP hàng xóm thì một phiên TDP
được thiết lập. Các phiên TDP sử dụng TCP với cổng 711 và LDP sử dụng
TCP cổng 646. Sử dụng giao thức TCP đem lại khả năng tối ưu trong điều
khiển luồng và tin cậy trong việc giải quyết tắc nghẽn lưu lượng.
2. 2. 2. Phân phối và kết hợp nhãn
Khi cơ sở thông tin nhãn (LIB) được tạo ra trong bộ định tuyến, một nhãn
được khai báo cho mọi FEC biết đến bộ định tuyến. Vì định tuyến dựa vào địa
chỉ đích, FEC tương đương với một tiền tố IGP(Internal Gateway Protocol)
trong bảng định tuyến IP. Vì vậy một nhãn được khai báo cho mọi tiền tố trong
bảng định tuyến IP và có sự ánh xạ hai bảng này được lưu trữ trong LIB.
Bởi vì LSR khai báo một nhãn cho mỗi IP prefix trong bảng định tuyến
của nó khi mà prefix xuất hiện trong bảng định tuyến và nhãn này được sử
dụng bởi các LSR khác trong việc gửi các gói tin đã được gán nhãn cho LSR,
phương pháp cấp và phân phối nhãn này được gọi là khai báo nhãn điều
khiển độc lập, với cách phân phối nhãn phía sau tự nguyện :
Việc cấp nhãn trong các bộ định tuyến được thực hiện mà không
quan tâm tới việc bộ định tuyến đã nhận nhãn cho cùng prefix từ
bộ định tuyến kế cận hay chưa. Vì vậy việc cấp nhãn này trong
các bộ định tuyến được gọi là điều khiển độc lập(independent
control)
Phương pháp phân phối này là tự nguyện(unsolicited) bởi vì LSR
khai báo nhãn và quảng bá sự ánh xạ tới các bộ định tuyến hàng
xóm phía sau nó(từ đích tới nguồn) không quan tâm tới việc các
LSR khác cần nhãn hay không. Một LSR chỉ khai báo một nhãn
cho một prefix IP và phân phối nó cho router phía sau nó (từ đích
tới nguồn) khi được yêu cầu.
Phương pháp phân phối này là downstream(từ phía sau ra phía
trước) khi LSR khai báo một nhãn mà các LSR khác(Các LSR
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
22
phía sau) có thể sử dụng cho chuyển tiếp các gói tin đã được gán
nhãn và quảng bá sự ánh xạ nhãn này tới các bộ định tuyến liền
kề. Việc khởi tạo cấu trúc chuyển mạch thẻ cũng bao gồm cả sự
cung cấp cho LSR phía sau nhưng cả việc triển khai bổ sung
chuyển mạch thẻ hiện tại và cấu trúc MPLS không cần kiểu này
cho phương pháp phân phối nhãn.
Tất cả sự kết hợp nhãn được quảng bá ngay lập tức đến các bộ định
tuyến khác thông qua các phiên TDP. Các bộ định tuyến thông báo sự kết hợp
IP prefix-to-label của nó tới tất cả các bộ định tuyến kề cận mà không quan
tâm đó là upstream hay downstream. Thậm chí sự kết hợp này cũng được gửi
tới cho bộ định tuyến tiếp theo vì thế sẽ không có split-horizon trong quá trình
xử lý TDP hay LDP.
Các LSR nhận bảng ánh xạ prefix-to-label, lưu chúng trong bảng cơ sở
thông tin nhãn (LIB) và sử dụng chúng trong cơ sở thông tin chuyển tiếp nhãn
(LFIB) nếu bảng ánh xạ nhận được từ router phía trước, chính là router tiếp
theo. Phương pháp lưu giữ này được gọi là kiểu ghi nhớ tự do (liberal
retention mode) trái ngược với kiểu ghi nhớ bảo thủ (conservative retention
mode), tức là các LSR chỉ giữ lại các nhãn được khai báo cho một prefix bởi
các bộ định tuyến phía trước hiện tại của nó, nơi mà LSR chỉ lưu giữ các
nhãn được khai báo tới một prefix bởi các router phía trước.
Một bộ định tuyến có thể nhận được nhiều sự kết hợp TDP từ các bộ
định tuyến kề cận, nhưng chỉ sử dụng một vài trong số đó để chuyển tiếp các
bảng như sau :
Sự kết hợp nhãn từ bộ định tuyến tiếp theo được xem xét cho
phù hợp với đầu vào FIB. Nếu bộ định tuyến không nhận sự kết
hợp nhãn từ bộ định tuyến kế tiếp thì đầu vào FIB xác nhận các
gói tin đến đích mà không được gán nhãn.
Nếu bộ định tuyến nhận một sự kết hợp nhãn từ bộ định tuyến kế
tiếp, thì nhãn hiện tại ở bộ định tuyến và nhãn tiếp theo ở bộ định
tuyến kế tiếp được lưu lại trong LFIB. Nếu bộ định tuyến kế tiếp
không khai báo nhãn phù hợp với prefix thì gói tin không được
gán nhãn
2. 2. 3. Hội tụ trong mạng MPLS ở chế độ Frame-mode
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
23
Một trong những yếu tố quan trọng trong việc thiết kế mạng MPLS chính
là thời gian hội tụ của mạng. Một số ứng dụng của MPLS (ví dụ
như :MPLS/VPN hay thiết kế BGP dựa trên MPLS) sẽ không hoạt động chính
xác trừ khi một gói tin được gán nhãn được gửi qua tất cả các đường dẫn từ
đầu vào LSR biên đến LSR biên đầu ra. Trong các ứng dụng này thời gian hội
tụ có thể tăng lên bởi do trễ truyền
Trong mạng MPLS ở chế độ Frame-mode, sử dụng kiểu lưu giữ tự do
(liberal retention mode) kết hợp với điều khiển nhãn độc lập(independent label
control) và phân phối nhãn luồng xuống tự nguyện(unsolicited downstream
label distribution) sẽ làm giảm thiểu thời gian hội tụ TDP/LDP. Mọi bộ định
tuyến sử dụng kiểu lưu giữ tự do luôn có nhãn khai báo cho một prefix đưa ra
từ tất cả các bộ định tuyến hàng xóm sử dụng TDP/LDP, vì vậy nó luôn luôn
tìm thấy một nhãn đi ra ngoài trong bảng định tuyến phù hợp mà không cần
hỏi bộ định tuyến kế tiếp cho việc khai báo nhãn.
2. 3. Xử lý ở bộ định tuyến cuối cùng (Penultimate Hop Popping)
Ở LSR biên ở đầu ra trong mạg MPLS thì phải tiến hành hai tra cứu:
Một là gói tin nhận được từ một MPLS kề cận, hai là đích đến cho một subnet
bên ngoài mạng MPLS. Nó phải kiểm tra nhãn trong tiêu đề ngăn xếp nhãn và
thực hiện kiểm tra để nhận biết rằng nhãn đã được đẩy vào và dưới sự kiểm
soát của gói tin IP
Hình 2. 5: Hai quá trình tra cứu ở bộ định tuyến cuối New York
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
24
Việc thực hiện hai quá trình tra cứu ở router New York có thể làm giảm
hiệu suất của node mạng. Hơn nữa trong môi trường mà MPLS và chuyển
mạch IP được thực hiện bởi phần cứng thì tra cứu hai lần làm tăng độ phức
tạp của việc triển khai các thiết bị phần cứng lên rất nhiều. Để giải quyết vấn
đề này người ta sử dụng Penultimate Hop Popping(PHP).
Phương pháp này chỉ được áp dụng trực tiếp cho những subnet(mạng
con) kết nối trực tiếp hoặc tập hợp các đường dẫn (aggregate routes). Trong
trường hợp là giao diện là kết nối trực tiếp, thì việc thực hiện tra cứu lớp 3 là
cần thiết để có được các thông tin chính xác cho việc gửi một gói tin đến đích
được kết nối trực tiếp. Nếu prefix là một sự tập hợp thì việc tra cứu ở lớp 3
cũng cần thiết để tìm ra đường đi cụ thể sau đó được sử dụng để gói tin đi
đến đích chính xác. Trong các trường hợp còn lại, thì thông tin đi ra ngoài của
gói tin lớp 2 có trong LFIB và vì vậy việc tra cứu lớp 3 là không cần thiết.
Với phương pháp này, LSR biên có thể yêu cầu một nhãn từ router phía
sau kề cận với nó.
Hình 2. 6: Penultimate Hop Popping trong mạng MPLS
Ở Hình 2. 6 router Washington lấy nhãn từ gói tin và gửi gói tin IP đơn
thuần tới router New York. Sau đó router New York thực hiện việc tra cứu lớp
3 và chuyển tiếp gói tin tới đích cuối cùng.
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
25
Tóm lại chế độ hoạt động khung xuất hiện khi sử dụng MLS trong môi
trường các bộ định tuyến thuần nhất định tuyến các gói tin IP điểm-điểm. Các
gói tin gán nhãn được chuyển tiếp trên cơ sở khung lớp 2.
Quá trình chuyển tiếp môt gói tin IP qua mạng MPLS thực hiện thông qua
một số bước sau:
LSR biên lối vào nhận gói tin IP, phân loại gói vào nhóm chuyển
tiếp tương đương FEC và gán nhãn cho gói với ngăn xếp nhãn
tương ứng FEC đã được xác định. Nếu định tuyến một địa chỉ
đích(unicast), FEC sẽ tương ứng với mạng con đích và việc phân
loại gói tin sẽ được thực hiện bằng cách tra cứu bảng định tuyến
lớp 3 truyền thống.
LSR lõi nhận gói tin đã được gán nhãn và sử dụng bảng chuyển
tiếp nhãn để thay đổi nhãn nội vùng trong gói đến với nhãn ngoài
vùng tương ứng cùng với vùng FEC(trong trường hợp này là
mạng con IP)
Khi LSR biên lối ra của vùng FEC này nhận được gói có nhãn, nó
loại bỏ nhãn và thực hiện việc chuyển tiếp gói tin IP theo bảng
định tuyến lớp 3 truyền thống.
Chương 3: Hoạt động của MPLS ở chế độ Cell-mode
Trong chương 2 chúng ta đã tìm hiểu cách MPLS hoạt động giữa thiết bị
chuyển mạch lớp 3 (router) ở chế độ Frame-mode. Các bộ định tuyến trao đổi
các gói tin IP đơn thuần (cho các giao thức điều khiển) cũng như các gói tin IP
được gán nhãn qua cùng một link liên kết. Các bộ định tuyến cũng thực hiện
chuyển mạch nhãn bằng cách xác định tiêu đề nhãn ở trước mỗi gói tin IP
Khi thực hiện triển khai MPLS qua công nghệ ATM cần phải giải quyết
một số khó khăn sau:
Không có cơ chế trao đổi các gói tin IP một cách trực tiếp giữa 2
node MPLS kề nhau qua giao diện ATM. Tất cả các dữ liệu trao
đổi qua giao diện ATM phải được thực hiện qua kênh ảo(virtual
circuit – VC)
Chuyển mạch ATM không thể thực hiện việc kiểm tra nhãn hay
tra cứu ở lớp 3. Khả năng duy nhất của một chuyển mạch ATM là
chuyển đổi VC đầu vào thành VC đầu ra của giao diện ra.
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
26
Công nghệ MPLS đã đưa ra một số các giải pháp để đảm bảo việc thực
hiện triển khai MPLS qua ATM:
Các gói tin IP trong vùng điều khiển không thể trao đổi một cách
trực tiếp qua giao diện ATM. Một VC điều khiển phải được thiết
lập giữa các node MPLS kề nhau để có thể trao đổi các gói tin
trong vùng điều khiển
Chuyển mạch ATM không thể thực hiện việc tra cứu nhãn. Khi đó
nhãn trên cùng trong ngăn xếp nhãn phải được chuyển đổi sang
giá trị VPI/VCI
Chúng ta nhắc đến một số khái niệm được dùng trong việc triển khai
MPLS qua môi trường ATM
Giao diện ATM được điều khiển chuyển mạch nhãn (Label Switching
Controlled ATM interface – LC-ATM interface) là một giao diện trên
router hoặc trên chuyển mạch ATM mà trong đó giá trị VPI/VCI được
khai báo thông qua các giao thức điều khiển MPLS (TDP hoặc LDP)
ATM-LSR là một chuyển mạch ATM chạy các giao thức MPLS trong
miền điều khiển và thực hiện chuyển tiếp MPLS giữa các giao diện LC-
ATM trong miền dữ liệu bằng các chuyển mạch tế bào ATM truyền
thống
Frame-based LSR là một LSR thực hiện việc chuyển tiếp các frame
giữa các giao diện. Một ví dụ điển hình của một Frame-based LSR đó
chính là router. Một Frame-based LSR có thể có nhiều giao diện LC-
ATM, nhưng nó chỉ thực hiện chuyển mạch nhãn Frame-based trên
ngăn xếp nhãn mà không thực hiện chuyển mạch tế bào giống như một
ATM-LSR
ATM-LSR domain là một nhóm các ATM-LSR được kết nối với nhau
qua giao diện LC-ATM
ATM LSR biên là một Frame-based LSR với ít nhất một giao diện LC-
ATM
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
27
Hình 3. 1: Mô hình triển khai ATM trong mạng
3. 1. Sự kết nối trong vùng điều khiển qua giao diện LC-ATM
Hình 3. 2: Trao đổi thông tin giữa các LSR kề cận
Cấu trúc của mạng MPLS yêu cầu vùng điều khiển của các LSR kề cận
phải có sự kết nối thuần IP để trao đổi liên kết nhãn cũng như các gói điều
khiển khác(ví dụ như gói tin hello và gói tin update)
Trong chế độ MPLS Frame-mode thì yêu cầu này là đơn giản bởi vì các
bộ định tuyến có thể gửi và nhận các gói tin IP cũng như các gói tin đã được
gán nhãn qua bất kỳ giao diện Frame-mode nào, bất kể đó là mạng LAN hay
WAN. Tuy nhiên các chuyển mạch ATM không có khả năng này
Có hai cách để đảm bảo cho sự kết nối các gói tin thuần IP giữa các
ATM-LSR, đó là:
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
28
Thông qua một kết nối bên ngoài ví dụ như sự kết nối Ethernet
giữa các chuyển mạch
Thông qua một mạch ảo (VC) kiểm soát bên trong tương tự như
cách mà các giao thức ATM Forum thực hiện (User-Network
Interface – UNI hoặc Intergrated Local Management Interface –
ILMI ):
Hình 3. 3: Cơ chế thiết lập kênh ảo điều khiển MPLS
3. 2. Sự chuyển tiếp gói tin đã được gán nhãn qua miền ATM-LSR
Việc chuyển tiếp một gói tin được gán nhãn qua miền ATM-LSR được
thực hiện qua ba bước sau:
ATM LSR biên lối vào nhận một gói tin đã được gán nhãn hoặc
chưa, thực hiện việc kiểm tra trên Cơ sở thông tin chuyển tiếp
(FIB) hoặc Cơ sở thông tin chuyển tiếp nhãn (LFIB), tìm kiếm một
giá trị VPI/VCI đầu ra, giá trị này sẽ được nó sử dụng giống như
là nhãn lối ra. Các gói tin có nhãn được chia nhỏ thành các tế bào
ATM LSR
biên(router)
ATM LSR
biên(router)
ATM-LSR
Vùng đk
MPLS trong
chuyển
mạch ATM
Vùng dữ
liệu ATM
Ma trận
chuyển
mạch
ATM
ATM-LSR
Vùng đk
MPLS trong
chuyển
mạch ATM
Vùng dữ
liệu ATM
Ma trận
chuyển
mạch
ATM
Miền điều
khiển
MPLS
Miền điều
khiển
MPLS
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
29
ATM và được gửi tới ATM-LSR tiếp theo. Giá trị VPI/VCI tìm thấy
trong quá trình kiểm tra nhãn được đặt vào tiêu đề tế bào ATM
của từng tế bào.
Chú ý:Kể từ đây cho đến khi gói tin có nhãn ra khỏi miền ATM-
LSR, việc kiểm tra nhãn chỉ thực hiện dựa trên các giá trị VPI/VCI mà
không phải là tiêu đề nhãn MPLS. Tuy nhiên, tiêu đề MPLS vẫn tồn
tại trong gói tin gán nhãn bởi vì nó cần thiết để lưu giữ các trường
tiêu đề thêm vào, ví dụ như ngăn xếp đáy, thời gian sống (Time-to-
live TTL)
Các ATM-LSR tế bào chuyển mạch dựa trên giá trị VPI/VCI trong
tiêu đề tế bào ATM theo cơ chế chuyển mạch tế bào truyền thống,
và cơ chế phân phối và phân bổ nhãn này phải phù hợp với việc
thiết lập sự chuyển đổi giá trị VPI/VCI nội vùng và ngoại vùng là
chính xác.
ATM LSR biên ở đầu ra sắp xếp lại các tế bào trở thành gói tin
được gán nhãn, thực hiện việc kiểm tra nhãn và chuyển tiếp
chúng cho LSR tiếp theo. Việc kiểm tra dựa trên giá trị VPI/VCI
của các tế bào đến mà không dựa trên nhãn trên cùng của ngăn
xếp trong tiêu đề nhãn MPLS. Đó là bởi vì các ATM-LSR giữa các
miền biên của miền LSR chỉ thay đổi giá trị VPI/VCI chứ không
thay đổi các nhãn bên trong các tế bào ATM.
Chúng ta nêu ra sự khác nhau chính giữa chuyển mạch nhãn Frame-
based và chuyển mạch nhãn Cell-based:
Việc kiểm tra trong chuyển tiếp nhãn ở chế độ khung (Frame-
based) được thực hiện dựa trên nhãn trên cùng của ngăn xếp
nhãn trong tiêu đề nhãn MPLS. Trong chuyển tiếp tế bào (Cell-
based), việc kiểm tra lại được thực hiện dựa trên các giá trị
VPI/VCI trong các tiêu đề tế bào ATM
Cơ chế chuyển mạch trong chuyển mạch tế bào là chuyển mạch
tế bào ATM truyền thống dựa trên các giá trị VPI/VCI trong các
tiêu đề tế bào. Ngăn xếp nhãn hoàn toàn bị bỏ qua bởi các ATM-
LSR
Bởi vì nhãn trên cùng trong ngăn xếp nhãn không được sử dụng
bởi ATM-LSR biên đầu ra, nên nó được đặt về 0 bởi ATM LSR
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
30
biên đầu vào trước khi các gói tin có nhãn được chia nhỏ thành
các tế bào ATM.
3. 3. Phân phối và phân bổ nhãn qua miền ATM-LSR
Phân phối và phân bổ nhãn qua miền ATM-LSR có thể sử dụng cách
thức giống như trong miền MPLS ở chế độ hoạt động khung. Tuy nhiên, nếu
triển khai như vậy sẽ dẫn đến một loạt các hạn chế bởi mỗi loại nhãn được
gán qua một giao diện LC-ATM sẽ phù hợp với một ATM VC. Mỗi nhãn có duy
nhất một giá trị VPI/VCI và mỗi giá trị VPI/VCI xác định một ATM VC độc lập.
Do số lượng các kênh ảo ATM được hỗ trợ qua giao diện ATM là nhỏ
nên cần hạn chế số lượng VC phân bổ qua giao diện LC-ATM ở mức thấp
nhất. Để thực hiện được điều đó, các LSR phía sau sẽ đảm nhận trách nhiệm
yêu cầu phân bổ và phân phối nhãn qua giao diện LC-ATM. LSR phía sau cần
nhãn để gửi gói đến node tiếp theo phải yêu cầu nhãn từ LSR phía trước nó.
Thông thường các nhãn được yêu cầu dựa trên nội dung bảng định tuyến mà
không dựa vào luồng dữ liệu, điều đó đòi hỏi nhãn cho mỗi đích trong phạm vi
của node kế tiếp qua giao diện LC-ATM.
LSR phía trước có thể đơn giản phân bổ nhãn và trả lời yêu cầu cho LSR
phía sau với bản tin trả lời tương ứng. Trong một số trường hợp, LSR phía
trước có thể phải có khả năng kiểm tra địa chỉ lớp 3 (nếu nó không còn nhãn
phía trước yêu cầu cho đích). Đối với chuyển mạch ATM, yêu cầu như vậy sẽ
không được trả lời bởi chỉ khi nào nó có nhãn được phân bổ cho đích phía
trước thì nó mới trả lời yêu cầu. Nếu ATM-LSR không có nhãn phía trước đáp
ứng yêu cầu của LSR phía sau thì nó sẽ yêu cầu nhãn từ LSR phía trước nó
và chỉ trả lời khi đã nhận được nhãn từ LSR phía trước nó.
Việc phân phối và phân bổ nhãn qua miền ATM-LSR có các đặc điểm
sau:
Việc cấp nhãn trong các thiết bị có khả năng kiểm tra lớp 3(router)
được thực hiện mà không quan tâm tới việc router đã nhận nhãn
cho cùng prefix (same prefix) trong router kế tiếp hay chưa. Vì thế
việc cấp nhãn trong các router được gọi là điều khiển độc lập
Cấp nhãn trong các thiết bị mà không có khả năng kiểm tra lớp 3
(chuyển mạch ATM) sẽ được thực hiện nếu một nhãn phía trước
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
31
phù hợp đã cấp. Vì thế cấp nhãn trong chuyển mạch ATM được
gọi là điều khiển thứ tự (ordered control)
Phương pháp phân phối qua giao diện LC-ATM là downstream on
demand bởi vì một LSR khai báo nhãn qua LC-ATM chỉ khi nhãn
này xác định được yêu cầu bởi LSR phía sau.
Hình 3. 4: Cấp nhãn trong miền ATM-LSR
Xem mô hình miêu tả phân phối và cấp nhãn. Đích là X, đích này có thể
đến thông qua router New York POP trong mạng. Các bước phân phối và cấp
nhãn như sau:
Router San Jose cần một nhãn để đến đích X. Bảng định tuyến
của nó chỉ ra rằng đích này đến được thông qua một giao diện
LC-ATM, vì thế nó yêu cầu một nhãn từ ATM-LSR phía trước
San Francisco ATM-LSR là một chuyển mạch ATM truyền thống
hoạt động theo thứ tự ở mode điều khiển, vì thế nó yêu cầu một
nhãn từ chuyển mạch ATM Washington.
Tương tự như thế, chuyển mạch ATM Washington yêu cầu một
nhãn từ router New York.
Router New York hoạt động trong mode điều khiển động lập và
ngay lập tức có thể cấp một nhãn cho yêu cầu đó. Nếu router
New York đã có một nhãn phía trước cho đích X, nó sẽ được
nhập vào bảng ánh xạ giữa cặp VPI/VCI đã cấp với nhãn phía
trước trong bảng Cơ sở thông tin chuyển tiếp nhãn (LFIB). Ngược
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
32
lại, nó kết hợp một hoạt động pop với cặp VPI/VCI đã được cấp.
Cặp VPI/VCI này được gửi trở lại cho chuyển mạch Washington
ATM trong một gói tin trả lời TDP/LDP.
Sau khi nhận được nhãn từ LSR phía trước, chuyển mạch
Washington ATM cấp một nhãn cho LSR phía sau và nhập sự
ánh xạ giữa cặp VPI/VCI mới được cấp với cặp VPI/VCI mà nó
nhận được từ router New York trong ma trận chuyển mạch ATM
của nó. Giá trị cặp VPI/VCI mới này (1/241) được gửi lại cho
chuyển mạch ATM San Francisco trong một gói tin trả lời
TDP/LDP
Chuyển mạch ATM San Francisco thực hiện các hoạt động tương
tự, cấp giá trị VPI/VCI khác (1/85) và gửi cặp này giống như là
nhãn để đến đích X cho router San Jose
Sau khi nhận một gói tin trả lời yêu cầu cấp nhãn, router San Jose
có thể nhập giá trị VPI/VCI nhận được từ chuyển mạch San
Francisco vào Cơ sở thông tin chuyển tiếp (FIB) và Cơ sở thông
tin chuyển tiếp nhãn (LFIB)
Hợp nhất VC
Dựa trên các quy tắc phân phối và cấp nhãn ở các phần trước, chúng ta
phải cân nhắc để tối ưu việc sử dụng nhãn qua miền ATM-LSR. Ví dụ, nếu
một ATM-LSR đã nhận một nhãn để đến một đích nào đó từ hàng xóm phía
trước (next hop) thì nó cũng có thể tái sử dụng nhãn đó khi có một LSR phía
trước hỏi nhãn để đến cùng đích này. Hình dưới đây hai router bên trái sẽ
được cung cấp cùng một nhãn để đến đích 171.68. 0.0/16
Hình 3. 5: Tối ưu hóa khả năng của cấp nhãn ATM
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
33
Tuy nhiên, nếu các tế bào đến đồng thời cùng một lúc từ nhiều nguồn
khác nhau thì việc sử dụng chung một giá trị VC cho cùng một đích thì dẫn tới
không có khả năng phân biệt gói nào thuộc luồng vào nào và các LSR phía
trước sẽ không có khả năng tái tạo lại tế bào. Vấn đề này được gọi là xen kẽ
tế bào. Để tránh trường hợp này, ATM-LSR phải yêu cầu LSR phía trước nó
nhãn mới mỗi khi LSR phía sau nó đòi hỏi nhãn đến bất kỳ đích nào, kể cả nó
đã nhận được nhãn cho chính đích đó.
Hình 3. 6: Luồng các tế bào với việc khai báo nhãn cho cùng một đích
Với một sự thay đổi nhỏ, một số chuyển mạch ATM có thể đảm bảo rằng
hai luồng tế bào cùng chiếm một VC sẽ không bao giờ xen kẽ nhau. Các
chuyển mạch sẽ lưu các tế bào ATM trong vùng đệm cho đến khi nó nhận
được một tế bào có bit kết thúc khung được đặt trong tiêu đề tế bào ATM. Sau
đó toàn bộ các tế bào này được truyền qua kênh VC. Như vậy bộ đệm trong
các tổng đài này phải tăng thêm và một vấn đề nảy sinh là độ trễ qua chuyển
mạch sẽ tăng lên. Quá trình gửi liên tiếp các tế bào ra một kênh ảo đơn VC
được gọi là hợp nhất kênh ảo (VC merg) và nó cho phép các ATM-LSR có thể
sử dụng cùng một nhãn cho các gói tin đến từ nhiều LSR phía sau khác nhau
cho cùng một đích đến. Chức năng của sự hợp nhất nhãn đã giảm đáng kể
việc cấp nhãn qua miền ATM-LSR.
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
34
Phần 2: Ứng dụng mạng riêng ảo VPN trên mạng MPLS
Mạng riêng ảo VPN (Virtual Private Network) là một trong những ứng
dụng rất quan trọng trong mạng MPLS. Các công ty, doanh nghiệp đặc biệt
các công ty đa quốc gia có nhu cầu rất lớn về loại hình dịch vụ này. Với VPN
họ hoàn toàn có thể sử dụng các dịch vụ viễn thông, truyền số liệu nội bộ với
chi phí thấp, an ninh bảo đảm. Nhờ có cơ chế bảo mật và cung cấp lớp dịch
vụ (QoS) theo yêu cầu mà MPLS là một công nghệ rất phù hợp cho mạng
riêng ảo VPN. Ở phần này chúng ta sẽ tìm hiểu về mô hình mạng riêng ảo
trên mạng MPLS. Đây là một ứng dụng rất quan trọng đáp ứng các yêu cầu
của các mạng riêng sử dụng hạ tầng cơ sở thông tin quốc gia với những yêu
cầu khác nhau về độ an toàn, bảo mật và chất lượng dịch vụ. An ninh mạng
không chỉ quan trọng đối với các nhà cung cấp dịch vụ ISP mà còn có ý nghĩa
quyết định đối với các cơ quan chính phủ và các doanh nghiệp. Các giải pháp
cho hệ thống WAN như sử dụng đường dây thuê riêng, Frame-relay không có
sự mềm dẻo linh hoạt về mặt kết nối, mở rộng mạng cũng như an toàn thông
tin, hơn nữa chi phí lại cao. Các giải pháp về tường lửa cũng chỉ đảm bảo
chống lại được các cuộc tấn công từ phía ngoài vào trong mạng tại điểm cửa
ngõ vào mạng mà thôi, nguy cơ bị tấn công là rất cao. Do đó khi đưa ra giải
pháp an ninh bảo mật toàn diện cho một hệ thống mạng không thể không kể
đến giải pháp mạng riêng ảo VPN.
Chương 4: Tổng quan về công nghệ mạng riêng ảo
VPN
4. 1. Giới thiệu về mạng riêng ảo (Virtual Private Network – VPN ).
Mạng riêng ảo ( Virtual Private Network) được định nghĩa là mạng mà
khách hàng có thể kết nối nhiều vị trí được triển khai trên trên một nền tảng cơ
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
35
sở hạ tầng chia sẻ với cùng một mức độ truy cập (same access) hoặc chính
sách bảo mật (security policies).
Mạng riêng ảo hoạt động trên nên giao thức IP đang ngày càng trở nên
phổ biến. Công nghệ này cho phép tạo ra một mạng riêng thông qua cơ sở hạ
tầng chung của nhà cung cấp dịch vụ Internet (ISP). Các kỹ thuật đảm bảo an
ninh khác nhau đã được áp dụng để bảo vệ thông tin của người sử dụng khi
trao đổi trong một môi trường chia sẻ như Internet.
“Mạng riêng ảo VPN là một môi trương thông tin ở đó việc truy cập được
kiểm soát và chỉ cho phép thực hiện kết nối thuộc phạm vi đã được xác định
trước. VPN được xây dựng thông qua việc chia sẻ các phương tiện, môi
trường truyền thông chung. Việc cung cấp các dịch vụ cho mạng riêng được
thực hiện thông qua các phương tiện, môi trường này”
Một cách miêu tả đơn giản hơn là:
“Mạng riêng ảo VPN là một mạng riêng được xây dựng trên cơ sở hạ
tầng của mạng chung”, ví dụ như mạng Internet.
4. 2. Sự phát triển của VPN.
Ban đầu các mạng máy tính được triển khai với hai công nghệ chính:
leased-lines cho các kết nối lâu dài và dial-up lines cho các kết nối không liên
tục, chỉ khi có yêu cầu.
Hình 4. 1: Mạng máy tính điển hình cách đây 15 năm
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
36
Ban đầu mạng máy tính được triển khai cho khách hàng với tính bảo mật
khá tốt, nhưng giá cả lại khá cao bởi hai lý do sau:
Lưu lượng trao đổi giữa hai vùng trong mạng thay đổi theo từng
thời điểm trong ngày, từng ngày trong tháng, thậm chí là theo
mùa (ví dụ, lưu lượng trong đợt có sự kiện quan trọng tăng lên
đáng kể)
Người sử dụng đầu cuối luôn luôn yêu cầu được đáp ứng nhanh,
kết quả là yêu cầu băng thông cao giữa các site, nhưng băng
thông thuê đó chỉ được sử dụng trong một khoảng thời gian khi
các users ở trạng thái active.
Hai lý do trên đã thúc đẩy các nhà cung cấp dịch vụ phát triển và triển
khai một công nghệ cung cấp cho khách hàng với chất lượng dịch vụ tương
đương với đường lised lines. Công nghệ mạng riêng ảo đầu tiên dựa trên các
công nghệ như X. 25 và Frame-relay, sau này có SMDS và ATM.
Hình 4. 2: Mạng Frame-relay đặc trưng
Giải pháp VPN bao gồm các yếu tố sau:
Nhà cung cấp dịch vụ là một tổ chức sở hữu cơ sở hạ tầng (Các
thiết bị và môi trường truyền) cung cấp đường leased line cho
khách hàng. Theo kiểu này thì nhà cung cấp dịch vụ giới thiệu tới
khách hang một Dịch vụ mạng riêng ảo (Virtual Private Network
Service)
Khách hàng kết nối tới nhà cung cấp dịch vụ qua thiết bị CPE
(Customer Premises Equipment). CPE thường là một thiết bị
cung cấp kết nối đầu cuối, có thể là một bridge hoặc một router.
Thiết bị CPE đôi lúc được gọi là thiết bị Khách hàng biên
(Customer Edge)
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
37
Thiết bị CPE được kết nối qua môi trường truyền (thường là
leased line, nhưng không thể là kết nối dial-up) tới thiết bị của nhà
cung cấp dịch vụ, có thể là X. 25, Frame-relay hoặc chuyển mạch
ATM, hoặc thậm chí là router. Thiết bị của nhà cung cấp dịch vụ
biên này đôi khi được gọi là thiết bị Cung cấp dịch vụ biên
(Provider Edge)
Nhà cung cấp dịch vụ thường có thêm các thiết bị trong mạng lõi
(cũng được gọi là P-network). Các thiết bị này được gọi là thiết bị
P (P-devices) ví dụ như: P-switches hoặc P-router.
Một mạng liên tục nào đấy của khách hàng được gọi là site. Một
site có thể kết nối tới P-network thông qua một hoặc nhiều được
truyền, sử dụng một hoặc nhiều thiết bị CPE hoặc PE
Nhà cung cấp dịch vụ có thể tính tiền thông qua hoặc là tỉ lệ cố
định cho dịch vụ VPN, thường dựa trên băng thông cung cấp cho
khách hàng, hoặc là tỉ lệ sử dụng, thường dựa vào dung lượng
của dữ liệu được trao đổi hoặc thời gian trao đổi dữ liệu
4. 3. Phân loại VPN
Có 3 loại mạng riêng ảo, đó là:
Intranet VPN: VPN kết nối hai mạng với nhau (site-to-site). Được
sử dụng để kết nối các văn phòng, chi nhánh trong một công ty.
Với loại này thì người dùng nội bộ được tin cậy hơn nên sẽ có
mức độ bảo mật thấp hơn, nghĩa là sẽ được truy cập vào nhiều
nguồn tài nguyên mạng hơn.
Extranet VPN: Được sử dụng khi có nhu cầu trao đổi thông tin
giữa mạng của công ty với mạng của các đối tác bên ngoài. Với
loại mô hình này đòi hỏi các chính sách bảo mật phải tốt hơn so
với intranet để hạn chế việc truy cập vào các nguồn tài nguyên
của công ty.
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
38
Hình 4. 3: Mô hình mạng Extranet
Remote acces VPN (VPN truy cập từ xa): Được dùng cho những
người làm việc di động, cần phải truy cập an toàn với mạng tới
mạng riêng của công ty từ bất kỳ vị trí địa lý nào thông qua một
môi trường chia sẻ (như mạng điện thoại công cộng). Một số văn
phòng nhỏ cũng có thể sử dụng kiểu truy cập này để nối với
mạng riêng của công ty mình.
Thực tế, người dùng từ xa sẽ kết nối tới nhà cung cấp dịch vụ
Internet (ISP) và ISP sẽ thiết lập kết nối tới mạng riêng của công ty.
Sau khi đã tạo được kết nối giữa hai máy tính của người dùng ở xa
với mạng riêng của công ty, một đường hầm sẽ được thiết lập giữa
hai đầu cuối và dữ liệu được trao đổi qua đường hầm đó.
4. 4. Chức năng của VPN
VPN có các chức năng cơ bản sau:
Sự tin cậy: Người gửi có thể mã hóa các gói dữ liệu trước khi
chúng được truyền qua mạng. Bằng cách này thì người khác
không thể truy cập thông tin mà không được sự cho phép. Nếu có
lấy được thì cũng không đọc được
Tính toàn vẹn: Người nhận có thể kiểm tra rằng dữ liệu đã được
truyền qua mạng Internet mà không có sự thay đổi nào
Xác thực nguồn gốc: Người nhận có thể xác thực nguồn gốc của
gói dữ liệu, đảm bảo và xác thực nguồn thông tin.
4. 5. Đường hầm và mã hóa
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
39
Chức năng của VPN đó là cung cấp sự bảo mật bằng cách mã hóa qua một
đường hầm. Đường hầm (Tunnel) cung cấp các kết nối logic, điểm tới điểm
qua mạng IP không hướng kết nối. Điều này giúp cho việc sử dụng các ưu
điểm, các tính năng bảo mật. Các giải pháp đường hầm cho VPN là sử dụng
mã hóa để bảo vệ dữ liệu không bị xem trộm bởi bất kỳ ai không được phép
và để thực hiện đóng gói đa giao thức nếu cần thiết. Mã hóa (encryption) dùng
để đảm bảo dữ liệu không đọc được với bất kỳ ai, nhưng có thể đọc được bởi
người nhận. Khi mà có nhiều thông tin lưu thông trên mạng thì sự cần thiết đối
với việc mã hóa thông tin càng trở nên quan trọng. Mã hóa sẽ biến đổi nội
dung tin thành dạng vô nghĩa trong dạng mật mã của nó. Tại người nhận sẽ
sử dụng chức năng giải mã được cung cấp để giải mã nội dung của thông
điệp.
4. 6. Các giao thức dùng cho VPN
Có 3 giao thức tạo đường hầm chính để tạo nên một VPN
4. 6. 1. Giao thức đường hầm lớp 2 L2TP
Tháng 8/1999, Cisco cho ra đời giao thức tạo đường hầm độc
quyền L2F (Layer 2 Forwarding) trước khi chuẩn L2TP ra đời.
L2F dùng bất kỳ cơ chế thẩm định quyền truy cập nào được PPP
hỗ trợ
PPTP(Point-to-Point Tunneling Protocol) được PPTP Forum phát
triển. Giao thức này hỗ trợ mã hóa 40 bit và 128 bit, dùng bất kỳ
cơ chế thẩm định quyền truy cập nào được PPP hỗ trợ
L2TP là dự án kết hợp của Cisco L2F và Microsoft PPTP. Kết
hợp các tính năng của cả PPTP và L2F, L2TP cũng hỗ trợ đầy
đủ IPSec. L2TP có thể được sử dụng làm giao thức Tunneling
cho mạng VPN point-to-point (Intranet VPN và Extranet VPN) và
VPN truy cập từ xa ( Remote Access VPN). Trên thực tế, L2TP có
thể tạo ra một tunnel giữa máy khách và router, NAS và router
(NAS - Network Access Server – Là thiết bị quản lý RAS (Remote
Access Server) cho phép khách hàng thực hiện cuộc gọi, thực
hiện quá trình khởi tạo sự xác nhận và chuyển tiếp cuộc gọi (qua
L2F hoặc L2TP) tới gateway của khách hàng) và giữa router với
router. So với PPTP thì L2TP có nhiều đặc tính mạnh và an toàn
hơn.
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
40
L2TP được sử dụng để tạo ra một môi trường độc lập, mạng
quay số riêng ảo VPDN ( Virtual Private Dial Network). L2TP cho
phép người dùng yêu cầu một chính sách bảo mật tổng thể qua
bất kỳ một tuyến VPN hay VPDN nào giống như là một sự mở
rộng mạng nội bộ của họ.
L2TP không cung cấp sự mã hóa và có thể được giám sát thông
qua công cụ phân tích giao thức
Giống như PPTP, L2F sử dụng giao thức PPP để cung cấp một kết nối
truy cập từ xa và kết nối này có thể được đi qua một đường hầm thông qua
Internet để đến đích. Tuy nhiên L2TP định nghĩa giao thức tạo đường hầm
riêng của nó dựa trên cơ cấu của L2F. Cơ cấu này cho phép triển khai đường
hầm L2TP không chỉ trên mạng IP mà còn trên các mạng chuyển mạch gói
khác như X25, Frame Relay và ATM.
L2TP sử dụng PPP để thiết lập kết nối vật lý. Khi PPP thiết lập kết nối
xong, đầu tiên L2TP sẽ xác định xem máy phục vụ mạng tại phía công ty có
nhận ra người sử dụng đầu cuối hay không và có sẵn sàng phục vụ như là
một điểm đầu cuối của đường hầm hay không. Nếu đường hầm có thể được
tạo ra L2TP sẽ thực hiện vai trò đóng gói các gói tin để truyền đi.
Khi L2TP tạo ra các đường hầm giữa bộ tập trung truy cập mạng của ISP
và máy phục vụ mạng phía công ty, nó có thể gán một hoặc nhiều phiên làm
việc trong một đường hầm. L2TP tạo ra một số nhận dạng cuộc gọi (call ID)
và chèn Call ID này vào phần đầu của L2TP trong mỗi một gói tin để chỉ ra gói
tin đó thuộc phiên làm việc nào.
L2TP cho phép giảm lưu lượng mạng và cho phép các máy phục vụ điều
khiển việc tắc nghẽn đường truyền bằng cách thực hiện cơ chế điều khiển
luồng giữa máy phục vụ truy cập mạng của ISP , còn được gọi là bộ tập trung
truy cập L2TP (L2TP Access Connector – LAC), và máy phục vụ mạng phía
công ty, còn được gọi là máy phục vụ mạng L2TP (L2TP Network Server –
LNS). Các bản tin điều khiển được sử dụng để xác định tỷ lệ đường truyền và
các thông số bộ đệm để điều khiển luồng các gói tin PPP của một phiên làm
việc trong một đường hầm.
4. 6. 2. Giao thức đóng gói định tuyến chung GRE
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
41
Trong VPN loại này, giao thức đóng gói định tuyến chung GRE cung cấp
cơ cấu đóng gói giao thức gói tin (Passenger Protocol) để truyền đi trên giao
thức truyền tải (Carrier Protocol). Nó bao gồm thông tin về về loại gói tin mà
bạn đang mã hóa và thông tin về kết nối giữa máy chủ và máy khách. Giao
thức này đóng gói IP, CLNP và bất kỳ các gói dữ liệu giao thức khác vào bên
trong các đường hầm IP. Với GRE, một router Cisco ở mỗi điểm sẽ đóng gói
các gói dữ liệu của một giao thức cụ thể vào trong một tiêu đề IP, tạo ra một
đường kết nối ảo point-to-point tới các router Cisco ở các địa điểm khác trong
một đám mây mạng IP, tại đó tiêu đề IP được gỡ bỏ.
Bằng cách kết nối các mạng con đa giao thức trong một môi trường
đường trục (backbone) đơn giản, đường hầm IP cho phép mở rộng mạng qua
một môi trường xương sống đơn giao thức.
GRE không cung cấp sự mã hóa và có thể được giám sát bằng một công
cụ phân tích giao thức
4. 6. 3. Giao thức bảo mật IP (IP Security Protocol)
Giao thức bảo mật IPSec cung cấp những tính năng bảo mật cao cấp
như các thuật toán mã hóa tốt hơn, quá trình thẩm định quyền đăng nhập toàn
diện hơn. IPSec hoạt động tốt trên cả hai loại mạng VPN là VPN truy cập từ
xa và VPN kết nối point-to-point (Intranet VPN và Extranet VPN). Tất nhiên, nó
phải được hỗ trợ cả hai giao diện Tunnel.
IPSec có hai cơ chế mã hóa là Tunnel và Transport. Tunnel mã hóa tiêu
đề và kích thước của mỗi gói tin, còn Transport chỉ mã hóa kích thước. Chỉ
những hệ thống nào hỗ trợ giao thức IPSec mới có thể tận dụng được giao
thức này. Ngoài ra, tất cả các thiết bị phải sử dụng một mã khóa chung và các
tường lửa trên mỗi hệ thống phải có các thiết lập bảo mật giống nhau. IPSec
có thể mã hóa dữ liệu giữa nhiều thiết bị khác nhau như router với router, PC
với router, PC với máy chủ hoặc giữa các firewall với nhau.
IPSec cung cấp các dịch vụ bảo mật bằng cách sử dụng IKE (Internet
Key Exchange) để điều khiển sự thỏa thuận của các giao thức và các thuật
toán trên cơ sở các chính sách bảo mật cục bộ và để tạo ra sự mã hóa và các
khóa xác nhận được sử dụng bởi IPSec.
IPSec hoạt động ở lớp 3, vì vậy nó chỉ truyền được gói tin IP. Trong khi
L2TP hoạt động ở lớp 2 (trong mô hình 7 lớp) nên có thể truyền các gói của
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
42
nhiều giao thứ khác nhau như IP, IPX hoặc NETBEUI. Giao thức L2TP có thể
được hỗ trợ bởi giao thức IPSec để tăng cường tính bảo mật khi truyền qua
mạng.
Tiếp theo ta sẽ tìm hiểu kỹ hơn về IPSec.
IPSec là giao thức hoạt động ở lớp 3, đặt một nhóm các giao thức và các
công nghệ như AH (Authentication Header – AH ), ESP (Encapsulating
Security Payload), IKE (Internet Key Exchange), DES (Data Encryption
Standard), AES (Advanced Encryption Standard) và các kỷ thuật khác vào
trong hệ thống để đảm bảo cung cấp một phương pháp xác thực tin cậy và an
toàn cho gói tin IP. IPSec được dùng cho cả IPv4 và IPv6. Là một tiêu chuẩn
mở, IPSec cho phép hoạt động được với các thiết bị của nhiều nhà sản xuất
khác nhau và được sử dụng với nhiều loại VPN khác nhau.
Mặc dù IPSec được triển khai chủ yếu cho sự mở rộng WAN trong môi
trường công cộng chia sẻ, tuy nhiên giao thức này có thể được sử dụng cho
việc mã hóa và đảm bảo an ninh trong LAN, mạng campus hoặc thậm chí là
Intranet VPN. Theo IETF RFC 2401, IPSec được thiết kế để cung cấp khả
năng có thể hoạt động liên kết, chất lượng cao cho IPv4 và IPv6. Các dịch vụ
về bảo mật bao gồm điều khiển truy cập, tính toàn vẹn không kết nối, xác thực
dữ liệu gốc, mã hóa và bảo mật luồng dữ liệu. Nó có các đặc điểm sau:
4. 6. 3. 1. Đảm bảo tính toàn vẹn của dữ liệu:
IPSec đảm bảo tính bảo mật cho luồng IP bằng cách thêm IPSec tiêu đề
vào gói IP gốc. Đây là những tiêu đề IPSec mới, ví dụ như AH và ESP, có thể
được sử dụng tách biệt nhau hoặc kết hợp với nhau tuy thuộc vào mức độ
yêu cầu của bảo mật. Về bản chất, các tiêu đề được thêm vào gói IP gốc
nhằm mục đích xác thực gói tin hoặc mã hóa để bảo vệ dữ liệu hoặc cả hai.
Sự kết hợp bảo mật (Security Association – SAs) là một phần quan trọng
của quá trình xử lý IPSec khi chúng được định nghĩa một mức độ bảo mật
giữa hai thiết bị trong quan hệ ngang hàng (peer-to-peer relationship). Bằng
các SA, một thiết bị có thể áp dụng các chính sách bảo mật sẽ được sử dụng
và nó nhận ra SA bởi một địa chỉ IP, một chỉ số định dạng giao thức bảo mật
và một giá trị thông số bảo mật duy nhất. Có hai loại SA. Trao đổi khóa SA là
dạng đầu tiên, dùng để nhận thực giữa các thiết bị ngang hàng, trao đổi khóa,
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
43
và kiểm soát khóa sau đó. Dạng thứ hai là IPSec SA được dùng đàm phán và
thiết lập, mỗi một thiết bị sử dụng một phương thức xác thực, một thuật toán
hashing và một phương pháp mã hóa.
4. 6. 3. 1. 1. Xác thực tiêu đề (Authentication Header – AH)
AH sử dụng một chức năng băm nhỏ key (keyed-hash), sử dụng tốc độ
mạch tích hợp cho các ứng dụng đặc biệt (Application-specific intergrated
circuits – ASICs) để thực hiện chức năng xác thực và toàn vẹn để truyền dữ
liệu. AH xác thực host khởi tạo với host đích trong suốt quá trình thiết lập của
sự trao đổi xác nhận key. Có nhiều phương pháp xác thực key, sau đây ta liệt
kê một vài trong số đó:
IKE dựa trên ISAKMP/OAKLEY: IKE là giao thức trao đổi key lai
(hybrid), nó sử dụng một phần của Oakley và một phần giao thức
khác được gọi là SKEME bên trong ISA(Internet Security
Association) và KMP (Key Management Protocol). Các khóa đã
được chia sẻ trước đó một cách thủ công hoặc thông qua sự ủy
quyền, và sự trao đổi khóa cũng như chấp nhận được thực hiện
bởi IKE. Một một điểm xác thực điểm khác dựa trên quá trình xử
lý IKE và đưa ra một SA. Quá trình này xảy ra trước khi bất kỳ
một IPSec SA nào đàm phán và trước khi dữ liệu có thể đi qua
đường link đã được thiết lập.
Perfect Forward Secrecy (PFS) rekeying: Phương pháp này có
tính bảo mật cao hơn thậm chí ngay cả khi khóa bị phá bởi những
kẻ phá hoại. Nó tách biệt IKE ban đầu từ quá trình xử lý được sử
dụng để tạo khóa cho IPSec SA. Vì thế khi khóa IKE SA có thể bị
phá nhưng nó sẽ không bị lộ khóa bí mật. Nó cho phép khóa này
thay đổi liên tục trong khi phiên làm việc vẫn được duy trì
Để đảm bảo tính toàn vẹn cho dữ liệu khi đi qua mạng công cộng, AH sử
dụng các thuật toán băm ví dụ như Message Digest 5(MD5). Nó áp dụng trên
tiêu đề của gói tin IP ban đầu, nó sẽ giấu các thông tin về địa chỉ IP thực và
các thông số khác khi đi qua mạng công cộng. Khi đến đích tiêu đề gói tin IP
sẽ được khôi phục và được định tuyến bên trong subnet của mạng đích.
4. 3. 1. 1. 2. Đóng gói bảo mật vùng tải trọng ESP
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
44
Điều quan trọng là phải bảo mật được vùng dữ liệu, vì thế mã hóa dữ liệu
là cần thiết. Trong trường hợp này, một tiêu đề ESP và thuật toán mã hóa ví
dụ như DES (3DES) được thêm vào để làm tăng thêm tính bảo mật cho dữ
liệu. Kết quả là, ESP đóng gói hoàn toàn dữ liệu người dùng.
ESP có thể được sử dụng kết hợp với AH, nhưng ESP bao gồm cả sự
xác thực dữ liệu gốc và cơ chế antireplay có trong AH. Vì thế ESP có thể sử
dụng cùng kỷ thuật trao đổi khóa được sử dụng cho AH. Nó cho phép ESP chỉ
được sử dụng cho lưu lượng IPSec khi mức độ bảo mật cao. Một ví dụ đó là
sử dụng cả tiêu đề AH và ASP khi chúng ta muốn cần bảo mật mạnh nhất
(ESP) và sự xác nhận mạnh nhất (AH), bởi vì AH có thêm chức năng bảo vệ
trường tiêu đề IP mới trong khi ESP thì không có tính năng này.
AH dùng để xác thực còn ESP dùng để mã hóa và xác thực. ESP khác
với AH ở hai điểm sau:
ESP mã hóa dữ liệu trước khi gửi đi, do vậy nó đảm bảo được
tính bí mật của dữ liệu. AH thì toàn bộ gói tin được xác thực
nhưng không được mã hóa nên có thể đọc được khi qua mạng
ESP chỉ xác thực nội dung của gói tin IP chứ không xác thực toàn
bộ gói tin IP.
4. 6. 3. 2. Các mode chuyển tiếp dữ liệu trong IPSec
IPSec đưa ra hai phương pháp để chuyển tiếp dữ liệu qua mạng cho cả
hai giao thức AH và ESP:
Đó là Tunnel mode (kiểu đường hầm) và Transport mode(kiểu giao vận)
Cả hai kiểu này trên thực tế là hai kiểu khác nhau của SA. Một SA được
định nghĩa như là sự kết nối đơn giản, nó cho phép áp dụng các dịch vụ bảo
mật cho lưu lượng bên trong SA. Kiểu đường hầm được sử dụng cho bảo mật
giữa nhiều host với nhiều host, trong khi đó kiểu giao vận lại được sử dụng
cho từng IP host này tới tưng IP host khác hoặc khi các dịch vụ mạng ví dụ
như QoS phải được bảo vệ trong tiêu đề IP gốc.
4. 6. 3. 2. 1. Tunnel mode
Cả AH và ESP hoạt động ở Tunnel mode. Một đường hầm cung cấp một
đường dẫn qua mạng chia sẻ công cộng cho các host hoặc các đầu cuối
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
45
đường hầm có thể giao tiếp. Các đường hầm này là đường logic giống như
mạch ảo VC, được cấu hình trên cổng vật lý.
IPSec Tunnel Mode có thể đóng gói và bảo vệ nội dụng của toàn bộ gói
tin IP bao gồm cả tiêu đề gốc. Nó thêm vào 20 byte tiêu đề IP cho mỗi gói tin.
Hai mô hình sau sẽ mô tả sự thêm tiêu đề IPSec ở cả IPSec Tunnel Mode AH
và IPSec Tunnel Mode ASP.
Hình 4. 4: Ứng dụng của tiêu đề IPSec AH tới gói tin IP trong mode đường
hầm
Hình 4. 5: Ứng dụng của IPSec ESP tới gói tin IP ở mode đường hầm
4. 6. 3. 2. 2. Transport mode ( mode giao vận)
Cả AH và ESP có thể hoạt động ở mode giao vận. Kiểu giao vận được
sử dụng cho đóng gói giao thức vùng tải trọng ở lớp trên hoặc bên trên lớp IP.
Thường là ở lớp 4 hoặc các vùng tải trọng ở lớp cao ví dụ như TCP, UDP,
BGP… Nó không sử dụng các tiêu đề lớp 3 bởi vì nó có thể cần cho các dịch
vụ mạng khác, ví dụ như các ứng dụng cần sử dụng QoS ( Mã hóa tiêu đề gói
tin IP gốc có thể không được sử dụng cho các ứng dụng QoS). Mode giao vận
AH được sử dụng cho các ứng dụng mà tiêu đề gói tin IP gốc được giữ
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
46
nguyên và chỉ cần xác thực tính toàn vẹn của dữ liệu gói tin. Mode giao vận
ESP được sử dụng cho các ứng dụng duy trì tiêu đề gói tin IP gốc nhưng
cũng muốn mã hóa phần còn lai của vùng tải trọng.
Hình 4. 6: IPSec ở mode giao vận sử dụng AH
Hình 4. 7: IPSec ở mode giao vận sử dụng ESP
4. 6. 3. 3. Quá trình hoạt động của IPSec.
Quá trình hoạt động được chia thành 5 bước:
4. 6. 3. 3. 1. Bước 1: Xác định luồng lưu lượng quan tâm (interesting
traffic)
Hình 4. 8: Xác định luồng traffic
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
47
Việc xác định luồng dữ liệu nào cần được bảo vệ được thực hiện như là
một phần trong việc tính toán một chính sách bảo mật cho việc sử dụng của
một VPN. Chính sách được sử dụng để xác định luồng traffic nào cần bảo vệ
và luồng traffic nào có thể gửi ở dạng “clear text”. Đối với mọi gói dữ liệu đầu
vào và đâu ra, sẽ có ba lựa chọn: Dùng IPSec, cho qua IPSec, hoặc huỷ gói
dữ liệu. Đối với mọi gói dữ liệu được bảo vệ bởi IPSec, người quản trị hệ
thống cần chỉ rõ các dịch vụ bảo mật được sử dụng cho gói dữ liệu. Các cơ
sở dữ liệu chính sách bảo mật chỉ rõ các giao thức IPSec, các mode, và các
thuật toán được sử dụng cho luồng traffic. Các dịch vụ này sau đó được sử
dụng cho luồng traffic dành cho mỗi Peer IPSec cụ thể. Với VPN Client, bạn
sử dụng các cửa sổ thực đơn để chọn các kết nối mà bạn muốn bảo mật bởi
IPSec. Khi các luồng dữ liệu mong muốn truyền tới IPSec Client, client khởi
tạo sang bước tiếp theo trong quá trình: Thoả thuận một sự trao đổi bước 1
IKE.
4. 6. 3. 3. 2. Bước 2: Pha IKE thứ nhất (IKE Phase 1)
Hình 4. 9: Pha IKE thứ nhất.
Mục đích cơ bản của pha IKE thứ nhất là để thoả thuận các tập chính
sách IKE, xác thực các đối tượng ngang hàng, và thiết lập một kênh bảo mật
giữa các đối tượng ngang hàng. Pha IKE thứ nhất xuất hiện trong hai mode:
Main mode và Aggressive mode.
Main mode có ba quá trình trao đổi hai chiều giữa nơi khởi tạo và nơi
nhận:
Quá trình trao đổi đầu tiên:
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
48
Hình 4. 10: Quá trình trao đổi đầu tiên
Trong suốt quá trình trao đổi đầu tiên các thuật toán và các hash được
sử dụng để bảo mật sự trao đổi thông tin IKE đã được thoả thuận và đã được
đồng ý giữa các đối tượng ngang hàng. Trong khi cố gắng tạo ra một kết nối
bảo mật giữa máy A và máy B qua Internet, các kế hoạch bảo mật IKE được
trao đổi giữa Router A và B. Các kế hoạch bảo vệ định nghĩa giao thức IPSec
hiện tại đã được thoả thuận (ví dụ ESP). Dưới mỗi kế hoạch, người khởi tạo
cần phác hoạ những thuật toán nào được sử dụng trong chính sách (ví dụ
DES với MD5). Ở đây không phải là thoả thuận mỗi thuật toán một cách riêng
biệt, mà là các thuật toán được nhóm trong các tập, một tập chính sách IKE.
Một tập chính sách mô tả thuật toán mã hoá nào, thuật toán xác thực nào,
mode, và chiều dài khoá. Những kế hoạch IKE và những tập chính sách này
được trao đổi trong suốt quá trình trao đổi đầu tiên trong chế độ main mode.
Nếu một tập chính sách tương thích được tìm thấy giữa hai đối tượng ngang
hàng, main mode tiếp tục. Nếu không một tập chính sách tương thích nào
được tìm thấy, tunnel là bị loại bỏ. Trong ví dụ ở trong hình trên, RouterA gửi
các tập chính sách IKE 10 và 20 tới RouterB. RouterB so sánh tập chính sách
của nó, tập chính sách 15, với những tập chính sách nhận được từ RouterA.
Trong trường hợp này, có một cái tương thích: Đó là tập chính sách 10 của
Router A tương thích với tập chính sách 15 của Router B.
Quá trình trao đổi thứ hai
Sử dụng một sự trao đổi DH để tạo ra các khoá mật mã chia sẻ và qua
quá trình này các số ngẫu nhiên gửi tới các đối tác khác, signed, và lấy lại xác
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
49
thực định nghĩa của chúng. Khoá mật mã chia sẻ được sử dụng để tạo ra tất
cả các khoá xác thực và mã hoá khác. Khi bước này hoàn thành, các đối
tượng ngang hàng có cùng một mật mã chia sẻ nhưng các đối tượng ngang
hàng không được xác thực. Quá trình này diễn ra ở bước thứ 3 của bước 1
IKE, quá trình xác thực đặc tính của đối tượng ngang hàng.
Quá trình thứ ba – xác thực đặc tính đối tượng ngang hàng:
Hình 4. 11: Quá trình trao đổi thứ 3
Các phương thức xác thực ngang hàng:
Bước thứ ba và cũng là bước trao đổi cuối cùng được sử dụng để xác
thực các đối tượng ngang hàng ở xa. Kết quả chính của main mode là một
tuyến đường trao đổi thông tin bảo mật cho các quá trình trao đổi tiếp theo
giữa các đối tượng ngang hàng được tạo ra. Có ba phương thức xác thực
nguồn gốc dữ liệu:
Các khoá pre-shared: Một giá trị khoá mật mã được nhập vào
bằng tay của mỗi đối tượng ngang hàng được sử dụng đê xác
thực đối tượng ngang hàng.
RSA encryption nonces: Nonces (một số ngẫu nhiên được tạo ra
bởi mỗi đối tượng ngang hàng) được mã hoá và sau đó được
trao đổi giữa các đối tượng ngang hàng. Hai nonce được sử dụng
trong suốt quá trình xác thực đối tượng ngang hàng
Trong aggressive mode, các trao đổi là ít hơn với ít gói dữ liệu hơn. Mọi
thứ đều được trao đổi trong quá trình trao đổi đầu tiên: Sự thoả thuận tập
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
50
chính sách IKE, sự tạo ra khoá chung DH, một nonce. Trong aggressive mode
nhanh hơn main mode.
4. 6. 3. 3. 3. Bước 3: Pha IKE thứ 2
Hình 4. 12: Pha IKE thứ 2
Mục đích của bước 2 IKE là để thoả thuận các thông số bảo mật IPSec
được sử dụng để bảo mật đường hầm IPSec. Bước 2 IKE thực hiện các chức
năng dưới đây:
Thoả thuận các thông số bảo mật, các tập transform IPSec
Thiết lập các SA IPSec
Thoả thuận lại theo chu kỳ các SA IPSec để chắc chắn bảo mật.
Có thể thực hiện thêm một sự trao đổi DH
Trong pha IKE thứ 2 chỉ có một mode, gọi là Quick mode. Quick mode
xuất hiện sau khi IKE đã được thiết lập đường hầm bảo mật trong pha IKE thứ
nhất. Nó thoả thuận một transform IPSec chia sẻ, và thiết lập các SA IPSec.
Quick mode trao đổi các nonce mà được sử dụng để tạo ra khoá mật mã chia
sẻ mới và ngăn cản các tấn công “replay” từ việc tạo ra các SA không có thật.
Quick mode cũng được sử dụng để thoả thuận lại một SA IPSec mới khi
thời gian sống của SA IPSec đã hết. Quick mode được sử dụng để nạp lại
“keying material” được sử dụng để tạo ra khóa mật mã chia sẻ trên cơ sở
“keying material” lấy từ trao đổi DH trong bước 1.
Các tập Transform IPSec
Kết quả cuối cùng của pha IKE thứ 2 là thiết lập một phiên IPSec bảo mật
giữa các điểm đầu cuối. Trước khi điều này có thể xảy ra, mỗi cặp của các
điểm đầu cuối thoả thuận mức bảo mật yêu cầu (ví dụ, các thuật toán xác
thực và mã hoá cho một phiên). Không những là thoả thuận những giao thức
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
51
riêng biệt, các giao thức được nhóm vào trong các tập, một tập transform
IPSec. Các tập transform IPSec được trao đổi giữa các peer trong suốt quá
trình “quick mode”. Nếu một có sự tương thích được tìm thấy giữa các tập,
phiên thiết lập IPSec sẽ tiếp tục. Nếu ngược lại thì phiên sẽ bị huỷ bỏ.
Hình 4. 13: Đàm phán tập chuyển đổi.
Trong ví dụ hình trên, RouterA gửi các tập transform IPSec 30 và 40 đến
RouterB. RouterB so sánh tập transform của nó với những cái đã nhận được
từ RouterA. Trong ví dụ này, có một cái “match”. Tập transform 30 của
RouterA tương thích với tập transform 55 của RouterB. Các thuật toán mã hoá
và xác thực có dạng một SA(Security Association).
Một SA là một kết nối logic một chiều, cung cấp sự bảo mật cho tất cả
traffic đi qua kết nối. Bởi vì hầu hết traffic là hai chiều, do vậy phải cần hai SA:
một cho đầu vào và một cho đầu ra.
Khi mà các dịch vụ bảo mật được đồng ý giữa các peer, mỗi thiết bị
ngang hàng VPN đưa thông tin vào trong một SPD (Security Policy Database).
Thông tin này bao gồm thuật toán xác thực, mã hoá, địa chỉ IP đích, mode
truyền dẫn, thời gian sống của khoá . v. v. Những thông tin này được coi như
là một SA.
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
52
Thiết bị VPN gán cho SA một số thứ tự, gọi là SPI (Security Parameter
Index). Khi gửi các thông số riêng biệt của SA của qua đường hầm, Gateway,
hoặc Host chèn SPI vào trong tiêu đề ESP. Khi mà đối tượng ngang hàng
IPSec nhận được gói dữ liệu, nó nhìn vào địa chỉ IP đích, giao thức IPSec, và
SPI trong SAD (Security Association Database) của nó, và sau đó xử lý gói dư
liệu theo các thuật toán được chỉ ra trong SPD.
Hình 4. 14: Các thông số của SA (Security Asscociation)
IPSec SA là một sự tổ hợp của SAD và SPD. SAD được sử dụng để định
nghĩa địa chỉ IP đích SA, giao thức IPSec, và số SPI. SPD định nghĩa các dịch
vụ bảo mật được sử dụng cho SA, các thuật toán mã hoá và xác thực, mode,
và thời gian sống của khoá. Ví dụ, trong kết nối từ tổng công ty đến nhà băng,
chính sách bảo mật cung cấp một vài đường hầm bảo mật sử dụng 3DES,
SHA, mode tunnel, và thời gian sống của khoá là 28800. Giá trị SAD là 192.
168. 2. 1, ESD, và SPI là 12.
4. 6. 3. 3. 4. Bước 4: Phiên APSec
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
53
Hình 4. 15: Một phiên IPSec
Sau khi bước 2 IKE hoàn thành và quick mode được thiết lập, traffic sẽ
được trao đổi giữa máy A và máy B qua một đường hầm bảo mật. Traffic
mong muốn được mã hoá và giải mã theo các dịch vụ bảo mật được chỉ ra
trong SA IPSec.
4. 6. 3. 3. 5. Bước 5: Kết thúc đường hầm
Hình 4. 16 : Kết thúc một phiên IPSec
Các SA IPSec kết thúc thông qua việc xoá hay bằng timing out. Một SA
có thể time out khi lượng thời gian đã được chỉ ra là hết hoặc khi số byte được
chỉ ra đã qua hết đường hầm. Khi các SA kết thúc, các khoá cũng bị huỷ. Khi
các SA IPSec tiếp theo cần cho một luồng, IKE thực hiện một bước 2 mới, và
nếu cần thiết, một sự thoả thuận mới trong bước 1 IKE. Một sự thoả thuận
thành công sẽ tạo ra các SA và các khoá mới. Các SA mới thường được thiết
lập trước khi các SA đang tồn tại hết giá trị.
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
54
4. 7. Mô hình ngang hàng và chồng lấn [5]
Có hai kiểu VPN được triển khai phổ biến, đó là:
Kiểu chồng lấn (Overlay), theo kiểu này, các nhà cung cấp dịch
vụ cung cấp đường leased line cho khách hàng
Mô hình ngang hàng (peer-to-peer), theo kiểu này nhà cung cấp
dịch vụ trao đổi thông định tuyến lớp 3 với khách hàng và nhà
cung cấp truyền dữ liệu giữa các site của khách hàng theo con
đường tối ưu giữa các site. Theo mô hình này, thì bộ định tuyến
của khách hàng được nối trực tiếp với bộ định tuyến của nhà
cung cấp dịch vụ.
4. 7. 1. VPN kiểu chồng lấp (overlay VNP model)
Kiểu chồng lấp được triển khai qua trung kế riêng trên hạ tầng mạng
chung của nhà cung cấp dịch vụ
VPN này có thể thực hiện tại lớp 1 sử dụng kênh thuê riêng hoặc đường
quay số; tại lớp 2 sử dụng X. 25, Frame Relay hay kênh ảo ATM; tại lớp 3 sử
dụng đường hầm IP.
Trong mô hình này chức năng của khách hàng và nhà cung cấp dịch vụ
như sau:
Nhà cung cấp dịch vụ cung cấp cho khách hàng đường leased
line. Các đường leased line này được gọi là các VCs, chúng có
thể là kết nối liên tục PVC hoặc được thiết lập khi có yêu cầu.
Hình sau mô tả mô hình mạng VPN kiểu chồng lấp và các VC
được sử dụng trong đó
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
55
Hình 4. 17: Ví dụ đơn giản mạng VPN kiểu chồng lấp
Khách hàng thiết lập kết nối router tới router giữa các thiết bị CPE
( Customer Premises Equipment) qua các kênh ảo VC được cung
cấp bởi nhà cung cấp dịch vụ. Giao thức định tuyến luôn luôn
được trao đổi giữa các thiết bị của khách hàng và nhà cung cấp
dịch vụ không quan tâm tới cấu trúc bên trong của mạng khách
hàng.
Mặc dù mô kiểu VPN này có những hạn chế sau:
Mỗi một VPN có nhiều site, một site có một vài bộ định tuyến cho
mục đích dự phòng, tuy nhiên mạng trở nên khó kiểm soát vì phải
triển khai dưới dạng full-mesh của các kết nối point-to-point hay
các kênh ảo trên mạng trục của nhà cung cấp dịch vụ để tối ưu
đường truyền. Hơn nữa do khách hàng phải tự thiết kế và vận
hành mạng trục ảo của riêng mình. Mà khách hàng đôi khi không
có đủ trình độ và kinh nghiệm. Để giải quyết vấn đề này, nhà
cung cấp dịch vụ sẽ phải đảm nhận nhiệm vụ thiết kế và vận hành
mạng trục ảo ( Virtual Backbone Network) cho từng khách hàng,
điều này sẽ rất phức tạp khi số lượng khách hàng lớn. Nếu mỗi
khách hàng có mạng VPN với hàng trăm site thí số lượng kết nối
là vô cùng lớn. Điều này ảnh hưởng đến khả năng mở rộng hệ
thống mạng
Khi số lượng kết nối lớn thì việc thêm bớt các site trên mạng sẽ
gây ra ảnh hưởng lớn do phải cấu hình lại các thiết bị định tuyến
Rất khó đánh giá độ lớn của dung lượng các kết nối giữa các
điểm
4. 7. 2. Mô hình VPN ngang hàng ( Peer-to-peer VPN model)
Mô hình VPN ngang hàng đã khắc phục được những tồn tại của mô hình
VNP chồng lấp. Trong mô hình này thiết bị biên của nhà cung cấp dịch vụ
(Provider Edge – PE ) là một router trao đổi thông tin định tuyến trực tiếp với
CPE router.
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
56
Hình 4. 18: Mô hình VPN ngang hàng
Mô hình VPN ngang hàng có một số ưu điểm vượt trội hơn so với mô
hình VPN chồng lấp:
Định tuyến trở nên trở nên cực kỳ đơn giản, khi mà router của
khách hàng chỉ trao đổi thông tin định tuyến với một hoặc một vài
PE-router, trong khi đó ở mô hình chồng lấp, do kết nối theo kiểu
dạng full-mesh nên số lượng các router có quan hệ hàng xóm có
thể trở nên rất lớn
Định tuyến giữa các site của khách hàng luôn luôn tối ưu , khi
router của nhà cung cấp biết mô hình mạng của khách hàng và vì
vậy có thể định tuyến giữa các site với nhau một cách tốt nhất
Sự cung cấp băng thông cũng đơn giản hơn bởi vì khách hàng
phải chỉ rõ băng thông inbound và outbound cho mỗi site của
mình.
Việc thêm một site mới cũng đơn giản hơn bởi vì nhà cung cấp
dịch vụ chỉ thêm site đó vào và chỉ thay đổi cấu hình trên router
mà site mới kết nối đến. Trong khi ở mô hình chồng lấp thì nhà
cung cấp phải đưa ra các kết nối tới tất cả các site khác trong
mạng VPN của khách hàng
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
57
Trước khi một VPN trên MPLS thì có hai sự lựa chọn sau cho mô hình
VPN ngang hàng:
Chia sẻ bộ định tuyến, khi đó một vài VPN sẽ chia sẻ cùng router
PE
Dùng router riêng, khi đó các khách hàng sử dụng VPN có router
PE của riêng mình
4. 7. 2. 1. Mô hình VPN ngang hàng chia sẻ router PE
Trong mô hình này, một vài khách hàng sử dụng dịch vụ VPN có thể sử
dụng chung một router PE. Access list phải được cấu hình trên tất cả các giao
diện PE-CE trên các router PE để đảm bảo rằng có sự tách biệt giữa các VPN
khách hàng, cũng để ngăn chặn không cho VPN của khách hàng này làm ảnh
hưởng cũng như xâm nhập vào VPN khách hàng khác
Hình 4. 19: Mô hình VPN ngang hàng: Chia sẻ router PE
4. 7. 2. 2. Mô hình mạng VPN ngang hàng sử dụng router PE riêng
Trong mô hình này mỗi một VPN của các khách hàng có riêng router PE
vì thế chỉ có thể truy cập tới các tuyến được chứa trong bảng định tuyến của
router PE đấy thôi
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
58
Hình 4. 20: Mô hình VPN ngang hàng: Có router PE riêng
Trong mô hình có router PE riêng thì các giao thức định tuyến tạo ra từng
bảng định tuyến riêng cho từng VPN trên các router PE. Các bảng định tuyến
trên các router PE này chỉ chứa các tuyến được quảng bá bởi VPN của khách
hàng kết nối trực tiếp tới chúng, kết quả là có sự tách biệt rõ ràng giữa các
VPN của các khách hàng khác nhau (Giả sử rằng định tuyến IP nguồn bị
khóa). Định tuyến bên ở mô hình này có thể được thực hiện như sau:
Bất kỳ giao thức định tuyến nào chạy giữa router PE và router CE
BGP chạy giữa router PE và router P
Router PE phân phối lại (redistribute) các tuyến nhận được từ
router CE ra miền BGP, đánh dấu bằng chỉ số khách hàng và
truyền các tuyến này tới router P. Vì vậy router P chứa tất cả các
tuyến của tất cả các VPN của các khách hàng khác nhau.
Router P chỉ truyền các tuyến với BGP thích hợp tới các router
PE. Vì vậy router PE chỉ nhận các tuyến được bắt nguồn từ router
CE trong miền VPN của nó
4. 7. 2. 3. So sánh các kiểu VPN ngang hàng
Ta có thể thấy mô hình ngang hàng chia sẻ router PE rất khó để duy trì
bởi vì nó đòi hỏi sự triển khai phức tạp cũng như việc đặt Access list trên tất
cả các router là rắc rối. Mô hình dùng riêng router PE mặc dù là đơn giản hơn
trong cấu hình cũng như để duy trì nhưng lại trở nên khá tốn kém cho nhà
cung cấp dịch vụ khi mà họ phải phải đáp ứng cho một số lượng lớn khách
hàng với các site rải rác trên nhiều vùng địa lý khác nhau.
Cả hai mô hình này cũng có những hạn chế sau:
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
59
Tất cả các khách hàng chia sẻ cùng một dải IP, nó cản trở các
khách hàng sử dụng địa chỉ private. Các khách hàng hoặc phải
sử dụng địa chỉ IP public hoặc địa chỉ private được cấp bởi nhà
cung cấp dịch vụ
Khách hàng cũng không thể chèn thêm default route vào mạng
VPN của họ. Sự hạn chế này ngăn cản sự tối ưu trong định tuyến
và hạn chế khách hàng truy cập Internet từ nhà cung cấp dịch vụ
khác.
Tóm lại, VPN có thể phân loại theo nhiều cách khác nhau. Cách phổ biến
nhất đó là dựa trên cách mà thông tin định tuyến được trao đổi trên VPN.
Trong mô hình VPN ngang hàng, thông tin định tuyến của khách hàng được
trao đổi giữa router của khách hàng với router của nhà cung cấp dịch vụ.
Trong mô hình VPN chồng lấp, nhà cung cấp dịch vụ chỉ cung cấp các kênh
ảo VC và thông tin định tuyến được trao đổi trực tiếp giữa các router biên của
khách hàng. Hai mô hình trên có thể kết hợp với nhau trong mạng của nhà
cung cấp dịch vụ lớn: Mô hình ngang hàng có thể được sử dụng trong mô
hình VPN chồng lấp ( ví dụ kết nối các khách hàng tới các router biên của nhà
cung cấp dịch vụ qua Frame Relay) hoặc trong mạng lõi của nó (ví dụ, liên kết
các router của nhà cung cấp dịch vụ qua ATM).
Mô hình VPN chồng lấp có thể triển khai với kỷ thuật chuyển mạch WAN
lớp 2 (X. 25, Frame Relay, SMDS hoặc ATM) hoặc kỷ thuật đường hầm lớp 3
( IP-over-IP hay IPSec).
Mô hình VPN ngang hàng có thể triển khai với các công nghệ truyền
thống với các phương pháp định tuyến phức tạp hoặc sử dụng Access lists
(ACLs).
Tiếp theo đây chúng ta sẽ tìm hiểu về sự triển khai của công nghệ VPN
trên nền tảng MPLS, nó sẽ khắc phục được những hạn chế của các công
nghệ VPN ngang hàng khác, cho phép nhà cung cấp dịch vụ kết hợp các lợi
ích của mô hình ngang hàng (định tuyến đơn giản, dễ triển khai theo yêu cầu
của khách hàng) với sự bảo mật và tách biệt rõ ràng với so với các tồn tại vốn
có của mô hình VPN chồng lấp
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
60
Hình 4. 21: Phân loại VPN dựa theo công nghệ
Chương 5: Mô hình mạng MPLS/VPN
Ở chương trước chúng ta đã tìm hiểu về mạng riêng ảo VPN, với hai kiểu
VPN là VPN dạng chồng lấp và VPN ngang hàng và các công nghệ chính
được sử dụng để triển khai trên cả hai loại VPN đó
Mô hình VPN dạng chồng lấp thường được sử dụng trong mạng của nhà
cung cấp dịch vụ, việc thiết kế và cung cấp các mạch ảo qua mạng trục phải
được thiết lập trước khi có bất kỳ luồng lưu lượng nào trên mạng. Trong
trường hợp mạng IP, điều đó có nghĩa là ngay cả khi công nghệ là
connectionless thì nó vẫn yêu cầu một connection-oriented để cung cấp cho
dịch vụ này.
Từ góc độ của nhà cung cấp dịch vụ, với mô hình VPN chồng lấp rất khó
kiểm soát một số lượng lớn các kênh ảo/đường hầm giữa các thiết bị của
khách hàng. Và thiết kế IGP (Interior Gateway Protocol) là cực kỳ phức tạp và
khó kiểm soát
Trong khi đó, mô hình VPN ngang hàng nó lại có hạn chế là thiếu sự
cách ly giữa các khách hàng với nhau.
Với công nghệ chuyển mạch nhãn đa giao thức MPLS, đây là sự kết hợp
các ưu điểm của chuyển mạch lớp 2 với định tuyến và chuyển mạch lớp 3, nó
có thể cho phép chúng ta xây dựng nên một công nghệ mới kết hợp các lợi
ích của mô hình VPN chồng lấp (ví dụ như tính bảo mật và sự tách biệt giữa
các khách hàng) với ưu điểm của việc định tuyến đơn giản trong mô hình VPN
ngang hàng. Công nghệ mới này được gọi MPLS/VPN tức là triển khai VPN
trên công nghệ MPLS, nó đem lại sự định tuyến đơn giản cho khách hàng và
nhà cung cấp dịch vụ cũng đơn giản hơn. Định tuyến IP (connnectionless) có
thêm tính năng connection-oriented) của MPLS, bằng cách thiết lập các
đường chuyển mạch nhãn (Label-Switched Paths – LSP).
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
61
Mô hình MPLS/VPN có hai mô hình chính là MPLS/VPN lớp 2 và
MPLS/VPN lớp 3 (BGP/MPLS VPN)
MPLS/VPN lớp 2: Tạo ra sự mở rộng kết nối lớp 2 của khách hàng qua
cơ sở hạ tầng là mạng MPLS. Mô hình này được gọi là VPN Martini. VNP lớp
2 mở rộng hỗ trợ dịch vụ LAN riêng ảo (Virtual Private LAN Service).
MPLS/VPN lớp 3 dùng để mở rộng giao thức định tuyến Internet BGP tới
vị trí kết nối từ xa
5. 1. Mô hình MPLS/VPN lớp 2 [7]
RFC 2547 cung cấp một khung mạng tối ưu cho VPN trong mạng IP.
Mặc dù IP là giao thức trội, nó không chỉ sử dụng giao thức được chuẩn hoá .
Một số khách hàng, cụ thể trong môi trường mỗi nước nhiều yêu cầu mở rộng
cơ sở hạ tầng truyền thông lớp 2 (Frame realy, ATM, Ehernet, VLAN, TDM,
dịch vụ LAN trong suốt…), một số nhà cung cấp dịch vụ phải cung cấp dung
lượng vượt quá trong mạng lõi IP đang tồn tại của họ do đó họ cần sử dụng
yếu tố giúp đỡ dịch vụ lớp 2 như Frame Relay hay ATM. VPN lớp 3 IP sẽ
không thoả mãn thủ tục này, thay vào đó cho giải pháp lớp 2 được yêu cầu.
Một số đề xuất khác để hỗ trợ VPN được cung cấp bởi nhà cung cấp
MPLS/VPN lớp 2 (MPLS-based VPN). Internet trường hợp đơn giản nhất, đề
xuất này định nghĩa một phương thức một nhãn tới một PDU lớp 2 và khi đó
chuyển tiếp gói qua mạng mạng đường trục MPLS.
5. 4. 1. Thành phần VPN lớp 2.
Đề xuất được sử dụng nhiều nhất là của Martini. Nó được xây dựng từ
một số khái niệm khởi đầu kết hợp với RFC 2547 VPN. Bộ định tuyến nhà
cung cấp giống như mô hình RFC 2547 sẽ không quan tâm tới VPN. Nó sẽ
tiếp tục chuyển tiếp gói tin qua LSP thiết lập trước đây. Tương tự bộ định
tuyến biên khách hàng CE sẽ hoạt động không biết tình trạng mạng MPLS
VPN. VPN Martini là hoàn toàn dựa vào thiết bị định tuyến biên nhà cung cấp
dịch vụ PE.
Giải pháp lớp 2 không như RFC 2547 không là mạng tuyến riêng ảo
VPRN (Virtual Private Routed Networks). Bộ định tuyến PE không tham gia
vào giải thuật định tuyến của người dùng đầu cuối và ở đây không có thủ tục
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
62
xây dựng và duy trì bảng định tuyến và chuyển tiếp VRF (VPN Routing and
Forwarding Table)
5. 4. 2. Mô hình Martini
Miêu tả một phương thức tóm lược các kiểu khác nhau cho giao thức lớp
2 trong khung MPLS. Một MPLS LSP được sử dụng như một mạch ảo VC hay
đường hầm qua Internet. Giao thức lớp 2 (Ethernet…) được sử dụng ở đầu
cuối của VC. PDU lớp 2 chuyển giao qua Martini VC và phân phát nguyên vẹn
ở lối ra của mạng. Thậm chí qua Internet có một IP tồn tại, công nghệ Martini
cho phép nó sử dụng kết nối lớp 2 giả. Đề xuất Martini như RFC 2547 thiết lập
đường hầm giữa những bộ định tuyến PE. Đường hầm này được gán một
nhận dạng kênh ảo 32 bit (VC-ID). Mỗi mạch ảo trong một mạng của nhà cung
cấp dịch vụ sẽ có VC-ID duy nhất của chúng. LSP của mạng đường trục được
xây dựng để kết nối tất cả mạch ảo giữa cặp PE. Một nhóm ID có thể cũng
được sử dụng để kết hợp VC. Điều này có lợi cho wildcard hoạt động như
loại bỏ một số lượng lớn VC hay tìm lại định tuyến gởi đi sau một thất bại.
Hình 5. 1: Đường hầm LSP giữa những PE
5. 4. 3. Thông tin định tuyến
Bộ định tuyến biên nhà cung cấp tham gia trong VPN Martini sử dụng
giao thức phân phối nhãn LDP để trao đổi thông tin liên lạc VPN. Tuy nhiên nó
nổi tiếng điều đó không ngụ ý LDP là cần thiết trong giao thức định tuyến báo
hiệu cho mạng MPLS. Kế hoạch báo hiệu và điều khiển MPLS là phân cách
hoàn toàn kế hoạch điều khiển VPN.
Chú ý là LDP là giao thức phiên định hướng. Điều này có nghĩa là hai
LDP sẽ thiết lập một phiên truyền thông (TCP based). Một phiên được thiết
lập, dữ liệu VC-ID có thể tráo đổi và mọi đường hầm Martini cần thiết được
Luận văn tốt nghiệp MPLS và ứng dụng MPLS/VPN
Lê Phạm Minh Thông
63
xây dựng. Dữ liệu chứa trong gói LDP gồm VC-ID, nhóm ID, kiểu VC, tham số
Các file đính kèm theo tài liệu này:
- mpls_va_ung_dung__0999.pdf