MỤC LỤC
LỜI CẢM ƠN 1
DANH SÁCH TỪ VIẾT TẮT 4
MỞ ĐẦU 7
CHƯƠNG 1 : GIỚI THIỆU VỀ CÔNG NGHỆ VPN 9
1.1. VPN là gì? 9
1.2. PHÂN LOẠI VPN 10
1.2.1 VPN cho các nhà doanh nghiệp 10
1.2.2 VPN đối với các nhà cung cấp dịch vụ 12
CHƯƠNG 2 : CHUYỂN MẠCH NHÃN ĐA GIAO THỨC – MPLS 16
2.1 Sơ lược về công nghệ IP và công nghệ ATM 16
2.1.1 Công nghệ IP 16
2.1.2 Công nghệ ATM 17
2.2 Khái niệm cơ bản về MPLS 18
2.2.1 Lợi ích của MPLS 19
2.2.2 Một số ứng dụng của MPLS 19
2.3 Các thành phần trong MPLS 20
2.3.1 Nhãn 20
2.3.2 Ngăn xếp nhãn 21
2.3.3 Lớp chuyển tiếp tương đương FEC 22
2.3.4 Đường chuyển mạch nhãn LSP 23
2.3.5 Cơ sở dữ liệu nhãn LIB 23
2.3.6 Topo mạng MPLS 23
2.3.7 Thành phần cơ bản của MPLS 24
2.4 Giao thức phân phối nhãn LDP 24
2.4.1 Quá trình khám phá láng giềng LSR 25
2.4.2 Các kiểu phân phối nhãn 26
2.5 Cấu trúc MPLS 26
2.5.1 Mặt phẳng điều khiển 28
2.5.2 Mặt phẳng dữ liệu 29
2.5.3 Các thành phần bên trong mặt phẳng điều khiển và mặt phẳng dữ liệu 29
2.6 Các giao thức định tuyến trong MPLS 31
2.6.1 Giao thức định tuyến OSPF 31
2.6.2 Giao thức định tuyến EIGRP 32
2.6.3 Giao thức định tuyến BGP 32
2.7 Phương thức hoạt động của MPLS 32
CHƯƠNG 3 : MPLS VPN 40
3.1 MPLS VPN là gì? 40
3.2 Lợi ích của MPLS VPN 40
3.3 Các thành phần trong MPLS VPN 41
3.3.1 Virtual Routing and Forwarding Table (VRF) 41
3.3.2 Multiprotocol BGP (MP-BGP) 42
3.3.3 Route Distinguisher (RD) 42
3.3.4 Route Targets (RT) 44
3.5 Hoạt động của mặt phẳng điều khiển MPLS VPN 46
3.6 Hoạt động của mặt phẳng dữ liệu MPLS VPN 47
3.7 Vấn đề bảo mật trong MPLS/ VPN 48
3.7.1 Khoảng địa chỉ và định tuyến riêng biệt 48
3.7.2 Che giấu cấu trúc lõi của MPLS 48
3.7.3 Chống lại các cuộc tấn công 49
3.7.4 Giả nhãn 51
CHƯƠNG 4 : ỨNG DỤNG MPLS/VPN TRÊN MEGAWAN 53
4.1 Khái niệm chung về MegaWan 53
4.2. Các yêu cầu đặt ra khi thiết kế mạng MEGAWAN 53
4.3 Ứng dụng của MEGAWAN 54
4.4 Mô hình MEGAWAN thực tế 54
4.4.1 Gọi điện thoại miễn phí dựa trên hệ thống tổng đài nội bộ 56
4.4.2 Truyền hình hội nghị 57
CHƯƠNG 5 : BẢN DEMO CÀI ĐẶT THỰC NGHIỆM 59
5.1 Cấu hình 60
5.1.1 Cấu hình router A1: 60
5.1.2 Cấu hình router B1: 61
5.1.3 Cấu hình router PE01: 62
5.1.4 Cấu hình router P: 64
5.1.5 Cấu hình router PE02: 65
5.1.6 Cấu hình router A2: 68
5.1.7 Cấu hình router B2: 69
5.2 Thông tin định tuyến 69
5.2.1 Thông tin định tuyến của A1 69
5.2.2 Thông tin định tuyến của A2 70
5.2.3 Thông tin định tuyến của B1 70
5.2.4 Thông tin định tuyến của B2 71
5.2.5 Thông tin định tuyến của PE01 72
5.2.6 Thông tin định tuyến của PE02 72
5.2.7 Thông tin định tuyến của P 73
5.3 Kiểm tra 73
KẾT LUẬN 78
TÀI LIỆU THAM KHẢO 79
80 trang |
Chia sẻ: maiphuongdc | Lượt xem: 4500 | Lượt tải: 1
Bạn đang xem trước 20 trang tài liệu Chuyên đề Tìm hiểu về MPLS VPN - Ứng dụng trên mạng MEGAWAN và cài đặt thực nghiệm, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
hiện việc giao tiếp với các mạng khác.
2.4 Giao thức phân phối nhãn LDP
Giao thức phân phối nhãn LDP là giao thức để trao đổi thông tin nhãn giữa các LSR. Cung cấp kỹ thuật giúp cho các LSR có kết nối trực tiếp nhận ra nhau và thiết lập liên kết cơ chế khám phá (discovery mechanism).
Có 4 loại bản tin:
Bản tin Discovery: thông báo và duy trì sự có mặt của một LSR trong mạng.
Bản tin Adjency: có nhiệm vụ khởi tạo, duy trì và kết thúc những phiên kết nối giữa các LSR.
Bản tin Label advertisement: thực hiện việc thông báo, đưa ra yêu cầu, hủy bỏ và giải phóng thông tin nhãn.
Bản tin Notification: được sử dụng để thông báo lỗi. Thiết lập kết nối TCP để trao đổi các bản tin (ngoại trừ bản tin Discovery).
2.4.1 Quá trình khám phá láng giềng LSR
Giao thức này hoạt động trên kết nối UDP và có thể được xem là giai đoạn nhận biết nhau của hai LSR trước khi chúng thiết lập kết nối TCP. Một LSR sẽ quảng bá bản tin hello tới tất cả LSR kết nối trực tiếp với nó trên một cổng UDP mặc định theo một chu kỳ nhất định. Tất cả các LSR đều lắng nghe bản tin hello này trên cổng UDP. Nhờ đó LSR biết được địa chỉ của tất cả các LSR kết nối trực tiếp với nó. Sau khi biết được địa chỉ của một LSR nào đó, một kết nối TCP sẽ được thiết lập giữa hai LSR này. Ngay cả khi không kết nối trực tiếp với nhau thì LSR vẫn có thể gửi định kỳ bản tin hello đến cổng UDP mặc định của một địa chỉ IP xác định. Và LSR nhận cũng có thể gửi lại bản tin hello cho LSR gửi để thiết lập kết nối TCP.
Hình 2.8 : Quá trình khám phá láng giềng
2.4.2 Các kiểu phân phối nhãn
Trong một miền MPLS, một nhãn gán tới một địa chỉ đích được phân phối tới các láng giềng ngược dòng sau khi thiết lập session. Việc kết nối giữa mạng cụ thể với nhãn cục bộ và một nhãn trạm kế (nhận từ router xuôi dòng) được lưu trữ trong LFIB và LIB. MPLS dùng các phương thức phân phối nhãn như sau:
Phân phối nhãn theo yêu cầu.
Phân phối nhãn không theo yêu cầu.
Phân phối nhãn theo yêu cầu :
Phân phối nhãn không theo yêu cầu :
Hình 2.9 : Quá trình trao đổi thông tin nhãn trong LDP
2.5 Cấu trúc MPLS
Có hai cơ chế hoạt động trong MPLS là:
Cơ chế Frame Mode :
Cơ chế này được sử dụng với các mạng IP thông thường, trong cơ chế này nhãn của MPLS là nhãn thực sự được thiết kế và gán cho các gói tin, trong mặt phẳng điều khiển sẽ đảm nhiệm vai trò gán nhãn và phân phối nhãn cho các định tuyến giữa các router chạy MPLS, và trong cơ chế này các router sẽ kết nối trực tiếp với nhau qua 1 giao diện Frame mode như là PPP, các router sẽ sử dụng địa chỉ IP thuần túy để trao đổi thông tin cho nhau như là: thông tin về nhãn và bảng định tuyến routing table.
Còn với mạng ATM hay Frame relay chúng không có các kết nối trực tiếp giữa các interface, nghĩa là không thể dùng địa chỉ IP thuần túy để trao đổi thông tin cho nhau, vì vậy ta phải thiết lập các kênh ảo giữa chúng (PVC).
Cơ chế cell mode.
Thuật ngữ này dùng khi có một mạng gồm các ATM LSR dùng MPLS trong mặt phẳng điều khiển để trao đổi thông tin VPI/VCI thay vì dùng báo hiệu ATM. Trong kiểu tế bào, nhãn là trường VPI/VCI của tế bào. Sau khi trao đổi nhãn trong mặt phẳng điều khiển, ở mặt phẳng chuyển tiếp, router ngõ vào (ingress router) phân tách gói thành các tế bào ATM, dùng giá trị VCI/CPI tương ứng đã trao đổi trong mặt phẳng điều khiển và truyền tế bào đi. Các ATM LSR ở phía trong hoạt động như chuyển mạch ATM chúng chuyển tiếp một tế bào dựa trên VPI/VCI vào và thông tin cổng ra tương ứng. Cuối cùng, router ngõ ra (egress router) sắp xếp lại các tế bào thành một gói.
Trong đó:
GFC : điều khiển luồng chung.
VPI : nhận dạng đường ảo.
VCI : nhận dạng kênh ảo.
PT : chỉ thị kiểu tường tin.
CLP : chức năng chỉ thị ưu tiên huỷ bỏ tế bào.
HEC : kiểm tra lỗi tiêu đề.
MPLS chia thành 2 mặt phẳng: mặt phẳng điều khiển MPLS ( Control plane ) và mặt phẳng chuyển tiếp MPLS hay còn gọi là mặt phẳng dữ liệu (Data plane).
Hình 2.10 : Mặt phẳng điều khiển và mặt phẳng dữ liệu
2.5.1 Mặt phẳng điều khiển
Thực hiện chức năng liên quan đến việc nhận biết khả năng có thể đi đến được các mạng đích. Mặt phẳng điều khiển chứa tất cả thông tin định tuyến lớp 3 nhằm trao đổi thông tin để có thể đi được đến mạng đích.
Các modul điều khiển MPLS gồm:
Định tuyến Unicast (Unicast Routing).
Định tuyến Multicast (Multicast Routing).
Kỹ thuật lưu lượng (Traffic engineering).
Mạng riêng ảo (Virtual private network).
Chất lượng dịch vụ (Quality of service).
Hình 2.11 : Các module điều khiển MPLS
2.5.2 Mặt phẳng dữ liệu
Thực hiện chức năng liên quan đến chuyển tiếp gói dữ liệu. Các gói này vừa có thể là gói IP lớp 3 hoặc là gói IP đã được gán nhãn.Thông tin trong mặt phẳng dữ liệu, chẳng hạn như giá trị nhãn thường được lấy từ mặt phẳng điều khiển. Việc trao đổi thông tin giữa các router láng giềng, tạo ra các ánh xạ của các mạng đích đến các nhãn trong mặt phẳng điều khiển, thường sử dụng để chuyển các gói đã gán nhãn trong mặt phẳng dữ liệu.
2.5.3 Các thành phần bên trong mặt phẳng điều khiển và mặt phẳng dữ liệu
2.5.3.1 Chuyển mạch CEF
CEF là một sự thiết lập của Cisco dựa trên MPLS, sử dụng các dịch vụ của nó hoạt động trên router Cisco. Là điều kiện tiên quyết để thực hiện MPLS, CEF cung cấp cơ chế chuyển mạch độc quyền được dùng trên các router Cisco nhằm làm tăng tính đơn giản và khả năng thực thi chuyển mạch IPv4 của một router.
2.5.3.2 Cơ sở thông tin chuyển tiếp FIB
CEF sử dụng FIB để chuyển tiếp các gói tin đến đích, là bản sao của nội dung bảng định tuyến IP, chứa ánh xạ một – một giữa bảng FIB và các mục trong bảng định tuyến. Khi CEF được dùng trên router, router duy trì tối thiểu một FIB, chứa một ánh xạ của các mạng đích trong bảng định tuyến đến các hop kế thích hợp được kết nối trực tiếp. FIB nằm trong mặt phẳng dữ liệu, dùng chuyển tiếp các gói bởi router.
2.5.3.3 Cơ sở thông tin nhãn LIB và cơ sở thông tin chuyển tiếp nhãn LFIB
Ngoài FIB còn có hai cấu trúc khác được xây dựng trên router, đó là LIB và LFIB. Các giao thức phân phối được sử dụng giữa các router láng giềng trong miền MPLS nhằm đáp ứng cho việc tạo ra các mục trong LIB và LFIB:
LIB nằm trong mặt phẳng điều khiển và thường được dùng bởi giao thức phân phối nhãn. Các nhãn HOP kế được nhận từ các Downstream, còn các nhãn cục bộ được tạo ra bởi giao thức phân phối nhãn.
LFIB nằm trong mặt phẳng dữ liệu, chứa một ánh xạ từ nhãn cục bộ đến nhãn HOP kế.
2.5.3.4 Cơ sở thông tin định tuyến RIB
Thông tin về các mạng đích có khả năng đi đến được để lấy từ các giao thức định tuyến chứa trong cơ sở thông tin định tuyến RIB hoặc bảng định tuyến. Bảng định tuyến cung cấp thông tin cho một FIB. LIB sử dụng thông tin từ giao thức phân phối nhãn, và khi LIB kết hợp cùng với các thông tin lấy từ FIB sẽ tạo ra cơ sở thông tin chuyển tiếp nhãn LFIB.
Hình 2.12 : Các thành phần MPLS trong mặt phẳng điều khiển và mặt phẳng dữ liệu
2.6 Các giao thức định tuyến trong MPLS
2.6.1 Giao thức định tuyến OSPF
OSPF là một giao thức định tuyến dạng link-state hoạt động trong một hệ tự trị để tìm ra đường đi ngắn nhất đầu tiên, sử dụng thuật toán Dijkstra “Shortest Path First (SPF)” để xây dựng bảng định tuyến.
Ưu điểm:
OSPF đáp ứng được nhu cầu cho các mạng lớn.
Có thời gian hội tụ ngắn.
Hỗ trợ CIDR và VLSM.
Kích thước mạng thích hợp cho tất cả các mạng từ vừa đến lớn.
Sử dụng băng thông hiệu quả.
Chọn đường dựa trên chi phí thấp nhất.
Cấu hình OSPF:
Router(config)#router ospf process-id
Router(config-router)#network address wildcast-mask area area-id
2.6.2 Giao thức định tuyến EIGRP
EIGRP là một giao thức định tuyến lai (hybrid routing), nó vừa mang những đặc điểm của distance vector vừa mang một số đặc điểm của link-state.
Ưu điểm:
EIGRP hội tụ nhanh và tiêu tốn ít băng thông.
EIGRP hỗ trợ VLSM và CIDR nên sử dụng hiệu quả không gian địa chỉ.
Cấu hình EIGRP:
Router(config)#router eigrp autonomous-system
Router(config-router)#network network-number
2.6.3 Giao thức định tuyến BGP
BGP là một giao thức định tuyến dạng path-vector và việc chọn đường đi tốt nhất thông thường dựa vào một tập hợp các thuộc tính (attribute). BGP sử dụng kết nối TCP trong mọi việc thông tin liên lạc (tạo kết nối TCP 179). BGP có thể sử dụng giữa các router trong cùng một AS và khác AS. Khi BGP được dùng trong cùng một AS thì được gọi là iBGP, còn dùng để kết nối các AS khác nhau thì gọi là eBGP.
Cấu hình BGP :
Router(config)#router bgp as-number
Router(config-router)#neighbor {ip address/peer-group-name} remote-as as-number
Router(config-router)#neighbor {ip address/peer-group-name} update-source interface type interface-number
Router(config-router)#address-family vpnv4
Router(config-router-af)#neighbor {ip address/peer-group-name} activate
Router(config-router)#neighbor {ip address/peer-group-name} send-community {extended/both}
Router(config-router)# neighbor {ip address/peer-group-name} next-hop-self
2.7 Phương thức hoạt động của MPLS
Khi một gói tin vào mạng MPLS, các bộ định tuyến chuyển mạch nhãn không thực hiện chuyển tiếp theo từng gói mà thực hiện phân loại gói tin vào trong các lớp tương đương chuyển tiếp FEC .
Sau đó các nhãn được ánh xạ vào trong các FEC. Một giao thức phân bổ nhãn LDP được xác định và chức năng của nó là để ấn định và phân bổ các ràng buộc FEC/nhãn cho các bộ định tuyến chuyển mạch nhãn LSR. Khi LDP hoàn thành nhiệm vụ của nó, một đường dẫn chuyển mạch nhãn LSP được xây dựng từ ngõ vào tới ngõ ra. Khi các gói vào mạng, LSR ngõ vào kiểm tra nhiều trường trong tiêu đề gói để xác định xem gói thuộc về FEC nào. Nếu đã có một ràng buộc nhãn/FEC thì LSR ngõ vào gắn nhãn cho gói và chuyển tiếp nó tới ngõ ra tương ứng. Sau đó gói được hoán đổi nhãn qua mạng cho đến khi nó đến LSR ngõ ra, lúc đó nhãn bị loại bỏ và gói được xử lý tại lớp 3. Vì vậy quá trình chuyển tiếp gói tin diễn ra nhanh hơn so với việc chuyển tiếp dựa vào định tuyến IP. Ngoài ra MPLS còn có cơ chế Fast reroute. Do MPLS là công nghệ chuyển mạch hướng kết nối, khả năng bị ảnh hưởng bởi lỗi đường truyền thường cao hơn các công nghệ khác. Trong khi đó, các dịch vụ tích hợp mà MPLS phải hỗ trợ lại yêu cầu dung lượng cao. Do vậy, khả năng phục hồi của MPLS đảm bảo khả năng cung cấp dịch vụ của mạng không phụ thuộc vào cơ cấu khôi phục lỗi của lớp vật lý bên dưới.
Mặt phẳng điều khiển quản lý tập các tuyến mà một gói có thể sử dụng, trong mô hình này một gói đi vào thiết bị mạng qua giao diện đầu vào, được xử lý bởi một thiết bị mà nó chỉ xử lý thông tin về gói để đưa ra quyết định logic.
Hình 2.13 : Định tuyến chuyển mạch chuyển tiếp
Giả sử ta có một mạng đơn giản như sau trong đó Router A là Ingress router (router biên ngõ vào), Router C là Egress router (router biên ngõ ra).
Hình 2.14 : Mạng MPLS
Ở đây sẽ trình bày cách các router xây dựng bảng FIB và LFIB cho Network X là mạng mà cần truyền dữ liệu đến. Phương thức gán và phân tán nhãn gồm những bước như sau:
Bước 1: Giao thức định tuyến (OSPF hay EIGRP…) xây dựng bảng routing table.
Bước 2: Các LSR lần lượt gán 1 nhãn cho một IP đích trong bảng routing table một cách độc lập.
Bước 3: LSR lần lượt phân tán nhãn cho tất cả các router LSR kế cận.
Bước 4: Tất cả các LSR xây dựng các bảng LIB, LFIB, FIB dựa trên nhãn nhận được.
Đầu tiên các router sẽ dùng các giao thức định tuyến như OSPF hay EIGRP…để tìm đường đi cho gói tin giống như mạng IP thông thường và xây dựng nên bảng routing table cho mỗi router trong mạng. Giả sử, ở đây router A muốn đến mạng X thì phải qua router B, B chính là Next-hop của router A để đến mạng X.
Hình 2.15 : Quá trình xây dựng bảng routing table
Sau khi bảng routing table đã hình thành, các router sẽ gán nhãn cho các đích đến mà có trong bảng routing table của nó, ví dụ ở đây router B sẽ gán nhãn bằng 25 cho mạng X, nghĩa là những nhãn vào có giá trị 25 router B sẽ chuyển nó đến mạng X.
Hình 2.16 : Quá trình dãn nhãn của Router B
Router B phân tán nhãn 25 cho tất cả các router LSR kế cận nó cùng lúc đó bảng tra LIB hình thành trong router B và có entry như hình 2.17.
Hình 2.17 : Quá trình phân phối nhãn của Router B
Các router LSR nhận được nhãn từ router láng giềng sẽ cập nhật vào bảng LIB, riêng với router biên (Edge LSRs) sẽ cập nhật vào bảng LIB và cả FIB của nó.
Hình 2.18 : Quá trình tạo bảng LIB
Cũng giống như B, router C sẽ gán nhãn là 47 cho Network X và sẽ quảng bá nhãn này cho các router kế cận, C không quảng bá cho router D vì D không chạy MPLS.
Hình 2.19 : Quá trình phân phối nhãn của Router C
Cùng lúc đó router C hình thành 2 bảng tra LIB và LFIB có các entry như hình 2.19. Sau khi nhận được quảng bá của router C, router B sẽ thêm nhãn 47 vừa nhận được vào trong bảng tra FIB và LIB đồng thời xây dựng bảng tra LFIB có các entry như hình 2.20, router E chỉ thêm nhãn 47 vào trong LIB và FIB.
Hình 2.20 : Quá trình tạo bảng FLIB
Như vậy ta đã có được đường đi từ biên router A đến mạng cần đến là mạng X, hay nói cách khác một LSP đã hình thành. Bây giờ gói tin có thể truyền theo đường này tới đích như sau: Một gói tin IP từ mạng IP đến router biên Ingress, router A sẽ thực hiện tra bảng FIB của nó để tìm ra next hop cho gói tin này, ở đây A sẽ gán nhãn 25 cho gói tin này theo entry có trong bảng FIB của nó và sẽ gửi tới next hop là router B để đến mạng X.
Hình 2.21 : Quá trình kiểm nhãn tại ingress LSR
Gói tin với nhãn 25 được truyền đến cho router B, router B sẽ tra bảng LFIB của nó và tìm ra giá trị nhãn ngõ ra cho gói tin có nhãn ngõ vào 25 là 47, router B sẽ swap nhãn thành 47 và truyền cho next hop là router C.
Hình 2.22 : Quá trình hoán đổi nhãn
Gói tin với nhãn 47 được truyền đến router C, router C sẽ tra bảng LFIB của nó và tìm ra hoạt động tiếp theo cho gói tin có nhãn vào 47 là sẽ pop nhãn ra khoi gói tin và truyền cho next hop là router D, như vậy gói tin đến D là gói tin IP bình thường không nhãn.
Hình 2.23 : Quá trình tháo nhãn tại egress LSR
Gói tin IP này đến D, router D sẽ tra bảng routing table của nó và truyền cho mạng X.
Tóm lại :
Qua đây ta có thể biết được các thành phần và cách hoạt động của MPLS. Nắm được ưu và nhược điểm của MPLS, và tại sao MPLS sẽ được triển khai rộng rãi. Sử dụng MPLS ta có thể dễ dàng mở rộng mạng lưới mạng mà không cần phải cấu hình router lõi, chi phí cho sự mở rộng ít,… MPLS có khả năng linh hoạt và chuyển mạch tốc độ cao dựa trên sự kết hợp của IP và ATM.
CHƯƠNG 3 : MPLS VPN
3.1 MPLS VPN là gì?
MPLS VPN kết hợp những đặc điểm tốt nhất của Overlay VPN và peer-to-peer VPN:
Các router PE tham gia vào quá trình định tuyến của khách hàng (customer), tối ưu việc định tuyến giữa các site của khách hàng.
Các router PE sử dụng các bảng định tuyến ảo (virtual routing table) cho từng khách hàng nhằm cung cấp khả năng kết nối vào mạng của nhà cung cấp cho nhiều khách hàng.
Các khách hàng có thể sử dụng địa chỉ IP trùng nhau (overlap addresses) MPLS VPN backbone và các site khách hàng trao đổi thông tin định tuyến lớp 3. MPLS VPN gồm các vùng sau:
Mạng khách hàng: thường là miền điều khiển của khách hàng gồm các thiết bị hay các router trải rộng trên nhiều site của cùng một khách hàng. Các router CE là những router trong mạng khách hàng giao tiếp với mạng của nhà cung cấp.
Mạng của nhà cung cấp: là miền thuộc điều khiển của nhà cung cấp gồm các router biên (edge) và lõi (core) để kết nối các site thuộc vào các khách hàng trong một hạ tầng mạng chia sẻ. Các router PE là các router trong mạng của nhà cung cấp giao tiếp với router biên của khách hàng. Các router P là router trong lõi của mạng, giao tiếp với các router lõi khác hoặc router biên của nhà cung cấp.
Trong mạng MPLS VPN, router lõi cung cấp chuyển mạch nhãn giữa các router biên của nhà cung cấp và không biết đến các tuyến VPN. Các router CE trong mạng khách hàng không nhận biết được các router lõi, do đó cấu trúc mạng nội bộ của mạng nhà cung cấp trong suốt đối với khách hàng.
3.2 Lợi ích của MPLS VPN
Chi phí thấp, tốc độ ổn định, đáp ứng được yêu cầu về bảo mật thông tin, đơn giản trong việc quản lý và dễ dàng trong việc chuyển đổi.
Giảm thiểu chi phí so với các công nghệ tương đồng trong việc quản lý, xây dựng, triển khai trong một mạng diện rộng.
Tính ổn định và khả năng mở rộng: đáp ứng nhu cầu mở rộng một cách nhanh chóng, có thể kết nối nhanh chóng với các mạng khác.
Thích ứng với nhiều loại công nghệ khác nhau và không thay thế hệ thống mạng hiện tại của khách hàng. Với khả năng hỗ trợ nhiều loại công nghệ khác nhau do đó MPLS có thể hỗ trợ nhiều kiểu truy cập khác nhau như Frame relay, IP, …làm giảm thiểu chi phí cho khách hàng hoặc có thể tận dụng thiết bị mạng sẵn có.
An toàn mạng: với tính năng mã hóa và tạo đường hầm của công nghệ VPN giúp MPLS đạt được mức độ an toàn cao như trong môi trường mạng riêng.
Chất lượng dịch vụ: đảm bảo phân biệt thứ tự ưu tiên cho các lọai dữ liệu khác nhau như: số liệu, hình ảnh, âm thanh.
3.3 Các thành phần trong MPLS VPN
3.3.1 Virtual Routing and Forwarding Table (VRF)
Chức năng của VRF giống như một bản định tuyến toàn cục, ngoại trừ việc nó chứa mọi tuyến liên quan đến một VPN cụ thể. VRF chứa một bảng định tuyến IP tương ứng với bảng định tuyến IP toàn cục, một bảng CEF, liệt kê các cổng giao tiếp tham gia vào VRF, và một tập hợp các nguyên tắc xác định giao thức định tuyến trao đổi với các router CE (routing protocol contexts). VRF còn chứa các định danh VPN (VPN identifier) như thông tin thành viên VPN (RD và RT).
Hình 3.1 : Bảng VRF
3.3.2 Multiprotocol BGP (MP-BGP)
MP-BGP chạy giữa các router biên nhà cung cấp để trao đổi thông tin các tuyến VPNv4. MP-BGP là mở rộng của giao thức BGP hiện tại. Địa chỉ VPNv4 khách hàng là một địa chỉ 12 byte, kết hợp của địa chỉ IPv4 và RD. 8 byte đầu là RD; 4 byte tiếp theo là địa chỉ IPv4.
Một phiên làm việc MP-BGP giữa các PE trong một BGP AS được gọi là MP-iBGP session và kèm theo các nguyên tắc thực thi của iBGP liên quan đến thuộc tính của BGP (BGP attributes). Nếu VPN mở rộng ra khỏi phạm vi một AS, các VPNv4 sẽ trao đổi giữa các AS tại biên bằng MP-eBGP session.
3.3.3 Route Distinguisher (RD)
RD là một định danh 64-bit duy nhất. Giải quyết trùng địa chỉ IP của các khách hàng bằng cách ghép thêm 64-bit vào IPv4 tạo thành địa chỉ VPNv4 (96 bit). Do đó chỉ duy nhất một RD được cấu hình cho một VRF trên router PE. Các địa chỉ VPNv4 được trao đổi giữa các router PE qua BGP. RD có thể có hai định dạng: dạng địa chỉ IP hoặc chỉ số AS
Hình 3.2 : Giá trị RD
Đầu tiên router PE-1 ghép thêm 64-bit RD vào gói tin IPv4 tạo thành địa chỉ VPNv4 và thông qua giao thức MP-BGP chuyển gói tin đến router PE-2
Hình 3.3 Quá trình gán RD
Tại router PE-2 gói tin được bo RD khoi VPNv4 thành IPv4
Hình 3.4 : Quá trình tháo RD
3.3.4 Route Targets (RT)
Route targets (RT) là những định danh dùng trong miền MPLS VPN khi triển khai MPLS VPN nhằm xác định thành viên VPN của các tuyến được học từ các site cụ thể. RT được thực thi bởi các BGP community mở rộng sử dụng 16 bit cao của BGP extended community (64 bit) mã hóa với một giá trị tương ứng với thành viên VPN của site cụ thể. Khi một tuyến VPN học từ một CE chèn vào VPNv4 BGP, một danh sách các thuộc tính community mở rộng cho VPN router target được kết hợp với nó.
RT được kèm theo định tuyến được gọi là export RT và được cấu hình riêng biệt cho mỗi VRF tại router PE. Export RT dùng để xác định thành viên VPN và được kết hợp với mỗi VRF.
Import RT kết hợp với mỗi VRF và xác định các tuyến VPNv4 được thêm vào VRF cho khách hàng cụ thể. Định dạng của RT giống như giá trị RD.Khi thực thi các cấu trúc mạng VPN phức tạp (như: extranet VPN, Internet access VPNs, network management VPN,…) sử dụng công nghệ MPLS VPN thì RT giữ vai trò nòng cốt. Một địa chỉ mạng có thể được kết hợp với một hoặc nhiều export RT khi quảng bá qua mạng MPLS VPN.
3.4 Cách hoạt động MPLS VPN
Sơ đồ dòng dữ liệu MPLS VPN lớp 3 :
Hình 3.5 : Sơ đồ hoạt động của MPLS lớp 3
Khi vận chuyển trong mạng MPLS VPN, một gói IP được gán hai nhãn sau: Nhãn PE được sử dụng bởi các router lõi (P router) để vận chuyển gói tin trong mạng MPLS; nhãn VPN được sử dụng bởi các router biên của mạng MPLS (PE router) để đưa gói tin đến đúng router đích.
Sơ đồ dòng dữ liệu MPLS VPN lớp 2 :
Hình 3.6 : Hoạt động của MPLS lớp 2
Trong mạng MPLS VPN lớp 2, một frame (dữ liệu của tầng 2) được gán hai nhãn: nhãn L1 được sử dụng bởi các router lõi ( router P) để vận chuyển các frame trong mạng MPLS và nhãn VC1 được sử dụng bởi các PE router để đưa các frame đến đúng router của khách hàng. Khi khách hàn sử dụng dịch vụ VPN lớp 2, các thiết bị mạng dùng để kết nối các văn phòng khác nhau của một đơn vị có cùng một subnet. Thiết bị định tuyến của nhà cung cấp dịch vụ và khách hàng không trao đổi thông tin định tuyến (routing protocols) với nhau.
3.5 Hoạt động của mặt phẳng điều khiển MPLS VPN
Mặt phẳng điều khiển trong MPLS VPN chứa mọi thông tin định tuyến lớp 3 và các tiến trình trao đổi thông tin của các IP prefix được gán và phân phối nhãn bằng LDP.
Hình 3.7 : Mặt phẳng điều khiển MPLS/ VPN
Các bước hoạt động của mặt phẳng điều khiển MPLS VPN: Mỗi router PE quảng cáo địa chỉ loopback của nó: PE1 quảng cáo 1.1.1.1/32 và PE2 quảng cáo 2.2.2.2/32. LDP dùng để phân phối thông tin gắn nhãn giữa các router chạy MPLS. Trên mỗi router PE, LFIB chứa một nhãn gắn với địa chỉ loopback của router PE khác. Khi PE1 chuyển tiếp gói từ 2.2.2.2 trên PE2, nó sẽ gắn thêm nhãn 20 cho gói và khi PE2 chuyển tiếp một gói từ 1.1.1.1, nó sẽ đặt nhãn 10 cho gói. Định tuyến và chuyển tiếp VPN được tạo trên PE1 và PE2, gọi là VPNA. PE1 dùng giao tiếp S0/0 trong VPN này và PE2 dùng giao tiếp S0/1.
OSPF chạy giữa các PE1và CE1; PE2 và CE2. Khi PE1 nhận tuyến đường tới mạng 10.1.1.0 từ CE1, router đặt nó trong bảng định tuyến của VPNA. Lúc này, nó gán nhãn (5) cho prefix. Khi PE2 nhận tuyến đường tới mạng 10.1.2.0 từ CE2, nó đặt vào bảng định tuyến của VPNA. Lúc này nhãn (6) được gán cho prefix. PE1 sau đó gởi cập nhật MP-iBGP đa giao thức tới PE2 quảng cáo mạng 10.1.1.0. Cập nhật cũng chứa nhãn (5) mà PE1 gắn cho prefix 10.1.1.0, và PE2 gắn thêm vào bất kỳ gói nào tới mạng 10.1.1.0 trước khi nó chuyển tiếp gói. Khi PE1 quảng cáo tuyến, nó đặt địa chỉ BGP chặng kế là 1.1.1.1/32, là địa chỉ loopback của nó.
PE2 sau đó gửi cập nhật iBGP đa giao thức cho PE1 quảng cáo mạng 10.1.2.0. Cập nhật cũng chứa nhãn (6), mà PE2 gán cho prefix 10.1.2.0 và PE1 phải gắn thêm vào các gói tới mạng 10.1.2.0 trước khi chuyển tiếp nó. Khi PE2 quảng cáo tuyến đường, nó đặt địa chỉ BGP chặng kế là 2.2.2.2/32 là địa chỉ loopback của nó. PE1 đưa prefix 10.1.2.0 vào bảng định tuyến của VPNA và PE2 đưa prefix 10.1.1.0 vào bảng định tuyến của VPNA.
3.6 Hoạt động của mặt phẳng dữ liệu MPLS VPN
Mặt phẳng dữ liệu thực hiện chức năng chuyển tiếp các gói IP được gán nhãn đến trạm kế để về đích. Việc chuyển tiếp trong mạng MPLS VPN đòi hỏi phải dùng chồng nhãn (label stack).
Nhãn trên (top lable) được gán và hoán đổi (swap) để chuyển tiếp gói dữ liệu đi trong lõi MPLS. Nhãn thứ hai (nhãn VPN) được kết hợp với VRF ở router PE để chuyển tiếp gói đến các CE. Hình 3.9 mô tả các bước trong chuyển tiếp dữ liệu khách hàng của mặt phẳng dữ liệu từ một site khách hàng CE2-A tới CE1-A trong hạ tầng mạng của SP.
Hình 3.8 : Mặt phẳng dữ liệu MPLS / VPN
Sau đây là những bước trong việc chuyển tiếp của mặt phẳng dữ liệu minh họa cho hình 3.8: CE1 bây giờ gởi một gói tới máy 10.1.2.1. Gói được chuyển tiếp tới PE1. PE1 đặt nhãn trong cho gói là 6. Sau đó nó xem xét đích tới trong bảng định tuyến của VPNA. Nó xác định rằng địa chỉ IP chặng kế là 2.2.2.2. Nó xem trong LFIB của nó để xác định nhãn ra nào. Lúc này, PE1 đặt nhãn ngoài cho gói là 20 và chuyển ra cổng giao tiếp hướng tới PE2. Nhãn ngoài là 20 và nhãn trong là 6. Khi PE2 nhận gói nhãn, nó gỡ bỏ nhãn ngoài 20 và kiểm tra nhãn trong. Nhãn trong (6) cho router biết giao tiếp nào nó sẽ chuyển tiếp gói ra. Gói sau đó được chuyển tới CE2.
3.7 Vấn đề bảo mật trong MPLS/ VPN
3.7.1 Khoảng địa chỉ và định tuyến riêng biệt
MPLS cho phép các VPN khác nhau sử dụng một dải địa chỉ như nhau và được sử dụng như dải địa chỉ riêng [RFC1918]. điều này đạt được nhờ việc đưa thêm Tham số phân biệt định tuyến (route distinguisher - RD) 64 bit vào mỗi địa chỉ IPv4, làm cho các địa chỉ VPN duy nhất cũng trở thành duy nhất trong lõi MPLS. Địa chỉ mở rộng này cũng được gọi là “địa chỉ VPN - IPv4” (hình 1). Do vậy, các khách hàng của một dịch vụ MPLS không cần thay đổi địa chỉ hiện thời của họ trong mạng.
3.7.2 Che giấu cấu trúc lõi của MPLS
Vì lý do bảo mật, các công ty cung cấp dịch vụ và khách hàng thường không muốn cấu trúc mạng của họ bị lộ ra ngoài. Điều này làm cho việc tấn công bị khó khăn hơn. Nếu một kẻ tấn công không biết về mục tiêu, anh ta chỉ có thể suy đoán địa chỉ IP hoặc cố tìm ra địa chỉ IP bằng cách thử. Do phần lớn các cuộc tấn công từ chối dịch vụ DoS (Denial - of - Service) không cung cấp phản hồi cho các kẻ tấn công nên việc tấn công một mạng sẽ là khó khăn.
Với một địa chỉ IP đã biết, một kẻ tấn công có thể tiến hành một cuộc tấn công DoS với thiết bị đó. Vì thế tốt hơn hết
Các file đính kèm theo tài liệu này:
- 31527.doc