Đồ án Mạng riêng ảo trên nền MPLS và ứng dụng

 

MỤC LỤC i

THUẬT NGỮ VIẾT TẮT iii

DANH MỤC HÌNH VẼ vii

DANH MỤC BẢNG BIỂU viii

LỜI NÓI ĐẦU 1

CHƯƠNG I : TỔNG QUAN VỀ MẠNG RIÊNG ẢO VPN 3

1.1 Định nghĩa 3

1.2 Chức năng và ưu nhược điểm của VPN 5

1.2.1 Chức năng 5

1.2.2 Ưu điểm 5

1.2.3 Nhược điểm và các vấn đề cần khắc phục 8

1.3 Phân loại mạng và các mô hình VPN 9

1.3.1 Phân loại mạng VPN 9

1.3.2 Các mô hình VPN 13

1.4 Kết luận chương 1 21

CHƯƠNG II: TỔNG QUAN CÔNG NGHỆ MPLS 22

2.1 Khái niệm MPLS 22

2.2 Đặc điểm MPLS 22

2.3 Các thành phần của MPLS 23

2.3.1 Các thiết bị trong mạng MPLS 23

2.3.2 Đường chuyển mạch nhãn 24

2.3.3 Nhãn và các vấn đề liên quan 25

2.4 Hoạt động của MPLS 29

2.5 Kiến trúc ngăn xếp trong MPLS 32

2.6 Kết luận chương 2 34

CHƯƠNG 3. MẠNG RIÊNG ẢO TRÊN NỀN MPLS 35

3.1 Tổng quan về MPLS-VPN 35

3.1.1 VPN trên nền MPLS 35

3.1.2 Mô hình L3VPN 37

3.1.3 Mô hình L2VPN 38

3.2 Hoạt động của MPLS-VPN 40

3.2.1 Kiến trúc của router biên PE trong mạng MPLS/VPN 40

3.2.2 Truyền thông tin định tuyến dọc mạng nhà cung cấp 41

3.2.3 Bảng định tuyến và chuyển tiếp VPN 42

3.2.4 Phân phối route VPN thông qua BGP 44

3.2.5 Địa chỉ VPN-IP 45

3.2.6 Chuyển tiếp gói tin VPN dọc mạng backbone MPLS 47

3.2.7 Truyền nhãn VPN 50

3.3 Bảo mật trong MPLS-VPN 53

3.4 Kết luận chương 3 54

CHƯƠNG 4. ỨNG DỤNG VÀ TRIỂN KHAI CỦA MPLS-VPN 55

4.1 Giới thiệu chung 55

4.2 Ứng dụng của MPLS-VPN 56

4.3 Triển khai MPLS-VPN của VNPT tại Việt Nam 58

4.4 Kết luận chương 4 69

KẾT LUẬN 70

TÀI LIỆU THAM KHẢO 71

 

doc72 trang | Chia sẻ: netpro | Lượt xem: 4226 | Lượt tải: 1download
Bạn đang xem trước 20 trang tài liệu Đồ án Mạng riêng ảo trên nền MPLS và ứng dụng, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
đề lớp 3. Cấu trúc tiêu đề MPLS: Link Layer Header MPLS SHIM Network Layer Header Other Headers Layer and Data 32 bits 20 bits 3 bits 1bit 8 bits Hình 2.1 Khuôn dạng tiêu đề nhãn Ý nghĩa các trường : Nhãn: là một thực thể có chiều dài cố định (20 bit) dùng làm cơ sở cho việc chuyển tiếp. Exp (Experimental): Các bit Exp được dự trữ về mặt kỹ thuật cho sử dụng thực tế. Chẳng hạn sử dụng những bit này để chỉ thị QoS - thường là một bản sao trực tiếp của các bit chỉ thị độ ưu tiên trong gói IP. Khi các gói MPLS bị xếp hàng, có thể sử dụng các bit Exp như cách sử dụng các bit chỉ thị độ ưu tiên IP. BS (Bottom of stack): Có thể có hơn một nhãn với một gói. Bit này dùng để chỉ thị cho nhãn ở cuối ngăn xếp nhãn. Nhãn ở đáy của ngăn xếp nhãn có giá trị BS bằng 1. Các nhãn khác có giá trị bit BS bằng 0. TTL (Time To Live): Thông thường các bit TTL là một bản sao trực tiếp của các bit TTL trong tiêu đề gói IP. Chúng giảm giá trị đi một đơn vị khi gói đi qua mỗi chặng để tránh lặp vòng vô hạn. TTL cũng có thể được sử dụng khi các nhà điều hành mạng muốn dấu cấu hình mạng nằm bên dưới. Ngăn xếp nhãn là một tập các nhãn có thứ tự được chỉ định cho gói. Việc xử lý các nhãn này cũng tuân theo một thứ tự . Gói IP Nhãn#m Gói IP Tiêu đề MPLS Nhãn MPLS(20bit) EXP S TTL Nhãn#1 Nhãn#2 Hình 2.2 Cấu trúc ngăn xếp nhãn Nếu ngăn xếp nhãn của gói có độ sâu m, nhãn tại đáy của ngăn xếp được xem như là nhãn mức 1, nhãn trên nó là nhãn mức 2, và nhãn trên cùng là nhãn mức m. Mục đích ngăn xếp nhãn: tăng cường các dịch vụ (VPN, CoS), cho mở rộng mạng (phân cấp) … Không gian nhãn: Thuật ngữ không gian nhãn dùng để chỉ ra cách thức mà một nhãn được kết hợp với một LSR. Có hai phương pháp để phân nhãn giữa các LSR, tương ứng với hai dạng không gian nhãn, đó là: không gian nhãn theo từng giao diện và không gian nhãn theo từng node. Không gian nhãn theo từng giao diện: Nhãn được kết hợp với một giao diện đặc trưng ở một LSR, ví dụ như DS3 hoặc giao diện SONET. LSR sẽ dùng một giá trị giao diện để giữ dấu vết của các nhãn ở mỗi giao diện, nên nhãn có thể được dùng lại tại mỗi giao diện, miễn là thoả mãn điều kiện một nhãn là duy nhất trong không gian nhãn. Và khi này định danh giao diện này trở thành một nhãn nội bộ trong LSR đối với nhãn bên ngoài được gửi đi giữa các LSR. Không gian nhãn theo từng node (theo tất cả các giao diện): Ở đây, các nhãn đầu vào được xẻ dọc theo tất cả các giao diện tham gia vào một node. Nghĩa là, node này phải chỉ định không gian nhãn dọc theo tất cả các giao diện, b) Ràng buộc FEC và nhãn Khái niệm FEC: FEC là một nhóm các gói, nhóm các gói này chia sẻ cùng yêu cầu trong sự chuyển tiếp chúng qua mạng. Tất cả các gói trong một nhóm như vậy được cung cấp cùng cách chọn đường tới đích. Dựa trên FEC, nhãn được thoả thuận giữa các LSR lân cận từ lối vào tới lối ra trong một vùng định tuyến. Mỗi LSR xây dựng một bảng để xác định xem một gói phải được chuyển tiếp như thế nào. Bảng này được gọi là cơ sở thông tin nhãn (LIB: Label Information Base), nó là tổ hợp các ràng buộc FEC với nhãn (FEC-to-label). Và nhãn lại được sử dụng để chuyển tiếp lưu lượng qua mạng. Lý do dùng FEC: Thứ nhất, nó cho phép nhóm các gói vào các lớp. Từ nhóm này, giá trị FEC trong một gói có thể được dùng để thiết lập độ ưu tiên cho việc xử lý các gói. Thứ hai, FEC có thể được dùng để hỗ trợ hiệu quả hoạt động QoS. Ví dụ, FEC có thể liên kết với độ ưu tiên cao, lưu lượng thoại thời gian thực, lưu lượng nhóm mới ưu tiên thấp… Sự kết hợp một FEC với một gói được thực hiện bởi việc dùng một nhãn để định danh một FEC đặc trưng. Với các lớp dịch vụ khác nhau, phải dùng các FEC khác nhau và các nhãn liên kết khác nhau. Đối với lưu lượng Internet, các định danh sử dụng là các tham số ứng cử cho việc thiết lập một FEC. Trong một vài hệ thống, chỉ địa chỉ đích IP được sử dụng. c) Tạo, phân bổ, hợp nhất , duy trì và điều khiển nhãn Tạo nhãn Có một số phương pháp được sử dụng trong việc tạo nhãn: Phương pháp dựa trên đồ hình (topology-based): sử dụng các giao thức định tuyến thông thường như OSPF (Open Shortest Path First) và BGP (Border Gateway Protocol: Giao thức cổng đường biên). Phương pháp dựa trên yêu cầu (request-based): sử dụng điều khiển lưu lượng dựa trên yêu cầu như RSVP (Resource Reservation Protocol: Giao thức dành trước tài nguyên). Phương pháp dựa trên lưu lượng (trafic-based): sử dụng sự tiếp nhận của gói để phân bổ thông tin nhãn. Các phương pháp dựa trên đồ hình và dựa trên yêu cầu là các ví dụ về các ràng buộc nhãn điều khiển, trong khi phương pháp dựa trên lưu lượng là một ví dụ về các ràng buộc dữ liệu. Phân bổ nhãn Kiến trúc MPLS không sử dụng một phương pháp báo hiệu riêng nào để phân bổ nhãn. Các giao thức định tuyến đang tồn tại đã được tăng cường để mang thông tin nhãn trong nội dung của giao thức: LDP: ánh xạ các đích IP đơn hướng vào các nhãn. RSVP, CP-LDP: được sử dụng cho kĩ thuật lưu lượng và đặt trước tài nguyên. Multicast độc lập giao thức: được sử dụng cho việc ánh xạ nhãn các trạng thái đa hướng. BGP: các nhãn bên ngoài (VPN). Hợp nhất nhãn Dòng lưu lượng đến từ các giao diện khác nhau có thể được kết hợp cùng nhau và được chuyển mạch bằng cách sử dụng một nhãn chung nếu chúng đang đi qua mạng hướng tới cùng một đích cuối cùng. Điều này được gọi là sự hợp nhất luồng hay kết hợp các luồng. Nếu mạng truyền tải nằm bên dưới là một mạng ATM, các LSR có thể sử dụng hợp nhất đường ảo (VP) hay kênh ảo (VC). Sự duy trì nhãn MPLS định nghĩa cách xử lý các ràng buộc nhãn nhận được từ các LSR, mà các LSR đó không phải là chặng kế tiếp với một FEC đã cho. Hai chế độ được định nghĩa: Bảo toàn (conservative): Trong chế độ này, các ràng buộc giữa một nhãn và một FEC nhận được từ các LSR không là chặng kế tiếp cho một FEC cho trước bị huỷ bỏ. Chế độ này dùng để một LSR duy trì số nhãn ít hơn. Đây là chế độ được khuyến khích sử dụng cho các LSR ATM. Tự do (liberal): Trong chế độ này, các ràng buộc giữa một nhãn và một FEC nhận được từ các LSR không là chặng kế tiếp với một FEC cho trước được giữ nguyên. Chế độ này cho phép tương thích nhanh hơn với các thay đổi cấu hình và cho phép chuyển mạch lưu lượng tới các LSP khác trong trường hợp có sự thay đổi. Điều khiển nhãn MPLS định nghĩa các chế độ cho việc phân bổ nhãn tới các LSR lân cận như sau: Độc lập (Independent): Trong chế độ này, một LSR nhận dạng một FEC nào đó và ra quyết định ràng buộc một nhãn với một FEC một cách độc lập để phân bổ ràng buộc đến các thực thể đồng mức của nó. Các FEC mới được nhận dạng bất cứ khi nào các tuyến (route) trở nên rõ ràng với router. Có thứ tự (ordered): Trong chế độ này, một LSR ràng buộc một nhãn với một FEC nào đó nếu và chỉ nếu nó là router lối ra hay nó đã nhận được một ràng buộc nhãn cho FEC từ LSR chặng kế tiếp của nó. Chế độ này được khuyến nghị sử dụng cho các LSR ATM. 2.4 Hoạt động của MPLS Khi một gói tin vào mạng MPLS: LSR lối vào kiểm tra nhiều trường trong tiêu đề của gói để xác định xem gói thuộc FEC nào: Nếu chưa có một ràng buộc nhãn/FEC thì: gói được phân loại gói tin vào trong các FEC, sau đó nhãn được ánh xạ vào trong FEC. Nhiệm vụ ấn định và phân bổ các ràng buộc FEC/nhãn cho các LSR do LDP đảm nhiệm.Khi LDP hoàn thành nhiệm vụ , một LSP được xây dựng từ lối vào đến lối ra. Nếu đã có một ràng buộc nhãn/FEC thì: LSR lối vào gán nhãn cho gói và định hướng gói tới giao diện đầu ra tương ứng. Sau đó gói được hoán đổi nhãn qua mạng cho đến khi nó đến LSR đầu ra. Lúc này nhãn được loại bỏ và gói được xử lý tại lớp 3. Các lớp trên Mặt phẳng điều khiển Định tuyến Duy trì tuyến Chuyển mạch Mặt phẳng chuyển tiếp Lựa chọn cổng ra Phát gói đầu ra Nhận gói đầu vào Các cổng đầu vào Các cổng đầu ra Hình 2.3 Xử lý gói Như vậy, với một gói dữ liệu để đi qua một miền MPLS, cần phải thực hiện các bước sau: Tạo và phân bổ nhãn. Tạo bảng tại mỗi router. Tạo các đường dẫn chuyển mạch nhãn (LSP). Chèn/tìm kiếm bảng nhãn. Chuyển tiếp gói. Phân tích cụ thể các bước như sau: Tạo & phân bổ nhãn Trước khi lưu lượng bắt đầu, các router quyết định để ràng buộc một nhãn với một FEC xác định và xây dựng bảng của chúng. Trong LDP, các router đường xuống khởi tạo sự phân bổ các nhãn và ràng buộc nhãn/FEC. Ngoài ra, các đặc tính liên quan đến lưu lượng và khả năng MPLS được thoả thuận bằng việc sử dụng LDP. Hình 2.4 Hoạt động của mạng MPLS Tạo bảng Tại phía nhận các ràng buộc nhãn, mỗi LSR tạo các lối vào trong cơ sở thông tin nhãn (LIB : Label Information Base). Nội dung của bảng sẽ xác định ánh xạ giữa một nhãn và một FEC. Ánh xạ giữa cổng vào và bảng nhãn đầu vào tới cổng ra và bảng nhãn đầu ra. Các lối vào được cập nhật bất cứ khi nào sự tái đàm phán về ràng buộc nhãn xảy ra. Tạo đường dẫn chuyển mạch nhãn Như được biểu diễn bằng đường ngắt quãng trong hình 2.4, các LSP được tạo ở phương ngược lại với sự tạo các lối vào trong các LIB. Chèn/tìm kiếm bảng nhãn Router đầu tiên (LER1 trong hình 2.4) sử dụng bảng trong LIB để tìm chặng kế tiếp và yêu cầu một nhãn cho FEC xác định. Các router lần lượt sử dụng nhãn để tìm chặng kế tiếp. Mỗi lần gói chạm tới LSR lối ra (LER4), nhãn được xoá bỏ và gói được cung cấp cho đích. Chuyển tiếp gói LER1 có thể không có nhãn nào cho gói này khi đó là lần đầu tiên xảy ra yêu cầu này. Trong một mạng IP, nó sẽ tìm sự phù hợp địa chỉ dài nhất để tìm chặng kế tiếp. Cho LSR1 là chặng kế tiếp của LER1. LER1 sẽ khởi tạo một yêu cầu nhãn chuyển tới LSR1. Yêu cầu này sẽ phát thông qua mạng. Mỗi router trung gian sẽ nhận một nhãn từ router phía sau nó bắt đầu từ LER2 và đi lên trên cho đến LER1. LSP được thiết lập bằng cách sử dụng LDP hay bất kì giao thức báo hiệu nào khác. Nếu kĩ thuật lưu lượng được yêu cầu, CR-LDP sẽ được sử dụng trong việc quyết định thiết lập đường dẫn thực sự để chắc chắn yêu cầu QoS/CoS được tuân thủ. LER1 sẽ chèn nhãn và chuyển tiếp gói tới LSR 1. Mỗi LSR lần lượt, nghĩa là LSR2 và LSR3, sẽ kiểm tra nhãn với các gói nhận được, thay thế nó với các nhãn đầu ra và chuyển tiếp nó. Khi gói tới LER4, nó sẽ xoá bỏ nhãn bởi vì gói sẽ rời khỏi miền MPLS và được phân phát tới đích. 2.5 Kiến trúc ngăn xếp trong MPLS  Từ việc phân tích hoạt động MPLS như trên ta có thể chia MPLS ra thành các thành phần cơ bản sau: Các giao thức định tuyến (IP) lớp mạng. Chuyển tiếp biên của lớp mạng. Chuyển tiếp dựa trên nhãn mạng lõi. Lược đồ nhãn. Giao thức báo hiệu để phân bố nhãn. Kĩ thuật lưu lượng. Khả năng tương thích với các lược đồ chuyển tiếp lớp 2 khác nhau (ATM, FR, PPP: Point to Point Protocol). Routing UDP TCP IP Fwd PHY LDP CR LDP LIB MPLS Fwd Hình 2.5 Ngăn xếp giao thức MPLS Trong đó: Module định tuyến: có thể là bất cứ giao thức nào trong các giao thức công nghiệp phổ biến. Phụ thuộc vào môi trường hoạt động, module định tuyến có thể là OSPF, BGP hay PNNI của ATM, etc… Module LDP: sử dụng TCP để truyền dẫn tin cậy các dữ liệu điều khiển từ LSR này đến LSR khác trong suốt một phiên. LDP cũng duy trì LIB. LDP sử dụng UDP trong suốt quá trình khám phá của nó về trạng thái hoạt động. Trong trạng thái này, LSP cố gắng nhận dạng các phần tử lân cận và cũng như sự có mặt của chính các tín hiện của nó với mạng. Điều này được thực hiện thông qua trao đổi gói hello. IP Fwd: là module chuyển tiếp IP cổ điển, nó tìm kiếm chặng kế tiếp bằng việc so sánh để phù hợp với địa chỉ dài nhất trong các bảng của nó. Với MPLS, điều này được thực hiện chỉ bởi các LER. MPLS Fwd: là module chuyển tiếp MPLS, nó so sánh một nhãn với một cổng đầu ra và chọn sự phù hợp nhất với một gói đã cho. Các lớp được biểu diễn trong hộp với đường gãp khúc có thể được thực hiện bằng phần cứng để hoạt động nhanh và có hiệu quả. 2.6 Kết luận chương 2 Như vậy, trong chương này chúng ta đã tìm hiểu về công nghệ MPLS, các khái niệm và hoạt động cơ bản của công nghệ này. Có thể thấy rằng, công nghệ MPLS được thiết kế ban đầu chỉ nhằm mục đích tăng hiệu năng của chuyển mạch lớp 3, nhưng sau đó những lợi ích mà MPLS đem lại còn hơn cả mục đích ban đầu thiết kế. MPLS được dùng rất hữu hiệu cho các mạng đa dịch vụ, tích hợp các mạng kế thừa, kỹ thuật lưu lượng, bảo vệ path/link, hỗ trợ QoS và CoS, tăng cường khả năng mở rộng của IP và đặc biệt là các ứng dụng trong mạng riêng ảo. MPLS có thể hỗ trợ cung cấp mạng riêng ảo ở cả lớp 2 và lớp 3. Để sang chương sau ta có thể tìm hiểu về các mô hình hoạt động cũng như nguyên lý hoạt động của MPLS-VP. CHƯƠNG 3. MẠNG RIÊNG ẢO TRÊN NỀN MPLS 3.1 Tổng quan về MPLS-VPN Site 3 3.1.1 VPN trên nền MPLS Site 4 Site 2 Site 1 P P P PE 2 PE 1 PE 3 P CE CE Provider Network CE CE Hình 3.1 Thành phần mạng MPL-VPN Có nhiều thành phần mạng được định nghĩa trong cấu trúc MPLS-VPN. Các thành phần này thực hiện những chức năng khác nhau nhưng kết hợp với nhau để cấu thành mạng MPLS/VPN. Bao gồm: Provider network (P-network): mạng nhà cung cấp, mạng lõi MPLS/IP được quản trị bởi nhà cung cấp dịch vụ. Provider router (P-router): là router chạy trong mạng lõi của nhà cung cấp, cung cấp việc vận chuyển dọc mạng backbone và không mang các router của khách hàng. Provider edge router (PE-router): Router biên của mạng backbone, nó cung cấp phân phối các router của khách hàng và thực hiện đáp ứng các dịch vụ cho khách hàng từ phía nhà cung cấp. Autonomous system boundary router (ASBR-router) : router biên trong một AS nào đó, nó thực hiện vai trò kết nối với một AS khác. AS này có thể có cùng hoặc khác nhà điều hành. Customer network (C-network): đây là phần được khách hàng điều khiển. Customer edge router (CE-router): router khách hàng đóng vai trò như là gateway giữa mạng C và mạng P. Router CE được quản trị bởi khách hàng hoặc có thể được nhà cung cấp dịch vụ quản lý. Các phần liên tục của mạng C được gọi là site và được nối với mạng P thông qua router CE. Hình dưới đây là mô hình cơ bản mạng MPLS-VPN: Bảng định tuyến CE CE Phiên MP-IBGP VPN site 1 PE PE Cung cấp dịch vụ mạng P VPN site 2 Hình 3.2 Mô hình mạng MPLS-VPN cơ bản Hiện nay có hai mô hình mạng riêng ảo trên nền MPLS phổ biến là mạng riêng ảo lớp 3 (L3VPN) và mạng riêng ảo lớp 2 (L2VPN). Sau đây là những đặc điểm chính của hai mô hình này. 3.1.2 Mô hình L3VPN Kiến trúc mạng riêng ảo L3VPN chia thành hai lớp, tương ứng với các lớp 3 và 2 của mô hình OSI. L3VPN dựa trên RFC 2547 bits, mở rộng một số đặc tính cơ bản của giao thức cổng biên BGP (Border Gateway Protocol) và tập trung vào hướng đa giao thức của BGP nhằm phân bổ các thông tin định tuyến qua mạng lõi của nhà cung cấp dịch vụ như là chuyển tiếp các lưu lượng VPN qua mạng lõi. Trong kiến trúc L3VPN, các bộ định tuyến khách hàng và nhà cung cấp được coi như là các phần tử ngang hàng. Bộ định tuyến biên khách hàng CE cung cấp thông tin định tuyến tới bộ định tuyến biên nhà cung cấp PE. PE lưu các thông tin định tuyến trong bảng định tuyến và chuyển tiếp ảo VRF. Mỗi khoản mục của VRF tương ứng với một mạng khách hàng và hoàn toàn biệt lập với các mạng khách hàng khác. Người sử dụng VPN chỉ được phép truy nhập các site hoặc máy chủ trong cùng một mạng riêng này. Bộ định tuyến PE còn hỗ trợ các bảng định tuyến thông thường nhằm chuyển tiếp lưu lượng của khách hàng qua mạng công cộng. Một cấu hình mạng L3VPN dựa trên MPLS như hình dưới đây. Gói IP Gói IP Nhãn VRF Nhãn LSF Gói IP VPN B PE CE P VPN A PE VPN B P P PE P CE VPN A CE Bảng VRF VPN A Mạng MPLS cung cấp dịch vụ Bảng VRF VPN B Bảng định tuyến Bảng VRF VPN A Bảng định tuyến Hình 3.3 Mô hình MPLS L3VPN Mô hình MPLS L3VPNCác gói tin IP qua miền MPLS được gắn hai loại nhãn, bao gồm nhãn MPLS chỉ dẫn các đường chuyển mạch nhãn LSP để chuyển tiếp các gói tin qua miền MPLS. Nhãn VRF chỉ được xử lý tại thiết bị định tuyến PE nối với bộ định tuyến khách hàng. Mô hình L3VPN có ưu điểm là không gian địa chỉ khách hàng được quản lý bởi nhà khai thác, và do vậy đơn giản hoá việc triển khai kết nối với nhà cung cấp. Ngoài ra, L3VPN còn cung cấp khả năng định tuyến động để phân phối các thông tin định tuyến tới các bộ đinh tuyến VPN. Tuy nhiên, L3VPN chỉ hỗ trợ các lưu lượng IP hoặc lưu lượng đóng gói vào gói tin IP. Đồng thời, việc tồn tại hai bảng định tuyến tại các thiết bị mạng cũng là một vấn đề cần giải quyết trong điều hành và ảnh hưởng tới khả năng mở rộng các hệ thống thiết bị. 3.1.3 Mô hình L2VPN Mô hình mạng riêng ảo lớp 2 được phát triển sau và các tiêu chuẩn vẫn đang trong giai đoạn hoàn thiện. Cách tiếp cận L2VPN hướng tới việc thiết lập các đường hầm qua mạng MPLS để xử lý các kiểu lưu lượng khác nhau như Ethernet, FR, ATM và PPP/HDLC. Có hai dạng L2VPN cơ bản là: Điểm tới điểm: tương tự như công nghệ ATM và FR, nhằm thiểt lập các đường dẫn chuyển mạch ảo qua mạng; Điểm tới đa điểm: hỗ trợ các cấu hình mắt lưới và phân cấp. Trong những năm gần đây dịch vụ LAN ảo dựa trên mô hình L2VPN đa điểm sử dụng công nghệ truy nhập Ethernet đã được triển khai rộng rãi. Giải pháp này cho phép liên kết các mạng Ethernet qua hạ tầng MPLS trên cơ sở nhận dạng lớp 2, vì vậy mà giảm được độ phức tạp của các bảng định tuyến lớp 3. Trong mô hình L2VPN các bộ đinh tuyến PE và CE không nhất thiết phải được coi là ngang hàng. Thay vào đó, chỉ tồn tại kết nối giữa hai bộ định tuyến này. Bộ định tuyến PE chuyển mạch các luồng lưu lượng vào trong các đường hầm đã được cấu hình trước tới các bộ định tuyến PE khác. Gói L2 Gói L2 Gói L2 Từ điều khiển Nhãn VC Nhãn LSP CE VPN B PE PE VPN A CE CE P P P CE PE P VPN B VPN A Mạng MPLS cung cấp dịch vụ Hình 3.4 Mô hình MPLS L2VPN L2VPN xác định khả năng tìm kiếm qua mặt phẳng dữ liệu bằng địa chỉ học được từ các bộ định tuyến lân cận. L2VPN sử dụng ngăn xếp nhãn tương tự như trong L3VPN. Nhãn MPLS bên ngoài được sử dụng để xác định đường dẫn cho lưu lượng qua miền MPLS, còn nhãn kênh ảo VC nhận dạng các mạng LAN ảo, VPN hoặc kết nối tại các điểm cuối. Một nhãn tuỳ chọn sử dụng để điều khiển đóng các kết nối lớp 2 được đặt trong cùng ngăn xếp sát với trường dữ liệu. L2VPN có ưu điểm quan trọng nhất là cho phép các giao thức lớp cao được truyền trong suốt đối với MPLS. Nó có thể hoạt động hầu hết công nghệ lớp 2 gồm ATM, FR, Ethernet và mở ra khả năng tích hợp các mạng phi kết nối IP với các mạng hướng kểt nối. Ngoài ra, trong giải pháp này người sử dụng đầu cuối không cần phải cấu hình định tuyến cho các bộ định tuyến khách hàng CE. Tuy nhiên, L2VPN không dễ dàng mở rộng như L3VPN. Một cấu hình đầy đủ cho các LSP phải được sử dụng để kết nối các VPN trong mạng. Hơn nữa, L2VPN không hề tự động định tuyến giữa các site. Vì vậy, tuỳ thuộc vào cấu hình mạng MPLS và nhu cầu cụ thể mà nó có thể sử dụng một trong hai mô hình nói trên. 3.2 Hoạt động của MPLS-VPN Như đã nói ở trên, MPLS/VPN là sự kết hợp các ưu điểm của cả hai mô hình overlay VPN và peer-to-peer VPN. Do đó việc lựa chọn các yếu tố cần thiết để cấu thành mạng MPLS cũng trở nên quan trong, các yếu tố đó bao gồm giao thức định tuyến, cách truyền nhãn qua mạng MPLS trong khi vẫn đảm bảo được tính chất của VPN, v.v…Ta hãy đi phân tích một số đặc điểm để cấu thành mạng MPLS/VPN. 3.2.1 Kiến trúc của router biên PE trong mạng MPLS/VPN Mỗi khách hàng đăng kí một bảng định tuyến độc lập nhau (bảng định tuyến ảo) tương ứng như một router ảo trong mô hình VPN ngang cấp. Khách hàng A,Site 1 Bảng định tuyến khách hàng A Bảng định tuyến ảo cho khách hàng A Định tuyến toàn cục Bảng định tuyến toàn cục Khách hàng A,Site 2 P-Router Khách hàng A,Site 3 Khách hàng B,Site 1 PE-Router Bảng định tuyến khách hàng B Bảng định tuyến ảo cho khách hàng B Hình 3.5 Kiến trúc của router biên PE Định tuyến dọc mạng của nhà cung cấp được thực hiện bởi tiến trình định tuyến khác sử dụng bảng định tuyến toàn cục (global), tương đương như intra-POP-P-router trong mô hình VPN ngang cấp. 3.2.2 Truyền thông tin định tuyến dọc mạng nhà cung cấp Khi bảng định tuyến ảo đảm bảo sự cách ly giữa các khách hàng, dữ liệu từ các bảng định tuyến này vẫn cần được trao đổi giữa các Router PE để dữ liệu có thể truyền giữa các site gắn vào các Router PE khác nhau. Do đó chúng ta cần phải có một giao thức định tuyến sẽ vận chuyển tất cả các router của khách hàng dọc mạng nhà cung cấp trong khi vẫn duy trì được không gian địa chỉ độc lập giữa khách hàng với nhau. Một giải pháp được đưa ra là chạy giao thức định tuyến riêng cho mỗi khách hàng. Các router PE có thể được kết nối thông qua các đường hầm điểm – điểm (và giao thức định tuyến cho mỗi khách hàng sẽ chạy giữa các router PE) hoặc là router P có thể tham gia vào quá trình định tuyến của khách hàng. Giải pháp này, mặc dù thực hiện đơn giản nhưng lại không thích hợp trong môi trường khách hàng, vì nó không có khả năng mở rộng và phải đối mặt với nhiều vấn đề khi có yêu cầu hỗ trợ VPN chồng lấn (overlapping VPN): Router PE phải chạy một số lượng lớn các giao thức định tuyến . Router P phải mang tất cả các router của khách hàng. Sau đó, một giải pháp tốt hơn được đưa ra là chỉ triển khai một giao thức định tuyến có thể trao đổi tất cả các router của khách hàng dọc mạng nhà cung cấp. Rõ ràng giải pháp này tốt hơn giải pháp trước nhưng router P vẫn phải tham gia vào định tuyến khách hàng, do đó nó vẫn không giải quyết được vấn đề mở rộng. Để hiểu rõ hơn vấn đề mở rộng khi triển khai một giao thức định tuyến trên 1 VPN, ta lấy ví dụ sau đây: Giả sử mạng backbone của nhà cung cấp dịch vụ sẽ phải cung cấp hơn 100 khách hàng VPN kết nối đến router hai router biên PE sử dụng OSPF là giao thức định tuyến. Router PE trong mạng backbone sẽ chạy hơn 100 bản copy tiến trình định tuyến OSPF độc lập nhau với mỗi bản copy gửi các gói tin hello và gói tin refreshment tuần hoàn qua mạng. Vì có thể chạy hơn một bản copy OSPF qua cùng một link, ta có thể cấu hình các subinterface trên một VPN trên link giữa PE và CE, kết quả là tạo ra mô hình mạng phức tạp. Và phải chạy 100 thuật toán SPF cũng như duy trì database topology riêng rẽ trong các router P. Giải pháp tối ưu là truyền thông tin định tuyến khách hàng sẽ do một giao thức định tuyến giữa các router PE điều hành, các router P không tham gia vào việc định tuyến này. Giải pháp này hiệu quả vì nó có khả năng mở rộng: Số lượng giao thức định tuyến giữa các router PE không tăng khi tăng số lượng khách hàng. Router P không mang các router của khách hàng. Do đó yêu cầu bây giờ là việc lựa chọn giao thức định tuyến nào sẽ chạy giữa các router PE. Khi tổng số router của khách hàng rất lớn, nên chỉ có một giao thức định tuyến mới có khả năng đảm bảo được vấn đề này là BGP. BGP được sử dụng trong mạng MPLS/VPN trên các router PE để vẫn chuyển các router của khách hàng. Giao thức BGP dùng trong mạng MPLS/VPN được gọi là Multiprotocol BGP (MP-BGP). Ta có thể tóm tắt các ưu điểm của BGP để chọn nó là giao thức dùng cho việc vận chuyển các VPN router là: VPN router trong mạng có thể tăng lên đáng kể với số lượng lớn. BGP là giao thức định tuyến có thể hỗ trợ số lượng lớn các router như vậy. BGP, EIGRP, ISIS cũng là các giao thức định tuyến mang thông tin định tuyến cho nhiều lớp địa chỉ khác nhau. Nhưng ISIS và EIGRP không có khả năng mở rộng, không mang được một số lượng lớn các router như BGP. BGP cũng được thiết kế để trao đổi thông tin định tuyến giữa các router không kết nối trực tiếp. Đặc điểm này hỗ trợ việc giữ thông tin định tuyến không cho các router P biết. 3.2.3 Bảng định tuyến và chuyển tiếp VPN Sự kết hợp giữa bảng định tuyến VPN và bảng chuyển tiếp VPN tạo thành bảng định tuyến chuyển tiếp VPN (VRF). Mỗi VPN đều có bảng định tuyến và chuyển tiếp riêng của nó trong router PE, mỗi router PE duy trì một hoặc nhiều bảng VRF. Mỗi site mà có router PE gắn vào đó sẽ liên kết với một trong các bảng này. Địa chỉ IP đích của gói tin nào đó chỉ được kiểm tra trong bảng VRF mà nó thuộc về nếu gói tin đến trực tiếp từ site tương ứng với bảng VRF đó. Một VRF đơn giản chỉ là một tập hợp các router thích hợp cho một site nào đó (hoặc một tập hợp gồm nhiều site) kết nối đến router PE. Các router này có thể thuộc về hơn một VPN. Vậy các bảng VRF được phổ biến như thế nào? Ví dụ, giả sử có 3 router PE là PE1, PE2, PE3, và 3 router CE là CE1, CE2, CE3. Giả sử PE1 tiếp nhận từ CE1 các router hợp lệ ở site CE1. PE2 và PE3 thứ tự gắn vào site CE2 và CE3. Cả ba site này đều thuộc cùng một VPN V, thì PE1 sẽ sử dụng BGP để phân phối cho PE2 và PE3 các router mà nó học được từ site CE1. PE2 và PE3 sử dụng các router này để đưa vào bảng chuyển tiếp dành cho site CE2 và CE3. Các router từ những site không thuộc vào VPN V sẽ không xuất hiện trong bảng chuyển tiếp này, có nghĩa là các gói tin từ CE3 và CE2 không thể được gửi đến những site nào không thuộc VPN V. Nếu một site thuộc vào nhiều VPN, bảng chuyển tiếp tương ứng với site đó có thể có nhiều router liên quan đến tất cả VPN mà nó thuộc về. PE chỉ duy trì một bảng VRF trên một site. Các site khác nhau có thể chia sẽ cùng bảng VRF nếu nó sử dụng tập hợp các router một cách chính xác giống như các router trong bảng VRF đó. Nếu tất cả các site có thông tin định tuyến giống nhau (điều này thường là các site đó cùng thuộc về tập hợp VPN

Các file đính kèm theo tài liệu này:

  • docMPLSVPN chua lam ml.doc
  • docBia.doc
  • docDanh muc bang bieu.doc
  • docDanh muc hinh ve.doc
  • docMuc luc.doc
  • docThuat ngu viet tat.doc
Tài liệu liên quan