Đồ án Xây dựng mạng riêng ảo VPN Trường trung cấp nghề Số 8

Trong mạng IP thông thường, các quyết định chuyển tiếp cho gói tin được thực hiện bằng cách tìm kiếm địa chỉ trong bảng thông tin địa chỉ IP để xác định bước truyền tiếp theo và giao diện lối ra. Tuy nhiên, trong mạng MPLS thì mỗi LSR duy trì một cơ sở thông tin chuyển mạch nhãn (LFIB). Bảng LFIB bao gồm nhiều lối vào cho nhiều loại như lối vào chuyển tiếp nhãn đến bước tiếp theo (NHLFE), lối vào ánh xạ nhãn vào (ILM), lối vào ánh xạ FEC-to-NHLFE (FTN). NHLFE được sử dụng khi chuyển tiếp gói tin có gắn nhãn. Lối vào NHLFE bao gồm nhiều trường như địa chỉ của bước truyền tiếp theo, các hoạt động ngăn xếp nhãn, giao diện lối ra, thông tin mào đầu lớp hai. Lối vào ILM sẽ liên kết một nhãn vào cho một hoặc nhiều lối vào NHLFE. ILM được sử dụng khi chuyển tiếp gói tin có gắn nhãn. Nhãn của gói tin đi vào chọn một lối vào ILM cụ thể nào đó mà nó định nghĩa NHLFE. FTN ánh xạ mỗi FEC đến một hay nhiều NHLFE. Có nghĩa là, thông qua các lối vào FTN, gói tin không có nhãn sẽ được gán nhãn vào.

doc72 trang | Chia sẻ: maiphuongdc | Lượt xem: 2972 | Lượt tải: 2download
Bạn đang xem trước 20 trang tài liệu Đồ án Xây dựng mạng riêng ảo VPN Trường trung cấp nghề Số 8, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
mở rộng. Giải pháp tối ưu hơn là việc truyền gói tin định tuyến người dùng sẽ do một giao thức riêng định tuyến giữa các bộ định tuyến PE thực hiện, còn các bộ định tuyến P không tham gia vào quá trình định tuyến này. Giải pháp này mang lại hiệu quả cao vì nó có khả năng mở rộng do số lượng giao thức định tuyến giữa các bộ định tuyến PE không tăng khi tăng số lượng người dùng, đồng thời bộ định tuyến P cũng không mang thông tin về các tuyến người dùng khi số lượng người dùng quá lớn, giao thức định tuyến được lựa chọn để sử dụng là BGP vì giao thức này có thể hổ trợ số lượng lớn các định tuyến. BGP được thiết lập để trao đổi thông tin định tuyến giữa các bộ định tuyến không kết nối trực tiếp, và đặc điểm này hỗ trợ việc lưu giữ thông tin định tuyến tại các thiết bị biên mà không cần phải trao đổi với các bộ định tuyến lõi của mạng nhà cung cấp dich vụ. 2.4.2 Địa chỉ VPN-IP trong mạng riêng ảo Khi sử dụng giao thức BGP để định tuyến để chuyển tải gói tin người dùng qua Router biên nhà cung cấp dịch vụ phải truyền nhiều thông tin xác định khác nhau qua nó. Giao thức định tuyến BGP đã sử dụng và đua vào địa chỉ IP để xác định đích đến của gói tin, mỗi người dùng phải có một không gian địa chỉ riêng để BGP có thể định tuyến đúng hướng cho gói tin. Để có tài nguyên địa chỉ rộng lớn tránh khỏi sự trùng lắp địa chỉ thì việc mở rộng tiền tố địa chỉ IP là một việc làm bắt buộc khi mô hình mạng được mở rộng. Vấn đề được khắc phục khi mở rộng mô hình mạng khi người dùng tăng lên là mỗi bộ định tuyến sẽ được BGP sử dụng duy nhất trong bảng định tuyến ảo VRF. Việc mở rộng tiền tố địa chỉ đã đua ra một khái niệm địa chỉ VPN-IP, địa chỉ này chính là sự nối ghép địa chỉ IP của gói tin có độ dài là 32 bits và trường phân biệt tuyến (RD) có độ dài 64 bits. Trong trường hợp các gói tin có địa chỉ IP trùng nhau thì trường phân biệt tuyến sẽ được có nhiệm vụ phân biệt các gói tin. Trường phân biệt địa chỉ này được tạo ra là duy nhất cho mỗi nhà cung cấp dịch vụ để không có sự trùng lặp dẫn tới xung đột gói tin khi địa chỉ gói tin trùng nhau. Trong trường phân biệt tuyến có các trường con bao gồm.Trường hệ số tự trị ASN (Autonomous System number) chứa giá trị số đặc trung cho hệ thống nhà cung cấp dịch vụ VPN. Trường số gán (Assigned Number) do mỗi nhà cung cấp dịch vụ VPN quản lý. Nhà quản lý dịch vụ tự đặt ra giá trị cho trường số gán mạng VPN. Không thể xẩy ra việc hai nhà cung cấp dịch vụ trùng nhau về việc đặt giá trị trường số nhãn, vì thế hệ số tự trị cũng khác nhau, dẫn đến việc địa chỉ VPN cũng khác nhau hoàn toàn trên tất cả các mạng. Khi sử dụng giao thức BGP trong việc quản lý VPN-IP không khác quản lý địa chỉ IP. Giao thức BGP không thật sự hiểu được địa chỉ VPN-IP nên BGP chỉ nắm rõ phần mào đầu của hai địa chỉ VPN-IP chứ không quan tâm đến cấu trúc bên trong của địa chỉ, nên nó không cần thêm các giao thức phụ mà sử dụng những đặc tính của chúng sẵn có. Một số đặc tính mà giao thức BGP được hỗ trợ sẵn đó là: đặc tính cộng đồng sử dụng tuyến dự phòng. Các đặc tính này được áp dụng trong VPN-IP cũng giống như áp dụng trong địa chỉ IP. VPN-IP được được sử dụng giới hạn trong nhà cung cấp dịch vụ VPN và người dùng VPN. Địa chỉ VPN-IP được gán ở bộ định tuyến biên PE, Mỗi kết nối VPN bộ định tuyến PE được cấu hình ứng với mỗi giá trị của trường phân biệt định tuyến. Mỗi khi bộ định tuyến biên người dùng CE gửi một gói tin trực tiếp cho PE thì PE có nhiệm vụ xác định gói tin đó thuộc về VPN nào trước khi chuyển thông tin gói tin đó cho BGP của nhà cung cấp dịch vụ, và chuyển địa chỉ IP gói tin thành địa chỉ VPN-IP bằng cách sử dụng trường phân biệt tuyến có sẵn trong VPN đó. Và nó cũng làm ngược lại đó là chuyển địa chỉ VPN-IP thành IP Khi áp dụng địa chỉ VPN-IP thì phải hai yếu tố quan trọng đó là trường phân biệt tuyến và đặc tính cộng đồng của giao thức BGP. Mỗi cái đảm nhiệm một nhiệm vụ riêng trong khi áp dụng, một trong những vấn đề đặt ra khi giải quyết vấn đề trong khi chuyển gói tin trong VPN đó là giải quyết được việc không duy nhất của địa chỉ IP trong mạng toàn cầu. Vấn đề này thì trường phân biết tuyến đã giải quyết được làm cho đia chỉ IP trở thành duy nhất, nhưng trường phân biệt địa chỉ không sử dụng được vào cho định tuyến lọc. Và vấn đề quan trọng đó là làm thế nào để kết nối đúng các điều kiện ràng buộc trong giao thức. Cái này được giải quyết dựa trên quá trình lọc các đặc tính cộng đồng của BGP. Nhưng các đặc tính cộng đồng của giao thức BGP không làm được cho địa chỉ IP là duy nhất. Một trường phân biết tuyến không được sử dụng chung cho nhiều VPN khác nhau, nhưng một VPN có thể sử dụng nhiều trường phân biệt tuyến. Đối với đặc tính cộng đồng của giao thức BGP cũng vây, một đặc tính cộng đồng BGP chỉ có thể sử dụng được trong một VPN, còn một VPN có thể sử dụng nhiều đặc tính cộng đồng của BGP. Nên trường phân biệt định tuyến cũng như đặc tính cộng đồng không thể xác định được một VPN. Nguyên tắc hoạt động của gói tin IP trong mạng VPN là khi một CE chuyển một gói tin có địa chỉ IP có độ dài là 32 bits đến một PE, PE có nhiệm vụ thêm trường phân biệt định tuyến có độ dài 64 bits vào tạo ra một địa chỉ VPN-IP có độ dài 96 bits duy nhất và truyền đi theo giao thức mở rộng MP-IBGP đến PE khác. PE này có nhiệm vụ lọc bỏ trường phân biệt định tuyến lấy địa chỉ IP của gói tin và chuyển đến cho CE đích để CE cập nhật địa chỉ trong bảng định tuyến của nó. 2.4.3 Hoạt động gói tin MPLS - VPN qua các PE và CE Trong mạng IP thông thường, các quyết định chuyển tiếp cho gói tin được thực hiện bằng cách tìm kiếm địa chỉ trong bảng thông tin địa chỉ IP để xác định bước truyền tiếp theo và giao diện lối ra. Tuy nhiên, trong mạng MPLS thì mỗi LSR duy trì một cơ sở thông tin chuyển mạch nhãn (LFIB). Bảng LFIB bao gồm nhiều lối vào cho nhiều loại như lối vào chuyển tiếp nhãn đến bước tiếp theo (NHLFE), lối vào ánh xạ nhãn vào (ILM), lối vào ánh xạ FEC-to-NHLFE (FTN). NHLFE được sử dụng khi chuyển tiếp gói tin có gắn nhãn. Lối vào NHLFE bao gồm nhiều trường như địa chỉ của bước truyền tiếp theo, các hoạt động ngăn xếp nhãn, giao diện lối ra, thông tin mào đầu lớp hai. Lối vào ILM sẽ liên kết một nhãn vào cho một hoặc nhiều lối vào NHLFE. ILM được sử dụng khi chuyển tiếp gói tin có gắn nhãn. Nhãn của gói tin đi vào chọn một lối vào ILM cụ thể nào đó mà nó định nghĩa NHLFE. FTN ánh xạ mỗi FEC đến một hay nhiều NHLFE. Có nghĩa là, thông qua các lối vào FTN, gói tin không có nhãn sẽ được gán nhãn vào. Hoạt động chuyển tiếp nhãn của MPLS có thể được diễn tả bằng các hoạt động sau: Chèn nhãn: được bộ định tuyến lối vào thực hiện, nó sẽ chuyển đổi từ gói tin không nhãn thành gói tin có gắn nhãn bằng cách chèn nhãn vào phía trước mào đầu của gói tin. Để thực hiện được điều này, LSR lối vào đầu tiên phải ánh xạ gói tin đến FEC cụ thể nào đó bằng cách dò tìm địa chỉ trên bảng IP FIB, sau đó so sáng bảng LFIB để xác định nhãn lối ra, giao diện lối ra, và loại hình thức đóng gói lớp 2 cho gói tin. Chuyển đổi nhãn: Các bộ định tuyến này sử dụng nhãn trên đỉnh của ngăn xếp nhãn trong gói tin để tìm ánh xạ nhãn vào (ILM) lối vào trong LFIB. ILM lối vào sẽ nhận diện NHLFE tương ứng, vì NHLFE cung cấp tất cả thông tin cần thiết cho việc truyền gói tin. LSR trung gian sử dụng thông tin trong NHLFE để tìm giao diện lối ra cho nhãn lối ra cho gói tin này. Sau đó nó chuyển đổi nhãn lối vào thành nhãn lối ra thích hợp và gửi gói tin ra ngoài giao diện đến bước truyền tiếp theo. Rút nhãn: LSR sử dụng nhãn ở đỉnh trong ngăn xếp nhãn trong gói tin để xác định ILM lối vào và NHLFE tương ứng trong LFIB. Hoạt động ngăn xếp nhãn cho biết gói tin này cần được truyền đi là gói tin không có gán nhãn. LSR sẽ rút nhãn ra và chuyển đi gói tin không nhãn đến bước truyền tiếp theo. Do đó ta thấy LSR lối ra trong mạng MPLS có thể phải thực hiện hai quá trình kiểm tra trên gói tin mà nó nhận được từ LSR quá giang cận kề với nó. Thứ nhất, nó phải kiểm tra nhãn trong mào đầu để quyết định xem hoạt động cần thiết đối với gói tin này, trong trường hợp này là rút nhãn ra khỏi gói tin. Thứ hai, nó phải thực hiện kiểm tra lớp 3 trên gói tin IP trước khi chuyển tiếp gói tin đến đích. Việc thực hiện cả hai lần kiểm tra có thể làm giảm hoạt động của node đó. Egress LSR có thể yêu cầu hoạt động rút nhãn từ láng giềng dòng ngược của nó thông qua các giao thức phân phối nhãn như LDP bằng cách sử dụng các giá trị nhãn đặc biệt gọi là nhãn có giá trị implicit-null. Với các tuyến người dùng được truyền dọc theo mạng đường trục MPLS-VPN lưu lượng giữa các bộ định tuyến CE và PE mặc định là lưu lượng của các gói tin IP. Bộ định tuyến người dùng CE hỗ trợ các giao thức định tuyến IP chuẩn và không tham gia vào MPLS-VPN. Trong trường hợp này để chuyển tiếp gói tin dọc theo mạng đường trục MPLS-VPN, bộ định tuyến PE chỉ phải chuyển tiếp gói tin IP nhận được từ bộ định tuyến người dùng đến các bộ định tuyến PE khác. Với giải pháp này rất khó thực hiện bởi vì bộ định tuyến P không rõ về các tuyến của người dùng và vì chỉ thế một số yêu cầu chất lượng dịch vụ sẽ khó có khả năng đáp ứng. Trường hợp này tốt hơn là khi sử dụng đường dẫn chuyển mạch nhãn LSP giữa các bộ định tuyến PE để chuyển tiếp các gói tin IP theo giá trị nhãn gắn vào chúng. Hình 2.9: Sử dụng nhãn để chuyển tiếp gói tin VPN Trong phương pháp này, gói tin của người dùng được gắn một nhãn đăng kí cho bộ định tuyến PE đầu ra. Các bộ định tuyến lõi không cần biết địa chỉ IP của người dùng, và chỉ có gói tin nào được gắn nhãn sẽ được chuyển đến bộ định tuyến PE đầu ra. Các bộ định tuyến lõi chỉ thực hiện các hoạt động chuyển tiếp và phân phối gói tin người dùng đến bộ định tuyến PE đầu ra. Tuy nhiên tại các bộ định tuyến PE đầu ra, các gói tin IP của người dùng không có thông tin nào về VPN hay VRF để bộ định tuyến có thể thực hiện kiểm tra VRF, nên gói tin IP có thể bị mất đi. Một phương pháp tối ưu hơn có thể được lựa chọn để chuyển tiếp các gói tin là sử dụng ngăn xếp nhãn. Hình 2.10: Mô hình sử dụng ngăn xếp nhãn để chuyển tiếp gói tin VPN Ngăn xếp nhãn MPLS được sử dụng để chỉ thị cho bộ định tuyến PE đầu ra biết phải làm gì với gói tin VPN. Ngăn xếp nhãn bao gồm hai nhãn xếp chồng lên nhau gọi là nhãn bên trong (Inner Label) và nhãn bên ngoài (Outer Label). Khi gói tin IP đi vào bộ định tuyến PE đầu vào gán hai nhãn này vào gói tin IP. Nhãn trên cùng nằm trong ngăn xếp là của đường dẫn chuyển mạch nhãn. Đảm bảo cho gói tin được truyền qua mạng MPLS-VPN đường trục đến bộ định tuyến PE đầu ra. MPLS sử dụng nhãn ngoài để chuyển tiếp gói tin từ bộ định tuyến PE đầu vào qua mạng lõi. Ở mỗi bộ định tuyến P được sử dụng để chuyển tiếp gói tin, đó chính là chỉ số trong bảng chuyển tiếp của bộ định tuyến. Các bộ định tuyến P chuyển tiếp gói tin dọc theo LSP theo phương pháp hoán đổi nhãn và không bao giờ kiểm tra nhãn bên trong hoặc địa chỉ IP của gói tin. Khi gói tin đến PE đầu ra, bộ định tuyến này thực hiện việc tác bỏ nhãn ngoài rồi xử lý thông tin nhãn bên trong. Nhãn trong là nhãn được bộ định tuyến PE đăng kí cho mỗi VRF và PE sẽ sử dụng nó để quyết định VRF nào mà gói tin thuộc về nó. Nhãn trong quyết định CE nào gói tin sẽ được gửi đến. Bộ định tuyến PE đầu ra thực hiện tìm kiếm trong bảng chuyển tiếp VRF sử dụng địa chỉ IP đích của gói tin. Sau đó nó chuyển tiếp gói tin IP không nhãn đến site người dùng thích hợp. Ngay cả nhãn bên trong được liên lạc giữa các PE trong các bản tin cập nhật mở rộng MP-IBGP. Nhãn thứ hai trong ngăn xếp nhãn còn được sử dụng để chỉ trực tiếp để giao diện đầu ra tới người dùng. Trong trường hợp này bộ định tuyến PE đầu ra chỉ thực hiện kiểm tra nhãn trên gói tin VPN. Trường hợp thường được sử dùng khi bộ định tuyến CE là bước kế tiếp của tuyến VPN và nhãn này có thể chỉ đến một VRF đơn nhất. Bộ định tuyến PE đầu ra thức hiện kiểm tra nhãn trước để tìm được VRF đích, sau đó mới thực hiện kiểm tra địa chỉ IP trong VRF. 2.4.4 Hoạt động gói tin VPN dọc mạng backbone MPLS Với các Router người dùng được truyền dọc mạng Backbone MPLS-VPN, tất cả các Router đều tham gia vào chuyển tiếp dữ liệu người dùng. Lưu lượng người dùng giữa các Router CE và Router PE luôn luôn được gửi đi là gói tin IP, đáp ứng được yêu cầu là Router CE chạy các giao thức định tuyến IP chuẩn và không tham gia vào MPLS-VPN. Trong phương pháp này, để chuyển tiếp gói tin dọc mạng Backbone MPLS-VPN, Router PE chỉ phải chuyển gói tin IP nhận được từ Router người dùng đến các Router PE khác. Đây là giải pháp không thể thực hiện được bởi vì Router P không có biết gì về các Router của người dùng, và do đó không thể chuyển tiếp gói tin IP của người dùng. Phương pháp được xác định tốt hơn là sử dụng đường hầm chuyển mạch nhãn MPLS, dùng LSP giữa các Router PE. Trong phương pháp này, gói tin IP của ngươi dùng được gán vào một nhãn được đăng kí cho Egress Router PE. Các Router lõi không bao giờ thấy gói tin IP của người dùng, chỉ có gói tin nào được gán nhãn sẽ được chuyển đến Egress Router PE. Các Router lõi chỉ thực hiện các hoạt động chuyển mạch đơn giản, cuối cùng phân phối gói tin người dùng đến Egress Router PE. Nhưng tại đây, gói tin IP của người dùng không có thông tin nào về VPN hoặc là VRF để thực hiện kiểm tra VRF trên Egress Router PE. Egress PE không biết VRF nào sử dụng cho hoạt động kiểm tra IP và do đó nó sẽ đánh rơi gói tin. Chồng nhãn MPLS có thể được sử dụng để chỉ thị cho Egress Router PE biết phải làm gì với gói tin VPN. Chồng nhãn bao gồm hai nhãn xếp chồng lên nhau gọi là nhãn bên trong và nhãn bên ngoài. Khi sử dụng chồng nhãn, Ingress Router PE gán nhãn vào gói tin IP với hai nhãn đó. Nhãn trên cùng của chồng nhãn là nhãn bên ngoài, đây là nhãn cho Egress Router PE, nhãn này sẽ đảm bảo gói tin được truyền qua mạng MPLS-VPN Backbone và đến ở Egress Router PE. MPLS sử dụng nhãn bên ngoài để chuyển tiếp gói tin từ Ingress PE thông qua mạng lõi MPLS. Ở mỗi Router P, MPLS loại bỏ nhãn bên ngoài từ gói tin. Nhãn này chính là index trong bảng chuyển tiếp của Router P. Từ đó nó quyết định next-hop dọc LSP và nhãn khác. Ở Router PE Egress, MPLS lấy nhãn bên ngoài ra, sau đó mới đến nhãn bên trong. Nhãn bên trong quyết định CE nào gói tin sẽ gửi đến. Router P không bao giờ kiểm tra nhãn bên trong hoặc địa chỉ đích IP của gói tin. Nhãn thứ hai trong chồng nhãn, nhãn bên trong, là nhãn được Router PE đăng kí cho mỗi VRF. Khi một gói tin MPLS đến ở Egress PE, Egress Router đó sử dụng nhãn phía trong để quyết định VRF nào mà gói tin thuộc về Router CE nào. Mặc định, Egress PE thực hiện tìm kiếm IP trong bảng chuyển tiếp của VRF sử dụng địa chỉ IP đích trong gói tin IP được đóng gói trong gói MPLS. Egress PE sau đó chuyển tiếp gói IP đến site người dùng thích hợp. Bản thân các nhãn bên trong được liên lạc giữa các PE trong các bản tin cập nhật mở rộng MP-IBGP. Nhãn thứ hai trong chồng nhãn có thể chỉ trực tiếp đến Interface ngõ ra, trong trường hợp này Egress Router PE chỉ thực hiện kiểm tra nhãn trên gói tin VPN. Tình huống này thường được dùng khi Router CE là nút tiếp theo của VPN Route. Và nhãn này có thể chỉ đến một VRF, Egress Router PE thực hiện kiểm tra nhãn trước để tìm được VRF đích, sau đó mới thực hiện kiểm tra IP trong VRF. Router P thực hiện chuyển mạch nhãn dựa trên nhãn LDP được đăng kí chuyển đến Egress Router PE. Egress Router PE thực hiện chuyển mạch nhãn trên nhãn bên trong chồng nhãn và sau đó, hoặc là chuyển tiếp gói tin IP đến Router CE hoặc là thực hiện kiểm tra IP trong VRF do nhãn bên trong chỉ ra. Router P cuối cùng thực hiện lấy nhãn ở đỉnh ra khỏi chồng nhãn trên Router đứng trước Egress Router PE. Router đó là Router P cuối cùng trong đường dẫn chuyển mạch nhãn, Router này sẽ lấy nhãn phía ngoài trong chồng nhãn ra, Router PE nhận được gói tin chỉ còn một nhãn là nhãn Inner (nhãn VPN). Trong hầu hết các trường hợp, một lần kiểm tra nhãn được thực hiện trên gói tin đó ở Egress Router PE cũng đủ thông tin để chuyển gói tin đến Router CE, kết quả làm cho quá trình kiểm tra trở nên nhanh hơn và đơn giản hơn. Còn việc kiểm tra IP đầy đủ thông qua FIB được thực hiện chỉ một lần ở Ingress Router PE. Gói tin IP được nhận trên Interface của Router PE. Interface này được cấu hình với VPN/ID. BGP ánh xạ nhãn đến các Route VPN. Sau đó giao thức phân phối giao thức phân phối nhãn LSP sẽ ánh xạ đến các Router IGP 2.4.5 Truyền nhãn trên mạng riêng ảo VPN Nhãn Inner được đăng kí bởi Egress Router PE. Nhãn này được truyền đi giữa các Router PE để có thể chuyển tiếp gói tin thông qua các phiên làm việc của MP-IBGP. Do đó mỗi lần cập nhật MP-IBGP mang nhãn được đăng kí bởi Egress Router PE cùng với địa chỉ IP với đia chỉ VPN có độ dài 96 bits (prefix VPNv4). Egress Router PE đăng kí một nhãn đến mỗi VPN Route nhận được từ các Router CE kết nối vào nó và đăng kí nhãn đến chức năng tóm tắt thông tin định tuyến được trong Router PE. Nhãn này sau đó được Ingress Router PE sử dụng như là nhãn bên trong trong chồng nhãn MPLS khi nó gãn nhãn cho các gói tin VPN. Các nhãn VPN được đăng kí bởi Egress Router PE được quảng bá đến tất cả Router PE khác cùng với prefix VPNv4 trong các cập nhật MP-IBGP. Các Route có một nhãn ngõ vào mà không có nhãn ngõ ra là các Route được nhận từ Router CE. Các Route mà có nhãn ngõ ra nhưng không có nhãn ngõ vào là các Route được nhận từ Router PE khác. Ingress Router PE có hai nhãn liên quan với Route VPN đầu xa một nhãn dành cho BGP next-hop được đăng kí bởi Router P kế tiếp thông qua LDP và nhãn được đăng kí bởi Router PE đầu xa và được truyền đi thông qua các cập nhật MP-IBGP. Cả hai nhãn được kết hợp trong chồng nhãn và được đưa vào bảng VRF. Do đó nhãn bên ngoài còn được gọi là nhãn ngõ vào. 2.4.6 Các phương pháp để Router PE giao tiếp với nhau thông qua Router CE Để cung cấp dịch vụ VPN, Router PE cần được cấu hình để bất kì thông tin định tuyến nào được học từ Interface người dùng VPN có thể được liên kết với một VRF nào đó. Điều này có thể được thực hiện thông qua tiến trình giao thức định tuyến chuẩn, tiến trình này được gọi là Routing context. Mỗi VRF sử dụng một Routing context riêng. Bất kì Route nào được học dọc Interface liên kết với một Routing context nào đó sẽ được nhập vào bảng VRF tương ứng. Nhưng với những Route không phải thuộc về Routing context VRF nào sẽ được đặt vào bảng định tuyến global. Điều này cho phép sự cách ly thông tin định tuyến thành những context khác nhau ngay cả nếu thông tin đó được học bởi cùng một tiến trình giao thức định tuyến. Tạo ra các giao thức định tuyến thích hợp cho từng VPN một cách hiệu quả. Trong trường hợp thiết bị CE là host hoặc là switch, địa chỉ này thường được cấu hình trên Router PE mà thiết bị đó kết nối vào. Nhưng trong trường hợp thiết bị CE là Router, thì có nhiều cách để Router PE có thể học được các địa chỉ từ Router CE. Router PE chuyển những địa chỉ này thành địa chỉ VPNv4 bằng cách sử dụng phân biệt tuyến (RD). Các Route VPNv4 phải được quảng bá dọc phiên MP-BGP đến Router PE khác. Điều này xảy ra khi Routing context phải được cấu hình trong tiến trình BGP để thông báo cho BGP biết Route VRF nào quảng bá. Kết nối trên CE và PE có thể thực hiện thông qua định tuyến tĩnh hoặc định tuyến động (OSPF, EBGP, RIPv2, EIGRP) để Router PE có thể học được các Route của người dùng và đặt vào bảng VRF tương ứng. Mỗi Routing context của người dùng nào đó có thể chạy những giao thức định tuyến khác nhau. 2.5 Khả năng mở rộng và các mô hình MPLS-VPN nâng cao Để cung cấp dịch vụ mạng riêng ảo dựa trên khối kiến trúc MPLS, MPLS phải đáp ứng đựơc yêu cầu cung cấp dịch vụ cho người dùng ở nhiều nơi khác nhau. Nó phải có khả năng truyền thông tin định tuyến từ người dùng này dọc mạng Backbone để quảng bá cho site người dùng khác cũng thuộc về cùng một VPN. Để đạt được điều này thì phiên MP-IBGP phải được thiết lập giữa các Router PE. Rõ ràng đây là mô hình Full-mesh giữa các phiên MP-IBGP. Trong overlay VPN cũng tương tự như vậy. Nhưng mô hình Full-mesh hoàn toàn không có khả năng mở rộng vì số lượng phiên MP-IBGP là rất lớn, và càng tăng lên khi số lượng người dùng VPN tăng lên. Và khi có một Router mới được thêm vào mạng Backbone của nhà cung cấp thì láng giềng BGP mới này phải thêm vào cấu hình BGP lõi trên tất cả các Router chạy BGP đã tồn tại trước đó để duy trì mô hình full-mesh. Đối với mạng có n Router thì kết nối trong mạng là n(n-1)/2 kết nối. Số lượng phiên BGP phụ thuộc vào nhiều nhân tố, mà nhân tố chính là bộ nhớ trong Router và tốc độ của CPU. Thực sự thì mô hình Full-mesh có thể vẫn được triển khai trong những mạng có kích thước khá nhỏ vì bộ nhớ và CPU của Router có thể đáp ứng được số lượng phiên MP-IBGP. Nhưng khi quan tâm đến vấn đề mở rộng mạng thì ta không nên sử dụng mô hình Full-mesh. Trong MPLS-VPN sử dụng các kĩ thuật đã có sẵn trong BGP-4 để triển khai mô hình mạng riêng ảo đảm bảo được khả năng mở rộng là sử dụng tuyến phản xạ (Route reflector) và confederation. Tuyến phản xạ và confederation trong MPLS-VPN hoạt động giống như trong BGP-4. Chính nhờ vào hai khả năng trên mà nhà cung cấp có thể triển khai nhiều mô hình MPLS-VPN phức tạp. Mô hình mạng MPLS-VPN mà ta đã thảo luận từ trước đến nay chỉ dành cho các site VPN người dùng kết nối đến cùng một nhà cung cấp dịch vụ dọc kết nối giữa PE và CE, việc trao đổi thông tin định tuyến dọc những liên kết này không cần có sự tham gia của MPLS, cũng như không có sự trao đổi trực tiếp nào giữa các site người dùng. Trong trường hợp này, Router PE duy trì toàn bộ quá trình điều khiển giữa các site với nhau thông qua sự cách ly giữa các VPN. Trong phần sau ta đi sâu vào thảo luận các mô hình MPLS-VPN phức tạp hơn, mô hình này cho phép trao đổi thông tin nhãn và các gói tin có gắn nhãn đến từ các thiết bị nằm ngoài sự điều khiển của nhà cung cấp dịch vụ. 2.5.1 Hệ thống tự trị MPLS-VPN Hệ thống tự trị (Autonomous system) là một mạng hoặc một nhóm nhiều mạng chia sẽ cùng một chính sách và hoạt động trong một miền nhất định. AS được điều khiển bởi nhà quản trị hệ thống. Khi dịch vụ MPLS-VPN lớp 3 đã trở nên phổ biến hơn, lúc này nó cần phải hỗ trợ kết nối nhiều hệ tự trị khác nhau. Người dùng là doanh nghiệp lớn thường là sử dụng mô hình AS-Multihomed, vì vị trí địa lý khác nhau, rất khó đạt được kết nối VPN đầy đủ qua một nhà cung cấp dịch vụ. Ngay cả nếu kết nối đó có thể đạt được thì trong mô hình mạng này cũng có thể bị chia ra thành nhiều AS nhỏ hơn. Do đó, dịch vụ MPLS VPN lớp 3 cần phải được mở rộng ra ngoài một AS. Cho phép một VPN đi qua nhiều mạng Backbone của nhiều nhà cung cấp dịch vụ. Mỗi nhà cung cấp dịch vụ, quản trị mỗi AS khác nhau, có thể đáp ứng dịch vụ MPLS-VPN cho cùng một người dùng đầu cuối. Một VPN có thể bắt đầu ở một site người dùng và di duyển qua nhiều mạng Backbone của nhà cung cấp dịch vụ khác nhau trước khi đến site khác của cùng người dùng đó. Đặc điểm này cho phép nhiều AS thành lập một mạng liên tục giữa các site người dùng với của một nhà cung cấp. Cho phép một VPN tồn tại trong nhiều vùng khác nhau. Một nhà cung cấp dịch vụ có thể tạo ra VPN trong nhiều vùng địa lý khác nhau. Và việc có tất cả lưu lượng VPN chảy qua một điểm giữa các vùng cho phép điều khiển tốc độ lưu lượng mạng tốt hơn giữa các vùng đó. Sử dụng Confederation để tối ưu IBGP meshing, đáp ứng khả năng mở rộng. Mô hình hệ thống tự trị được chia ra thành 2 kết nối như sau: Kết nối giữa các nhà cung cấp với nhau Kết nối giữa các AS với nhau 2.5.2 Nhà cung cấp dịch vụ hạ tầng Từ những ưu điểm của công nghệ MPLS-VPN và cộng với sự phát triển, mở rộng mạng ra nhiều vùng địa lý khác nhau. Nhiều doanh nghiệp lớn, doanh nghiệp trung bình, nhiều nhà cung cấp dịch vụ MPLS-VPN nhỏ hơn, và nhiều nhà cung cấp dịch vụ Internet đã nhận thấy rằng khi kết nối vào mạng Backbone MPLS-VPN họ có thể tránh được việc phải xây dựng cơ sở hạ tầng lớp 2 cho mạng của mình. Thay vào đó sử dụng mạng Backbone của nhà cung cấp MPLS-VPN để kết nối các site lại với nhau. Ngoài vấn đề giảm thiểu được chi phí thì mỗi site có thể kết nối đến toàn bộ các site ngang cấp với nó. Do đó sẽ cung cấp được định tuyến tối ưu nhất. Điều này có nghĩa là để cho phép tất cả các người dùng như vậy truy cập vào mạng MPLS-VPN Backbone thì mạng Backbone phải có khả năng mang một số lượng cực kì lớn thông tin định tuyến cho mỗi cá nhân người dùng. Các nhà cung cấp dịch vụ Internet hầu như cần phải trao đổi một phần, nếu không nói là toàn bộ, bảng định tuyến Internet giữa các site của họ để người dùng của họ có thể truy cập được Internet. Việc truy cập đến những người dùng này gây ra vấn đề khó khăn khi mở rộng, vì mỗi Router PE phải duy trì tất cả thông tin định tuyến nội bộ trong một VRF. Thông tin định tuyến này sau đó được phân phối đến tất cả các Router PE có liên quan, lúc đó Router CE hoàn toàn có thể đạt được thông tin định tuyến thích hợp. Để giải quyết vấn đề mở rộng trong trường hợp trên, một giải pháp mới được mở rộng ra từ MPLS-VPN chuẩn, được gọi là hỗ trợ hạ tầng thiết bị cho nhau. Các nhà cung cấp dịch vụ được sử dụng hạ tầng thiết bị của nhà cung cấp dịch vụ khác được gọi là nhà cung cấp dịch vụ người dùng. Hỗ trợ dịch vụ hạ tầng sử dụng để mô tả một tình huống khi một nhà cung cấp dịch vụ cho phép nhà cung cấp dịch vụ khác sử dụng một phần trong mạng Backbo

Các file đính kèm theo tài liệu này:

  • docDo An Tot Nghiep.doc