intTypePromotion=1
zunia.vn Tuyển sinh 2024 dành cho Gen-Z zunia.vn zunia.vn
ADSENSE
 » 
 » 

Lý thuyết cơ bản về Chuyển mạch nhãn đa giao thức MPLS: Phần 2

Chia sẻ: Na Na | Ngày: | Loại File: PDF | Số trang:123

Thêm vào BST
Báo xấu
131
lượt xem 40
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Tài liệu Chuyển mạch nhãn đa giao thức MPLS: Phần 2 trình bày mạng riêng ảo, xây dựng mạng đường trục MPLS, mạng quang, GMPLS và MPXS, mô phỏng hoạt động mạng MPLS và Diffserv. Đây là Tài liệu dành cho sinh viên ngành Công nghệ thông tin. Mời bạn đọc tham khảo.

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Lý thuyết cơ bản về Chuyển mạch nhãn đa giao thức MPLS: Phần 2

  1. C H f ƠNG 6 : MẠNG RIÊIVG Ả o Trong chuofng này ta tìm hiểu cách thức mà MPLS hỗ trợ cho việc xây dựng một mạng riêng ảo (Virtual Private Networks). Thật ra có nhiều giải pháp dùng MPLS xây dựng mạng riêng ảo và tất cả các giải pháp này chi có một điểm chung duy nhất là sử dụng kỹ thuật chuyển mạch nhãn MPLS. ở đây chúng ta chì xém xét một giải pháp có tên gọi BGP/MPLS VPN. Từ tên gọi cho thấy mô hình mạng riêng ảo này là sự kết hợp hai kỹ thuật BGP và MPLS. Chúng ta tìm hiểu các thành phần liên quan, bao gồm cả mặt chất lưọfng dịch vụ và bảo mật. Có hai lý do cho việc lựa chọn giao thức định tuyến BGP: • Số lượng đường định tuyến trong một VPN sẽ rất lớn và BGP là giao thức định tuyến duy nhất có thể phục vụ cho một số lượng lớn đường định tuyến. • BGP, EIGRP, IS-IS là những giao thức định tuyến duy nhất có thể hoạt động với nhiều hình thức địa chi khác nhau. Tuy nhiên, IS-IS và EIGRP không có khả năng phục vụ một số lượng đường định tuyến lớn như giao thức BGP. Ngoài ra, BGP con được thiết kế thực hiện trao đổi thông tin giữa những bộ định tuyến không kết nổi trực tiếp với nhau. Tuy nhiên phần trình bày dưói đây không đề cập chi tiết tất cả những thành phần, chẳng hạn như bộ phận Quản lý dịch vụ VPN (VPN Service Management) là một thành phần quan ừọng nhưng không đề cập đến ở đây. 6.1. N H Ư T H É NÀO LÀ M ẠNG RIÊN G Ả - VPN? o Hiện nay một công ty có thể có rất nhiều chi nhánh ở những vùng khác nhau. Vì thế cần có một mạng để kết nối tất cả các máy tính ở những chi nhánh này. Mạng riêng ở đây có nghĩa là mạng chi thuộc quyền sử dụng cùa riêng công ty này cũng như việc định tuyến, cách đánh địa chi trong mạng hoàn toàn độc lập với các mạng khác. Mạng “ảo” ờ đây có nghĩa là cơ sở hạ tầng mạng không phải thuộc riêng về một công ty, nó được sử dụng chung với những công ty khác và hạ tầng mạng này thuộc quyền sờ hữu của một nhà cung cấp, được gọi là nhà cung cấp dịch vụ mạng riêng ảo (VPN Service Provider). Và công ty đăng ký sử dụng dịch vụ mạng riêng ảo với nhà cung cấp được gọi là khách hàng (VPN Customer). Như vậy khi sử dụng mạng riêng ảo, một công ty có thể có được một mạng riêng liên kết tất cả các chi nhánh ở những địa điểm cách xa nhau, được gọi là những khu vực (site ) của một VPN, mà không tốn chi phí cho một cơ sờ hạ tầng mạng. Hai mô hình mạng VPN chính là: mô hình VPN chồng lấp (overlay VPN) và VPN ngang cấp (peer-to-peer VPN). Tiếp theo chúng ta sẽ xem xét đến hai mô hình mạng riêng ảo này.
  2. 174 Chuyển mạch nhãn đa giao thức MPLS 6.2. M Ô HÌN H CHÒNG LÁP Vào thời điểm hiện tại, kỹ thuật thông dụng nhất để cung cấp dịch vụ mạng riêng ảo VPN đều dựa vào mô hình mạng chồng lấp (overlay model). Trong mô hình mạng này, mỗi khu vực (site ) có một bộ định tuyến (router) kết nối điểm-đifcĩi vód các bộ định tuyến của những khu vực khác trong cùng một mạng riêng ảo. Tuy nhiên một khu vực có thể có nhiều hơn’một bộ định tuyến, các bộ định tuyến này liên kết vói tất cả những khu vực còn lại hay chỉ liên kết với một số khu vực. Kỹ thuật được sử dụng để cung cấp những liên kết điểm- điểm này có thể là những đưÒTig kênh thuê riêng (leased lines), Frame Relay hoặc ATM. Tat cả các bộ định tuyến và những liên kết điểm-điểm kết nối các bọ định tuyến họp thành một đường trục (backbone) ảo. Như vậy đưÒTig trục ảo chính là cơ sở hạ tầng cung cấp liên kết giữa các khu vực. Mô hình mạng chồng lấp có thể thấy rõ qua ví dụ sau. H ình 6.1: Mô hĩnh mạng chồng lấp. VPN A/Site 2 VPN B/Site 2 VPN A/Site 1 VPN B /Site 3 Trên hình 6.1 là hai mạng riêng ảo VPN A và VPN B. Mạng VPN A có ba khu vực lần lượt: khu vực 1 (site 1), khu vực 2 (site 2), khu vực 3 (site 3). Router R ai ở khu vực 1 liên kết với R a 2 ở khu vực 2 và R a 3 ở khu vực 3 bằng mạng Frame Relay hoặc ATM. Tương tự như vậy, R b2 kết nối với R bi và Rb3 - Những kết nối ATM hoặc Frame Relay được cung
  3. Chương 6: Mạng riêng ảo 175 cấp bời nhà cung cấp dịch vụ mạng riêng ảo. Hình elip ờ giữa tượng trưng cho mạng lõi của nhà cung cấp. Mạng VPN B cũng có ba khu vực riêng biệt: khu vực 1, khu vực 2 và khu vực 3. Nhưng khu vực 1 có không phải một mà hai bộ định tuyến (router): R'bi và R^BI- Hai bộ định tuyến này đều kết nối với Rb2 và Rb 3 - Như hình vẽ ta thấy, Rb2 và Rb3 muốn thông tin với nhau đều phải thông qua R'bi hoặc R^I- Việc sử dụng hai bộ định tuyến (router) ở khu vực là do; nếu chỉ sử dụng một bộ định tuyến thì khi bộ định tuyến này xảy ra sự cố VPN này sẽ hoàn toàn bị tê liệt, các khu vực trong mạng không thể liên lạc được với nhau. Chú ý rằng, trong ví dụ này, cách đánh địa chỉ ở VPN A và VPN B hoàn toàn giống nhau nhưng giao thức định tuyến IP sử dụng thì khác nhau. Ví dụ VPN A sử dụng giao thức OSPF còn VPN B sử dụng giao thức RIP. Mặc dù mạng riêng ảo VPN hiện nay vẫn chủ yếu được xây dựng trên mô hình chồng lấp (overlay) nhưng giải pháp này đã hạn chế rất nhiều việc triển khai dịch vụ VPN trên quy mô lớn. Có nhiều nguyên nhân dẫn đến nhược điểm này. Nguyên nhân thứ nhất là do yêu cầu được đặt ra cho mỗi khách hàng muốn sử dụng dịch vụ VPN phải tự xây dựng một đưòmg trục (backbone) ảo cho sự hoạt động của mạng. Yêu cầu này đòi hỏi một sự hiểu biết nhất định về định tuyến IP, dẫn đến có ít công ty có thể đăng ký sử dụng loại hình mạng riêng ảo. Thêm vào đó, yêu cầu chất lượng dịch vụ được kỹ thuật ATM và Frame Relay cung cấp nên các thông số lìày thuộc về sự xử lý của lóp 2. Trong khi đó chất lượng dịch vụ dành cho lưu lượng được quyẹt định bởi các bộ định tuyến đường trục (backbone router) hoạt động dưói sự kiểm soát của các khách hàng VPN (VPN customer). Vì thế yêu cầu phải có quá trình ánh xạ chất lượng dịch vụ ở lớp IP sang .chất lượng dịch vụ của mạng Frame Relay và ATM. Để giải quyết vấn đề này những nhà cung cấp dịch vụ mạng riêng ảo giới thiệu một dịch vụ mới có tên “managed router”. Trong đó nhà cung cấp dịch vụ sẽ xây dựng và đưa vào hoạt động một đưÒTig trục (backbone) ảo cho mỗi khách hàng. Tuy nhiên nếu như số lượng khách hàng lên đến 100.000 thì nhà cung cấp dịch vụ phải xây dựng và đưa vào hoạt động 100.000 đưcmg ttục (backbone) ảo khác nhau. Điều này đòi hỏi rất nhiều sự đầu tư từ nhà cung cấp dịch vụ vì sự xây dựng và đưa vào hoạt động một VPN không phải là một công việc đơn giản. Tuy nhiên không có khả năng phục vụ một số lượng lón khách hàng không phải là nhược điểm duy nhất của mô hình này. Nhược điểm thứ hai tưoTig tự như nhược điểm của mô hình mạng tích hợp IP/ATM overlay đã được trình bày ở Chương 1. Khi một VPN có hình thức kết nổi như VPN A, nếu sổ lượng khu vực của VPN này quá lớn, từ 1000 ư ở lên, số lượng đường kết nối trong mạng sẽ rất phức tạp. M ột vấn đề nữa của mô hình mạng này là số lượng cấu hình phải thay đổi khi thêm vào VPN một khu vực mới. Đúng vậy, khi mở rộng quy mô mạng, những khu vực mới phải thiết lập kết nối với tất cả những khu vực còn lai trong mạng. M ột biển thể khác của mô hình mạng chồng lấp (overlay) là mô hình mạng trong đó các nhà cung cấp dịch vụ triển khai các bộ định tuyến có khả năng hoạt động như những bộ định tuyến ảo. Trong trường họp này, một bộ định tuyến hoạt động như một tập họp các bộ định tuyến ảo. M ột bộ định tuyến ảo có chức năiig tương đương một bộ định tuyến bình thường, ngoại trừ việc nó có thể chia sẻ CPU, băng thông, bộ nhớ với những bộ định tuyến ảo khác. Một bộ định tuyến ảo kết nối điểm-điểm vói các bộ định tuyến ảo khác. Mỗi khu
  4. 176 Chuyển mạch nhãa đa giao thức MPLS vực sẽ có một bộ định tuyến kết nối với một bộ định tuyến ảo xác định. Vì thể trong trưÒTig hợp này, đưòtig ttục ảo bao gồm những bộ định tuyến ảo và các đưÒTig liên kết giữa chúng. Việc sử dụng bộ định tuyến ảo sẽ giảm số lượng các thiết bị vật lý mà một nhà cung cấp dịch vụ phải quản lý. Lý do của ưu điểm này là do một bộ định tuyến có thể hoạt động như nhiều bộ định tuyến ảo, ừong khi đó một bộ định tuyến ảo lại phục vụ cho một VPN xác định. Tuy nhiên sử dụng bộ định tuyến ảo vẫn không khắc phục được những hạn chế của mô hình chồng lấp mà chúng ta đã đề cập ở tìrên. Cũng không có gì ngạc nhiên bởi vì thật ra sử dụng những bộ định tuyến ảo vẫn không làm thay đổi cấu hình mạng. Đó chỉ là sự thay thế những bộ định tuyến vật lý bằng những bộ định tuyến ảo mà thôi. Ngoài hình thức sử dụng đường leased line. Frame Relay, ATM có thể sử dụng GRE và IPSec để liên kết các bộ định tuyến. Tuy nhiên cả hai loại này đều chỉ thực hiện kết nối điểm-điểm giữa các router và không thay đổi cấu hình mạng. Vì thế, VPN này sẽ thừa hưởng tất cả những nhược điểm của mô hình chồng lấp đồng thời cũng sinh ra một số vấn đề cần phải giải quyết khác. Khi sử dụng đường hầm GRE để gửi gói dữ liệu đến một địa chỉ EP là điểm kết cuối đường hầm, có thể xảy ra hiện tượng các gói dữ liệu được đưa vào VPN và được gửi đi bởi bất kỳ bộ định tuyến nào, không chỉ là router tại đầu đưÒTig hầm. Giải pháp cho vấn đề này là sử dụng các bộ lọc gói nhưng cấu hình sẽ phức tạp. Giải pháp thứ hai là sử dụng đường hầm IPSec. Với IPSec, đầu kết cuối của đường hầm có thể nhận thực người gửi, vì thế chỉ có những gói dữ liệu thật sự do đầu gửi tạo ra mới được nhận và các gói dữ liệu khác sẽ bị loại bỏ. M ột điều cần lưu ý là việc sử dụng đường hầm IPSec là phương tiện kết nối các router được quản lý bởi các nhà cung cấp dịch vụ thật sự không mang lại sự bảo mật dữ liệu cho các khách hàng. Nguyên nhân là do các nhà cung cấp dịch vụ là ngưòd kiểm soát khoá IPSec (IPSec key). về mặt chất lượng dịch vụ, đường hầm G E và IPSec hỗ trợ tốt nhất cho mô hình R dịch vụ phân biệt (Differentiated Services). Tuy nhiên không khẳng định được rằng cung cấp chất lưọng dịch vụ bằng mô hình này thật sự không thích hợp với những khách hàng khi họ đã quen sự hỗ trợ chất lượng dịch vụ bằng kỹ thuật Frame Relay, ATM hay các đường leased line. Một điểm mới của việc sử dụng đường hầm GRE và IPSec là khả năng kết nối VPN vào mạng Internet. Tuy nhiên theo tạp chí W ữed Magazine, tháng 2.1998: “Ý txrờng xây dựng một mạng riêng trên cơ sở hạ tầng Inttenet bằng cách tạo ra đưòmg hầm hay mã hoá thật sự sẽ tốn ít chi phí hơn. Tuy nhiên hoạt động của nó giống như thể bạn ấn bông gòii vào tai tại quảng trưòmg Times và giả vờ như không có ai ở xung quanh”. Nói tóm tại, mô hình chồng lấp rất hạn chế việc triển khai dịch vụ dịch vụ mạng riêng ảo ttên quy mô lớn. 6 3 . M Ô H ÌN H NGANG CÁ P Trong toàn bộ phần trình bày sau đây chúng ta sẽ đề cập đến một mô hình mạng khác cho việc xây dựng mạng riêng ảo VPN, đó là mô hình ngang cấp (peer-to-peer model). Mục tiêu chính của mô hình này là khắc phục những hạn chế của mô hình chồng lấp. Đặc biệt mô hình này cho phép các nhà cung cấp dịch vụ mạng riêng ảo cung cấp dịch vụ trên quy mô lớn (với số lượng lên đển hàng ngàn, hàng triệu mạng riêng ảo), trong đó không
  5. Chưomg 6: Mạng riêng ảo 177 yêu cầu khách hàng phải hiểu biết nhiều về định tuyến IP, đồng thòi hỗ ttợ nhiều loại hình VPN khác nhau, từ VPN có quy mô nhỏ chỉ có vài khu vực đến những VPN quy mô lớn có đến hàng trăm, thậm chí hàng ngàn khu vực. Mô hình này cũng nhằm giữ chi phí cung cấp dịch vụ VPN ờ mức thấp. Những kỹ thuật chính của mô hình này: • Phân bố ràng buộc thông tin định tuyến (Constrained Distribution of routing information). • Bảng đa chuyển tiếp (Multiple Forwarding Tables). • Sử dụng hình thức địa chi mới VPN-IP. • MPLS. Trong những phần sau chúng ta sẽ tìm hiểu về những kỹ thuật này, kết họp với nhau tạo nên một giải pháp cho việc xây dựng mạng riêng ảo đáp ứng được những mục tiêu đã được đề cập ở trên. Trên hình 6.2 là mô hình n g an j cấp (peer-to-peer model). Đám mây ở giữa tưọng trưng cho tập hợp của một hay nhiều nhà cung cấp dịch vụ. Nhimg trước tiên chúng ta nên tìm hiểu về một số khái niệm mới: • Customer Edge (CE) router: đây là bộ định tuyến kết nối một khu vực trong VPN vào hạ tầng cuả nhà cung cấp dịch vụ. • Provider Edge (PE) router: bộ định tuyển thuộc mạng lõi của nhiều nhà cung cấp dịch vụ kết nối với bộ định tuyến CE (CE router). • Provider (P) router: bộ định tuyến nằm trong mạng lõi cùa nhà cung cấp dịch vụ. H ình 6.2: Mô hình mạng BGP/MPLS VPN [1]. VPN A/Sỉte 2 VPN B/Site 1 VPN A/Site 3
  6. 178 Chuyển mạch nhãn đa giao thức MPLS Trên hình vẽ cho thấy, mạng VPN A có ba khu vực, mỗi khu vực có một bộ định tuyến CE (CE router). Trong khi đó, ờ khu vực 1 cùa VPN B có hai bộ định tuyển CE, khu vực 2 và khu vực 3 mỗi khu vực có một bộ định tuyến CE. Trong mạng lõi cùa nhà cung cấp dịch vụ, một bộ định tuyến PE có thể kết nối với các bộ định tuyến CE thuộc những VPN khác nhau. Hơn nữa, các VPN khác nhau có thể sử dụng địa chi giống nhau. Như ứong ví dụ toên, PE 2 kết nối vód CE'bi, CEa 2 , CEb2 - Thêm vào đó cả khu vực 2 của VPN A và khu vực 3 của VPN B đều có chung địa chi EP 10.2/16 cho tất cả những vị trí ừong khu vực. Không chỉ thế một khu vực có thể kết nối với nhiều hơn một bộ định tuyến PE. Ví dụ khu vực 1 cuả VPN B kết nối với PEi và PE 2 . Mô hình mạng như hình 6.2 được gọi là mô hình ngang £ấp (peer-to-peer model) bởi vì, đứng trên quan điểm về định tuyến, bộ định tuyến của khách hàng chỉ kết nối trực tiếp vói bộ định tuyến PE của nhà cung cấp. Trái lại với mô hình chồng lấp, các bộ định tuyến của khách hàng kết nối trực tiếp với nhau thông qua kỹ thuật lớp 2 hoặc đường hầm IP được cung cấp bởi nhà cung cấp dịch vụ. 6.4. PHÂN BỐ RÀNG BUỘC THÔNG TIN ĐỊNH TUYẾN Phân bố ràng buộc thông tin định tuyến là kỹ thuật được sử dụng để điều khiển sự kết nối giữa các khu vực trong một VPN. Đây là một kỹ thuật khá cũ đã được sử dụng rộng rãi trong Internet từ những năm cuối thập niên 80 của thế kỷ 20. Khả năng điều khiển được kết nối là do sự kết nối và sự lưu thông dữ liệu được điều khiển bởi các bảng định tuyển lưu trữ trong bộ định tuyến và nội dung của các bảng định tuyến được kiểm soát bời việc ràng buộc lưu lượng của thông tin định tuyến. Để hiểu được cách thức sử dụng kỹ thuật này trong BGP/MPLS VPN trước tiền chúng ta tìm hiểu năm bước của quá trình phân phối thông tin định tuyến: • Bước 1: Thông tin định tuyến đi từ một bộ định tuyến CE đến một bộ định tuyến PE có kết nối trực tiếp với nó. Có nhiều lựa chọn để thực hiện công việc này như giao thức RIP, OSPF, BGP. • Bước 2: Tại bộ định tuyến igress PE, thông tin được nhập vào giao thức BGP của nhà cung cấp. • Bước 3: Thông tin này được phân bổ đến các bộ định tuyến PE trong mạng của nhà cung cấp dịch vụ, sử dụng BGP. • Bước 4: Bước này hoàn toàn trái ngược với bước 2. Tại bộ định tuyến egress PE, thông tin định tuyến được tách ra từ BGP. • Bước 5: Bước này hoàn toàn trái ngược với bước 1. Bộ định tuyến PE gửi thông tin định tuyển đến bộ định tuyến CE và có nhiều giao thức để thực hiện công việc này nhưR IP,O SPF. Để thực hiện phân bố ràng buộc thông tin định tuyến, người ta sử dụng kỹ thuật lọc thông tin định tuyén dựa vào đặc tính BGP Community. Đặc tính này được xem như một nhận dạng dành cho tuyến định tuyến đó. Tại bước 2, bộ định tuyến igress PE ấn định đặc tính BGP Community thích hợp cho tuyến định tuyến trước khi đưa thông tin vào BGP. Tại bước 4, bộ định tuyến egressPE sử dụng đặc tính Community của tuyến để kiểm soát việc tácíi thông tin định tuyến từ BGP. Chú ý rằng, một bộ định tuyến igress PE có thể dùng chỉ một đặc tính Community cho bộ định tuyển CE kết nối trực tiếp với nó, đồng thời bộ định tuyến igress PE này cũng
  7. Chương 6: Mạng riêng ảo 179 có thể ấn định nhiều đặc tính Community. Kỹ thuật này cho phép sự liên kết các khu vực trong một VPN linh động hơn. Điều này cho phép các nhà cung cấp dịch vụ sử dụng chỉ một kỹ thuật chung hỗ trợ cho khách hàng các chính sách liên vùng khác nhau. Như vậy kỹ thuật phân bố ràng buộc thông tin định tuyến được thực hiện ở bước hai và bước bốn. Hon nữa hai bước này được nhà cung cấp dịch vụ xử lý. Vì thế không yêu cầu khách hàng có hiểu biết sâu về định tuyển vẫn được cung cấp dịch vụ mạng riêng ảo VPN. Chúng ta tiếp tục sử dụng hình ảnh đã được trình bày ở phần trước. Trong ví dụ này, chúng ta theo dõi quá trình thông !in định tuyến đi từ khu vực 1 đến khu'vực 3 của VPN A. Đầu tiên là bước 1, giao thức RIP đưa thông tin định tuyến của địa chỉ 10.1/16 từ bộ định tuyến CE của khu vực 1, CEai, đến bộ định tuyến PE kết nối với nó, PE]. ở bước 2, bộ định tuyến igress PE, cũng chính là PEi ấn định đặc tính BGP Community thích hợp cho tuyến định tuyến này và chuyển thông tin vào giao thức BGP của nhà cung cấp. Tại bước 3, thông tin này sẽ di chuyển tới các bộ định tuyến PE khác bằng giao thức BGP. Bước 4, căn cứ vào đặc tính Community, bộ định tuyến egress PE, PE 3 , tiến hành tách thông tin định tuyến ra khỏi BGP. Bước 5, thông tin định tuyến được các giao thức định tuyến như RIP, OSPF, IS­ IS đưa từ PE 3 đến CEa 3 - Sau đây là kỹ thuật mà BGP/MPLS VPN sử dụng để thực hiện kết nối các khu vực trong phạm vi một VPN. Trước hết chúng ta thấy rằng, trong một VPN, các bộ định tuyến CE được kết nối trực tiếp với bộ định tuyến PE và không cần phải nhận những bộ định tuyến CE ờ các khu vực khác. Vì thế, khi có thêm những khu vực mới, bộ định tuyến CE không phải điều chỉnh lại bảng định tuyến cũng như không phải xây dựng những đưòmg kết nối mới. Đặc điểm này cho phép các "nhà cung cấp dịch vụ xây dựng những VPN có quy mô lớn, lên đến hàng trăm đến hàng ngàn khu vực khác nhau trong một VPN. Thứ hai, để thêm vắo một khu vực mới, mở rộng VPN, nhà cung cấp dịch vụ chỉ cần cấu hình lại cho bộ định tuyến PE kết nối vói bộ định tuyến CẸ cùa khu vực mới này. Vì vậy, khối lượng cấu hình thay đổi cần được xử lý trong một VPN không phụ thuộc vào số lượng khu vực có trong VPN đó. Trong khi đó, ờ mô hình chồng lấp, khi thêm vào một khu vực mới, các khu vực khác phải cập nhật thông tin này và thiết lập kết nối vói khu vực này. Cuối cùng, một bộ định tuyến PE chi phải lưu trữ thông tin định tuyến thuộc về những VPN mà các khu vực của nó kết nối trực tiếp với bộ định tuyến PE này. Như trên hình vẽ, PE] chỉ cần lưu giữ những đường định tuyến của VPN A và VPN B, còn riêng những VPN khác, bộ định tuyến PE ị không cần lưu giữ bất cứ thông tin gì. M ột vấn đề nảy sinh khi sử dụng đặc tính Community là ờ mỗi nhà cung cấp dịch vụ chỉ có thể có nhiều nhất 2 '^ giá trị này. Bởi vì mỗi đặc tính này có chiều dài 32 bit, trong đó 16 bits sử dụng cho chỉ số AS (Autonomous System) và 16 bit còn lại được mỗi bộ địiứ] tuyến sử dụng độc lập. Mỗi VPN cần ít nhất một giá trị Community, diếu nàv dần dên một nhà cung cấp dịch vụ chỉ có thể phục vụ tối đa 2 '® khách hàng. Dê khắc phụ^ han chế này, người ta đưa ra một khái niệm mới có tên là BGP Extended Community, cho phép mỗi bộ định tuyến PE sử dụng toàn 32 bit. Vì thế mỗi nhà cung cấp dịch vụ có thể hỗ trợ đen 2^^ đặc tính Conununity khác nhau.
  8. 180 Chuyển mạch nhãn đa giao thức MPLS 6.5. BẢNG ĐA CHUYỂN TIẾP Chức năng phân bố ràng buộc thông tin định tuyến thật sự cần thiết cho việc điều khiển kết nối nhưng chưa đầy đủ. Chúng ta biết rằng một bộ định tuyến PE có thể kết nối với nhiều khu vực thuộc các VPN khác nhau. Nếu như bộ định tuyến chỉ có một bảng định tuyến chứa tất cả đưòng định tuyến trong các VPN này, dẫn đến việc không thể định tuyến đúng cho các gói dữ liệu nên có thể xảy ra hiện tượng gói dữ liệu bị chuyển từ VPN này sang VPN khác, đặc biệt là khi cách đánh địa chi giống nhau. Vì thế, yêu cầu đặt ra là các bộ định tuyến PE phải có không chỉ một mà nhiều bảng định tuyến. Bộ định tuyến PE sẽ giữ một bảng định tuyến cho mỗi VPN nếu VPN có một hay nhiều khu vực kết nối với bộ định tuyến PE này. Khi nhận được gói dữ liệu, bộ định tuyến PE sẽ định tuyến cho gói dữ liệu bằng bảng định tuyến tương ứng. Do đó bộ định tuyến PE cần phải xác định được VPN của gói. Thông dụng nhất, bộ định tuyến PE sẽ căn cứ vào cổng mà gói dữ liệu đến ữên bộ định tuyến PE. Mỗi bảng định tuyến trên một bộ định tuyến PE được xây dựng nên từ hai nguồn thông tin. Thứ nhất, các tuyến định tuyến mà bộ định tuyến PE nhận được từ những bộ định tuyến CE kết nối với bộ định tuyến PE. Nguồn thông tin thứ hai được bộ định tuyến PE nhận được từ các bộ định tuyến PE khác trong mạng. Như đã đề cập ở phần ü'uác, mỗi thông tin định tuyến mà các bộ định tuyến PE nhận được từ những bộ định tuyển PE khác đều được ấn định một đặc tính BGP Community. Dựa vào đặc tính này bộ định tuyến PE xác định được thông tin thuộc VPN nào. Hãy cùng xem xét một ví dụ trình bày phương thức xây dựng VPN. Truờng hợp đơn giản nhất là mô hình một VPN có sự kết nối các khu vực tương tự như VPN A. Trong trường hợp này, VPN chỉ được ấn định đặc tính BGP Community Cciosed- Như vậy các bộ định tuyến PE kết nối với những khu vực. của VPN sẽ đưa thông tin định tuyến nhận được từ các khu vực này vào BGP với đặc tính được dùng Qiosed- Tương tự, với bảng định tuyến của VPN đó, bộ định tuyến PE sẽ nhập vào những thông tin định tuyến có đặc tính Cciosed- Trong trường hợp các khu vực có sự két nổi giống như VPN B: các khu vực ừong VPN muốn liên lạc với nhau cần phải thông qua một khu vực trung gian. Hình thức này được gọi là “hub-and-spokes”, trong đó, ví dụ như trongVPN B, khu vực 1 đóng vai trò hub và khu vựq 2, khu vực 3 đóng vai trò spokes.Vì thế VPN này cần phải có hai giá ưị đặc tính khác nhau: Chub dành cho hub, Cspokes dành cho spokes. D o đó bộ định tuyến PE liên kết với khu vực spokes của VPN sẽ ấn định đặc tính Cspokes cho thông tin định tuyến nhận được từ những bộ định tuyến CE này và chỉ nhận từ BGP những thông tin định tuyến có đặc tính Chub- Riêng bộ định tuyến PE kết nổi với khu vực hub thì ngược lại, đưa vào BGP thông tin định tuyến có đặc tính Chub và nhận về thông tin có đặc tính Cspokes- 6.6. ĐỊA C H Ỉ VPN-IP Như đã đề cập ở ưên, mô hình VPN mà ta tìm hiểu làBGP/MPLS VPN.Giao thức BGP mà các bộ định tuyến ưong mạng lõi của nhà cung cấp dịch vụ sử dụng để trao đổi và xây dựng thông tin định tuyến cho mỗi VPN. Giao thức BGP sử dụng địa chì IP, thế nhưng cách đánh địa chi cuả các VPN độc lập với nhau dẫn đến trường họp các VPN có cách đánh địa chi giống nhau. Vì thế, cần phải có một giải pháp cho vấn đề sử dụng giao thức BGP trong một môi trường mà địa chì IP không phải là độc nhất. Rõ ràng chúng ta cần một hình thúc địa chỉ mới thay thế cho địa chỉ IP và địa chi này phải là duy nhất. Hình thức địa chỉ
  9. Chương 6; Mạng riêng ảo 181 mới này đưỢc gọi là địa chỉ VPN-EP. Địa chỉ VPN-IP có cấu trúc gồm mộtthành phần có chiều dài cố định 64 bit, được gọi là bộ phân biệt tuyến (Route Distinguisher)và thành phần địa chỉ IP. Mỗi nhà cung cấp dịch vụ có thành phần bộ phân biệt tuyến (Route Distinguisher) riêng biẹt. Thành phần này có cấu trúc như trong hình 6.3. h ìn h 6.3: cấ u Uiíc cùn thành phấn bộ phân biệt tuyến. Loại (1) Chỉ số AS (2) Chỉ số AN (3) (2*8 bit) (2*8 bit) (4*8 bit) Vùng (2) chứa chỉ số AS (Atonomous system) của nhà cung cấp dịch vụ. Và nhà cung cấp dịch vụ ấn định cho mỗi VPN một chỉ số có tên gọi là AN (Assigment Number). Vì trong phạm vi một mạng của nhà cung cấp dịch vụ, các VPN không sử dụng chung chỉ số AN (Assigment Number) và chỉ số ASN (Autonomous System Number) là duy nhất trên toàn cầu, do đó mỗi VPN sẽ có một thành phần bộ phân biệt tuyến riêng biệt. Đứng trên cái nhìn về P G P , việc định tuyến theo địa chỉ VPN-EP không khác với sự định tuyến bằng địa chỉ IP. Nhưng có một điểm quan trọng cần phải nói đến, giao thức BGP hoàn toàn không biết đển cấu trúc địa chỉ VPN-IP cũng như cấu trúc của thành phần bộ phân biệt tuyến, khi so sánh hai địa chỉ VPN-IP, BGP hoàn toàn bỏ qua cấu trúc này, sử dụng BGP Route Reflector, BGP Refresh để định tuyến với địa chi VPN-IP như định tuyến với địa chi IP thông thường. Việc sử dụng địa chỉ IP hoàn toàn do nhà cung cấp dịch vụ VPN quyết định. Các khách hàng VPN không biết gì về hình thức địa chi này. Quá ttình chuyển đổi từ địa chì VPN-IP sang địa chỉ IP được tiến hành tại bộ định tuyến PE. Bộ định tuyển PE sẽ lưu giữ thành phần bộ phân biệt tuyến (Route Distinguisher) của các VPN kết nối trực tiếp vói nó. Như vậy, khi bộ định tuyến PE nhận đượp thông tin định tuyến từ một bộ định tuyến CE, nó sẽ xác nhận VPN của bộ định tuyến CE này đồng thời trước khi đưa thông tin này vào giao thức BGP, nó sẽ chuyển đổi từ địa chỉ IP sang địa chl VPN-EP. Tương tự, khi nhận được thông tin định tuyến, bộ định tuyển PE sẽ thực hiện chuyển đổi từ địa chi VPN-IP sang địa chỉ IP. Đến đây, chúng ta sẽ có sự so sánh về vai trò của địa chỉ VPN-BP và đặc tính BGP Community. Có hai vấn đề cần đề cập đến. v ấn đề thứ nhất là bằng cách nào hoạt động với những địa chi không phải là duy nhất ttong phạm vi toàn cầu. Giải pháp cho vấn đề này là địa chỉ VPN-EP với thành phần bộ phân biệt tuyến. Vì vậy thành phần này được sử dụng để phân biệt địa chỉ IP. Tuy nhiên thành phần naỳ không được sử dụng để kết nổi có ràng buộc, nó không sử dụng để lọc thông tin định tuyến, vấn đề thứ hai là kết nối có ràng buộc. Giải pháp là chức năng phân phối ràng buộc thông tin định tuyến được thực hiện bằng cách lọc thông tin định tuyến dựa vào đặc tính BGP Community. Đặc tính này, trái lại, không sử dụng để phân biệt địa chỉ BP. Chú ý rằng, những VPN khác nhau thì thành phần bộ phân biệt tuyển sử dụng phải khác nhau, thế nhumg một VPN có thể sử dụng nhiều bộ phân biệt tuyến (ví dụ của trường hợp này là hình thức đa nhà cung cấp dịch vu). Tương tự, đặc tính BGP Community của hai VPN bất kỳ cũng không được giống nhau nhưng một VPN có thể có nhiều đặc tính này (trường hợp VPN có hình thức hub-and-spoke). Như vậy, nói chung, cả hai thành phần bộ phân biệt tuyến và BGP Community đều không thể xác nhận một VPN.
  10. 182 Chuyển mạch nhãn đa giao thức MPLS Cũng cần biết thêm rằng, địa chỉ VPN-IP chỉ được sử dụng trong các giao thức định tuyến, nó không có trong tiêu đề cùa gói IP. Vì thế, địa chỉ không được sử dụng để chuyển gói. MPLS là kỹ thuật thực hiện việc chuyển gói trong mạng. 6.7. M PLS Như đã đề cập ở trên, tiến trình xây dựng thông tin định tuyến hoàn toàn chỉ sử dụng đến địa chỉ VPN-IP, trong khi địa chỉ này không có trong tiêu đề của gói IP. Vậy căn cứ vào đâu để di chuyển gói đi trong mạng? Giải pháp cho vấn đề này là MPLS. MPLS sẽ chuyển gói dữ liệu IP trên những tuyến định tuyến được xây dựng dựa trên địa chỉ VPN-IP. MPLS có khả năng này bỏi vì MPLS tách rời ứiông tin được sử dụng để chuyển gói, đó là nhãn, vói thông tin chứa ttong tiêu đề của gói EP. Và chúng ta cũng biết rằng địa chỉ VPN-IP chỉ do nhà cung cấp dịch vụ biết nên cũng chỉ có nhà cung cấp dịch vụ sử dụng đến MPLS. Như vậy, rõ ràng bộ định tuyến PE đóng vai trò một edge LSR. Có thể là igress LSR hoặc egress LSR. Có nghĩa là bộ định tuyến PE chuyển gói dữ liệu từ không có nhãn sang có nhãn và ngược lại. Khi bộ định tuyến PE nhận được gói dữ liệu từ bộ định tuyến CE, căn cứ vào cổng vào của gói dữ liệu, bộ định tuyến PE sẽ xác định VPN của bộ định tuyến CE này, cũng có nghĩa là xác nhận được bảng định tuyến, còn được gọi là LIB (label information base). Bộ định tuyến PE dựa vào thông tin trên tiêu đề IP, chẳng hạn như địa chì đích, tiến hành dò tìm trên bảng FIB, xác định và gắn một nhãn tương ứng vào gói dữ liệu. Để nâng cao khả năng mở rộng, chúng ta sử dụng chức năng định tuyến phân cấp. Để thực hiện chức năng này, chúng ta sử dụng hai mức nhãn. Mức nhãn thứ nhất được sử dụng để chuyển gói dữ liệu trên LSP từ igress LSR đến egress LSR. Mức nhãn thứ hai được xác định bời giao thức LDP hoặc giao thức RSVP, CR-LDP nếu như nhà cung cấp dịch vụ muốn thực hiện kỹ thuật lưu lượng (traffic engineering). Mức nhãn thứ hai được bộ định tuyến PE ngõ ra sử dụng xác định VPN của gói dữ liệu và được ấn định thông qua BGP cùng với địa chi VPN-IP. Để hiểu rõ hơn, chúng ta cùng xem xét ví dụ được trình bày trong hình 6.4. Hình 6.4 cho thấy hai khu vực khác nhau của một VPN, bộ định tuyến CE của khu vực 1 được ký hiệu CEi, bộ định tuyến CE của khu vực 2 là CE 2 . Cả hai bộ định tuyến PE PEi và PE 2 đều lưu giữ thành phần bộ phân biệt tuyến của VPN cũng như đặc tính BGP Community, cổ n g vào của dữ liệu từ CEi đến PEi cho phép xác định LIB của VPN. CEi gửi dữ liệu đến PE] với địa chỉ đích là 10.1.1/24, PEi xác định bảng định tuyến dành cho gói dữ liệu và bắt đầu tiến hành tìm kiếm trên bảng này. Sau khi tìm kiếm, PEi gắn vào gói dữ liệu hai nhãn và gửi đến bộ định tuyến P]. Bộ định tuyến Pi dựa vào nhãn thứ nhất xác định bộ định tuyến P 2 là nút mạng kế tiếp nhận gói dữ liệu. Tại đây bộ định tuyến P 2 là penultimate hop trên LSP kết nối PEi và PE 2 , sẽ gỡ mức nhãn thứ nhất ra khỏi gói dữ liệu và chuyển đến PEa- PE 2 nhận được gói dữ liệu chi có một mức nhãn, nhãn này được PE2 chuyển đến các bộ định tuyến PE khác bằng giao thức BGP, và căn cứ vào nhãn này PE 2 sẽ gửi gói dữ liệu đếnỉ>ộ định tuyến CE 2 là nút mạng có địa chỉ đích 10.1.1/24. Sử dụng chức năng định tuyến phân cấp đã giảm thiểu được lượng thông tin lun giữ ở mỗi bộ định tuyến p. Lấy ví dụ một nhà cung cấp dịch vụ mạng riêng ảo VPN có tất cả 200
  11. Chương 6: Mạng riêng ảo 183 bộ định tuyến trong mạng lõi, bao gồm cả bộ định tuyến PE và bộ định tuyến p, với số lượng mạng riêng ảo VPN là 10.000 và mỗi VPN có trung bình 100 tuyến định tuyến. Như vậy nếu không sử dụng định tuyến phân cấp, số lưọng đưÒTig định tuyến mà bộ định tuyến p phải lưu giữ thông tin ’ên uến 10.000*100 = 10^ Vói chức năng định tuyến phân cấp, số lượng ấy chỉ còn là 200. H ình 6,4: Sử dụng hai mức nhãn [1 ]. BGP(Dest=RD:10,1.1,Next hop=PE 2 ,Label=X) CE2 Gói IP 6.7.1. Bảo mật Bảo mật luôn là một yêu cầu quan trọng trong bất kỳ mô hình mạng riêng ảo nào. Trong lĩnh vực bảo mật, mục tiêu của mô hình BGP/MPLS VPN là đạt được sự bảo mật có thể so sánh với sự bảo mật mà các mô hình VPN dựa ưên FrameRelay (Frame Relay-based VPN) hay VPN dựa trên ATM (ATM-based VPN) mang lại. Đặc biệt, mục tiêu còn đảm bảo rằng: một gói dữ liệu thuộc VPN này không thể đi vào VPN khác khi sự liên kết có sự cố hoặc cấu hình không chính xác. Làm thế nào thực hiện được mục tiêu này? Đầu tiên chúng ta biết rằng các nhà cung cấp dịch vụ sử dụng kỹ thuật chuyển mạch nhãn không phải là định tuyến IP trước đây. Vì thế sự chuyển gói dữ liệu đi trong mạng không dựa vào địa chỉ IP trền tiêu đề. Hơn nữa, tất cả LSP đều bắt đầu và kết thúc tại các bộ định tuyến PE, chúng không bắt đầu cũng như không kết thúc tại các bộ định tuyến p trong mạng lõi của nhà cung cấp dịch vụ. Tại mỗi bộ
  12. 184 Chuyển mạch nhãn đa giao thức MPLS định tuyến PE, các LSP gắn liền với những bảng định tuyến xác định cũng như các bảng định tuyến liên hệ với các giao diện trên bộ định tuyến PE và các giao diện thì liên hệ với các VPN. Do đó, khi một bộ định tuyến PE gửi đến bộ định tuyến CE nào đó dữ liệu, gói dữ liệu này có thể đến từ một bộ định tuyến CE khác hoặc một bộ định tuyến PE nào đó. Trong trường hợp đầu tiên, cả hai bộ định tuyến CE gửi và nhận phải cùng thuộc một VPN và sử dụng chung bảng định tuyến trên bộ định tuyến CE. ở trường hợp sau, LSP của gói dữ liệu liên hệ với một bảng định tuyến xác định và bảng định tuyến này được xây dựng cho VPN. Như vậy, gói dữ liệu phải đến bộ định tuyến igress PE trên giao diện liên kết với VPN. Rõ ràng việc đưa một gói dữ liệu vàp VPN hoàn toàn được thực hiện thông qua giao diện trên bộ định tuyến PE kết nối với VPN ấy. Vì thế các gói dữ liệu không đi lạc vào các VPN khác. 6.7.2. Hỗ trợ chất lượng dịch vụ Trong lĩnh vực chất lượng dịch vụ, yêu cầu đặt ra là khả năng cung cấp chất lượng dịch vụ đáp ứng được một số lượng lớn các khách hàng VPN với những yêu cầu đa dạng. Ví dụ, một nhà cung cấp dịch vụ có thể cung cấp nhiều lớp chất lượng dịch vụ cho một VPN và những ứng dụng khác nhau trong VPN này sẽ thuộc về những phân lớp dịch vụ khác nhau. Với cách thức này, dịch vụ mail sẽ thuộc về một lớp dịch vụ COS (Class of Service) nào đó ứong khi những ứng dụng thời gian thực COS hoàn toàn khác. Hơn nữa COS của một ứng dụng trong phạm vi một mang riêng ảo VPN có thể khác với COS của cùng ứng dụng ấy nhưng thuộc về VPN khác. Sự khác nhau này có ý nghĩa các VPN độc lập trong việc ấn định lớp dịch vụ (COS) cho các ứng dụng. Thêm vào đó, không phải VPN nào cũng sử dụng tất cả lớp dịch vụ COS mà nhà cung cấp dịch vụ hỗ ữợ. Trước khi tìm hiểu đến những kỹ thuật mà BGP/MPLS VPN sử dụng để hỗ trợ chất lượng dịch vụ, ta xem xét đến hai mô hình chất lượng dịch vụ trong VPN: mô hình đườhg ống “pipe” và mô hình hose. 6.7.2.L Mô hình Pipe Với mô hình đầu tiên, nhà cung cấp dịch vụ mạng riêng ảo VPN cung cấp chất lượng dịch vụ cho luồng lim lượng khi đi từ bộ định tuyến CE này đến bộ định tuyến CE khác cùng thuộc một VPN. Trong trường hợp này sẽ có một đường ống “pipe” kết nối hai bộ định tuyến này và bất cứ luru lượng nào đi vào được đường hầm cũng nhận được sự đảm bảo chất lượng dịch vụ. Ví dụ đưÒTig hầm này đảm bảo băng thông kết nối giữa hai bộ định tuyển CE. Và quyết định lưu lượng nào được sử dụng đưòmg hầm hoàn toàn thuộc về bộ định tuyến PE ở đầu đường hầm. Hình thức này khá giống với mô hình chất lượng dịch vụ mà các mạng VPN dựa ưên FrameRelay (Frame Relay- based VPN) và VPN dựa ttên ATM (ATM-based VPN) cung cấp. Điểm khác nhau chủ yếu là các kết nối Frame Relay và ATM là các kết nối song hướng, trong khi đó mô hình đường hầm là kết nối đơn hướng. Đặc điểm này cùa mô hình đường hầm xuất phát từ sự bất đối xứng trong việc truyền dữ liệu, khi số lưgmg dữ liệu đi từ khu vực này sang khu vực khác có thể khác với số lượng dữ liệu đi theo hướng ngược lại. Hình 6.5 là một ví dụ của mô hình đường hầm “pipe”, trong đó nhà cung cấp dịch vụ cung cấp cho VPN A một đường hầm băng thông 7 Mb/s cho dữ liệu đi từ khu vực 1 đến
  13. Chương 6: Mạng riêng ảo 185 khu vực 3, hay có thể nói đi từ CEai đến CEa3 và một đưÒTig hầm băng thông 10 Mb/s từ CEa 3 đến CEa 2 - Như vậy từ một bộ định tuyến CE có thể xuất phát hoTi một đưcmg hầm. Tuy nhiên mô hình này có nhược điểm. Nó yêu cầu khách hàng phân biệt được số lượng dữ liệu di chuyển giữa các khu vực. Đôi khi thông tin này không được cập nhật hay không thể sử dụng được. H ình 6.5: M ô hình QoS pipe [2]. VPN A/Site 2 VPN B/Site 1 VPN B/Site 2 10 Mb/s từ CEa3 đến CEa2 10;^/16 VPN A/Site 1 VPN A/Site 3 VPN B/Site 3 Ố. 7.2.2. MÔ hình Hose Trong mô hình này, nhà cung cấp chất lưọmg dịch vụ hỗ trợ cho mỗi khách hàng một số mức chất lượng dịch vụ nhất định cho lưu lượng dữ liệu thuộc mạng riêng ảo VPN. M ô hình Hose sử dụng hai tham số: Tốc độ ữaing bình lối vào ICR (Igress Coramiteed Rate) và Tốc độ trung bình lối ra ECR (Egress Committed Rate). ICR là tổng số lưu lượng mà một bộ định tuyến CE gửi đến các bộ định tuyến CE khác. Còn ECR là tổng số lưu lượng mà một bộ định tuyến CE nhận được từ các bộ định tuyến CE khác. Đặc biệt, với mỗi bộ định tuyến CE, không yêu cầu giá trị ICR phải bằng với gía trị ECR. Dưới đây là hình ảnh ví dụ về mô hình Hose. Trong mô hình này, nhà cung cấp dịch vụ mạng riêng ảo VPN đảm bảo băng thông cho tất cả lưu lượng xuất phát từ CEb2 là 15Mb/s, ICR =15Mb/s, và không tính đến nơi nhận luồng lưu lượng là CEbi hay CEb2 - Tương tự lưu lượng mà C E b 3 gửi đến các bộ định tuyến CE khác trong VPN đều được cung cấp băng thông là 7Mb/s, ICR=7Mb/s. Và như ta ứiấy trên hình 6.6, lưu lượng mà CEb2 nhận được từ các bộ định tuyến CE khác trong VPN sẽ được cung cấp băng thông là 15Mb/s, ECR=15Mb/s.
  14. 186 Chuyển mạch nhãn đa giao thức MPLS H ình 6.6: Mô hình QoS hose [2], VPN A/Site 2 VPN B/Site 1 ICR 7 Mb/s ECR 7Mb/s VPN A/Site 1 VPN A/Site 3 VPN B/Site 3 Như vậy mô hình hose rất giống với mô hình dịch vỊự phân biệt (Differentiated Service) đã đề cập đến ưong chưooig 4 “Chất lượng dịch vụ”. Miô hình Hose cung cấp nhiều lớp dịch vụ và mỗi lởp khấc nhau ờ những thông số, ví dụ dịch này có thể có ti lệ mất gói dữ liệu thấp hơn dịch vụ khác. Tuy nhiên nếu ứng dụng yêu cầu chất lượng dịch vụ chính xác, ví dụ như băng thông đảm bảo, thì mô hình pipe thích hợp hoti. Mô hình pipe giống với mô hình “Dịch vụ tích hợp “ cũng đã được đề cập ờ chương 4 “Chất lượng dịch vụ”. Cả hai mô hình này đều không loại trừ lẫn nhau. Vì thế một nhà cung cấp dịch vụ có thể hỗ txợ cả hai mô hình này cho một khách hàng sử dụng dịch vụ VPN và khách hàng sẽ quyết định mô hình cũng như lớp dịch vụ COS dành cho lưu lượmg, Để hỗ ữợ mô hình pipe, chúng ta sử dụng những LSP có bãng thông đảm bảo, đã được đề cập ở phần “Định tuyến ràng buộc” thuộc chương 5. Những LSP này xuất phát cũng như kết thúc tại các bộ định tuyến PE và có băng thông đảm bào. Với hai bộ định tuyến PE bất kỳ, mỗi bộ định tuyến PE kết nối với nhiều bộ định tuyển CE và giữa chúng có nhiều đường hầm nên thay yì xây dựng cho một đường hầm một LSP, chúng ta sử dụng một LSP cho tất cả các đưòmg hầm. Trở lại hình 6.5, để xây dựng một đường hầm từ C Ea 3 đến CEai thuộc VPN A và một đường hầm từ C E b 3 đến C E \i thuộc VPN B, người ta xây dựng một LSP băng thông đảm bảo từ PE 3 đến PEi và băng thông cùa LSP này bằng tổng băng thông của hai đường hầm. Sử dụng chỉ một LSP phục vụ cho nhiều đường hầm giữa hai bộ định tuyến PE giúp cho mô hình này có thể triển khai rộng rãi, Vì số lượng các LSP đảm bào băng thông mà nhà cung
  15. Chưong 6: Mạng riêng ảo ' 187 cấp dịch vụ xây dụng bị giới hạn bời số bộ định tuyến PE trong mạng lõi, thay vì phụ thuộc vào số lư ợng đường hầm phải cung cấp cho khách hàng. Nhà cung cấp dịch vụ sẽ sử dụng dịch vụ phân biệt (Differentiated Services) để hỗ trợ cho mô hình hose. Ngoài ra nhà cung cấp dịch vụ có thể sử dụng chức năng quản lý lưu ỉưọfng MPLS để nâng cao hiệu suất sử dụng tài nguyên mạng. Bộ định tuyến PE sẽ thựG hiện công việc xác định lớp dịch vụ COS cho lưu lượng căn cứ vào các yếu tố: giao diện lưu lượng tới trên bộ định tuyến PE, địa chỉ IP đích và địa chi IP nguồn, IP Precedence, chỉ số cổng TCP. Mặc dù khách hàng sẽ ký với nhà cung cấp dịch vụ một hợp đồng yêu cầu được cung cấp lóp dịch vụ cho lưu lượng. Tuy nhiên vẫn có trường hợp lưu lưọTig khách hàng gửi đến vượt quá ngưõTig cho phép. Vì thế nhà cung cấp dịch vụ sẽ có những biện pháp kiểm soát tại bộ định tuyến igress PE. Nếu lưu lượng vượt ra ngoài phạm vi cam kết, nhà cung cấp dịch vụ sẽ có hai hướng xử lý: một là hủy bỏ lưu lượng này ngay tại bộ định tuyển igress PE hoặc vẫn gửi đi nhưng lưu lượng bị đánh dấu là không họp lệ. Với sự lựa chọn cách xử lý thứ hai, cả hai luồng lưu lưọTig họp lệ và không hợp lệ sẽ cùng di chuyển trên LSP. Nhưng khi trong mạng xảy ra xung đột, lưu lượng không họp lệ sẽ bị mất. 6.7.3. K hả năng m ở rộng Qua những gì đã trình bày ờ trên, bộ định tuyến CE chỉ lưu giữ thông tin định tuyến với bộ định tuyến PE mà nó trực tiếp kết nối. Như vậy số lượng thông tin lưu giữ không phụ thuộc vào số lượng khu vực của VPN, do đó số lượng khu vực trong một VPN có thể lên đển con số hàng trăm, hàng ngàn. Đồng thời khi thêm vào một khu vực không phải thiết lập kết nối khu vực mới với tất cả các khu vực còn lại. Ngoài ra, với việc sử dụng chức năng định tuyến phân cấp MPLS cho phép giảm thiểu sổ lượng thông tin định tuyến lưu giữ trong p router, p router chi ]ưu giữ thông tin liên quan đến LSP liên kết hai bộ định tuyến PE bất kỳ được xây dựng bằng các giao thức LDP (Label Disữibution Protocol), RSVP (Resoure Reservation Protocol)... Thứ hai, một bộ định tuyến PE chỉ lưu giữ thông tin định tuyến liên quan đến những mạng riêng ảo VPN có các khu vực kết nối trực tiếp với nó. Nếu như số lượng thông tin định tuyến lưu giữ txở nên quá lớn, chúng ta thêm vào một bộ định tuyến PE mới và chuyển một số VPN từ bộ định tuyến này sang bộ định tuyến mới. Như vậy không có thành phần nào trong mạng lõi cùa nhà cung cấpl dịch vụ phải lưu giữ thông tin định tuyến của tất cả mạng riêng ảo VPN. Vì thế khả năng triển khai trên một quy mô lớn không bị hạn chế. 6.8. T Ó M TẮT M ột đặc điểm cơ bản của mô hình BGP/MPLS VPN là không có sự ràng buộc trong kế hoạch đánh địa chỉ cho mạng riêng ảo VPN. Các VPN có thể sử dụng bất cứ hình thức địa chỉ nào, ví dụ địa chi riêng, địa chỉ DP ... Vấn đề bảo mật có thể so sánh với mô hình VPN dựa trên Frame Relay và VPN dựa trên ATM.
  16. 188 Chuyển mạch nhãn đa giao thức MPLS Hơn nữa, về lĩiứi vực cung cấp chất lượng dịch vụ, nhà cung cấp dịch vụ có thể hỗ trợ cho khách hàng nhiều lớp dịch vụ COS với hai mô hình chính là pipe và hose. Bộ định tuyến PE sẽ quyết định, lớp dịch vụ dành cho lini lượng. Ngoài ra, mô hình này có thể triển khai trên quy mô lớn với số lưọfng khu vực trong mỗi mạng riêng ảo VPN lên đến hàng trăm hàng ngàn. Mô hình này cho phép một nhà cung cấp dịch vụ sử dụng chung hạ tầng mạng cung cấp dịch vụ VPN và dịch vụ Internet. Vì liên kết giữa bộ định tuyến CE và bộ định tuyến PE là liên kết IP cũng như nhà cung cấp dịch vụ sẽ sử dụng kỹ thuật chuyển mạch nhãn MPLS nên kỹ thuật lớp liên kết dữ liệu có thể là Frame Relay, ATM, leased lines, DSL ...để kết nối bộ định tuyến CE với bộ định tuyến PE và bộ định tuyến PE với bộ định tuyến p. Điều quan trọng của mô hình này là không yêu cầu khách hàng VPN phải có hiểu biết nhiều về mạng. Khách hàng không phải xây dựng và đưa vào hoạt động đưòmg trục (backbone) ảo của riêng nó. Vì vậy mô hình này có thể phục vụ cho nhiều khách hàng hơn.
  17. CHƯƠNG 7: XÂY DtjfNG MẠ]VG ĐƯỜNG TRỊIC MPLS Mạng MPLS có thể được xây dựng bởi nhiều cách, sử dụng sự kết hợp của các LSR và các ATM MPLS LSR. Những nghiên cứu thiết kế cho mạng MPLS được mô tả như sau: 7.1. M ẠN G M PL S TR ÊN G Ó I H inh 7.1: Mạng M PLS trên gói [3]. Khách hàng A Khách hàng B Frame Relay, ATM, PVP, kênh thuê riêng, Frame Relay, ATM, FE. GE hoặc bất kỳ PVP, kênh thuê riêng, liên kết lóp 2 nào FE. GE hoặc bất kỳ liên kết lớp 2 nào Nhà cung L PE2 cấp dỊch vụ PoP-2 CE Khách hàng c Khách hàng B Khách hàng A Khách hàng D Khách hàng A Khách hàng c Nhà cung cáp Nhà cung cip dịch vụ PoP-3 dịch vụ PoP-4 Router LSR Router
  18. 190 Chuyển mạch nhãn đa giao thức MPLS Trong hình 7.1 cho thấy một mạng MPLS gói sử dụng đưÒTig trục là bộ định tuyến. Những liên kết giữa các bộ định tuyến p, các PE đến p, và PE đến bộ định tuyến CE có thể là kết họp bất kỳ các kỹ thuật lớp 2. Tiêu đề MPLS được mang trong một tiêu đề thêm vào trong trường họp tiêu đề của lóp 2 không hỗ trợ nhãn và trong trường V P W C I trong trưÒTig họp của ATM. Backbone MPLS không cần phải được kết thông hoàn toàn. Tuy nhiên đối với IGP (Interior Gateway Protocol) (OSPF hay IS-IS) thì cần có kết nối hoàn toàn. Những bộ định tuyến PE hoạt động như điểm truy cập PoP (point of presence) và có thể được đặt tại các thiết bị hay trung tâm dữ liệu của các nhà cung cấp dịch vụ. Thiết kế mạng MPLS trên gói theo cùng quy tắc với thiết ké cho mạng định tuyến IP chuẩn. 7.2. M ẠNG M PL S TRÊN ATM H ình 7.2: Mạng MPLS trẽn ATM [3]. Khách hàng A Khách hàng B Nhà cung cấp dỊch vụ PoP-2 Frame Relay. ATM, PVP, kênh thuê riêng. FE. GE hoặc bất kỳ liên kết lớp 2 nào Khách hàng A Khách hàng D Khách hàng A Khách hàng c Nhà cung cấp Nhà cung cấp dịch vụ PoP-3 dịch vụ PoP-4 Router LSR Router ATM LSR Bộ tập trung Mạng MPLS sử dụng LSR ATM trong lõi và kết hợp các bộ định tuyến ATM hay các LSR ATM khác (thực hiện chức năng LSR ở rìa hay PE) tại các điểm truy cập. Những sự kết hợp khác nhau được trình bày trong hình 7.2. Các LSR ATM lõi sử dụng những kênh
  19. Chương 7: Xây dựng mạng đường trục MPLS 191 nhãn ảo (Label Virtual Circuit LVC) để giao tiếp với các LSR lõi khác và các bộ định tuyến PE ATM. FKần điều khiển chuyển mạch nhãn (Label Switch Controller LSC) tại PoP-1 của nhà cung cấp dịch vụ có thể có chức năng như là một LSR ờ rìa. Điều này làm giảm yêu cầu cho các bộ định tuyến PE ATM riêng rẽ cần được đặt cùng với LSR ATM lõi. Lưu lượng tại PoP-2 của nhà cung cấp dịch vụ từ khách hàng B và c có thể được tổng hợp tại giao diện của một thiết bị giao tiếp X và được truyền trên các PVC ATM đến LSR ATM gần nhất, trong trưòng họp này là PE3. Mạng MPLS ATM vói các LSR ở rìa cho gói có thể sử dụng các thiết bị giao tiếp như X nếu có truy nhập yêu cầu qua một thiết bị mà không hỗ trợ dịch vụ MPLS. Lưu lưọng của khách hàng được mang qua thiết bị truy cập đến LSR ở rìa. Giữa thiết bị truy cập và LSR ở rìa có các đưÒTig liên kết logic khác nhau cho mỗi khách hàng, nó có thể là Frame Relay hay PVC ATM hay một liên kết ppp. 7.3. MẠNG M PLS TR ÊN H ỎN H Ợ P GIỮA ATM VÀ GÓI H ình 7.3: Mạng MPLS hỗn hợp [3]. Khách hàng A Khách hàng B Nhà cung cấp dịch vụ Nhà cung cấp PoP-2 dịch vụ PoP-1 trên gói |Khách hàng B Frame Relay hoặc tập trung Frame Relay. ATM, song song PVP, kênh thuê riêng. FE, GE hoặc bất kỳ liên kết lớp 2 nào Khách hàng A Khách hàng D Khách hàng A Khách hàng c Nhà cung cấp Nhà cung cấp dịch vụ PoP-3 dịch vụ PoP-4 Router LSR Router ATM LSR Bộ tập tmng
  20. 192 Chuyển mạch nhãn đa giao thức MPLS Mạng hỗn hợp sử dụng một sự kết họp của LSR ATM, LSR ATM ờ rìa và LSR trên gói ở rìa. Điều này có thể kết hợp mạng MPLS trên ATM và mạng MPLS trên gói với các LSR ATM ở lõi. Các LSR ờ rìa nằm trên lóp phân bố và các LSR trên gói nằm trên phần mạch còn lại của lớp truy cập. Một ví dụ về mạng hỗn họp được chỉ ra trong hình 7.3. Trong một mạng như vậy, một vài liên kết có thể chạy MPLS trên gói và phần khác có thể chạy MPLS trên ATM. Thiết bị để giao tiếp giữa MPLS trên gói và MPLS ứên ATM có ứiể là cùng các LSR ở rìa ATM. 7.4. T ÍC H H Ợ P M PLS VÀO M ẠNG ATM Nhiều nhà cung cấp dịch vụ hiện tại hoạt động trên mạng đưÒTig trục ATM và cung cấp các dịch vụ ATM và Frame Relay cho các khách hàng của họ. Hầu hết khách hàng chạy ứng dụng IP trên nền ATM hay Frame Relay nhờ vào các nhà cung cấp dịch vụ. Nhưng cấu trúc này đã cho thấy có nhiều yếu điểm của IP truyền thống trên mạng ATM, chủ yếu là giảm các bộ định tuyến ngang cấp trong vấn đề phát triển, và hiệu quả băng thông thấp (như ta đã thảo luận ở các phần trước). Mạng MPLS là một thay thể xuất sắc. Chúng cho phép phát triển tối ưu và băng thông hiệu quả với khả năng quản lý lưu lượng và QoS. MPLS có thể được triển khai vào mạng ATM truyền thống một cách từ tìr, khởi đầu bằng một cặp ATM LSR trong mạng. MPLS có thể được triển khai qua các chuyển mạch (switch) không có hỗ ù-ợ MPLS bằng việc sử dụng kết nối VP qua các chuyển mạch ATM truyền thống. Những kết nối VP này còn gọi là những đường hầm VP (tunnels VP) bởi vì chúng cho phép MPLS tạo một đường hầm qua xuyên các chuyển mạch ATM. Những đường hầm VP làm cho tích hợp hoàn toàn MPLS dễ dàng, mặc dù nó vẫn có những bất lợi. Những bước sau để tích hợp MPLS vào mạng ATM: H ình 7.4: Bước tích hợp một 13]. LSR rìa LSR rìa LSR rìa
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

THÔNG TIN
TRỢ GIÚP
HỖ TRỢ KHÁCH HÀNG
Theo dõi chúng tôi

Chịu trách nhiệm nội dung:

Nguyễn Công Hà - Giám đốc Công ty TNHH TÀI LIỆU TRỰC TUYẾN VI NA

LIÊN HỆ

Địa chỉ: P402, 54A Nơ Trang Long, Phường 14, Q.Bình Thạnh, TP.HCM

Hotline: 093 303 0098

Email: support@tailieu.vn

Giấy phép Mạng Xã Hội số: 670/GP-BTTTT cấp ngày 30/11/2015 Copyright © 2022-2032 TaiLieu.VN. All rights reserved.

 

Đồng bộ tài khoản
5=>2