intTypePromotion=1
zunia.vn Tuyển sinh 2024 dành cho Gen-Z zunia.vn zunia.vn
ADSENSE
 » 
 » 

VPN TRONG MẠNG MPLS (VPN-based MPLS)

Chia sẻ: Luong Khanh Linh | Ngày: | Loại File: DOC | Số trang:24

Thêm vào BST
Báo xấu
221
lượt xem 81
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Internet là tập hợp một số lượng lớn các hệ thống tự trị AS (có thể nằm ở nhiều vị trí địa lý cách xa nhau) bao gồm nhiều router kết nối với nhau, các router này được quản lý bởi nhà quản trị. Do đó cần phải có một giao thức định tuyến dùng để trao đổi thông tin giữa các AS mà vẫn đảm bảo được đường đi không có loop trong mạng. BGP ra đời để thực hiện nhiệm vụ đó. Phiên bản hiện tại của BGP là BGP-4, BGP-4 được giới thiệu vào năm 1995 và được định nghĩa trong RFC...

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: VPN TRONG MẠNG MPLS (VPN-based MPLS)

  1. 3.1. Giới thiệu giao thức BGP-4 Sau đây ta sẽ sơ lược về BGP và phân tích lý do tại sao giao thức này lại được dùng để vận chuyển các route VPN trong mạng MPLS. Internet là tập hợp một số lượng lớn các hệ thống tự trị AS (có thể nằm ở nhiều vị trí địa lý cách xa nhau) bao gồm nhiều router kết nối với nhau, các router này được quản lý bởi nhà quản trị. Do đó cần phải có một giao thức định tuyến dùng để trao đổi thông tin giữa các AS mà vẫn đảm bảo được đường đi không có loop trong mạng. BGP ra đời để thực hiện nhiệm vụ đó. Phiên bản hiện tại của BGP là BGP-4, BGP-4 được giới thiệu vào năm 1995 và được định nghĩa trong RFC 1772. Cập nhật định tuyến là đặc điểm quan trong khiến BPG-4 thích hợp trong môi trường kết nối nhiều mạng cực kì lớn. Nó không quan tâm đến việc phải hiểu đầy đủ chi tiết đến từng subnet trong một tổ chức, thay vì đó, nó thực hiện thu gọn các route đó lại. Cập nhật định tuyến mang một danh sách các AS và địa chỉ prefix được thu gọn lại, cũng như một vài thông tin về chính sách định tuyến. Không như các giao thức IGP sử dụng metric để thực hiện các quyết định định tuyến, thì BGP sử dụng các quy tắc hay các chính sách định tuyến để thực hiện quyết định này. Do đó, đối với các giao thức IGP, quyết định định tuyến chỉ có thể áp đặt lên với route nào đó, còn BGP thì có thể áp đặt lên cả đường đi (path). 3.1.1. Đặc điểm của BGP-4 o BGP-4 là giao thức path vector: BGP mang các đặc điểm của giao thức distance vector trong đó mỗi node BGP phụ thuộc vào láng giềng downstream để phổ biến các route trong bảng định tuyến của chúng, tức là node đó phải tự tính toán cho các route và chuyển kết quả đó đến láng giềng upstream. Tuy nhiên, các giao thức định tuyến distance vector xác định khoảng cách bằng một đại lượng cụ thể, như hop count dành cho RIP hay tổng độ trễ trên các interface với băng thông nhỏ nhất cho IGRP và EIGRP. BGP lại sử dụng khái niệm AS để vận chuyển gói tin đến đích, tức là sử dụng đường đi từ AS này đến AS kia để vận chuyển gói tin, do đó BGP được gọi là giao thức định tuyến path vector để phân biệt với các giao thức distance vector. o Việc trao đổi định tuyến xảy ra theo hai pha: bulk và incremental. Bulk có nghĩa là cập nhật định tuyến đầy đủ, pha này được thực hiện ngay sau khi phiên BGP được thiết lập, hai BGP ngang cấp sẽ trao đổi toàn bộ bảng định tuyến cho nhau. Incremental nghĩa là các cập nhật được gửi đi khi có một sự thay đổi nào đó trong mạng (chẳng hạn như một route mới được thêm vào hay một route nào đó không còn hợp lệ nữa), cập nhật này chỉ mang thông tin về sự thay đổi đó. o Tạo và duy trì kết nối giữa các router ngang cấp, sử dụng TCP port 179. o Kết nối được duy trì bằng cách trao đổi tuần hoàn bản tin keepalive giữa các router BGP ngang cấp. o BGP-4 sử dụng khái niệm attribute (thuộc tính) để lựa chọn đường đi cho gói tin. o Khả năng sử dụng địa chỉ phân tầng và điều khiển dòng lưu lượng làm tăng khả năng mở rộng mạng. o Mang bảng định tuyến riêng, bên cạnh bảng định tuyến IP. o Có khả năng thực hiện định tuyến dựa trên chính sách được thiết lập và nó được thực hiện dựa trên chặng-chặng (hop-by-hop), có nghĩa là không có router nào có thể
  2. gửi lưu lượng đi nếu router kế tiếp không cho phép thực hiện điều đó. 3.1.2. Các loại bản tin BGP Ta thấy BGP-4 là giao thức kết nối có hướng (connection-oriented). Do đó trước khi thiết lập kết nối với BGP ngang cấp, hai láng giềng phải thực hiện bắt tay 3 bước theo TCP, và mở kết nối TCP đến port 179. Tất cả bản tin BGP được unicast đến láng giềng qua kết nối TCP. Mỗi loại bản tin khác nhau đóng vai trò quan trọng trong hoạt động của BGP. Mỗi loại bản tin bao gồm có mào đầu bản tin trong đó. Mào đầu bản tin có 3 trường. Đó là trường Marker 16 byte, trường Length 2 byte, và trường Type 1 byte. Trường Marker được sử dụng hoặc là để xác thực các bản tin BGP ngõ vào hoặc để phát hiện việc mất đồng bộ của hai BGP ngang cấp. Trường Length cho biết tổng chiều dài của bản tin BGP trong đó có cả mào đầu. Bản tin BGP nhỏ nhất là 19 byte (16 + 2 + 1) và bản tin lớn nhất có thể là 4096 byte. Trường Type có thể có 4 giá trị (từ 1 đến 4). Mỗi giá trị trong trường này tương ứng với một trong 4 bản tin BGP: bản tin Open, bản tin Keepalive, bản tin Update, và bản tin Notification. Vai trò của các bản tin cụ thể như sau: • Bản tin Open (mang code 1): sau khi phiên TCP được thiết lập, cả hai láng giềng gửi các bản tin Open. Mỗi láng giềng sử dụng bản tin này để định nghĩa bản thân nó và để chỉ ra các tham số hoạt động BGP của nó. • Bản tin Update (mang code 2) : Bản tin này quảng bá các route khả thi, các route không khả thi hoặc là cả hai. Bản tin này bao gồm các trường quan trọng sau : 1. NLRI: dùng để quảng bá prefix và chiều dài prefix, có chiều dài thay đổi. Được viết dưới dạng . Length chỉ ra chiều dài của prefix, Prefix là địa chỉ IP của NLRI. Giá trị Length bằng 0 nghĩa là Prefix đó đúng với tất cả các địa chỉ IP. 2. Path Attribute: có giá trị thay đổi, chỉ ra các đặc điểm của NLRI được quảng bá. Nó cung cấp nhiều thông tin cho phép BGP lựa chọn đường đi ngắn nhất, phát hiện loop và quyết định chính sách định tuyến. Chú ý rằng, mặc dù có thể có nhiều prefixes trong trường NLRI, nhưng mỗi bản tin Update chỉ có thể có một route BGP trong đó mà thôi, vì các path attribute chỉ mô tả một đường đi, nhưng đường đi đó có thể dẫn đến nhiều đích khác nhau (khác với IGP). • Bản tin Keepalive : khi một router chấp nhận các tham số trong bản tin Open mà láng giềng gửi đến, nó đáp ứng bằng bản tin Keepalive. • Bản tin Notification: được gửi đi bất kì khi nào phát hiện được lỗi và luôn luôn đóng kết nối BGP 3.1.3. Thuộc tính đường đi (path attribute)
  3. Thuộc tính đường đi là một đặc điểm của route BGP được quảng bá. Thuộc tính đó được mang trong các cập nhật định tuyến mà một router BGP sử dụng nó để chọn đường đi tốt nhất cho gói tin đến đích. Ngoài ra thuộc tính đường đi còn cho phép BGP thiết lập các chính sách định tuyến. Mỗi thuộc tính đường đi sẽ thuộc một trong 4 loại sau: • Well-known mandatory • Well-known discretionary • Optional transitive • Optional nontransitive Well-known có nghĩa là thuộc tính đường đi đó phải được tất cả các thao tác BGP nhận ra. Optional (lựa chọn) có nghĩa là thao tác BGP không cần thiết phải hỗ trợ thuộc tính đó. Thuộc tính well-known có thể là mandatory (duy trì), nghĩa là các thuộc tính đó phải có mặt trong tất cả các bản tin cập nhật của BGP. Hoặc là discretionary, nghĩa là chúng có thể có hoặc không cần phải được gửi đi trong bản tin Update. Nếu một thuộc tính lựa chọn (optional attribute) là transitive thì tiến trình BGP sẽ chấp nhận đường đi mà có thuộc tính đó, ngay cả nếu nó không hỗ trợ. Nếu một thuộc tính lựa chọn là nontransitive, thì tiến trình BGP không nhận ra được thuộc tính đó sẽ loại bỏ cập nhật và không quảng bá đường đi đến BGP ngang cấp khác. Các thuộc tính được sử dụng trong tiến trình quyết định của BGP bao gồm: • Thuộc tính Next_hop Next_hop là thuộc tính well-known mandatory, mang code 3. Thuộc tính này cho biết địa chỉ IP của router kế tiếp trên đường đi được quảng bá đến đích. Địa chỉ này không nhất thiết là địa chỉ IP của láng giềng. Nó phải tuân theo các quy tắc sau: o Nếu router quảng bá và router nhận thuộc về AS khác nhau (là phiên EBGP), thì next_hop sẽ là địa chỉ IP của interface của router quảng bá. o Nếu router quảng bá và router nhận nằm trong cùng một AS (internal peer), tức là route được khởi tạo trong AS. Và NLRI của cập nhật thuộc về cùng AS, thì next_hop là địa chỉ IP của láng giềng đã quảng bá route. o Nếu router quảng bá và router nhận là internal peer, và NLRI của cập nhật lại thuộc về AS khác, thì next_hop là địa chỉ IP của external peer, nơi đã quảng bá route. Đối với trường hợp 3 ta xét ví dụ sau đây: Xem hình 3.1 Trong hình 3.1 ta thấy rằng mạng 192.168.5.0 là mạng có chứa next-hop, nhưng địa chỉ next-hop không phải nằm trong AS 509. Do đó các router nằm trong AS 509 (trừ router biên ASBR) sẽ không biết về mạng này. Và nếu mạng đó không có trong bảng định tuyến, thì địa chỉ next-hop cho mạng 207.135.64.0/19 là unreachable, và gói tin cho đích đó sẽ bị drop. Mặc dù route đến mạng 207.135.64.0/19 được cập nhật vào trong bảng BGP của router ngang cấp trong một AS (internal peer) nhưng nó lại không được cập
  4. nhật trong bảng định tuyến IGP vì địa chỉ next-hop không hợp lệ đối với router đó. Giải pháp là cấu hình trên router biên ASBR thiết lập địa chỉ của nó chính là next-hop bằng câu lệnh next-hop-self. Lúc đó router ngang cấp IBGP với router biên sẽ hiểu về mạng được router external quảng bá đến. • Thuộc tính AS_path AS_Path là thuộc tính well-known mandatory, mang code 2. AS_Path là một chuỗi thứ tự AS_number có route đi đến đích. AS khởi tạo route sẽ thêm AS-number của nó vào route khi gửi route đến router ngang cấp EBGP (external router). Sau đó, mỗi AS nhận route và chuyển nó đến BGP ngang cấp khác sẽ thêm vào trước (prepend) danh sách đó AS-number của nó. Danh sách cuối cùng có tất cả AS mà route đã đi qua trong đó AS nơi mà route xuất phát sẽ ở cuối cùng của danh sách. Loại AS_Path này được gọi là AS Sequence vì tất cả AS trong danh sách được sắp xếp theo một thứ tự nhất định. BGP sử dụng thuộc tính AS_Path trong các cập nhật định tuyến để đảm bảo chống loop trong Internet. Vì khi route được chuyển đi giữa các BGP ngang cấp, nếu đi qua một AS khác, nó sẽ thêm AS đó vào danh sách, do đó khi một AS nhận được một route, nó thấy có AS_number của nó trong thuộc tính AS_Path, nó sẽ loại bỏ route đó. Các BGP speaker không sử dụng thuộc tính AS_Path nếu chúng cùng thuộc về một AS. Ví dụ: Xem hình 3.2 Trong hình 3.2 là trường hợp ví dụ về thuộc tính AS_Path đối với route 172.1610.0/24. Route này khởi tạo từ AS1 và chuyển đến AS2, AS3, AS4 và trở về lại AS1. Khi route đó đi qua mỗi AS, nó sẽ thêm AS_number của AS đó vào trong danh sách, AS 1 sẽ ở cuối cùng của danh sách. Do đó khi AS 1 nhận được route, nó thấy có số 1 xuất hiện trong danh sách, và loại bỏ route. Thông tin AS_path là một trong những thuộc tính mà BGP kiểm tra để xác định route tốt nhất đến đích. Route nào có đường đi ngắn hơn sẽ được ưu tiên hơn. Nếu hai route có chiều dài AS_path như nhau thì sẽ sử dụng thêm nhiều thuộc tính khác (phần này nằm trong tiến trình quyết định của BGP). • Thuộc tính Community Community là thuộc tính optional transitive, mang code 8, được thiết kế để áp đặt các chính sách. Thuộc tính này ban đầu là do Cisco tạo ra, nhưng sau đó được chuẩn hóa trong RFC 1997. Thuộc tính Community dùng để nhận diện đích là thành viên của một cộng đồng có nhiều địa chỉ đích trong đó. Cộng đồng cùng chia sẽ một hay nhiều tính chất chung. Ví dụ, ISP có thể đăng kí thuộc tính Community nào đó đến tất cả các route của khách hàng. Sau đó ISP có thể thiết lập các thuộc tính khác dựa trên giá trị Community này cho toàn bộ các route thay vì phải làm việc đó trên từng route đơn lẻ.
  5. Thuộc tính Community là giá trị gồm 4 octet. Trong RFC chỉ ra rằng hai octet đầu tiên là Autonomous system, và hai octet cuối cùng là bộ nhận diện (Identifier) được định nghĩa bởi nhà quản trị. Nó có format là AA : NN. Ví dụ một route từ AS 625 có Community Identifier là 70. Vậy giá trị thuộc tính Community là 625:70, nếu được biểu diễn bằng số hexa là 0x02710046, với 625 = 0x0271 và 70 = 0x0046. Trong RFC sử dụng biểu diễn thuộc tính này bằng số Hexa nhưng trong các Cisco router lại sử dụng số thập phân. Giá trị community nằm trong dãy từ 0 (0x00000000) đến 65535 (0x0000FFFF) và từ 42490176 (0xFFFF0000) đến 429697295 (0xFFFFFFFF) được dành trước. Có nhiều Community được định nghĩa : o Internet: Internet community không có giá trị, mặc định tất cả các route thuộc về community này và sẽ được quảng bá tự do. o No_export (4294967041, hoặc 0xFFFFFF01): các route mang giá trị này không được quảng bá đến EBGP ngang cấp, hoặc nếu có Confederation được cấu hình thì các route không thể được quảng bá ra ngoài Confederation đó. o No-advertise (4294967042, hoặc 0xFFFFFF02): các route mang giá trị no-advertise không được quảng bá cho BGP ngang cấp nào hết (EBGP cũng như IBGP). o No_export_subconfed (4294967043, hoặc 0xFFFFFF03): Các route mang giá trị này không thể được quảng bá đến EBGP ngang cấp, kể cả các router trong AS khác thuộc về cùng một Confederation. • Thuộc tính Atomic Aggregate Là một thuôc tính well-known discretionary. Nó được thiết lập giá trị hoặc là True hoặc là False. Nếu là True, thì thuộc tính này sẽ cảnh báo cho router BGP biết rằng có nhiều đích đã được nhóm lại trong một cập nhật duy nhất và do đó việc mất thông tin đã xảy ra. Tức là khi router BGP gửi một route đã được nhóm lại đến cho router láng giềng của nó, nó phải kèm theo thuộc tính Atomic Aggregate vào route đó. Bất kì router BGP downstream nào nhận route với attribute Atomic Aggregate không thể có được chi tiết thông tin NLRI về route (các route trước khi được tóm gọn), và khi quảng bá route đã được tóm gọn đến router ngang cấp khác, nó cũng gửi kèm theo attribute Atomic Aggregate. • Thuộc tính Origin Origin là thuộc tính well-known mandatory. Nó chỉ ra nguồn của cập nhật định tuyến. BGP cho phép 3 loại origin sau: o IGP được khởi tạo nội bộ trong AS o EGP được học từ router BGP khác AS o Incomplete học đựơc từ một số cách khác như redistribution… BGP xem xét các thuộc tính Origin trong tiến trình quyết định để xem route nào tối ưu hơn route nào. BGP chọn loại origin thấp nhất. IGP thấp hơn EGP, EGP thấp hơn Incomplete.
  6. • Thuộc tính Local_Preference Là thuôc tính well-known discretionary. Local-Preference là thuộc tính dùng để so sánh các route đến cùng một đích route nào có độ ưu tiên cao hơn. Nếu route có thuộc tính Local_Preference cao hơn sẽ được chọn làm đường đi tối ưu. Cũng như tên thuộc tính này, nó chỉ chuyển đổi nội bộ giữa các router IBGP ngang cấp, không được quảng bá sang router EBGP ngang cấp khác. • Thuộc tính Weight Tương tự như Local_Preference, nó sẽ ưu tiên sử dụng route có giá trị Weight cao hơn. Nhưng khác với Local_Preference là thuộc tính Weight chỉ có ý nghĩa nội bộ trong router mà thôi, nó không trao đổi thuộc tính này với router khác. Thuộc tính Weight ảnh hưởng đến các route đến từ nhiều nhà cung cấp khác nhau tới một router, một router có nhiều kết nối tới hai hay nhiều nhà cung cấp. • Thuộc tính MED (Multiple Exit Discriminatior) MED là thuộc tính optional nontransitive. MED chỉ cho láng giềng EBGP về đường đi nào tối ưu hơn để vào trong một AS có nhiều điểm nào. MED có giá trị càng thấp càng được ưu tiên, do đó nó được xem là metric của BGP. Không giống như Local_Preference, MED được trao đổi giữa các AS, nhưng MED vào trong một AS sẽ không đi ra khỏi AS này. Khi có một cập nhật đến một AS với giá trị MED được thiết lập, giá trị này được sử dụng để quyết định chỉ trong nội bộ AS đó thôi. Khi BGP chuyển cập nhật cho một AS khác thì giá trị của MED được thiết lập về 0. Khi một route được khởi tạo bởi một AS, thì giá trị của MED thông thường là tuỳ theo metric IGP của route. Điều này trở nên hữu dụng khi một khách hàng có nhiều kết nối đến cùng một nhà cung cấp. Metric IGP chỉ ra chi phí đến một mạng để xác định điểm truyền. 3.1.4. Tiến trình quyết định trong BGP BGP dựa trên giá trị của các thuộc tính để quyết định chọn route. Khi gặp nhiều route đến cùng một đích, thì BGP sẽ chọn route tốt nhất để truyền tải đến đích. Quá trình chọn route như sau: • Next-hop không đến được, route sẽ bị loại bỏ. • Router BGP sẽ ưu tiên đường đi với thuộc tính Weight lớn nhất. • Nếu Weight bằng nhau, router BGP sẽ ưu tiên route với thuộc tính Local_preference lớn nhất. • Nếu route có cùng giá trị Local_preference, router BGP sẽ ưu tiên route với AS_Path ngắn nhất. • Nếu chiều dài AS_path là như nhau, router BGP sẽ ưu tiên route có thuộc tính Origin
  7. nhỏ nhất. • Nếu loại origin là như nhau, router BGP sẽ ưu tiên route với MED thấp nhất. • Nếu route có cùng giá trị MED, router BGP sẽ ưu tiên route EBGP trước, sau đó là AS khác trong cùng một Confederation, và cuối cùng là IBGP. • Nếu tất cả các trường hợp trên là như nhau thì router BGP sẽ ưu tiên route đến từ IGP láng giềng gần nhất. • Nếu đường đi trong một AS là như nhau, ID của router BGP sẽ được xem xét. Route đến từ router có ID thấp nhất sẽ được chọn. 3.2. VPN trong mạng MPLS MPLS VPN sử dụng mô hình VPN ngang cấp nhưng có kết hợp các đặc điểm tốt nhất của mô hình overlay VPN (hỗ trợ giải quyết vấn đề trùng không gian địa chỉ khách hàng) và các đặc điểm tốt nhất của mô hình VPN ngang cấp. Router biên của mạng nhà cung cấp tham gia vào định tuyến khách hàng, đảm bảo định tuyến tối ưu giữa các site khách hàng. Router sẽ mang các route riêng cho mỗi khách hàng, tạo ra sự cách ly hoàn hảo giữa họ. 3.2.1. Khái niệm VPN trong mạng MPLS VPN MPLS đưa ra khái niệm site. Một VPN là tập hợp gồm nhiều site chia sẽ cùng thông tin định tuyến chung. Có nghĩa là một site thuộc về nhiều hơn một VPN nếu nó đó nắm giữ các route từ mỗi VPN riêng. Điều này cung cấp khả năng xây dựng các VPN intranet và extranet cũng như các mô hình mạng khác. Nếu các site của một VPN thuộc về một doanh nghiệp (Enterprise), VPN đó được gọi là intranet VPN. Nếu các site của VPN thuộc về những doanh nghiệp khác nhau thì các site đó gọi là extranet VPN. Do đó, một VPN trong khối kiến trúc MPLS/VPN có thể được xem như là một nhóm người dùng gần nhau (closed user group - CUG). Ưu điểm của mạng MPLS/VPN: • Định tuyến tối ưu giữa các site khách hàng. • Cung cấp dễ dàng. • Cho phép trùng địa chỉ giữa các khách hàng bằng cách sử dụng route distinguisher. • Với việc sử dụng route target cho phép xây dựng các mô hình VPN phức tạp. 3.2.2. Các thành phần trong mạng MPLS VPN Có nhiều thành phần mạng được định nghĩa trong cấu trúc MPLS VPN. Các thành phần này thực hiện những chức năng khác nhau nhưng kết hợp với nhau để cấu thành mạng MPLS VPN. Bao gồm: • Provider network (P-network): mạng nhà cung cấp, mạng lõi MPLS/IP được quản trị bởi nhà cung cấp dịch vụ. • Provider router (P-router): là router chạy trong mạng lõi của nhà cung cấp, cung cấp việc vận chuyển dọc mạng backbone và không mang các route của khách hàng. • Provider edge router (PE-router): Router biên của mạng backbone, nó cung cấp phân
  8. phối các route của khách hàng và thực hiện đáp ứng các dịch vụ cho khách hàng từ phía nhà cung cấp. • Autonomous system boundary router (ASBR-router) : router biên trong một AS nào đó, nó thực hiện vai trò kết nối với một AS khác. AS này có thể có cùng hoặc khác nhà điều hành. • Customer network (C-network): đây là phần được khách hàng điều khiển. • Customer edge router (CE-router): router khách hàng đóng vai trò như là gateway giữa mạng C và mạng P. Router CE được quản trị bởi khách hàng hoặc có thể được nhà cung cấp dịch vụ quản lý. Các phần liên tục của mạng C được gọi là site và được nối với mạng P thông qua router CE. Hình dưới đây là mô hình cơ bản mạng MPLS VPN: Hình 3.3: Mô hình mạng MPLS VPN cơ bản • 3.3.1.b. BGP confederation MPLS/VPN có thể chia một AS ra thành nhiều AS nhỏ hơn. Mạng bên ngoài nhìn vào Confederation như là một AS duy nhất. Các router ngang cấp trong các AS liên lạc với nhau thông qua phiên EBGP. Tuy nhiên, chúng lại trao đổi thông tin định tuyến như là IBGP ngang cấp. Nếu tất cả các AS trong BGP Confederation chạy cùng một giao thức định tuyến, thì vẫn sử dụng các quy tắc iBGP thông thường. Các thuộc tính BGP không bị thay đổi, bao gồm cả next-hop cho mỗi route được trao đổi giữa các biên mạng AS con, next- hop này không được thay đổi khi đi qua một AS con trong BGP Confederation. Mỗi nex-hop sẽ được router PE trong backbone đăng kí một nhãn, quá trình chuyển đổi nhãn xảy ra trên tất cả các route VPN khách hàng. Ví dụ : hình vẽ 3.13 AS 100 chia thành hai AS con là AS65002 và AS 65001. Trong mạng ConfedCom, router PE1 nhận cập nhật cho route 195.12.2.0/24 từ VPN CusNet của khách hàng. Cập nhật này được đưa vào bản VRF CusNet và được quảng bá bằng cách sử dụng MP- iBGP đến router ASBR1 với địa chỉ next-hop là 194.17.1.2/32 và nhãn VRF là 11. Route này sau đó lại được quảng bá dọc biên giữa các AS con đến router ASBR2, với next- hop và nhãn không thay đổi. Router ASBR2 này lại quảng bá route đến router PE2, router PE2 thêm route vào bảng VRF của nó. Hình 3.13: Quá trình truyền route trong giải pháp BGP Confederation Nếu các AS trong BGP Confederation có nhiều tiến trình IGP, mỗi AS con chạy mỗi
  9. tiến trình IGP riêng thì next-hop cho tất cả các route BGP vẫn không thay đổi dọc biên mạng của các AS con. 3.3.2. Carrier’s Carrier Từ những ưu điểm của công nghệ MPLS/VPN và cộng với sự phát triển, mở rộng mạng ra nhiều vùng địa lý khác nhau. Nhiều doanh nghiệp lớn, doanh nghiệp trung bình, nhiều nhà cung cấp dịch vụ MPLS/VPN nhỏ hơn, và nhiều nhà cung cấp dịch vụ Internet (ISP) đã nhận thấy rằng khi kết nối vào mạng backbone MPLS/VPN họ có thể tránh được việc phải xây dựng cơ sở hạ tầng lớp 2 cho mạng của mình. Thay vào đó sử dụng mạng backbone của nhà cung cấp MPLS/VPN để kết nối các site lại với nhau. Ngoài vấn đề giảm thiểu được chi phí thì mỗi site có thể kết nối đến toàn bộ các site ngang cấp với nó, tức là full-mesh. Do đó sẽ cung cấp được định tuyến tối ưu nhất. Điều này có nghĩa là để cho phép tất cả các khách hàng như vậy truy cập vào mạng MPLS VPN backbone thì mạng backbone phải có khả năng mang một số lượng cực kì lớn thông tin định tuyến cho mỗi cá nhân khách hàng. Ví dụ như ISP, nhà cung cấp dịch vụ Internet, hầu như cần phải trao đổi một phần, nếu không nói là toàn bộ, bảng định tuyến Internet giữa các site của họ để khách hàng của họ có thể truy cập được Internet. Việc truy cập đến những khách hàng này gây ra vấn đề khó khăn khi mở rộng, vì mỗi router PE phải duy trì tất cả thông tin định tuyến local trong một VRF. Thông tin định tuyến này sau đó được phân phối đến tất cả các router PE có liên quan, lúc đó router CE hoàn toàn có thể đạt được thông tin định tuyến thích hợp. Để giải quyết vấn đề mở rộng trong trường hợp trên (tức là vấn đề định tuyến khi nhà cung cấp dịch vụ này lại là khách hàng của nhà cung cấp dịch vụ khác) một giải pháp mới được mở rộng ra từ MPLS/VPN chuẩn, gọi là Carrier hỗ trợ Carrier (Carrier supporting Carrier-Carrier’s Carrier). Carrier’s Carrier là thuật ngữ được sử dụng để mô tả một tình huống khi một nhà cung cấp dịch vụ cho phép nhà cung cấp dịch vụ khác sử dụng một phần trong mạng backbone của họ. Nhà cung cấp dịch vụ cung cấp một phần trong mạng backbone cho nhà cung cấp dịch vụ được gọi là Carrier backbone. Nhà cung cấp dịch vụ mà sử dụng một phần trong mạng backbone được gọi là Customer Carrier (Carrier khách hàng) 3.3.2.a. Một số thuật ngữ được sử dụng trong Carrier’s Carrier CSC: là từ viết tắt của Carrier’s Carrier. CSC router PE: hoạt động giống như router PE trong mạng MPLS/VPN thông thường, ngoại trừ việc nó cung cấp chuyển tiếp MPLS-to-MPLS hơn là việc chèn nhãn IP-to- MPLS. CSC router CE: hoạt động giống như router CE thông thường, ngoại trừ việc nó chạy giao thức phân phối nhãn với router PE. Carrier network: đây là Carrier backbone. Carrier’s carrier network: đây chính là Carrier khách hàng. Như hình vẽ sau đây :
  10. Hình 3.14: Mô hình mạng cơ bản CSC 3.3.2.b. Các loại route Carrier's Carrier Để hiểu được giải pháp Carrier's Carrier có thể thực hiện khả năng mở rộng cũng như sự cách ly mạng Carrier backbone như thế nào, ta cần phải biết được các loại route nào sẽ được sử dụng dành cho kết nối bên trong (internal) của một VPN nào đó, và loại route nào thuộc về khách hàng bên ngoài (external) của VPN đó. Giả sử ISP là khách hàng VPN của mạng backbone MPLS/VPN, tất cả các liên kết bên trong ISP, các dịch vụ bên trong cung cấp đến cho khách hàng của họ như web, DHCP…, các interface loopback (interface loopback được dùng để quản lý mạng, BGP peering) được xếp vào loại internal route. Còn tất cả các route từ internet và từ khách hàng bên ngoài của ISP được gọi là external route (các route bên ngoài). 3.3.2.c. Ưu điểm của việc triển khai MPLS VPN CSC Mạng MPLS VPN CSC cung cấp nhiều ưu điểm cho nhà cung cấp dịch vụ, kể cả Carrier backbone và Carrier khách hàng. Ưu điểm đối với Carrier backbone Carrier backbone có thể cung cấp cho nhiều Carrier khách hàng và cho phép họ truy cập vào mạng backbone. Carrier backbone không cần phải tạo và duy trì mỗi backbone riêng cho mỗi Carrier khách hàng. Sử dụng một mạng backbone để hỗ trợ nhiều Carrier khách hàng chỉ đơn giản thông qua hoạt động VPN của Carrier backbone. Carrier backbone chỉ cần sử dụng một phương pháp cố định để quản lý và duy trì mạng backbone. Điều này có nghĩa là tiết kiệm được chi phí và hiệu quả hơn so với việc phải duy trì riêng từng backbone. Đặc điểm MPLS CSC có khả năng mở rộng, nó có thể thay đổi VPN để đáp ứng nhu cầu băng thông và kết nối. Nó có thể hỗ trợ đến mười ngàn VPN qua cùng một mạng, và cho phép nhà cung cấp dịch vụ có thể vừa đáp ứng dịch vụ VPN vừa đáp ứng được dịch vụ Internet. MPLS/VPN CSC là một giải pháp linh động. Carrier backbone có thể hỗ trợ nhiều loại Carrier khách hàng. Carrier backbone có thể chấp nhận các Carrier khách hàng là ISP hoặc là nhà cung cấp dịch vụ VPN, hoặc cả hai. Nó có thể hỗ trợ Carrier khách hàng yêu cầu bảo mật và nhiều loại băng thông. Ưu điểm của Carrier khách hàng MPLS/VPN CSC giúp cho Carrier khách hàng loại bỏ việc phải cấu hình, hoạt động và duy trì mạng backbone của riêng họ. Carrier khách hàng sử dụng mạng backbone của
  11. Carrier backbone. Carrier khách hàng sử dụng dịch vụ VPN của Carrier backbone nhận cùng mức độ bảo mật như các VPN lớp 2 như Frame Relay, ATM. Carrier khách hàng cũng có thể sử dụng IPsec trong VPN của họ để bảo mật ở mức cao hơn, việc này hoàn toàn trong suốt đối với Carrier backbone. Carrier khách hàng có thể sử dụng bất kì mô hình địa chỉ nào và vẫn được hỗ trợ bởi Carrier backbone. Không gian địa chỉ khách hàng và thông tin định tuyến của một Carrier khách hàng độc lập với Carrier khách hàng khác, và độc lập với Carrier backbone. 3.3.2.d. Kết nối Carrier backbone Xét ví dụ sau: Hình 3.15 : Ví dụ về mô hình mang CSC Hình vẽ 3.15 là một ví dụ về MPLS/VPN CSC, nhà cung cấp dịch vụ SP là Carrier khách hàng của mạng MPLS backbone, nó gắn vào mạng backbone tại hai nơi: Site1 và Site2. SP có kết nối đến Internet với site1, tại site2 có khách hàng Internet là Gameonline. Vậy ở đây, SP cung cấp dịch vụ Internet (các loại dịch vụ ISP) trong cùng một VPN đến khách hàng của nó. Do đó, SP mang một số lượng thông tin định tuyến khá lớn giữa các site. SP nhận toàn bộ bảng định tuyến Internet từ upstream ISP trong site1. Nó cũng nhận thông tin định tuyến từ mỗi khách hàng internet mà nó đã cung cấp. Tất cả thông tin định tuyến này cần được mạng backbone phân phối giữa hai router CE1 và CE2. Vậy mạng backbone sẽ bao gồm các route của khách hàng đầu cuối và toàn bộ route Internet. Với số lượng thông tin định tuyến lớn như vậy nên cả hai nhà cung cấp quyết định sử dụng mô hình CSC. Bởi vì SP có thể quảng bá route bên ngoài (external route) giữa các site của nó bằng cách sử dụng BGP-4 và phân phối tất cả các route bên trong (internal route) đến router PE1 bằng cách sử dụng giao thức định tuyến động hay định tuyến tĩnh. Như vậy việc trao đổi route giữa hai mạng nhà cung cấp sẽ như sau: Hình 3.16: Quá trình trao đổi route giữa các nhà cung cấp trong CSC Các route được trao đổi giữa router PE và CE được đặt vào trong bảng VRF tương ứng với VPN mà nó thuộc về. Vì tất cả các route bên ngoài được trao đổi trực tiếp giữa các site của SP bằng cách sử dụng BGP-4, nên chỉ các route nào thuộc về bên trong mạng SP mới được quảng bá từ router CE đến router PE. Điều này đã làm giảm đáng kể số lượng thông tin định tuyến mà mạng backbone phải mang. Vì route bên ngoài được trao đổi bằng cách sử dụng BGP-4, nên cần phải có một đường chuyển mạch
  12. nhãn đầu cuối đến đầu cuối MPLS giữa router ingress và egress BGP-4 ngang cấp. Do đó, Carrier khách hàng phải có khả năng tạo ra đường chuyển mạch nhãn LSP này, tức là router CE của Carrier khách hàng phải có khả năng phân phối nhãn để có thể thiết lập được LSP dọc mạng MPLS backbone. Mỗi ASBR trong site của ISP chạy BGP-4 với tất cả các router ASBR trong các site khác để thông tin định tuyến của khách hàng của ISP có thể được trao đổi giữa các site với nhau. Địa chỉ BGP next-hop cho các route bên ngoài này phải được quảng bá đến mạng MPLS/VPN. Việc này có thể thực hiện được thông qua giao thức định tuyến hoặc định tuyến tĩnh giữa kết nối PE và CE. Tất cả các route bên trong được phân phối giữa các site qua mạng backbone, nên địa chỉ BGP next-hop dành cho các route bên ngoài phải có mặt trong bảng VRF tương ứng dành cho ISP và sẽ được sử dụng để xác nhận tính hợp lệ của các route bên ngoài khi được học thông qua phiên BGP giữa các site. Địa chỉ next-hop này (cũng như các route khác trong bảng VRF) được quảng bá thông qua giao thức MP-BGP và được nhập vào bảng VRF tương ứng trên router PE nhận. Tuy nhiên, mặc dù router PE ở ngõ vào đã học được thông tin về next-hop cho các route bên ngoài, nhưng các gói tin sử dụng thông tin định tuyến trên vẫn bị router PE đánh rớt vì router PE không có một kiến thức nào về thông tin định tuyến cho các route bên ngoài trong bảng VRF (vì nguyên tắc cơ bản của Carrier's Carrier là giảm thiểu số lượng thông định tuyến không cần thiết trên các router chạy trong mạng backbone). Để giải quyết vấn đề này, router CSC PE cần phải có một cơ chế khác để vận chuyển gói tin từ router CSC dựa trên yếu tố khác thay vì sử dụng địa chỉ IP. Yếu tố đó chính là sử dụng nhãn, nhãn sẽ được đăng kí cho các gói tin đến từ CSC router CE trước khi quảng bá vào router PE. Do đó, đòi hỏi trên router CSC CE phải có khả năng phân phối nhãn MPLS. Như ta đã biết, khi tính năng MPLS được bật lên trên interface VRF, router PE sẽ tự động đăng kí nhãn cho route nào mà nó học được từ dọc mạng MPLS/VPN. Đó là đối với các router chạy trong mạng MPLS, trong trường hợp CSC, mỗi site ISP không chạy MPLS nên không có giá trị nhãn đặc biệt nào được quảng bá từ router CE đến router PE. Thay vào đó, router CE sẽ đăng kí nhãn implicit- null cho mỗi route internal, và sẽ được quảng bá đến router PE. Các route external được quảng bá thông qua phiên iBGP giữa các site ISP cũng không có nhãn tương ứng vì không có giao thức phân phối nhãn nào chạy giữa các ASBR. Xét hiểu rõ hơn ta hãy xét ví dụ sau đây: Hình 3.17: Quá trình trao đổi route giữa các nhà cung cấp trong CSC (tiếp theo) Trong hình vẽ trên cho ta biết router ASBR1 của ISP học prefix 146.22.15.0/24 từ một trong các khách hàng của họ. Route này được quảng bá đến láng giềng iBGP trong site ISP ASBR1, và đến các site ISP khác với địa chỉ next-hop BGP là của ASBR1. Router CE1 ở ISP quảng bá địa chỉ netxt hop BGP cho route, trong trường hợp này, là địa chỉ của router ASBR1 dọc liên kết đến router PE1 của mạng MPLS sử dụng giao thức định tuyến được cấu hình trên liên kết đó. Địa chỉ này được router CE1 gắn nhãn implicit-null trước khi chuyển đến router PE1. Router PE1 trên MPLS sẽ nhập prefix ASBR1 vào bảng VRF ISP, sau đó router này sẽ đăng kí nhãn cho route và quảng bá nó
  13. đến tất cả các router PE sử dụng MP-iBGP. Router PE2 nhận cập nhật MP-iBGP cho prefix ASBR1 và nhập route đó vào bảng VRF ISP. Vì router PE2 được cấu hình để đăng kí nhãn cho gói tin nên nó sẽ đăng kí nhãn mới cho route này. Sau đó router PE quảng bá route này dọc liên kết PE và CE sử dụng cơ chế giao thức định tuyến chuẩn, có thể là IGP hoặc là BGP. Router PE cũng quảng bá ánh xạ nhãn sử dụng LDP để đăng kí nhãn thích hợp cho route. Khi router CE2 nhận cập nhật cho prefix ASBR1, nó quảng bá route đó đến router ASBR2. Hình 3.18 cho thấy đường đi của gói tin khi ASBR2 nhận gói tin có đích là 146.22.15.0/24: Hình 3.18: Quá trình trao đổi route giữa các nhà cung cấp trong CSC (tiếp theo) ASBR2 nhận gói tin, nó kiểm tra prefix 146.22.15.0/24 trong bảng chuyển tiếp của nó và tìm route BGP với next-hop chỉ đến router ASBR1. Khi router CE2 nhận gói tin, nó cũng tìm kiếm địa chỉ đích của mạng 146.22.15.0/24 trong bảng chuyển tiếp của nó và tìm được next-hop cho route đó là thông qua router PE2 trong mạng MPLS. Và nhãn 33 là nhãn được đăng kí đến địa chỉ next-hop này. Do đó gói tin được gửi đến router PE2 với nhãn 33. Khi router PE2 trong mạng MPLS nhận được gói tin có mang nhãn 33, nó biết rằng nhãn tương ứng với route VPN ASBR1 mà nó học được từ phiên MP-iBGP. Có nghĩa là nó sẽ chuyển nhãn mang giá trị 33 vào chồng nhãn, chồng nhãn này sẽ được sử dụng để tìm router PE gửi (trong ví dụ này là router PE1). Router PE2 sẽ chuyển mạch nhãn gói tin đến router PE1 sử dụng cơ chế chuyển tiếp như MPLS/VPN thông thường. Router PE1 sử dụng nhãn VPN để chuyển gói tin đến router CE1 ở ISP. Gói tin lúc này là không có nhãn, router CE sẽ định tuyến gói tin sử dụng bảng chuyển tiếp của nó. Đó là cơ chế hoạt động của Carrier’s Carrier. 3.3.3. Vấn đề bảo mật trong mạng MPLS/VPN Bảo mật luôn luôn là một vấn đề quan trọng trong bất kì mạng riêng ảo nào. Trong lĩnh vực bảo mật, mục tiêu của mô hình mạng MPLS/VPN lớp 3 là đạt được sự bảo mật có thể so sánh với sự bảo mật trong mô hình mạng overlay VPN như ATM hay Frame Relay mang lại. Bảo mật cho VPN phải đảm bảo được sự cách ly về thông tin định tuyến, về không gian địa chỉ của mỗi VPN. Nghĩa là việc cấp địa chỉ của mỗi VPN là hoàn toàn độc lập nhau. Thông tin định tuyến từ VPN này không được chảy vào VPN khác và ngược lại. Thứ hai bảo mật phải đảm bảo được cấu trúc mạng lõi hoàn toàn trong suốt với khách hàng sử dụng dịch vụ. Thứ ba, bảo mật phải đảm bảo được việc tránh làm giả nhãn như việc làm giả địa chỉ IP và chống các cuộc tấn công từ chối dịch vụ (Denial-of-
  14. service) cũng như tấn công truy cập dịch vụ (instrusion). Vậy mạng MPLS/VPN làm thế nào để đảm bảo được điều này? Trước hết ta biết rằng trong mạng MPLS/VPN cho phép sử dụng cùng không gian giữa các VPN nhưng vẫn tạo được tính duy nhất là nhờ vào giá trị 64 bit Route Distinguisher. Do đó, khách hàng sử dụng dịch vụ MPLS/VPN không cần phải thay đổi địa chỉ hiện tại của mình. Mỗi router PE duy trì một bảng VRF riêng cho mỗi VPN, và VRF này chỉ phổ biến các route thuộc về VPN đó. Do đó đảm bảo được sự cách ly thông tin định tuyến giữa các VPN với nhau. MPLS là kỹ thuật chuyển mạch nhãn, vì thế sự chuyển gói dữ liệu đi trong mạng không dựa vào địa chỉ IP trên mào đầu gói tin. Hơn nữa, tất cả các LSP đều kết thúc tại các router biên PE chứ không phải kết thúc tại các router P trong mạng. Do đó mạng lõi bên trong hoàn toàn trong suốt đối với khách hàng. Trong mạng MPLS/VPN, thật khó có thể tấn công trực tiếp vào VPN. Chỉ có thể tấn công vào mạng lõi MPLS, rồi từ đó tấn công vào VPN. Mạng lõi có thể tấn công theo hai cách: Bằng cách tấn công trực tiếp vào router PE. Bằng cách tấn công vào các cơ chế báo hiệu MPLS. Để muốn tấn công vào mạng, trước hết cần phải biết địa chỉ IP của nó. Nhưng mạng lõi MPLS hoàn toàn trong suốt so với bên ngoài, do đó kẻ tấn công không thể biết được địa chỉ IP của bất kì router nào trong mạng lõi. Họ có thể đoán địa chỉ và gửi gói tin đến những địa chỉ này. Tuy nhiên, trong mạng MPLS, mỗi gói tin đi vào đều được xem như là thuộc về không gian địa chỉ nào đó của khách hàng. Do đó, thật khó có thể tìm được các router bên trong ngay cả khi đoán được địa chỉ. Có thể việc trao đổi thông tin định tuyến giữa router PE và CE sẽ là điểm yếu trong mạng MPLS/VPN nhưng trên router PE có thể dùng ACL, các phương pháp xác thực của giao thức định tuyến dùng trên kết nối đó sẽ đảm bảo được vấn đề bảo mật. Việc làm giả nhãn cũng khó có thể xảy ra tại vì router PE chỉ chấp nhận những gói tin từ router CE gửi đến là gói tin không có nhãn, nếu gói tin là có nhãn thì nhãn đó là do PE kiểm soát và quản lý. Từ những vấn đề nêu trên, ta thấy việc bảo mật trong mạng MPLS/VPN hoàn toàn có thể so sánh ngang bằng với việc bảo mật trong mạng ATM hay FrameRelay. + Nguyễn Thị Băng Tâm 3.2.3. Hoạt động của MPLS VPN
  15. Như đã nói ở trên, MPLS VPN là sự kết hợp các ưu điểm của cả hai mô hình overlay VPN và peer-to-peer VPN. Do đó việc lựa chọn các yếu tố cần thiết để cấu thành mạng MPLS cũng trở nên quan trong, các yếu tố đó bao gồm giao thức định tuyến, cách truyền nhãn qua mạng MPLS trong khi vẫn đảm bảo được tính chất của VPN, v.v…Ta hãy đi phân tích một số đặc điểm để cấu thành mạng MPLS VPN. 3.2.3.a. Kiến trúc của router biên PE trong mạng MPLS VPN VPNv4 route là NLRI 96 bit (RD + 32 bit Ipv4 NLRI) Một bảng VRF sẽ chỉ có một route VPNv4 cho tất cả các địa chỉ prefix 32 bit thuộc về VRF đó. Khi địa chỉ đích của gói tin thỏa mãn (matched) được route VPNv4 thì có nghĩa là phần prefix 32 bit trong route VPNv4 thỏa mãn địa chỉ đích đó. Format của Route Distinguisher: Route Distinguisher được tạo ra để cho mỗi nhà cung cấp dịch vụ có thể quản trị ‘khoảng giá trị - numbering space’ của họ, họ có thể thực hiện việc đăng kí RD mà không mâu thuẫn với việc đăng kí RD của nhà cung cấp dịch vụ khác (nghĩa là RD của mỗi nhà cung cấp dịch vụ không trùng nhau). Format của RD bao gồm các trường: trường Type, trường Administrator , và trường Assigned number. • Trường Type: 2 byte, xác định chiều dài của hai trường còn lại. • Trường Administrator: dùng để nhận diện quyền của số được đăng kí (assigned number authority). • Trường Assigned number: bao gồm số được đăng kí cho mục đích cụ thể nào đó của nhà cung cấp dịch vụ. Tùy vào trường Type mà RD có format khác nhau, cấu trúc của giá trị này có thể là ASN : nn hoặc IP-address : nn. Với ASN là Autonomous System Number được đăng kí bởi Internet Assigned Number Authority (IANA), và nn là số được đăng kí bởi nhà cung cấp dịch vụ đến IANA. Số nn là giá trị mang tính duy nhất trên mỗi VRF, mặc dù trong môt vài trường hợp nó có thể duy nhất trên mỗi khách hàng VPN. Vậy VPN có thể có RD với trường Administrator là ASN hay IP-address. Nhưng cách sử dụng ASN được khuyến khích hơn vì nó được đăng kí bởi IANA, tạo ra được tính duy nhất giữa các nhà cung cấp dịch vụ. Sử dụng format IP-address : nn chỉ khi mạng MPLS/VPN sử dụng private AS nhưng địa chỉ VPN-Ipv4 được truyền đi không phải bị giới hạn ở private AS (ví dụ khi trao đổi VPN route giữa các nhà cung cấp dịch vụ khác nhau). Format của RD như sau: Hình 3.4: Khối kiến trúc của router PE Router PE trong MPLS VPN rất giống như kiến trúc của POP trong router PE dành trước trong mô hình VPN ngang cấp, chỉ có sự khác biệt là toàn bộ mọi thứ được tập
  16. trung vào một thiết bị vật lý. Mỗi khách hàng đăng kí một bảng định tuyến độc lập nhau (bảng định tuyến ảo) tương ứng như một router ảo trong mô hình VPN ngang cấp. Định tuyến dọc mạng của nhà cung cấp được thực hiện bởi tiến trình định tuyến khác sử dụng bảng định tuyến toàn cục (global), tương đương như intra-POP-P-router trong mô hình VPN ngang cấp. 3.2.3.b. Truyền thông tin định tuyến dọc mạng nhà cung cấp Khi bảng định tuyến ảo đảm bảo sự cách ly giữa các khách hàng, dữ liệu từ các bảng định tuyến này vẫn cần được trao đổi giữa các Router PE để dữ liệu có thể truyền giữa các site gắn vào các Router PE khác nhau. Do đó chúng ta cần phải có một giao thức định tuyến sẽ vận chuyển tất cả các route của khách hàng dọc mạng nhà cung cấp trong khi vẫn duy trì được không gian địa chỉ độc lập giữa khách hàng với nhau. Một giải pháp được đưa ra là chạy giao thức định tuyến riêng cho mỗi khách hàng. Các router PE có thể được kết nối thông qua các đường hầm điểm – điểm (và giao thức định tuyến cho mỗi khách hàng sẽ chạy giữa các router PE) hoặc là router P có thể tham gia vào quá trình định tuyến của khách hàng. Giải pháp này, mặc dù thực hiện đơn giản nhưng lại không thích hợp trong môi trường khách hàng, vì nó không có khả năng mở rộng và phải đối mặt với nhiều vấn đề khi có yêu cầu hỗ trợ VPN trùng lắp (overlapping VPN): o Router PE phải chạy một số lượng lớn các giao thức định tuyến . o Router P phải mang tất cả các route của khách hàng. o Sau đó, một giải pháp tốt hơn được đưa ra là chỉ triển khai một giao thức định tuyến có thể trao đổi tất cả các route của khách hàng dọc mạng nhà cung cấp. Rõ ràng giải pháp này tốt hơn giải pháp trước nhưng router P vẫn phải tham gia vào định tuyến khách hàng, do đó nó vẫn không giải quyết được vấn đề mở rộng. Để hiểu rõ hơn vấn đề mở rộng khi triển khai một giao thức định tuyến trên 1 VPN, ta lấy ví dụ sau đây: Giả sử mạng backbone của nhà cung cấp dịch vụ sẽ phải cung cấp hơn 100 khách hàng VPN kết nối đến router hai router biên PE sử dụng OSPF là giao thức định tuyến. Router PE trong mạng backbone sẽ chạy hơn 100 bản copy tiến trình định tuyến OSPF độc lập nhau với mỗi bản copy gửi các gói tin hello và gói tin refreshment tuần hoàn qua mạng. Vì có thể chạy hơn một bản copy OSPF qua cùng một link, ta có thể cấu hình các subinterface trên một VPN trên link giữa PE và CE, kết quả là tạo ra mô hình mạng phức tạp. Và phải chạy 100 thuật toán SPF cũng như duy trì database topology riêng rẽ trong các router P. Giải pháp tối ưu là truyền thông tin định tuyến khách hàng sẽ do một giao thức định tuyến giữa các router PE điều hành, các router P không tham gia vào việc định tuyến này. Giải pháp này hiệu quả vì nó có khả năng mở rộng: • Số lượng giao thức định tuyến giữa các router PE không tăng khi tăng số lượng khách hàng. • Router P không mang các route của khách hàng. Do đó yêu cầu bây giờ là việc lựa chọn giao thức định tuyến nào sẽ chạy giữa các router PE. Khi tổng số route của khách hàng rất lớn, nên chỉ có một giao thức định
  17. tuyến mới có khả năng đảm bảo được vấn đề này là BGP. BGP được sử dụng trong mạng MPLS/VPN trên các router PE để vẫn chuyển các route của khách hàng. Giao thức BGP dùng trong mạng MPLS/VPN được gọi là Multiprotocol BGP (MP-BGP). Ta có thể tóm tắt các ưu điểm của BGP để chọn nó là giao thức dùng cho việc vận chuyển các VPN route là: • VPN route trong mạng có thể tăng lên đáng kể với số lượng lớn. BGP là giao thức định tuyến có thể hỗ trợ số lượng lớn các route như vậy. • BGP, EIGRP, ISIS cũng là các giao thức định tuyến mang thông tin định tuyến cho nhiều lớp địa chỉ khác nhau. Nhưng ISIS và EIGRP không có khả năng mở rộng, không mang được một số lượng lớn các route như BGP. BGP cũng được thiết kế để trao đổi thông tin định tuyến giữa các router không kết nối trực tiếp. Đặc điểm này hỗ trợ việc giữ thông tin định tuyến không cho các router P biết. 3.2.3.c. Bảng định tuyến và chuyển tiếp VPN ( VPN routing forwarding - VRF) Sự kết hợp giữa bảng định tuyến VPN và bảng chuyển tiếp VPN tạo thành bảng định tuyến chuyển tiếp VPN (VRF). Mỗi VPN đều có bảng định tuyến và chuyển tiếp riêng của nó trong router PE, mỗi router PE duy trì một hoặc nhiều bảng VRF. Mỗi site mà có router PE gắn vào đó sẽ liên kết với một trong các bảng này. Địa chỉ IP đích của gói tin nào đó chỉ được kiểm tra trong bảng VRF mà nó thuộc về nếu gói tin đến trực tiếp từ site tương ứng với bảng VRF đó. Một VRF đơn giản chỉ là một tập hợp các route thích hợp cho một site nào đó (hoặc một tập hợp gồm nhiều site) kết nối đến router PE. Các route này có thể thuộc về hơn một VPN. Vậy các bảng VRF được phổ biến như thế nào ? Ví dụ, giả sử có 3 router PE là PE1, PE2, PE3, và 3 router CE là CE1, CE2, CE3. Giả sử PE1 học từ CE1 các route hợp lệ ở site CE1. PE2 và PE3 thứ tự gắn vào site CE2 và CE3. Cả ba site này đều thuộc cùng một VPN V, thì PE1 sẽ sử dụng BGP để phân phối cho PE2 và PE3 các route mà nó học được từ site CE1. PE2 và PE3 sử dụng các route này để đưa vào bảng chuyển tiếp dành cho site CE2 và CE3. Các route từ những site không thuộc vào VPN V sẽ không xuất hiện trong bảng chuyển tiếp này, có nghĩa là các gói tin từ CE3 và CE2 không thể được gửi đến những site nào không thuộc VPN V. Nếu một site thuộc vào nhiều VPN, bảng chuyển tiếp tương ứng với site đó có thể có nhiều route liên quan đến tất cả VPN mà nó thuộc về. PE chỉ duy trì một bảng VRF trên một site. Các site khác nhau có thể chia sẽ cùng bảng VRF nếu nó sử dụng tập hợp các route một cách chính xác giống như các route trong bảng VRF đó. Nếu tất cả các site có thông tin định tuyến giống nhau (điều này thường là các site đó cùng thuộc về tập hợp VPN) sẽ được phép liên lạc trực tiếp với nhau và nếu kết nối đến cùng một router PE sẽ được đặt vào cùng một bảng VRF chung. Giả sử router PE nhận được gói tin từ một site gắn trực tiếp vào nó, gọi site này là siteA nhưng địa chỉ đích của gói tin không có trong tất cả các entry có trong bảng chuyển tiếp tương ứng với siteA. Nếu nhà cung cấp dịch vụ không cung cấp truy cập
  18. Internet cho siteA thì gói tin sẽ bị loại bỏ vì không thể phân phối được đến đích, nhưng nếu nhà cung cấp dịch vụ có cung cấp truy cập Internet cho siteA thì lúc này địa chỉ đích của gói tin sẽ được tìm kiếm trong bảng định tuyến global. Do đó bất kì router PE nào trong mạng MPLS/VPN có nhiều bảng định tuyến trên mỗi VRF và một bảng định tuyến global, bảng định tuyến này được sử dụng để tìm các router khác trong mạng nhà cung cấp dịch vụ, cũng như tìm các đích thuộc về mạng bên ngoài (ví dụ như Internet). Tóm lại, VRF là một trường hợp (instance) định tuyến và chuyển tiếp có thể được sử dụng cho một site VPN hoặc cho nhiều site kết nối đến cùng một router PE miễn là các site này chia sẽ chính xác các yêu cầu kết nối giống nhau. Do đó cấu trúc của bảng VRF có thể bao gồm : • Bảng định tuyến IP. • Bảng chuyển tiếp. • Tập hợp các quy tắc và các tham số giao thức định tuyến (gọi là routing protocol context). • Danh sách các interface sử dụng trong VRF. 3.2.3.d. Phân phối route VPN thông qua BGP Với việc triển khai một giao thức định tuyến là BGP để trao đổi tất cả các route của khách hàng giữa các router PE, một vấn đề được đặt ra là: làm thế nào mà BGP có thể truyền nhiều prefix xác định thuộc về các khách hàng khác nhau giữa các router PE? Như ta đã biết BGP, trong format chuẩn của nó, chỉ có thể thực hiện được đối với các route IPv4. Trong MPLS/VPN, vì mỗi VPN phải có khả năng sử dụng (mặc dù điều này không cần thiết) các IP prefix giống nhau như các VPN khác (ngay cả khi chúng không liên lạc với nhau). BPG sử dụng địa chỉ IPv4 chọn một đường đi giữa tất cả các đường có thể đi đến đích (gồm có network và mask). Do đó, MP-BGP không thể làm việc đúng nếu khách hàng sử dụng cùng không gian địa chỉ. Chỉ có một giải pháp để giải quyết vấn đề này là mở rộng ip prefix khách hàng với một prefix duy nhất sẽ làm cho địa chỉ của khách hàng trở nên duy nhất ngay cả khi có sự trùng lắp địa chỉ. Hơn nữa ta phải đảm bảo rằng chính sách được sử dụng để quyết định route nào trong số các route được BGP sử dụng chỉ có thể có ở trong bảng VRF mà nó phải thuộc về. Việc truyền route của khách hàng dọc mạng MPLS VPN sẽ được thực hiện như sau: • Router CE gửi cập nhật định tuyến Ipv4 đến Router PE. • Router PE sau đó thêm vào Route Distinguisher 64 bit vào cập nhật định tuyến Ipv4 mà nó đã nhận đó, kết quả là tạo ra địa chỉ VPNv4 96 bit duy nhất. • Địa chỉ VPNv4 này được truyền đi thông qua phiên MP-IBGP đến các Router PE khác. • Router PE nhận sẽ loại bỏ Route Distinguisher từ địa chỉ VPNv4 tạo thành địa chỉ Ipv4 như ban đầu mà CE đầu xa đã gửi. • Địa chỉ Ipv4 này được chuyển tiếp đến router CE khác trong bản cập nhật định tuyến
  19. Ipv4. 3.2.3.e. Route Distinguisher (RD) Một prefix 64 bit, được gọi là Route Distinguisher, được sử dụng trong MPLS VPN để biến đổi địa chỉ IP 32 bit (là địa chỉ không duy nhất) thành địa chỉ 96 bit (là địa chỉ mang tính duy nhất). Địa chỉ 96 bit này sẽ đựơc truyền giữa các router PE và được gọi là địa chỉ VPNv4 (hay còn gọi là địa chỉ VPN_Ipv4). Route distinguisher bản thân nó không có ý nghĩa hay giá trị gì cả, nó không có mang thông tin về nguồn gốc của route hoặc về tập hợp các VPN mà route đó được phân phối tới. Mục đích của RD chỉ là cho phép tạo ra tính duy nhất cho các route có địa chỉ Ipv4. RD cũng có thể được sử dụng để tạo ra nhiều route khác nhau trong cùng một hệ thống. Format của địa chỉ VPNv4 : VPNv4 route là NLRI 96 bit (RD + 32 bit Ipv4 NLRI) Một bảng VRF sẽ chỉ có một route VPNv4 cho tất cả các địa chỉ prefix 32 bit thuộc về VRF đó. Khi địa chỉ đích của gói tin thỏa mãn (matched) được route VPNv4 thì có nghĩa là phần prefix 32 bit trong route VPNv4 thỏa mãn địa chỉ đích đó. Format của Route Distinguisher: Route Distinguisher được tạo ra để cho mỗi nhà cung cấp dịch vụ có thể quản trị ‘khoảng giá trị - numbering space’ của họ, họ có thể thực hiện việc đăng kí RD mà không mâu thuẫn với việc đăng kí RD của nhà cung cấp dịch vụ khác (nghĩa là RD của mỗi nhà cung cấp dịch vụ không trùng nhau). Format của RD bao gồm các trường: trường Type, trường Administrator , và trường Assigned number. • Trường Type: 2 byte, xác định chiều dài của hai trường còn lại. • Trường Administrator: dùng để nhận diện quyền của số được đăng kí (assigned number authority). • Trường Assigned number: bao gồm số được đăng kí cho mục đích cụ thể nào đó của nhà cung cấp dịch vụ. Tùy vào trường Type mà RD có format khác nhau, cấu trúc của giá trị này có thể là ASN : nn hoặc IP-address : nn. Với ASN là Autonomous System Number được đăng kí bởi Internet Assigned Number Authority (IANA), và nn là số được đăng kí bởi nhà cung cấp dịch vụ đến IANA. Số nn là giá trị mang tính duy nhất trên mỗi VRF, mặc dù trong môt vài trường hợp nó có thể duy nhất trên mỗi khách hàng VPN. Vậy VPN có thể có RD với trường Administrator là ASN hay IP-address. Nhưng cách sử dụng ASN được khuyến khích hơn vì nó được đăng kí bởi IANA, tạo ra được tính duy nhất giữa các nhà cung cấp dịch vụ. Sử dụng format IP-address : nn chỉ khi mạng MPLS/VPN sử dụng private AS nhưng địa chỉ VPN-Ipv4 được truyền đi không phải bị giới hạn ở
  20. private AS (ví dụ khi trao đổi VPN route giữa các nhà cung cấp dịch vụ khác nhau). Format của RD như sau: Ví dụ về việc sử dụng RD đã giải quyết được vấn đề trùng địa chỉ Ipv4: Hình 3.5: Sử dụng RD đã giải quyết được vấn đề trùng địa chỉ giữa các VPN Trên hình vẽ trên, router PE3 nhận hai cập nhật về mạng 10.2.1.0/24 từ hai router PE là PE1 và PE2, nhờ vào RD mà các cập nhật này mang tính duy nhất. Cập nhật được nhận từ router PE1 là cho prefix 100:27:10.2.1.0/24 và cập nhật được nhận từ router PE2 là cho prefix 100:26:10.2.1.0/24. 3.2.3.f. Route Target (RT) Mặc dù Route Distinguisher cho phép khách hàng VPN sử dụng cùng chung một không gian địa chỉ mạng riêng, nhưng nó không giải quyết được vấn đề khi có nhiều khách hàng trong cùng một VPN sử dụng chung không gian địa chỉ ở site của họ cũng như khi một site thuộc về nhiều VPN vì mỗi RD chỉ ánh xạ đến một VPN (ánh xạ một-một). Do đó cần có một phương pháp khác dùng để nhận dạng VPN và xác định một route nào đó thuộc về VPN nào. Khái niệm Route Target ra đời để giải quyết vấn đề đó. Chức năng được thực hiện bởi Route Target tương tự như chức năng được thực hiện bởi thuộc tính BGP Community. Tuy nhiên, format của thuộc tính BGP Community không thích hợp, vì nó chỉ có hai byte dành cho khoảng giá trị (numbering space). Do đó cần phải mở rộng thuộc tính Community để cung cấp khoảng giá trị lớn hơn. Và thuộc tính này được gọi là BGP Community mở rộng (extended BGP Community). Thuộc tính BGP Community mở rộng trong các cập nhật định tuyến được sử dụng để mang Route Target của cập nhật đó, từ đó sẽ xác định được cập nhật thuộc về VPN nào. Do đó, Route Target chính là thuộc tính được gắn vào VPNv4 route. Mỗi bảng VRF sẽ được kết hợp với một hay nhiều thuộc tính Route Target. Khi route VPNv4 được Router PE tạo ra, nó sẽ được kết hợp với một hay nhiều thuộc tính Route Target. Bất kì route nào mang Route Target T sẽ được phân phối đến mỗi router PE có bảng chuyển tiếp VRF có Route Target T. Khi PE nhận được một route như vậy nó được cập nhật vào bảng VRF mà Route Target đó đã nhận diện (vì mỗi VPN chỉ có một bảng VRF). MPLS/VPN Route Target được gắn đến route của khách hàng tại thời điểm route đó được router PE chuyển đổi từ route IPv4 thành route VPNv4 được gọi là RT xuất (export RT). RT xuất được cấu hình riêng biệt cho mỗi bảng VRF trong router PE và
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

THÔNG TIN
TRỢ GIÚP
HỖ TRỢ KHÁCH HÀNG
Theo dõi chúng tôi

Chịu trách nhiệm nội dung:

Nguyễn Công Hà - Giám đốc Công ty TNHH TÀI LIỆU TRỰC TUYẾN VI NA

LIÊN HỆ

Địa chỉ: P402, 54A Nơ Trang Long, Phường 14, Q.Bình Thạnh, TP.HCM

Hotline: 093 303 0098

Email: support@tailieu.vn

Giấy phép Mạng Xã Hội số: 670/GP-BTTTT cấp ngày 30/11/2015 Copyright © 2022-2032 TaiLieu.VN. All rights reserved.

 

Đồng bộ tài khoản
3=>0