Sự phát triển không ngừng của công nghệ đã đem lại cho con người những lợi ích thiết thực trong cuộc sống. Các yếu tố thúc đẩy sự phát triển của công nghệ viễn thông không chỉ dừng lại trong phạm vi viễn thông mà có liên quan đến các ngành công nghiệp, công nghệ khác như công nghệ điện tử, bán dẫn, công nghệ quang, công nghệ thông tin, Sự ra đời và phát triển của công nghệ MPLS đã được khẳng định nhằm đáp ứng cho nhu cầu đa dịch vụ, đa phương tiện của khách hàng,
Công nghệ IP truyền thống không thể đáp ứng được các yêu cầu ngày càng tăng về dịch vụ. Có rất nhiều giải pháp để tăng cường cho giao thức IP như Intserv, DiffServ, IPv6 , MPLS là một trong những giải pháp tối ưu hiện nay.
Có thể khẳng định tính ưu việt mà công nghệ MPLS đưa lại so với công nghệ ATM hay IP.
MPLS hiện đang là giải pháp được nhiều hãng cung cấp thiết bị lựa chọn cho mạng thế hệ sau.
Các sản phẩm hỗ trợ MPLS (tổng đài, bộ định tuyến) đều hỗ trợ ATM trên chính ngay cổng MPLS. Việc thay đổi giao thức MPLS hay ATM được thực hiện nhờ thiết lập cấu hình.
Sử dụng 2 giao thức chính của MPLS đó là LDP trong điều khiên phân phối nhãn của mạng MPLS, và giao thức RSVP-TE hoặc CR-LDP sử dụng cho kỹ thuật lưu lượng của MPLS.
Trên thế giới hiện nay, mạng riên ảo VPN hiện đang là giải pháp cho các doanh nghiệp có nhiều trụ sở phân tán về địa lý và trong tương lai có lẽ cũng là giải pháp cho nhiều doanh nghiệp Việt Nam. Sử dụng công nghệ MPLS để xây dựng mạng riêng ảo là một hướng tiếp cận khả thi và có nhiều ưu điểm lớn.
Đối với hạ tầng cơ sở Quốc gia, việc triển khai công nghệ MPLS cần được nghiên cứu sâu hơn để phát huy những ưu điểm của MPLS đồng thời phù hợp với nhu cầu thị trường của Việt Nam. Giải pháp đề xuất cho mạng của Tổng công ty Bưu chính Viễn thông Việt Nam là một ví dụ điển hình./.
108 trang |
Chia sẻ: oanh_nt | Lượt xem: 1433 | Lượt tải: 1
Bạn đang xem trước 20 trang tài liệu Đồ án tốt nghiệp Tìm hiểu công nghệ MPLS, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
d). Mỗi mạch thuê hoạt động như trong một đường dây trong mạng và người sử dụng có thể sử dụng các mạch thuê này tương tự như cách mà họ sử dụng các đường vật lý (physical cables) trong một mạng cục bộ. Tính riêng tư của trusted VPN thể hiện ở chỗ nhà cung cấp dịch vụ đảm bảo với khách hàng là sẽ không có một ai khác sử dụng cùng một mạch thuê riêng đó. Tuy nhiên một mạch thuê riêng trong thực tế đi qua rất nhiều thiết bị chuyển mạch của một, thậm chí nhiều nhà cung cấp dịch vụ khác nhau, và thông tin truyền trong mạch đó rất có thể bị theo dõi bởi những người phân tích lưu lượng mạng. Khách hàng của mạng riêng ảo loại này tin tưởng vào nhà cung cấp dịch vụ để duy trì tính toàn vẹn của các mạch, vì vậy có tên gọi là mạng riêng ảo kiểu tin tưởng (trusted VPN). Các mạng riêng xây dựng trên các đường dây leased line, hay các mạch Frame Relay đều thuộc dạng trusted VPN.
Hiện nay, khi ngày càng nhiều tổ chức sử dụng dữ liệu Internet làm cho phương tiện truyền thông thì an toàn dữ liệu trở thành vấn đề sống còn đối với cả người sử dụng lẫn nhà cung cấp dịch vụ. Như đã thấy, thực chất trusted VPN không đảm bảo tính an toàn dữ liệu. Đây chính là lý do phát triển các giao thức cho phép mật mã dữ liệu ở đầu ra của một mạng, chuyển dữ liệu đó vào Internet tương tự như các dữ liệu khác, sau đó giải mã dữ liệu phía thu. Dữ liệu đã mật mã có thể coi như được truyền trong một đường hầm giữa hai mạng. Cho dù một kẻ tấn công có thể nhìn thấy dữ liệu đó trên đường truyền thì cũng không có khả năng đọc được vì nội dung đã được mật mã. Ngoài ra, phía thu còn có khả năng phát hiện những dữ liệu đã bị thay đổi trên đường truyền và loại bỏ chúng, do đó một kẻ tấn công sẽ không thể thay đổi nội dung dữ liệu mà không bị phía thu phát hiện. Các mạng riêng ảo có sử dụng mật mã được gọi là mạng riêng an toàn (secure VPN).
V.1.3.2. Mô hình logic và các thành phần của kết nối VPN
Hình V.5 là mô hình logic của VPN. VPN cho phép truyền dữ liệu thông qua một mạng công cộng với các đặc tính của một đường dây thuê riêng điểm-tới-điểm (point-to-point private link). Thứ nhất, để có đặc tính điểm-tới-điểm, dữ liệu được đóng gói với phần header cung cấp thông tin định tuyến để nó có thể truyền qua mạng công cộng tới điểm cuối. Thứ hai, để có đặc tính riêng, dữ liệu trước khi truyền đi được mật mã để đảm bảo tính riêng tư. Đường truyền mà qua đó dữ liệu được đóng gói và mật mã gọi là một kết nối VPN (VPN connection).
Hình V.5: Mô hình logic của VPN
Hình V.6: Các thành phần kết nối của một VPN
Hình V.6 cho thấy các thành phần của một kết nối VPN. Về cơ bản, một kết nối VPN gồm có các thành phần sau:
VPN server: một thiết bị tiếp nhận các kết nối VPN từ các VPN server. VPN server có thể là một thiết bị phần cứng chuyên dụng hoặc máy tính cài đặt phần mềm thích hợp. VPN server có thể cung cấp kết nối VPN cho ứng dụng truy nhập từ xa (remote access VPN connection) hoặc kết nối VPN cho ứng dụng kết nối LAN-to-LAN (LAN-to-LAN connection).
VPN client: Môt thiết bị khởi tạo kết nối VPN tới một VPN server. Tương tự VPN server, VPN client có thể là một thiết bị phần cứng chuyên dụng, hoặc một máy tính đơn lẻ có cài đặt phần mềm client thích hợp.
Tunneling protocols: Là các chuẩn truyền thông được sử dụng để quản lý đường hầm và đóng gói dữ liệu.
Transit internetwork (mạng chuyển tiếp): mạng công cộng qua đó dữ liệu (đã được đóng gói) truyền qua. Thông thường mạng chuyển tiếp là các mạng IP: Internet hoặc IP-Based Intranet.
V.2. mô hình chồng lấn
Hiện nay hầu hết các dịch vụ VPN đều được cung cấp thông tin qua mô hình chồng lấn (Overlay). Đối với mô hình chồng lấn, mỗi site có một bộ định tuyến được kết nối kiểu điểm-điểm tới các bộ định tuyến tại các site khác trong mạng. Mỗi site có thể có một hay nhiều bộ định tuyến sử dụng để kết nối tới tất cả hoặc một phần các site trong mạng. Kỹ thuật sử dụng cho các kênh kết nối điểm-điểm có thể là kênh thuê riêng, kênh chuyển tiếp khung hoặc kênh ATM. Chúng ta gọi mạng bao gồm các kênh kết nối điểm-điểm và các bộ định tuyến kết nối với các kênh đó là một “mạng đường trục ảo”. Mạng đường trục ảo dùng để cung cấp các kết nối giữa các site.
Để minh họa cho mô hình chống lấn, chúng ta hãy xét ví dụ thể hiện trên hình V.7.
Hình V.7: Mô hình chồng lấn VPN
Trong ví dụ này ta có 2 VPN A và B. Vòng tròn ở giữa đại diện cho nhà cung cấp dịch vụ VPN. VPN A bao gồm 3 site: site 1, site 2, site 3. Bộ định tuyến R tại site 1 kết nối với bộ định tuyến R tại site 2 và R tại site 3 thông qua kênh chuyển tiếp khung hoặc ATM. Vì vậy đối với VPN A cấu hình kết nối giữa các site là mắt lưới hoàn hảo. Các kênh ảo chuyển tiếp khung hoặc ATM được cung cấp bởi các nhà cung cấp dịch vụ VPN. VPN B cũng bao gồm 3 site, tuy nhiên cấu hình kết nối giữa chúng là hình sao qua Hub trong đó site 1 đóng vai trò như Hub và site 2, site 3 đóng vai trò nhánh. Lưu ý rằng tại site có chức năng Hub không chỉ có 1 mà 2 bộ định tuyến Rvà R để kết nối các site này với các site khác. Một ưu điểm của việc sử dụng 2 bộ định tuyến thay vì 1 là tránh lỗi. Khi một bộ định tuyến dừng hoạt động do lỗi thì bộ định tuyến kia vẫn có thể cung cấp các kết nối. Nếu như chỉ có một bộ định tuyến tại một hub site và nếu bộ định tuyến này có lỗi thì không chỉ có hub không liên lạc được với các site khác mà ngay cả các site này cũng không liên lạc được với nhau. Lưu ý rằng địa chỉ sử dụng trong VPN A giống hệt địa chỉ sử dụng trong VPN B và cả hai đều sử dụng không gian địa chỉ nội bộ như được định nghĩa trong RFC 1918. VPN A không nhât thiết phải sử dụng cùng một giao thức định tuyến với VPN B, ví dụ như VPN A có thể sử dụng OSPF trong khi VPN B sử dụng RIP.
Mặc dù hiện nay các VPN xây dựng dựa trên mô hình chồng lấn chiếm đa số, tuy nhiên mô hình này vẫn còn rất nhiều hạn chế trong việc mở rộng triển khai dịch vụ VPN:
Hạn chế thứ nhất: xuất phát từ thực tế là khách hàng VPN phải tự thiết kế và vận hành mạng đường trục ảo của họ. Thiết kế và vận hành một mạng đường trục ảo là yêu cầu tồi thiểu trong định tuyến IP. Ngoài việc yêu cầu khách hàng có kiến thức về định tuyến IP, mô hình này cũng yêu cầu khách hàng có kiến thức về IP QoS, QoS lớp 2 và chuyển đổi giữa IP QoS và QoS lớp 2. Có yêu cầu này là bởi vì khái niệm QoS trong ATM và chuyển tiếp khung là ứng với các tham số của lớp 2 chứ không phải là IP QoS. Các bộ định tuyến trong mạng đường trục đóng vai trò quyết định đến QoS của các luồng lưu lượng và các bộ định tuyến này được điều hành bởi các khách hàng VPN. Việc làm chủ các kiến thức định tuyến IP, chất lượng dịch vụ IP (IP QoS) và chuyển đổi nó sang chất lượng dịch vụ trong ATM và chuyển tiếp khung là một vấn đề không đơn giản.
Hạn chế thứ hai: không có khả năng hỗ trợ khách hàng với số lượng lớn. Vấn đề thứ hai xuất phát từ phía khách hàng có số lượng lớn các site (100 hoặc nhiều hơn) và yêu cầu kết nối mắt lưới hoàn toàn giữa các site. Đối với khách hàng này một bộ định tuyến mạng đường trục tại một site có thể yêu cầu định tuyến kiểu ngang hàng với tất cả các bộ định tuyến đường trục tại tất cả các site trong mạng. Vì vậy đối với một VPN có N site, một bộ định tuyến đường trục có thể cần (N-1) tuyến ngang hàng. Vấn đề đặt ra đối với số lượng lớn các tuyến ngang hàng như vậy cũng giống như vấn đề đặt ra khi truyền IP qua ATM ứng với mô hình chồng lấn.
Hạn chế thứ 3: Thay đổi cấu hình, một vấn đề khác đặt ra đối với mô hình chồng lấn là việc thay đổi cấu hình khi cần thực hiện bổ sung một site vào mạng VPN đang hoạt động là phức tạp. Đối với một VPN có kết nối dạng lưới hoàn toàn giữa các site, khi bổ sung thêm một site thì cũng có nghĩa là phải thay đổi cấu hình của tất cả các site đó. Chẳng hạn như mỗi site sẽ cần bổ sung một kết nối điểm-điểm nối tới site mới và bổ sung thêm một tuyến ngang hàng tương ứng với bộ định tuyến tại nút mới.
Nói tóm lại các đặc điểm cơ bản của mô hình chồng lấn gây ra rất nhiều hạn chế khi mở rộng cung cấp dịch vụ VPN. Chính vì vậy mà các nhà cung cấp dịch vụ luôn luôn tìm kiếm giải pháp để thay đổi cơ bản mô hình hiện nay.
V.3. Mô hình ngang cấp
Mục đích chính của mô hình này là khắc phục các hạn chế cơ bản của mô hình chống lấn. Đặc biệt là mô hình này cho phép các nhà cung cấp dịch vụ VPN cung cấp dịch vụ VPN cho một số lượng lớn khách hàng (từ vài trăm cho đến vài triệu khách hàng VPN đối với mỗi nhà cung cấp dịch vụ), trong đó hầu hết khách hàng không cần hiểu sâu về định tuyến IP. Với mô hình này cho phép hỗ trợ các khách hàng với quy mô rất khác nhau, trong khi một số VPN chỉ có một vài site thì các VPN khác có thể có hàng trăm site, thậm chí hàng nghìn site. Đồng thời mô hình này cho phép cung cấp các dịch vụ VPN với cước phí thấp.
Mô hình ngang cấp được dựa trên các tiêu chí chính sau:
Phân phối cưỡng bức thông tin định tuyến
Đa bảng chuyển tiếp
Sử dụng kiểu địa chỉ mới là VPN-IP
MPLS
Để minh hoạ cho mô hình ngang cấp chúng ta hãy xét ví dụ thể hiện trên hình V.8. Vùng ở giữa bao gồm tập hợp một hay nhiều nhà cung cấp dịch vụ VPN. Xung quanh là các site tạo nên các mạng VPN. Trong hình này chúng ta thể hiện hai mạng VPN là A và B. Mỗi site của VPN A kết nối với nhà cung cấp dịch vụ VPN thông qua một bộ định tuyến “biên khách hàng” (CE). Mỗi site có thể có một hay nhiều bộ định tuyến CE, ví dụ như site 1 trong VPN B có hai CE là CE và CE còn site 3 trong VPN B chỉ có môt CE đó là CE. Trong hình V.8 cũng thể hiện tập hợp các đích có thể truy nhập đến trong mỗi site (ví dụ như tập hợp các đích có thể truy nhập đến trong site 2 của VPN A được xác định bởi tiền tố IP 10.2/16).
Về phía nhà sử dụng dịch vụ, mỗi bộ định tuyến CE được kết nối với một bộ định tuyến “biên nhà cung cấp dịch vụ” (PE). Lưu ý rằng một bộ định tuyến PE có thể kết nối với các site thuộc nhiều VPN khác nhau, hơn nữa các site này có thể sử dụng cùng địa chỉ IP cho các đích trong các site (địa chỉ IP phải là duy nhất trong một VPN, tuy nhiên nó không nhất thiết phải là duy nhất trong nhiều VPN. Trong thực tế, các VPN sử dụng cùng một miền địa chỉ IP được chỉ ra trong RFC 1918). Ví dụ như PEđược kết nối tới các site thuộc VPN A (site 2) và VPN B (site 2). Hơn nữa cả site 2 trong VPN A lẫn site 2 trong VPN B đều sử dụng một miền địa chỉ là 10.2/16 cho các đích bên trong chúng. Chúng ta cũng lưu ý rằng một site có thể được kết nối tới một hoặc nhiều bộ định tuyến PE. Trong ví dụ hình V.8, site 1 của VPN B được kết nối tới PE và PE.
Bộ định tuyến loại thứ 3 được thể hiện trên hình là bộ định tuyến “nhà cung cấp dịch vụ” (P), các bộ định tuyến loại này không kết nối với các site của khách hàng.
Hình V.8: Mô hình VPN ngang cấp
Có thể gọi mô hình này là mô hình ngang cấp là vì: về phương diện định tuyến, mạng phía nhà cung cấp dịch vụ đóng vai trò ngang cấp với mạng phía khách hàng vì các bộ định tuyến phía khách hàng ngang cấp với các bộ định tuyến phía nhà cung cấp dịch vụ. Đặc điểm này khác với mô hình chồng lấn, trong đó các bộ định tuyến phía khách hàng chỉ ngang hàng với các bộ định tuyến của các khách hàng khác thông qua các liên kết lớp 2 hoặc các đường hầm IP của nhà cung cấp dịch vụ. Tiếp theo chúng ta sẽ xem xét từng vấn đề liên quan đến giải pháp BGP/MPLS VPN trong mô hình ngang cấp. Trước tiên hãy xem xét việc phân phối cưỡng bức thông tin định tuyến.
V.4. Phân phối cưỡng bức thông tin định tuyến
Do mạng riêng ảo VPN là một tập hợp các phương thức áp dụng cho các kết nối giữa các site nên một trong những cơ chế quan trọng nhất là cơ chế điều khiển kết nối giữa các site. Việc điều khiển kết nối trong mạng VPN được thực hiện dựa trên phân phối cưỡng bức thông tin định tuyến. Lý do để phân phối cưỡng bức thông tin định tuyến có thể điều khiển được các kết nối là vì các luồng dữ liệu được xác định dựa vào nội dung luồng thông tin định tuyến. Vì vậy cưỡng bức các luồng thông tin định tuyến sẽ cưỡng bức các luồng dữ liệu (việc sử dụng cơ chế phân phối cưỡng bức thông tin định tuyến để điều khiển các kết nối đã được sử dụng rất rộng rãi trong mạng Internet từ cuối những năm 1980). Nói cách khác kết nối và luồng dữ liệu được điều khiển dựa trên nội dung bảng định tuyến của các bộ định tuyến và nội dung các bảng định tuyến này có thể được thay đổi bằng cách phân phối thông tin định tuyến.
Để thấy rõ phân phối cưỡng bức thông tin định tuyến được sử dụng như thế nào trong mạng VPN dựa trên BGP/MPLS, trước hết chúng ta hãy xem xét quá trình phân phối thông tin định tuyến được chia thành 5 bước như sau:
Truyền thông tin định tuyến từ site của khách hàng đến nhà cung cấp dịch vụ. Chính xác hơn là các thông tin này được truyền từ bộ định tuyến “biên khách hàng” (CE) đến bộ định tuyến “biên nhà cung cấp dịch vụ” (PE). Có nhiều cách lựa chọn để truyền các thông tin này như RIP, định tuyến tĩnh, OSPF hoặc BGP.
Tại cổng vào của bộ định tuyến PE, các thông tin này được truyền tới BGP của nhà cung cấp dịch vụ.
Các thông tin này được phân phối giữa các bộ định tuyến PE có sử dụng BGP của nhà cung cấp dịch vụ.
Bước này ngược lại so với bước 2, tức là tại cổng ra của bộ định tuyến PE, thông tin định tuyến được nhập vào từ BGP của nhà cung cấp dịch vụ.
Bước này ngược lại so với bước thứ nhất tức là các thông tin định tuyến được truyền từ cổng ra của bộ định tuyến PE tới bộ định tuyến CE.
Để phân phối cưỡng bức thông tin định tuyến, người ta sử dụng cơ chế định tuyến lọc dựa trên đặc tính cộng đồng (community) của BGP. ở bước 2, tùy theo cấu hình mà tại cổng vào của bộ định tuyến PE sẽ gắn đặc tính cộng đồng cho tuyến. Tuyến này sẽ được truyền thông tin tới BGP của nhà cung cấp dịch vụ. ở bước 4, căn cứ vào cấu hình mà cổng ra của bộ định tuyến PE sẽ sử dụng thông tin đặc tính cộng đồng để điều khiển việc nhận các thông tin định tuyến từ các BGP của nhà cung cấp dịch vụ và truyền chúng tới các bộ định tuyến CE của khách hàng.
Cơ chế định tuyến lọc dựa trên đặc tính cộng đồng của BGP có đặc điểm rất linh hoạt. Tại một đầu của kết nối, một cổng vào của bộ định tuyến PE có thể áp dụng một đặc tính cộng đồng cụ thể cho tất cả các tuyến đến từ một site cụ thể (nghĩa là từ một bộ định tuyến CE). Trong khi đó tại đầu kia, bộ định tuyến có thể áp dụng các đặc tính các đặc tính cộng đồng khác nhau cho riêng từng tuyến. Cơ chế định tuyến lọc cho phép điều khiển một cách linh hoạt kết nối giữa các site trong VPN vì các kết nối được điều khiển bằng định tuyến lọc dựa trên đặc tính cộng đồng. Điều đó cho phép nhà cung cấp dịch vụ sử dụng một cơ chế chung để hỗ trợ các khách hàng có các chính sách kết nối khác nhau.
ở đây phân phối cưỡng bức thông tin định tuyến được thực hiện ở bước 2 và 4, cần lưu ý rằng hai bước này do một nhà cung cấp dịch vụ thực hiện. Do cơ chế phân phối cưỡng bức thông tin định tuyến chỉ do nhà cung cấp quản lý nên khách hàng VPN không cần nắm vững và thực hiện các cơ chế này. Đặc điểm này cho phép cung cấp các dịch vụ VPN cho những khách hàng không có kiến thức sâu về định tuyến IP.
Để minh họa cho cơ chế phân phối cưỡng bức thông tin định tuyến được ứng dụng như thế nào trong mạng VPN dựa trên BGP/MPLS, chúng ta hãy xét ví dụ về luồng thông tin định tuyến từ site 1 đến site 3 trong VPN A trên hình V.8.
Tại bước 1, thông tin về tuyến 10.1/16 được phân phối từ bộ định tuyến CE của site 1 thuộc VPN A là CE tới bộ định tuyến PE mà CE nối với là PE. Việc phân phối này có thể được thực hiện thông qua giao thức RIP. Tại bước 2, thông tin về tuyến này sẽ được truyền tới BGP của nhà cung cấp dịch vụ, và khi tuyến này xuất hiện thì tại cổng vào của bộ định tuyến PE bằng việc thay đổi cấu hình mà bản thân nó sẽ gắn đặc tính cộng đồng của BGP tương ứng với tuyến. Tại bước 3, tuyến này sẽ được phân phối tới các bộ định tuyến PE khác dựa vào thủ tục BGP thông thường. Tại bước 4, cổng ra của bộ định tuyến PE sẽ nhập các thông tin về tuyến từ BGP của nhà cung cấp dịch vụ. Việc nhập các thông tin này được điều khiển theo cơ chế định tuyến lọc (phụ thuộc vào cấu hình bản thân PE) thực hiện bởi PE dựa trên các đặc tính cộng đồng mang trên tuyến. Cuối cùng tại bước 5, tuyến này sẽ được phân phối từ PE đến bộ định tuyến CE tại site 3 của VPN A. Việc phân phối này có thể được thực hiện dựa trên giao thức RIP giống bước 1 hoặc cũng có thể được thực hiện thông qua các giao thức khác nhau như OSPF hoặc BGP.
Chúng ta hãy xem xét các đặc điểm quan trọng của cơ chế điều khiển kết nối giữa các site liên quan đến khía cạnh mở rộng mạng VPN dựa trên BGP/MPLS. Trước hết chúng ta nhận thấy trong mạng VPN, một bộ định tuyến CE chỉ định tuyến ngang cấp với bộ định tuyến PE mà nó kết nối với chứ không phải với các bộ định tuyến CE tại các site khác trong mạng VPN đó. Đây chính là đặc điểm cơ bản của mô hình ngang cấp. Trong ví dụ hình V.8, bộ định tuyến CE chỉ định tuyến ngang cấp với bộ định tuyến PE chứ không phải với các bộ định tuyến CE hoặc CE trong mạng VPN A. Đặc điểm này cho phép dễ dàng xây dựng mạng VPN lớn với hàng trăm hoặc thậm chí hàng nghìn site. Ngược lại trong mô hình Overlay, khi chúng ta muốn có cấu hình kết nối dạng mắt lưới hoàn toàn có nghĩa là có các tuyến ngang cấp giữa tất cả các site trong mạng thì số tuyến ngang cấp sẽ tăng theo số lượng site. Điều đó có nghĩa về khía cạnh định tuyến ngang cấp thì khả năng mở rộng của mô hình Overlay kém hơn so với mạng VPN xây dựng dựa trên BGP/MPLS.
Đặc điểm thứ hai là khi bổ sung một site mới vào mạng VPN sẵn có thì nhà cung cấp dịch vụ phải thay đổi cấu hình bộ định tuyến PE kết nối với site mới này. Tổng quát hơn là lượng cấu hình thiết bị cần thay đổi khi muốn bổ sung hoặc xóa đi một site trong mạng VPN là rất nhỏ và không phụ thuộc vào số lượng site trong mạng. Ngược lại khi chúng ta muốn có cấu hình kết nối dạng mắt lưới hoàn toàn trong mô hình chồng lấn thì số lượng cấu hình thiết bị thay đổi tỷ lệ với số lượng site (khi muốn bổ sung thêm một site thì phải bổ sung thêm một kênh chuyển tiếp khung, một kênh ATM hoặc một đường hầm IP vào tất cả các site khác). Vì vậy về khía cạnh nhà quản lý cấu hình thì khả năng mở rộng của mô hình chồng lấn kém hơn so với mạng VPN xây dựng dựa trên BGP/MPLS.
Đặc điểm cuối cùng là các bộ định tuyến PE chỉ điều khiển các tuyến tới các VPN có site kết nối trực tiếp với PE đó (nghĩa là các site có bộ định tuyến CE kết nối tới bộ định tuyến PE). Ví dụ như trong hình V.8, bộ định tuyến PE chỉ điều khiển các tuyến cho mạng VPN A và B. Có thể có các mạng VPN khác (không thể hiện trên hình vẽ) không có site kết nối với PE sẽ không điều khiển các tuyến cho mạng VPN này.
V.5. Đa bảng chuyển tiếp
Như đã trình bày ở trên, phân phối cưỡng bức thông tin định tuyến là rất cần thiết. Tuy nhiên nó vẫn chưa đủ để điều khiển các kết nối vì mỗi PE có thể nối với các site nằm trong các VPN nằm trong các VPN khác nhau. Nếu như PE chỉ có một bảng định tuyến thì nó có thể sẽ bao gồm tất cả các tuyến cho tất cả các mạng VPN. Điều này là không thể chấp nhận được vì các thông tin này có thể phải đóng gói và trao đổi giữa các VPN.
Giải pháp để khắc phục vấn đề này là thay vì chỉ quản lý một, mỗi PE sẽ quản lý nhiều bảng định tuyến. Bằng việc kết hợp nhiều bảng định tuyến với định tuyến lọc cho phép mỗi VPN có một thông tin định tuyến riêng biệt để quản lý các kết nối giữa các site trong mạng VPN.
Trong trường hợp đặc biệt, mỗi site kết nối với bộ định tuyến PE có thể có một bảng định tuyến riêng khi mà mỗi site kết nối với PE đóng vai trò như một VPN. Tuy nhiên khi PE kết nối với nhiều site thuộc cùng một VPN thì các site này có thể dùng chung một bảng định tuyến.
Bộ định tuyến PE sử dụng đa bảng định tuyến để quản lý các gói mà nó nhận được từ các site nối trực tiếp với nó. Trong hầu hết các trường hợp đơn giản, mỗi cổng khách hàng trên bộ định tuyến PE sẽ tương ứng với một bảng định tuyến trong một khoảng thời gian nào đó, tại cổng vào của bộ định tuyến PE sẽ xác định xem PE sử dụng bảng định tuyến nào để chuyển tiếp các gói.
Mỗi bảng định tuyến trong bộ định tuyến PE được xây dựng dựa trên hai nguồn. Nguồn thứ nhất là tập hợp các tuyến kết nối trực tiếp giữa PE và các CE. Một bảng định tuyến của PE tương ứng với một VPN cụ thể bao gồm các tuyến liên kết nối trực tiếp giữa PE và các CE thuộc VPN đó. Nguồn thứ hai là tập hợp các tuyến kết nối PE đó với các PE khác. Đối với tập hợp các tuyến thuộc nguồn thứ hai, chúng ta định tuyến lọc dựa trên đặc tính cộng đồng của BGP như đã được trình bày ở phần trên.
Chúng ta xem xét một vài ví dụ về xây dựng mạng VPN. Ví dụ đơn giản nhất là các site trong một VPN kết nối dạng lưới hoàn toàn với nhau. Đối với các VPN kiểu này chúng ta chỉ sử dụng một đặc tính cộng đồng được gọi là C. Tại một bộ định tuyến PE nối với các site thuộc VPN này, tất cả các tuyến của site này đều được báo với BGP một đặc tính cộng đồng là C. Tương tự như vậy, tại tất cả các bộ định tuyến PE, các tuyến được nhập vào bảng định tuyến tương ứng với VPN đó chỉ bao gồm các tuyến có đặc tính cộng đồng C. Với ví dụ trên hình V.8, nếu như VPN A yêu cầu kết nối dạng mắt lưới hoàn toàn giữa các site, khi đó nhà cung cấp dịch vụ sẽ ấn định một đặc tính cộng đồng là C ứng với VPN dịch vụ sẽ ấn định một đặc tính cộng đồng là C ứng với VPN đó. Bộ định tuyến PE sẽ chuyển các tuyến mà nó tự nhận được từ CE cho BGP của nhà cung cấp dịch vụ với đặc tính cộng đồng là C. Tương tự như vậy, bộ định tuyến PE chỉ nhập vào từ BGP của nhà cung cấp dịch vụ bảng định tuyến tương ứng với VPN A các tuyến có đặc tính cộng đồng C.
Tiếp theo chúng ta xem xét một ví dụ khác trong đó VPN sử dụng kết nối kiểu Hub-Spoke giữa các site. Theo đó tất cả các site Spoke chỉ có thể trao đổi thông tin với nhau thông qua các site Hub. Trong trường hợp này, chúng ta cần hai cộng đồng khác nhau là C tương ứng với các Hub và C tương ứng với các Spoke. Một bộ định tuyến PE có kết nối trực tiếp với các site Spoke sẽ chuyển cho BGP của nhà cung cấp dịch vụ các thông tin về tuyến nhận được từ các site có BGP cộng đồng là C. Đồng thời bộ định tuyến PE này cũng nhập vào bảng định tuyến tương ứng với VPN các tuyến có đặc tính cộng đồng là C.
V.6. Địa chỉ IP trong VPN
ở phần trên chúng ta đã đề cập đến cơ chế điều khiển kết nối giữa các site trong một VPN. Tuy nhiên cơ chế này sử dụng giao thức BGP, mà giao thức BGP lại hoạt động dựa vào địa chỉ IP mà địa chỉ này phải là duy nhất. Yêu cầu này của giao thức BGP không được thỏa mãn trong môi trường các nhà cung cấp dịch vụ VPN, nơi mà cùng một khối (block) địa chỉ IP có thể được đồng thời sử dụng bởi nhiều khách hàng VPN. Vì vậy phải có một phương thức nào đó để sử dụng giao thức BGP trong môi trường mà địa chỉ IP không phải là duy nhất. Một giải pháp dễ thấy để giải quyết vấn đề này là chuyển các địa chỉ IP không duy nhất này thành các địa chỉ duy nhất bằng cách tạo ra một kiểu địa chỉ mới được gọi là địa chỉ VPN-IP và địa chỉ đó là duy nhất.
Địa chỉ VPN-IP được tạo ra bằng cách ghép hai thành phần có độ dài không đổi đó là: bộ nhận dạng tuyến và địa chỉ IP cơ sở. Yếu tố làm cho các địa chỉ mới tạo ra này là duy nhất là bộ nhận dạng tuyến. Bộ nhận dạng tuyến có cấu trúc cho phép mỗi nhà cung cấp dịch vụ VPN tự tạo ra một giá trị cho bộ nhận dạng tuyến mà không sợ một giá trị tương tự được sử dụng bởi nhà cung cấp dịch vụ khác. Theo định nghĩa, bộ nhận dạng tuyến bao gồm 3 trường đó là:
Loại (2 octet)
Số hệ thống (2 octet)
Số ấn định (4 octet)
Trong đó trường số hệ thống sẽ chứa số hệ thống của nhà cung cấp dịch vụ VPN. Trường số ấn định do mỗi nhà cung cấp dịch vụ mạng VPN tự quản lý. Trong hầu hết các trường hợp, nhà cung cấp dịch vụ mạng ấn định một giá trị trường số ấn định cho một mạng VPN, tuy nhiên đôi khi có thể ấn định nhiều giá trị cho một mạng VPN. Vì sẽ không có hai mạng VPN do một nhà cung cấp dịch vụ quản lý lại sử dụng chung một số ấn định và cũng vì số hệ thống là duy nhất trong mạng toàn cầu nên sẽ không có hai mạng VPN nào lại dùng chung một một bộ định dạng tuyến do đó các địa chỉ VPN-IP là duy nhất trong mạng toàn cầu.
Đối với BGP thì quản lý các tuyến ứng với địa chỉ VPN-IP không khác gì việc quản lý các tuyến ứng với địa chỉ IP cơ sở vì khả năng hỗ trợ đa giao thức của BGP làm cho BGP có khả năng quản lý tuyến ứng với nhiều họ địa chỉ khác nhau. Một điểm quan trọng cần lưu ý là cấu trúc địa chỉ VPN-IP cũng như cấu trúc của bộ nhận dạng tuyến ứng với địa chỉ VPN-IP là hoàn toàn mờ đối với BGP. BGP chỉ so sánh phần mào đầu của hai địa chỉ VPN-IP chứ không quan tâm đến cấu trúc của chúng. Vì vậy trong ngữ cảnh này chúng ta đã không đưa thêm một cơ chế mới nào vào BGP mà chỉ sử dụng những cái sẵn có. Ví dụ các cơ chế như: sử dụng đặc tính cộng đồng của BGP, định tuyến lọc dựa trên cộng đồng, sử dụng tuyến dự phòng trong BGP, định tuyến lọc dựa trên cộng đồng, sử dụng tuyến dự phòng trong BGP… được áp dụng đối với các tuyến ứng với các địa chỉ VPN-IP cũng giống như các tuyến ứng với địa chỉ IP cơ sở.
Sử dụng địa chỉ VPN-IP chỉ hoàn toàn giới hạn trong nhà cung cấp dịch vụ, các khách hàng VPN không có khái niệm gì về địa chỉ VPN-IP. Việc chuyển đổi giữa địa chỉ VPN-IP và địa chỉ VPN cơ sở được thực hiện ở bộ định tuyến PE. Đối với mỗi kết nối với một VPN, bộ định tuyến PE được cấu hình ứng với một giá trị của bộ nhận dạng tuyến. Khi PE nhận được một tuyến từ CE kết nối trực tiếp tới nó thì nó cần xác định CE đó thuộc VPN nào trước khi chuyển thông tin về tuyến này cho BGP của nhà cung cấp dịch vụ, PE sẽ chuyển địa chỉ IP cơ sở của tuyến thành địa chỉ VPN-IP bằng cách sử dụng bộ nhận dạng tuyến đã được nhận dạng cho VPN đó. Một cách tương tự khi PE nhập một tuyến từ BGP của nhà cung cấp dịch vụ, nó sẽ chuyển thông tin địa chỉ VPN-IP của tuyến thành địa chỉ IP cơ sở.
Một đặc điểm quan trọng cần nhấn mạnh là địa chỉ VPN-IP chỉ được tải trong các giao thức định tuyến chứ không được tải trong phần mào đầu của gói IP. Vì vậy VPN-IP không thể được sử dụng một cách trực tiếp để định tuyến gói. Nhiệm vụ định tuyến các gói được thực hiện dựa trên MPLS sẽ được trình bày ở mục tiếp sau đây.
V.7. Chuyển tiếp gói bằng MPLS
Mục này chúng ta sẽ xem xét việc sử dụng BGP để tạo nên tất cả các tuyến cần thiết, thậm chí ngay cả trong môi trường địa chỉ IP không duy nhất. Vấn đề đặt ra với các tuyến này là chúng không tương ứng với địa chỉ IP mà chỉ tương ứng với địa chỉ VPN-IP, mà trong mào đầu IP không có chỗ để mang địa chỉ VPN-IP. Vậy làm thế nào để chuyển tiếp các gói tin IP dọc theo các tuyến này?
MPLS được sử dụng để chuyển tiếp các gói tin IP dọc theo các tuyến tương ứng với địa chỉ VPN-IP. MPLS cho phép thực hiện được việc này vì nó tách riêng thông tin sử dụng để chuyển tiếp gói tin (nhãn) với thông tin mang trong mào đầu IP. Nó cho phép kết hợp LSP với các tuyến ứng với địa chỉ VPN-IP và sau đó chuyển tiếp các gói tin IP dọc theo những tuyến đó bằng cách sử dụng MPLS như phương tiện chuyển tiếp. Do các địa chỉ VPN-IP chỉ giới hạn trong các nhà cung cấp dịch vụ, vì vậy MPLS cũng chỉ giới hạn trong phạm vi nhà cung cấp dịch vụ.
Để minh họa việc chuyển tiếp được thực hiện như thế nào, trước hết chúng ta hãy xem xét một ví dụ như mô tả trong hình V.9. Đứng trên phương diện MPLS thì bộ định tuyến PE chính là LSR biên. Tức là bộ định tuyến PE chuyển các gói tin dán nhãn và ngược lại.
Hình V.9: Gán nhãn tại bộ định tuyến PE
Khi bộ định tuyến CE gửi một gói tin IP tới bộ định tuyến PE mà nó kết nối trực tiếp tới, bộ định tuyến PE sử dụng cổng lối ra vào (giao diện mà bộ định tuyến PE nhận gói tin) để xác định xem CE đó thuộc VPN nào, từ đó xác định bảng định tuyến (còn gọi là cơ sở dữ liệu thông tin định tuyến hay FIB) tương ứng với VPN đó. Khi đã xác định được FIB, bộ định tuyến PE sẽ căn cứ vào địa chỉ IP đích có trong gói tin để xác định địa chỉ IP thông thường trong FIB này. Sau đó, bộ định tuyến PE sẽ thêm các thông tin nhãn phù hợp vào gói tin và chuyển tiếp nó đi.
Để tăng khả năng mở rộng của mô hình này, người ta đã sử dụng định tuyến phân cấp nhờ đó không có bộ định tuyến P nào phải duy trì thông tin định tuyến VPN, điều này làm giảm tải định tuyến (nghĩa là giảm số lượng tuyến và số lượng nhãn) tại các bộ định tuyến P. Để thực hiện định tuyến phân cấp, chúng ta sử dụng không chỉ một mà hai mức nhãn. Nhãn mức 1 tương ứng với cổng ra của của bộ định tuyến PE và do đó có thể chuyển tiếp từ cổng vào tới cổng ra của bộ định tuyến PE. Nhãn mức 2 được sử dụng để điều khiển việc chuyển tiếp tại các cổng ra của bộ định tuyến PE. Nhãn mức 1 có thể được phân phối qua qua LDP. Trong trường hợp các nhà cung cấp dịch vụ muốn điều khiển lưu lượng thì có thể phân phối qua RSVP hoặc CR-LDP. Nhãn mức 2 được phân phối qua BGP cùng với các tuyến tương ứng với địa chỉ VPN-IP.
Cần lưu ý là một tuyến tương ứng với địa chỉ VPN-IP được phân phối qua BGP mang các thông tin: thuộc tính nút tiếp theo, địa chỉ của bộ định tuyến PE khởi phát, và tuyến tới địa chỉ nút tiếp theo. Các thông tin này được cung cấp theo các thủ tục nhất định tuyến nội vùng của nhà cung cấp dịch vụ. Do vậy có thể nhận thấy rằng các thông tin mang trong thuộc tính của nút tiếp theo bao gồm thông tin định tuyến nội vùng và các tuyến VPN.
Để minh họa việc định tuyến tuyến phân cấp được sử dụng trong MPLS như thế nào, chúng ta hãy xem xét một ví dụ trong hình V.10.
Hình V.10: Sử dụng tập nhãn hai mức
Trong ví dụ này có hai site trong một VPN, mỗi site được đại diện bằng một bộ định tuyến CE (CE và CE). Cả bộ định tuyến PE và PE được cấu hình với bộ nhận dạng tuyến sử dụng cho VPN đó cũng như với BGP cộng đồng được sử dụng khi chuyển các thông tin về tuyến tới BGP của nhà cung cấp dịch vụ và khi nhập các tuyến từ BGP của nhà cung cấp dịch vụ. Trong PE tương ứng với giao diện kết nối PE và CE sẽ có một bảng định tuyến của VPN đó.
Khi bộ định tuyến PE nhận một tuyến từ CE với thông tin đích là 10.1.1/24, PE chuyển thông tin đích của tuyến đó từ địa chỉ IP sang địa chỉ VPN-IP đồng thời ghép thêm thuộc tính BGP cộng đồng và chuyển thông tin về tuyến này cho BGP của nhà cung cấp dịch vụ. Thuộc tính BGP của nút tiếp theo của tuyến này được đặt là địa chỉ của PE. Ngoài tất cả các thông tin BGP truyền thống, tuyến này cũng mang một nhãn tương ứng với địa chỉ VPN-IP của tuyến đó. Thông tin này được phân phối tới PE sử dụng BGP (được thể hiện bằng đường đứt trên hình vẽ). Khi PE nhận được một tuyến nó sẽ chuyển từ địa chỉ VPN-IP của tuyến sang địa chỉ IP và sử dụng nó để xác định tuyến tương ứng với VPN đó.
Ngoài ra còn có một LSP từ PE tới PE, nó tương ứng với một tuyến tới PE và được thiết lập và duy trì nhờ LDP hoặc quản lý lưu lượng MPLS. Chú ý là các thông tin về tuyến được phân phối qua BGP như: thuộc tính nút tiếp theo, địa chỉ của PE và tuyến tới địa chỉ đó được cung cấp thông qua định tuyến nội bộ trong miền nhà cung cấp dịch vụ. Vì vậy địa chỉ của PE (mang trong thuộc tính nút tiếp theo) sẽ cho ta thông tin về định tuyến nội bộ nhà cung cấp (ví dụ như tuyến tới PE) và các tuyến của VPN (tuyến tới địa chỉ 10.1.1/24). Bảng định tuyến tương ứng với VPN có trong bộ định tuyến PE sẽ chứa một tuyến cho địa chỉ 10.1.1/24 và một tập nhãn trong đó nhãn phía trong là nhãn mà PE nhận qua BGP và nhãn phía ngoài là nhãn tương ứng với tuyến tới PE.
Khi CE gửi một gói tin với địa chỉ đích là 10.1.1.1, khi gói tin đó tới PE, nó sẽ xác định bảng định tuyến tương ứng và sau đó thực hiện tìm kiếm trong bảng. Kết quả của việc tìm kiếm đó, PE gắn hai nhãn vào gói tin và gửi gói tin tới P. P sẽ sử dụng nhãn phía ngoài để quyết định chuyển tiếp gói tin đó tới P. P là nút kề cuối theo LSP tương ứng với tuyến tới PE nhận gói tin nó sử dụng nhãn mang trong gói tin (nhãn mà PE phân phối tới PE qua BGP) để đưa ra quyết định chuyển tiếp gói tin đó. PE loại bỏ nhãn trước khi gửi gói tin tới CE.
Để đánh giá được lợi ích về khả năng mở rộng đạt được thông qua việc phân cấp thông tin định tuyến trong MPLS, chúng ta hãy xem xét trường hợp mạng nhà cung cấp dịch vụ gồm 200 bộ định tuyến (cả PE và P), hỗ trợ 10.000 VPN, mỗi VPN có trung bình 100 bộ định tuyến. Khi không sử dụng phân cấp thông tin định tuyến MPLS, mỗi bộ định tuyến P cần duy trì thông tin 10.000 x 100 = 1.000.000 tuyến. Trong trường hợp phân cấp thông tin định tuyến MPLS, mỗi bộ định tuyến chỉ cần duy trì thông tin về 200 tuyến.
V.8. Khả năng mở rộng mạng
Trong các phần trước chúng ta đã bàn đến một số vấn đề liên quan đến khía cạnh mở rộng mạng VPN dựa trên BGP/MPLS. Trong đó số lượng tuyến ngang cấp phải được duy trì là không đổi không phụ thuộc vào tổng số lượng site có trong VPN. Vì vậy cho phép hỗ trợ các mạng VPN có hàng trăm đến hàng nghìn site. Chúng ta cũng biết rằng số lượng các thiết bị cần thay đổi cấu hình khi bổ sung hoặc xóa bỏ một site là không đổi và không phụ thuộc vào tổng số lượng site có trong VPN.
Tiếp theo chúng ta xem xét khả năng mở rộng ở khía cạnh xử lý thông tin định tuyến. Trước hết nhờ sử dụng phân cấp thông tin định tuyến trong MPLS mà các bộ định tuyến P không phải xử lý các thông tin định tuyến trong các VPN. Điều đó có nghĩa là các bộ định tuyến P không phải lưu các thông tin định tuyến trong VPN. Các thông tin định tuyến này chỉ cần lưu tại các bộ định tuyến PE.
Mặc dù bộ định tuyến PE phải lưu và xử lý các thông tin định tuyến của các VPN nhưng chúng chỉ lưu các thông tin định tuyến cho các VPN có các site nối trực tiếp với bộ định tuyến PE đang xem xét chứ nó không phải lưu thông tin định tuyến của tất cả các mạng VPN được cung cấp bởi nhà cung cấp dịch vụ. Khi dung lượng thông tin định tuyến trong một bộ định tuyến PE tăng lên quá nhiều, ta có thể bổ sung thêm một bộ định tuyến PE mới và chuyển một số VPN kết nối với PE cũ sang PE mới.
Cuối cùng chúng ta xem xét cách quản lý bộ quản lý tuyến (Route Reflector) của BGP. Để tránh xảy ra trường hợp một bộ quản lý tuyến phải xử lý thông tin định tuyến cho tất cả các VPN trong mạng của nhà cung cấp dịch vụ, người ta phân vùng các bộ quản lý tuyến theo nhóm các VPN được hỗ trợ bởi nhà cung cấp dịch vụ. Cách phân vùng bộ quản lý tuyến có thể là mỗi bộ quản lý tuyến quản lý 100 mạng VPN. Kết quả của việc phân vùng này là nếu dung lượng thông tin định tuyến của VPN do bộ quản lý tuyến tăng quá cao thì chúng ta có thể bổ sung thêm một bộ quản lý tuyến mới và chuyển một số VPN do bộ quản lý tuyến cũ quản lý sang bộ quản lý tuyến mới.
Như đã biết, không có một thiết bị nào trong mạng của nhà cung cấp dịch vụ cần phải lưu toàn bộ thông tin định tuyến cho tất cả các VPN trong mạng của nhà cung cấp dịch vụ không bị giới hạn bởi khả năng của một thiết bị độc lập. Điều đó cũng có nghĩa là giới hạn mở rộng định tuyến trong mạng của nhà cung cấp dịch vụ là ảo và không hạn chế.
V.9. bảo mật
Bảo mật là một trong các yếu tố rất quan trọng đối với tất cả các giải pháp mạng VPN. Về khía cạnh bảo mật thì giải pháp xây dựng mạng VPN dựa trên BGP/MPLS có thể đạt được mức độ bảo mật tương đương với giải pháp mạng VPN xây dựng dựa trên công nghệ ATM hoặc chuyển tiếp khung. Như vậy, nếu như không có sự phối hợp kết nối đầy đủ hoặc đặt cấu hình sai thì các gói tin từ một mạng VPN không thể xâm nhập vào một mạng VPN khác.
Để thấy rõ việc bảo mật được thực hiện như thế nào, trước hết cần tìm hiểu rằng việc định tuyến trong mạng của một nhà cung cấp dịch vụ VPN được thực hiện dựa trên chuyển mạch nhãn chứ không phải dựa trên địa chỉ IP truyền thống. Hơn nữa, mỗi LSP tương ứng với một tuyến VPN-IP được bắt đầu và kết thúc ở một điểm trung gian nào đó trong mạng của nhà cung cấp dịch vụ. Tại một bộ định tuyến PE, mỗi LSP tương ứng với một bảng định tuyến cụ thể, và bảng định tuyến lại tương ứng với một cổng trong bộ định tuyến PE mà các cổng tại mỗi thời điểm khác nhau lại tương ứng với một VPN cụ thể, tương ứng với một bảng định tuyến và chúng thay đổi theo thời gian.
Vì vậy khi một bộ định tuyến PE gửi một gói tin tới bộ định tuyến CE thuộc một VPN, gói tin này có thể đến từ hai nguồn khác nhau đó là: từ một CE khác kết nối trực tiếp với PE đó hoặc từ một PE khác. ở trường hợp cả hai CE phải cùng thuộc một VPN và nó phải có bảng định tuyến giống nhau. Đối với trường hợp thứ hai gói tin phải được chuyển tiếp tới PE đó thông qua LSP tương ứng với một bảng định tuyến cụ thể và bảng định tuyến đó tương ứng với VPN trong một khoảng thời gian. LSP này khởi phát từ một PE khác, tại đây LSP tương ứng với một bảng định tuyến và bảng định tuyến lại tương ứng với VPN. Tại bộ định tuyến PE bắt đầu của LSP này, để các gói tin có thể chuyển tiếp thông qua bảng định tuyến tương ứng với VPN thì chúng phải tới PE tại cổng tương ứng với VPN đó. Kết quả là khi cấu hình không thống nhất, thì việc chèn thêm các gói tin vào mạng VPN chỉ có thể được thực hiện thông qua các cổng của PE tương ứng với VPN đó. Vì vậy các gói tin có thể vô tình hoặc hữu ý không thể được chèn vào mạng VPN nếu như người gửi không thuộc vào mạng VPN đó. Đặc điểm này ngược lại so với mạng dựa trên công nghệ ATM hoặc Frame Relay.
V.10. Hỗ trợ QoS trong MPLS VPN
Về phương diện QoS thì các cơ chế được sử dụng phải đủ mềm dẻo để hỗ trợ nhiều loại khách hàng VPN khác nhau, đồng thời chúng phải có khả năng mở rộng để có thể hỗ trợ một số lượng lớn khách hàng VPN. Ví dụ như nhà cung cấp dịch vụ phải cung cấp cho khách hàng VPN với nhiều mức dịch vụ (CoS - Class of Service)khác nhau cho mỗi VPN, trong đó các ứng dụng khác nhau trong cùng một VPN có thể nhận các CoS khác nhau. Theo cách này dịch vụ email có thể có một CoS trong khi đó một số ứng dụng thời gian thực khác có thể có CoS khác. Hơn nữa, CoS mà ứng dụng nhận được trong một VPN có thể khác so với CoS mà vẫn ứng dụng này có thể nhận được ở VPN khác. Tức là các cơ chế hỗ trợ QoS cho phép quyết định loại dữ liệu nhận CoS nào phù hợp cho từng ứng dụng VPN.
Trước khi đi vào các cơ chế hỗ trợ QoS được sử dụng trong VPN dựa trên BGP/MPLS, chúng ta xem xét hai mô hình được sử dụng để biểu diễn QoS trong VPN đó là mô hình “ống” và mô hình “vòi”.
Trong mô hình ống một nhà cung cấp dịch vụ VPN cung cấp cho một khách hàng VPN một QoS đảm bảo cho dữ liệu đi từ một bộ định tuyến CE của khách hàng tới các bộ định tuyến CE khác. Về hình thức ta có thể hình dung mô hình này như một đường ống kết nối hai bộ định tuyến với nhau, và lưu lượng giữa hai bộ định tuyến trong đường ống này đảm bảo QoS xác định. Ví dụ về một loại đảm bảo QoS có thể được cung cấp trong mô hình ống là đảm bảo giá trị băng thông nhỏ nhất giữa hai site.
Ta có thể cải tiến mô hình “ống” bằng việc chỉ cho phép một số loại lưu lượng (ứng với một số loại ứng dụng) từ một CE tới một CE khác có thể sử dụng đường ống. Quy định lưu lượng nào có thể sử dụng đường ống được xác định tại bộ định tuyến PE phía đầu ống.
Chú ý là mô hình “ống” khá giống với mô hình QoS mà các khách hàng VPN có được hiện nay với các giải pháp dựa trên chuyển tiếp khung hoặc ATM. Điểm khác nhau căn bản là với ATM hay chuyển tiếp khung thì các kết nối là song công trong khi ở mô hình “ống” chỉ kết nối đảm bảo theo một hướng. Đặc điểm một hướng này của mô hình “ống” chỉ cung cấp kết nối đảm bảo theo một hướng. Đặc điểm một huớng này của mô hình “ống” chỉ cho phép thiết lập các kết nối cho các ứng dụng sử dụng luồng lưu lượng không đối xứng, trong đó lưu lượng từ một site tới site khác có thể khác với lưu lượng theo hướng ngược lại.
Xem xét ví dụ biểu diễn trên hình V.11, ở đây nhà cung cấp dịch vụ cung cấp cho VPN A một đường ống đảm bảo băng thông 7Mbit/s cho lưu lượng từ site 3 đến site 1 (cụ thể là từ CE đến CE) và một đường ống khác đảm bảo băng thông 10Mbit/s cho lưu lượng từ site 3 đến site 2 (từ CE đến CE). Nhận thấy rằng một bộ định tuyến CE có thể có nhiều hơn một ống xuất phát từ nó (ví dụ có hai ống xuất phát từ site 3). Cũng như vậy, có thể có hơn một ống kết thúc tại một Site. Một ưu điểm của mô hình “ống” là nó giống với mô hình QoS đang được khách hàng VPN sử dụng với chuyển tiếp khung hay ATM. Tuy nhiên mô hình ống cũng có một số nhược điểm. Nó đòi hỏi một khách hàng VPN phải kiểm soát toàn bộ ma trận lưu lượng của họ. Điều đó có nghĩa là khách hàng phải biết tổng lưu lượng đi từ một site đến tất cả các site khác. Thông thường thì thông tin này không có sẵn, thậm chí nếu có thì cũng đã bị lỗi thời.
Hình V.11: Mô hình ống QoS
Mô hình thứ hai là mô hình “vòi”. Trong mô hình này nhà cung cấp dịch vụ VPN cung cấp cho khách hàng sự đảm bảo cho lưu lượng mà bộ định tuyến CE của khách hàng gửi đi và nhận về từ các bộ định tuyến CE khác trong cùng VPN. Nếu không thì khách hàng phải chỉ định cách phân phối lưu lượng tới các bộ định tuyến CE khác. Kết quả là ngược với mô hình “ống”, mô hình “vòi” không đòi hỏi khách hàng biết ma trận lưu lượng và nhờ đó giảm bớt gánh nặng đối với các khách hàng muốn sử dụng dịch vụ VPN.
Mô hình “vòi” sử dụng hai tham số ICR (Ingress Committed Rate) và ECR (Egress Committed Rate). Trong đó ICR là tổng lưu lượng mà một CE có thể gửi tới các CE khác và ECR là tổng lưu lượng mà một CE có thể nhận từ các CE khác. Nói cách khác, ICR đại diện cho tổng lưu lượng từ một CE cụ thể, còn ECR đại diện cho tổng lưu lượng tới một CE cụ thể. Lưu ý rằng đối với CE không nhất thiết ICR phải bằng ECR.
Hình V.12 minh họa cho mô hình “vòi”. ở đây nhà cung cấp dịch vụ cung cấp cho VPN B sự đảm bảo băng thông 15 Mbit/s cho lưu lượng từ site 2 tới các site khác (ICR = 15 Mbit/s) mà không quan tâm đến việc lưu lượng này đi tới site 1 hay site 3. Cũng như vậy nhà cung cấp dịch vụ cung cấp cho VPN B sự đảm bảo băng thông 7 Mbit/s cho lưu lượng từ site 3 gửi tới các site khác trong cùng VPN (ICR = 7Mbit/s) mà không quan tâm đến việc lưu lượng tới site 1 hay site 2. Tương tự như vậy nhà cung cấp dịch vụ cung cấp cho VPN B sự đảm bảo băng thông 15 Mbit/s cho lưu lượng gửi tới site 2 (ECR = 15 Mbit/s) không quan tâm đến việc lưu lượng xuất phát từ vùng 1 hay vùng 3.
Mô hình “vòi” hỗ trợ nhiều mức CoS ứng với các dịch vụ có tham số khác nhau, ví dụ một dịch vụ có thể yêu cầu tham số mất gói tin ít hơn so với các dịch vụ khác. Với các dịch vụ đòi hỏi phải có sự đảm bảo lớn (như đảm bảo về băng thông), thì mô hình “ống” phù hợp hơn.
Hình V.12: Mô hình vòi QoS
Mô hình “ống” và “vòi” không phải là các mô hình đối ngược nhau. Nghĩa là, nhà cung cấp dịch vụ có thể cung cấp cho khách hàng VPN một mô hình kết hợp giữa các mô hình “ống” và “vòi” giúp khách hàng quyết định mua loại dịch vụ nào ứng với mức CoS nào.
Đối với mạng VPN dựa trên BGP/MPLS, để hỗ trợ mô hình “ống” chúng ta sử dụng các LSP đảm bảo băng thông. Những LSP này bắt đầu và kết thúc tại các bộ định tuyến PE và được sử dụng để cung cấp băng thông đảm bảo cho tất cả các ống từ một PE đến các PE khác. Có nghĩa là ứng với một cặp bộ định tuyến pe có nhiều bộ định tuyến CE nối trực tiếp mà giữa chúng đã có các đường ống, thay vì sử dụng một LSP băng thông đảm bảo cho mỗi ống ta sử dụng một LSP đảm bảo băng thông cho tất cả các ống.
Như trong ví dụ trên hình V.12, có thể có một ống cho VPN A từ CE tới CE và một ống khác cho VPN B từ CE tới CE. Để hỗ trợ hai ống này, chúng ta thiết lập một LSP từ PE tới PE và băng thông của LSP có độ lớn bằng tổng băng thông của hai ống. Khi PE nhận gói tin từ CE và gói tin có đích là một máy chủ (host) ở site 1 của VPN A, PE sẽ căn cứ vào cấu hình của nó để xem gói tin thuộc CoS nào. Sau đó PE sẽ chuyển tiếp gói tin dọc theo LSP với băng thông được đảm bảo từ PE tới PE.
Sử dụng một LSP băng thông đảm bảo để mang nhiều đường ống giữa một cặp bộ định tuyến PE cho phép tăng khả năng mở rộng của mô hình này. Với mô hình này số LSP mà nhà cung cấp dịch vụ phải thiết lập và duy trì phụ thuộc vào số cặp bộ định tuyến PE của nhà cung cấp dịch vụ chứ không phụ thuộc vào số đường ống của khách hàng VPN mà nhà cung cấp có thể có.
Để hỗ trợ CoS trong mô hình vòi, nhà cung cấp dịch vụ sử dụng thuộc tính hỗ trợ Diff-Serv của MPLS. Nhà cung cấp dịch vụ cũng có thể sử dụng chức năng quản lý lưu lượng để cải thiện độ khả dụng của mạng trong khi vẫn đạt được những mục tiêu về chất lượng như mong muốn.
Các thủ tục để bộ định tuyến PE lối vào xác định loại lưu lượng nào ứng với CoS nào không phụ thuộc vào đó là mô hình “ống” hay mô hình “vòi’ mà hoàn toàn mang tính cục bộ đối với bộ định tuyến PE. Những thủ tục này có thể xem xét các yếu tố như giao diện lối vào, địa chỉ IP nguồn và đích, số cổng TCP, hoặc sự kết hợp của những yếu tố trên. Điều này mang lại cho nhà cung cấp dịch vụ sự mềm dẻo về khía cạnh điều khiển xem loại lưu lượng nào nhận CoS nào.
Mặc dù trong hợp đồng giữa khách hàng và nhà cung cấp dịch vụ đã chỉ ra băng thông và CoS cụ thể, nhưng khách hàng vẫn có thể gửi lưu lượng vượt quá băng thông đã đăng kí. Để xác định xem lưu lượng có nằm trong băng thông đã thỏa thuận, nhà cung cấp dịch vụ sử dụng các chính sách tại bộ định tuyến PE lối vào. Đối với lưu lượng vượt quá băng thông đã thỏa thuận, nhà cung cấp có hai khả năng lựa chọn: hoặc là loại bỏ lưu lượng vượt quá ngay lập tức tại bộ định tuyến PE lối vào hoặc gửi đi nhưng đánh dấu nó khác với các lưu lượng nằm trong băng thông thỏa thuận. Với lựa chọn thứ hai, để giảm việc truyền các thông tin không đúng các thứ tự, cả lưu lượng nằm trong hoặc vượt khỏi hợp đồng đều được gửi theo cùng một LSP. Lưu lượng vượt hợp đồng sẽ được đánh dấu và nó sẽ loại bỏ các gói tin này trong trường hợp có tắc nghẽn.
Kết luận
Sự phát triển không ngừng của công nghệ đã đem lại cho con người những lợi ích thiết thực trong cuộc sống. Các yếu tố thúc đẩy sự phát triển của công nghệ viễn thông không chỉ dừng lại trong phạm vi viễn thông mà có liên quan đến các ngành công nghiệp, công nghệ khác như công nghệ điện tử, bán dẫn, công nghệ quang, công nghệ thông tin,…Sự ra đời và phát triển của công nghệ MPLS đã được khẳng định nhằm đáp ứng cho nhu cầu đa dịch vụ, đa phương tiện của khách hàng,
Công nghệ IP truyền thống không thể đáp ứng được các yêu cầu ngày càng tăng về dịch vụ. Có rất nhiều giải pháp để tăng cường cho giao thức IP như Intserv, DiffServ, IPv6…, MPLS là một trong những giải pháp tối ưu hiện nay.
Có thể khẳng định tính ưu việt mà công nghệ MPLS đưa lại so với công nghệ ATM hay IP.
MPLS hiện đang là giải pháp được nhiều hãng cung cấp thiết bị lựa chọn cho mạng thế hệ sau.
Các sản phẩm hỗ trợ MPLS (tổng đài, bộ định tuyến) đều hỗ trợ ATM trên chính ngay cổng MPLS. Việc thay đổi giao thức MPLS hay ATM được thực hiện nhờ thiết lập cấu hình.
Sử dụng 2 giao thức chính của MPLS đó là LDP trong điều khiên phân phối nhãn của mạng MPLS, và giao thức RSVP-TE hoặc CR-LDP sử dụng cho kỹ thuật lưu lượng của MPLS.
Trên thế giới hiện nay, mạng riên ảo VPN hiện đang là giải pháp cho các doanh nghiệp có nhiều trụ sở phân tán về địa lý và trong tương lai có lẽ cũng là giải pháp cho nhiều doanh nghiệp Việt Nam. Sử dụng công nghệ MPLS để xây dựng mạng riêng ảo là một hướng tiếp cận khả thi và có nhiều ưu điểm lớn.
Đối với hạ tầng cơ sở Quốc gia, việc triển khai công nghệ MPLS cần được nghiên cứu sâu hơn để phát huy những ưu điểm của MPLS đồng thời phù hợp với nhu cầu thị trường của Việt Nam. Giải pháp đề xuất cho mạng của Tổng công ty Bưu chính Viễn thông Việt Nam là một ví dụ điển hình./.
Mục lục
Lời mở đầu 1
Các thuật ngữ viết tắt......................................................................................................2
Chương I:
Kết luận 103
Tài liệu tham khảo 104
Mục lục hình
Hình I.1
Mô hình OSI
7
Hình I.2
So sánh các tầng trong mô hình OSI và mô hình TCP/IP
13
Hình I.3
Cấu trúc phân tầng của giao thức TCP/IP
14
Hình II.1
Sự mở rộng mạng IPOA
17
Hình II.2
Các mạng con logic LIS trong mạng IPOA
18
Hình III.1
Khuôn dạng nhãn cho các gói ATM
23
Hình III.2
Khuôn dạng nhãn cho các gói không có cấu trúc nhãn gốc
23
Hình III.3
Khuôn dạng nhãn cho các gói tin FR
24
Hình III.4
Khuôn dạng nhãn cho các gói tin Ethernet
24
Hình III.5
Mạng MPLS trong chế độ hoạt động khung
27
Hình III.6
Cấu trúc LSR biên trong chế độ hoạt động khung
27
Hình III.7
Vị trí của nhãn MPLS trong khung lớp 2
28
Hình III.8
Bảng định tuyến nhãn FLIB
29
Hình III.9
Chuyển mạch nhãn với gói tin có nhiều nhãn
30
Hình III.10
Trao đổi thông tin giữa các LSR cận kề
32
Hình III.11
Cơ chế thiết lập kênh ảo điều khiển MPLS
33
Hình III.12
Bảng định tuyến nhãn LFIB trong mạng ATM
34
Hình III.13
Phân bổ nhãn trong mạng ATM-MPLS
35
Hình III.14
Ví dụ về CSPF
45
Hình III.15
Gửi và nhận các bản tin PATH và RESV
48
Hình III.16
Nhãn phân phối trong bản tin RESV
50
Hình IV.1
Mô hình dịch vụ IntServ
53
Hình IV.2
Mô hình DiffServ tại biên và lõi của mạng
56
Hình IV.3
Các thành phần của kỹ thuật lưu lượng dựa vào MPLS
58
Hình IV.4
FEC, Traffic trunk, LSP
59
Hình IV.5
Khắc phục liên kết
65
Hình IV.6
Khắc phục một phần LSP
66
Hình IV.7
Phục hồi toàn bộ đường LSP
66
Hình IV.8
Một hot site
68
Hình IV.9
Các đường ra không cân bằng tải
69
Hình IV.10
Kỹ thuật điều khiển tự cân bằng tải, tự điểu chỉnh
70
Hình IV.11
Ví dụ về cơ chế phát hiện định tuyến vòng dựa trên trường TTL trong mạng IP
71
Hình IV.12
Nhu cầu trên luồng hướng về và chế độ điều khiển trình tự
73
Hình IV.13
Cơ chế xử lý bộ đếm nút mạng TLV
75
Hình IV.14
Cơ chế ngăn ngừa chuyển tiếp vòng sử dụng véctơ đường TLV
76
Hình IV.15
Trao đổi giá trị bộ đếm nút mạng giữa các tổng đài ATM-LSR
77
Hình IV.16
Xử lý trường TTL của gói tin IP trước khi phân đoạn gói tin
78
Hình V.1
Truy nhập từ xa theo cách truyền thống
79
Hình V.2
Truy nhập từ xa sử dụng VPN
79
Hình V.3
Kết nối LAN-to-LAN truyền thống
80
Hình V.4
Kết nối LAN-to-LAN sử dụng VPN
80
Hình V.5
Mô hình logic của VPN
82
Hình V.6
Các thành phần kết nối của một VPN
83
Hình V.7
Mô hình chồng lấn VPN
84
Hình V.8
Mô hình VPN ngang cấp
87
Hình V.9
Gán nhãn tại bộ định tuyến PE
94
Hình V.10
Sử dụng tập nhãn hai mức
95
Hình V.11
Mô hình ống QoS
99
Hình V.12
Mô hình vòi QoS
101
Tài liệu tham khảo
[1] Christopher Y.Metz, IP Switching Protocol and Architectures, McGraw-Hill, NewYork 1998
[2] Brian Williams, Quality of Service Differentiated Services and Multiprotocol Label Switching, White paper, Ericsson, Australia 2000.
[3] Chuck Semeria, Traffic Engineering for the New Public Network, White paper, Juniper Networks, CA-USA, 2000.
[4] Xipeng Xiao, Aln Hannan, Brook Bailey and Lionel M.Ni, Traffic Engineering with MPLS in the Internet.
[5] Multiservice Switching Forum, System Architecture Implementation Agreement v.1.0, 2000
[6]. IETF Working Group, RFCxxxx
[7]. Ivan pepellnjak (ciee), jim guichard (ccie), MPLS and vpn architecture.
[8]. T.S Phùng văn Vận, K.S Đỗ mạnh Quyết, Công nghệ chuyển mạch nhãn đa giao thữc, NXB Bưu Điện.
Các file đính kèm theo tài liệu này:
- DAN042.doc