Đồ án nghiên cứu chuyển mạch nhãn đa giao thức MPLS và ứng dụng vào VPN

LỜI CẢM ƠN Em xin chân thành cám ơn thầy Dương Hữu Ái hướng dẫn em thực đề tài Thầy nhắc nhở theo sát hướng dẫn trình thực đề tài Thầy cung cấp tài liệu giải đáp thắc mắc, sai sót em Xin cám ơn thầy nhiệt tình giúp đỡ trình em thực Xin chân thành cảm ơn thầy Xin cảm ơn bạn khác giúp đỡ em trình thực đề tài, bạn nhận xét, đánh giá góp ý nhiều, bên cạnh bạn cịn giúp đỡ tài liệu tham khảo động viên em trình thực Chúng em xin chân thành gửi lời cảm ơn đến tất thầy cô Khoa Tin Học Ứng Dụng giúp đỡ đóng góp ý kiến cho chúng em suốt trình thực đề tài Xin chân thành cảm ơn! Sinh viên thực hiên Nguyễn Thiện Vỹ i MỤC LỤC LỜI CẢM ƠN i MỤC LỤC ii DANH MỤC HÌNH iv LỜI MỞ ĐẦU CHƯƠNG 1: TỔNG QUAN VỀ CÔNG NGHỆ MPLS .2 1.1 Giới thiệu chuyển mạch đa giao thức (MPLS) 1.2 Lợi ích MPLS 1.3 Một số ứng dụng MPLS CHƯƠNG 2: CÔNG NGHỆ CHUYỂN MẠCH MPLS .5 2.1 Sơ lược công nghệ IP công nghệ ATM 2.1.1 Công nghệ IP .5 2.1.2 Công nghệ ATM 2.2 Khái niệm MPLS 2.3 Các thành phần MPLS 2.3.1 Cấu trúc nút MPLS 2.3.2 Nhãn MPLS .7 2.3.2.1 Shim header 2.3.2.2 Các loại nhãn đặc biệt .10 2.3.2.3 Ngăn xếp nhãn 11 2.3.2.4 Cơ sở thông tin chuyển tiếp nhãn (LFIB) 12 2.3.2.5 Phân phối nhãn giao thức phân phối nhãn LDP 13 2.3.3 Chế độ trì nhãn: .14 2.4 Mặt phẳng điều khiển (Control Plane) .14 2.5 Mặt phẳng liệu .16 2.6.Các thiết bị MPLS .16 2.6.1 Thiết bị LSR (label switch Router) 16 2.6.2 Thiết bị LER (label edge Router) 17 2.7 LSP (label switch Path) .17 2.8 FEC (Forwarding Equivalence Class) .18 2.9 Các hình thức hoạt động MPLS 19 CHƯƠNG 3: MẠNG RIÊNG ẢO MPLS VPN 25 ii 3.1 Giới thiệu MPLS VPN .25 3.1.1 Định nghĩa VPN 25 3.1.2 Mơ hình Overlay VPN Peer to Peer VPN 27 3.1.2.1 Mô hình Overlay VPN .27 3.1.2.2 Mơ hình Peer – to – Peer 30 3.1.3 Mơ hình mạng MPLS VPN 33 3.1.3.1 Kiến trúc thuật ngữ MPLS VPN 36 3.1.3.2 Mơ hình định tuyến MPLS VPN 37 3.1.3.3 VRF - Virtual Routing and Forwarding Table 38 3.1.3.4 Route Distinguisher, Route Targets, MP-BGP, Address Families 40 3.2 Chuyển tiếp gói mạng MPLS VPN 45 3.3 So sánh VPN truyền thống MPLS VPN 49 KẾT LUẬN 52 TÀI LIỆU THAM KHẢO vi NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN vii iii DANH MỤC HÌNH Số hiệu hình Tên hình Trang 2.1 Mơ hình chuyển tiếp gói tin IP 2.2 Mơ hình ATM 2.3 Khái niệm MPLS 2.4 Cấu trúc nút MPLS 2.5 Chỉ cấu trúc nhãn MPLS 2.6 Cấu trúc nhãn MPLS 2.7 Các loại nhãn đặc biệt 11 2.8 Ngăn xếp nhãn 11 2.9 Cấu trúc LFIB 13 2.10 Sự trì nhãn MPLS 14 2.11 Mặt phẳng điều khiển (Control Plane) 15 2.12 Ví dụ LSP qua mạng MPLS 18 2.13 Mơ hình LSP Nested 18 2.14 Định tuyến, chuyển mạch, chuyển tiếp 20 2.15 Mạng MPLS 20 2.16 Quá trình xây dựng bảng routing table 21 2.17 Quá trình phân phối nhãn router B 22 2.18 Quá trình tạo bảng LIB 22 2.19 Quá trình phân phối nhãn router C 22 2.20 Quá trình tạo bảng LFIB 23 2.21 Quá trình kiểm gán nhãn ingress LSR 23 2.22 Q trình hốn đổi nhãn 23 2.23 Quá trình tháo nhãn egress LSR 24 3.1 Mơ hình mạng Overlay Frame relay 28 3.2 Mạng Overlay - Customer Routing Peering 29 3.3 Đường hầm GRE mạng overlay 29 3.4 Đưa khái niệm mơ hình VPN ngang hàng 30 3.5 MPLS VPN với VRF 32 iv 3.6 Định nghĩa mơ hình peer to peer ứng dụng MPLS VPN 32 3.7 Biểu đồ tổng quan MPLS VPN 34 3.8 Mơ hình MPLS VPN 36 3.9 Các thành phần MPLS VPN 37 3.10 Chức router PE 38 3.11 Chức VRF touter PE thực tách tuyến 39 khách hàng 3.12 Mơ hình MPLS 41 3.13 Mơ tả tiến trình quảng bá tuyến 42 3.14 Sự sống gói IPv4 qua mạng đường trục MPLS VPN 47 tuyến quảng bá nhãn 3.15 Đời sống gói IPv4 qua mạng đường trục MPLS VPN 47 3.16 Chuyển tiếp gói mạng MPLS VPN 48 3.17 Mơ hình VPN truyền thống 49 3.18 MPLS VPN 50 v Nghiên cứu chuyển mạch nhãn đa giao thức MPLS ứng dụng vào VPN LỜI MỞ ĐẦU Hiện với tốc độ phát triển chóng mặt Internet lợi ích to lớn việc áp dụng cơng nghệ thông tin vào lĩnh vực, đặc biệt lĩnh vực văn phịng, quản lí… mạng riêng ảo dường thứ thiếu công ty Từ nhu cầu truy cập liệu công ty từ xa, đến việc tạo mối quan hệ với khách hàng, giúp họ khai thác phần nguồn tài nguyên mà đảm bảo tính bảo mật cần thiết cho thơng tin VPN truyền thống dựa công nghệ ATM, Frame Relay IP gặp khơng nhược điểm khả quản lý, tính bảo mật, chất lượng dịch vụ Hâu lưu lương, kết nối, chí giảm đặc tính mạng Ngồi cịn phải kể đến chi phí khơng nhỏ dành cho việc th dịch vụ viễn thông để kết nối mạng Gần đây, Công nghệ chuyển mạch nhãn đa giao thức - MPLS hãng cung cấp dịch vụ quan tâm đặc biệt khả vượt trội việc cung cấp dịch vụ chất lượng cao qua mạng IP, tính đơn giản, hiệu quan trọng khả triển khai VPN Với ưu điểm chuyển tiếp lưu lương nhanh, khả linh hoạt, đơn giản điều khiển phân luồng phuc vu ̣linh hoạt dịch vu ̣định tuyến, tận dụng đường,giảm chi phí Cơng nghệ MPLS dần thay công nghệ truyền thống khác IP ATM.MPLS VPN giải hạn chế mạng VPN truyền thống dựa công nghệ ATM, Frame Relay IP tiết kiệm thời gian, giảm chi phí lắp đặt có độ bảo mật cao cho doanh nghiệp Do việc tìm hiểu ứng dụng VPN MPLS xem vấn đề cấp thiết để giúp doanh nghiệp dễ dàng tiếp cận với công nghệ từ ứng dụng vào việc phát triển doanh nghiệp với lên ngành mạng viễn thông quốc tế Nghiên cứu chuyển mạch nhãn đa giao thức MPLS ứng dụng vào VPN CHƯƠNG 1: TỔNG QUAN VỀ CÔNG NGHỆ MPLS 1.1 Giới thiệu chuyển mạch đa giao thức (MPLS) MPLS công nghệ kết hợp đặc điểm tốt định tuyến lớp ba chuyển mạch lớp hai cho phép chuyển tải gói nhanh mạng lõi (core) định tuyến tốt mạng biên (edge) cách dựa vào nhãn (label) MPLS phương pháp cải tiến việc chuyển tiếp gói mạng cách gắn nhãn vào gói IP, tế bào ATM, frame lớp hai Phương pháp chuyển mạch nhãn giúp Router chuyển mạch MPLS-enable ATM định theo nội dung nhãn tốt việc định tuyến phức tạp theo địa IP đích MPLS cho phép ISP cung cấp nhiều dịch vụ khác mà không cần phải bỏ sở hạ tầng sẵn có Cấu trúc MPLS có tính mềm dẻo phối hợp với công nghệ lớp hai MPLS hỗ trợ giao thức lớp hai, triển khai hiệu dịch vụ IP mạng chuyển mạch IP MPLS hỗ trợ việc tạo tuyến khác nguồn đích đường trục Internet Bằng việc tích hợp MPLS vào kiến trúc mạng, ISP giảm chi phí, tăng lợi nhuận, cung cấp nhiều hiệu khác đạt hiệu cạnh tranh cao Đặc điểm mạng MPLS: - Khơng có MPLS API, khơng có thành phần giao thức phía host - MPLS nằm router - MPLS giao thức độc lập nên hoạt động với giao thức khác IP IPX, ATM, Frame Relay,… - MPLS giúp đơn giản hoá trình định tuyến làm tăng tính linh động tầng trung gian Phương thức hoạt động: Thay chế định tuyến lớp ba chế chuyển mạch lớp hai.MPLS hoạt động lõi mạng IP Các Router lõi phải enable MPLS giao tiếp Nhãn gắn thêm vào gói IP gói vào mạng MPLS Nhãn tách gói khỏi mạng MPLS Nhãn (Label) chèn vào header lớp ba header lớp hai.Sử dụng nhãn q trình gửi gói sau thiết lập đường MPLS tập trung vào q trình hốn đổi nhãn (Label Nghiên cứu chuyển mạch nhãn đa giao thức MPLS ứng dụng vào VPN Swapping) Một mạnh kiến trúc MPLS tự định nghĩa chồng nhãn (Label Stack) Cơng thức để gán nhãn gói tin là: Network Layer Packet + MPLS Label Stack Không gian nhãn (Label Space): có hai loại Một là, giao tiếp dùng chung giá trị nhãn (per-platform label space) Hai là, giao tiếp mang giá trị nhãn riêng, (Perinterface Label Space) Bộ định tuyến chuyển nhãn (LSR – Label Switch Router): định chặng dựa nội dung nhãn, LSP làm việc hoạt động gần giống Switch Con đường chuyển nhãn (LSP – Label Switch Path): xác định đường gói tin MPLS Gồm hai loại: Hop by hop signal LSP - xác định đường khả thi theo kiểu best effort Explicit route signal LSP - xác định đường từ nút gốc Kỹ thuật chuyển mạch nhãn kỹ thuật Frame relay ATM sử dụng công nghệ để chuyển khung (frame) cell qua mạng Trong Frame relay, khung có độ dài bất kỳ, ATM độ dài cell cố định bao gồm phần mào đầu byte tải tin 48 byte Phần mào đầu cell ATM khung Frame Relay tham chiếu tới kênh ảo mà cell khung nằm Sự tương quan Frame relay ATM bước nhảy qua mạng, giá trị “nhãn” phần mào đầu bị thay đổi Đây khác chuyển tiếp gói IP Khi route chuyển tiếp gói IP, khơng thay đổi giá trị mà gắn liền với đích đến gói; hay nói cách khác khơng thay đổi địa IP đích gói Thực tế nhãn MPLS thường sử dụng để chuyển tiếp gói địa IP đích khơng cịn phổ biến MPLS 1.2 Lợi ích MPLS MPLS phương pháp cải tiến cho việc chuyển tiếp gói tin IP mạng cách thêm vào nhãn (label) MPLS kết hợp ưu điểm kỹ thuật chuyển mạch (switching) lớp kỹ thuật định tuyến (routing) lớp Do sử dụng nhãn để định chặng mạng nên router làm việc hoạt động gần giống switch MPLS hỗ trợ giao thức lớp 2, triển khai hiệu dịch vụ IP mạng Nghiên cứu chuyển mạch nhãn đa giao thức MPLS ứng dụng vào VPN chuyển mạch IP MPLS hỗ trợ việc tạo tuyến khác nguồn đích đường trục Internet Bằng việc tích hợp MPLS vào kiến trúc mạng, ISP giảm chi phí, tăng lợi nhuận, cung cấp nhiều hiệu khác đạt hiệu cạnh tranh cao Khả mở rộng đơn giản Tăng chất lượng mạng, triển khai chức định tuyến mà công nghệ trước thực định tuyến (explicit routing), điều khiển lặp Tích hợp IP ATM cho phép tận dụng toàn thiết bị mạng Tách biệt đơn vị điều khiển với đơn vị chuyển mạch cho phép MPLS hỗ trợ đồng thời MPLS B-ISDN Việc bổ sung chức sau triển khai mạng MPLS cần thay đổi phần mềm điều khiển 1.3 Một số ứng dụng MPLS Internet có ba nhóm ứng dụng chính: voice, data, video với yêu cầu khác  Voice yêu cầu độ trễ thấp, cho phép thất thoát liệu để tăng hiệu  Video cho phép thất thoát liệu mức chấp nhận được, mang tính thời gian thực (realtime)  Data yêu cầu độ bảo mật xác cao MPLS giúp khai thác tài nguyên mạng đạt hiệu cao Một số ứng dụng triển khai là:  MPLS VPN: nhà cung cấp dịch vụ sử dụng sở hạ tầng mạng cơng cộng có sẵn để thực thi kết nối site khách hàng  MPLS Traggic Engineer: Cung cấp khả thiết lập nhiều đường để điều khiển lưu lượng mạng đặc trưng thực thi cho loại lưu lượng  MPLS QoS (Quality of service): Dùng QoS nhà cung cấp dịch vụ cung cấp nhiều loại dịch vụ với đảm bảo tối đa QoS cho khách hàng Nghiên cứu chuyển mạch nhãn đa giao thức MPLS ứng dụng vào VPN CHƯƠNG 2: CÔNG NGHỆ CHUYỂN MẠCH MPLS 2.1 Sơ lược công nghệ IP công nghệ ATM 2.1.1 Cơng nghệ IP IP thành phần kiến trúc mạng Internet Trong kiến trúc này, IP đóng vai trị lớp định nghĩa cấu đánh số, cấu chuyển tin, cấu định tuyến chức điều khiển mức thấp (ICMP) Gói tin IP gồm địa bên nhận, địa số toàn mạng mang đầy đủ thơng tin cần cho việc chuyển gói tin tới đích Ưu điểm bật giao thức TCP/IP khả định tuyến truyền gói tin cách mềm dẻo, linh hoạt Nhưng IP không đảm bảo chất lượng dịch vụ tốc độ truyền tin theo u cầu Hình 2.1 Mơ hình chuyển tiếp gói tin IP 2.1.2 Cơng nghệ ATM ATM kỹ thuật truyền tin tốc độ cao ATM nhận thông tin nhiều dạng khác thoại, số liệu, video cắt thành nhiều phần nhỏ gọi tế bào (cell) Các tế bào sau truyền qua kết nối ảo VC Vì ATM hỗ trợ thoại, số liệu video với chất lượng dịch vụ nhiều công nghệ băng rộng khác nên coi cơng nghệ chuyển mạch hàng đầu Nghiên cứu chuyển mạch nhãn đa giao thức MPLS ứng dụng vào VPN Chú ý: giao tiếp VRF luận lý (logical) vật lý (physical) giao tiếp gán với VRF 3.1.3.4 Route Distinguisher, Route Targets, MP-BGP, Address Families Trong mơ hình MPLS VPN, router PE phân biệt khách hàng b ằng VRF Tuy nhiên, thông tin cần mang theo router PE phép truyền liệu site khách hàng qua MPLS VPN backbone Router PE phải có khả thực thi tiến trình cho phép mạng khách hàng kết nối vào có khơng gian địa trùng lặp (overlapping address spaces) Router PE học tuyến từ mạng khách hàng quảng bá thông tin mạng trục chia sẻ nhà cung cấp (shared provider backbone) Điều thực việc kết hợp với RD (route distinguisher) bảng định tuyến ảo (virtual routing table) router PE RD định danh 64-bit nhất, thêm vào trước 32-bit địa tuyến học từrouter CE tạo thành địa 96-bit chuyển vận router PE miền MPLS Do RD cấu hình cho VRF router PE Địa 96-bit cuối (tổng hợp 32-bit địa khách hàng 64-bit RD) gọi địa chỉVPNv4 Địa VPNv4 trao đổi router PE mạng nhà cung cấp RD có hai định dạng: dạng địa IP số AS Hình bên cho thấy hai khách hàng có địa mạng giống nhau, 172.16.10.0/24, phân biệt nhờ vào giá trị RD khác nhau, 1:100 1:101, ưu tiên quảng bá địa VPNv4 router PE 40 Nghiên cứu chuyển mạch nhãn đa giao thức MPLS ứng dụng vào VPN Hình 3.12.Mơ hình MPLS Giao thức dùng để trao đổi tuyến VPNv4 PE multiprotocol BGP (MPBGP) IGP yêu cầu trì iBGP (internal BGP) thực thi MPLS VPN Do đó, PE phải chạy IGP cung cấp thông tin NLRI cho iBGP hai PE AS Hiện tại, Cisco hỗ trợ OSPFv2 ISIS mạng nhà cung cấp IGP MP-BGP chịu trách nhiệm định nhãn VPN Khả mở rộng lý chọn BGP làm giao thức mang thông tin định tuyến khách hàng Hơn nữa, BGP cho phép sử dụng địa chỉVPNv4 môi trường MPLS VPN với dãy địa trùng lặp cho nhiều khách hàng Một phiên làm việc MP-BGP PE BGP AS gọi MPiBGP session kèm theo nguyên tắc thực thi iBGP liên quan đến thuộc tính BGP (BGP attributes) Nếu VPN mở rộng khỏi phạm vi AS, VPNv4 sẽtrao đổi AS biên MP-eBGP session Route targets (RT) định danh dùng MPLS VPN domain triển khai MPLS VPN nhằm xác định thành viên VPN tuyến học từ site cụ thể RT thực thi BGP community mở rộng sử dụng 16 bit cao BGP ecxtended community (64 bit) mã hóa với gía trị tương ứng với thành 41 Nghiên cứu chuyển mạch nhãn đa giao thức MPLS ứng dụng vào VPN viên VPN site cụ thể Khi tuyến VPN học từ CE chèn vào VPNv4 BGP, danh sách thuộc tính community mở rộng cho VPN router target kết hợp với Export RT dùng để xác định thành viên VPN kết lớp với VRF Export RT nối thêm vào địa khách hàng chuyển thành địa chỉVPNv4 PE quảng bá cập nhật MP-BGP Import RT kết hợp với VRF xác định tuyến VPNv4 thêm vào VRF cho khách hàng cụ th ể Định dạng RT giống giá trị RD Sự tương tác RT giá trị RD MPLS VPN domain cập nhật chuyển thành cập nhật MP-BGP hình sau Hình 3.13.Mơ tả tiến trình quảng bá tuyến Khi thực thi cấu trúc mạng VPN phức tạp (như: extranet VPN, Internet access VPNs, network management VPN,…) sử dụng cơng nghệ MPLS VPN RT giữ vai trị nồng cốt Một địa mạng kết hợp với nhiều export RT quảng bá qua mạng MPLS VPN Như vậy, RT kết hợp với nhiều site thành viên nhiều VPN Mạng 172.16.10.0/24 nhận từ CE1-A, tham gia vào VRF CustomerA PE1-AS1 PE1 kết hợp giá trịRD 1:100 giá trị export RT 1:100 cấu 42 Nghiên cứu chuyển mạch nhãn đa giao thức MPLS ứng dụng vào VPN hình cho VRF router PE1-AS1 Các tuyến học từ CE1-A phân phối vào tiến trình MP-BGP PE1-AS1 với prefix 172.16.10.0/24 thêm vào đầu giá trịRD 1:100 nối thêm export RT 1:100 để gửi địa VPNv4 tham gia cập nhật MPiBGP PE Nhãn VPN (3 byte) gán cho địa học từ tiến trình CE kết nối VRF từ tiến trình MP-BGP PE MP-BGP chạy miền MPLS nhà cung cấp dịch vụnên mang theo địa chỉVPNv4 (Ipv4 + RD) BGP RT Lưu ý: RT cấu hình bắt buộc MPLS VPN cho VRF router, giá trị RT dùng để thực thi cấu trúc mạng VPN phức tạp, site tham gia vào nhiều VPN Giá trị RT cịn dùng để chọn tuyến nhập vào VRF tuyến VPNv4 học cập nhật MP-iBGP Nhãn VPN hiểu egress PE (mặt phẳng dữliệu) kết nối trực tiếp với CE quảng bá mạng Các trạm kế (next hop) phải học từ IGP thực thi MPLS VPN khơng phải quảng cáo từ tiến trình BGP Trong hình nhãn VPN mơ tả trường V1 V2 Cập nhật MP-BGP nhận PE2 tuyến lưu trữ bảng VRF tương ứng cho Customer A dựa nhãn VPN Các tuyến MP-BGP nhận được phân phối vào tiến trình định tuyến VRF PE-CE, tuyến quảng bá tới CE2-A Các thuộc tính commynity BGP mở rộng khác SoO (site of origin) dùng chủ yếu quảng bá cập nhật MP-iBGP Thuộc tính SoO dùng để xác định site cụ thể từ tuyến học PE ứng dụng việc chống vòng lặp tuyến (routing loop) xác định nguồn site nên ngăn việc quảng cáo lạimạng cho site gửi quảng cáo SoO xác định site từ tuyến mà PE học SoO cho phép lọc lưu lượng dựa site mà lưu lượng xuất phát Khả lọc SoO giúp quản trị lưu lượng MPLS VPN chống vòng lặp tuyến xảy cấu trúc mạng hỗn hợp phức tạp, site khách hàng xử lý kết nối qua MPLS VPN backbone kết nối cửa sau (backdoor link) site Khi thực thi MPLS VPN, VPN site thuộc vào khách hàng liên lạc với site miền khách hàng gọi VPN đơn 43 Nghiên cứu chuyển mạch nhãn đa giao thức MPLS ứng dụng vào VPN giản hay intranet VPN RT sử dụng để thực cấu trúc VPN phức tạp, site khách hàng truy cập đến site khách hàng khác Dạng thực thi gọi extranet VPN Các biến thể extranet VPN network management VPN, central services VPN Internet access VPN triển khai Address family khái niệm quan trọng hoạt động MP-BGP cho phép chuyển vận tuyến VPNv4 với thuộc tính community mở rộng Theo RFC 2283 “Multiprotocol Extensions for BGP-4”, BGPv4 có khả mang thơng tin định tuyến thuộc vào IPv4 BGP-4 mang thơng tin nhiều giao thức lớp mạng BGP-4 hỗ trợ định tuyến cho nhiều giao thức lớp mạng, BGP-4 phải đăng ký (account) giao thức lớp mạng cụ thể liên quan đế trạm kế (next hop) NLRI (network layer reachability information) Hai thuộc tính thêm vào BGP MP_REACH_NLRI (Multiprotocol Reachable NLRI) MP_UNREACH_NLRI (Multiprotocol Unreachable NLRI) MP_REACH_NLRI mang tập đích đến (reachable destination) với thông tin trạm kế dùng để chuyển tiếp cho đích đến MP_UNEACH_NLRI mang tập đích khơng đến Cả hai thuộc tính optional nontransitive Vì thế, BGP speaker khơng hỗ trợ tính đa giao thức bỏ qua thơng tin mang thuộc tính khơng chuyển đến BGP speaker khác Một address family giao thức lớp mạng định nghĩa Một định danh họ địa (AFI – address family identifier) mang định danh giao thức lớp mạng kết hợp với địa mạng thuộc tính đa giao thức BGP AFI cho giao thức lớp mạng xác định RFC 1700, ‘Assigned Numbers’ PE thực chất LER biên (Edge LSR) thực tất chức Edge LSR PE yêu cầu LDP cho việc gán phân phối nhãn chuyển tiếp gói gắn nhãn Cộng thêm chức Edge LSR, PE thực thi giao thức định tuyến (hay định tuyến tĩnh) với EC bảng định tuyến ảo (virtual routing table) yêu cầu MP-BGP quảng bá mạng học từ CE VPNv4 MP-iBGP đến PE khác nhãn VPN Router P cần chạy IGP (OSPF ISIS) MPLS cho phép chuyển tiếp gói gán nhãn (mặt phẳng liệu – data plane) PE IGP quảng bá 44 Nghiên cứu chuyển mạch nhãn đa giao thức MPLS ứng dụng vào VPN NLRI đến P PE để thực thi MP—iBGP session PE (mặt phẳng điều khiển – control plane) LDP chạy router P để gán phân phối nhãn 3.2 Chuyển tiếp gói mạng MPLS VPN Như nói phần trước, gói khơng thể chuyển tiếp gói IP đơn site Bộ định tuyến P khơng thể chuyển tiếp chúng khơng có thơng tin VRF từ site MPLS giải vấn đề dán nhãn vào gói Bộ định tuyến P sau phải có thông tin chuyển tiếp cho nhãn để chuyển tiếp gói Cách chung cấu hình giao thức phân phối nhãn (LDP) tất định tuyến P PE nên tất lưu lượng IP chuyển mạch nhãn chúng Ta sử dụng giao thức RSVP mở rộng cho điều khiển lưu lượng (TE) thực thi MPLS TE, LDP phương thức chung cho MPLS VPN Gói IP sau chuyển tiếp nhãn với nhãn từ định tuyến PE vào tới định tuyến PE Bộ định tuyến P thực việc tìm kiếm địa IP đích Đây cách để gói chuyển mạch định tuyến PE vào Những nhãn gọi nhãn IGP, nhãn phải có tiền tố IPv4 bảng định tuyến tồn cục định tuyến P PE, IGP mạng nhà cung cấp dịch vụ quảng bá Làm để định tuyến PE biết gói thuộc VRF Thơng tin khơng có mào đầu IP, khơng thể nhận lấy từ nhãn IGP, sử dụng để chuyển tiếp gói qua mạng nhà cung cấp dịch vụ Giải pháp thêm nhãn khác chồng nhãn MPLS Nhãn gói thuộc VRF Do tất gói khách hàng chuyển tiếp với nhãn: nhãn IGP nhãn nhãn VPN nhãn Nhãn VPN phải đặt định tuyến PE vào để định tuyến PE mà gói thuộc VRF Làm để định tuyến PE báo hiệu tới định tuyến PE vào mà nhãn sử dụng cho tiền tố VRF? Bởi MP – BGP thực sử dụng để quảng bá tiền tố VPNv4, báo hiệu nhãn VPN (được biết đến nhãn BGP) mà kết nối với tiền tố VPNv4 Chú ý: Thực khái niệm có nhãn VPN gói thuộc VRF khơng thực Nó vài trường hợp, đa số không Nhãn VPN thường nút mà gói chuyển tiếp tới định tuyến PE Do 45 Nghiên cứu chuyển mạch nhãn đa giao thức MPLS ứng dụng vào VPN đó, mục đích để định tuyến CE bước gói Nói tóm lại, lưu lượng VRF – to – VRF có nhãn mạng MPLS VPN Nhãn nhãn IGP phân phối LDP RSVP cho TE tất định tuyến P PE hop by hop Nhãn nhãn VPN mà quảng bá MP – iBGP từ PE đến PE Những định tuyến P sử dụng nhãn IBG để chuyển tiếp gói tới định tuyến PE tương ứng Bộ định tuyến PE sử dụng nhãn VPN để chuyển tiếp gói IP tới định tuyến CE tương ứng Hình sau mơ tả việc chuyển tiếp gói mạng MPLS VPN Gói vào định tuyến PE giao diện VRF gói IPv4 Nó chuyển tiếp qua mạng MPLS VPN với hai nhãn Bộ định tuyến P chuyển tiếp nhãn việc tìm kiếm nhãn Nhãn trao đổi với định tuyến P Những nhãn tách định tuyến PE gói chuyển tiếp gói IPv4 giao diện VRF tới định tuyến CE Bộ định tuyến CE tương ứng tìm thấy việc tìm kiếm nhãn VPN Trong phần ta xem xét sống gói IP ngang qua mạng đường trục MPLS VPN từ địa điểm khách hàng tới địa điểm khác Đầu tiên phải xét đến khối xây dựng MPLS VPN Giữa PE cần có đa giao thức iBGP, giao thức phân phối tuyến vpnv4 nhãn VPN kết hợp Giữa PE P cần thiết phải có giao thức phân phối nhãn Ở giả thiết giao thức phân phối nhãn LDP Giữa định tuyến PE CE cần thiết phải có giao thức định tuyến để chạy đặt tuyến khách hàng vào bảng định tuyến VRF PE Cuối cùng,những định tuyến cần phân bố MP-iBGP ngược lại Hình -19 3-20 giúp ta hiểu rõ vấn đề Hình 3-26 tuyến quảng bá vpnv4 nhãn từ PE tới PE vào quảng bá tuyến IGP – biểu diễn bước nhảy BGP PE – nhãn tới PE vào Địa bước nhảy BGP PE 10.200.254.2/32, mà IGP quảng bá tới PE vào Nhãn cho tuyến IGP quảng bá hop by hop LDP Tuyến IPv4 khách hàng 10.10.100.1/32 quảng bá giao thức định tuyến PE – CE từ CE tới PE PE thêm RD 1:1, chuyển vào tuyến vpnv4 1:1:10.10.100/32, gửi đến PE vào với nhãn 30 qua iBGP đa giao thức 46 Nghiên cứu chuyển mạch nhãn đa giao thức MPLS ứng dụng vào VPN Hình 3.14 Sự sống gói IPv4 qua mạng đường trục MPLS VPN tuyến quảng bá nhãn Hình 3.15 Đời sống gói IPv4 qua mạng đường trục MPLS VPN Khi gói IP vào ingress PE từ CE, PE vào tìm kiếm địa IP đích bảng CEF, VRF cust-one PE vào tìm VRF việc tìm giao diện gói vào định tuyến PE, với bảng VRF mà giao diện liên kết tới Các mục vào (entry) cụ thể bảng CEF VRF thường thể có nhãn cần thiết thêm vào Chú ý: Khi PE vào PE kết nối trực tiếp, gói có nhãn – nhãn VPN Đầu tiên, PE vào gắn nhãn VPN 30 – quảng bá BGP cho tuyến vpnv4 Nó trở thành nhãn cuối Sau đó, PE vào gắn nhãn IGP nhãn Nhãn nhãn mà liên kết với tuyến IGP/32 cho địa IP bước 47 Nghiên cứu chuyển mạch nhãn đa giao thức MPLS ứng dụng vào VPN nhảy BGP Đây thường địa IP giao diện loopback PE Nhãn quảng bá hop by hop định tuyến P tới PE Mỗi bước nhảy thay đổi giá trị nhãn Nhãn IGP mà gắn PE vào nhãn 16 Gói IPv4 khỏi PE vào với nhãn Nhãn – nhãn iGP cho PE – hoán đổi bước nhảy Nhãn đặt gói IPv4 VPN tới PE Thơng thường, hoạt động mặc định Cisco IOS – hoạt động PHP đặt định tuyến P cuối PE Do đó, nhãn IBP gỡ định tuyến P cuối gói vào PE với nhãn VPN ngăn xếp nhãn Bộ PE tìm kiếm nhãn VPN LFIB đưa định chuyển tiếp Bởi nhãn (outgoing label) nhãn số (No label), ngăn xếp nhãn cịn lại bị gỡ bỏ gói chuyển tiếp gói IP tới định tuyến CE Bộ PE thực việc tra cứu địa IP đích mào đầu IP nhãn (outgoing label) nhãn số (No label) Thông tin bước nhảy tìm thấy tìm kiếm nhãn VPN LFIB Chỉ nhãn Aggreate, PE phải thực việc tra cứu IP bảng CEF VRF sau tra cứu nhãn LFIB Hình 3.16 Chuyển tiếp gói mạng MPLS VPN 48 Nghiên cứu chuyển mạch nhãn đa giao thức MPLS ứng dụng vào VPN 3.3 So sánh VPN truyền thống MPLS VPN 3.3.1 VPN truyền thống Hình 3.17 Mơ hình VPN truyền thống Hạn chế dễ nhận thấy IPSec làm giảm hiệu mạng Khi xét đường gói tin gửi từ máy tính A mạng A đến máy tính B mạng B Gói tin từ máy tính A gửi đến CPE A CPE-A kiểm tra gói tin xem liệu có cần thiết phải chuyển đến CPEB hay khơng Trong mơi trường mạng khơng có VPN gói tin truyền đến CPE-B Tuy nhiên, với giao thức IPSec, CPE-A phải thực số thao tác trước gửi gói tin đầu tiên, gói tin mã hóa, sau đóng gói vào gói IP, hoạt động tiêu tốn thời gian gây trễ cho gói tin Tiếp theo gói tin đưa vào mạng nhà cung cấp dịch vụ Lúc này, gói tin tạo thành có kích thước lớn kích thước tối đa cho phép truyền (MTU) liên kết CPEA CPE-B gói tin cần phải phân mảnh thành hai hay nhiều gói tin nhỏ điều xảy trường hợp bit DF (Don't Fragment) khơng thiết lập, cịn trường hợp bit DF thiết lập gói tin bị tin ICMP gửi lại phía phát Khi gói tin đến CPE-B, mở gói giải mã, hai hoạt động tiếp tục làm trễ gói tin mạng Cuối cùng, CPE - B chuyển tiếp gói tin đến máy tính B Thời gian trễ mạng phụ thuộc vào độ phức tạp tốc độ xử lý CPE Các thiết bị CPE chất lượng thấp thường phải thực hầu hết chức IPSec phần mềm khiến trễ mạng lớn Các thiết bị CPE với khả thực chức IPSec phần cứng tăng tốc độ xử lý gói tin lên nhiều chi phí cho thiết bị đắt điều dẫn đến chi phí triển khai mạng IPSec VPN tốn 49 Nghiên cứu chuyển mạch nhãn đa giao thức MPLS ứng dụng vào VPN Các cơng nghệ IP VPN khác có, IPSec, L2TP, L2F GRE – tất hoạt động tốt với cấu hình mạng (hub–and–spoke) Tuy nhiên, mạng ngày cần liên lạc nhiều chiều (any–to–any) Để hỗ trợ điều sử dụng Frame relay hay giao thức đường hầm cần phải có cấu hình dạng kết nối đầy đủ (full mesh) PVC hay đường hầm vùng thành viên Mạng cung cấp quản lý cấu hình đầy đủ (full mesh topology) sử dụng công nghệ truyền thống với hàng ngàn hay chục ngàn VPN Một điểm cần phải cân nhắc triển khai mạng VPN thiết bị CPE Mỗi nhà cung cấp cần phải chắn tất CPE hoạt động tương thích với Giải pháp đơn giản hiệu sử dụng loại CPE vùng, nhiên, điều thực nhiều yếu tố khác Tuy ngày tương thích khơng phải vấn đề lớn cần phải quan tâm hoạch định giải pháp mạng IPSec VPN 3.7.2 MPLS VPN Hình 3.18 MPLS VPN Các mạng MPLS VPN khơng sử dụng hoạt động đóng gói mã hóa gói tin để đạt mức độ bảo mật cao MPLS VPN sử dụng bảng chuyển tiếp nhãn để tạo nên tính bảo mật cho mạng VPN Kiến trúc mạng loại sử dụng tuyến mạng xác định để phân phối dịch vụ VPN, chế xử lý thông minh MPLS VPN lúc nằm hoàn toàn phần lõi mạng Mỗi VPN kết hợp với bảng định tuyến - chuyển tiếp VPN (VRF) riêng biệt VRF cung cấp thông tin mối quan hệ VPN site khách hàng nối với PE router Đối với VRF, thông tin sử dụng để chuyển tiếp gói tin lưu bảng định tuyến IP bảng CEF Các bảng 50 Nghiên cứu chuyển mạch nhãn đa giao thức MPLS ứng dụng vào VPN trì riêng lẻ cho VRF nên ngăn chặn tượng thơng tin bị chuyển tiếp ngồi mạng VPN ngăn chặn gói tin bên ngồi mạng VPN chuyển tiếp vào router bên mạng VPN Đây chế bảo mật MPLS VPN Bên MPLS VPN, kết nối hai điểm với site gửi thông tin trực tiếp cho mà không cần thơng qua site trung tâm Các CE khơng địi hỏi chức VPN hỗ trợ IPSec điều có nghĩa khách hàng khơng phí q cao cho thiết bị CE Trễ mạng giữ mức thấp gói tin lưu chuyển mạng thông qua hoạt động đóng gói mã hóa Sở dĩ khơng cần chức mã hóa MPLS VPN tạo nên mạng riêng Việc tạo mạng đầy đủ (full mesh) VPN hồn tồn đơn giản MPLS VPN khơng sử dụng chế tạo đường hầm Vì vậy, cấu hình mặc định cho mạng MPLS VPN full mesh, site nối trực tiếp với PE site trao đổi thông tin với VPN.Hoạt động khai thác bảo dưỡng đơn giản mạng MPLS-VPN 51 Nghiên cứu chuyển mạch nhãn đa giao thức MPLS ứng dụng vào VPN KẾT LUẬN Qua đồ án ta biết thành phần cách hoạt động MPLS.Nắm ưu nhược điểm MPLS, MPLS triển khai rộng rãi Sử dụng MPLS ta dễ dàng mở rộng mạng lưới mạng mà không cần phải cấu hình router lõi, chi phí cho mở rộng ít,… MPLS có khả linh hoạt chuyển mạch tốc độ cao dựa kết hợp IP ATM Có thể nói mạng MPLS lựa chọn tốt cho nhà quản trị mạng MPLS có modul: MPLS VPN, MPLS QoS, MPLS TE, Trong MPLS VPN vấn đề quan trọng truyền liệu mạng, thay cho mạng VPN truyền thống Với mạng riêng ảo dựa MPLS doanh nghiệp, tổ chức hồn tồn đạt mục tiêu nhờ : điều khiển nhiều hạ tầng mạng, có dịch vụ hiệu độ tin cậy tốt hơn, cung cấp đa lớp dịch vụ tới người sử dụng, mở rộng an toàn, đảm bảo hiệu đáp ứng theo yêu cầu ứng dụng, hỗ trợ hội tụ đa công nghệ đa kiểu lưu lượng mạng đơn Nhờ ưu điểm vượt trội chất lượng dịch vụ qua mạng IP phương án triển khai VPN khắc phục nhiều vấn đề mà công nghệ đời trước chưa giải được, MPLS thực lựa chọn hiệu triển khai hạ tầng thông tin doanh nghiệp Hướng mở rộng luận văn: MPLS VPN đề tài hay rộng lớn Ngoài vấn đề đề cập luận văn, nhiều vấn đề khác MPLS như: chất lượng dịch vụ, điều khiển lưu lượng, chuyển mạch bước song đa giao thức – MPLS, áp dụng ý tưởng chuyển mạch nhãn vào chuyển mạch quang, bước sóng quang nhãn Những vấn đề hướng mở rộng đề tài em Trong thời gian làm luận văn em cố gắng tìm hiểu đề tài luận văn Tuy nhiên, trình độ cịn hạn chế em tìm hiểu phần nhỏ cơng nghệ MPLS MPLS VPN Vì vậy, luận văn khơng thể tránh khỏi thiếu sót hạn chế, em mong nhận ý kiến đóng góp thầy cô bạn quan tâm đến vấn đề Xin trân trọng cảm ơn! 52 Nghiên cứu chuyển mạch nhãn đa giao thức MPLS ứng dụng vào VPN TÀI LIỆU THAM KHẢO [1] TS.Trần Công Hùng, chuyển mạch nhãn đa giao thức MPLS, nhà xuất thông tin truyền thông, 7/2009 [2] Brian Morgan Neil Lovering, CCNP ISCW Official Exam Certification Guide, Cisco Press [3] Jim CCIE #2069 Guichard Ivan CCIE #1354 Pepelnjak, MPLS and VPN Architectures, Cisco Press [4] Dương Văn Toán, MPLS Lab Guide Version 1.0 (MPLS - Multiprotocol Label Switching), vnexperts, 9/2008 [5] Đăng Quang Minh, CCNA labpro, nhà xuất trẻ, 2008 [6] Munther Louis Antoun, mpls vpn configuration and design guide [7] Trần Thị Tố Quyên, Chuyển mạch nhãn đa giao thức [9] http://www.vnpro.org/forum [10] http://my.opera.com/huyhung.hanu/blog/ [11].http://ties.itu.int/ftp/public/itut/ahtmpls/readandwrite/doc_exchange/0802_gene va/wd16-mpls-data-and-control-plane.txt [12] http://www.tapchibcvt.gov.vn vi Nghiên cứu chuyển mạch nhãn đa giao thức MPLS ứng dụng vào VPN NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN vii ... đưa MPLS là: “Định tuyến biên, chuyển mạch lõi” Nghiên cứu chuyển mạch nhãn đa giao thức MPLS ứng dụng vào VPN Hình 2.3 Khái niệm MPLS 2.3 Các thành phần MPLS 2.3.1 Cấu trúc nút MPLS Một nút MPLS. .. 3-8 đưa mơ hình MPLS VPN: gói chuyển mạch nhãn mạng nhà cung cấp dịch vụ định tuyến PE 35 Nghiên cứu chuyển mạch nhãn đa giao thức MPLS ứng dụng vào VPN Hình 3.8 Mơ hình MPLS VPN 3.1.3.1 Kiến... nhãn chuyển tiếp gói IP tới trạm IP 16 Nghiên cứu chuyển mạch nhãn đa giao thức MPLS ứng dụng vào VPN LSR phải có khả lấy nhiều nhãn (tách nhiều nhãn từ phía ngăn xếp nhãn) trước chuyển mạch