ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ TRẦN VĂN TIẾN CÁC GIẢI PHÁP CHO MẠNG RIÊNG ẢO KIỂU SITE TO SITE DÙNG GIAO THỨC MPLS LUẬN VĂN THẠC SỸ CÔNG NGHỆ THÔNG TIN Hà Nội – 2016 ĐẠI HỌC QUỐC GI[.]
ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ TRẦN VĂN TIẾN CÁC GIẢI PHÁP CHO MẠNG RIÊNG ẢO KIỂU SITE-TO-SITE DÙNG GIAO THỨC MPLS LUẬN VĂN THẠC SỸ CÔNG NGHỆ THÔNG TIN Hà Nội – 2016 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ TRẦN VĂN TIẾN CÁC GIẢI PHÁP CHO MẠNG RIÊNG ẢO KIỂU SITE-TOSITE DÙNG GIAO THỨC MPLS Ngành: Công nghệ thông tin Chuyên ngành: Truyền liệu mạng máy tính Mã số: Thí điểm LUẬN VĂN THẠC SỸ CÔNG NGHỆ THƠNG TIN NGƢỜI HƢỚNG DẪN KHOA HỌC: PGS.TS NGUYỄN ĐÌNH VIỆT Hà Nội – 2016 LỜI CAM ĐOAN Tôi xin cam đoan nội dung trình bày luận văn tơi tự nghiên cứu tìm hiểu dựa tài liệu tơi trình bày theo ý hiểu thân dƣới hƣớng dẫn trực tiếp Thầy Nguyễn Đình Việt Các nội dung nghiên cứu, tìm hiểu kết thực nghiệm hoàn toàn trung thực Luận văn chƣa đƣợc cơng bố cơng trình Trong q trình thực luận văn tơi tham khảo đến tài liệu số tác giả, ghi rõ tên tài liệu, nguồn gốc tài liệu, tên tác giả liệt kê mục “DANH MỤC TÀI LIỆU THAM KHẢO” cuối luận văn Học viên Trần Văn Tiến LỜI CẢM ƠN Để hồn thành luận văn này, trƣớc hết tơi xin chân thành cảm ơn thầy, giáo tận tình hƣớng dẫn, giảng dạy tơi suốt q trình học tập, nghiên cứu Khoa Công Nghệ Thông Tin – Trƣờng Đại học Công Nghệ - Đại học quốc gia Hà Nội Đặc biệt, xin chân thành cảm ơn thầy giáo PGS.TS Nguyễn Đình Việt hƣớng dẫn tận tình, chu đáo giúp tơi hồn thành luận văn Mặc dù có nhiều cố gắng để thực song với kiến thức, kinh nghiệm thân, chắn tránh khỏi thiếu sót chƣa thấy đƣợc Tơi mong nhận đƣợc đóng góp thầy, cơ, bạn bè, đồng nghiệp để luận văn đƣợc hoàn thiện Hà Nội, tháng 11 năm 2016 Học viên Trần Văn Tiến MỤC LỤC LỜI CAM ĐOAN LỜI CẢM ƠN MỤC LỤC .3 DANH MỤC HÌNH VẼ DANH MỤC TỪ VIẾT TẮT DANH MỤC CÁC BẢNG 10 MỞ ĐẦU .11 CHƢƠNG TỔNG QUAN VỀ MẠNG RIÊNG ẢO – VPN .12 1.1 Mạng Internet kiến trúc giao thức mạng Internet .12 1.1.1 Sự đời mạng Internet .12 1.1.2 Kiến trúc giao thức mạng Internet 12 1.2 Mạng cục LAN 13 1.2.1 Mạng LAN đặc điểm 13 1.2.2 Mạng LAN không dây đặc điểm 15 1.3 Mạng riêng ảo – VPN 16 1.3.1 Khái niệm 16 1.3.2 Các chức đặc điểm VPN .17 1.3.3 Các mơ hình VPN .20 1.3.4 Phân loại VPN ứng dụng 22 1.4 Kết luận chƣơng .26 CHƢƠNG CÁC GIAO THỨC ĐƢỜNG HẦM .27 2.1 Giới thiệu giao thức đƣờng hầm 27 2.2 Giao thức đƣờng hầm điểm tới điểm – PPTP 27 2.2.1 Hoạt động PPTP 28 2.2.2 Duy trì đƣờng hầm kết nối điều khiển PPTP 29 2.2.3 Đóng gói liệu đƣờng hầm PPTP 29 2.2.4 Xử lý liệu đầu cuối đƣờng hầm PPTP 31 2.2.5 Triển khai VPN dựa PPTP 31 2.2.6 Ƣu nhƣợc điểm ứng dụng PPTP 33 2.3 Giao thức đƣờng hầm lớp – L2TP 33 2.3.1 Hoạt động L2TP 33 2.3.2 Duy trì đƣờng hầm tin điều khiển L2TP 34 2.3.3 Đóng gói liệu đƣờng hầm L2TP 34 2.3.4 Xử lý liệu đầu cuối đƣờng hầm L2TP IPSec 36 2.3.5 Triển khai VPN dựa L2TP 36 2.3.6 Ƣu nhƣợc điểm ứng dụng L2TP 38 2.4 Giao thức IPSec .38 2.4.1 Hoạt động IPSec 38 2.4.2 Thực VPN IPSec 40 2.4.3 Một số vấn đề tồn IPSec 42 2.5 Kết luận chƣơng .42 CHƢƠNG MẠNG RIÊNG ẢO TRÊN NỀN MPLS 43 3.1 Công nghệ MPLS .43 3.1.1 Giới thiệu 43 3.1.2 Các lợi ích MPLS .43 3.1.3 Một số ứng dụng MPLS .46 3.1.4 Kiến trúc MPLS 47 3.1.5 Các phần tử MPLS 52 3.1.6 Một số giao thức sử dụng MPLS .54 3.1.7 Hoạt động MPLS 59 3.2 Công nghệ VPN dựa MPLS .61 3.2.1 Các thành phần MPLS-VPN 61 3.2.2 Các mơ hình MPLS – VPN .62 3.2.3 Kiến trúc tổng quan MPLS-VPN .64 3.2.4 Định tuyến VPNv4 mạng MPLS-VPN 67 3.2.5 Chuyển tiếp gói tin mạng MPLS-VPN 68 3.2.6 Bảo mật MPLS-VPN .69 3.3 So sánh đặc điểm VPN IPSec MPLS .70 3.3.1 VPN IPSec 70 3.3.2 VPN MPLS 71 3.4 Kết luận chƣơng .72 CHƢƠNG CÁC MƠ HÌNH ĐẢM BẢO CHẤT LƢƠNG DỊCH VỤ VÀ ÁP DỤNG CHO MẠNG RIÊNG ẢO TRÊN NỀN MPLS .73 4.1 Chất lƣợng dịch vụ - QoS độ đo 73 4.1.1 Giới thiệu chất lƣợng dịch vụ - QoS 73 4.1.2 Các tham số chất lƣợng dịch vụ 73 4.2 Các mơ hình đảm bảo QoS 74 4.2.1 Mơ hình Best-Effort 74 4.2.2 Mơ hình IntServ 74 4.2.3 Mơ hình DiffServ 76 4.2.4 So sánh mơ hình IntServ DiffServ .77 4.3 Áp dụng mơ hình DiffServ với gói tin IP 78 4.3.1 Cơ chế QoS áp dụng gói tin .78 4.3.2 Áp dụng QoS với gói tin IP .83 4.4 Áp dụng mơ hình DiffServ cho MPLS-VPN 85 4.4.1 Tổng quan QoS cho MPLS-VPN 85 4.4.2 Áp dụng QoS với gói tin MPLS 87 4.4.3 Các mơ hình đƣờng hầm DiffServ MPLS .89 4.5 Thiết kế QoS cho MPLS-VPN .92 4.6 Kết luận chƣơng .100 CHƢƠNG MÔ PHỎNG QOS TRONG MPLS – VPN 101 5.1 Giới thiệu GNS3 101 5.2 Đặt vấn đề 101 5.3 Mơ hình kịch mô .101 5.3.1 Trƣờng hợp 1: Thực QoS mạng khách hàng 101 5.3.2 Trƣờng hợp 2: Thực QoS mạng lõi MPLS VPN 107 5.4 Kết luận chƣơng .109 KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN 111 TÀI LIỆU THAM KHẢO 112 DANH MỤC HÌNH VẼ Hình - So sánh kiến trúc mơ hình OSI TCP/IP 13 Hình - Mơ hình kết nối VPN 17 Hình - Mơ hình truy cập VPN từ xa 23 Hình - Mơ hình VPN cục 24 Hình - Mơ hình VPN mở rộng 25 Hình - Gói liệu kết nối điều khiển PPTP 29 Hình - Đóng gói liệu đường hầm PPTP .29 Hình - Sơ đồ đóng gói PPTP 30 Hình - Các thành phần hệ thống cung cấp VPN dựa PPTP .32 Hình - Bản tin điều khiển L2TP .34 Hình - Đóng gói liệu đường hầm L2TP .35 Hình - Sơ đồ đóng gói L2TP 35 Hình - Các thành phần hệ thống cung cấp VPN dựa L2TP 37 Hình - Xử lý gói tin AH hai chế độ: truyền tải đường hầm .39 Hình - 10 Xử lý gói tin ESP hai chế độ: truyền tải đường hầm 40 Hình - 11 Ví dụ thực kết nối VPN IPSec 41 Hình - Mạng lõi BGP Free Core .46 Hình - Mặt phẳng chuyển tiếp 48 Hình - Cấu trúc nhãn MPLS 48 Hình - Ngăn xếp nhãn MPLS 50 Hình - Cách đóng gói gói tin gán nhãn 50 Hình - Mặt phẳng điều khiển 52 Hình - Một LSP qua mạng MPLS 54 Hình - Định dạng header LDP PDU 55 Hình - Định dạng tin LDP .55 Hình - 10 Sự kết hợp AFI SAFI .58 Hình - 11 Sự đóng gói nhãn .59 Hình - 12 Hoạt động MPLS 60 Hình - 13 Các thành phần MPLS VPN 61 Hình - 14 Mơ hình MPLS L3 VPN 62 Hình - 15 Mơ hình MPLS L2 VPN 63 Hình - 16 Chức VRF 65 Hình - 17 Route Target .66 Hình - 18 Sự quảng bá tuyến đường mạng MPLS VPN 67 Hình - 19 Sự quảng bá tuyến đường mạng MPLS VPN theo bước 68 Hình - 20 Chuyển tiếp gói tin mạng MPLS VPN 69 Hình - Các kỹ thuật QoS mạng IP 74 Hình - Mơ hình mạng IntServ 75 Hình - Thành phần dịch vụ IntServ 75 Hình - Mơ hình dịch vụ phân biệt DiffServ 77 Hình - Classification .78 Hình - Marking .79 Hình - Congestion Management 79 Hình - FIFO 80 Hình - Priority Queue .80 Hình - 10 WFQ 81 Hình - 11 CBWFQ .81 Hình - 12 LLQ 82 Hình - 13 Policing .82 Hình - 14 Shaping 83 Hình - 15 Các trường header IP .83 Hình - 16 Byte ToS định nghĩa bit Precedence 84 Hình - 17 Byte ToS định nghĩa bit DSCP 84 Hình - 18 Mơ hình ống chất lượng dịch vụ MPLS-VPN 86 Hình - 19 Mơ hình vịi chất lượng dịch vụ MPLS-VPN 87 Hình - 20 Cấu trúc nhãn MPLS .87 Hình - 21 Các hành vi mặc định Cisco IOS bit EXP .89 Hình - 22 Hoạt động chung mơ hình đường hầm DiffServ 90 Hình - 23 Mơ hình ống 90 Hình - 24 Mơ hình ống ngắn .91 Hình - 25 Mơ hình thống 92 Hình - 26 Kiến trúc MPLS vai trò router 93 Hình - 27 Chính sách QoS lồng 94 Hình - 28 Quản trị QoS thiết kế WAN truyền thống dạng Hub-and-Spoke .95 Hình - 29 Thực QoS thiết kế dạng lưới đầy đủ MPLS-VPN .96 Hình - 30 Mơ hình lớp lớp ISP .96 Hình - 31 Mơ hình - lớp dịch vụ khách hàng ánh xạ với mơ hình 4-lớp nhà cung cấp dịch vụ 98 Hình - 32 Mơ hình – lớp dịch vụ khách hàng ánh xạ với mơ hình 6-lớp nhà cung cấp dịch vụ .98 Hình - Mơ hình đề xuất 101 Hình - Tín hiệu video phía client chưa có QoS .103 Hình - Màn hình bên máy Client 103 Hình - Màn hình phía server 104 Hình - Netflow chưa QoS .104 Hình - Tín hiệu thu phía Client sau áp dụng QoS 105 Hình - Màn hình bên phía Client 105 Hình - Màn hình bên phía Server 106 Hình - Netflow sau QoS 106 Hình - 10 Phân tích gói tin HTTP 107 Hình - 11 Phân tích gói tin cổng 9090 .107 DANH MỤC TỪ VIẾT TẮT Viết tắt Tiếng Anh Tiếng Việt AF Assured Forwarding Chuyển tiếp bảo đảm AH Authentication Header Tiêu đề cho xác thực ATM Asynchronous Transfer Mode Phƣơng thức truyền dẫn không đồng AS Autonomous System Hệ thống tự trị BGP Border Gateway Protocol Giao thức cổng đƣờng biên CBWFQ Class-Base Queuing Weighted Fair Hàng đợi cơng có trọng số dựa sở lớp CE Customer Edge Bộ định tuyến biên khách hàng CHAP Challenge Handshake Authentication Protocol Giao thức xác thực bắt tay kiểu thách đố CoS Class of Service Lớp dịch vụ DES Data Encryption Standard Chuẩn mã hóa liệu DSCP Differentiated Service Code Point Điểm mã dịch vụ phân biệt EF Expedited Forwarding Chuyển tiếp nhanh ESP Encapsulating Security Payload Phƣơng thức đóng gói bảo mật tải tin FEC Forwarding Equivalence Class Lớp chuyển tiếp tƣơng đƣơng FIB Forwarding Information Base Cơ sở liệu chuyển tiếp IETF Internet Engineering Task Force Tổ chức chuyên trách kỹ thuật Internet IGP Interior Gateway Protocol Giao thức định tuyến nội vùng IKE Internet Key Exchange Phƣơng thức trao đổi khóa Internet IPSec Internet Protocol Security Giao thức IP bảo mật ISP Internet Service Provider Nhà cung cấp dịch vụ L2TP Layer Tunnel Protocol Giao thức đƣờng hầm lớp LAN Local Area Network Mạng cục LDP Label Distribution Protocol Giao thức phân phối nhãn 3.1.3.2 Mạng riêng ảo Trƣớc xuất MPLS-VPN, chuyển mạch nhãn chƣa đƣợc phổ biến rộng rãi Khi phiên phần mềm điều khiển định tuyến hỗ trợ cho MPLS-VPN đƣợc phát hành, thành cơng bời nhiều nhà khai thác muốn nhanh chóng cung cấp dịch vụ mạng riêng ảo MPLS cho khách hàng họ Ngày nay, MPLS-VPN ứng dụng phổ biến tất ứng dụng MPLS 3.1.3.3 Ứng dụng AToM (Any Transport over MPLS) Giải pháp AToM đƣợc đƣa phiên Cisco 12.0(10)ST vào năm 2000, hỗ trợ truyền ATM AAl-5 qua mạng đƣờng trục MPLS Sau nhiều thành phần khác đƣợc thêm vào AToM Ví dụ, lớp thành phần truyền qua mạng AToM Frame Relay, ATM, PPP, HDLC, Ethernet 802.1Q Đặc biệt, việc truyền Ethernet qua mạng MPLS đƣờng trục ngày thu đƣợc nhiều thành công Tuy nhiên AToM bị hạn chế truyền khung Ethernet qua mạng đƣờng trục MPLS kiểu truyền điểm-điểm 3.1.3.4 Dịch vụ LAN riêng ảo VPLS (Virtual Private LAN Service) Dịch vụ LAN riêng ảo VPLS cho phép truyền khung Ethernet theo kiểu điểm-đa điểm Thực chất, VPLS dịch vụ lớp mô LAN qua mạng MPLS Phiên Cisco IOS bổ sung đƣợc đƣa vào đầu năm 2004 định tuyến 7600 12.2(17d)SXB Nhƣ thấy MPLS kết hợp đƣợc ƣu điểm Frame Relay, ATM công nghệ IP Giải pháp truyền gói mở lĩnh vực ứng dụng mang lại nhiều thành công lớn nhƣ MPLS-VPN, MPLS-TE, AToM VPLS 3.1.4 Kiến trúc MPLS MPLS gồm hai thành phần chính: Mặt phẳng điều khiển (Control plane) mặt phẳng chuyển tiếp (Data plane) [10] 3.1.4.1 Mặt phẳng chuyển tiếp (Data plane) Mặt phẳng liệu thành phần chuyển tiếp gói tin qua thiết bị định tuyến hay chuyển mạch Việc chuyển mạch hay chuyển tiếp gói tin đƣợc thực mạch tích hợp chuyên dụng Sử dụng mạch tích hợp mặt phẳng chuyển tiếp định tuyến cho phép gói IP dán nhãn đƣợc chuyển mạch qua với tốc độ cao Có thể coi mặt phẳng liệu nơi mà hoạt động chuyển tiếp gói tin thực xảy Hoạt động chuyển tiếp thực sau mặt phẳng điều khiển thiết lập thơng tin cần thiết (xem hình 3-2 ) 47 Hình - Mặt phẳng chuyển tiếp Mặt phẳng chuyển tiếp có trách có trách nhiệm chuyển tiếp gói dựa giá trị chứa nhãn Để làm việc này, mặt phẳng chuyển tiếp sử dụng sở thông tin chuyển tiếp nhãn LFIB để chuyển tiếp gói Mỗi nút MPLS có hai bảng liên quan đến việc chuyển tiếp là: sở thông tin nhãn (LIB – Label Information Base) sở thông tin chuyển tiếp nhãn LFIB (Label Forwarding Information Base) LIB chứa tất nhãn đƣợc nút MPLS cục đánh dấu ánh xạ nhãn đến nhãn đƣợc nhận từ nút láng giềng LFIB sử dụng tập nhãn chứa LIB để thực chuyển tiếp gói Nhãn MPLS Hình - Cấu trúc nhãn MPLS 20 bít giá trị nhãn Giá trị nằm dải từ đến 2^20-1 1048575 Tuy nhiên 16 giá trị khơng đƣợc sử dụng nhƣ bình thƣờng chúng có ý nghĩa đặc biệt khác Các bít từ 20 đến 22 bít thực nghiệm (EXP –experimental bit) Những bít đƣợc sử dụng cho chất lƣợng dịch vụ (QOS) Bit 23 bit cuối ngăn xếp (Bottom of Stack - BOS) Nó mang giá trị trừ nhãn cuối ngăn xếp, trƣờng hợp mang giá trị Ngăn xếp nhãn tập hợp nhãn đƣợc đặt phía gói Ngăn xếp nhãn gồm nhãn nhiều nhãn Số lƣợng nhãn (ở trƣờng 32 bit) mà ta tìm thấy ngăn xếp vơ hạn, ta nhìn thấy ngăn xếp có bốn nhãn Trƣờng TTL từ bít thứ 24 đến 31 bít sử dụng làm bit thời gian sống (TTL – Time to Live) TTL có chức giống TTL IP header Nó đƣợc giảm sau bƣớc nhảy chức tránh cho gói bị 48 mắc kẹt vòng lặp Nếu vòng lặp xảy khơng có TTL vịng lặp xảy mãi, TTL nhãn gói bị loại bỏ (hình 3-3) Các loại nhãn đặc biệt: o Nhãn Implicit-null hay POP: Nhãn đƣợc gán nhãn (top label) gói MPLS đến bị bóc gói MPLS hay IP đƣợc chuyển tiếp tới trạm kế xi dịng Giá trị nhãn (trƣờng nhãn 20 bit) Nhãn đƣợc dùng mạng MPLS cho trạm kế cuối Việc sử dụng nhãn implicit-null cuối LSP gọi penultimate hop poping (PHP) điều làm cho router gần router lối gửi nhãn tới router lối sau gỡ bỏ nhãn Điều giúp cho router lối thực việc truy vấn hai lần, lần LFIB để gỡ bỏ nhãn lần thứ hai FIB để chuyển tiếp gói tin o Nhãn Explicit-null: Đƣợc gán để giữ giá trị EXP cho nhãn (top label) gói đến Nhãn đƣợc hốn đổi với giá trị chuyển tiếp nhƣ gói MPLS tới trạm kế xi dịng Nhãn sử dụng thực QoS với MPLS o Nhãn Router Alert: Nhãn có giá trị Nhãn xuất đâu ngăn xếp trừ đáy Khi nhãn nhãn đỉnh, thơng báo cho LSR cần phải truy vấn sâu Do đó, gói tin khơng đƣợc chuyển phần cứng mà đƣợc xem xét phần mềm Khi gói tin đƣợc chuyển, nhãn đƣợc gỡ bỏ Sau đó, truy vấn đến nhãn ngăn xếp đƣợc thực LFIB để định xem packet cần đƣợc chuyển đâu Tiếp đó, hành động nhãn (gỡ bỏ, hốn đổi, thêm vào) đƣợc thực hiện, nhãn lại đƣợc thêm vào đầu ngăn xếp gói tin đƣợc chuyển o Nhãn OAM Alert: Nhãn có giá trị 14 nhãn Hoạt động Bảo trì (Operation and Maintenance) OAM đƣợc sử dụng để phát lỗi đánh giá hiệu Nhãn phân biệt gói tin OAM với gói liệu khác Ngăn xếp nhãn Router có khả MPLS cần nhiều nhãn gói để định tuyến gói mạng MPLS Việc đƣợc thực việc đặt nhãn ngăn xếp Nhãn ngăn xếp đƣợc gọi nhãn đỉnh nhãn cuối gọi nhãn đáy Ở ta có nhiều nhãn (xem hình 3-4) 49 Hình - Ngăn xếp nhãn MPLS Trong ngăn xếp hình ta thấy tất bit BoS tất nhãn trừ với nhãn đáy có giá trị Một vài ứng dụng thực tế MPLS cần nhiều nhãn ngăn xếp để chuyển tiếp gói đƣợc gán nhãn Hai ví dụ ứng dụng MPLS MPLS VPN AToM Cả hai ứng dụng MPLS đặt hai nhãn ngăn xếp Không gian nhãn Nhãn dùng LSR để ánh xạ FEC - Nhãn đƣợc phân loại nhƣ sau: Per platform: Giá trị nhãn toàn LSR Nhãn đƣợc cấp phát từ dải chung Không thể có hai nhãn interface khác có chung giá trị Per interface: Phạm vi nhãn đƣợc kết hợp với interface Có nhiều dải nhãn đƣợc định nghĩa cho interface nhãn đƣợc cung cấp interface đƣợc cấp phát từ dải riêng biệt Giá trị nhãn interface khác giống Mã hóa MPLS Ngăn xếp đặt trƣớc gói lớp – tức trƣớc header giao thức đƣợc vận chuyển nhƣng sau header giao thức lớp Ngăn xếp MPLS thƣờng đƣợc gọi tiêu đề chèn (shim header) vị trí (xem hình 3-5) Hình - Cách đóng gói gói tin gán nhãn Sự đóng gói lớp hầu hết cách đóng gói đƣợc hỗ trợ nhƣ: PPP, HDLC, Ethernet… Giả thiết giao thức truyền tải IPv4 phƣơng thức đóng gói lớp PPP, vị trí nhãn sau header PPP nhƣng trƣớc header IPv4 Bởi ngăn xếp nhãn khung lớp đƣợc đặt trƣớc header lớp giao thức truyền tải khác, ta phải có giá trị trƣờng giao thức lớp liên kết liệu (data link layer), giá trị đƣợc phần header lớp gói đƣợc gán nhãn MPLS Trƣờng giao thức (protocol) giá trị loại tải mà khung lớp truyền Bảng 3-1 tên giá trị trƣờng nhận 50 dạng giao thức (Protocol Identifier - PI) header lớp loại đóng gói lớp khác nhau: Bảng - Một số giá trị PI Giao thức đƣợc vận chuyển lý thuyết bất kì: IPv4 IPv6 Trong trƣờng hợp AToM, ta thấy giao thức đƣợc vận chuyển giao thức phổ biến lớp nhƣ Frame Relay, PPP, HDLC, ATM Ethernet LFIB (Label Forwarding Information Base) LFIB bảng dùng để chuyển tiếp gói tin đƣợc gán nhãn Nó đƣợc tạo thành nhãn đến cho LSP Nhãn đến nhãn đƣợc gán nội LSR cụ thể Nhãn nhãn đƣợc gán từ xa đƣợc LSR từ tất nhãn từ xa Tất nhãn từ xa đƣợc tìm thấy LIB LFIB chọn số tất nhãn từ tất nhãn đƣợc gán từ xa LIB thêm vào LFIB Nhãn đƣợc gán từ xa đƣợc chọn phụ thuộc vào tuyến đƣờng tốt tìm thấy bảng định tuyến Trong ví dụ IPv4 qua MPLS, nhãn đƣợc gán cho tiền tố IPv4 Tuy nhiên, LFIB đƣợc thu thập với nhãn mà LDP không gán Trong trƣờng hợp kỹ thuật lƣu lƣợng (MPLS traffic engineering), nhãn đƣợc phân phối RSVP Trong trƣờng hợp MPLS VPN, nhãn VPN đƣợc phân phối BGP Trong trƣờng hợp nào, LFIB đƣợc dùng để chuyển tiếp gói tin đến 3.1.4.2 Mặt phẳng điều khiển (Control plane) Mặt phẳng điều khiển tập hợp giao thức, chịu trách nhiệm trao đổi thông tin định tuyến thông tin nhãn thiết bị láng giềng với Mặt phẳng điều khiển hỗ trợ cho việc thiết lập mặt phẳng liệu hay chuyển tiếp Hình 3-6 mơ tả cấu trúc mặt phẳng điều khiển 51 Hình - Mặt phẳng điều khiển Mặt phẳng điều khiển xây dựng lên bảng định tuyến (Routing Information Base – RIB) dựa giao thức định tuyến Có nhiều giao thức định tuyến nhƣ Open Shortest Path First (OSPF), Interior Gateway Routing Protocol (IGRP), Enhanced Interior Gateway Routing Protocol (EIGRP), Intermediate System - to Intermediate System (IS-IS), Routing Information Protocol (RIP) Border Gateway Protocol (BGP) đƣợc sử dụng mặt phẳng điều khiển cho việc quản lý định tuyến lớp Mặt phẳng điều khiển sử dụng giao thức trao đổi nhãn để tạo trì nhãn bên trong, trao đổi nhãn với thiết bị láng riềng khác Giao thức trao đổi nhãn gán nhãn cho mạng học qua giao thức định tuyến Giao thức trao đổi nhãn bao gồm MPLS Label Distribution Protocol (LDP), cũ Cisco Tag Distribution Protocol (TDP), BGP (sử dụng MPLS VPN), Resource Reservation Protocol (RSVP) đƣợc dùng MPLS Traffic Engineering (TE) để thực việc trao đổi Mặt phẳng điều khiển xây dựng lên hai bảng, FIB từ thông tin RIB LFIB dựa giao thức trao đổi nhãn RIB Bảng LFIB chứa giá trị nhãn cổng tƣơng ứng cho tiền tố mạng 3.1.5 Các phần tử MPLS 3.1.5.1 LSR (Label Switch Router) Thành phần mạng MPLS router chuyển mạch nhãn LSR Thiết bị thực chức chuyển tiếp gói tin phạm vi mạng MPLS dựa tuyến thiết lập thủ tục phân phối nhãn Có ba loại LSR tồn mạng MPLS: Ingress LSR - LSR lối vào nhận gói chƣa có nhãn, chèn nhãn vào trƣớc gói truyền đƣờng liên kết liệu Egress LSR – LSR lối nhận gói đƣợc gán nhãn, tách nhãn truyền chúng đƣờng kết nối liệu LSR lối LSR lối vào đồng thời LSR biên 52 Intermediate LSR – LSR trung gian nhận gói có nhãn tới, thực thao tác nó, chuyển mạch gói truyền gói đến đƣờng kết nối liệu Bảng 3-2 mô tả hoạt động nhãn: Hoạt động Aggregate Pop Push Swap Untag Mô tả Gỡ bỏ nhãn ngăn xếp thực tra cứu lớp Gỡ bỏ nhãn truyền tải nhƣ gói IP đƣợc gán nhãn không đƣợc gán nhãn Thay nhãn ngăn xếp với tập nhãn khác Thay nhãn ngăn xếp với giá trị khác Gỡ bỏ nhãn chuyển tiếp gói IP tới trạm IP Bảng - Một số hoạt động với nhãn LSR phải có khả lấy nhiều nhãn (tách nhiều nhãn từ phía ngăn xếp nhãn) trƣớc chuyển mạch gói ngồi Một LSR phải có khả gắn nhiều nhãn vào gói nhận đƣợc Nếu gói nhận đƣợc có sẵn nhãn, LSR đẩy một vài nhãn lên ngăn xếp nhãn chuyển mạch gói ngồi Một LSR phải có khả trao đổi nhãn Nó có ý nghĩa đơn giản nhận đƣợc gói gán nhãn, nhãn ngăn xếp đƣợc trao đổi với nhãn gói tin đƣợc chuyển mạch đƣờng kết nối liệu LSR gắn nhãn lên gói đƣợc gọi LSR imposing (gắn) LSR đặt nhãn lên gói Đây việc bắt buộc LSR lối vào Một LSR tách tất nhãn từ gói có gán nhãn trƣớc chuyển mạch gói LSR disposing (tách) hay LSR lối Trong MPLS VPN, LSR lối vào lối đƣợc biết đến nhƣ router biên (PE) LSR trung gian đƣợc biết đến nhƣ router lõi (P) Router PE P trở lên phổ biến thƣờng xuyên sử dụng mạng MPLS không chạy MPLS VPN Các LSR hoạt động ranh giới mạng MPLS mạng truy cập gọi LER (Label edge router) 3.1.5.2 LSP (Label Switched Path) Đƣờng chuyển mạch nhãn tập hợp LSR chuyển mạch gói có nhãn qua mạng MPLS phần mạng MPLS Về bản, LSP đƣờng dẫn qua mạng MPLS phần mạng mà gói qua LSR LSP LSR lối vào, ngƣợc lại LSR cuối LSP LSR lối Tất LSR LSR lối vào lối LSR trung gian (xem hình 3-7) Trong hình 3-7 dƣới mũi tên hƣớng LSP đƣờng chuyển mạch nhãn đƣờng theo chiều Luồng gói có nhãn theo hƣớng khác – ví dụ từ phải sang trái – LSR biên LSP khác 53 Hình - Một LSP qua mạng MPLS 3.1.5.3 FEC (Forwarding Equivalence Class) Lớp chuyển tiếp tƣơng đƣơng (FEC) nhóm luồng gói đƣợc chuyển tiếp dọc theo tuyến đƣờng đƣợc xử lý theo cách chuyển tiếp Tất gói thuộc FEC có nhãn giống Tuy nhiên khơng phải tất gói có nhãn giống thuộc FEC giá trị EXP chúng khác nhau, phƣơng thức chuyển tiếp khác thuộc vào FEC khác Bộ định tuyến định gói thuộc FEC LSR biên vào Sau vài ví dụ FEC: Những gói với địa IP đích lớp khớp với tiền tố Các gói tin có địa đích Gói multicast thuộc nhóm Gói với phƣơng thức chuyển tiếp, dựa thứ tự ƣu tiên trƣờng IP DiffServ Code Point (DSCP) Khung lớp chuyển qua MPLS nhận đƣợc VC giao diện LSR biên vào truyền VC giao diện LSR biên Những gói với địa đích IP lớp thuộc tập tiền tố BGP, tất với BGP bƣớc 3.1.6 Một số giao thức sử dụng MPLS 3.1.6.1 Giao thức phân phối nhãn Để đƣa gói tin qua LSP mạng MPLS, tất LSR phải chạy giao thức phân phối nhãn trao đổi thông tin nhãn với Khi tất LSR có nhãn cho FEC đó, gói tin đƣợc chuyển LSP cách chuyển mạch nhãn LSR Các hoạt động nhãn (tráo đổi, chèn, gỡ bỏ) đƣợc LSR hiểu đƣợc nhìn vào LFIB LIB đƣợc thu thập ràng buộc nhãn nhận LDP, RSVP, MP-BGP ràng buộc tĩnh RSVP phân phối nhãn cho MPLS Traffic Engineering MP-BGP phân phối nhãn cho tuyến BGP, lại LDP để phân phối nhãn cho tuyến đƣờng nội Do đó, tất LSR kết nối trực tiếp với phải thiết lập mối quan hệ ngang hàng hay phiên LDP với Các 54 LDP ngang hàng trao đổi gói tin ánh xạ nhãn qua phiên LDP Sự ánh xạ nhãn việc nhãn đƣợc gán cho FEC LDP có bốn chức chính là: Sự phát LSR lân cận Sự thiết lập bảo trì phiên làm việc Sự quảng bá ánh xạ nhãn Duy trì nhãn thông báo Trƣớc sâu vào chức chính LDP, tìm hiểu định dạng gói tin LDP Mỗi gói tin LDP đƣợc gọi đơn vị liệu giao thức (PDU), bắt đầu tiêu đề gói tin (header) nhƣ hình 3-8 dƣới tiếp sau tin LDP cụ thể đó: Hình - Định dạng header LDP PDU - Phiên bản: Số phiên giao thức, phiên Độ dài PDU: Tổng độ dài PDU tính theo octet, không tính trƣờng phiên trƣờng độ dài Nhận dạng LDP: Nhận dạng không gian nhãn LSR gửi tin Bốn byte đầu chứa địa IP gán cho LSR: nhận dạng router Hai octet sau nhận dạng không gian nhãn bên LSR Nếu khơng gian nhãn per platform trƣờng nhận giá trị ngƣợc lại per interface trƣờng nhận giá trị khác Định dạng tin LDP theo sau header gói tin LDP đƣợc đóng gói dƣới dạng T-L-V nhƣ hình 3-9 sau: Hình - Định dạng tin LDP - U bit: Nếu có giá trị có nghĩa router nhận đƣợc bỏ qua router hiểu đƣợc tin 55 - - Forward (F) bit: Chỉ đƣợc sử dụng bit U có giá trị Do bit tin định nghĩa RFC 3036 nên không sâu vào phần Trường Type: Chỉ loại liệu đƣợc mang vị trí Value TLV Trường Length: Chỉ độ dài liệu mang vị trí Value TLV Trường Value: Phụ thuộc vào loại tin mà có giá trị khác Một số loại tin kể nhƣ: Notification, Hello, Initialization, KeepAlive, Address, Address Withdraw, Label Mapping, Label Request, Lable Abort Request, Withdraw, Lable Release Chi tiết loại tin khuôn khổ đồ án không nhắc tới Sau tìm hiểu sâu chức LDP: Sự phát LSR lân cận: LSR chạy LDP gửi tin LDP Hello tất interface mà LDP đƣợc kích hoạt Bản tin LDP Hello tin UDP đƣợc gửi cho tất router mạng hay nói cách khác tới địa multicast 224.0.0.2 Cổng UDP đƣợc sử dụng cho LDP 646 LSR nhận đƣợc tin LDP Hello cổng nhận có mặt router LDP cổng Sự thiết lập bảo trì phiên làm việc: Nếu hai LSR phát thấy LDP Hello, chúng cố gắng để thiết lập phiên LDP chúng Một LSR cố gắng mở kết nối TCP port 646 tới LSR Nếu kết nối TCP đƣợc thiết lập, hai LSR trao đổi tin LDP Initialization để thống thông số phiên làm việc Những thông số nhƣ sau: - Giá trị thời gian - Cách thức phân phối nhãn - Phạm vi VPI/VCI cho Label Controlled ATM (LC-ATM) - Phạm vi Data-link connection identifier (DLCI) cho LC-Frame Relay Nếu hai router thống xong tham số phiên, chúng giữ kết nối TCP với Và sau phiên LDP đƣợc thiết lập, chúng đƣợc trì gói tin keepalive định kì Mỗi LDP ngang hàng nhận đƣợc gói tin keepalive, thời gian để chờ trƣớc gỡ bỏ LSR danh sách phát bƣớc trƣớc (hold time) đƣợc thiết lập lại Sự quảng bá ánh xạ nhãn: Sự quảng bá ánh xạ nhãn mục đích chính LDP Chúng ta có nhiều chế độ làm việc khác LSR phân phối nhãn: o Chế độ phân phối theo yêu cầu (Downstream on Demand- DoD): chế độ này, LSR yêu cầu LSR phía sau thơng báo ánh xạ cho FEC Mỗi LSR nhận ánh xạ cho FEC từ LSR phía sau 56 o Chế độ phân phối nhãn không yêu cầu trước (Unsolicited Downstream-UD): Trong chế độ này, LSR phân phối ánh xạ nhãn cho LSR láng giềng mà khơng cần LSR u cầu o Chế độ trì nhãn tự (Liberal Label Retention - LLR): LSR giữ tất ánh xạ nhận đƣợc từ LSR khác LIB Chỉ có ánh xạ LSR xi dịng đƣợc dùng LFIB tất ánh xạ từ router khác không đƣợc đặt LFIB đó, khơng phải tất đƣợc dùng để chuyển gói tin Một lợi phƣơng pháp định tuyến động, thời điểm thay đổi ví dụ nhƣ đƣờng liên kết bị hỏng router bị gỡ bỏ, router cho FEC thay đổi Ở thời điểm đó, nhãn cho router có LIB LFIB cập nhật nhanh chóng với nhãn o Chế độ trì nhãn bảo thủ (Conservative Label Retention - CLR): LSR không lƣu trữ tất ánh xạ từ xa LIB mà lƣu trữ ánh xạ từ xa có liên kết với LSR cho FEC Điều làm giảm nhớ cần thiết để lƣu trữ LIB o Chế độ điều khiển độc lập (Independent LSP Control mode): LSR tạo ánh xạ cục cho FEC độc lập với LSR khác Ở chế độ LSR tạo ảnh xạ cục cho FEC sau nhận FEC o Chế độ điều khiển theo thứ tự (Ordered LSP Control mode): Ở chế độ LSR tạo ánh xạ cục cho FEC mà nhận LSR lối cho FEC LSR nhận ánh xạ nhãn từ LSR cho FEC Dù chế độ LDP LSR hoạt động mục đích ánh xạ nhãn Mỗi LSR gán nhãn cục cho tiền tố IGP bảng định tuyến Đây ánh xạ nhãn cục Những ánh xạ cục đƣợc lƣu LIB router, sau lại đƣợc quảng bá cho tất LDP ngang hàng thông qua phiên LDP chúng trở thành ánh xạ từ xa LDP ngang hàng Sự thu hồi nhãn: Khi LDP ngang hàng quảng bá ánh xạ nhãn, LDP ngang hàng khác giữ phiên LDP đóng lại đến nhãn đƣợc thu hồi Nhãn đƣợc thu hồi nhãn cục thay đổi Nhãn cục thay đổi, ví dụ interface với tiền tố cụ thể bị đứt kết nối nhƣng LSR khác quảng bá tiền tố Do đó, nhãn nội cho tiền tố thay đổi từ implicit NULL tới nhãn khác Nếu điều xảy ra, nhãn implicit NULL đƣợc thu hồi cách gửi thông điệp Label Withdraw tới LDP ngang hàng với Nhãn đƣợc quảng bá thông điệp Label Mapping Duy trì nhãn thơng báo: Thơng điệp Notification cần cho việc trì phiên LDP Thơng điệp báo hiệu kiện quan trọng tới LDP ngang hàng Những thơng điệp lỗi khơng tránh đƣợc (Error 57 Notifications) thông tin tƣ vấn đơn giản (Advisory Notification) Advisory Notification đƣợc dùng để gửi thông tin phiên LDP thông điệp nhận từ LDP ngang hàng Những kiện báo hiệu gửi thơng điệp notification kể đến nhƣ: - Protocol data unit (PDU) thông điệp không hợp lệ - Type – Length – Value (TLV) không hợp lệ - Hết thời gian keepalive phiên - Một bên đóng phiên - Sự kiện thơng điệp Initialization - Sự kiện kết từ thông điệp khác - Lỗi bên - Phát thấy lặp - Các kiện phức tạp khác 3.1.6.2 MP-BGP BGP giao thức định tuyến phù hợp cho việc mang hàng trăm ngàn tuyến đƣờng Đồng thời BGP giao thức cho phép thiết lập sách mở rộng mềm dẻo Đó lý ứng cử viên tốt để mang tuyến đƣờng MPLS VPN (vpnv4 route) BGP cần phải chuyển tuyến đƣờng vpnv4 (sẽ đƣợc đề cập phía sau) PE router với BGP mở rộng (MP-BGP) BGP đƣợc mơ tả RFC 1771 có khả mang theo IPv4 nhiên với việc RFC 2858 đời, BGP có khả mang theo nhiều thơng tin định tuyến khác ngồi IPv4 ví dụ BGP mang theo IPv6 Sự mở rộng BGP-4 định nghĩa hai thuộc tính BGP mới: Multiprotocol Reachable NLRI (Network Layer Reachability Information) Multiprotocol Unreachable NLRI Những thuộc tính quảng bá thu hồi tuyến đƣờng Tất chúng giữ hai trƣờng: Address Family Identifier (AFI) Subsequent Address Family Identifier (SAFI) Khi kết hợp hai trƣờng với diễn tả xác tuyến đƣờng mà BGP mang theo Hình – 10 mơ tả liệu Hình - 10 Sự kết hợp AFI SAFI Bảng 3- Một vài số AFI mô tả tƣơng ứng 58 Bảng - Một vài số Address Family Bảng 3- liệt kê số SAFI mô tả tƣơng ứng cho IP AFI Bảng - Các số SAFI BGP mang theo nhãn Tải FULL (114 trang): https://bit.ly/3Rdz8KC Dự phòng: fb.com/TaiHo123doc.net BGP quảng bá tiền tố vpnv4 mạng MPLS VPN Điều không đủ để chuyển lƣu lƣợng VPN cách chính xác Để router PE đầu chuyển lƣu lƣợng VPN xác tới router CE, phải chuyển gói tin dựa nhãn Router PE đầu ánh xạ nhãn tới tiền tố vpnv4, gọi nhãn VPN Router PE đầu phải quảng bá nhãn với tiền tố vpnv4 tới tất router PE đầu vào Nhãn đơn giản đƣợc gắn vào tiền tố vpnv4 đƣợc quảng bá BGP sử dụng thuộc tính mở rộng đa giao thức Nhãn đƣợc chứa trƣờng NLRI Ví dụ AFI SAFI 128 trƣờng hợp MPLS VPN cho IPv4 Hình 3-11 cho thấy đóng gói trƣờng NLRI cho MPLS VPN Hình - 11 Sự đóng gói nhãn 3.1.7 Hoạt động MPLS Hình 3-12 sau minh họa hoạt động mạng MPLS: 59 Hình - 12 Hoạt động MPLS Để gói tin truyền qua mạng MPLS, mạng thực bƣớc sau: Tạo phân phối nhãn Tạo bảng router Tạo đường chuyển mạch nhãn Chèn nhãn / tra cứu bảng Tải FULL (114 trang): https://bit.ly/3Rdz8KC Truyền gói tin Dự phòng: fb.com/TaiHo123doc.net Nguồn gửi liệu tới đích Trong miền MPLS, khơng phải tất lƣu lƣợng từ nguồn cần thiết truyền qua tuyến đƣờng Dựa đặc tính lƣu lƣợng, LSP khác đƣợc tạo cho gói tin với yêu cầu khác từ phía nguồn Tạo phân phối nhãn: Trƣớc liệu truyền, router định tạo liên kết nhãn tới FEC cụ thể tạo bảng Trong LDP router phía dƣới bắt đầu gán nhãn vào FEC phân phối nhãn Các đặc tính liên quan đến lƣu lƣợng dung lƣợng MPLS đƣợc điều chỉnh thông qua giao thức LDP Giao thức báo hiệu nên dùng giao thức vận chuyển có thứ tự đảm bảo tin cậy LDP sử dụng TCP Tạo bảng router: Khi chấp nhận liên kết nhãn, LSR tạo bảng sở liệu nhãn (LIB) Nội dung bảng xác định mối liên hệ nhãn FEC, thơng tin nhãn tự sinh nhận đƣợc từ router khác cho FEC Các LIB đƣợc cập nhật có thay đổi điều chỉnh nhãn Sau tạo LIB, router tiếp tục kết hợp với thông tin RIB hình thành bảng sở chuyển tiếp thơng tin nhãn (LFIB) Bảng thể rõ mối quan hệ nhãn vào nhãn cộng với địa router cần chuyển tiếp tới tƣơng ứng Tạo đường chuyển mạch nhãn: Các LSP đƣợc tạo theo chiều ngƣợc với chiều tạo mục LIB nhƣ nét đứt màu xanh đậm Chèn nhãn / tra cứu bảng: Router LER1 hình sử dụng bảng LIB để tìm đƣờng yêu cầu nhãn cho FEC cụ thể Các định tuyến 60 sử dụng nhãn để tìm đƣờng Khi gói tin đến LSR lối LER4 nhƣ hình nhãn đƣợc loại bỏ gói tin đƣợc truyền tới đích Chuyển tiếp gói tin: Hình 3-13 mơ tả đƣờng gói tin đƣợc truyền từ nguồn tới đích Các gói tin khơng có nhãn LER1 router yêu cầu nhãn Trong mạng IP, tìm địa trùng hợp dài để tìm bƣớc LSR1 bƣớc LER1 LER1 khởi tạo yêu cầu nhãn tới LSR1 Yêu cầu đƣợc phát toàn mạng nhƣ đƣờng nét đứt xanh Mỗi router trung gian LSR2 LSR3 nhận gói tin gán nhãn từ router luồng xuống router LER2 ngƣợc trở lên LER1 LDP xác định đƣờng dẫn ảo đảm bảo QoS nhƣ đƣờng nét đứt xanh đậm hình LER1 tạo nhãn truyền gói tin tới LSR1 Các LSR ví dụ LSR2 LSR3 kiểm tra nhãn gói tin nhận đƣợc, sửa với nhãn tƣơng ứng truyền gói tin Khi gói tin đến LER4, gỡ hết nhãn gói tin khỏi miền MPLS chuyển tới đích Đƣờng thực gói tin đƣợc thể đƣờng nét đứt màu đỏ 3.2 Công nghệ VPN dựa MPLS 3.2.1 Các thành phần MPLS-VPN Một cách khái quát, mơ hình hệ thống cung cấp dịch vụ MPLS-VPN đƣợc thể nhƣ hình 3-13 dƣới đây: [8] Hình - 13 Các thành phần MPLS VPN Nhƣ hình 3-13 thấy thành phần MPLS VPN bao gồm: - - Mạng lõi IP/MPLS đƣợc quản trị nhà cung cấp dịch vụ Bộ định tuyến lõi (P) nhà cung cấp dịch vụ Bộ định tuyến biên nhà mạng (PE) cung cấp thông tin định tuyến khách hàng thực đáp ứng dịch vụ cho khách hàng từ phía nhà cung cấp Mạng khách hàng đƣợc coi mạng truy cập tới vùng mạng lõi 61 6813968 ... TRƢỜNG ĐẠI HỌC CÔNG NGHỆ TRẦN VĂN TIẾN CÁC GIẢI PHÁP CHO MẠNG RIÊNG ẢO KIỂU SITE-TOSITE DÙNG GIAO THỨC MPLS Ngành: Công nghệ thông tin Chuyên ngành: Truyền liệu mạng máy tính Mã số: Thí điểm LUẬN... Đến năm 1997 Internet chính thức xuất Việt Nam [11] 1.1.2 Kiến trúc giao thức mạng Internet Đầu năm 1980 giao thức đƣợc đƣa làm giao thức chuẩn cho mạng ARPANET mạng DoD mang tên DARPA Internet... dành riêng, mà sử dụng đƣờng chung nhƣng đƣợc định sử dụng mạch ảo Các mạch ảo đảm bảo lƣu lƣợng cho khách hàng riêng biệt Mạch ảo gồm mạch ảo cố định PVC mạch ảo chuyển mạch SVC Cung cấp mạch ảo