đồ án:CÔNG NGHỆ BGP/MPLS VPN

đồ án:CÔNG NGHỆ BGP/MPLS VPNMẠNG RIÊNG ẢOCHUYỂN MẠCH NHÃN ĐA GIAO THỨC MPLSCÔNG NGHỆ BGP/MPLS VPNTHỰC HIỆN MÔ PHỎNG TRÊN BỘ ĐỊNH TUYẾN CỦA CISCO

ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC

KHOA VIỄN THÔNG I

Hà Nội - 2008

BƯU CHÍNH VIỄN THÔNG Độc Lập - Tự Do - Hạnh Phúc

KHOA VIỄN THÔNG I

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

Điểm: (bằng chữ ……… )

Ngày tháng 11 năm 2008

Giáo viên hướng dẫn

TS Nguyễn Tiến Ban

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

Điểm: (bằng chữ ……… )

Ngày tháng 11 năm 2008 Giáo viên phản biện

MỤC LỤC

MỤC LỤC i

DANH MỤC HÌNH VẼ iii

DANH MỤC BẢNG BIỂU v

THUẬT NGỮ VIẾT TẮT vi

LỜI NÓI ĐẦU x

CHƯƠNG I: MẠNG RIÊNG ẢO VPN 1

1.1 Giới thiệu VPN 1

1.1.1 Đặc điểm của VPN 1

1.1.2 Lợi ích của VPN 2

1.2 Phân loại VPN 3

1.2.1 Mạng VPN truy nhập từ xa 4

1.2.2 Mạng VPN cục bộ 6

1.2.3 Mạng VPN mở rộng 7

1.3 Các thiết bị sử dụng trong mạng riêng ảo 8

1.4 Các giao thức dùng trong VPN 9

1.5 Các mô hình VPN .11

1.6 Kết luận chương I 14

CHƯƠNG II: CHUYỂN MẠCH NHÃN ĐA GIAO THỨC MPLS 15

2.1 Giới thiệu về MPLS 15

2.2 Các thành phần của MPLS .16

2.2.1 Các thiết bị trong mạng MPLS .16

2.2.2 Đường chuyển mạch nhãn .17

2.2.3 Nhãn và các vấn đề liên quan 17

2.3 Hoạt động MPLS 22

2.4 Kiến trúc ngăn xếp trong MPLS 24

2.5 Kết luận chương II 25

CHƯƠNG III: BGP/MPLS VPN 27

3.1 Giao thức BGP 27

3.1.1 Khái niệm 27

3.1.2 Hoạt động 28

3.1.3 Phương pháp gửi nhãn MPLS 31

3.1.4 BGP với VPN 32

3.2 Bảng định tuyến và chuyển tiếp VRF 33

3.2.1 VRF và các kênh liên kết 33

3.2.2 Kết hợp các gói IP với VRF 34

3.3 Phân phối tuyến VPN thông qua BGP 36

3.3.1 Họ địa chỉ VPN-Ipv4 36

3.3.2 Mã hoá RD 36

3.3.3 Điều khiển phân phối tuyến VPN 38

3.4 Nguyên lý hoạt động BGP/MPLS VPN 41

3.4.1 Mặt phẳng điều khiển 41

3.4.2 Mặt phẳng dữ liệu 45

3.5 Các topo BGP/MPLS VPN 48

3.5.1 Thực hiện phân phối tuyến cho các topo VPN 48

3.5.2 Thực hiện truy cập Internet cho các BGP/MPLS VPN 53

3.6 Các ưu nhược điểm của BGP/MPLS VPN 57

3.7Kết luận chương III 58

CHƯƠNG IV: MÔ PHỎNG TRÊN BỘ ĐỊNH TUYẾN CỦA CISCO 59

4.1 Chương trình mô phỏng 59

4.2 Kịch bản mô phỏng 60

4.3 Thực hiện 60

4.4Kết quả mô phỏng 68

4.5 Đánh giá kết quả mô phỏng 69

4.6 Kết luận chương IV 69

KẾT LUẬN 70

TÀI LIỆU THAM KHẢO xii

PHỤ LỤC xiii

DANH MỤC HÌNH VẼ

DANH MỤC BẢNG BIỂU

THUẬT NGỮ VIẾT TẮT

A

AAL ATM Adapter Layer Lớp tương thích ATM

ACL Access Control List Danh sách điều khiển truy cập

FEC Forwarding Equivalence Class Lớp chuyển tiếp tương đương

FR Frame Relay Chuyển mạch khung

IGP Interior Gateway Protocol Giao thức định tuyến trong miền

IP Internet Protocol Giao thức Internet

IPLS IP-Only Private LAN Service Dịch vụ LAN thuê riêng trên nền IPIP-Sec Internet Protocol Security Giao thức an ninh Internet

ISP Internet Service Provider Nhà cung cấp dịch vụ Internet

L

L2F Layer 2 Forwarding Giao thức chuyển tiếp lớp 2

L2TP Layer 2 Tunneling Protocol Giao thức đường hầm lớp 2

LAC L2TP Access Concentrator Bộ tập trung truy cập L2TP

LAN Local Area Network Mạng cục bộ

LDP Label Distribution Protocol Giao thức phân bổ nhãn

LER Label Edge Router Bộ định tuyến chuyển mạch nhãn biênLNS L2TP Network Server Máy chủ mạng L2TP

LSP Label Switching Path Đường chuyển mạch nhãn

LSR Label Switching Router Bộ định tuyến chuyển mạch nhãn

M

M2M Multipoint-to-Multipoint Đa điểm tới đa điểm

MD Multicast Domain Miền đa điểm

MPLS Multi Protocol Label Switching Chuyển mạch nhãn đa giao thứcMPLS-TE MPLS-Traffice Engineering Kỹ thuật lưu lượng

MT Multicast Tunnel Đường hầm đa điểm

MTI Multicast Tunnel Interface Giao diện đường hầm đa điểm

MVPN Multicast VPN VPN đa điểm

MVRF Multicast VRF VRF đa điểm

N

NAS Network Access Server Máy chủ truy cập mạng

NGN Next Generation Network Mạng thế hệ kế tiếp

O

OSPF Open Shortest Path First Giao thức đường đi ngắn nhất đầu tiên

P

PAC PPTP Access Concentrator Bộ tập trung truy cập PPTP

PE Provider Edge Thiết bị biên của mạng nhà cung cấpPNS PPTP Network Server Máy chủ mạng PPTP

POP Point of Presence Điểm truy cập truyền thống

PPP Point to Point Tunneling

Protocol

Giao thức đường hầm điểm tới điểm

PVC Permanent Virtual Circuit Kênh ảo cố định

Q

QoS Quality of Service Chất lượng dịch vụ

R

RD Route Distinguisher Thuộc tính phân biệt tuyến

RSVP Resource Reservation Protocol Giao thức dành trước tài nguyên

RT Route Target Thuộc tính tuyến đích

S

SDH Synchronous Digital Hierachy Phân cấp số đồng bộ

SDU Service Data Unit Đơn vị dữ liệu dịch vụ

SONET Synchronous Optical Network Mạng quang đồng bộ

SP Service Provider Nhà cung cấp dịch vụ

SLIP Serial Line Interface Protocol Giao thức giao diện đường nối tiếpSLA Service Level Agreement Thỏa thuận mức dịch vụ

SSL Secure Socket Layer Lớp socket an toàn

VC Virtual Circuit Kênh ảo

VCI Virtual Circuit Identifier Nhận dạng kênh ảo

VLLS Virtual Leased Line Service Dịchvụ đường dây thuê riêng ảo

VPDN Virtual Private Dial Network Mạng quay số riêng ảo

VPI Virtual Path Identifier Nhận dạng đường ảo

VPLS Virtual Private LAN Service Dịch vụ LAN riêng ảo

VPN Virtual Private Network Mạng riêng ảo

VPWS Virtual Private Wire Service Dịch vụ đường dây riêng ảo

VR Virtual Router Bộ định tuyến ảo

VRF VPN Routing and Forwarding Bảng định tuyến và chuyển tiếp VPN

W

WAN Wide Area Network Mạng diện rộng

LỜI NÓI ĐẦU

Ngày nay, cùng với sự phát triển nhanh chóng của khoa học kỹ thuật, Công nghệ thông tin và Viễn thông đã góp phần quan trọng vào sự phát triển kinh tế thế giới

Các tổ chức, doanh nghiệp có nhiều chi nhánh, các công ty đa quốc gia trong quá trình hoạt động luôn phải trao đổi thông tin với khách hàng, đối tác, nhân viên của họ Chính vì vậy đòi hỏi phải luôn nắm bắt được thông tin mới nhất, chính xác nhất, đồng thời phải đảm bảo độ tin cậy cao giữa các chi nhánh của mình trên khắp thế giới, cũng như với các đối tác và khách hàng Với các tổ chức này, việc truyền thông dữ liệu một cách an toàn với chi phí thấp, giảm nhẹ các công việc quản lý hoạt động của mạng luôn được đặt ra, và VPN là một giải pháp hiệu quả.

Đã có rất nhiều phương án triển khai VPN như: X.25, ATM, Frame Relay, leased line… Tuy nhiên khi thực hiện các giải pháp này thì chi phí rất lớn để mua sắm các thiết bị, chi phí cho vận hành, duy trì, quản lý rất lớn và do doanh nghiệp phải gánh chịu trong khi các nhà cung cấp dịch vụ chỉ đảm bảo về một kênh riêng cho số liệu và không chắc chắn về vấn đề an ninh của kênh riêng này.

Cùng với xu hướng IP hoá mạng viễn thông hiện nay, IP-VPN đã tạo ra bước ngoặt lớn trong lịch sử phát triển của công nghệ VPN IP-VPN đã giải quyết được vấn đề giảm chi phí vận hành, duy trì quản lý đơn giản, linh hoạt Tuy nhiên IP-VPN truyền thống còn phải sử dụng các thuật toán mã hoá đi kèm, và các thuật toán mã hoá này là rất phức tạp Công nghệ mới - chuyển mạch nhãn đa giao thức MPLS, có thể coi là một bước phát triển lớn, hoàn thiện công nghệ IP nói chung và IP-VPN nói riêng MPLS cho phép triển khai các VPN có khả năng mở rộng và cơ sở xây dựng các dịch vụ giá trị gia tăng vượt trội so với các VPN truyền thống.

Ở Việt Nam, khi nền kinh tế cũng đang trong thời kỳ phát triển và hội nhập quốc

tế thì nhu cầu sử dụng VPN vừa đáp ứng được các yêu cầu về thông tin, vừa giải quyết được những khó khăn về kinh tế Hơn nữa, Tổng công ty BCVT Việt Nam cũng

đã áp dụng công nghệ MPLS cho mạng thế hệ kế tiếp NGN Đó là một thuận lợi lớn

để triển khai các MPLS VPN

Với đề tài:”Công nghệ BGP/MPLS VPN”, nội dung đồ án gồm 4 chương sẽ

lần lượt trình bày về những vấn đề cơ bản nhất của mạng MPLS VPN.

 Chương I: Nêu một số khái niệm tổng quan, các đặc điểm của VPN, từ

đó làm cơ sở để phân loại các mạng VPN.

 Chương II: Giới thiệu về công nghệ MPLS, đặc điểm và hoạt động của

một mạng MPLS để có thể dễ dàng nắm được nguyên lý hoạt động của các VPN được xây dựng trên mạng này.

 Chương III: Đây là chương trọng tâm, nghiên cứu về BGP/MPLS VPN,

nguyên lý hoạt động và đặc biệt là các tính năng tiên tiến, vượt trội mà công nghệ này hỗ trợ.

 Chương IV: Thực hiện cấu hình mô phỏng BGP/MPLS VPN trên bộ

định tuyến của Cisco.

Việc nghiên cứu, tìm hiểu về cả một công nghệ như BGP/MPLS VPN đòi hỏi phải có kiến thức sâu rộng, và lâu dài Do thời gian và trình độ có hạn, nên chắc chắn những vấn đề được đề cập trong đồ án sẽ không tránh khỏi những sai sót Em rất mong nhận được sự phê bình góp ý của các thầy cô giáo, các bạn, và những ai quan tâm đến công nghệ này.

Em xin chân thành cảm ơn thầy giáo TS Nguyễn Tiến Ban đã tận tình hướng

dẫn em hoàn thành tốt đồ án này.

Xin gửi lời cảm ơn đến các thầy cô giáo trong khoa Viễn thông, gia đình, bạn

bè và người thân - những người đã dạy dỗ, giúp đỡ và động viên em trong suốt quá trình học tập vừa qua.

CHƯƠNG I: MẠNG RIÊNG ẢO VPN

1.1 Giới thiệu VPN

Mạng riêng ảo VPN là một mạng riêng rẽ dùng để kết nối nhiều mạng con khác nhau hoặc tới nhiều người sử dụng từ xa Các kết nối của mạng riêng ảo dựa vào các kết nối có sẵn của một mạng công cộng như là Internet nhưng có các chính sách quản lý và bảo mật giống như một mạng nội bộ

Hình 1.1 : Mạng riêng ảo VPN

1.1.1 Đặc điểm của VPN

 Virtual : Kết nối trong VPN là động và tồn tại như một kết nối ảo đi qua

Internet Kết nối này có thể thay đổi và thích ứng với nhiều môi trường khác nhau và có khả năng chịu đựng những khuyết điểm của mạng Internet Khi có yêu cầu kết nối thì nó được thiết lập và duy trì trên cơ

sở hạ tầng mạng giữa những điểm đầu cuối

 Private : Dữ liệu truyền luôn luôn được giữ bí mật và chỉ có thể bị truy

cập bởi những nguời sử dụng được trao quyền Điều này rất quan trọng bởi vì giao thức Internet TCP/IP ban đầu không được thiết kế để cung cấp các mức độ bảo mật Do đó, bảo mật sẽ được cung cấp bằng cách

sử dụng phần mềm hoặc thiết bị phần cứng VPN

 Network : VPN là thực thể hạ tầng mạng giữa những người sử dụng đầu

cuối, những trạm hay những nút để mang dữ liệu Sử dụng dây dẫn, môi

trường vô tuyến, Internet hay bất kỳ tài nguyên mạng dành riêng khác sẵn có để tạo nền mạng.

Khái niệm mạng riêng ảo VPN thực ra không phải là khái niệm mới, chúng đã từng được sử dụng trong các mạng điện thoại trước đây nhưng do một số hạn chế mà công nghệ VPN chưa có được sức mạnh và khả năng cạnh tranh lớn Trong thời gian gần đây, do sự phát triển của mạng thông minh, cơ sở hạ tầng mạng IP đã làm cho VPN thực sự có tính mới mẻ VPN cho phép thiết lập các kết nối riêng với những người dùng ở xa, các văn phòng chi nhánh của công ty và đối tác của công ty đang sử dụng chung một mạng công cộng

Hiện nay, VPN được sử dụng rộng rãi cho các dịch vụ dữ liệu, hình ảnh và các dịch vụ đa phương tiện

1.1.2 Lợi ích của VPN

VPN mang lại lợi ích thực sự và tức thời cho các công ty Có thể dùng VPN không chỉ để đơn giản hoá việc thông tin giữa các nhân viên làm việc ở xa, người dùng lưu động, mở rộng Intranet đến từng văn phòng, chi nhánh, thậm chí triển khai Extranet đến tận khách hàng và các đối tác chủ chốt mà còn làm giảm chi phí hơn nhiều so với việc mua thiết bị và đường dây cho mạng WAN riêng Có thể liệt kê một

số lợi ích mà VPN đem lại như sau:

a) Tiết kiệm chi phí

Việc sử dụng một VPN sẽ giúp các công ty giảm được chi phí đầu tư và chi phí thường xuyên Tổng giá thành của việc sở hữu một mạng VPN sẽ được giảm đi,

do chỉ phải trả ít hơn cho việc thuê băng thông đường truyền, các thiết bị mạng đường trục và duy trì hoạt động của hệ thống Giá thành cho việc kết nối LAN-to-LAN giảm

từ 20 tới 30% so với việc sử dụng đường thuê riêng truyền thống Còn đối với việc truy cập từ xa giảm từ 60 tới 80%

b) Tính linh hoạt

Tính linh hoạt ở đây không chỉ là linh hoạt trong quá trình vận hành và khai thác mà nó còn thực sự mềm dẻo đối với yêu cầu sử dụng Khách hàng có thể sử dụng kết nối T1, T3 giữa các văn phòng và nhiều kiểu kết nối khác cũng có thể được

sử dụng để kết nối các văn phòng nhỏ, các đối tượng di động Nhà cung cấp dịch vụ (SP) VPN có thể cung cấp nhiều lựa chọn cho khách hàng, có thể là kết nối modem

56 kbit/s, ISDN 128 kbit/s, xDSL, T1, T3 …

c) Khả năng mở rộng

Do VPN được xây dựng dựa trên cơ sở hạ tầng mạng công cộng, bất cứ ở nơi nào có mạng công cộng đều có thể triển khai VPN, vì vậy nên khả năng mở rộng của VPN rất linh động Một chi nhánh ở xa có thể kết nối một cách dễ dàng đến mạng của công ty bằng cách sử dụng đường dây điện thoại hay DSL…và có thể gỡ bỏ dễ dàng theo nhu cầu.

d) Giảm thiểu các hỗ trợ kỹ thuật

Việc chuẩn hoá kiểu kết nối từ đối tượng di động đến một điểm truy nhập (POP) của nhà cung cấp dịch vụ Internet (ISP) và việc chuẩn hoá các yêu cầu về bảo mật đã làm giảm thiểu nhu cầu về hỗ trợ kỹ thuật cho mạng VPN Và ngày nay, khi

mà các cung cấp dịch vụ đảm nhiệm các nhiệm vụ hỗ trợ mạng nhiều hơn thì những yêu cầu hỗ trợ kỹ thuật đối với người sử dụng ngày càng giảm

e) Giảm thiểu các yêu cầu về thiết bị

VPN yêu cầu thiết bị ít hơn, đơn giản hơn nhiều so với việc bảo trì các modem riêng biệt, các card tương thích cho các thiết bị đầu cuối và các máy chủ truy cập từ

xa Một doanh nghiệp có thể thiết lập các thiết bị khách hàng cho một môi trường đơn, với phần còn lại của kết nối được thực hiện bởi SP

f) Đáp ứng các nhu cầu thương mại

Các sản phẩm dịch vụ VPN tuân theo chuẩn chung hiện nay, một phần để đảm bảo khả năng làm việc của sản phẩm và quan trọng hơn là để sản phẩm của nhiều nhà cung cấp khác nhau có thể làm việc với nhau

Đối với các thiết bị và công nghệ Viễn thông mới thì vấn đề cần quan tâm là chuẩn hoá, khả năng quản trị, khả năng mở rộng, khả năng tích hợp mạng, tính kế thừa, độ tin cậy và hiệu suất hoạt động, đặc biệt là khả năng thương mại của sản phẩm

Mạng riêng ảo VPN sử dụng các công nghệ như FR và kênh ảo ATM đã được dùng trong một thời gian dài, nhưng mấy năm trở lại đây, các VPN dựa trên IP và IP/MPLS đang trở nên ngày càng phổ biến hơn

Các phần sau sẽ tiếp tục tìm hiểu về các thiết bị VPN, các giao thức, các công nghệ, cũng như các loại và các mô hình VPN

1.2 Phân loại VPN

Mục tiêu đặt ra đối với công nghệ mạng VPN là thoả mãn ba yêu cầu cơ bản sau:

 Tại mọi thời điểm, các nhân viên của công ty có thể truy nhập từ xa hoặc

di động vào mạng nội bộ của công ty

 Nối liền các chi nhánh, văn phòng di động

 Khả năng điều khiển được quyền truy nhập của khách hàng, các nhà cung cấp dịch vụ hoặc các đối tượng bên ngoài khác

Dựa vào những yêu cầu cơ bản trên, mạng riêng ảo VPN được phân làm ba loại:

 Mạng VPN truy nhập từ xa (Remote Access VPN)

VPN truy nhập từ xa mở rộng mạng công ty tới những người sử dụng thông qua cơ sở hạ tầng chia sẻ chung, trong khi những chính sách quản lý và bảo mật mạng của công ty vẫn được duy trì Chúng có thể dùng để cung cấp truy nhập an toàn

từ những thiết bị di động, những người sử dụng di động, những chi nhánh và những bạn hàng của công ty Những kiểu VPN này được thực hiện thông qua cơ sở hạ tầng công cộng bằng cách sử dụng công nghệ ISDN, quay số, IP di động, DSL và công nghệ cáp và thường yêu cầu một vài kiểu phần mềm client chạy trên máy tính của người sử dụng

Hình 1.2 : Mô hình mạng VPN truy nhập từ xa

Các ưu điểm của mạng VPN truy nhập từ xa :

 Mạng VPN truy nhập từ xa không cần sự hỗ trợ của nhân viên mạng bởi vì quá trình kết nối từ xa được các ISP thực hiện

 Giảm được các chi phí cho kết nối từ khoảng cách xa bởi vì các kết nối khoảng cách xa được thay thế bởi các kết nối cục bộ thông qua mạng Internet

 Cung cấp dịch vụ kết nối giá rẻ cho những người sử dụng ở xa

 Vì các kết nối truy nhập là nội bộ nên các modem kết nối hoạt động ở tốc độ cao hơn so với các truy nhập khoảng cách xa

 Cung cấp khả năng truy nhập tốt hơn đến các site của công ty bởi vì chúng hỗ trợ mức thấp nhất của dịch vụ kết nối

Các nhược điểm của mạng VPN truy nhập từ xa :

 Mạng VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo QoS

 Nguy cơ bị mất dữ liệu cao, các gói có thể bị phân phát không đến nơi hoặc mất gói

 Do sử dụng thuật toán mã hoá phức tạp nên tiêu đề giao thức tăng một cách đáng kể.

1.2.2 Mạng VPN cục bộ

Các VPN cục bộ được sử dụng để kết nối các địa điểm khác nhau của một công ty, liên kết trụ sở chính, các văn phòng và chi nhánh trên một cơ sở hạ tầng chung sử dụng các kết nối luôn được mã hoá bảo mật Điều này cho phép tất cả các địa điểm có thể truy nhập an toàn các nguồn dữ liệu được phép trong toàn bộ mạng của công ty

Mạng VPN kiểu này vẫn cung cấp các đặc tính của mạng WAN như là khả năng mở rộng, tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phí thấp nhưng vẫn đảm bảo tính mềm dẻo Kiểu VPN này thường được cấu hình như là một VPN Site- to- Site

Hình 1.3 : Mô hình mạng VPN cục bộ

Các ưu điểm của mạng VPN cục bộ :

 Các mạng lưới cục bộ hay toàn bộ có thể được thiết lập (với điều kiện mạng thông qua một hay nhiều nhà cung cấp dịch vụ)

 Giảm được số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi xa

 Bởi vì những kết nối trung gian được thực hiện thông qua mạng Internet, nên nó có thể dễ dàng thiết lập thêm một liên kết ngang cấp mới.

 Tiết kiệm chi phí thu được từ những lợi ích đạt được bằng cách sử dụng đường ngầm VPN thông qua Internet kết hợp với công nghệ chuyển mạch tốc độ cao Ví dụ như công nghệ Frame Relay, ATM

Các nhược điểm của mạng VPN cục bộ :

 Bởi vì dữ liệu được truyền “ngầm” qua mạng công cộng nên vẫn còn những mối “đe dọa” về mức độ bảo mật dữ liệu và mức độ chất lượng dịch vụ (QoS)

 Khả năng các gói dữ liệu bị mất trong khi truyền dẫn vẫn còn khá cao

 Trường hợp truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêu cầu truyền dẫn tốc độ cao và đảm bảo thời gian thực là thách thức lớn trong môi trường Internet

1.2.3 Mạng VPN mở rộng

Không giống như mạng VPN truy nhập từ xa và mạng VPN cục bộ, mạng VPN mở rộng không bị cô lập với “thế giới bên ngoài” Thực tế mạng VPN mở rộng cung cấp khả năng điều khiển truy nhập tới những nguồn tài nguyên mạng cần thiết

để mở rộng những đối tượng kinh doanh như là các đối tác, khách hàng, và các nhà cung cấp…

Hình 1.4: Mô hình mạng VPN mở rộng

Các VPN mở rộng cung cấp một đường hầm bảo mật giữa các khách hàng, các nhà cung cấp và các đối tác qua một cơ sở hạ tầng công cộng Kiểu VPN này sử dụng các kết nối luôn luôn được bảo mật và được cấu hình như một VPN Site–to–Site Sự khác nhau giữa một VPN cục bộ và một VPN mở rộng đó là sự truy cập mạng được công nhận ở một trong hai đầu cuối của VPN

Các ưu điểm của mạng VPN mở rộng :

 Chi phí cho mạng VPN mở rộng thấp hơn rất nhiều so với mạng truyền thống

 Dễ dàng thiết lập, bảo trì và dễ dàng thay đổi đối với mạng đang hoạt động

 Vì mạng VPN mở rộng được xây dựng dựa trên mạng Internet nên có nhiều cơ hội trong việc cung cấp dịch vụ và chọn lựa giải pháp phù hợp với các nhu cầu của mỗi công ty hơn

Bởi vì các kết nối Internet được nhà cung cấp dịch vụ Internet bảo trì, nên giảm được số lượng nhân viên kỹ thuật hỗ trợ mạng, do vậy giảm được chi phí vận hành của toàn mạng

Các nhược điểm của mạng VPN mở rộng :

 Khả năng bảo mật thông tin, mất dữ liệu trong khi truyền qua mạng công cộng vẫn tồn tại

 Truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêu cầu truyền dẫn tốc độ cao và đảm bảo thời gian thực là thách thức lớn trong môi trường Internet

 Làm tăng khả năng rủi ro đối với các mạng cục bộ của công ty

1.3 Các thiết bị sử dụng trong mạng riêng ảo

Các thiết bị trong mạng của khách hàng thuộc về một trong hai loại cơ bản :

 Các thiết bị CE (Customer Edge): là thiết bị đặt ở biên của mạng khách

hàng và kết nối đến nhà cung cấp dịch vụ (thông qua các thiết bị PE) Các thiết bị CE có thể là bộ định tuyến (CE-r), hoặc chuyển mạch (CE-s)

 Các thiết bị C (Customer): là thiết bị đơn giản, như các bộ định tuyến

và các chuyển mạch đặt bên trong mạng khách hàng Các thiết bị này

không có kết nối trực tiếp đến mạng nhà cung cấp Các thiết bị C không cần biết sự tồn tại của VPN.

Các thiết bị trong mạng của nhà cung cấp cũng thuộc một trong hai loại sau:

 Các thiết bị P (Provider): là các thiết bị như các bộ định tuyến và

chuyển mạch bên trong mạng nhà cung cấp, không kết nối trực tiếp đến các mạng khách hàng, các thiết bị P không biết gì về các VPN của khách hàng

 Các thiết bị PE (Provider Edge): các thiết bị này kết nối trực tiếp với

mạng của khách hàng thông qua các thiết bị CE Các thiết bị PE biết về VPN trong các PE-based VPN nhưng lại không biết gì về các VPN trong kiểu CE-based VPN Có 3 kiểu thiết bị PE : bộ định tuyến PE (PE-r), chuyển mạch PE (PE-s), hoặc PE có thể vừa định tuyến vừa chuyển mạch (PE-rs)

Các kiểu thiết bị khác được dùng trong VPN bao gồm máy chủ truy nhập tập trung NAS và các cổng/bộ tập trung VPN (gateways/concentrators) NAS là thiết bị giao tiếp giữa mạng truy nhập và mạng chuyển mạch gói Trong một VPN truy cập từ

xa, NAS có thể được dùng như một điểm đầu cuối đường hầm

Ngoài ra, phụ thuộc vào giao thức VPN truy cập từ xa được dùng, NAS có nhiều tên gọi khác nhau: L2F Protocol NAS, bộ tập trung truy cập L2TP (LAC), hoặc

bộ tập trung truy cập PPTP (PAC)

Một cổng/bộ tập trung VPN hoạt động như đầu cuối của một đường hầm VPN, đặc biệt trong VPN truy cập từ xa hoặc CE-based site-to-site VPN (hình 1.4)

Phụ thuộc vào giao thức VPN truy cập từ xa, cổng/bộ tập trung có thể được gọi là L2F Home Gateway, L2TP Network Server (LNS), hoặc PPTP Network Server (PNS)

 Ipsec : Là một bộ các giao thức được thiết kế để bảo vệ lưu lượng IP

giữa các cổng an ninh hoặc các host khi lưu lượng này được truyền tải trên mạng chung Các đường hầm Ipsec thường được dùng để xây dựng một site-to-site CE-based VPN

 GRE : Có thể dùng để xây dựng các đường hầm và truyền tải lưu lượng

đa giao thức giữa các thiết bị CE trong một VPN GRE ít đảm bảo về an ninh nhưng nó có thể được dùng kết hợp với các giao thức khác

 AToM : Cho phép truyền các lưu lượng giao thức truyền tải

point-to-point (như FR, ATM, Ethernet, Ethernet VLAN-802.1Q, HDLC và PPP) trên MPLS

 L2TPv3 : Cho phép truyền các lưu lượng giao thức truyền tải

point-to-point trên một backbone IP hoặc backbone khác

 Đường hầm IEEE 802.1Q (Q-in-Q): giúp một SP tạo đường hầm

Ethernet thẻ (802.Q) và truyền lưu lượng trên mạng backbone chung Lưu lượng 802.1Q được truyền qua đường hầm trên mạng backbone SP bằng cách gắn một thẻ 802.1Q

 MPLS LSP : LSP là một đường hầm đi qua các LSR trong một mạng

MPLS Các gói được chuyển mạch dựa trên nhãn trên gói Báo hiệu cho các LSP có thể là TDP, LDP, hay RSVP

Các giao thức và công nghệ dùng cho VPN truy cập từ xa:

 Giao thức L2F : Là giao thức được thiết kế để cho phép tạo đường hầm

cho các frame PPP (hoặc SLIP) giữa một NAS và một thiết bị gateway VPN đặt tại điểm trung tâm Những người sử dụng truy cập từ xa kết nối đến NAS, và đường hầm được thiết lập để mang các frame PPP từ người sử dụng truy nhập từ xa qua mạng trung gian đến gateway VPN

 Giao thức L2TP phiên bản 2 và 3 (L2TPv2/L2TPv3): L2TP là một

chuẩn IETF, kết hợp các ưu điểm tốt nhất của L2F và PPTP Khi truy nhập từ xa, L2TP cho phép tạo đường hầm cho các frame PPP máy khách truy nhập từ xa thông qua NAS đến cổng/bộ tập trung VPN và cả đường hầm cho các frame PPP trực tiếp từ máy khách truy cập từ xa đến gateway/bộ tập trung VPN Nhưng L2TP thực chất lại bị hạn chế

về an ninh, vì vậy các đường hầm L2TP thường sử dụng Ipsec để bảo vệ

 Ipsec : Ngoài khả năng tạo các VPN site-to-site, Ipsec còn có thể dùng

để tạo đường hầm an ninh cho lưu lượng dữ liệu giữa những người sử dụng di động hoặc truy cập từ xa với gateway/bộ tập trung VPN

 SSL : là giao thức an ninh ban đầu được Netscape Communications

phát triển (SSL phiên bản 1, 2, và 3), cung cấp an ninh truy cập từ xa cho những người sử dụng di động hoặc tại nhà Chức năng của SSL bị hạn chế (so với L2F, PPTP, L2TPv2 hoặc Ipsec) nếu triển khai các VPN truy cập từ xa SSL clientless Ngoài ra, còn có TLS, một chuẩn của IETF tương tự như SSLv3 Mặc dù có những hạn chế khi cung cấp các clientless SSL VPN, kiểu VPN truy cập từ xa này có một ưu điểm

là không yêu cầu phần mềm client riêng nào bởi vì SSL đã có trong khá nhiều trình duyệt web Vì vậy, nếu một người dùng đầu xa có một trình duyệt web, thì người đó đã có phần mềm client SSL Chính vì chỉ cần một trình duyệt web chứ không phải một phần mềm client riêng nào nên SSL VPNs có lúc được gọi là web VPN hoặc clientless VPN Cũng

có thể thêm vào SSL VPN nhiều chức năng bằng cách cài đặt phần mềm SSL VPN riêng trên các thiết bị máy khách truy cập từ xa

1.5 Các mô hình VPN

Các VPN site-to-site SP (PPVPN)

PPVPN thuộc một trong các loại VPN sau: VPN lớp 1, VPN lớp 2, VPN lớp 3

Các VPN lớp 1 dùng để truyền tải các dịch vụ lớp 1 trên mạng trung gian

được điều khiển và quản lý bởi GMPLS Hiện tại, việc phát triển L1VPN vẫn đang còn khá mới, và bởi vậy ta sẽ không đi vào nghiên cứu sâu hơn về L1VPN

Các VPN lớp 2

Các VPN site-to-site lớp 2 (L2VPN) có thể thực hiện giữa các chuyển mạch, các host, và các bộ định tuyến, cho phép kết nối tầng liên kết dữ liệu giữa các điểm riêng biệt Việc thông tin giữa các bộ chuyển mạch, host, và các bộ định tuyến khách hàng dựa trên địa chỉ lớp 2, và các thiết bị PE thực hiện chuyển tiếp lưu lượng dữ liệu của khách hàng dựa trên liên kết đầu vào và thông tin tiêu đề lớp 2 (ví dụ địa chỉ MAC, FR DLCI, v.v )

Các VPN lớp 3

Các VPN site-to-site lớp 3 (L3VPN) kết nối các host và các bộ định tuyến tại các điểm riêng của khách hàng Các host và bộ định tuyến khách hàng thông tin với

nhau dựa trên địa chỉ lớp 3, và các thiết bị PE chuyển tiếp lưu lượng khách hàng dựa trên liên kết đầu vào, và trên các địa chỉ chứa trong tiêu đề IP.

Có hai kiểu L3VPN cơ bản là:

 VPN dựa trên thiết bị PE (PE-based VPN) : Các thiết bị PE tham gia

vào định tuyến và chuyển tiếp lưu lượng mạng khách hàng dựa trên địa chỉ mạng khách hàng Lưu lượng của khách hàng thường được chuyển tiếp giữa các thiết bị PE trên các đường hầm VPN thuộc dạng (MPLS) LSP, đường hầm Ipsec, đường hầm L2TPv3, hoặc đường hầm GRE Trong kiểu này, các thiết bị CE không hề biết rằng chúng đang tham gia vào một VPN PE-based VPN cũng đôi khi được gọi là Network-based VPN PE-based L3VPN có thể được phân lớp như sau :

 BGP/MPLS VPN : Trong kiểu PE-based L3VPN này, các thiết bị

PE duy trì các bảng định tuyến và chuyển tiếp riêng cho mỗi VPN Các tuyến của khách hàng được quảng bá giữa các thiết bị

PE bằng cách sử dụng MP-BGP, các tuyến và không gian địa chỉ của khách hàng cùng sử dụng các thuộc tính BGP

 VPN dựa trên bộ định tuyến ảo : Trong kiểu PE-based L3VPN

này, các bộ định tuyến phân chia logic rõ ràng được duy trì trên các thiết bị PE cho mỗi VPN Mỗi bộ định tuyến logic duy trì giao thức định tuyến riêng của nó

 VPN dựa trên thiết bị CE (CE-based VPN) : Trong CE-based L3VPN,

các thiết bị PE không tham gia vào và cũng không biết việc định tuyến

và chuyển tiếp lưu lượng của khách hàng trong mạng khách hàng dựa trên địa chỉ duy nhất toàn cầu Với kiểu VPN này, các đường hầm được cấu hình giữa các thiết bị CE bằng cách sử dụng các giao thức như GRE và Ipsec Các CE-based VPN đôi khi cũng được gọi là CPE-based VPN

Hình 1.5: VPN dựa trên bộ định tuyến CE

Các VPN truy nhập từ xa nhà cung cấp và khách hàng

Các VPN truy cập từ xa có thể được cấu hình theo kiểu đường hầm bắt buộc hay tự nguyện

Hình 1.6 : Một VPN truy cập từ xa cơ bản

Hoạt động của hai kiểu này như sau:

 Kiểu đường hầm bắt buộc: Kiểu VPN truy nhập từ xa này được các

nhà cung cấp dịch vụ cung cấp Trong hoạt động của kiểu này, các máy khách truy cập từ xa kết nối tới một NAS mà sau đó đường hầm lưu lượng dữ liệu máy khách đến và đi từ một VPN gateway Ví dụ các giao thức để truy cập từ xa kiểu đường hầm bắt buộc là L2F, PPTP, và L2TP Trong hình 1.6, người sử dụng di động số 2 được kết nối thông qua đường hầm kiểu bắt buộc tới cổng/bộ tập trung VPN Các VPN

truy cập từ xa kiểu đường hầm bắt buộc đôi khi được gọi là initiated remote access VPN (VPN truy cập từ xa khởi tạo từ NAS).

NAS- Kiểu đường hầm tự nguyện: VPN truy cập từ xa kiểu đường hầm tự

nguyện có thể là VPN khách hàng hoặc VPN SP Hoạt động của kiểu VPN này như sau, lưu lượng dữ liệu được truyền theo đường hầm trực tiếp giữa máy khách truy cập từ xa và VPN gateway Trong hình 1.6, người dùng tại nhà và người dùng di động số 1 đều được kết nối đến gateway/concentrator VPN thông qua các đường hầm tự nguyện Chú ý

là, đôi khi người ta gọi VPN truy nhập từ xa kiểu đường hầm tự nguyện

là Client-initiated remote access VPN (VPN truy cập từ xa khởi tạo từ máy khách)

Một kiểu VPN truy nhập từ xa nữa là Mạng riêng ảo quay số VPDN Thuật ngữ này có thể dùng để mô tả các VPN truy cập từ xa (L2F, PPTP, và L2TP) trong đó người dùng từ xa sẽ kết nối thông qua PSTN hoặc ISDN đến NAS quay số (Dial NAS) Lưu lượng người dùng sẽ được truyền trên đường hầm đến VPN gateway Những người dùng từ xa như vậy bây giờ thường kết nối qua cáp, DSL và các kết nối tốc độ cao khác hơn là thông qua các kết nối quay số, vì vậy thuật ngữ này đã khá cổ điển

1.6 Kết luận chương I

Trong chương này, đề tài đã trình bày về định nghĩa VPN, các cách phân loại VPN cùng với các công nghệ được sử dụng cho VPN Chương tiếp theo sẽ nghiên cứu về công nghệ MPLS, công nghệ nền tảng để xây dựng các MPLS VPN

CHƯƠNG II: CHUYỂN MẠCH NHÃN ĐA GIAO THỨC MPLS

2.1 Giới thiệu về MPLS

Chuyển mạch nhãn đa giao thức là một giải pháp chuyển mạch IP và được chuẩn hoá bởi IETF

MPLS gồm hai chức năng quan trọng :

 Chức năng chuyển tiếp gói tin: sử dụng cơ chế hoán đổi nhãn, tìm

chặng kế tiếp của gói tin trong một bảng chuyển tiếp nhãn, sau đó thay thế giá trị nhãn của gói rồi chuyển ra cổng ra của bộ định tuyến

 Chức năng điều khiển: gồm các giao thức định tuyến lớp mạng có

nhiệm vụ phân phối thông tin giữa các LSR và các thủ tục gán nhãn để chuyển thông tin định tuyến thành bảng định tuyến chuyển mạch nhãn.Các đặc điểm chính của MPLS :

 Tốc độ và trễ: Chuyển mạch nhãn nhanh hơn nhiều do giá trị nhãn được

đặt ở tiêu đề của gói và được sử dụng để tìm kiếm trong bảng Việc tìm kiếm này chỉ yêu cầu một lần truy nhập tới bảng, khác với truy nhập bảng định tuyến truyền thống có thể cần hàng ngàn lần truy nhập Kết quả là lưu lượng người sử dụng trong gói được gửi qua mạng nhanh hơn nhiều so với chuyển tiếp IP truyền thống

 Jitter: Là sự thay đổi độ trễ của lưu lượng người sử dụng do việc

chuyển gói tin qua nhiều nút trong mạng để chuyển tới đích của nó Tại từng nút, địa chỉ đích trong gói phải được kiểm tra và so sánh với danh sách địa chỉ đích khả dụng trong bảng định tuyến của nút, do đó trễ và biến thiên trễ phụ thuộc vào số lượng gói và khoảng thời gian mà bảng tìm kiếm phải xử lý trong khoảng thời gian xác định Kết quả là tại nút cuối cùng, Jitter là tổng cộng tất cả các biến thiên độ trễ tại mỗi nút giữa bên gửi và bên thu Với gói là là lưu lượng thoại thì cuộc thoại bị mất đi tính liên tục Do chuyển mạch nhãn hiệu quả hơn, lưu lượng người dùng được gửi qua mạng nhanh hơn và ít Jitter hơn so với định tuyến IP truyền thống

 Khả năng mở rộng mạng: Chuyển mạch nhãn cung cấp các giải pháp

cho sự phát triển nhanh chóng và xây dựng các mạng lớn bằng việc cho

phép một lượng lớn các địa chỉ IP được kết hợp với một hay vài nhãn Giải pháp này giảm đáng kể kích cỡ bảng địa chỉ và cho phép bộ định tuyến hỗ trợ nhiều người sử dụng hơn.

 Tính đơn giản: Chuyển mạch nhãn là giao thức chuyển tiếp cơ bản,

chuyển tiếp gói chỉ dựa vào nhãn Do tách biệt giữa điều khiển và chuyển tiếp nên kỹ thuật điều khiển dù phức tạp cũng không ảnh hưởng đến hiệu quả của dòng lưu lượng người sử dụng Cụ thể là, sau khi ràng buộc nhãn được thực hiện, các hoạt động chuyển mạch nhãn để chuyển tiếp lưu lượng là đơn giản, có thể được thực hiện bằng phần mềm, bằng mạch tích hợp chuyên dụng hay bằng các bộ xử lý đặc biệt

 Sử dụng tài nguyên: Các mạng chuyển mạch nhãn không cần nhiều tài

nguyên mạng để thực hiện các công cụ điều khiển trong việc thiết lập các đường đi chuyển mạch nhãn cho lưu lượng người sử dụng

 Điều khiển đường đi: Chuyển mạch nhãn cho phép các đường đi qua

một liên mạng được điều khiển tốt hơn Nó cung cấp một công cụ để bố trí các nút và liên kết lưu lượng phù hợp hơn, thuận lợi hơn, cũng như phân lớp lưu lượng dựa trên các yêu cầu về QoS khác nhau của dịch vụ

2.2 Các thành phần của MPLS

2.2.1 Các thiết bị trong mạng MPLS

LSR là một thiết bị định tuyến tốc độ cao trong lõi của một mạng MPLS, nó

tham gia trong việc thiết lập các đường dẫn chuyển mạch nhãn LSP bằng việc sử dụng giao thức báo hiệu nhãn thích ứng và thực hiện chuyển mạch tốc độ cao lưu lượng số liệu dựa trên các đường dẫn được thiết lập

LER là một thiết bị hoạt động tại biên của mạng truy nhập và mạng lõi MPLS

Các LER hỗ trợ đa cổng được kểt nối tới các mạng không giống nhau (chẳng hạn FR, ATM và Ethernet) LER đóng vai trò quan trọng trong việc chỉ định và huỷ bỏ nhãn, khi lưu lượng vào trong hay đi ra khỏi mạng MPLS Sau đó, tại lối vào nó thực hiện việc chuyển tiếp lưu lượng vào mạng MPLS sau khi đã thiết lập LSP nhờ các giao thức báo hiệu nhãn và phân bổ lưu lượng trở lại mạng truy nhập tại lối ra

2.2.2 Đường chuyển mạch nhãn

LSP: là một đường đi để gói tin qua mạng chuyển mạch nhãn trọn vẹn từ điểm

bắt đầu dán nhãn đến điểm nhãn bị loại bỏ khỏi gói tin Các LSP được thiết lập trước khi truyền dữ liệu

Đường hầm LSP: LSP từ đầu tới cuối được gọi là đường hầm LSP, nó là

chuỗi liên tiếp các đoạn LSP giữa hai nút kề nhau Các đặc trưng của đường hầm LSP, chẳng hạn như phân bổ băng tần, được xác định bởi sự thoả thuận giữa các nút, nhưng sau khi đã thoả thuận, nút lối vào (bắt đầu của LSP) xác định dòng lưu lượng bằng việc chọn lựa nhãn của nó Khi lưu lượng được gửi qua đường hầm, các nút trung gian không kiểm tra nội dung của tiêu đề mà chỉ kiểm tra nhãn Do đó, phần lưu lượng còn lại được xuyên hầm qua LSP mà không phải kiểm tra Tại cuối đường hầm LSP, nút lối ra loại bỏ nhãn và chuyển lưu lượng IP tới nút IP

Các đường hầm LSP có thể sử dụng để thực hiện các chính sách kỹ thuật lưu lượng liên quan tới việc tối ưu hiệu năng mạng Chẳng hạn, các đường hầm LSP có thể được di chuyển tự động hay thủ công ra khỏi vùng mạng bị lỗi, tắc nghẽn, hay là nút mạng bị nghẽn cổ chai Ngoài ra, nhiều đường hầm LSP song song có thể được thiết lập giữa hai nút, và lưu lượng giữa hai nút đó có thể được chuyển vào trong các đường hầm này theo các chính sách cục bộ

Trong mạng MPLS các LSP được thiết lập bằng một trong ba cách đó là: Định tuyến từng chặng, định tuyến hiện (ER) và định tuyến cưỡng bức (CR)

Một số khái niệm liên quan tới đường chuyển mạch nhãn :

Đường lên (Upstream): Hướng đi dọc theo đường dẫn từ đích đến nguồn Một

bộ định tuyến đường lên có tính chất tương đối so với một bộ định tuyến khác, nghĩa

là nó gần nguồn hơn bộ định tuyến được nói đến đó dọc theo đường dẫn chuyển mạch nhãn

Đường xuống (Downstream): Hướng đi dọc theo đường dẫn từ nguồn đến

đích Một bộ định tuyến đường xuống có tính chất tương đối so với một bộ định tuyến khác, nghĩa là nó gần đích hơn bộ định tuyến được nói đến đó dọc theo đường dẫn chuyển mạch nhãn

2.2.3 Nhãn và các vấn đề liên quan

a Nhãn, ngăn xếp nhãn, không gian nhãn

Tiêu đề MPLS: MPLS định nghĩa một tiêu đề có độ dài 32 bit, được đặt ngay

sau tiêu đề lớp 2 bất kì và trước một tiêu đề lớp 3 Cấu trúc tiêu đề MPLS:

Hình 2.1 : Khuôn dạng tiêu đề nhãn

Ý nghĩa các trường :

 Nhãn : là một thực thể có chiều dài cố định (20 bit) dùng làm cơ sở cho

việc chuyển tiếp

 Exp (Experimental) : Các bit Exp được dự trữ về mặt kỹ thuật cho sử

dụng thực tế Chẳng hạn sử dụng những bit này để chỉ thị QoS - thường

là một bản sao trực tiếp của các bit chỉ thị độ ưu tiên trong gói IP Khi các gói MPLS bị xếp hàng, có thể sử dụng các bit Exp như cách sử dụng các bit chỉ thị độ ưu tiên IP

 BS (Bottom of stack) : Có thể có hơn một nhãn với một gói Bit này

dùng để chỉ thị cho nhãn ở cuối ngăn xếp nhãn Nhãn ở đáy của ngăn xếp nhãn có giá trị BS bằng 1 Các nhãn khác có giá trị bit BS bằng 0

 TTL (Time To Live) : Thông thường các bit TTL là một bản sao trực

tiếp của các bit TTL trong tiêu đề gói IP Chúng giảm giá trị đi một đơn

vị khi gói đi qua mỗi chặng để tránh lặp vòng vô hạn TTL cũng có thể được sử dụng khi các nhà điều hành mạng muốn dấu cấu hình mạng nằm bên dưới

Ngăn xếp nhãn là một tập các nhãn có thứ tự được chỉ định cho gói Việc xử

lý các nhãn này cũng tuân theo một thứ tự

Không gian nhãn: Thuật ngữ không gian nhãn dùng để chỉ ra cách thức mà

một nhãn được kết hợp với một LSR Có hai phương pháp để phân nhãn giữa các LSR, tương ứng với hai dạng không gian nhãn, đó là không gian nhãn theo từng giao diện và không gian nhãn theo từng nút

Không gian nhãn theo từng giao diện: Nhãn được kết hợp với một giao diện

đặc trưng ở một LSR, ví dụ như DS3 hoặc giao diện SONET LSR sẽ dùng một giá trị giao diện để giữ dấu vết của các nhãn ở mỗi giao diện, nên nhãn có thể được dùng lại tại mỗi giao diện, miễn là thoả mãn điều kiện một nhãn là duy nhất trong không gian nhãn Và khi này định danh giao diện này trở thành một nhãn nội bộ trong LSR đối với nhãn bên ngoài được gửi đi giữa các LSR

Không gian nhãn theo từng nút (theo tất cả các giao diện): Ở đây, các nhãn

đầu vào được xẻ dọc theo tất cả các giao diện tham gia vào một nút Nghĩa là, nút này phải chỉ định không gian nhãn dọc theo tất cả các giao diện,

b Ràng buộc FEC và nhãn

Khái niệm FEC: FEC là một nhóm các gói, nhóm các gói này chia sẻ cùng

yêu cầu trong sự chuyển tiếp chúng qua mạng Tất cả các gói trong một nhóm như vậy được cung cấp cùng cách chọn đường tới đích Dựa trên FEC, nhãn được thoả thuận giữa các LSR lân cận từ lối vào tới lối ra trong một vùng định tuyến Mỗi LSR xây dựng một bảng để xác định xem một gói phải được chuyển tiếp như thế nào

Bảng này được gọi là cơ sở thông tin nhãn LIB, nó là tổ hợp các ràng buộc FEC với nhãn (FEC-to-label) Và nhãn lại được sử dụng để chuyển tiếp lưu lượng qua mạng

Lý do dùng FEC: Thứ nhất, nó cho phép nhóm các gói vào các lớp Từ nhóm

này, giá trị FEC trong một gói có thể được dùng để thiết lập độ ưu tiên cho việc xử lý các gói Thứ hai, FEC có thể được dùng để hỗ trợ hiệu quả hoạt động QoS Ví dụ, FEC có thể liên kết với độ ưu tiên cao, lưu lượng thoại thời gian thực, lưu lượng nhóm mới ưu tiên thấp…

Sự kết hợp một FEC với một gói được thực hiện bởi việc dùng một nhãn để định danh một FEC đặc trưng Với các lớp dịch vụ khác nhau, phải dùng các FEC khác nhau và các nhãn liên kết khác nhau Đối với lưu lượng Internet, các định danh

sử dụng là các tham số ứng cử cho việc thiết lập một FEC Trong một vài hệ thống, chỉ địa chỉ đích IP được sử dụng

c Tạo, phân bổ, hợp nhất , duy trì và điều khiển nhãn

 Tạo nhãn

Có một số phương pháp được sử dụng trong việc tạo nhãn:

 Phương pháp dựa trên đồ hình (topology-based): sử dụng các giao thức

định tuyến thông thường như OSPF và BGP

 Phương pháp dựa trên yêu cầu (request-based): sử dụng giao thức điều

khiển lưu lượng dựa trên yêu cầu như RSVP

 Phương pháp dựa trên lưu lượng (trafic-based): sử dụng sự tiếp nhận

của gói để phân bổ thông tin nhãn

Các phương pháp dựa trên đồ hình và dựa trên yêu cầu là các ví dụ về các ràng buộc nhãn điều khiển, trong khi phương pháp dựa trên lưu lượng là một ví dụ về các ràng buộc dữ liệu

 Phân bổ nhãn

Kiến trúc MPLS không sử dụng một phương pháp báo hiệu riêng nào để phân

bổ nhãn Các giao thức định tuyến đang tồn tại đã được tăng cường để mang thông tin nhãn trong nội dung của giao thức:

 LDP: ánh xạ các đích IP đơn hướng vào các nhãn.

 RSVP, CP-LDP: được sử dụng cho kĩ thuật lưu lượng và đặt trước tài

nguyên

 Multicast độc lập giao thức: được sử dụng cho việc ánh xạ nhãn các

trạng thái đa hướng

 BGP: các nhãn bên ngoài (VPN).

 Hợp nhất nhãn

Dòng lưu lượng đến từ các giao diện khác nhau có thể được kết hợp cùng nhau

và được chuyển mạch bằng cách sử dụng một nhãn chung nếu chúng đang đi qua mạng hướng tới cùng một đích cuối cùng Điều này được gọi là sự hợp nhất luồng hay kết hợp các luồng

Nếu mạng truyền tải nằm bên dưới là một mạng ATM, các LSR có thể sử dụng hợp nhất đường ảo (VP) hay kênh ảo (VC)

 Sự duy trì nhãn

MPLS định nghĩa cách xử lý các ràng buộc nhãn nhận được từ các LSR, mà các LSR đó không phải là chặng kế tiếp với một FEC đã cho Hai chế độ được định nghĩa:

 Bảo toàn (conservative): Trong chế độ này, các ràng buộc giữa một

nhãn và một FEC nhận được từ các LSR không là chặng kế tiếp cho một FEC cho trước bị huỷ bỏ Chế độ này dùng để một LSR duy trì số nhãn ít hơn Đây là chế độ được khuyến khích sử dụng cho các LSR ATM

 Tự do (liberal): Trong chế độ này, các ràng buộc giữa một nhãn và một

FEC nhận được từ các LSR không là chặng kế tiếp với một FEC cho trước được giữ nguyên Chế độ này cho phép tương thích nhanh hơn với các thay đổi cấu hình và cho phép chuyển mạch lưu lượng tới các LSP khác trong trường hợp có sự thay đổi

 Điều khiển nhãn

MPLS định nghĩa các chế độ cho việc phân bổ nhãn tới các LSR lân cận như sau:

 Độc lập (Independent): Trong chế độ này, một LSR nhận dạng một

FEC nào đó và ra quyết định ràng buộc một nhãn với một FEC một cách độc lập để phân bổ ràng buộc đến các thực thể đồng mức của nó Các FEC mới được nhận dạng bất cứ khi nào các tuyến (route) trở nên

rõ ràng với bộ định tuyến

 Có thứ tự (ordered): Trong chế độ này, một LSR ràng buộc một nhãn

với một FEC nào đó nếu và chỉ nếu nó là bộ định tuyến lối ra hay nó đã nhận được một ràng buộc nhãn cho FEC từ LSR chặng kế tiếp của nó Chế độ này được khuyến nghị sử dụng cho các LSR ATM

2.3 Hoạt động MPLS

Khi một gói tin vào mạng MPLS: LSR lối vào kiểm tra nhiều trường trong tiêu

đề của gói để xác định xem gói thuộc FEC nào:

 Nếu chưa có một ràng buộc nhãn/FEC thì: gói được phân loại gói tin

vào trong các FEC, sau đó nhãn được ánh xạ vào trong FEC Nhiệm vụ

ấn định và phân bổ các ràng buộc FEC/nhãn cho các LSR do LDP đảm nhiệm.Khi LDP hoàn thành nhiệm vụ , một LSP được xây dựng từ lối vào đến lối ra

 Nếu đã có một ràng buộc nhãn/FEC thì: LSR lối vào gán nhãn cho gói

và định hướng gói tới giao diện đầu ra tương ứng

Sau đó gói được hoán đổi nhãn qua mạng cho đến khi nó đến LSR đầu ra Lúc này nhãn được loại bỏ và gói được xử lý tại lớp 3

Như vậy, với một gói dữ liệu để đi qua một miền MPLS, cần phải thực hiện các bước sau:

 Tạo và phân bổ nhãn

 Tạo bảng tại mỗi bộ định tuyến

 Tạo các đường dẫn chuyển mạch nhãn

 Chèn/tìm kiếm bảng nhãn

 Chuyển tiếp gói

Phân tích cụ thể các bước như sau:

Tạo & phân bổ nhãn

Trước khi lưu lượng bắt đầu, các bộ định tuyến quyết định để ràng buộc một nhãn với một FEC xác định và xây dựng bảng của chúng

Trong LDP, các bộ định tuyến đường xuống khởi tạo sự phân bổ các nhãn và ràng buộc nhãn/FEC

Ngoài ra, các đặc tính liên quan đến lưu lượng và khả năng MPLS được thoả thuận bằng việc sử dụng LDP

Hình 2 3 : Hoạt động của mạng MPLS Tạo bảng

Tại phía nhận các ràng buộc nhãn, mỗi LSR tạo các lối vào trong cơ sở thông tin nhãn LIB

Nội dung của bảng sẽ xác định ánh xạ giữa một nhãn và một FEC

Ánh xạ giữa cổng vào và bảng nhãn đầu vào tới cổng ra và bảng nhãn đầu ra.Các lối vào được cập nhật bất cứ khi nào sự tái đàm phán về ràng buộc nhãn xảy ra

Tạo đường dẫn chuyển mạch nhãn

Như được biểu diễn bằng đường ngắt quãng trong hình 2.3, các LSP được tạo

ở phương ngược lại với sự tạo các lối vào trong các LIB

Chèn/tìm kiếm bảng nhãn

Bộ định tuyến đầu tiên (LER1 trong hình 2.3) sử dụng bảng trong LIB để tìm chặng kế tiếp và yêu cầu một nhãn cho FEC xác định

Các bộ định tuyến lần lượt sử dụng nhãn để tìm chặng kế tiếp

Mỗi lần gói chạm tới LSR lối ra (LER4), nhãn được xoá bỏ và gói được cung cấp cho đích

Chuyển tiếp gói

LER1 có thể không có nhãn nào cho gói này khi đó là lần đầu tiên xảy ra yêu cầu này Trong một mạng IP, nó sẽ tìm sự phù hợp địa chỉ dài nhất để tìm chặng kế

tiếp Cho LSR1 là chặng kế tiếp của LER1 LER1 sẽ khởi tạo một yêu cầu nhãn chuyển tới LSR1

Yêu cầu này sẽ phát thông qua mạng Mỗi bộ định tuyến trung gian sẽ nhận một nhãn từ bộ định tuyến phía sau nó bắt đầu từ LER2 và đi lên trên cho đến LER1 LSP được thiết lập bằng cách sử dụng LDP hay bất kì giao thức báo hiệu nào khác Nếu kĩ thuật lưu lượng được yêu cầu, CR-LDP sẽ được sử dụng trong việc quyết định thiết lập đường dẫn thực sự để chắc chắn yêu cầu QoS/CoS được tuân thủ

LER1 sẽ chèn nhãn và chuyển tiếp gói tới LSR 1

Mỗi LSR lần lượt, nghĩa là LSR2 và LSR3, sẽ kiểm tra nhãn với các gói nhận được, thay thế nó với các nhãn đầu ra và chuyển tiếp nó

Khi gói tới LER4, nó sẽ xoá bỏ nhãn bởi vì gói sẽ rời khỏi miền MPLS và được phân phát tới đích

2.4 Kiến trúc ngăn xếp trong MPLS

Từ việc phân tích hoạt động MPLS như trên ta có thể chia MPLS ra thành các thành phần cơ bản sau:

 Các giao thức định tuyến lớp mạng

 Chuyển tiếp biên của lớp mạng

 Chuyển tiếp dựa trên nhãn mạng lõi

 Lược đồ nhãn

 Giao thức báo hiệu để phân bố nhãn

 Kĩ thuật lưu lượng

 Khả năng tương thích với các lược đồ chuyển tiếp lớp 2 khác nhau (ATM, FR, PPP)

Hình 2.4 : Ngăn xếp giao thức MPLS

Trong đó:

 Module định tuyến: có thể là bất cứ giao thức nào trong các giao thức

công nghiệp phổ biến Phụ thuộc vào môi trường hoạt động, module định tuyến có thể là OSPF, BGP hay PNNI của ATM, etc…

 Module LDP: sử dụng TCP để truyền dẫn tin cậy các dữ liệu điều

khiển từ LSR này đến LSR khác trong suốt một phiên LDP cũng duy trì LIB LDP sử dụng UDP trong suốt quá trình khám phá của nó về trạng thái hoạt động Trong trạng thái này, LSP cố gắng nhận dạng các phần tử lân cận và cũng như sự có mặt của chính các tín hiện của nó với mạng Điều này được thực hiện thông qua trao đổi gói hello

 IP Fwd: là module chuyển tiếp IP cổ điển, nó tìm kiếm chặng kế tiếp

bằng việc so sánh để phù hợp với địa chỉ dài nhất trong các bảng của

nó Với MPLS, điều này được thực hiện chỉ bởi các LER

 MPLS Fwd: là module chuyển tiếp MPLS, nó so sánh một nhãn với

một cổng đầu ra và chọn sự phù hợp nhất với một gói đã cho

 Các lớp được biểu diễn trong hộp với đường gãp khúc có thể được thực hiện bằng phần cứng để hoạt động nhanh và có hiệu quả

IP Fwd

PHY