đồ án: MẠNG RIÊNG ẢO TRÊN NỀN MPLS VÀ ỨNG DỤNG

đồ án:MẠNG RIÊNG ẢO TRÊN NỀN MPLS VÀ ỨNG DỤNGminh chứng lớn nhất cho điều đó.Nội dung đồ án gồm 4 chương:Chương 1. Tổng quan về VPN: Giới thiệu chung những khái niệm cơ bản về VPN, các chức năng và đặc điểm của VPN đồng thời cũng giới thiệu về các mô hình cũng như phân loại mạng VPN từ đó ta biết được những khó khăn khi sử dụng mỗi loại hình VPN.Chương 2. Tổng quan về MPLS: Giới thiệu về công nghệ MPLS, đặc điểm và hoạt động của một mạng MPLS để có thể dễ dàng nắm được nguyên lý hoạt động của các VPN được xây dựng trên mạng này.Chương 3. Mạng riêng ảo trên nền MPLS: Nghiên cứu về công nghệ Mạng riêng ảo trên nền MPLS, các mô hình, nguyên lý hoạt động và tính bảo mật của MPLS-VPN.Chương 4. Ứng dụng và triển khai MPLS-VPN: Tìm hiểu ứng dụng và triển khai MPLS-VPN của VNPT tại Việt Nam.Do khả năng còn hạn chế nên đồ án chắc chắn không tránh khỏi những thiếu sót. Em rất mong được sự chỉ bảo góp ý của các thầy cô giáo và các bạn để đồ án được hoàn thiện hơn.Cuối cùng em xin chân thành cảm ơn cô giáo Th.S Dương Thị Thanh Tú, các thầy cô giáo trong bộ môn Mạng viễn thông và các thầy cô giáo trong Học viện đã giúp đỡ, hướn dẫn em trong thời gian học tập và làm đồ án tốt nghiệp. Xin cảm ơn bạn bè và gia đình đã giúp đỡ, quan tâm trong thời gian qua. Em xin chân thành cảm ơn!

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

KHOA VIỄN THÔNG 1

Sinh viên thực hiện :

NGUYỄN MINH TUẤN

Lớp :

D04VT2

Môc lôc

MỤC LỤC i

THUẬT NGỮ VIẾT TẮT iii

DANH MỤC HÌNH VẼ vii

DANH MỤC BẢNG BIỂU viii

LỜI NÓI ĐẦU 1

CHƯƠNG I : TỔNG QUAN VỀ MẠNG RIÊNG ẢO VPN 3

1.1 Định nghĩa 3

1.2 Chức năng và ưu nhược điểm của VPN 5

1.2.1 Chức năng .5

1.2.2 Ưu điểm 5

1.2.3 Nhược điểm và các vấn đề cần khắc phục 8

1.3 Phân loại mạng và các mô hình VPN 9

1.3.1 Phân loại mạng VPN 9

1.3.2 Các mô hình VPN 13

1.4 Kết luận chương 1 21

CHƯƠNG II: TỔNG QUAN CÔNG NGHỆ MPLS 22

2.1 Khái niệm MPLS .22

2.2 Đặc điểm MPLS 22

2.3 Các thành phần của MPLS 23

2.3.1 Các thiết bị trong mạng MPLS 23

2.3.2 Đường chuyển mạch nhãn .24

2.3.3 Nhãn và các vấn đề liên quan .25

2.4 Hoạt động của MPLS .29

2.5 Kiến trúc ngăn xếp trong MPLS .32

2.6 Kết luận chương 2 34

CHƯƠNG 3 MẠNG RIÊNG ẢO TRÊN NỀN MPLS 35

3.1 Tổng quan về MPLS-VPN 35

3.1.1 VPN trên nền MPLS 35

3.1.2 Mô hình L3VPN .37

3.1.3 Mô hình L2VPN 38

3.2 Hoạt động của MPLS-VPN 40

3.2.1 Kiến trúc của router biên PE trong mạng MPLS/VPN 40

3.2.2 Truyền thông tin định tuyến dọc mạng nhà cung cấp .41

3.2.3 Bảng định tuyến và chuyển tiếp VPN .42

3.2.4 Phân phối route VPN thông qua BGP .44

3.2.5 Địa chỉ VPN-IP 45

3.2.6 Chuyển tiếp gói tin VPN dọc mạng backbone MPLS .47

3.2.7 Truyền nhãn VPN .50

3.3 Bảo mật trong MPLS-VPN 53

3.4 Kết luận chương 3 54

CHƯƠNG 4 ỨNG DỤNG VÀ TRIỂN KHAI CỦA MPLS-VPN 55

4.1 Giới thiệu chung 55

4.2 Ứng dụng của MPLS-VPN 56

4.3 Triển khai MPLS-VPN của VNPT tại Việt Nam 58

4.4 Kết luận chương 4 69

KẾT LUẬN 70

TÀI LIỆU THAM KHẢO 71

THUẬT NGỮ VIẾT TẮT

Router

Bộ định tuyến biên hệ thống tự trị

Mô phỏng kênh trên gói

Identifier

Nhận dạng kết nối lớp kênh dữ liệu

EGP External Gateway Protocol Giao thức định tuyến liên miền

Class

Lớp chuyển tiếp tương đương

ID Identifier Nhận dạng

IDSL ISDN Digital Subscriber

Line

Đường dây thuê bao số ISDN

IGP Interior Gateway Protocol Giao thức định tuyến trong

miền

Service

Dịch vụ LAN thuê riêng trên nền IP

IP-Sec Internet Protocol Security Giao thức an ninh Internet

ISP Internet Service Provider Nhà cung cấp dịch vụ Internet

L2TP Layer 2 Tunneling Protocol Giao thức đường hầm lớp 2

LDP Label Distribution Protocol Giao thức phân bổ nhãn

biên

nhãn

MT Multicast Tunnel Đường hầm đa điểm

MTI Multicast Tunnel Interface Giao diện đường hầm đa điểm

OSPF Open Shortest Path First Giao thức đường đi ngắn nhất đầu

tiên

cấp

PPP Point to Point Tunneling

Protocol

Giao thức đường hầm điểm tới điểm

TCP Transmission Control

Protocol

Giao thức điều khiển truyền dẫn

TDP Tag Distribution Protocol Giao thức phân phối thẻ

VLLS Virtual Leased Line Service Dịchvụ đường dây thuê riêng

ảo

VPDN Virtual Private Dial

Network

Mạng quay số riêng ảo

VPLS Virtual Private LAN Service Dịch vụ LAN riêng ảo

VPWS Virtual Private Wire

Service

Dịch vụ đường dây riêng ảo

Forwarding

Bảng định tuyến và chuyển tiếp VPN

Danh môc b¶ng biÓu

Bảng 1.1: Chi phí hàng tháng cho các mạng dùng đường thuê riêng so với internet VPN 6 Bảng 1.2: Chi phí hàng tháng cho các mạng dùng đường thuê kép so với Internet VPN 6

Bảng 4.1 Cước đấu nối hoà mạng 63

Bảng 4.2 Cước thuê kênh đường lên dịch vụ MegaWAN tốc độ trên 2Mb/s nội hạt 64 Bảng 4.3 Cước thuê kênh hàng tháng 65

Bảng 4.4 Thuê kênh đường lên 65

Bảng 4.5 Cước biến động dịch vụ 66

Bảng 4.6 Cước truy nhập Internet tốc độ 2MB/S từ mạng MegaWAN 66

Bảng 4.7 Cước các dịch vụ liên quan 67

Bảng 4.8 Cước chuyển dịch MegaWAN 68

Bảng 4.9 Cước thuê cổng và thuê kênh 69

Danh môc h×nh vÏ Hình 1.1 Mô hình VPN 4

Hình 1.2 Mô hình mạng VPN truy nhập từ xa 10

Hình 1.3 Mô hình mạng VPN cục bộ 11

Hình 1.4 Mô hình mạng VPN mở rộng 12

Hình 1.5 Mô hình VPN chồng lấn 16

Hình 1.6 Mô hình VPN ngang cấp 17

Hình 1.7 Mô hình VPN ngang cấp sử dụng router dùng chung 19

Hình 2.1 Khuôn dạng tiêu đề nhãn 25

Hình 2.2 Cấu trúc ngăn xếp nhãn 26

Hình 2.3 Xử lý gói 30

Hình 2.4 Hoạt động của mạng MPLS 31

Hình 2.5 Ngăn xếp giao thức MPLS 33

Hình 3.1 Thành phần mạng MPL-VPN 35

Hình 3.2 Mô hình mạng MPLS-VPN cơ bản 36

Hình 3.3 Mô hình MPLS L3VPN 37

Hình 3.4 Mô hình MPLS L2VPN 39

Hình 3.5 Kiến trúc của router biên PE 40

Hình 3.6 Sử dụng nhãn LDP để truyền router VPNv4 48

Hình 3.7 Sử dụng ngăn xếp nhãn để truyền router VPNv4 48

Hình 3.8 Vận

chuyển dữ liệu trong VPN qua mạng MPLS 52

Hình 4.1 Các kết nối văn phòng ở xa và các phòng ban bộ phận 58

Hình 4.2 VNPT MPLS-VPN lớp 2 60

Hình 4.3 VNPT MPLS lớp 3 61

Hình 4.4 Mô hình mạng MegaWAN thực tế do VNPT cung cấp 61

Hình 4.5 Mô hình MegaWAN nội tỉnh của Hà Nội 62

Hình 4.6 Mô hình MeaWAN liên tỉnh của Hà Nội 62

LỜI NÓI ĐẦU

Ngày nay, cùng với sự phát triển nhanh chóng của khoa học kỹ thuật, Công nghệ thông tin và Viễn thông đã góp phần quan trọng vào sự phát triển kinh tế thế giới

Các tổ chức, doanh nghiệp có nhiều chi nhánh, các công ty đa quốc gia trong quá trình hoạt động luôn phải trao đổi thông tin với khách hàng, đối tác, nhân viên của họ Chính vì vậy đòi hỏi phải luôn nắm bắt được thông tin mới nhất, chính xác nhất, đồng thời phải đảm bảo độ tin cậy cao giữa các chi nhánh của mình trên khắp thế giới, cũng như với các đối tác và khách hàng.Với các tổ chức này, việc truyền thông dữ liệu một cách an toàn với chi phí thấp, giảm nhẹ các công việc quản lý hoạt động của mạng luôn được đặt ra, và VPN là một giải pháp hiệu quả VPN đã

và đang là thị trường phát triển rất mạnh.

VPN được định nghĩa là mạng kết nối các site khách hàng đảm bảo an ninh trên cơ sở hạ tầng mạng chung cùng với các chính sách điều khiển truy nhập và đảm bảo an ninh như một mạng riêng

Đã có rất nhiều phương án triển khai VPN như: X.25, ATM, Frame Relay, leased line… Tuy nhiên khi thực hiện các giải pháp này thì chi phí rất lớn để mua sắm các thiết bị, chi phí cho vận hành, duy trì, quản lý rất lớn và do doanh nghiệp phải gánh chịu trong khi các nhà cung cấp dịch vụ chỉ đảm bảo về một kênh riêng cho số liệu và không chắc chắn về vấn đề an ninh của kênh riêng này.

Cùng với xu hướng IP hoá mạng viễn thông hiện nay, IP-VPN đã tạo ra bước ngoặt lớn trong lịch sử phát triển của công nghệ VPN IP-VPN đã giải quyết được vấn đề giảm chi phí vận hành, duy trì quản lý đơn giản, linh hoạt Tuy nhiên IP- VPN truyền thống còn phải sử dụng các thuật toán mã hoá đi kèm, và các thuật toán mã hoá này là rất phức tạp Công nghệ mới MPLS, chuyển mạch nhãn đa giao thức, có thể coi là một bước phát triển lớn, hoàn thiện công nghệ IP nói chung

và IP-VPN nói riêng MPLS cho phép triển khai các VPN có khả năng mở rộng và

cơ sở xây dựng các dịch vụ giá trị gia tăng vượt trội so với các VPN truyền thống.

Ở Việt Nam, khi nền kinh tế cũng đang trong thời kỳ phát triển và hội nhập quốc tế thì nhu cầu sử dụng VPN vừa đáp ứng được các yêu cầu về thông tin, vừa

giải quyết được những khó khăn về kinh tế Hơn nữa,Tập đoàn BCVT Việt Nam cũng đã áp dụng công nghệ MPLS cho mạng thế hệ kế tiếp NGN Đó là một thuận lợi lớn để triển khai các MPLS-VPN Mạng MEGAWAN được đưa vào sử dụng là một minh chứng lớn nhất cho điều đó.

Nội dung đồ án gồm 4 chương:

Chương 1 Tổng quan về VPN: Giới thiệu chung những khái niệm cơ bản về

VPN, các chức năng và đặc điểm của VPN đồng thời cũng giới thiệu về các mô hình cũng như phân loại mạng VPN từ đó ta biết được những khó khăn khi sử dụng mỗi loại hình VPN.

Chương 2 Tổng quan về MPLS: Giới thiệu về công nghệ MPLS, đặc điểm và

hoạt động của một mạng MPLS để có thể dễ dàng nắm được nguyên lý hoạt động của các VPN được xây dựng trên mạng này.

Chương 3 Mạng riêng ảo trên nền MPLS: Nghiên cứu về công nghệ Mạng

riêng ảo trên nền MPLS, các mô hình, nguyên lý hoạt động và tính bảo mật của MPLS-VPN.

Chương 4 Ứng dụng và triển khai MPLS-VPN: Tìm hiểu ứng dụng và triển

khai MPLS-VPN của VNPT tại Việt Nam.

Do khả năng còn hạn chế nên đồ án chắc chắn không tránh khỏi những thiếu sót Em rất mong được sự chỉ bảo góp ý của các thầy cô giáo và các bạn để đồ án được hoàn thiện hơn.

Cuối cùng em xin chân thành cảm ơn cô giáo Th.S Dương Thị Thanh Tú, các

thầy cô giáo trong bộ môn Mạng viễn thông và các thầy cô giáo trong Học viện đã giúp đỡ, hướn dẫn em trong thời gian học tập và làm đồ án tốt nghiệp Xin cảm ơn bạn bè và gia đình đã giúp đỡ, quan tâm trong thời gian qua

Em xin chân thành cảm ơn!

Sinh viên thực hiện:

Nguyễn Minh Tuấn

CHƯƠNG I : TỔNG QUAN VỀ MẠNG RIÊNG ẢO VPN

Cụm từ Virtual Private Network (mạng riêng ảo) thường được gọi tắt là VPN

là một kỹ thuật đã xuất hiện từ lâu, tuy nhiên nó thực sự bùng nổ và trở nên cạnh tranh khi xuất hiện công nghệ mạng thông minh với đà phát triển mạnh mẽ của Internet Trong thực tế, người ta thường nói tới hai khái niệm VPN đó là: mạng riêng ảo kiểu tin tưởng (Trusted VPN) và mạng riêng ảo an toàn (Secure VPN).Mạng riêng ảo kiểu tin tưởng được xem như một số mạch thuê của một nhà cung cấp dịch vụ viễn thông Mỗi mạch thuê riêng hoạt động như một đường dây trong một mạng cục bộ Tính riêng tư của trusted VPN thể hiện ở chỗ nhà cung cấp dịch vụ sẽ đảm bảo không có một ai sử dụng cùng mạch thuê riêng đó Khách hàng của mạng riêng ảo loại này tin tưởng vào nhà cung cấp dịch vụ để duy trì tính toàn vẹn và bảo mật của dữ liệu truyền trên mạng Các mạng riêng xây dựng trên các đường dây thuê thuộc dạng “trusted VPN”

Mạng riêng ảo an toàn là các mạng riêng ảo có sử dụng mật mã để bảo mật dữ liệu Dữ liệu ở đầu ra của một mạng được mật mã rồi chuyển vào mạng công cộng (ví dụ: mạng Internet) như các dữ liệu khác để truyền tới đích và sau đó được giải

mã dữ liệu tại phía thu Dữ liệu đã mật mã có thể coi như được truyền trong một đường hầm (tunnel) bảo mật từ nguồn tới đích Cho dù một kẻ tấn công có thể nhìn thấy dữ liệu đó trên đường truyền thì cũng không có khả năng đọc được vì dữ liệu

đã được mật mã

Mạng riêng ảo xây dựng dựa trên Internet là mạng riêng ảo kiểu an toàn, sử dụng cơ sở hạ tầng mở và phân tán của Internet cho việc truyền dữ liệu giữa các site của các công ty Trọng tâm chính của đồ án tốt nghiệp này bàn về VPN dựa trên Internet Khi nói đến mạng riêng ảo VPN phải hiểu là mạng riêng ảo dựa trên Internet

1.1 Định nghĩa

Mạng riêng ảo VPN được định nghĩa là một kết nối mạng triển khai trên cơ

sở hạ tầng mạng công cộng (như mạng Internet) với các chính sách quản lý và bảo mật giống như mạng cục bộ

Hình 1.1 Mô hình VPN

Các thuật ngữ dùng trong VPN như sau:

Virtual- nghĩa là kết nối là động, không được gắn cứng và tồn tại như một kết

nối khi lưu lượng mạng chuyển qua Kết nối này có thể thay đổi và thích ứng với nhiều môi trường khác nhau và có khả năng chịu đựng những khuyết điểm của mạng Internet Khi có yêu cầu kết nối thì nó được thiết lập và duy trì bất chấp cơ sở

hạ tầng mạng giữa những điểm đầu cuối

Private- nghĩa là dữ liệu truyền luôn luôn được giữ bí mật và chỉ có thể bị truy

cập bởi những nguời sử dụng được trao quyền Điều này rất quan trọng bởi vì giao thức Internet ban đầu TCP/IP- không được thiết kế để cung cấp các mức độ bảo mật Do đó, bảo mật sẽ được cung cấp bằng cách thêm phần mềm hay phần cứng VPN

Network- là thực thể hạ tầng mạng giữa những người sử dụng đầu cuối, những

trạm hay những node để mang dữ liệu Sử dụng tính riêng tư, công cộng, dây dẫn,

vô tuyến, Internet hay bất kỳ tài nguyên mạng dành riêng khác sẵn có để tạo nền mạng

Khái niệm mạng riêng ảo VPN không phải là khái niệm mới, chúng đã từng được sử dụng trong các mạng điện thoại trước đây nhưng do một số hạn chế mà công nghệ VPN chưa có được sức mạnh và khả năng cạnh tranh lớn Trong thời gian gần đây, do sự phát triển của mạng thông minh, cơ sở hạ tầng mạng IP đã làm cho VPN thực sự có tính mới mẻ VPN cho phép thiết lập các kết nối riêng với những người dùng ở xa, các văn phòng chi nhánh của công ty và đối tác của công ty đang sử dụng chung một mạng công cộng

1.2 Chức năng và ưu nhược điểm của VPN

1.2.1 Chức năng

VPN cung cấp ba chức năng chính đó là: tính xác thực (Authentication), tính toàn vẹn (Integrity) và tính bảo mật (Confidentiality)

 Tính xác thực : Để thiết lập một kết nối VPN thì trước hết cả hai phía phải

xác thực lẫn nhau để khẳng định rằng mình đang trao đổi thông tin với người mình mong muốn chứ không phải là một người khác

 Tính toàn vẹn : Đảm bảo dữ liệu không bị thay đổi hay đảm bảo không có

bất kỳ sự xáo trộn nào trong quá trình truyền dẫn

 Tính bảo mật : Người gửi có thể mã hoá các gói dữ liệu trước khi truyền qua

mạng công cộng và dữ liệu sẽ được giải mã ở phía thu Bằng cách làm như vậy, không một ai có thể truy nhập thông tin mà không được phép Thậm chí nếu có lấy được thì cũng không đọc được

1.2.2 Ưu điểm

VPN mang lại lợi ích thực sự và tức thời cho các công ty Có thể dùng VPN không chỉ để đơn giản hoá việc thông tin giữa các nhân viên làm việc ở xa, người dùng lưu động, mở rộng Intranet đến từng văn phòng, chi nhánh, thậm chí triển khai Extranet đến tận khách hàng và các đối tác chủ chốt mà còn làm giảm chi phí cho công việc trên thấp hơn nhiều so với việc mua thiết bị và đường dây cho mạng WAN riêng Những lợi ích này dù trực tiếp hay gián tiếp đều bao gồm: Tiết kiệm chi phí (cost saving), tính mềm dẻo (flexibility), khả năng mở rộng (scalability) và một số ưu điểm khác

 Tiết kiệm chi phí

Việc sử dụng một VPN sẽ giúp các công ty giảm được chi phí đầu tư và chi phí thường xuyên Tổng giá thành của việc sở hữu một mạng VPN sẽ được thu nhỏ,

do chỉ phải trả ít hơn cho việc thuê băng thông đường truyền, các thiết bị mạng đường trục và duy trì hoạt động của hệ thống Giá thành cho việc kết nối LAN-to-LAN giảm từ 20 tới 30% so với việc sử dụng đường thuê riêng truyền thống Còn đối với việc truy cập từ xa giảm từ 60 tới 80%

Ta có thể thấy rõ ưu điểm của VPN qua việc so sánh chi phí khi sử dụng đường thuê riêng T1 (1.5 Mbit/s) với chi phí khi sử dụng Internet VPN

Bảng 1.1: Chi phí hàng tháng cho các mạng dùng đường thuê riêng so với internet VPN

 Khả năng mở rộng

Do VPN được xây dựng dựa trên cơ sở hạ tầng mạng công cộng (Internet), bất

cứ ở nơi nào có mạng công cộng là đều có thể triển khai VPN Mà mạng công cộng

có mặt ở khắp mọi nơi nên khả năng mở rộng của VPN là rất linh động Một cơ quan ở xa có thể kết nối một cách dễ dàng đến mạng của công ty bằng cách sử dụng

đường dây điện thoại hay DSL…Và mạng VPN dễ dàng gỡ bỏ khi có nhu cầu

Khả năng mở rộng băng thông là khi một văn phòng, chi nhánh yêu cầu băng thông lớn hơn thì nó có thể được nâng cấp dễ dàng

 Giảm thiểu các hỗ trợ kỹ thuật

Việc chuẩn hoá trên một kiểu kết nối từ đối tượng di động đến một POP của ISP và việc chuẩn hoá các yêu cầu về bảo mật đã làm giảm thiểu nhu cầu về nguồn

hỗ trợ kỹ thuật cho mạng VPN Và ngày nay, khi mà các nhà cung cấp dịch vụ đảm nhiệm các nhiệm vụ hỗ trợ mạng nhiều hơn thì những yêu cầu hỗ trợ kỹ thuật đối với người sử dụng ngày càng giảm

 Giảm thiểu các yêu cầu về thiết bị

Bằng việc cung cấp một giải pháp đơn cho các xí nghiệp truy cập bằng quay

số truy cập Internet, VPN yêu cầu về thiết bị ít hơn, đơn giản hơn nhiều so với việc bảo trì các modem riêng biệt, các card tương thích (adapter) cho các thiết bị đầu cuối và các máy chủ truy cập từ xa Một doanh nghiệp có thể thiết lập các thiết bị khách hàng cho một môi trường đơn, như môi trường T1, với phần còn lại của kết nối được thực hiện bởi ISP Bộ phận T1 có thể làm việc thiết lập kết nối WAN và duy trì bằng cách thay đổi dải modem và các mạch nhân của Frame Relay bằng một kết nối diện rộng đơn có thể đáp ứng nhu cầu lưu lượng của các người dùng từ xa, kết nối LAN-LAN và lưu lượng Internet cùng một lúc

 Đáp ứng các nhu cầu thương mại

Các sản phẩm dịch vụ VPN tuân theo chuẩn chung hiện nay, một phần để đảm bảo khả năng làm việc của sản phẩm nhưng có lẽ quan trọng hơn là để sản phẩm của nhiều nhà cung cấp khác nhau có thể làm việc với nhau

Đối với các thiết bị và Công nghệ Viễn thông mới thì vấn đề cần quan tâm

là chuẩn hoá, khả năng quản trị, khả năng mở rộng, khả năng tích hợp mạng, tính

kế thừa, độ tin cậy và hiệu suất hoạt động, đặc biệt là khả năng thương mại của sản phẩm

 Độ tin cậy và sự thực thi

VPN sử dụng phương pháp mã hoá để bảo mật dữ liệu, và các hàm mật mã

phức tạp có thể dẫn đến lưu lượng tải trên các máy chủ khá nặng Nhiệm vụ của người quản trị mạng là quản lí tải trên máy chủ bằng cách giới hạn số kết nối đồng thời để biết máy chủ nào có thể điều khiển Tuy nhiên, khi số người cố gắng kết nối tới VPN đột nhiên tăng vọt và phá vỡ hết quá trình truyền tin, thì chính các nhân viên quản trị này cũng không thể kết nối được vì tất cả các cổng của VPN đều bận Điều đó chính là động cơ thúc đẩy người quản trị tạo ra các khoá ứng dụng làm việc mà không đòi hỏi VPN Chẳng hạn thiết lập dịch vụ Proxy hoặc dịch vụ Internet Message Access Protocol để cho phép nhân viên truy nhập e-mail

từ nhà hay trên đường

1.3 Phân loại mạng và các mô hình VPN

1.3.1 Phân loại mạng VPN

Mục tiêu đặt ra đối với công nghệ mạng VPN là thoả mãn ba yêu cầu cơ bản sau:

- Tại mọi thời điểm, các nhân viên của công ty có thể truy nhập từ xa hoặc di

động vào mạng nội bộ của công ty

- Nối liền các chi nhánh, văn phòng di động.

- Khả năng điều khiển được quyền truy nhập của khách hàng, các nhà cung

cấp dịch vụ hoặc các đối tượng bên ngoài khác

Dựa vào những yêu cầu cơ bản trên, mạng riêng ảo VPN được phân làm ba loại:

- Mạng VPN truy nhập từ xa (Remote Access VPN)

vì, những VPN này có thể thiết lập bất kể thời điểm nào, từ bất cứ nơi nào có mạng Internet

VPN truy nhập từ xa mở rộng mạng công ty tới những người sử dụng thông qua cơ sở hạ tầng chia sẻ chung, trong khi những chính sách mạng công ty vẫn duy trì Chúng có thể dùng để cung cấp truy nhập an toàn từ những thiết bị di động, những người sử dụng di động, những chi nhánh và những bạn hàng của công ty Những kiểu VPN này được thực hiện thông qua cơ sở hạ tầng công cộng bằng cách

sử dụng công nghệ ISDN, quay số, IP di động, DSL và công nghệ cáp và thường yêu cầu một vài kiểu phần mềm client chạy trên máy tính của người sử dụng

- Cung cấp dịch vụ kết nối giá rẻ cho những người sử dụng ở xa.

- Bởi vì các kết nối truy nhập là nội bộ nên các Modem kết nối hoạt động ở tốc độ cao hơn so với các truy nhập khoảng cách xa

- VPN cung cấp khả năng truy nhập tốt hơn đến các site của công ty bởi vì chúng hỗ trợ mức thấp nhất của dịch vụ kết nối

Mặc dù có nhiều ưu điểm nhưng mạng VPN truy nhập từ xa vẫn còn những nhược điểm cố hữu đi cùng như:

- Mạng VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo QoS

- Nguy cơ bị mất dữ liệu cao Hơn nữa, nguy cơ các gói có thể bị phân phát không đến nơi hoặc mất gói

- Bởi vì thuật toán mã hoá phức tạp, nên tiêu đề giao thức tăng một cách đáng kể

b) Mạng VPN cục bộ

Các VPN cục bộ được sử dụng để bảo mật các kết nối giữa các địa điểm khác nhau của một công ty Mạng VPN liên kết trụ sở chính, các văn phòng, chi nhánh trên một cơ sở hạ tầng chung sử dụng các kết nối luôn được mã hoá bảo mật Điều này cho phép tất cả các địa điểm có thể truy nhập an toàn các nguồn dữ liệu được phép trong toàn bộ mạng của công ty

Những VPN này vẫn cung cấp những đặc tính của mạng WAN như khả năng

mở rộng, tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phí thấp nhưng vẫn đảm bảo tính mềm dẻo Kiểu VPN này thường được cấu hình như là một VPN Site- to- Site

Hình 1.3 Mô hình mạng VPN cục bộ

Những ưu điểm chính của mạng cục bộ dựa trên giải pháp VPN bao gồm:

- Các mạng lưới cục bộ hay toàn bộ có thể được thiết lập (với điều kiện mạng thông qua một hay nhiều nhà cung cấp dịch vụ)

- Giảm được số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi xa

- Bởi vì những kết nối trung gian được thực hiện thông qua mạng Internet, nên

nó có thể dễ dàng thiết lập thêm một liên kết ngang cấp mới

- Tiết kiệm chi phí thu được từ những lợi ích đạt được bằng cách sử dụng đường ngầm VPN thông qua Internet kết hợp với công nghệ chuyển mạch tốc độ cao Ví dụ như công nghệ Frame Relay, ATM

Tuy nhiên mạng cục bộ dựa trên giải pháp VPN cũng có những nhược điểm

đi cùng như:

- Bởi vì dữ liệu được truyền “ngầm” qua mạng công cộng – mạng Internet – cho nên vẫn còn những mối “đe dọa” về mức độ bảo mật dữ liệu và mức độ chất lượng dịch vụ (QoS)

- Khả năng các gói dữ liệu bị mất trong khi truyền dẫn vẫn còn khá cao

- Trường hợp truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêu cầu truyền dẫn tốc độ cao và đảm bảo thời gian thực là thách thức lớn trong môi trường Internet

c) Mạng VPN mở rộng

Không giống như mạng VPN cục bộ và mạng VPN truy nhập từ xa, mạng VPN mở rộng không bị cô lập với “thế giới bên ngoài” Thực tế mạng VPN mở rộng cung cấp khả năng điều khiển truy nhập tới những nguồn tài nguyên mạng cần thiết để mở rộng những đối tượng kinh doanh như là các đối tác, khách hàng, và các nhà cung cấp…

Hình 1.4 Mô hình mạng VPN mở rộng

Các VPN mở rộng cung cấp một đường hầm bảo mật giữa các khách hàng, các nhà cung cấp và các đối tác qua một cơ sở hạ tầng công cộng Kiểu VPN này sử dụng các kết nối luôn luôn được bảo mật và được cấu hình như một VPN Site–to–

Site Sự khác nhau giữa một VPN cục bộ và một VPN mở rộng đó là sự truy cập mạng được công nhận ở một trong hai đầu cuối của VPN

Những ưu điểm chính của mạng VPN mở rộng:

- Chi phí cho mạng VPN mở rộng thấp hơn rất nhiều so với mạng truyền thống

- Dễ dàng thiết lập, bảo trì và dễ dàng thay đổi đối với mạng đang hoạt động

- Vì mạng VPN mở rộng được xây dựng dựa trên mạng Internet nên có nhiều

cơ hội trong việc cung cấp dịch vụ và chọn lựa giải pháp phù hợp với các nhu cầu của mỗi công ty hơn

- Bởi vì các kết nối Internet được nhà cung cấp dịch vụ Internet bảo trì, nên giảm được số lượng nhân viên kỹ thuật hỗ trợ mạng, do vậy giảm được chi phí vận hành của toàn mạng

Bên cạnh những ưu điểm ở trên giải pháp mạng VPN mở rộng cũng còn những nhược điểm đi cùng như:

- Khả năng bảo mật thông tin, mất dữ liệu trong khi truyền qua mạng công cộng vẫn tồn tại

- Truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêu cầu truyền dẫn tốc độ cao và đảm bảo thời gian thực, là thách thức lớn trong môi trường Internet

- Làm tăng khả năng rủi ro đối với các mạng cục bộ của công ty

• Customer-based VPN (còn gọi là overlay VPN): là VPN được cấu hình trên các thiết bị của khách hàng sử dụng các giao thức đường hầm xuyên qua mạng công cộng Nhà cung cấp dịch vụ sẽ bán các mạch ảo giữa các site của khách hàng như là đường kết nối leased line

• Network-based VPN (còn gọi là VPN ngang cấp): là VPN được cấu hình trên các thiết bị của nhà cung cấp dịch vụ và được quản lý bởi nhà cung cấp dịch vụ Nhà cung cấp dịch vụ và khách hàng trao đổi thông tin định tuyến lớp 3, nhà cung cấp sắp đặt dữ liệu các site khách hàng vào đường đi tối ưu nhất mà không cần có sự tham gia của khách hàng

a) Mô hình chồng lấn

Mô hình overlay VPN ra đời từ rất sớm và được triển khai dưới nhiều công nghệ khác nhau Ban đầu, VPN được xây dựng bằng cách sử dụng các đường leased line để cung cấp kết nối giữa khách hàng ở nhiều vị trí khác nhau Khách hàng mua dịch vụ leased line của nhà cung cấp Đường leased line này được thiết lập giữa các site của khách hàng cần kết nối Đường này là đường dành riêng cho khách hàng

Cho đến những năm 1990, Frame Relay được giới thiệu Frame Relay được xem như là một công nghệ VPN vì nó đáp ứng kết nối cho khách hàng như dịch vụ leased line, chỉ khác ở chỗ là khách hàng không được cung cấp các đường dành riêng cho mỗi khách hàng, mà khách hàng sử dụng một đường chung nhưng được chỉ định các mạch ảo Các mạch ảo này sẽ đảm bảo lưu lượng cho mỗi khách hàng

là riêng biệt Mạch ảo được gọi là PVC (Permanent Virtual Circuit) hay SVC (Switched Virtual Circuit) Cung cấp mạch ảo cho khách hàng nghĩa là nhà cung cấp dịch vụ đã xây dựng một đường hầm riêng cho lưu lượng khách hàng chảy qua mạng dùng chung của nhà cung cấp dịch vụ Sau này công nghệ ATM ra đời, về cơ bản ATM cũng hoạt động giống như Frame Relay nhưng đáp ứng tốc độ truyền dẫn cao hơn

Khách hàng thiết lập việc liên lạc giữa các thiết bị đầu phía khách hàng CPE với nhau qua kênh ảo Giao thức định tuyến chạy trực tiếp giữa các router khách hàng thiết lập mối quan hệ cận kề và trao đổi thông tin định tuyến với nhau Nhà cung cấp dịch vụ không hề biết đến thông tin định tuyến của khách hàng Nhiệm vụ

của nhà cung cấp dịch vụ trong mô hình này chỉ là đảm bảo vận chuyển dữ liệu điểm-điểm giữa các site của khách hàng mà thôi.

Overlay VPN còn được triển khai dưới dạng đường hầm (tunneling) Việc triển khai thành công các công nghệ gắn với IP nên một vài nhà cung cấp dịch vụ bắt đầu triển khai VPN qua IP Nếu khách hàng nào muốn xây dựng mạng riêng của

họ qua Internet thì có thể dùng giải pháp này vì chi phí thấp Bên cạnh lý do kinh tế,

mô hình tunneling còn đáp ứng cho khách hàng việc bảo mật dữ liệu Hai công nghệ VPN đường hầm phổ biến là IPSec (IP security) và GRE (Generic Route Encapsulation)

Các cam kết về QoS trong mô hình overlay VPN thường là cam kết về băng thông trên một VC, giá trị này được gọi là CIR (Committed Information Rate) Băng thông có thể sử dụng được tối đa trên một kênh ảo đó, giá trị này được gọi là PIR (Peak Information Rate) Việc cam kết này được thực hiện thông qua các thống

kê tự nhiên của dịch vụ lớp 2 nhưng lại phụ thuộc vào chiến lược của nhà cung cấp Điều này có nghĩa là tốc độ cam kết không thật sự được bảo đảm mặc dù nhà cung cấp có thể đảm bảo tốc độ nhỏ nhất (Minimum Information Rate – MIR) Cam kết

về băng thông cũng chỉ là cam kết về hai điểm trong mạng khách hàng Nếu không

có ma trận lưu lượng đầy đủ cho tất cả các lớp lưu lượng thì thật khó có thể thực hiện cam kết này cho khách hàng trong mô hình overlay Và thật khó để cung cấp nhiều lớp dịch vụ vì nhà cung cấp dịch vụ không thể phân biệt được lưu lượng ở giữa mạng Để làm được việc này bằng cách tạo ra nhiều kết nối (kết nối full-mesh), như trong mạng Frame Relay hay ATM là có các PVC giữa các site khách hàng Tuy nhiên, kết nối full-mesh thì chỉ làm tăng thêm chi phí của mạng

Xét ví dụ sau :

VPN A gồm 3 site : site 1, site 2 và site 3 Bộ định tuyến tại RA1 tại site 1 kết nối với bộ định tuyến RA2 tại site 2 và RA3 tại site 3 thông qua kênh chuyển tiếp khung họăc ATM Vì vậy đối với VPN A cấu hình kết nối giữa các site là mắt lưới hoàn toàn Các kênh aỏ chuyển tiếp khung hoặc ATM được cung cấp bởi các nhà cung cấp dịch vụ VPN VPN B cũng bao gồm 3 site nhưng cấu hình kết nối giữa chúng là hình sao qua Hub với site 1 đóng như Hub, còn site 2 và site 3 có vai trò là

nhánh Tại site 1 có chức năng Hub có hai bộ định tuyến R1

B1 và R2

B1 để kết nối site này với các site khác Việc sử dụng hai bộ định tuyến thay cho một bộ định tuyến là

để tránh lỗi Khi một bộ định tuyến bị lỗi và dừng hoạt động thì bộ định tuyến kia vẫn đảm bảo cung cấp kết nối Nếu chỉ có một bộ định tuyến ở Hub site thì khi bộ định tuyến này bị lỗi thì Hub không liên lạc được với các site khác mà ngay cả các site cũng không liên lạc được với nhau Địa chỉ trong VPN A và VPN B giống hệt nhau, nhưng không nhất thiết phải sử dụng giao thức giống nhau

Hình 1.5 Mô hình VPN chồng lấn

 Mô hình VPN chồng lấn (overlay) có một số ưu điểm sau:

• Đó là mô hình dễ thực hiện, nhìn theo quan điểm của khách hàng và của cả nhà cung cấp dịch vụ

• Nhà cung cấp dịch vụ không tham gia vào định tuyến khách hàng trong mạng VPN overlay Nhiệm vụ của họ là vận chuyển dữ liệu điểm-điểm giữa các site của khách hàng, việc đánh dấu điểm tham chiếu giữa nhà cung cấp dịch vụ và khách hàng sẽ quản lý dễ dàng hơn

VPN A/ Site3 192.168.1.39 VPN A/ Site2

192.168.1.37

 Hạn chế của mô hình overlay VPN:

• Nó thích hợp trong các mạng không cần độ dự phòng với ít site trung tâm và nhiều site ở đầu xa, nhưng lại khó quản lý nếu như cần nhiều cầu hình mắt lưới

• Việc cung cấp càng nhiều VC đòi hỏi phải có sự hiểu biết cặn kẽ về loại lưu lượng giữa hai site với nhau mà điều này thường không thật sự thích hợp

• Khi thực hiện mô hình này với các công nghệ lớp 2 thì chỉ tạo ra một lớp mới không cần thiết đối với các nhà cung cấp hầu hết chỉ dựa trên IP, do đó làm tăng thêm chi phí hoạt động

b) Mô hình ngang cấp

Để giải quyết các hạn chế của mô hình VPN overlay và để cho nhà cung cấp dịch vụ cung cấp cho khách hàng việc vận chuyển dữ liệu tối ưu qua mạng backbone, mô hình VPN ngang cấp ra đời Với mô hình này nhà cung cấp dịch vụ tham gia vào hoạt động định tuyến của khách hàng Tức là router biên mạng nhà cung cấp (Provider Edge - PE) thực hiện trao đổi thông tin định tuyến trực tiếp với router CE của khách hàng

Xét ví dụ sau :

Hình 1.6 Mô hình VPN ngang cấp

Vùng ở giữa bao gồm tập hợp một hay nhiều nhà cung cấp dịch vụ VPN Xung quanh là các site tạo nên các mạng VPN Trong hình này thể hiện 2 mạng VPN là A và B Mỗi site của VPN A kết nối với nhà cung cấp dịch vụ VPN thông qua một bộ định tuyến “biên khách hàng” (CE) Mỗi site có thể có 1 hay nhiều bộ định tuyến CE ví dụ như site 1 trong VPN B có hai CE là CE1

B1 và CE2

B1 còn site 3 trong VPN B chỉ có 1 CE đó là CEB3 Hình vẽ còn thể hiện các đích có thể truy nhập đến trong mỗi site (ví dụ như tập hợp các đích có thể truy nhập đến trong site 2 của VPN A được xác định bởi tiền tố IP 192.168.2.11)

Về phía nhà sử dụng dịch vụ, mỗi bộ định tuyến CE được kết nối đến một bộ định tuyến “biên nhà cung cấp dịch vụ” (PE) Lưu ý cùng một bộ định tuyến PE có thể kết nối các site thuộc nhiều VPN khác nhau ; hơn nữa các site này có thể sử dụng cùng địa chỉ IP cho các đích trong các site (địa chỉ IP phải là duy nhất trong một VPN, tuy nhiên nó không nhất thiết phải là duy nhất trong nhiều VPN) Ví dụ như PE2 được kết nối tới các site thuộc VPN A (site 2) và VPN B (site 2) Hơn nữa

cả hai site này đều sử dụng cùng một miền địa chỉ là 192.168.2.12 cho các đích bên trong chúng Chúng ta cũng lưu ý rằng một site có thể được kết nối tới một hoặc nhiều bộ định tuyến PE Ví dụ, site 1 của VPN B được kết nối tới PE 1 và PE 2

Bộ định tuyến loại thứ 3 được thể hiện trên hình là bộ định tuyến “nhà cung cấp dịch vụ” (P) Các bộ định tuyến loại này không kết nối các site của khách hàng

Mô hình VPN ngang cấp đã giải quyết được các hạn chế của VPN overlay:

• Việc định tuyến đơn giản hơn (nhìn từ phía khách hàng) khi router khách hàng chỉ trao đổi thông tin định tuyến với một hoặc một vài router PE Trong khi ở mô hình overlay VPN, số lượng router láng giềng có thể phát triển với số lượng lớn

• Định tuyến giữa các site khách hàng luôn luôn được tối ưu vì nhà cung cấp dịch vụ biết topology mạng khách hàng và do đó có thể thiết lập định tuyến tối ưu cho các router của họ

• Việc cung cấp băng thông đơn giản hơn bởi vì khách hàng chỉ phải quan tâm đến băng thông đầu vào và ra ở mỗi site mà không cần phải chính

xác toàn bộ lưu lượng từ site này đến site kia (site-to-site) như mô hình overlay VPN

• Có khả năng mở rộng vì nhà cung cấp dịch vụ chỉ cần thêm vào một site

và thay đổi cấu hình trên Router PE Trong mô hình overlay, nhà cung cấp dịch vụ phải tham gia vào toàn bộ tập hợp các VC từ site này đến site khác của VPN khách hàng

Nhà cung cấp dịch vụ triển khai hai ứng dụng khác sử dụng VPN ngang cấp: Phương pháp chia sẻ router (shared router): Router dùng chung, tức là khách hàng VPN chia sẽ cùng router biên mạng nhà cung cấp (provider edge – PE) Ở phương pháp này, nhiều khách hàng có thể kết nối đến cùng router PE

Hình 1.7 Mô hình VPN ngang cấp sử dụng router dùng

hàng này thực hiện các tấn công từ chối dịch vụ (DoS – Denial of Service) vào VPN của khách hàng khác Nhà cung cấp dịch vụ chia mỗi phần trong không gian địa chỉ của nó cho khách hàng và quản lý việc lọc gói tin trên Router PE

Phương pháp router P dành riêng (dedicated router): là phương pháp mà khách hàng VPN có router PE dành riêng Trong phương pháp này, mỗi khách hàng VPN phải có router PE dành riêng và do đó chỉ truy cập đến các route trong bảng định tuyến của router PE đó

Mô hình router dành trước sử dụng các giao thức định tuyến để tạo ra bảng định tuyến trên một VPN trên Router PE Bảng định tuyến chỉ có các route được quảng bá bởi khách hàng VPN kết nối đến chúng, kết quả là tạo ra sự cách ly tuyệt vời giữa các VPN Định tuyến trên router dành trước có thể được thực hiện như sau:

• Giao thức định tuyến chạy giữa PE và CE là bất kì

• BGP là giao thức chạy giữa PE và PE

• PE phân phối các route nhận được từ CE vào BGP, đánh dấu với ID (Identification) của khách hàng (BGP community), và truyền các route đến router P, router P sẽ có tất cả các router từ tất cả VPN của khách hàng

• Router P chỉ truyền các router với BGP community thích hợp đến Router

PE Do đó Router PE chỉ nhận các router từ Router CE trong VPN của chúng

So sánh các phương pháp của mô hình VPN ngang cấp:

Phương pháp dùng chung router rất khó duy trì vì nó yêu cầu cần phải có cấu hình access-list dài và phức tạp trên mỗi interface của router Còn phương pháp dùng router riêng, mặc dù có vẻ đơn giản về cấu hình và dễ duy trì hơn nhưng nhà cung cấp dịch vụ phải bỏ ra chi phí lớn để đảm bảo được phục vụ tốt cho số lượng lớn khách hàng

• Tất cả khách hàng dùng chung không gian địa chỉ IP, nên họ phải sử dụng hoặc là địa chỉ thật trong mạng riêng (private network) của họ hoặc

là phụ thuộc vào nhà cung cấp dịch vụ để có được địa chỉ IP Trong cả hai trường hợp, kết nối một khách hàng mới đến dịch vụ VPN ngang cấp đòi hỏi phải đăng kí lại địa chỉ Ip trong mạng khách hàng

• Khách hàng không thể thêm router mặc định vào VPN Giới hạn này đã ngăn chặn việc định tuyến tối ưu và cấm khách hàng truy cập Internet từ nhà cung cấp dịch vụ khác

 Ưu điểm của mô hình VPN ngang cấp :

• VPN ngang cấp cho ta định tuyến tối ưu giữa các site khách hàng mà không cần phải cấu hình hay thiết kế gì đặc biệt

• Dễ mở rộng

 Hạn chế của mô hình VPN ngang cấp :

• Nhà cung cấp dịch vụ phải đáp ứng được định tuyến khách hàng cho đúng và đảm bảo việc hội tụ của mạng khách hàng khi có lỗi liên kết

• Router P của nhà cung cấp dịch vụ phải mang tất cả các router của khách hàng

• Nhà cung cấp dịch vụ cần phải biết rõ chi tiết về định tuyến IP, mà điều này thực sự không cần thiết đối với nhà cung cấp từ xưa đến nay

1.4 Kết luận chương 1

VPN được định nghĩa như mạng kết nối các site khách hàng đảm bảo an ninh trên cơ sở hạ tầng chung cùng với các chính sách điều khiển truy nhập và bảo mật như một mạng riêng Dù được xây dựng trên cơ sở hạ tầng sẵn có của mạng công cộng nhưng VPN lại có tính chất của mạng cục bộ như khi sử dụng các đường kênh thuê riêng Chương này đã trình bày những khái niệm cơ bản về VPN, các chức năng và đặc điểm của VPN cũng như các mô hình và phân loại cho phạm vi ứng dụng

CHƯƠNG II: TỔNG QUAN CÔNG NGHỆ MPLS2.1 Khái niệm MPLS

MPLS là một giải pháp chuyển mạch IP và được chuẩn hoá bởi IETF [1].MPLS là viết tắt của cụm từ: chuyển mạch nhãn đa giao thức (Multiprotocol Label Switching)

 Gọi là chuyển mạch nhãn vì: Sử dụng cơ chế hoán đổi nhãn làm kỹ thuật

chuyển tiếp ở lớp bên dưới (lớp 2)

 Gọi là đa giao thức vì: MPLS có thể hỗ trợ nhiều giao thức lớp mạng (lớp

3), không chỉ riêng IP

2.2 Đặc điểm MPLS

 Tốc độ và trễ: Chuyển mạch nhãn nhanh hơn nhiều bởi vì giá trị nhãn được

đặt ở header của gói được sử dụng để truy nhập bảng chuyển tiếp tại router, nghĩa là nhãn được sử dụng để tìm kiếm trong bảng Việc tìm kiếm này chỉ yêu cầu một lần truy nhập tới bảng, khác với truy nhập bảng định tuyến truyền thống việc tìm kiếm có thể cần hàng ngàn lần truy nhập Kết quả là lưu lượng người sử dụng trong gói được gửi qua mạng nhanh hơn nhiều so với chuyển tiếp IP truyền thống

 Jitter: Là sự thay đổi độ trễ của lưu lượng người sử dụng do việc chuyển gói

tin qua nhiều node trong mạng để chuyển tới đích của nó Tại từng node, địa chỉ đích trong gói phải được kiểm tra và so sánh với danh sách địa chỉ đích khả dụng trong bảng định tuyến của node, do đó trễ và biến thiên trễ phụ thuộc vào số lượng gói và khoảng thời gian mà bảng tìm kiếm phải xử lý trong khoảng thời gian xác định Kết quả là tại node cuối cùng, Jitter là tổng cộng tất cả các biến thiên độ trễ gại mỗi node giữa bên gửi và bên thu Với gói là thoại thì cuộc thoại bị mất đi tính liên tục Do chuyển mạch nhãn hiệu quả hơn, lưu lượng người dùng được gửi qua mạng nhanh hơn và ít Jitter hơn

so với định tuyến IP truyền thống

 Khả năng mở rộng mạng: Chuyển mạch nhãn cung cấp các giải pháp cho sự

phát triển nhanh chóng và xây dựng các mạng lớn bằng việc cho phép một

lượng lớn các địa chỉ IP được kết hợp với một hay vài nhãn Giải pháp này giảm đáng kể kích cỡ bảng địa chỉ và cho phép router hỗ trợ nhiều người sử dụng hơn.

 Tính đơn giản: Chuyển mạch nhãn là giao thức chuyển tiếp cơ bản, chuyển

tiếp gói chỉ dựa vào nhãn Do tách biệt giữa điều khiển và chuyển tiếp nên kỹ thuật điều khiển dù phức tạp cũng không ảnh hưởng đến hiệu quả của dòng lưu lượng người sử dụng Cụ thể là, sau khi ràng buộc nhãn được thực hiện, các hoạt động chuyển mạch nhãn để chuyển tiếp lưu lượng là đơn giản, có thể được thực hiện bằng phần mềm, bằng mạch tích hợp chuyên dụng hay bằng các bộ xử lý đặc biệt

 Sử dụng tài nguyên: Các mạng chuyển mạch nhãn không cần nhiều tài

nguyên mạng để thực hiện các công cụ điều khiển trong việc thiết lập các đường đi chuyển mạch nhãn cho lưu lượng người sử dụng

 Điều khiển đường đi: Chuyển mạch nhãn cho phép các đường đi qua một

liên mạng được điều khiển tốt hơn Nó cung cấp một công cụ để bố trí các node và liên kết lưu lượng phù hợp hơn, thuận lợi hơn, cũng như đưa ra phân lớp chính xác các phân lớp lưu lượng (dựa trên các yêu cầu về QoS) khác nhau của dịch vụ

2.3 Các thành phần của MPLS

2.3.1 Các thiết bị trong mạng MPLS

LSR là một thiết bị định tuyến tốc độ cao trong lõi của một mạng MPLS, nó

tham gia trong việc thiết lập các đường dẫn chuyển mạch nhãn (LSP) bằng việc sử dụng giao thức báo hiệu nhãn thích ứng và thực hiện chuyển mạch tốc độ cao lưu lượng số liệu dựa trên các đường dẫn được thiết lập

LER là một thiết bị hoạt động tại biên của mạng truy nhập và mạng lõi MPLS

Các LER hỗ trợ đa cổng được kểt nối tới các mạng không giống nhau (chẳng hạn FR, ATM và Ethernet) LER đóng vai trò quan trọng trong việc chỉ định và huỷ bỏ nhãn, khi lưu lượng vào trong hay đi ra khỏi mạng MPLS Sau đó, tại lối vào nó thực hiện việc chuyển tiếp lưu lượng vào mạng MPLS sau khi đã thiết lập LSP nhờ các giao thức báo hiệu nhãn và phân bổ lưu lượng trở lại mạng truy nhập tại lối ra

2.3.2 Đường chuyển mạch nhãn

LSP: là một đường đi để gói tin qua mạng chuyển mạch nhãn trọn vẹn từ

điểm bắt đầu dán nhãn đến điểm nhãn bị loại bỏ khỏi gói tin Các LSP được thiết lập trước khi truyền dữ liệu

Đường hầm LSP: LSP từ đầu tới cuối được gọi là đường hầm LSP, nó là

chuỗi liên tiếp các đoạn LSP giữa hai node kề nhau Các đặc trưng của đường hầm LSP, chẳng hạn như phân bổ băng tần, được xác định bởi sự thoả thuận giữa các node, nhưng sau khi đã thoả thuận, node lối vào (bắt đầu của LSP) xác định dòng lưu lượng bằng việc chọn lựa nhãn của nó Khi lưu lượng được gửi qua đường hầm, các node trung gian không kiểm tra nội dung của tiêu đề mà chỉ kiểm tra nhãn Do

đó, phần lưu lượng còn lại được xuyên hầm qua LSP mà không phải kiểm tra Tại cuối đường hầm LSP, node lối ra loại bỏ nhãn và chuyển lưu lượng IP tới node IP

Các đường hầm LSP có thể sử dụng để thực hiện các chính sách kỹ thuật lưu lượng liên quan tới việc tối ưu hiệu năng mạng Chẳng hạn, các đường hầm LSP có thể được di chuyển tự động hay thủ công ra khỏi vùng mạng bị lỗi, tắc nghẽn, hay là node mạng bị nghẽn cổ chai Ngoài ra, nhiều đường hầm LSP song song có thể được thiết lập giữa hai node, và lưu lượng giữa hai node đó có thể được chuyển vào trong các đường hầm này theo các chính sách cục bộ

Trong mạng MPLS các LSP được thiết lập bằng một trong ba cách đó là: Định tuyến từng chặng, định tuyến hiện (ER) và định tuyến cưỡng bức (CR)

Một số khái niệm liên quan tới đường chuyển mạch nhãn là đường lên và đường xuống

Đường lên (Upstream): Hướng đi dọc theo đường dẫn từ đích đến nguồn

Một router đường lên có tính chất tương đối so với một router khác, nghĩa là nó gần nguồn hơn router được nói đến đó dọc theo đường dẫn chuyển mạch nhãn

Đường xuống (Downstream): Hướng đi dọc theo đường dẫn từ nguồn đến

đích Một router đường xuống có tính chất tương đối so với một router khác, nghĩa

là nó gần đích hơn router được nói đến đó dọc theo đường dẫn chuyển mạch nhãn

2.3.3 Nhãn và các vấn đề liên quan

a) Nhãn, ngăn xếp nhãn, không gian nhãn

Tiêu đề MPLS: MPLS định nghĩa một tiêu đề có độ dài 32 bit, được đặt

ngay sau tiêu đề lớp 2 bất kì và trước một tiêu đề lớp 3

 Exp (Experimental): Các bit Exp được dự trữ về mặt kỹ thuật cho sử dụng

thực tế Chẳng hạn sử dụng những bit này để chỉ thị QoS - thường là một bản sao trực tiếp của các bit chỉ thị độ ưu tiên trong gói IP Khi các gói MPLS bị xếp hàng, có thể sử dụng các bit Exp như cách sử dụng các bit chỉ thị độ ưu tiên IP

 BS (Bottom of stack): Có thể có hơn một nhãn với một gói Bit này dùng để

chỉ thị cho nhãn ở cuối ngăn xếp nhãn Nhãn ở đáy của ngăn xếp nhãn có giá trị BS bằng 1 Các nhãn khác có giá trị bit BS bằng 0

Link Layer

Header

MPLS SHIM

Network Layer Header

Other Headers Layer and Data

32 bits

20 bits 3 bits 1bit 8 bits

 TTL (Time To Live): Thông thường các bit TTL là một bản sao trực tiếp của

các bit TTL trong tiêu đề gói IP Chúng giảm giá trị đi một đơn vị khi gói đi qua mỗi chặng để tránh lặp vòng vô hạn TTL cũng có thể được sử dụng khi các nhà điều hành mạng muốn dấu cấu hình mạng nằm bên dưới

Ngăn xếp nhãn là một tập các nhãn có thứ tự được chỉ định cho gói Việc xử

lý các nhãn này cũng tuân theo một thứ tự

Không gian nhãn: Thuật ngữ không gian nhãn dùng để chỉ ra cách thức mà

một nhãn được kết hợp với một LSR Có hai phương pháp để phân nhãn giữa các LSR, tương ứng với hai dạng không gian nhãn, đó là: không gian nhãn theo từng giao diện và không gian nhãn theo từng node

Không gian nhãn theo từng giao diện: Nhãn được kết hợp với một giao

diện đặc trưng ở một LSR, ví dụ như DS3 hoặc giao diện SONET LSR sẽ dùng

một giá trị giao diện để giữ dấu vết của các nhãn ở mỗi giao diện, nên nhãn có thể được dùng lại tại mỗi giao diện, miễn là thoả mãn điều kiện một nhãn là duy nhất trong không gian nhãn Và khi này định danh giao diện này trở thành một nhãn nội

bộ trong LSR đối với nhãn bên ngoài được gửi đi giữa các LSR

Không gian nhãn theo từng node (theo tất cả các giao diện): Ở đây, các nhãn

đầu vào được xẻ dọc theo tất cả các giao diện tham gia vào một node Nghĩa là, node này phải chỉ định không gian nhãn dọc theo tất cả các giao diện,

b) Ràng buộc FEC và nhãn

Khái niệm FEC: FEC là một nhóm các gói, nhóm các gói này chia sẻ cùng

yêu cầu trong sự chuyển tiếp chúng qua mạng Tất cả các gói trong một nhóm như vậy được cung cấp cùng cách chọn đường tới đích Dựa trên FEC, nhãn được thoả thuận giữa các LSR lân cận từ lối vào tới lối ra trong một vùng định tuyến Mỗi LSR xây dựng một bảng để xác định xem một gói phải được chuyển tiếp như thế nào Bảng này được gọi là cơ sở thông tin nhãn (LIB: Label Information Base), nó

là tổ hợp các ràng buộc FEC với nhãn (FEC-to-label) Và nhãn lại được sử dụng để chuyển tiếp lưu lượng qua mạng

Lý do dùng FEC: Thứ nhất, nó cho phép nhóm các gói vào các lớp Từ

nhóm này, giá trị FEC trong một gói có thể được dùng để thiết lập độ ưu tiên cho việc xử lý các gói Thứ hai, FEC có thể được dùng để hỗ trợ hiệu quả hoạt động QoS Ví dụ, FEC có thể liên kết với độ ưu tiên cao, lưu lượng thoại thời gian thực, lưu lượng nhóm mới ưu tiên thấp…

Sự kết hợp một FEC với một gói được thực hiện bởi việc dùng một nhãn để định danh một FEC đặc trưng Với các lớp dịch vụ khác nhau, phải dùng các FEC khác nhau và các nhãn liên kết khác nhau Đối với lưu lượng Internet, các định danh

sử dụng là các tham số ứng cử cho việc thiết lập một FEC Trong một vài hệ thống, chỉ địa chỉ đích IP được sử dụng

c) Tạo, phân bổ, hợp nhất , duy trì và điều khiển nhãn

 Tạo nhãn

Có một số phương pháp được sử dụng trong việc tạo nhãn:

• Phương pháp dựa trên đồ hình (topology-based): sử dụng các giao

thức định tuyến thông thường như OSPF (Open Shortest Path First) và BGP (Border Gateway Protocol: Giao thức cổng đường biên)

• Phương pháp dựa trên yêu cầu (request-based): sử dụng điều khiển

lưu lượng dựa trên yêu cầu như RSVP (Resource Reservation Protocol: Giao thức dành trước tài nguyên)

• Phương pháp dựa trên lưu lượng (trafic-based): sử dụng sự tiếp nhận

của gói để phân bổ thông tin nhãn

Các phương pháp dựa trên đồ hình và dựa trên yêu cầu là các ví dụ về các ràng buộc nhãn điều khiển, trong khi phương pháp dựa trên lưu lượng là một ví dụ

về các ràng buộc dữ liệu

 Phân bổ nhãn

Kiến trúc MPLS không sử dụng một phương pháp báo hiệu riêng nào để phân bổ nhãn Các giao thức định tuyến đang tồn tại đã được tăng cường để mang thông tin nhãn trong nội dung của giao thức:

• LDP: ánh xạ các đích IP đơn hướng vào các nhãn.

• RSVP, CP-LDP: được sử dụng cho kĩ thuật lưu lượng và đặt trước tài

nguyên

• Multicast độc lập giao thức: được sử dụng cho việc ánh xạ nhãn các

trạng thái đa hướng

• BGP: các nhãn bên ngoài (VPN).

 Hợp nhất nhãn

Dòng lưu lượng đến từ các giao diện khác nhau có thể được kết hợp cùng nhau và được chuyển mạch bằng cách sử dụng một nhãn chung nếu chúng đang đi qua mạng hướng tới cùng một đích cuối cùng Điều này được gọi là sự hợp nhất luồng hay kết hợp các luồng

Nếu mạng truyền tải nằm bên dưới là một mạng ATM, các LSR có thể sử

 Sự duy trì nhãn

MPLS định nghĩa cách xử lý các ràng buộc nhãn nhận được từ các LSR, mà các LSR đó không phải là chặng kế tiếp với một FEC đã cho Hai chế độ được định nghĩa:

• Bảo toàn (conservative): Trong chế độ này, các ràng buộc giữa một

nhãn và một FEC nhận được từ các LSR không là chặng kế tiếp cho một FEC cho trước bị huỷ bỏ Chế độ này dùng để một LSR duy trì số nhãn ít hơn Đây là chế độ được khuyến khích sử dụng cho các LSR ATM

• Tự do (liberal): Trong chế độ này, các ràng buộc giữa một nhãn và

một FEC nhận được từ các LSR không là chặng kế tiếp với một FEC cho trước được giữ nguyên Chế độ này cho phép tương thích nhanh hơn với các thay đổi cấu hình và cho phép chuyển mạch lưu lượng tới các LSP khác trong trường hợp có sự thay đổi

 Điều khiển nhãn

MPLS định nghĩa các chế độ cho việc phân bổ nhãn tới các LSR lân cận như sau:

• Độc lập (Independent): Trong chế độ này, một LSR nhận dạng một

FEC nào đó và ra quyết định ràng buộc một nhãn với một FEC một cách độc lập để phân bổ ràng buộc đến các thực thể đồng mức của nó Các FEC mới được nhận dạng bất cứ khi nào các tuyến (route) trở nên

rõ ràng với router

• Có thứ tự (ordered): Trong chế độ này, một LSR ràng buộc một nhãn

với một FEC nào đó nếu và chỉ nếu nó là router lối ra hay nó đã nhận được một ràng buộc nhãn cho FEC từ LSR chặng kế tiếp của nó Chế

độ này được khuyến nghị sử dụng cho các LSR ATM

2.4 Hoạt động của MPLS

Khi một gói tin vào mạng MPLS: LSR lối vào kiểm tra nhiều trường trong tiêu đề của gói để xác định xem gói thuộc FEC nào: