TRIỂN KHAI MPLSVPN TRÊN HỆ THỐNG ROUTER CỦA CISCO

NỘI DUNG ĐỒ ÁN Tổng quan về MPLSVPN Cấu trúc và nguyên lý hoạt động của MPLSVPN Một số giải pháp triển khai MPLSVPN Triển khai MPLSVPN trên hệ thống router của Cisco Việc kết hợp giữa MPLS và VPN cũng nằm trong xu thế này. Việc kết hợp này cho phép tận dụng các ưu điểm về chuyển mạch tiên tiến của MPLS với việc tạo ra các mạng riêng bảo mật dưới dạng các đường hầm của VPN. Đồng thời khắc phục được các nhược điểm của MPLS và VPN.

MỤC LỤC

MỤC LỤC i

DANH MỤC HÌNH VẼ ii

DANH MỤC BẢNG BIỂU iv

THUẬT NGỮ VIẾT TẮT v

LỜI NÓI ĐẦU viii

CHƯƠNG I 1

CÔNG NGHỆ MPLS-VPN 1

1.1 Giới thiệu chung về VPN 1

1.1.1 Khái niệm VPN 1

1.1.2 Chức năng và ưu điểm của VPN 2

1.1.2.1 Chức năng 2

1.1.2.2 Ưu điểm 3

1.1.3 Phân loại VPN 4

1.1.3.1 Mạng VPN truy nhập từ xa 5

1.1.3.2 Mạng VPN cục bộ 7

1.1.3.3 Mạng VPN mở rộng 8

1.1.3.4 Tại sao sử dụng công nghệ MPLS- VPN? 9

1.2 Giới thiệu chung về MPLS 11

1.2.1 Mô hình định tuyến lớp mạng 12

1.2.2 Công nghệ ATM và mô hình hướng kết nối 12

1.3 Các thành phần và hoạt động của MPLS 14

1.3.1 Nhãn 14

1.3.2 Mặt phẳng dữ liệu và điều khiển IP 16

1.3.3 Mặt phẳng điều khiển và mặt phẳng dữ liệu MPLS 17

1.4 Công nghệ MPLS-VPN 20

1.4.1 Các thành phần trong mạng MPLS-VPN 21

1.4.2 Mô hình định tuyến MPLS-VPN 22

1.4.3 Bảng định tuyến và chuyển tiếp ảo 23

1.5 Kết luận chương 23

CHƯƠNG II 25

GIẢI PHÁP TRIỂN KHAI MPLS-VPN 25

2.1 So sánh MPLS-VPN và các kỹ thuật VPN truyền thống 25

2.2 Bảo mật trong mạng MPLS-VPN 29

2.3 Chất lượng dịch vụ trong mạng MPLS-VPN 31

2.4 Khả năng mở rộng và các mô hình MPLS- VPN nâng cao 36

2.4.1 Mô hình MPLS-VPN Inter-AS 37

2.4.1.1 Kết nối giữa các nhà cung cấp với nhau 38

2.4.1.2 Kết nối giữa các AS với nhau sử dụng BGP 41

2.4.2 Mô hình Carrier hỗ trợ Carrier - CSC 41

2.5 Các giải pháp triển khai MPLS-VPN 44

2.5.1 Kết nối Internet và MPLS-VPN chia sẻ 44

2.5.2 Kết nối Internet và MPLS-VPN chia sẻ một phần 45

2.5.3 Kết nối Internet và MPLS-VPN tách biệt hoàn toàn 46

2.6 Kết luận chương 47

CHƯƠNG III 50

TRIỂN KHAI MPLS-VPN TRÊN HỆ THỐNG ROUTER CỦA CISCO 50

3.1 Các bước thực hiện cấu hình MPLS- VPN 50

3.2 Bài toán đặt ra và cách giải quyết 52

3.3 Triển khai MPLS-VPN trên hệ thống router của Cisco 54

3.3.1 Triển khai VPN trên hệ thống router của Cisco trong mô hình MPLS-VPN Inter AS 56

56

3.3.2 Triển khai VPN trên hệ thống router của Cisco trong mô hình MPLS-VPN CSC 61

Trong thực tế, có rất nhiều nhà cung cấp dịch vụ lớn cung cấp back bone của mình cho các nhà cung cấp dịch vụ nhỏ triển khai dịch vụ của mình trên đó Mô hình CsC là mô hình MPLS VPN phân tầng, cho phép một khách hàng có thể triển khai công nghệ MPLS VPN trên nền mạng MPLS VPN của một nhà cung cấp dịch vụ khác 61

3.4 Kết luận chương 67

KẾT LUẬN 67

Hiện nay ở Việt Nam các nhà cung cấp Internet lớn như VDC, Viettel, FPT,

đang đẩy nhanh xây dựng hệ thống mạng trục MPLS để cung cấp dịch vụ MPLS-VPN tới khách hàng Hầu hết các công ty, tổ chức mới thiết lập đường truyền đều hướng đến sử dụng MPLS-VPN thay vì các đường truyền khác Như vậy có thể thấy xu hướng kết nối mạng trong những năm tới chủ yếu sẽ là MPLS-VPN 67

Tuy nhiên còn rất nhiều vấn đề kỹ thuật phải quan tâm và phân tích khi xây dựng cấu hình để bảo đảm hoạt động của mạng Một trong những vấn đề quan trọng cần quan tâm đó là cần xác định nguyên tắc tổ chức của những nút LSR trong mạng, cần phân định rõ ràng giao diện và chức năng của từng thành phần thiết bị trong mạng lõi, mạng biên các vấn đề về kỹ thuật lưu lượng (MPLS-TE), các vấn đề về chất lượng dịch vụ (MPLS-QoS) Đặc biệt là triển khai thực tế việc liên kết mạng MPLS-VPN giữa các nhà cung cấp dịch vụ Đây là các vấn đề cần phát triển và hướng nghiên cứu tiếp theo của đồ án 67

TÀI LIỆU THAM KHẢO 68

PHỤ LỤC 69

Phụ lục A Cấu hình các router trong mô hình MPLS-VPN Inter AS 69

DANH MỤC HÌNH VẼ

Hình 1.1 Mô hình VPN 1

Hình 1.2 Mô hình mạng VPN truy nhập từ xa 6

Hình 1.3 Mô hình mạng VPN cục bộ 7

Hình 1.4 Mô hình mạng VPN mở rộng 8

Hình 1.5 Mô hình cung cấp dịch vụ VPN trên nền MPLS 10

Hình 1.6 Định dạng nhãn 15

Hình 1.7 Mặt phẳng điều khiển và mặt phẳng dữ liệu IP 16

Hình 1.8 Mặt phẳng điều khiển và dữ liệu MPLS 18

Hình 1.9 Các thành phần trong mạng MPLS-VPN 21

Hình 1.10 Chức năng router PE 23

Hình 2.1 Kết nối trong mạng VPN truyền thống 25

Hình 2.2 Mô hình ống QoS trong MPLS-VPN 33

Hình 2.3 Mô hình vòi QoS trong MPLS-VPN 34

Hình 2.4 Mô hình kết nối back-to-back VRF 39

Hình 2.5 Phân phối route giữa hai ASBR sử dụng giao thức external MP-BGP .39 Hình 2.7 Quá trình truyền route trong giải pháp BGP Confederation 41

Hình 2.8 Kết nối MPLS-VPN chia sẻ 45

Hình 2.9 Kết nối Internet và MPLS-VPN chia sẻ một phần 46

Hình 2.10 Kết nối Internet và MPLS-VPN tách biệt hoàn toàn 47

Hình 3.1 Các bước cấu hình MPLS- VPN 50

Hình 3.2 Cấu hình chuyển tiếp MPLS 50

Hình 3.3 Cấu hình giao thức định tuyến BGP trên các router PE 51

Hình 3.4 Định nghĩa VPN VRF và các thuộc tính của nó 51

Hình 3.5 Tạo MPLS-VPN từ CE1 đến CE2 52

Hình 3.6 Quá trình định tuyến và gán nhãn 53

Hình 3.7 Quá trình chuyển tiếp và đặt nhãn 54

Hình 3.7 Mô hình MPLS- VPN Inter AS 56

Hình 3.8 Giao diện GNS3 với mô hình MPLS-VPN Inter AS 58 Hình 3.9 Mô hình MPLS-VPN CSC 61 Hình 3.10 Giao diện GNS3 với mô hình MPLS-VPN CSC 63

DANH MỤC BẢNG BIỂUBảng 2.1 So sánh IP Sec-VPN và MPLS-VPN 28

THUẬT NGỮ VIẾT TẮT

A

ASBR Autonomous System Boundary Router

Bộ định tuyến biên trong

hệ tự trịATM Asynchronous Transfer Mode

Chế độ truyền dẫn không đồng bộ

B

BGP Border Gateway Protocol

Giao thức cổng đường biên

C

CAC Connection Admission Control

Điều khiển chấp nhận kết nối

CPE Customer Premise Equipment

Thiết bị khách hàng đầu tiên

CPU Central Processing Unit Khối xử lý trung tâm

DLCI Data Link Connection Identifer

Nhận dạng kết nối liên kết dữ liệu

DSL Digital Subscriber Line Đường dây thuê bao số

E

EGP External Gateway Protocol Giao thức cổng ngoài

F

FEC Fowarding Equivalent Class

Lớp chuyển tiếp tương đương

G

GRE Generic Routing Encapsulation Gói định tuyến chung

I

ICMP Internet Control Message Protocol

Giao thức bản tin điều khiển Internet

IETF Internet Engineering Task Force

Nhóm tác vụ kỹ thuật Internet

IGP Interior Gateway Protocol Giao thức cổng trongIntServ Integrated Service

Các dịch vụ được tích hợp

Intermediate System to Intermedia System

Hệ thống trung gian đến

hệ thống trung gianISP Internet Service Provider Nhà cung cấp dịch vụ

L

L2TP Layer 2 Tunneling Protocol

Giao thức đường hầm lớp 2

LDP Label Distribution Protocol Giao thức phân bổ nhãn

LFIB Label Forwarding Information Base

Cơ sở thông tin chuyển tiếp nhãn

LSP Label Switched Path

Đường dẫn chuyển mạch nhãn

LSR Label Switch Router

Bộ định tuyến chuyển mạch nhãn

M

MP-iBGP Multi-protocol- iBGP Đa giao thức iBGP

MPLS Multiprotocol Label Switching

Chuyển mạch nhãn đa giao thức

MTU Maximum Transmission Unit Đơn vị truyền dẫn tối đa

O

OSPF Open Shortest Path First

Giao thức đường đi ngắn nhất đầu tiên

P

PBX Private Branch Exchange Tổng đài nhánh riêng

PPTP Point-to-Point Tunneling Protocol

Giao thức đường hầm điểm tới điểm

Q

QoS Quality of Service Chất lượng dịch vụ

R

RD Route Distinguisher Tham số phân biệt tuyến

RSVP Resource Resevation Protocol

Giao thức dành trước tài nguyên

T

TCP Transission Control Protocol

Giao thức điều khiển truyền dẫn

TDP Tag Distribution Protocol Giao thức phân phối thẻ

TE Traffic Engineering Kỹ thuật lưu lượng

V

VCI Virtual Circuit Identifier Nhận dạng kênh ảo

VNPT Vietnam Post & Telecommunications

Tổng công ty BCVT Việt Nam

VPI Virtual Path Identifier Nhận dạng đường ảoVPN Virtual Private Network Mạng riêng ảo

VRF Virtual Routing Forwarding

Định tuyến chuyển tiếp ảo

W

LỜI NÓI ĐẦU

Sự phát triển nhanh chóng các dịch vụ IP và sự bùng nổ của Internet hiện nay

đã dẫn đến một loạt sự thay đổi trong nhận thức cũng như kinh doanh của các nhà khai thác Giao thức IP thống trị toàn bộ các giao thức lớp 3 Hệ quả là tất cả các xu hướng phát triển đều hướng vào IP, lưu lượng lớn nhất hiện nay trên mạng trục hầu hết đều là lưu lượng IP, dẫn đến các công nghệ lớp dưới đều có xu hướng hỗ trợ các dịch vụ IP Nhu cầu thị trường cấp bách cho mạng tốc độ cao và bảo mật là cơ sở cho một loạt các công nghệ, trong đó có MPLS-VPN

Thông thường, mỗi công nghệ đều có ưu điểm và nhược điểm riêng Vì thế, việc kết hợp các công nghệ để tập hợp các ưu điểm của các công nghệ này cũng như khắc phục các nhược điểm của từng công nghệ là hướng nghiên cứu phát triển của các nhà cung cấp dịch vụ, việc kết hợp này nhằm đưa ra một công nghệ tương đối hoàn thiện để cung cấp tới khách hàng Điều này phù hợp với xu hướng tích hợp công nghệ trong thời đại ngày nay

Việc kết hợp giữa MPLS và VPN cũng nằm trong xu thế này Việc kết hợp này cho phép tận dụng các ưu điểm về chuyển mạch tiên tiến của MPLS với việc tạo ra các mạng riêng bảo mật dưới dạng các đường hầm của VPN Đồng thời khắc phục được các nhược điểm của MPLS và VPN

Đồ án đặt vấn đề nghiên cứu giải pháp kết hợp MPLS và VPN, trên cơ sở đó đề xuất giải pháp triển khai dịch vụ mạng riêng ảo trên nền công nghệ chuyển mạch nhãn

đa giao thức áp dụng cho thực tế

Đồ án chia làm 3 chương được tóm tắt như sau:

Chương I: Công nghệ MPLS- VPN: Giới thiệu về công nghệ VPN, MPLS Các

thành phần và hoạt động của MPLS-VPN

Chương II: So sánh MPLS-VPN với các kỹ thuật VPN truyền thống Các vấn

đề về bảo mật và chất lượng dịch vụ trong mạng MPLS- VPN Đưa ra khả năng mở rộng và các mô hình MPLS-VPN nâng cao Giải pháp triển khai MPLS-VPN

Chương III: Triển khai MPLS-VPN trên hệ thống router của Cisco

Do nhiều mặt còn hạn chế nên nội dung của đề tài không tránh khỏi những sai sót Và trong quá trình tìm hiểu cũng mang nhiều tính chủ quan trong nhìn nhận nên không tránh khỏi những hạn chế Em rất mong nhận được ý kiến đóng góp của các thầy cô và bạn đọc.

Em xin chân thành cảm ơn các thầy cô giáo đã tạo điều kiện tốt trong quá trình

em thực hiện đồ án Đặc biệt, em xin cảm ơn sự quan tâm của thạc sỹ Nguyễn Đình Long đã tận tình hướng dẫn và giúp đỡ em để em có thể hoàn thành đồ án này

Em xin chân thành cảm ơn!

Sinh viên thực hiện

Nguyễn Thị Tới

CHƯƠNG I CÔNG NGHỆ MPLS-VPN 1.1 Giới thiệu chung về VPN

1.1.1 Khái niệm VPN

Mạng riêng ảo VPN được định nghĩa là một kết nối mạng triển khai trên cơ sở

hạ tầng mạng công cộng (như mạng Internet) với các chính sách quản lý và bảo mật giống như mạng cục bộ

Hình 1.1 Mô hình VPN

Các thuật ngữ dùng trong VPN như sau:

• Virtual- nghĩa là kết nối là động, không được gắn cứng và tồn tại như một kết

nối khi lưu lượng mạng chuyển qua Kết nối này có thể thay đổi và thích ứng với nhiều môi trường khác nhau và có khả năng chịu đựng những khuyết điểm của mạng Internet Khi có yêu cầu kết nối thì nó được thiết lập và duy trì bất chấp cơ

sở hạ tầng mạng giữa những điểm đầu cuối

• Private- nghĩa là dữ liệu truyền luôn luôn được giữ bí mật và chỉ có thể bị truy

cập bởi những nguời sử dụng được trao quyền Điều này rất quan trọng bởi vì giao

thức Internet ban đầu TCP/IP- không được thiết kế để cung cấp các mức độ bảo mật Do đó, bảo mật sẽ được cung cấp bằng cách thêm phần mềm hay phần cứng VPN.

• Network- là thực thể hạ tầng mạng giữa những người sử dụng đầu cuối, những

trạm hay những node để mang dữ liệu Sử dụng tính riêng tư, công cộng, dây dẫn,

vô tuyến, Internet hay bất kỳ tài nguyên mạng dành riêng khác sẵn có để tạo nền mạng

Khái niệm mạng riêng ảo VPN không phải là khái niệm mới, chúng đã từng được sử dụng trong các mạng điện thoại trước đây nhưng do một số hạn chế mà công nghệ VPN chưa có được sức mạnh và khả năng cạnh tranh lớn Trong thời gian gần đây, do sự phát triển của mạng thông minh, cơ sở hạ tầng mạng IP đã làm cho VPN thực sự có tính mới mẻ VPN cho phép thiết lập các kết nối riêng với những người dùng ở xa, các văn phòng chi nhánh của công ty và đối tác của công ty đang sử dụng chung một mạng công cộng

1.1.2 Chức năng và ưu điểm của VPN

1.1.2.1 Chức năng

VPN cung cấp ba chức năng chính đó là: tính xác thực (Authentication), tính toàn vẹn (Integrity) và tính bảo mật (Confidentiality)

• Tính xác thực : Để thiết lập một kết nối VPN thì trước hết cả hai phía phải xác

thực lẫn nhau để khẳng định rằng mình đang trao đổi thông tin với người mình mong muốn chứ không phải là một người khác

• Tính toàn vẹn : Đảm bảo dữ liệu không bị thay đổi hay đảm bảo không có bất

kỳ sự xáo trộn nào trong quá trình truyền dẫn

• Tính bảo mật : Người gửi có thể mã hoá các gói dữ liệu trước khi truyền qua

mạng công cộng và dữ liệu sẽ được giải mã ở phía thu Bằng cách làm như vậy, không một ai có thể truy nhập thông tin mà không được phép Thậm chí nếu có lấy được thì cũng không đọc được

1.1.2.2 Ưu điểm

VPN mang lại lợi ích thực sự và tức thời cho các công ty Có thể dùng VPN không chỉ để đơn giản hoá việc thông tin giữa các nhân viên làm việc ở xa, người dùng lưu động, mở rộng Intranet đến từng văn phòng, chi nhánh, thậm chí triển khai Extranet đến tận khách hàng và các đối tác chủ chốt mà còn làm giảm chi phí cho công việc trên thấp hơn nhiều so với việc mua thiết bị và đường dây cho mạng WAN riêng Những lợi ích này dù trực tiếp hay gián tiếp đều bao gồm: Tiết kiệm chi phí (cost saving), tính mềm dẻo (flexibility), khả năng mở rộng (scalability) và một số ưu điểm khác

• Tiết kiệm chi phí

Việc sử dụng một VPN sẽ giúp các công ty giảm được chi phí đầu tư và chi phí thường xuyên Tổng giá thành của việc sở hữu một mạng VPN sẽ được thu nhỏ, do chỉ phải trả ít hơn cho việc thuê băng thông đường truyền, các thiết bị mạng đường trục và duy trì hoạt động của hệ thống Giá thành cho việc kết nối LAN-to-LAN giảm từ 20% tới 30% so với việc sử dụng đường thuê riêng truyền thống Còn đối với việc truy cập

từ xa giảm từ 60% tới 80%

• Tính linh hoạt

Tính linh hoạt ở đây không chỉ là linh hoạt trong quá trình vận hành và khai thác mà nó còn thực sự mềm dẻo đối với yêu cầu sử dụng Khách hàng có thể sử dụng kết nối T1, T3 giữa các văn phòng và nhiều kiểu kết nối khác cũng có thể được sử dụng để kết nối các văn phòng nhỏ, các đối tượng di động Nhà cung cấp dịch vụ VPN

có thể cung cấp nhiều lựa chọn cho khách hàng, có thể là kết nối modem 56 kbit/s, ISDN 128 kbit/s, xDSL, T1, T3 …

• Khả năng mở rộng

Do VPN được xây dựng dựa trên cơ sở hạ tầng mạng công cộng (Internet), bất

cứ ở nơi nào có mạng công cộng là đều có thể triển khai VPN Mà mạng công cộng có mặt ở khắp mọi nơi nên khả năng mở rộng của VPN là rất linh động Một cơ quan ở xa

có thể kết nối một cách dễ dàng đến mạng của công ty bằng cách sử dụng đường dây

điện thoại hay DSL…Và mạng VPN dễ dàng gỡ bỏ khi có nhu cầu

Khả năng mở rộng băng thông là khi một văn phòng, chi nhánh yêu cầu băng thông lớn hơn thì nó có thể được nâng cấp dễ dàng

• Giảm thiểu các hỗ trợ kỹ thuật

Việc chuẩn hoá trên một kiểu kết nối từ đối tượng di động đến một POP của ISP và việc chuẩn hoá các yêu cầu về bảo mật đã làm giảm thiểu nhu cầu về nguồn hỗ trợ kỹ thuật cho mạng VPN Và ngày nay, khi mà các nhà cung cấp dịch vụ đảm nhiệm các nhiệm vụ hỗ trợ mạng nhiều hơn thì những yêu cầu hỗ trợ kỹ thuật đối với người sử dụng ngày càng giảm

• Giảm thiểu các yêu cầu về thiết bị

Bằng việc cung cấp một giải pháp đơn cho các xí nghiệp truy cập bằng quay số truy cập Internet, VPN yêu cầu về thiết bị ít hơn, đơn giản hơn nhiều so với việc bảo trì các modem riêng biệt, các card tương thích (adapter) cho các thiết bị đầu cuối và các máy chủ truy cập từ xa Một doanh nghiệp có thể thiết lập các thiết bị khách hàng cho một môi trường đơn, như môi trường T1, với phần còn lại của kết nối được thực hiện bởi ISP Bộ phận T1 có thể làm việc thiết lập kết nối WAN và duy trì bằng cách thay đổi dải modem và các mạch nhân của Frame Relay bằng một kết nối diện rộng đơn có thể đáp ứng nhu cầu lưu lượng của các người dùng từ xa, kết nối LAN-LAN và lưu lượng Internet cùng một lúc

• Đáp ứng các nhu cầu thương mại

Các sản phẩm dịch vụ VPN tuân theo chuẩn chung hiện nay, một phần để đảm bảo khả năng làm việc của sản phẩm nhưng có lẽ quan trọng hơn là để sản phẩm của nhiều nhà cung cấp khác nhau có thể làm việc với nhau

Đối với các thiết bị và Công nghệ Viễn thông mới thì vấn đề cần quan tâm là chuẩn hoá, khả năng quản trị, khả năng mở rộng, khả năng tích hợp mạng, tính kế thừa, độ tin cậy và hiệu suất hoạt động, đặc biệt là khả năng thương mại của sản phẩm

1.1.3 Phân loại VPN

Mục tiêu đặt ra đối với công nghệ mạng VPN là thoả mãn ba yêu cầu cơ bản sau:

 Tại mọi thời điểm, các nhân viên của công ty có thể truy nhập từ xa hoặc di động vào mạng nội bộ của công ty.

 Nối liền các chi nhánh, văn phòng di động

 Khả năng điều khiển được quyền truy nhập của khách hàng, các nhà cung cấp dịch vụ hoặc các đối tượng bên ngoài khác

Dựa vào những yêu cầu cơ bản trên, mạng riêng ảo VPN được phân làm ba loại:

 Mạng VPN truy nhập từ xa (Remote Access VPN)

VPN truy nhập từ xa mở rộng mạng công ty tới những người sử dụng thông qua

cơ sở hạ tầng chia sẻ chung, trong khi những chính sách mạng công ty vẫn duy trì Chúng có thể dùng để cung cấp truy nhập an toàn từ những thiết bị di động, những người sử dụng di động, những chi nhánh và những bạn hàng của công ty Những kiểu VPN này được thực hiện thông qua cơ sở hạ tầng công cộng bằng cách sử dụng công nghệ ISDN, quay số, IP di động, DSL và công nghệ cáp, và thường yêu cầu một vài kiểu phần mềm client chạy trên máy tính của người sử dụng

Hình 1.2 Mô hình mạng VPN truy nhập từ xa

Các ưu điểm của mạng VPN truy nhập từ xa so với các phương pháp truy nhập

từ xa truyền thống như:

 Mạng VPN truy nhập từ xa không cần sự hỗ trợ của nhân viên mạng bởi

vì quá trình kết nối từ xa được các ISP thực hiện

 Giảm được các chi phí cho kết nối từ khoảng cách xa bởi vì các kết nối khoảng cách xa được thay thế bởi các kết nối cục bộ thông qua mạng Internet

 Cung cấp dịch vụ kết nối giá rẻ cho những người sử dụng ở xa

 Bởi vì các kết nối truy nhập là nội bộ nên các Modem kết nối hoạt động

ở tốc độ cao hơn so với các truy nhập khoảng cách xa

 VPN cung cấp khả năng truy nhập tốt hơn đến các site của công ty bởi vì chúng hỗ trợ mức thấp nhất của dịch vụ kết nối

Mặc dù có nhiều ưu điểm nhưng mạng VPN truy nhập từ xa vẫn còn những nhược điểm cố hữu đi cùng như:

 Mạng VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo QoS

 Nguy cơ bị mất dữ liệu cao Hơn nữa, nguy cơ các gói có thể bị phân phát không đến nơi hoặc mất gói

 Bởi vì thuật toán mã hoá phức tạp, nên tiêu đề giao thức tăng một cách đáng kể

1.1.3.2 Mạng VPN cục bộ

Các VPN cục bộ được sử dụng để bảo mật các kết nối giữa các địa điểm khác nhau của một công ty Mạng VPN liên kết trụ sở chính, các văn phòng, chi nhánh trên một cơ sở hạ tầng chung sử dụng các kết nối luôn được mã hoá bảo mật Điều này cho phép tất cả các địa điểm có thể truy nhập an toàn các nguồn dữ liệu được phép trong toàn bộ mạng của công ty

Những VPN này vẫn cung cấp những đặc tính của mạng WAN như khả năng

mở rộng, tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phí thấp nhưng vẫn đảm bảo tính mềm dẻo Kiểu VPN này thường được cấu hình như là một VPN Site- to- Site

Hình 1.3 Mô hình mạng VPN cục bộ

Những ưu điểm chính của mạng cục bộ dựa trên giải pháp VPN bao gồm:

 Các mạng lưới cục bộ hay toàn bộ có thể được thiết lập (với điều kiện mạng thông qua một hay nhiều nhà cung cấp dịch vụ)

 Giảm được số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi xa

 Bởi vì những kết nối trung gian được thực hiện thông qua mạng Internet, nên

nó có thể dễ dàng thiết lập thêm một liên kết ngang cấp mới

 Tiết kiệm chi phí thu được từ những lợi ích đạt được bằng cách sử dụng đường ngầm VPN thông qua Internet kết hợp với công nghệ chuyển mạch tốc độ cao Ví dụ như công nghệ Frame Relay, ATM

Tuy nhiên mạng cục bộ dựa trên giải pháp VPN cũng có những nhược điểm đi cùng như:

 Bởi vì dữ liệu được truyền “ngầm” qua mạng công cộng – mạng Internet – cho nên vẫn còn những mối “đe dọa” về mức độ bảo mật dữ liệu và mức độ chất lượng dịch vụ (QoS)

 Khả năng các gói dữ liệu bị mất trong khi truyền dẫn vẫn còn khá cao

 Trường hợp truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêu cầu truyền dẫn tốc độ cao và đảm bảo thời gian thực là thách thức lớn trong môi trường Internet

1.1.3.3 Mạng VPN mở rộng

Không giống như mạng VPN cục bộ và mạng VPN truy nhập từ xa, mạng VPN

mở rộng không bị cô lập với “thế giới bên ngoài” Thực tế mạng VPN mở rộng cung cấp khả năng điều khiển truy nhập tới những nguồn tài nguyên mạng cần thiết để mở rộng những đối tượng kinh doanh như là các đối tác, khách hàng, và các nhà cung cấp…

Hình 1.4 Mô hình mạng VPN mở rộng

Các VPN mở rộng cung cấp một đường hầm bảo mật giữa các khách hàng, các nhà cung cấp và các đối tác qua một cơ sở hạ tầng công cộng Kiểu VPN này sử dụng các kết nối luôn luôn được bảo mật và được cấu hình như một VPN Site–to–Site Sự

khác nhau giữa một VPN cục bộ và một VPN mở rộng đó là sự truy cập mạng được công nhận ở một trong hai đầu cuối của VPN

Những ưu điểm chính của mạng VPN mở rộng:

 Chi phí cho mạng VPN mở rộng thấp hơn rất nhiều so với mạng truyền thống

 Dễ dàng thiết lập, bảo trì và dễ dàng thay đổi đối với mạng đang hoạt động

 Vì mạng VPN mở rộng được xây dựng dựa trên mạng Internet nên có nhiều

cơ hội trong việc cung cấp dịch vụ và chọn lựa giải pháp phù hợp với các nhu cầu của mỗi công ty hơn

 Bởi vì các kết nối Internet được nhà cung cấp dịch vụ Internet bảo trì, nên giảm được số lượng nhân viên kỹ thuật hỗ trợ mạng, do vậy giảm được chi phí vận hành của toàn mạng

Bên cạnh những ưu điểm ở trên giải pháp mạng VPN mở rộng cũng còn những nhược điểm đi cùng như:

 Khả năng bảo mật thông tin, mất dữ liệu trong khi truyền qua mạng công cộng vẫn tồn tại

 Truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêu cầu truyền dẫn tốc độ cao và đảm bảo thời gian thực, là thách thức lớn trong môi trường Internet

 Làm tăng khả năng rủi ro đối với các mạng cục bộ của công ty

1.1.3.4 Tại sao sử dụng công nghệ MPLS- VPN?

Xu hướng toàn cầu hóa đã buộc các doanh nghiệp, các tổ chức ngày càng phải hiệu quả hóa hệ thống thông tin của chính mình Các Công ty lớn, các tập đoàn xuyên quốc gia hiện nay thường có hệ thống trụ sở, chi nhánh rải rộng trên khắp thế giới Một số ngành đặc thù như viễn thông, ngân hàng, tài chính…nhu cầu kết nối, giao dịch thông tin giữa các chi nhánh, giữa Công ty và các đối tác là rất lớn Do đó việc phải sử dụng một mạng kết nối - trao đổi thông tin riêng (WAN) trong nội bộ Công ty

có nhiều chi nhánh là vô cùng quan trọng Việc kết nối các Công ty, tổ chức với nhau

bằng phương thức bảo mật, tin cậy cũng có ý nghĩa quan trọng vì các thông tin trao đổi

có nhiều thông tin nhạy cảm như chiến lược kinh doanh, kế hoạch tài chính,…

Để đảm bảo các thông tin truyền đi giữa các khu vực địa lý khác nhau được bảo mật, điều kiện tiên quyết cần phải có mạng đường trục đáp ứng được các yêu cầu về bảo mật, vì dữ liệu khi được lưu chuyển trên mạng diện rộng dễ bị lộ nhất Do đó việc xây dựng mạng đường trục có độ ổn định và an toàn cao luôn là yếu tố quan trọng với các nhà cung cấp dịch vụ Internet

Với các công nghệ mạng trước đây như Leased Line hoặc Frame Relay hoặc VPN, để kết nối giữa các chi nhánh với Văn phòng, doanh nghiệp sẽ phải đầu tư chi phí rất lớn về cả thiết bị mạng cũng như chi phí sử dụng Tuy nhiên, do hạn chế về công nghệ, công nghệ mạng truyền thống này rất phức tạp, khó quản trị, và khả năng

mở rộng mạng khó khăn

Giải pháp MPLS-VPN được ứng dụng triển khai với mục tiêu tạo ra một giải

pháp mạng an toàn bảo mật tối ưu, độ trễ thấp, và tích hợp với mọi ứng dụng dữ liệu như Data, Voice, Video…

Hình 1.5 Mô hình cung cấp dịch vụ VPN trên nền MPLS

Khác với các công nghệ VPN trên Internet (PPTP, L2TP, VPN IPsec), cơ chế

“đường hầm” được thiết lập hoàn toàn trong MPLS core của nhà cung cấp dịch vụ

Mỗi kết nối VPN sẽ thiết lập một “đường hầm” riêng biệt bằng cơ chế gán nhãn và chuyển tiếp gói IP Mỗi kết nối VPN chỉ nhận một giá trị nhãn duy nhất do thiết bị định tuyến MPLS trong mạng cung cấp, do vậy, mỗi “đường hầm” trong MPLS core

là riêng biệt hoàn toàn Với khả năng che giấu địa chỉ mạng lõi (MPLS core), mọi tấn công mạng (Hacker) như DDoS, IP snoofing, Label snoofing sẽ được giảm thiểu tối đa

Các ưu điểm nổi bật của công nghệ MPLS-VPN trong mạng đường trục:

 Đáp ứng mô hình điểm – đa điểm: Cho phép kết nối mạng riêng với

chỉ 1 đường kênh vật lý duy nhất

 Bảo mật an toàn: Bảo mật tuyệt đối trên mạng MPLS core

 Khả năng mở rộng đơn giản: Mọi cấu hình kết nối đều thực hiện tại

mạng MPLS core, thành viên mạng không cần bất kì một cấu hình nào

 Tốc độ cao, đa ứng dụng và cam kết QoS: MPLS-VPN cho phép

chuyển tải dữ liệu lên tới tốc độ Gbps qua hệ thống truyền dẫn cáp quang Không chỉ

là Data, MPLS-VPN có thể triển khai đầy đủ các ứng dụng về thời gian thực như VoIP, Video Conferencing với độ trễ thấp nhất Cung cấp các khả năng cam kết tốc

độ và băng thông tối thiểu ( QoS)

Công nghệ MPLS có thể sử dụng kết hợp với nhiều công nghệ khác như IP, ATM, tuy nhiên ứng dụng đáng chú ý nhất hiện nay là sử dụng MPLS trong mạng IP

để xây dựng mạng riêng ảo phục vụ cho nhu cầu kết nối của các tổ chức và doanh nghiệp Với khả năng quản lý và mở rộng dễ dàng và dựa trên cơ sở hạng tầng Internet hiện có, ứng dụng này đang được phát triển rất mạnh mẽ tại nhiều khối ngành: các doanh nghiệp, các tổ chức tài chính, ngân hàng…đặc biệt là các tổ chức yêu cầu độ tin cậy và bảo mật dữ liệu ở mức cao

Đây chính là các cơ sở thực tế để đồ án chọn nghiên cứu giải pháp triển khai MPLS-VPN

1.2 Giới thiệu chung về MPLS

Chuyển tiếp gói IP truyền thống phân tích địa chỉ IP đích chứa trong tiêu đề của

trong mạng Giao thức định tuyến động hay tĩnh khi xây dựng cơ sở dữ liệu cần phải phân tích địa chỉ IP đích tạo ra bảng định tuyến Quá trình này gọi là định tuyến unicast từng chặng dựa trên đích đến của các gói tin Việc định tuyến bằng các giao thức phi kết nối đáp ứng được nhu cầu đơn giản của khách hàng Khi mạng Internet phát triển và mở rộng, lưu lượng Internet trên mạng bùng nổ, phương thức chuyển tiếp gói hiện tại tỏ ra không hiệu quả, mất tính linh hoạt Do đó cần một kỹ thuật mới để gán địa chỉ và mở rộng các chức năng của cấu trúc mạng dựa trên IP.

MPLS là kết quả của quá trình phát triển nhiều giải pháp chuyển mạch IP với những cố gắng kết hợp các ưu điểm của cả hai công nghệ IP và ATM

1.2.1 Mô hình định tuyến lớp mạng

Trong môi trường phi kết nối truyền thống không phải sử dụng các bản tin báo hiệu để thiết lập kết nối, phương thức chuyển tin là chuyển từng chặng một Tất cả các gói tin được chuyển đi dựa trên các giao thức định tuyến lớp mạng (như giao thức tìm đường ngắn nhất [OSPF] hay giao thức cổng biên [BGP]), hay định tuyến tĩnh Các router xử lí tất cả các gói tin như nhau và có quyền huỷ bỏ các gói tin mà không cần bất kì thông báo nào cho cả bên gửi và bên nhận Chính vì vậy, IP chỉ cung cấp các dịch vụ đặc biệt với “nỗ lực tối đa” chứ không thích hợp cho các dịch vụ có yêu cầu nghiêm ngặt về QoS Cơ chế phi kết nối gây khó khăn trong việc điều khiển luồng và phân bổ lưu lượng mạng làm tắc nghẽn tại các nút mạng Các nhà cung cấp dịch vụ Internet (ISP) xử lý bằng cách tăng dung lượng các kết nối và nâng cấp router nhưng hiện tượng nghẽn mạch vẫn xảy ra Lý do là các giao thức định tuyến Internet thường hướng lưu lượng vào cùng một số các kết nối nhất định dẫn tới các kết nối này bị quá tải trong khi một số khu vực khác tài nguyên không được sử dụng Đây là tình trạng phân bố tải không đồng đều và sử dụng lãng phí tài nguyên mạng Tuy nhiên, bên cạnh hạn chế như vậy, mô hình phi kết nối cũng có những ưu điểm, đó là: khả năng định tuyến gói tin một cách độc lập và cơ cấu định tuyến, chuyển tin đơn giản, hiệu quả, nên mô hình phi kết nối rất phù hợp với các luồng có thời gian kết nối chậm

1.2.2 Công nghệ ATM và mô hình hướng kết nối

ATM là công nghệ chuyển mạch hướng kết nối, tức là kết nối từ điểm đầu đến điểm cuối phải được thiết lập trước khi thông tin được gửi đi Việc tạo kết nối mạch ảo

có thể đạt hiệu quả trong mạng nhỏ, nhưng đối với mạng lớn thì những vấn đề có thể xảy ra: Mỗi khi một router mới đưa vào mạng lõi WAN thì mạch ảo phải được thiết lập giữa router này với các router còn lại để đảm bảo việc định tuyến tối ưu Điều này làm lưu lượng định tuyến trong mạng tăng Thông thường việc thiết lập kết nối này được thực hiện bởi giao thức báo hiệu Giao thức này cung cấp các thông tin trạng thái liên quan đến kết nối cho các chuyển mạch nằm trên đường đã định tuyến Chức năng điều khiển chấp nhận kết nối CAC đảm bảo rằng các tài nguyên liên quan đến kết nối hiện tại sẽ không được đưa vào để sử dụng cho các kết nối mới Điều này buộc mạng phải duy trì trạng thái của từng kết nối (bao gồm thông tin về sự tồn tại của kết nối và tài nguyên mà kết nối đó sử dụng) tại các node có dữ liệu đi qua Việc lựa chọn tuyến được thực hiện dựa trên các yêu cầu về QoS đối với kết nối và dựa trên khả năng của thuật toán định tuyến trong việc tính toán các tuyến có khả năng đáp ứng các yêu cầu QoS đó Do khả năng nhận dạng mạng, khả năng cô lập từng kết nối với các tài nguyên liên quan đến kết nối trong suốt thời gian tồn tại của kết nối mà môi trường hướng kết nối có thể đảm bảo chất lượng cho từng luồng thông tin Mạng sẽ giám sát từng kết nối, thực hiện định tuyến lại trong trường hợp có sự cố và việc thực hiện định tuyến lại này cũng phải thông qua báo hiệu.

Từ cơ chế truyền tin ta thấy mạng hướng kết nối thích hợp với các ứng dụng yêu cầu phải đảm bảo QoS một cách nghiêm ngặt và các ứng dụng có thời gian kết nối lớn Đối với các ứng dụng có thời gian kết nối ngắn thì môi trường hướng kết nối dường như không thích hợp do thời gian để thiết lập kết nối cũng như tỉ lệ phần thông tin header lớn Với các loại lưu lượng như vậy thì môi trường phi kết nối với phương thức định tuyến đơn giản, tránh phải sử dụng các giao thức báo hiệu phức tạp sẽ phù hợp hơn

Như vậy cần có một phương thức chuyển mạch có thể phối hợp ưu điểm của IP (như cơ cấu định tuyến) và của ATM (như phương thức chuyển mạch) Để thực sự phù hợp với mạng đa dịch vụ thì cả hai công nghệ ATM và IP đều phải có những thay đổi,

cụ thể là đưa thêm khả năng phi kết nối vào công nghệ ATM, và khả năng hướng kết nối vào công nghệ IP

1.3 Các thành phần và hoạt động của MPLS

Phương pháp chuyển mạch nhãn giúp các bộ định tuyến ra quyết định theo nội dung nhãn tốt hơn việc định tuyến phức tạp theo địa chỉ IP đích MPLS là một công nghệ kết hợp đặc điểm tốt nhất giữa định tuyến lớp ba và chuyển mạch lớp hai cho phép chuyển tải gói tin rất nhanh trong mạng lõi (core) và định tuyến tốt ở mạng biên (edge) bằng cách dựa vào nhãn MPLS là một phương pháp cải tiến việc chuyển tiếp gói tin trên mạng bằng các nhãn được gắn với mỗi gói IP, tế bào ATM, hoặc frame lớp hai MPLS cho phép các ISP cung cấp nhiều dịch vụ khác nhau mà không cần phải bỏ

đi nền tảng cơ sở hạ tầng sẵn có Cấu trúc MPLS có tính mềm dẻo trong sự phối hợp với các công nghệ hiện đang sử dụng MPLS hỗ trợ mọi giao thức lớp 2 và triển khai hiệu quả các dịch vụ IP trên một mạng chuyển mạch IP MPLS hỗ trợ việc tạo ra các tuyến khác nhau giữa nguồn và đích trên một đường trục Internet, bằng việc tích hợp MPLS vào kiến trúc mạng Các ISP có thể giảm chi phí và tăng lợi nhuận, cung cấp nhiều dịch vụ khác nhau và đạt được hiệu quả cạnh tranh cao Đặc điểm của mạng sử dụng công nghệ MPLS đó là:

 MPLS chỉ nằm trên các bộ định tuyến

 Không có thành phần giao thức phía khách hàng

 MPLS là một giao thức độc lập có thể hoạt động cùng với các giao thức khác

IP, IPX, ATM, Frame Relay…

 MPLS làm đơn giản hóa quá trình định tuyến và làm tăng tính linh động của tầng trung gian

Điểm khác biệt quan trọng giữa MPLS và kỹ thuật WAN truyền thống là cách gán nhãn và khả năng gán một chồng nhãn (stack of label) vào gói tin Khái niệm chồng nhãn mở ra những ứng dụng mới, như quản lý lưu lượng, mạng riêng ảo

1.3.1 Nhãn

Nhãn là một thực thể có độ dài ngắn và không có cấu trúc bên trong Nhãn không trực tiếp mã hoá thông tin của mào đầu lớp mạng như địa chỉ lớp mạng Nhãn được gán vào một gói tin cụ thể sẽ đại diện cho FEC (Forwarding Equivalence Class- lớp chuyển tiếp tương đương) mà gói tin đó được ấn định

Dạng của nhãn phụ thuộc vào phương thức truyền gói tin của lớp 2 Ví dụ các

tế bào ATM sử dụng giá trị VPI/VCI như nhãn, Frame Relay sử dụng DLCI làm nhãn Đối với các phương tiện gốc không có cấu trúc nhãn, một trường đệm được chèm thêm vào để sử dụng làm nhãn Khuôn dạng trường đệm 4 byte có cấu trúc như sau:

Hình 1.6 Định dạng nhãn

Ý nghĩa của các trường như sau:

 Label: có độ dài 20 bit, chứa giá trị nhãn MPLS

 EXP: có độ dài 3 bit, biểu thị nhóm dịch vụ, tác động đến thuật toán xếp hàng đợi và loại bỏ với gói tin

 S : có độ dài 1 bit MPLS cung cấp khả năng sử dụng ngăn xếp nhãn, có nghĩa là nhiều nhãn được gắn vào một gói tin Khi một nhãn chứa bit S có giá trị 1 thì nó là nhãn cuối cùng, nằm ở đáy của ngăn xếp nhãn (tính theo chiều từ mào đầu lớp 2 đến mào đầu lớp 3) Thao tác định tuyến được thực hiện dựa trên thông tin của nhãn nằm trên đỉnh ngăn xếp

 TTL: có độ dài 8 bit, có chức năng giống trường TTL trong mào đầu gói IP,

nó quyết định số nút trên mạng mà gói tin có thể đi qua trước khi bị loại bỏ nhằm tránh sự quay vòng của gói tin trên mạng Đối với các khung PPP hay Ethernet giá trị nhận dạng giao thức được chèn thêm vào đầu mào khung tương ứng để thông báo khung là MPLS unicast hay multicast

Nhãn được gắn thêm vào gói tin IP khi gói đi vào mạng MPLS Nhãn được tách

ra khi gói ra khỏi mạng MPLS Nhãn được chèn vào giữa tiếp đầu lớp ba và tiếp đầu lớp 2 Sử dụng nhãn trong quá trình gửi gói sau khi đã thiết lập đường đi MPLS tập trung vào quá trình hoán đổi nhãn Một trong những thế mạnh của MPLS là tự định nghĩa chồng nhãn

Chuyển tiếp gói tin trong MPLS hoàn toàn tương phản với môi trường mạng vô hướng ngày nay, nơi mà các gói tin được phân tích theo từng chặng (hop-by-hop), tiếp đầu lớp 3 được kiểm tra, và một quyết định chuyển tiếp độc lập được tạo ra dựa trên thông tin được trích ra từ giải thuật định tuyến lớp mạng.

1.3.2 Mặt phẳng dữ liệu và điều khiển IP

Trong môi trường mạng IP, mặt phẳng điều khiển là tập hợp phần mềm và hoặc phần cứng trong các bộ định tuyến, và thường được dùng để điều khiển các hoạt động của mạng như định tuyến, khôi phục khi có lỗi Công việc của mặt phẳng điều khiển

là cung cấp các dịch vụ cho mặt phẳng dữ liệu Đây là mặt phẳng chịu trách nhiệm truyền dữ liệu qua bộ định tuyến

Hình 1.7 Mặt phẳng điều khiển và mặt phẳng dữ liệu IP

Trên các giao thức Internet, các mặt phẳng điều khiển chính là các giao thức định tuyến (OSPF, IS-IS, BGP, ) cho phép IP (trong mặt phẳng dữ liệu) có thể được chuyển tiếp đúng Các bản tin điều khiển được thay đổi giữa các router để thực hiện một loạt các công việc khác nhau, bao gồm:

 Trao đổi các bản tin giữa các nút để thiết lập một sự nhất trí về các tham

số định tuyến (bao gồm cả sự đồng ý về bảo mật)

 Trao đổi các bản tin một cách tuần hoàn để biết chắc là nút láng giềng đang hoạt động hay không

 Trao đổi các bản tin quảng bá địa chỉ và định tuyến để xây dựng các bảng định tuyến sử dụng cho mục đích chuyển tiếp IP.

Trong hình 1.7 mũi tên chỉ từ mặt phẳng điều khiển đến bảng định tuyến có nghĩa rằng con đường định tuyến được tìm ra bởi các giao thức định tuyến được lưu trữ trong bảng định tuyến Mũi tên hai chiều giữa bảng định tuyến và mặt phẳng dữ liệu có nghĩa IP quản lý bảng định tuyến để thực hiện hoạt động chuyển tiếp của nó

1.3.3 Mặt phẳng điều khiển và mặt phẳng dữ liệu MPLS

Cấu trúc được chia ra thành hai thành phần riêng biệt: thành phần chuyển tiếp - forwarding (hay còn gọi là mặt phẳng dữ liệu - data plane), và thành phần điều khiển - control (hay còn gọi là mặt phẳng điều khiển - control plane) Thành phần chuyển tiếp

sử dụng cơ sở dữ liệu chuyển tiếp nhãn (được duy trì bởi một switch nhãn) để thực hiện chuyển tiếp các gói dữ liệu dựa vào việc gán nhãn các gói tin Thành phần điều khiển chịu trách nhiệm về việc tạo và duy trì thông tin chuyển tiếp nhãn giữa một nhóm các switch nhãn liên kết với nhau

Hình 1.8 Mặt phẳng điều khiển và dữ liệu MPLS

Hình 1.8 biểu diễn cấu trúc và chức năng cơ bản của một node MPLS thực hiện định tuyến IP

 Mặt phẳng điều khiển: tại đây các giao thức định tuyến lớp 3 thiết lập các đường đi được sử dụng cho việc chuyển tiếp gói tin Mặt phẳng điều khiển đáp ứng cho việc tạo ra và duy trì thông tin chuyển tiếp nhãn giữa các router chạy MPLS (còn gọi là binding )

 Mặt phẳng dữ liệu: sử dụng cơ sở dữ liệu chuyển tiếp nhãn được duy trì bởi các router chạy MPLS để thực hiện việc chuyển tiếp các gói tin dựa trên thông tin nhãn

Mỗi MPLS node chạy một hoặc nhiều giao thức định tuyến IP (hoặc có thể sử dụng định tuyến tĩnh) để trao đổi thông tin định tuyến với MPLS node khác trong mạng Trong MPLS, bảng định tuyến IP được sử dụng để quyết định việc trao đổi nhãn, tại đó các node MPLS cận kề trao đổi nhãn với nhau theo từng subnet riêng biệt

có trong bảng định tuyến Việc trao đổi nhãn này đươc thực hiện bằng hai giao thức là TDP và LDP TDP là sản phẩm của Cisco, LDP là phiên bản của TDP nhưng do IETF tạo nên Tiến trình điều khiển định tuyến IP MPLS sử dụng việc trao đổi nhãn với các node MPLS để xây dựng thành bảng chuyển tiếp nhãn, bảng này là cơ sở dữ liệu của mặt phẳng dữ liệu được sử dụng để chuyển tiếp các gói tin có gắn nhãn qua mạng MPLS

Như vậy công việc chính của mặt phẳng điều khiển là quảng bá nhãn, địa chỉ và gắn chúng lại với nhau -có nghĩa là kết một nhãn đến một địa chỉ Bộ định tuyến chuyển mạch nhãn (LSR) là một router được cấu hình để hỗ trợ MPLS LSR sử dụng thông tin trong bảng chuyển tiếp nhãn cơ bản (LFIB) để xử lý một gói MPLS đến, như xác định nút kế tiếp mà sẽ nhận gói này LFIB đối với MPLS như một bảng định tuyến đối với IP Nhiều giao thức có thể hoạt động ở trên mặt phẳng điều khiển của MPLS, RSVP được mở rộng để cho phép sử dụng giao thức này để quảng bá, phân phối, và kết nhãn cho địa chỉ IP Sự mở rộng giao thức này gọi là RSVP-TE Một giao thức có tên là giao thức phân phối nhãn (LDP) là một tuỳ chọn khác cho việc thực thi trên mặt phẳng MPLS Chúng ta có thể mở rộng các giao thức khác như OSPF và BGP, chúng

cũng hoạt động trên mặt phẳng điều khiển đó là các giao thức OSPF-E, BGP-E Các bản tin điều khiển được trao đổi giữa các LSR để thực hiện một loạt các hoạt động, bao gồm:

 Trao đổi các bản tin giữa các nút để thiết lập mối quan hệ (bao gồm cả bảo mật) Sau khi hoạt động này hoàn thành, nút được gọi là các LSR ngang cấp (LSR peer)

 Trao đổi các bản tin một cách tuần hoàn (gọi là bắt tay) để chắc chắn nút láng giềng có hoạt động hay không

 Trao đổi các bản tin về nhãn và địa chỉ để kết địa chỉ với nhãn và xây dựng bảng chuyển tiếp (LFIB), mà được sử dụng bởi mặt phẳng dữ liệu MPLS để chuyển tiếp các luồng lưu lượng

Sau khi các nút MPLS đã trao đổi các nhãn và địa chỉ IP cho nhau, chúng sẽ kết các nhãn và địa chỉ với nhau Sau đó, mặt phẳng dữ liệu của MPLS sẽ chuyển tất cả dữ liệu nhận được bằng việc xem xét nhãn được gắn trong tiêu đề của gói Địa chỉ IP không được xem xét cho đến khi gói đã đi ra khỏi mạng, nhãn sau đó bị loại bỏ, và địa chỉ IP lại được sử dụng lại trong mặt phẳng dữ liệu IP tại các nút không được cài đặt

để hoạt động MPLS để đến người dùng cuối cùng

Mọi nút MPLS phải chạy một hay nhiều giao thức định tuyến IP (hoặc dựa vào định tuyến tĩnh) để trao đổi thông tin định tuyến IP với các node MPLS khác trong mạng Trong trường hợp này, mọi nút MPLS là một router IP trên mặt phẳng điều khiển

Trong một nút MPLS, bảng định tuyến IP được sử dụng để xác định nhãn bắt buộc trao đổi, nơi mà nút MPLS gần kề trao đổi nhãn cho từng subnet nằm trong bảng định tuyến IP Nhãn bắt buộc trao đổi cho việc định tuyến IP dựa trên đích đến xác định được thực hiện sử dụng giao thức độc quyền của Cisco phân phối nhãn (Tag Distribution Protocol - TDP) hoặc chuẩn IETF là giao thức phân phối nhãn (Label Distribution Protocol - LDP)

Quá trình điều khiển định tuyến IP MPLS sử dụng các nhãn trao đổi với các node gần kề để xây dựng bảng chuyển tiếp nhãn (Label Forwarding Table - LFT), là

cơ sở dữ liệu mặt phẳng chuyển tiếp được sử dụng để chuyển tiếp các gói tin được gán nhãn thông qua mạng MPLS.

vụ, tính linh hoạt của mô hình VPN overlay sẽ bị giảm đi đáng kể khi phải quản lý và cung cấp một số lượng lớn các kênh/đường hầm giữa các thiết bị của khách hàng Nhìn từ phía khách hàng, việc thiết kế giao thức cổng vào ở phía trong (Interior Gateway Protocol) là phức tạp và cũng rất khó quản lý

Mô hình VPN peer-to-peer thiếu sự cô lập giữa các khách hàng và sự cần thiết

về không gian địa chỉ IP liên kết giữa các thiết bị của họ

Với việc đưa ra giao thức chuyển mạch nhãn đa giao thức MPLS, có sự kết hợp của chuyển mạch lớp 2 với định tuyến và chuyển mạch lớp 3, nó tạo ra khả năng xây dựng một kỹ thuật kết hợp những ưu điểm của VPN overlay (như là tính bảo mật và sự biệt lập giữa các khách hàng) và những ưu điểm định tuyến đơn giản khi thực hiện mô hình VPN peer-to-peer đem đến Kỹ thuật mới được gọi là MPLS-VPN, làm cho việc định tuyến của khách hàng đơn giản hơn và khả năng cung cấp của nhà cung cấp dịch

vụ cũng đơn giản hơn MPLS cũng bổ sung một số những ưu điểm mới của một kết nối gần như có hướng vào mẫu định tuyến IP, thông qua việc thiết lập các đường chuyển mạch nhãn (LSP-Label Switched Path)

Cấu trúc MPLS-VPN cung cấp khả năng tạo ra một mạng riêng thông qua một

cơ sở hạ tầng chung Tuy nhiên các phương pháp được dùng để cung cấp dịch vụ lại khác nhau

• Provider network (P-network): Mạng nhà cung cấp, mạng lõi MPLS/IP được

quản trị bởi nhà cung cấp dịch vụ

• Provider router (P-router): Là router chạy trong mạng lõi của nhà cung cấp,

cung cấp việc vận chuyển dọc mạng backbone và không mang các route của khách hàng

• Provider edge router (PE-router): Router biên của mạng backbone, nó cung

cấp phân phối các route của khách hàng và thực hiện đáp ứng các dịch vụ cho khách hàng từ phía nhà cung cấp

• Autonomous system boundary router (ASBR-router) : Router biên trong một

AS nào đó, nó thực hiện vai trò kết nối với một AS khác AS này có thể có cùng hoặc khác nhà điều hành

• Customer network (C-network): Đây là phần được khách hàng điều khiển

• Customer edge router (CE-router): Router khách hàng đóng vai trò như là

gateway giữa mạng C và mạng P Router CE được quản trị bởi khách hàng hoặc

có thể được nhà cung cấp dịch vụ quản lý Các phần liên tục của mạng C được gọi là site và được nối với mạng P thông qua router CE

1.4.2 Mô hình định tuyến MPLS-VPN

MPLS-VPN giống như mô hình mạng ngang cấp với router dành riêng Từ một router CE, chỉ cập nhật IPv4, dữ liệu được chuyển tiếp đến router PE CE không cần bất kỳ một cấu hình riêng biệt nào cho phép nó tham gia vào miền MPLS-VPN Yêu cầu duy nhất trên CE là một giao thức định tuyến (hay tuyến tĩnh(static)/tuyến ngầm định (default)) cho phép nó trao đổi thông tin định tuyến IPv4 với các router PE Trong mô hình MPLS-VPN, router PE thực hiện rất nhiều chức năng Trước tiên nó phải phân tách lưu lượng khách hàng nếu có nhiều hơn một khách hàng kết nối tới nó

Hình 1.10 Chức năng router PE

Mỗi khách hàng được gắn với một bảng định tuyến độc lập Định tuyến qua backbone thực hiện bằng một tiến trình định tuyến trong bảng định tuyến toàn cục Router P cung cấp chuyển mạch nhãn giữa các router biên của nhà cung cấp và không biết đến các tuyến VPN Các router CE trong mạng khách hàng không nhận biết được các router P và do đó cấu trúc mạng nội bộ của mạng nhà cung cấp trong suốt đối với khách hàng

1.4.3 Bảng định tuyến và chuyển tiếp ảo

Mỗi VPN được kết hợp với một bảng định tuyến - chuyển tiếp ảo (VRF- Virtual Routing and Forwarding tables) riêng biệt VRF cung cấp các thông tin về mối quan

hệ trong VPN của một site khách hàng khi được nối với PE router Bảng VRF bao gồm thông tin bảng định tuyến IP (IP routing table), bảng CEF (Cisco Express Forwarding), các giao diện của forwarding table; các quy tắc, các tham số của giao thức định tuyến Mỗi site chỉ có thể kết hợp với một và chỉ một VRF Các VRF của site khách hàng mang toàn bộ thông tin về các “tuyến” có sẵn từ site tới VPN mà nó là thành viên

Đối với mỗi VRF, thông tin sử dụng để chuyển tiếp các gói tin được lưu trong các IP routing table và CEF table Các bảng này được duy trì riêng rẽ cho từng VRF nên nó ngăn chặn được hiện tượng thông tin bị chuyển tiếp ra ngoài mạng VPN cũng như ngăn chặn các gói tin bên ngoài mạng VPN chuyển tiếp vào các router bên trong mạng VPN

VRF chứa một bảng định tuyến IP tương ứng với bảng định tuyến IP toàn cục, một bảng CEF, liệt kê các giao tiếp tham gia vào VRF, và một tập hợp các nguyên tắc xác định giao thức định tuyến trao đổi với các router CE VRF còn chứa các định danh VPN (VPN identifier) như thông tin thành viên VPN

nghệ MPLS- VPN ra đời là sự kết hợp các đặc điểm của VPN và MPLS VPN được định nghĩa như là mạng kết nối các site khách hàng đảm bảo an ninh trên cơ sở hạ tầng mạng chung cùng với các chính sách điều khiển truy nhập và bảo mật như một mạng riêng Tuy được xây dựng trên cơ sở hạ tầng sẵn có của mạng công cộng nhưng VPN lại có được các tính chất của một mạng cục bộ như khi sử dụng các đường thuê riêng Nó cho phép nối liền các chi nhánh của một công ty cũng như là với các đối tác, cung cấp khả năng điều khiển quyền truy nhập của khách hàng, các nhà cung cấp dịch

vụ hoặc các đối tượng bên ngoài khác Do vậy, khả năng ứng dụng của VPN là rất lớn

MPLS- “chuyển mạch nhãn đa giao thức” như tên gọi của nó đã nói lên đầy đủ đặc điểm của công nghệ này Cụm từ “chuyển mạch nhãn” nghĩa là việc hoán đổi nhãn được sử dụng như một kỹ thuật chuyển tiếp nằm ở lớp dưới, còn cụm từ “đa giao thức” nghĩa là nó có thể hỗ trợ nhiều loại giao thức lớp mạng khác nhau chứ không chỉ riêng IP Đồng thời, các nhà cung cấp mạng cũng có thể cấu hình để chạy MPLS trên nhiều công nghệ lớp 2 khác nhau như PPP, Ethernet, Frame Relay, hay ATM,…

Trong chương này đã nêu lên các ưu điểm của công nghệ MPLS- VPN và đó là

lí do vì sao nên lựa chọn sử dụng MPLS- VPN Bên cạnh đó, giới thiệu chung về VPN

và MPLS, các thành phần và hoạt động của MPLS; các thành phần và mô hình định tuyến trong mạng MPLS- VPN, bảng định tuyến và chuyển tiếp ảo Đó là những đặc điểm cơ bản làm nền tảng để đưa ra các giải pháp triển khai MPLS- VPN ở chương sau

CHƯƠNG II GIẢI PHÁP TRIỂN KHAI MPLS-VPN 2.1 So sánh MPLS-VPN và các kỹ thuật VPN truyền thống

Các mạng VPN truyền thống sử dụng các chức năng bảo mật như: tạo đường hầm (Tunneling), mã hoá dữ liệu (Encryption), chứng thực (Authentication) với mục đích đạt được khả năng bảo mật khi truyền dữ liệu giữa hai đầu cuối Có rất nhiều các giao thức khác nhau được sử dụng cho các mạng VPN này như: GRE, PPTP, L2TP, và IPSec Chúng đều dựa trên hoạt động tạo đường truyền riêng và sử dụng các thuật toán

mã hóa dữ liệu Xét một ví dụ Site A nối với site B thông qua mạng Internet công cộng

sử dụng giao thức IPSec với mã hóa 3DES

Hình 2.1 Kết nối trong mạng VPN truyền thốngHạn chế đầu tiên và cũng là dễ nhận thấy nhất ở IPSec đó là làm giảm hiệu năng của mạng Khi xét đường đi của một gói tin được gửi từ máy tính A trong mạng

A đến máy tính B trong mạng B Gói tin từ máy tính A sẽ được gửi đến A

CPE-A sẽ kiểm tra gói tin xem liệu nó có cần thiết phải chuyển đến CPE-B hay không Trong một môi trường mạng không có VPN thì gói tin sẽ được truyền ngay đến CPE-

B Tuy nhiên, với giao thức IPSec, CPE-A phải thực hiện một số thao tác trước khi gửi

gói tin đi Đầu tiên, gói tin được mã hóa, sau đó đóng gói vào các gói IP, hoạt động này tiêu tốn thời gian và gây trễ cho gói tin Tiếp theo gói tin sẽ được đưa vào trong mạng của nhà cung cấp dịch vụ Lúc này, nếu gói tin mới được tạo thành có kích thước lớn hơn kích thước tối đa cho phép truyền (MTU-Maximum Transmission Unit) trên bất cứ một liên kết nào giữa CPE-A và CPE-B thì gói tin sẽ cần phải được phân mảnh thành hai hay nhiều gói tin nhỏ hơn Điều này chỉ xảy ra trong trường hợp bit

DF (Don't Fragment) không được thiết lập, còn trong trường hợp bit DF được thiết lập thì gói tin sẽ bị mất và một bản tin ICMP (Internet Control Message Protocol) sẽ được gửi lại phía phát Khi gói tin đến được CPE-B, nó sẽ được mở gói và giải mã, hai hoạt động này tiếp tục làm trễ gói tin trong mạng Cuối cùng, CPE-B sẽ chuyển tiếp gói tin đến máy tính B

Thời gian trễ trong mạng sẽ phụ thuộc vào độ phức tạp và tốc độ xử lý của các CPE Các thiết bị CPE chất lượng thấp thường phải thực hiện hầu hết các chức năng IPSec bằng phần mềm khiến trễ trong mạng lớn Các thiết bị CPE với khả năng thực hiện các chức năng IPSec bằng phần cứng có thể tăng tốc độ xử lý gói tin lên rất nhiều nhưng chi phí cho các thiết bị này là rất đắt Điều này dẫn đến chi phí triển khai một mạng IPSec VPN là rất tốn kém

Từ ví dụ trên, ta dễ dàng nhận thấy các mạng IPSec VPN là mạng lớp trên của mạng IP và sự trao đổi thông tin trong mạng được thực hiện bằng cách thiết lập các đường hầm giữa các site Điều này sẽ tạo nên những cấu hình mạng không tối ưu Để

rõ hơn về vấn đề này, ta sẽ xét hai cấu hình mạng, cấu hình hình sao và cấu hình mạng lưới

Cấu hình mạng hình sao bao gồm một site trung tâm (hub) được nối với rất các site ở xa (spoke) khác Trong cấu hình này, CPE của site trung tâm thường là một thiết

bị rất đắt tiền và phụ thuộc vào số lượng spoke cần kết nối đến Và mỗi một spoke này

sẽ thiết lập một đường hầm IPSec đến site trung tâm Cấu hình mạng này không phù hợp cho truyền thông giữa các site nhánh (spoke) với nhau vì gói tin từ spoke này đến spoke kia phải đi qua site trung tâm và tại site trung tâm này sẽ lặp lại các tác vụ như đóng mở gói tin, xác định đường chuyển tiếp, mã hóa và giải mã đối với mỗi gói tin đi qua nó Có nghĩa là mỗi gói tin sẽ phải đi qua hai đường hầm IPSec dẫn đến trễ xử lý

cho mỗi gói tin sẽ tăng gấp đôi so với trường hợp hai spoke có thể trao đổi thông tin trực tiếp với nhau.

Giải pháp duy nhất để khắc phục hiện tượng trên là thiết lập một mạng mắt lưới Tuy nhiên, cấu hình này có rất nhiều hạn chế, và điểm hạn chế lớn nhất là khả năng mở rộng mạng Số lượng các tunnel cần thiết để hỗ trợ một mạng mắt lưới IPSec

về phương diện hình học sẽ tăng cùng với số lượng site

Một điểm chúng ta cần phải cân nhắc khi triển khai các mạng VPN đó là các thiết bị CPE Mỗi nhà cung cấp cần phải chắc chắn rằng tất cả các CPE sẽ hoạt động tương thích với nhau Giải pháp đơn giản và và hiệu quả nhất là sử dụng cùng một loại CPE trong mỗi vùng, tuy nhiên, điều này không phải bao giờ cũng thực hiện được do nhiều yếu tố khác nhau Tuy ngày nay sự tương thích không phải là một vấn đề lớn nhưng nó vẫn cần phải được quan tâm khi hoạch định một giải pháp mạng IPSec VPN

Mỗi một CPE phải đóng vai trò như là một router và có khả năng hỗ trợ tunneling Những CPE với chức năng bổ sung này đòi có giá thành rất cao nên cách duy nhất để triển khai IPSec trong một mạch cầu là tải các phần mềm IPSec client vào tất cả các PC phía sau cầu Giải pháp này đòi hỏi sự hỗ trợ khách hàng cao dẫn đến những khó khăn trong quản lý mạng

Khai thác và bảo dưỡng cũng là một vấn đề nữa của các mạng IPSec VPN vì mỗi một đường hầm IPSec đều phải được thiết lập bằng tay Cấu hình cho một đường hầm IPSec đơn lẻ không phải là vấn đề thế nhưng thời gian để thiết lập và duy trì một mạng VPN với nhiều site sẽ tăng lên đáng kể khi kích thước mạng được mở rộng đặc biệt là với mạng VPN có cấu hình “full mesh” thì các nhà cung cấp dịch vụ sẽ gặp nhiều khó khăn trong hỗ trợ và xử lý sự cố kỹ thuật

Vấn đề bảo mật cũng cần được quan tâm trong các mạng VPN Mỗi CPE có thể truy nhập vào mạng Internet công cộng nhưng tin tức vẫn cần được bảo mật trong quá trình truyền giữa các site Vì vậy, mỗi thiết bị CPE phải có biện pháp bảo mật nhất định (như Firewall) Và sự quản lý các firewall này sẽ trở nên rất khó khăn nhất là khi kích thước của mạng rất lớn Với một mạng VPN khoảng 100 nút mạng, sẽ cần 100 firewall và mỗi khi cần một sự thay đổi nhỏ trong chính sách (policy) của firewall,

chúng ta phải tiếp cận cả 100 firewall này trong mạng Rõ ràng đây là một điểm hạn chế lớn của các mạng IPSec VPN về khía cạnh bảo mật.

Dưới đây, ta có bảng so sánh IP Sec-VPN và MPLS-VPN :

vụ, định nghĩa truy nhập tới nhóm dịch vụ trong khi cấu hình, từ chối các truy nhập không hợp pháp

Xác thực qua chứng thực số hoặc khóa xác định trước

Loại bỏ gói không phù hợp với chính sách bảo mật

Tính riêng

tư

Tách lưu lượng thành những luồng riêng biệt

Sử dụng mã hóa và kỹ thuật đường hầm thích hợp tại lớp địa chỉ mạng.QoS và

SLA

Cho phép lập các SLA với nhiều mức, có các kỹ thuật đảm bảo QoS và kỹ thuật lưu lượng

Không chỉ ra các QoS và SLA trực tiếp

Khả năng

mở rộng

Có khả năng mở rộng cao vì không yêu cầu cấu hình đầy đủ hoặc ngang hàng

Chấp nhận các mở rộng theo kiểu Hub-and-Spoke Khả năng mở rộng kéo theo hàng loạt các thách thức về

kế hoạch, phân phối các khóa, quản

lý khóa và cấu hình các thiết bị ngang hàng