Cụng nghệ MLPS ra đời đỏp ứng được nhu cầu của thị trường đỳng theo tiờu chớ phỏt triển của Internet, kết hợp những đặc điểm tốt nhất giữa định tuyến lớp thứ 3 và chuyển mạch lớp thứ 2 c
Tổng quan về MPLS
Chuyển tiếp gói IP truyền thống phân tích địa chỉ IP đích chứa trong tiêu đề của lớp mạng ở mỗi gói Mỗi bộ định tuyến phân tích địa chỉ đích độc lập ở mỗi chặng trong mạng Giao thức định tuyến động hay tĩnh khi xây dựng cơ sở dữ liệu cần phải phân tích địa chỉ IP đích tạo ra bảng định tuyến Quá trình này gọi là định tuyến unicast từng chặng dựa trên đích đến của các gói tin Việc định tuyến bằng các giao thức phi kết nối đáp ứng được nhu cầu đơn giản của khách hàng Khi mạng Internet phát triển và mở rộng, lưu lượng Internet trên mạng bùng nổ, phương thức chuyển tiếp gói hiện tại tỏ ra không hiệu quả, mất tính linh hoạt Do đó cần một kỹ thuật mới để gán địa chỉ và mở rộng các chức năng của cấu trúc mạng dựa trên IP
Trong phần này chỉ ra một số nhược điểm, các hạn chế mô hình cũ và trình bày một kỹ thuật mới – kỹ thuật chuyển mạch nhãn đa giao thức MPLS – nhằm khắc phục các nhược điểm trên
1 I Mô hình định tuyến lớp mạng
Trong môi trường phi kết nối truyền thống không phải sử dụng các bản tin báo hiệu để thiết lập kết nối, phương thức chuyển tin là chuyển từng chặng một Tất cả các gói tin được chuyển đi dựa trên các giao thức định tuyến lớp mạng (như giao thức tìm đường dẫn ngắn nhất [OSPF] hay giao thức cổng biên [BGP]), hay định tuyến tĩnh Các router xử lí tất cả các gói tin như nhau và có quyền huỷ bỏ các gói tin mà không cần bất kì thông báo nào cho cả bên gởi và bên nhận Chính vì vậy, IP chỉ cung cấp các dịch vụ đặc biệt với “hiệu quả tốt nhất” chứ không thích hợp cho các dịch vụ có yêu cầu nghiêm ngặt về QoS
Cơ chế phi kết nối gây khó khăn trong việc điều khiển luồng và phân bổ lưu lượng mạng làm tắt nghẽn tại các nút mạng Các nhà cung cấp dịch vụ Internet hiện tượng nghẽn mạch vẫn xảy ra Lý do là các giao thức định tuyến Internet thường hướng lưu lượng vào cùng một số các kết nối nhất định dẫn tới các kết nối này bị quá tải trong khi một số khu vực khác tài nguyên không được sử dụng Đây là tình trạng phân bố tải không đồng đều và sử dụng lãng phí tài nguyên mạng
Tuy nhiên, bên cạnh hạn chế như vậy, mô hình phi kết nối cũng có những ưu điểm, đó là :
- Khả năng định tuyến gói tin một cách độc lập
- Cơ cấu định tuyến và chuyển tin đơn giản, hiệu quả, nên mô hình phi kết nối rất phù hợp với các luồng có thời gian kết nối chậm
I.2 Công nghệ ATM và mô hình hướng kết nối
ATM là công nghệ chuyển mạch hướng kết nối, tức là kết nối từ điểm đầu đến điểm cuối phải được thiết lập trước khi thông tin được gởi đi Việc tạo kết nối mạch ảo có thể đạt hiệu quả trong mạng nhỏ, nhưng đối với mạng lớn thì những vấn đề có thể xảy ra: Mỗi khi một router mới đưa vào mạng lõi WAN thì mạch ảo phải được thiết lập giữa router này với các router còn lại để đảm bảo việc định tuyến tối ưu Điều này lưu lượng định tuyến trong mạng tăng Thông thường việc thiết lập kết nối này được thực hiện bởi giao thức báo hiệu Giao thức này cung cấp các thông tin trạng thái liên quan đến kết nối cho các chuyển mạch nằm trên đường đã định tuyến Chức năng điều khiển chấp nhận kết nối CAC (Connection Admission Control) đảm bảo rằng các tài nguyên liên quan đến kết nối hiện tại sẽ không được đưa vào để sử dụng cho các kết nối mới Điều này buộc mạng phải duy trì trạng thái của từng kết nối (bao gồm thông tin về sự tồn tại của kết nối và tài nguyên mà kết nối đó sử dụng) tại các node có dữ liệu đi qua Việc lựa chọn tuyến được thực hiện dựa trên các yêu cầu về QoS đối với kết nối và dựa trên khả năng của thuật toán định tuyến khả năng nhận dạng mạng, khả năng cô lập từng kết nối với các tài nguyên liên quan đến kết nối trong suốt thời gian tồn tại của kết nối mà môi trường hướng kết nối có thể đảm bảo chất lượng cho từng luồng thông tin Mạng sẽ giám sát từng kết nối, thực hiện định tuyến lại trong trường hợp có sự cố và việc thực hiện định tuyến lại này cũng phải thông qua báo hiệu
Từ cơ chế truyền tin ta thấy mạng hướng kết nối thích hợp với :
- Các ứng dụng yêu cầu phải đảm bảo QoS một cách nghiêm ngặt
- Các ứng dụng có thời gian kết nối lớn Đối với các ứng dụng có thời gian kết nối ngắn thì môi trường hướng kết nối dường như lại không thích hợp do thời gian để thiết lập kết nối cũng như tỉ lệ phần thông tin header lại quá lớn Với các loại lưu lượng như vậy thì môi trường phi kết nối với phương thức định tuyến đơn giản, tránh phải sử dụng các giao thức báo hiệu phức tạp sẽ phù hợp hơn
Như vậy ta cần tìm một phương thức chuyển mạch có thể phối hợp ưu điểm của IP (như cơ cấu định tuyến) và của ATM (như phương thức chuyển mạch) và để thực sự phù hợp với mạng đa dịch vụ cả hai công nghệ ATM và IP đều phải có những thay đổi, cụ thể là đưa thêm khả năng phi kết nối vào công nghệ ATM, và khả năng hướng kết nối vào công nghệ IP
I.3 Quá trình điều khiển và chuyển tiếp độc lập
Với chuyển tiếp gói IP thông thường, mọi thay đổi về thông tin điều khiển truyền gói được tất cả các thiết bị liên lạc với nhau trong cùng một vùng Sự thay đổi này đòi hỏi một thời gian hội tụ trong thuật toán chuyển tiếp
Vì vậy ta mong muốn có một cơ chế có thể thay đổi cách chuyển tiếp gói, mà không ảnh hưởng đến các thiết bị trong mạng Để thực hiện được cơ chế như vậy, các thiết bị mạng (router) không dựa trên thông tin tiêu đề IP mà dựa trên một nhãn thêm vào gói tin để quyết định quá trình chuyển tiếp Với cách thức chuyển tiếp như vậy bất kỳ sự thay đổi quyết định nào có thể thông tin đến các thiết bị bằng cách phân phối một nhãn mới, các thiết bị này chuyển tiếp lưu lượng dựa trên nhãn một sự thay đổi diễn ra sẽ không ảnh hưởng tới các thiết bị còn lại
Công nghệ MLPS ra đời đáp ứng được nhu cầu của thị trường đúng theo tiêu chí phát triển của Internet, kết hợp những đặc điểm tốt nhất giữa định tuyến lớp thứ 3 và chuyển mạch lớp thứ 2 cho phép chuyển các gói rất nhanh trong mạng lõi và định tuyến tốt ở các mạng biên bằng cách dựa vào nhãn.
Các thành phần và hoạt động của MPLS
Chuyển mạch nhãn đa giao thức - Multiprotocol Label Switching (MPLS) - là một công nghệ nổi bật, mục đích là để định địa chỉ nhiều vấn đề tồn tại liên quan đến chuyển tiếp gói tin trong môi trường mạng ngày nay Các thành viên của IETF đã đưa một tập các chuẩn vào thị trường để đưa ý tưởng các nhà cung cấp vào một nơi gọi là "chuyển mạch nhãn" (label switching) Mục đích chính của MPLS là chuẩn hoá kỹ thuật cơ bản để tích hợp mẫu chuyển tiếp hoán đổi nhãn với định tuyến lớp mạng Kỹ thuật cơ bản (hoán đổi nhãn - label swapping) được chờ đợi để tăng giá thành/hiệu năng của định tuyến lớp mạng, tăng khả năng mở rộng của lớp mạng, và cung cấp tính mềm dẻo tốt hơn khi muốn chuyển sang dịch vụ định tuyến mới (bằng cách cho phép dịch vụ định tuyến mới được thêm vào mà không phải thay đổi mẫu chuyển tiếp).
Cấu trúc MPLS mô tả kỹ thuật xử lý chuyển mạch nhãn, kết hợp những ưu điểm của chuyển tiếp gói tin dựa trên chuyển mạch lớp 2 với ưu điểm định tuyến của lớp 3 Tương tự như các mạng lớp 2 (ví dụ: Frame Relay hay ATM), MPLS gán nhãn vào các gói tin để truyền trên mạng Kỹ thuật chuyển tiếp từ đầu đến cuối mạng là hoán đổi nhãn trong đó các đơn vị dữ liệu (ví dụ: gói tin hay các ô) mang một nhãn ngắn, có độ dài cố định nhằm báo cho các nút chuyển tiếp nằm trên đường các gói tin để xử lý và chuyển tiếp dữ liệu. Điểm khác biệt quan trọng giữa MPLS và kỹ thuật WAN truyền thống là cách gán nhãn và khả năng gán một chồng nhãn (stack of label) vào gói tin Khái niệm chồng nhãn mở ra những ứng dụng mới, như quản lý lưu lượng (Traffic Engineering), mạng riêng ảo (Virtual Private Network)
Chuyển tiếp gói tin trong MPLS hoàn toàn tương phản với môi trường mạng vô hướng ngày nay, nơi mà các gói tin được phân tích theo từng chặng (hop- -hopby ), header lớp 3 của nó được kiểm tra, và một quyết định chuyển tiếp độc lập được tạo ra dựa trên thông tin được trích ra từ giải thuật định tuyến lớp mạng.
Cấu trúc được chia ra thành hai thành phần riêng biệt: thành phần chuyển tiếp forwarding (cũng được gọi là mặt phẳng dữ liệu - - data plane), và thành phần điều khiển control (cũng được gọi là mặt phẳng điều khiển - - control plane) Thành phần chuyển tiếp sử dụng cơ sở dữ liệu chuyển tiếp nhãn (được duy trì bởi một switch nhãn) để thực hiện chuyển tiếp các gói dữ liệu dựa vào việc gán nhãn các gói tin Thành phần điều khiển chịu trách nhiệm về việc tạo và duy trì thông tin chuyển tiếp nhãn giữa một nhóm các switch nhãn liên kết với nhau Hình 1.1 biểu diễn cấu trúc cơ bản của một node MPLS thực hiện định tuyến IP.
Mọi node MPLS phải chạy một hay nhiều giao thức định tuyến IP (hoặc dựa vào định tuyến tĩnh) để trao đổi thông tin định tuyến IP với các node MPLS khác trong mạng Trong trường hợp này, mọi node MPLS (bao gồm cả các switch ATM) là một router IP trên mặt phẳng điều khiển.
Tương tự như các router truyền thống, các giao thức định tuyến IP ở trong bảng định tuyến IP Trong các router IP truyền thống, bảng định tuyến IP được sử dụng để xây dựng nơi lưu trữ chuyển tiếp IP (nơi lưu trữ chuyển mạch nhanh - fast switching cache) hoặc bảng chuyển tiếp IP (cơ sở thông tin chuyển tiếp - Forwarding Information Base [FIB]) được sử dụng bởi Cisco Express Forwarding (CEF)
Trong một node MPLS, bảng định tuyến IP được sử dụng để xác định nhãn bắt buộc trao đổi, nơi mà node MPLS gần kề trao đổi nhãn cho từng subnet nằm trong bảng định tuyến IP Nhãn bắt buộc trao đổi cho việc định tuyến IP dựa trên đích đến xác định được thực hiện sử dụng giao thức độc quyền của Cisco phân phối nhãn (Tag Distribution Protocol - TDP) hoặc chuẩn IETF là giao thức phân phối nhãn (Label Distribution Protocol - LDP)
Quá trình điều khiển định tuyến IP MPLS sử dụng các nhãn trao đổi với các node gần kề để xây dựng bảng chuyển tiếp nhãn (Label Forwarding Table
- LFT), là cơ sở dữ liệu mặt phẳng chuyển tiếp được sử dụng để chuyển tiếp các gói tin được gán nhãn thông qua mạng MPLS.
Nhãn là một thực thể có độ dài ngắn và không có cấu trúc bên trong Nhãn không trực tiếp mã hoá thông tin của mào đầu lớp mạng nh- địa chỉ lớp mạng Nhãn đ-ợc gán vào một gói tin cụ thể sẽ đại diện cho FEC (Forwarding
Hình 1.1: Cấu trúc cơ bản của node MPLS
Equivalence Class- nhóm chuyển tiếp t-ơng đ-ơng) mà gói tin đó đ-ợc ấn định
GFC VPI VCI PTI CLP HEC Data
Th-ờng thì một gói tin ấn định cho một FEC (hoàn toàn hoặc một phần) dựa trên địa chỉ đích lớp mạng của nó Tuy nhiên không bao giờ là mã hoá địa chỉ của nó
Dạng của nhãn phụ thuộc vào ph-ơng thức truyền gói tin của lớp 2 Ví dụ các tế bào ATM sử dụng giá trị VPI/VCI nh- nhãn, Frame Relay sử dụng DLCI làm nhãn Đối với các ph-ơng tiện gốc không có cấu trúc nhãn, một tr-ờng đệm đ-ợc chèm thêm vào để sử dụng làm nhãn Khuôn dạng tr-ờng đệm 4 byte cã cÊu tróc nh- trong h×nh sau:
Nhãn MPLS có các tr-ờng sau:
Nhãn: có độ dài 20 bit, chứa giá trị nhãn MPLS
EXP: có độ dài 3 bit, biểu thị nhóm dịch vụ, tác động đến thuật toán xếp hàng đợi và loại bỏ với gói tin
S : có độ dài 1 bit MPLS cung cấp khả năng sử dụng ngăn xếp nhãn, có nghĩa là nhiều nhãn đ-ợc gắn vào một gói tin Khi môt nhãn chứa bit S có giá trị 1 thì nó là nhãn cuối cùng, nằm ở đáy của ngăn xếp nhãn (tính theo
Hình 1.2: Cấu trúc nhãn hiện dựa trên thông tin của nhãn nằm trên đỉnh ngăn xếp
TTL: có độ dài 8 bit, có chức năng giống tr-ờng TTL trong mào đầu gói IP, nó quyết định số nút trên mạng mà gói tin có thể đi qua tr-ớc khi bị loại bỏ nhằm chánh sự quay vòng của gói tin trên mạng Đối với các khung PPP hay Ethernet giá trị nhạn dạng giao thức đ-ợc chèn thêm vào đầu mào khung t-ơng ứng để thông báo khung là MPLS unicast hay multicast
Như các công nghệ mới khác, những khái niệm mới cần được giới thiệu để mô tả các thiết bị tạo nên cấu trúc:
Thiết bị đầu tiên được giới thiệu là router chuyển mạch nhãn (Label Switch Router - LSR) Là bất kỳ router hay switch nào thực hiện thủ tục phân phối nhãn và có thể chuyển tiếp gói tin dựa vào các nhãn Chức năng cơ bản của thủ tục phân phối nhãn cho phép một LSR phân phối nhãn của nó tới các LSR khác trong mạng MPLS.
Các dạng LSR khác nhau được phân biệt theo chức năng chúng cung cấp trong cơ sở hạ tầng mạng, như là Edge-LSR, ATM-LSR, và ATM edge-LSR
Một Edge LSR là một router thực hiện gán nhãn (- label imposition) hoặc tháo nhãn (label disposition) tại đường biên của mạng MPLS Gán nhãn là hành động gán một nhãn hay chồng nhãn vào gói tin ở đầu vào (luồng lưu lượng từ nguồn tới đích) của miền MPLS Tháo nhãn là hành động ngược lại nghĩa là tháo bỏ nhãn cuối cùng khỏi gói tin tại ở đầu ra trước khi được chuyển tiếp tới hàng xóm nằm ngoài miền MPLS.
Những ứng dụng của MPLS
Cấu trúc MPLS là sự kết hợp giữa các router truyền thống và các switch ATM trong một mạng xương sống Sức mạnh thật sự của MPLS, tuy nhiên, nằm ở các ứng dụng khác, nằm từ quản lý lưu lượng (Traffic Engineering) tới mạng riêng ảo (Virtual Private Network) peer- -to peer Tất cả các ứng dụng MPLS sử dụng chức năng mặt phẳng điều khiển tương tự như mặt phẳng điều khiển định tuyến để thiết lập cơ sở dữ liệu chuyển mạch nhãn Hình 1.5 sau biểu diễn sự tác động giữa các ứng dụng và ma trận chuyển mạch nhãn.
Mọi ứng dụng MPLS có cùng một tập các thành phần như là ứng dụng định tuyến IP:
• Một cơ sở dữ liệu xác định bảng các lớp tương đương chuyển tiếp (FEC) cho ứng dụng (bảng định tuyến IP trong một ứng dụng định tuyến IP).
• Các giao thức điều khiển để trao đổi nội dung bảng FEC giữa LSR (giao thức định tuyến IP hay định tuyến tĩnh trong một ứng dụng định tuyến IP)
• Quá trình điều khiển thưc hiện gán nhãn chỉ định vào FEC và một giao thức trao đổi nhãn chỉ định giữa các LSR (TDP hay LDP trong một ứng dụng định tuyến IP).
• Một cơ sở dữ liệu bên trong việc ánh xạ FEC với nhãn (cơ sở thông tin nhãn trong một ứng dụng định tuyến).
Mỗi ứng dụng sử dụng một tập các giao thức của nó để trao đổi bảng FEC hoặc ánh xạ FEC với nhãn giữa các node.
Hình 1.5: Sự tác đông qua lại giữa các ứng dụng và ma trận chuyển mạch nhãn
Chất lượng dịch vụ (QoS) với chuyển mạch nhãn đa giao thức (MPLS)
Chất lượng dịch vụ (Quality of service - QoS) và chuyển mạch nhãn đa giao thức (Multiprotocol Label Switching - MPLS) được phát triển từ nhiều năm trước Về mặt kỹ thuật, QoS và MPLS có nhiều điểm khác nhau.
QoS là cụm từ mô tả đặc trưng hiệu năng mạng QoS gồm hai phần:
• Tìm đường thông qua mạng để có thể đáp ứng dịch vụ được yêu cầu.
• Làm cho dịch vụ đó hiệu quả.
Trong mạng IP và MPLS, QoS được dùng để mô tả một tập các kỹ thuật để quản lý việc mất gói tin, độ trễ, sự biến đổi ngẫu nhiên Hai cấu trúc QoS được sử dụng ngày nay:
• Integrated Services (IntServ) - dịch vụ tích hợp.
• Differentiated Services (DiffServ) - dịch vụ tách biệt.
Vì một vài lý do khác nhau, IntServ không bao giờ được mở rộng đến tầm cỡ mạng Internet IntServ thích hợp với các mạng cỡ vừa và nhỏ, không thích hợp với mạng cỡ lớn như của nhà cung cấp dịch vụ.
DiffServ đã được chứng minh là có khả năng áp dụng với mạng cỡ lớn Nó dùng sự phân loại tại biên mạng (edge) và từng chặng (per-hop) liên tiếp, loại bỏ những tác động trong lõi mạng (core) nghĩa là phần lớn công việc thực hiện tại biên mạng, và bạn không phải giữ bất kỳ trạng thái lưu lượng nhỏ nào trong mạng lõi.
QoS được sử dụng một cách ngẫu nhiên, và trong ngữ cảnh mạng IP và MPLS, nó là phương pháp để xử lý gói tin: làm thế nào để quyết định gói tin nào ứng với dịch vụ nào?
MPLS là một phương pháp chuyển mạch được sử dụng để lấy gói tin từ một nơi và đưa đến nơi khác thông qua một chuỗi các chặng liên tiếp Chặng nào gói tin phải đi qua sẽ được xác định bởi định tuyến IGP hoặc MPLS TE (Traffic Engineering)
Như vậy, MPLS là cách để đưa gói tin từ trạm này đến trạm kia, còn QoS là những gì xảy ra với gói tin tại mỗi chặng.
RFC 2475 định nghĩa một cấu trúc cho các dịch vụ tách biệt -
Differentiated Service - làm cách nào để sử dụng các bit DiffServ Code Point (DSCP) và các kỹ thuật QoS khác nhau để cung cấp các dịch vụ chất lượng khác nhau trong một mạng.
DiffServ có hai thành phần chính:
• Traffic conditioning - điều kiện lưu lượng bao gồm các chính sách, - màu sắc, hình thù cụ thể Hoạt động tại biên mạng.
• Per-hop behaviors - tác động từng chặng về cơ bản gồm các kỹ thuật - hàng đợi (queuing), lịch trình (scheduling), loại bỏ (dropping) Chúng hoạt động tại mỗi chặng trong mạng. Điều kiện lưu lượng nói chung gồm có sự phân loại (classification), kiểm soát (policing), gán nhãn (marking), và tác động từng chặng gồm có hàng đợi, thời hạn, loại bỏ.
1 1 Phân loại
Bước đầu tiên để áp dụng cấu trúc DiffServ là có khả năng phân loại các gói tin Phân loại là hành động xem xét gói tin để xác định sắp xếp các quy luật nó phải trải qua, sau đó giá trị DSCP hoặc EXP nào sẽ được đặt vào trong gói tin (phần mềm Cisco sử dụng bit EXP để chỉ một QoS, thường được đặt trước các gói tin IP, có thể sử dụng tương tự với các gói tin MPLS).
Phân loại gói tin IP không phức tạp Có thể dựa vào bất kỳ thứ gì trong IP header Đặc biệt dựa vào các khả năng biến đổi bởi thiết bị (platform), nhưng nói chung, địa chỉ IP đích, địa chỉ IP nguồn, các giá trị DSCP, có thể được so sánh
+ Phân loại gói tin MPLS.
Khi phân loại gói tin MPLS, bạn không thể so sánh bất kỳ cái gì ngoài giá trị EXP ở phía ngoài cùng trong chồng nhãn Không thể so sánh giá trị nhãn đầu tiên trong chồng nhãn, và không thể dựa vào TTL (Time to Live) Cuối cùng, không thể dựa vào bất kỳ giá trị EXP nào của bất kỳ nhãn nào ngoài nhãn đầu tiên trong chồng nhãn.
Kiểm soát gồm có việc đo lưu lượng đối với từng loại dịch vụ có lưu lượng vào và ra khác nhau Một trong những thành phần cơ bản của cấu trúc DiffServ đó là không cho phép có nhiều lưu lượng hơn những gì bạn đã thiết kế Kiểm soát được thực hiện tại biên mạng Những gói tin đi vào mạng thường là các gói tin IP Tuy nhiên, trong một vài trường hợp nó có thể nhận được các gói tin được gán nhãn MPLS tại biên mạng Có nghĩa là nhà cung cấp nhận được các gói tin gán nhãn MPLS từ phía khách hàng.
Có thể gán nhãn lưu lượng vào và ra như là kết quả của kiểm soát lưu lượng Không cần kiểm soát việc sắp xếp nhãn Ví dụ, có thể ánh xạ giữa giá trị DSCP của gói tin IP và các bit MPLS EXP được sử dụng khi một nhãn được dán vào gói tin Khả năng khác là gán nhãn tất cả các lưu lượng đi vào một giao diện, không kể đến tốc độ lưu lượng.
Có thể gán EXP vào một gói tin, đúng hơn là đặt vào trước gói IP, là một trong
1 4 Hàng đợi
Kỹ thuật nhiều hàng đợi có thể áp dụng vào MPLS phụ thuộc vào thiết bị và phiên bản phần mềm.
• First In First Out (FIFO) - vào trước ra trước.
• Modified Deficit Round Robin (MDRR) (chỉ trên các thiết bị của GSR).
• Class-Based Weighted Fair Queuing (CBWFQ) (phần lớn không là thiết bị GSR).
• Low-Latency Queuing (LLQ) - hàng đợi độ trễ thấp.
FIFO có trên mọi thiết bị và mọi giao diện Nó là mặc định trên phần lớn thiết bị này.
MDRR, CBWFQ, và LLQ được cấu hình sử dụng MQC, cũng giống như các kỹ thuật QoS khác trên phần lớn các thiết bị.
Hàng đợi là một trong hai phần của cấu trúc DiffServ gọi là tác động từng chặng (per- p behavior - ho PHB) PHB có hai thành phần chính là hàng đợi (queuing) và loại bỏ (dropping)
Loại bỏ quan trọng không chỉ để quản lý chiều sâu hàng đợi với mỗi lớp lưu lượng Weighted Random Early Detection (WRED) là kỹ thuật loại bỏ DiffServ được thực hiện trên phần lớn thiết bị của Cisco WRED làm việc với MPLS EXP giống như với phần đầu IP.
IV.2 DiffServ và các gói tin IP
QoS gán nhãn vào gói tin IP được phát triển theo thời gian IP header có một byte gọi là byte loại dịch vụ - type of service (ToS) 8 bit trong byte này được tiến triển và được định nghĩa lại theo thời gian Vì byte ToS bao gồm nhiều thứ, một vài trong số đó gọi là các bit ToS.
Hình 1.6 vào khoảng năm1981 (RFC 791), và được định nghĩa lại vào khoảng năm 1992 (RFC 1349), năm 1998 (RFC 2474), năm 2001 (RFC 3168). Đầu tiên, IP header có 3 bit precedence (PRE) và 3 bit ToS, và có hai bit không sử dụng PRE bit được sử dụng để đưa ra những phân xử khác nhau về xử lý gói tin Giá trị PRE từ 0 đến 5 được chỉ định cho dữ liệu người dùng; giá trị PRE 6 đến 7 dành để tạo lưu lượng điều khiển mạng RFC 1349 dùng một bit không sử dụng chuyển vào ToS, tạo ra IP header có 3 bit PRE, 4 bit ToS.
RFC 2474 định nghĩa lại toàn bộ byte ToS Các byte ToS bây giờ gồm 6 bit thông tin để phân xử gói tin các bit DSCP Hai bit còn lại được sử dụng cho - một kỹ thuật TCP gọi là Explicit Congestion Notification (ECN) báo hiệu có - xung đột, không được sử dụng nhưng được định nghĩa trong RFC 3168.
Có hai vấn đề cần biết:
• Làm cách nào để ánh xạ các bit DSCP tới các bit PRE.
• Dịch vụ nào DSCP yêu cầu ánh xạ với PRE.
Bảng sau mô tả việc ánh xạ các bit DSCP với các bit PRE.
Hình 1.6: Bốn Byte đầu tiên của IP header
Chuyển PRE thành DSCP thì phải nhân với 8.
Tám giá trị PRE gọi là các lớp - classes, và các bit DSCP ánh xạ với chúng gọi là Class Selector Code Points (CSCP), nhưng chúng không được sử dụng rộng rãi.
RFC 2597 và 2598 định nghĩa 13 giá trị DSCP bổ sung 12 giá trị chuyển - tiếp đảm bảo (Assured Forwarding - AF) và một giá trị Expedited Forwarding
(EF) Các giá trị thập phân chỉ để tham khảo, cần quan tâm tới các tên ở trong cột Name.
Name DSCP (Decimal) DSCP (Bits)
12 giá trị AF đều có dạng AFxy, x là class number, và y là drop precedence 4 lớp (AF1y đến AF4y), mỗi một trong số chúng có 3 drop precedence (AFx1 đến AFx3) AF là phương pháp làm cho khả năng mất gói tin thấp đi trong tốc độ lưu lượng được đưa ra, nhưng nó đảm bảo về độ trễ thấp nhất.
EF định nghĩa những tác động đòi hỏi độ trễ thấp, sự biến đổi ngẫu nhiên thấp, thiệt hại dịch vụ thấp Chỉ duy nhất một trường EF được định nghĩa.
DiffServ sẽ rất đơn giản nếu nó không có sự nhầm lẫn các thuật ngữ.
IV.3 DiffServ và các gói tin MPLS
Một điều có thể sẽ gây chú ý cho bạn đó là có 6 bit DSCP và 3 bit EXP Bởi vì chỉ có 8 giá trị EXP 64 giá trị DSCP (21 trong số này đã được định nghĩa) tồn tại, làm cách nào để đưa ra các dịch vụ DSCP thông qua MPLS?
Trong một mạng frame mode (trái lại với mạng cell mode), bạn đưa vào 3 - - bit EXP; cần phải ánh xạ nhiều lớp DSCP tới những bit EXP này Tuy nhiên, điều này chưa được chứng minh, bởi vì rất khó để triển khai bất kỳ QoS nào đưa ra các dịch vụ mà không thể dự phòng với 3 bit MPLS EXP.
Công việc làm giảm bớt vấn đề này gọi là L-LSPs (Label-Only Inferred
PSC LSP) Ý tưởng chung bên cạnh L LSP là sử dụng cả bit EXP và nhãn để - xác định các lớp dịch vụ khác nhau Đây là điều hiện tại để chế độ ATM MPLS điều khiển các nhãn với nhiều VC Tuy nhiên không đề cập đến chế độ cell vì không có chế độ cell MPLS
L-LSP cho chế độ frame mode MPLS bởi vì chúng chưa được thực hiện và - được định nghĩa đầy đủ Có thể ở trong RFC 3270 "Multiprotocol Label Switching (MPLS) Support of Differentiated Services"
IV.4 Xử lý chồng nhãn
MPLS có 3 bit EXP trong tiêu đề nhãn, được sử dụng giống với các bit PRE hay DSCP CS Chúng ta cần phải xem xét 3 trường hợp Trường hợp một, khi các gói tin IP đi vào mạng MPLS, còn được gọi là ip- -to mpls, thường được viết là ip2mpls
Trường hợphai, khi gói tin đã có một hay nhiều nhãn, gọi là mpls- -mplsto , hay mpls2mpls
Trường hợp ba, khi gói tin ở trong mạng MPLS và tất cả các nhãn của chúng được loại , gọi là bỏ mpls- -to ip, hoặc mpls2ip
Các gói tin đi vào mạng MPLS có một hay nhiều nhãn được gán vào gói tin
IP Đây là quá trình gán nhãn, vì các nhãn được gán vào các gói tin chưa được gán nhãn Phần lớn các bit trong trường DiffServ (các bit PRE IP) được sao chép vào trường EXP của tất cả các nhãn được gán.
Hình 1.7 sau biểu diễn quá trình gán nhãn (push)
Khi một nhãn được gán vào gói tin đã được gán nhãn, giá trị EXP từ nhãn được sao chép vào trường EXP của nhãn mới được gán, được gọi là đường mpls2mpls
Có ba hành động có thể xảy ra trên đường mpls2mpls:
• Gán (Push) - một hay nhiều nhãn được gán vào gói tin đã được gán nhãn
• Hoán đổi (Swap) - nhãn đầu tiên của gói tin được hoán đổi với nhãn khác
• Loại bỏ (Pop) - một hay nhiều nhãn được loại bỏ khỏi gói tin, nhưng ít nhất có một nhãn được loại bỏ.
Hình 1.8 sau mô tả ba trường hợp này:
MẠNG RIÊNG ẢO - VPN
Tổng quan
Trong thập kỷ trước, thế giới đã chứng kiến sự phát triển bùng nổ của mạng Internet Sự phát triển này không đơn thuần là vấn đề số thành viên mới gia nhập vào mạng Internet công cộng tăng nhanh chóng, mà vấn đề chính là mạng Internet tiếp tục tràn vào mọi ngóc ngách của cuộc sống hiện đại.
Ban đầu, tất cả các tổ chức trên thế giới đã sử dụng Internet để quảng bá các sản phẩm và dịch vụ của họ thông qua việc truy cập vào các Web sites của - tổ chức đó Theo thời gian, sự tập trung đã chuyển hướng vào thương mại điện tử (e-commerce và e-business), tất cả đều đưa ra sự tin cậy, giá thành hiệu quả, và truy nhập toàn cầu tới mọi ứng dụng kinh doanh và liên quan đến lưu trữ dữ liệu trong các hệ thống của họ Hơn nữa, để phát triển toàn cầu, rất nhiều tổ chức nhận ra rằng, thay vì phải chịu đựng giá thành kết nối Internet, họ có thể giảm giá thành việc thực hiện một cách hiệu quả bằng cách đưa ra các dịch vụ kết nối Internet của họ tới các tổ chức khác có quan tâm đến lĩnh vực này
Sự phát triển này đòi hỏi độ tin cậy cao, truyền dữ liệu hiệu quả thông qua một mạng công cộng như Internet, ngày nay đã phát triển thành các mạng riêng ảo - Virtual Private Network (VPN).
Mạng riêng ảo -VPN
Bên cạnh sức mạnh công nghệ VPN, là sử dụng Internet và tầm ảnh hưởng toàn cầu của nó Tuy nhiên, Internet là một môi trường công cộng được chia sẻ và có thể truy cập vào bởi bất kỳ ai, bất kỳ lúc nào, bất kỳ nơi đâu, dữ liệu trao đổi thông qua nó là dễ bị nghe trộm, truy cập bất hợp pháp, và phá huỷ trong khi truyền Mục đích chính của VPN là đưa ra bảo mật, hiệu năng, và độ tin cậy của các mạng riêng.
Internet Engineering Task Force (IETF), một mạng VPN là "là một sự mở rộng của một mạng diện rộng - Wide Area Network (WAN) - sử dụng mạng IP sẵn có được chia sẻ hoặc công cộng, như Internet hoặc backbones IP "
Nói một cách đơn giản, mạng VPN là sự mở rộng của mạng intranet riêng thông qua mạng công cộng (mạng Internet) bảo đảm kết nối tin cậy và mang lại lợi nhuận giữa hai điểm truyền thông cuối Mạng intranet riêng được mở rộng với sự trợ giúp của các đường hầm (tunnel) logic riêng Các đường hầm cho phép hai điểm cuối trao đổi dữ liệu theo kiểu như kết nối point- -point to Hình 2.1 sau miêu tả một kiểu VPN đặc trưng.
Mặc dù công nghệ tạo đường hầm là cốt lõi của các mạng VPN, các kỹ thuật và tiểu chuẩn bảo mật tinh vi cũng được sử dụng để truyền dữ liệu quan trọng được an toàn qua một môi trường không bảo đảm Các kỹ thuật an toàn bao gồm:
• Mã hoá (Encryption): mã hoá là quá trình chuyển dữ liệu sang dạng chỉ có thể được đọc bởi người nhận được chỉ định Để đọc được thông điệp, người nhận phải có khoá giải mã chính xác Trong các phương pháp mã hoá truyền thống, người gửi và người nhận sử dụng cùng một khoá để
Hình 2.1: VPN đặc trưng cộng (public key) sử dụng hai khoá Đầu tiên là khoá công cộng, mà bất kỳ ai cũng có thể sử dụng trong suốt quá trình mã hoá và giải mã Mặc dù tên của khoá là khoá công cộng nhưng được sở hữu bởi một thực thể Nếu một thực thể thứ hai muốn trao đổi với thực thể chứa khoá thì nó sử dụng khoá công cộng này Khoá công cộng có một khoá riêng (private key) tương ứng Khoá riêng là riêng cho một thực thể (hoặc một người) tạo ra nó Như vậy, với mã hoá bằng khoá công cộng, ai cũng có thể sử dụng khoá công cộng của họ để mã hoá và gửi thông điệp Tuy nhiên chỉ có người sở hữu khoá riêng cần thiết mới giải mã được thông điệp này Trong truyền thông, người gửi sẽ dùng khoá công cộng để mã hoá thông điệp Người nhận phục hồi thông điệp và giải mã thông điệp được mã hoá sử dụng khoá riêng Pretty Good Privacy (PGP) and Data Encryption Standard (DES) là hai phương pháp mã hoá khoá công cộng phổ biến nhất.
• Chứng thực (Authentication): chứng thực là quá trình bảo đảm dữ liệu được gửi đến người nhận được chỉ định Hơn nữa, chứng thực cũng đảm bảo người nhận được thông điệp toàn vẹn Trong dạng đơn giản nhất, chứng thực yêu cầu ít nhất là username và password để có quyền truy cập vào tài nguyên theo danh nghĩa Ở dạng phức tạp, chứng thực có thể dựa trên cơ sở mã hoá khoá bí mật (secret-key) hoặc mã hoá khoá công cộng.
• Cho phép (Authorization): cho phép là quá trình cho phép hoặc từ chối truy cập tới tài nguyên đặt trong một mạng sau khi người dùng được nhận biết và được chứng thực.
II.1 Sự phát triển của VPN
VPN không hẳn là một công nghệ mới Khái niệm VPN có từ khoảng 15 năm trước và trải qua một vài thế hệ để đạt tới dạng mới nhất như ngày nay.
Nhận biết đầu tiên của VPN được đưa ra bởi AT&T vào những năm 80 và được biết đến là Software Defined Networks (SDN) SDN là mạng WAN đường dài có chiều sâu bằng nhau khi tạo kết nối riêng như kết nối chuyển mạch và mạnh trong cơ sở dữ liệu mà được sử dụng phân loại truy cập tại chỗ hoặc từ xa Dựa vào thông tin này, các gói dữ liệu được định tuyến tới đích thông qua cơ sở hạ tầng chuyển mạch công cộng được chia sẻ.
Thế hệ thứ hai của VPN vào nhưng năm đầu thập kỷ 90, dựa trên các công nghệ X.25 và mạng tích hợp dịch vụ số - Integrated Services Digital Network
(ISDN) Hai công nghệ này cho phép truyền các luông dữ liệu thông qua mạng công cộng được chia sẻ Vì thế ý tưởng truyền giá thấp qua mạng công cộng đã rất nhanh được phổ biến Đôi khi nó được xem như thể giao thức X.25 trên ISDN sẽ được thiết lập như giao thức VPN Tuy nhiên tốc độ truyền dữ liệu không thể đạt được tới cấp độ hiệu suất mong đợi và thế hệ thứ hai của VPN tồn tại trong thời gian ngắn đã qua.
Sau thế hệ thứ hai, thị trường VPN phát triển chậm cho đến khi có sự nổi lên của các công nghệ chuyển mạch gói - Frame Relay (FR) và chế độ truyền không đồng bộ - Asynchronous Transfer Mode (ATM) Thế hệ thứ ba của VPN dựa trên cơ sở các công nghệ ATM và FR Các công nghệ này dựa trên cơ sở khái niệm chuyển mạch kênh ảo (virtual circuit switching), trong đó các gói dữ liệu sẽ không bao gồm địa chỉ nguồn và địa chỉ đích Thay vì đó, chúng mang các pointer tới các kênh ảo có các nút nguồn và đích được gộp lại tại nơi thực hiện.
Khi thương mại điện tử đã trở thành cách để quản lý kinh doanh vào giữa những năm thập kỷ 90, các yêu cầu của người sử dụng được đáp ứng Người sử dụng (và các tổ chức) muốn một giải pháp dễ dàng thực hiện, mở rộng, quản trị, có tầm ảnh hưởng toàn bộ và khả năng bảo mật end- -endto cao Thế hệ hiện tại của mạng VPN - IP VPN - gồm tất cả các yêu cầu này bằng cách sử thể cáng đáng được các đường thuê bao đắt tiền, dựa trên các giải pháp có thể ghi dấu ấn của sự xuất hiện của họ trên thị trường toàn cầu.
Tunnel là một công nghệ đóng các gói dữ liệu trong một giao thức tunnel, như IP Security (IPSec), Point- -Point Tunneling Protocolto (PPTP), hoặc
Layer 2 Tunneling Protocol (L2TP), và cuối cùng đóng gói tin tunnel thành một gói tin IP Gói tin tổng hợp sau đó được định tuyến tới mạng đích sử dụng thông tin IP phủ lên Bởi vì các gói dữ liệu nguyên thuỷ có thể ở bất kỳ dạng nào, tunnel có thể hỗ trợ lưu lượng đa giao thức, bao gồm IP, ISDN, FR, và ATM
II.2 Các giao thức Tunneling VPN
Có ba giao thức tunnel chính bảo đảm các dịch vụ VPN được an toàn là:
• IP Security (IPSec) Được phát triển bởi IETF, IPSec là một chuẩn mở để bảo đảm tính bảo mật và chứng thực việc truyền thông qua mạng công cộng Không giống các công nghệ mã hoá, IPSec thực hiện tại lớp mạng (Network layer) theo mô hình OSI bảy lớp (Open System Interconnec) Vì thế nó có thể được thực hiện với các ứng dụng một cách độc lập chạy trên mạng.
Các phương thức truy nhập VPN
Nhiệm vụ của VPN là định địa chỉ của ba yêu cầu cơ bản Bao gồm:
• Truy cập bất kỳ lúc nào theo cách từ xa, di động, và nhân viên làm việc từ xa tới nguồn tài nguyên tổ chức.
• Kết nối giữa các chi nhánh ở xa.
• Truy cập tới tài nguyên mạng cần thiết được đưa tới khách hàng, nhà cung cấp, và các thực thể mở rộng quan trọng với doanh nghiệp.
• Với các nhiệm vụ cơ bản ở trên, VPN đã phát triển thành ba dạng:
Như tên gọi, mạng VPN truy cập từ xa (Remote Access VPN) cho phép truy cập bất cứ lúc nào như từ xa, di động, các nhân viên làm việc từ xa truy cập vào nguồn tài nguyên của tổ chức Điển hình, các yêu cầu truy cập từ xa này được đưa ra bởi những người sử dụng luôn phải di chuyển hoặc các chi nhánh nhỏ và ở xa không thường xuyên kết nối đến mạng Intranet của tổ chức.
Như đã thấy ở hình trên (không phải mô hình VPN), mô hình truy nhập từ xa trước khi VPN phổ biến gồm có các thành phần chính sau:
• Một Remote Access Server (RAS) - server truy cập từ xa, đặt tại trạm trung tâm, chứng thực và cho phép các yêu cầu truy cập từ xa.
• Kết nối quay số (Dial-up) tới trạm trung tâm, có thể đòi hỏi chi phí cao nếu yêu cầu đường dài.
• Hỗ trợ nhân viên chịu trách nhiệm cấu hình, duy trì, quản lý RAS, và hỗ trợ người sử dụng từ xa.
Hình 2.2: Mô hình truy nhập từ xa Để xây dựng mạng VPN truy cập từ xa, người xử dụng từ xa và các chi nhánh chỉ cần thiết lập kết nối quay số cục bộ tới ISP hoặc mạng điện thoại POP của ISP và kết nối tới mạng của tổ chức thông qua Internet Mô hình mạng VPN truy cập từ xa được mô tả như hình 2.3 sau:
Như hình trên, các ưu điểm chính của mạng VPN truy cập từ xa qua các thể loại truy nhập từ xa truyền thống:
• Sự cần thiết của RAS và các modem kết hợp được loại bỏ hoàn toàn.
• Sự cần thiết của các nhân viên hỗ trợ được loại bỏ bởi vì kết nối từ xa được ISP làm cho thuận tiện.
• Sự cần thiết các kết nối quay số đường dài được loại bỏ, thay vào đó là bằng các kết nối quay số cục bộ.
• Cung cấp các dịch vụ quay số rẻ cho những người sử dụng đường dài.
• Bởi vì truy cập quay số là cục bộ, các modem hoạt động ở tốc độ cao so với truy cập đường dài.
Hình 2.3: VPN truy nhập từ xa
• VPN cung cấp tính năng truy cập tốt hơn tới trạm tổ chức bởi vì chúng hỗ trợ các dịch vụ truy cập cấp nhỏ nhất mặc dù số lượng người sử dụng truy cập mạng vào một lúc tăng mạnh Khi số lượng người sử dụng kết nối tăng trong mô hình VPN, mặc dù các dịch vụ có thể giảm, tính năng truy cập không bị phá vỡ hoàn toàn.
Bất chấp các ưu điểm của mạng VPN truy cập từ xa đưa ra, một vài nhược điểm cố hữu luôn đi kèm với chúng:
• Mạng VPN truy cập từ xa không đưa ra sự bảo đảm về chất lượng dịch vụ QoS.
• Khả năng mất mát dữ liệu là rất cao Hơn nữa, các gói tin có thể bị chia nhỏ và không được sắp xếp lại.
• Vì các giải thuật mã hoá phức tạp, giao thức trên đó cũng được tăng đáng kể Điều này dẫn đến sự mặc định trong quá trình chứng thực Hơn nữa, việc nén dữ liệu dựa vào IP và PPP là vô cùng chậm và không đầy đủ.
• Vì sự hiện diện ưu tiên của Internet, khi trao đổi nhiều dữ liệu đa phương tiện (multimedia) qua các đường hầm của mạng VPN truy cập từ xa, việc trao đổi mặc định có thể rất cao và tốc độ dữ liệu truyền có thể rất thấp.
Intranet VPN được sử dụng để kết nối các chi nhánh từ xa của một tổ chức tới mạng Intranet tổ chức Trong một mô hình Intranet, không sử dụng công nghệ VPN tại mỗi trạm từ xa phải cần kết nối tới mạng Intranet của tổ chức (backbone router) sử dụng các router ngang hàng (campus) Mô hình này được miêu tả như hình 2.4 sau:
Mô hình trên rất đắt tiền bởi vì cần ít nhất hai router để kết nối một chi nhánh từ xa tới mạng Intranet của tổ chức Hơn nữa, việc thực hiện, duy trì, và quản lý mạng xương sống (backbone) Intranet có thể rất đắt phụ thuộc vào lưu lượng mạng đi qua nó và quy mô địa lý của toàn bộ mạng Intranet Ví dụ, giá thành một mạng Intranet toàn cầu có thể lên tới vài ngàn đôla một tháng! Mạng Intranet càng lớn, có thể càng đắt tiền.
Với các giải pháp xây dựng VPN, mô hình xương sống WAN đắt tiền được thay thế bằng kết nối Internet giá trị thấp hơn, có thể làm giảm tổng chi phi xây dựng toàn bộ mạng Intranet Một giải pháp Intranet dựa trên VPN đặc trưng được mô tả như hình 2.5 sau:
Hình 2 : Mô hình Intranet 4 không sử dụng VPN
Các ưu điểm của mô hình trên gồm có:
• Chi phí hiệu quả bởi vì loại bỏ được các router được sử dụng trong mạng xương sống WAN.
• Giảm đáng kể số nhân viên hỗ trợ được yêu cầu tại các trạm từ xa khác nhau
• Bởi vì Internet đóng vài trò như môi trường kết nối, làm cho dễ dàng thích nghi với các liên kết peer- -to peer mới.
• Chi phí hiệu quả có thể vẫn đạt được các điều kiện thuận lợi sử dụng đường hầm VPN kết hợp với công nghệ chuyển mạch nhanh, như Frame Relay
Hình 2.5: Giải Pháp Intranet dựa trên VPN
• Vì bản chất cục bộ của kết nối qua số tới ISP, có thể nhanh hơn và tốt hơn Cũng vì thế, việc loại bỏ các dịch vụ đường dài giúp đỡ hơn nữa một tổ chức giảm chi phí thực hiện Intranet.
Những nhược điểm đi kèm với các giải pháp mạng Intranet VPN:
• Vì dữ liệu trên tunnel thông qua một mạng công cộng được chia sẻ - Internet - khả năng tấn công, như từ chối dịch vụ, có thể vẫn đưa ra những mối đe doạ bảo mật nghiêm trọng.
• Khả năng mất mát gói tin dữ liệu trong khi truyền là vẫn rất cao.
• Trong trường hợp trao đổi dữ liệu đa phương tiện, mặc định trong trao đổi có thể rất cao và tốc độ truyền dữ liệu có thể vô cùng thấp bởi vì sự ưu tiên của Internet.
• Vì kết nối Internet ưu tiên, hiệu năng có thể rời rạc và chất lượng dịch vụ QoS không thể bảo đảm.
Không giống các giải pháp VPN như Intranet và truy cập từ xa, Extranet VPN không được phân biệt hoàn toàn từ thế giới bên ngoài Thực tế, Extranet VPN cho phép quản lý truy cập tài nguyên mạng cần thiết tới các thực thể kinh doanh bên ngoài, như đối tác, khách hàng, nhà cung cấp đóng vai trò chính trong việc kinh doanh của tổ chức.
Mô hình Extranet truyền thống được mô tả như hình 2.6 sau:
Theo hình trên, mô hình truyền thống rất đắt tiền, bởi vì mọi mạng nhỏ trong Intranet phải được biến đổi để phù hợp với mạng External Kết quả đặc trưng này trong việc thực hiện và quản lý các mạng phức tạp khác nhau Cũng vì thế, sự cần thiết các nhân viên đủ khả năng để duy trì và quản lý mô hình vô cùng phức tạp là rất cao Hơn nữa, mô hình loại này không thể dễ dàng mở rộng bởi vì việc này sẽ phá vỡ toàn bộ kết cấu mạng Intranet và có thể ảnh hưởng đến các mạng mở rộng được kết nối khác Như một hệ quả tất yếu, bạn có thể bắt gặp khi kết nối một mạng Intranet tới các mạng mở rộng, việc xây dựng mạng Extranet có thể là cơn ác mộng của nhà thiết kế mạng và nhà quản trị mạng.
Việc xây dựng VPN đã tạo ra nhiệm vụ tạo một mạng Extranet dễ dàng và chi phí hiệu quả Mô hình Extranet VPN được mô tả như hình 2.7 sau:
Hình 2.6: Mô hình Extranet truyền thống
Những ưu điểm chính của Extranet VPN gồm có:
• Chi phí rất nhỏ so với mô hình truyền thống.
• Dễ dàng xây dựng, duy trì, và dễ dàng thay đổi mô hình hiện tại.
Kỹ thuật kết nối mạng VPN trên mạng công cộng
Các kỹ thuật VPN có thể được phân loại theo nhiều cách Sự phân loại dựa trên việc định tuyến hoán đổi thông tin bên trong mạng VPN Có hai mô hình VPN được sử dụng rộng rãi:
• Mô hình overlay: nhà cung cấp dịch vụ chỉ cung cấp các kênh ảo (các đường thuê bao logic), và thông tin định tuyến được hoán đổi trực tiếp với giữa các router của khách hàng.
• Mô hình peer- -peerto : thông tin định tuyến của khách hàng được hoán đổi giữa router của khách hàng và router của nhà cung cấp dịch vụ.
Hai mô hình có thể được kết hợp trong một mạng cung cấp dịch vụ lớn: mô hình VPN peer- -to peer có thể sử dụng VPN overlay trong phần truy cập của nó (ví dụ: kết nối router của khách hàng với router cuối của nhà cung cấp qua mạng Frame Relay) hoặc lõi của nó (ví dụ: liên kết các router của nhà cung cấp thông qua mạng ATM).
Sự phân loại chi tiết của VPN tập trung vào các kỹ thuật cơ bản được sử dụng để truyền các gói tin lớp 3 qua VPN Mô hình VPN overlay có thể được thực hiện với kỹ thuật chuyển mạch WAN lớp 2 (X.25, Frame Relay, hay
ATM) hoặc kỹ thuật tạo đường hầm lớp 3 (GRE, IPSec) Mô hình VPN peer- to-peer có thể được thực hiện với các cách định tuyến phức tạp hay dùng IP access lists (danh sách các IP truy cập) VPN dựa trên kỹ thuật chuyển mạch nhãn đa giao thức MPLS kết hợp những điểm lợi của mô hình peer- -peer to (định tuyến đơn giản hơn, xây dựng các thiết bị của khách hàng cũng đơn giản hơn) với tính năng bảo mật và tính biệt lập trong mô hình VPN overlay.
IV.1 Mô hình VPN overlay:
Mô hình VPN overlay rất dễ hiểu vì nó tách biệt rất rõ ràng giữa nhiệm vụ của khách hàng và của nhà cung cấp:
• Nhà cung cấp dịch vụ cung cấp cho khách hàng một tập các đường thuê bao gọi là các kênh ảo (VC virtual circuit) có thể luôn luôn sẵn sàng - (PVC) hay được thiết lập khi có yêu cầu (SVC).
• Khách hàng thiết lập truyền thông router- -to router giữa các thiết bị sẵn có (của khách hàng) - Customer Premises Equipment (CPE) - thông qua
VC được cung cấp Giao thức định tuyến dữ liệu luôn luôn được hoán đổi giữa các thiết bị của khách hàng, và nhà cung cấp không cần quan tâm đến cấu trúc bên trong mạng của khách hàng
QoS bảo đảm trong mô hình VPN overlay thường được biểu diễn theo băng thông được cam kết trong VC (Committed Information Rate hoặc CIR) và băng thông tối đa trên VC (Peak Information Rate hoặc PIR) Bảo đảm băng thông được cam kết thường được cung cấp thông qua dịch vụ lớp 2 nhưng phụ thuộc vào chiến lược nhà cung cấp dịch vụ Có nghĩa là tốc độ cam kết không thực sự được bảo đảm mặc dù nhà cung cấp có thể đưa ra tốc độ thông tin tối thiểu - Minimum Information Rate (MIR) - thông qua cơ sở hạ tầng lớp 2.
Mạng VPN overlay có thể được thực hiện với một số công nghệ chuyển mạch WAN lớp 2, như X.25, Frame Relay, ATM Những năm trước, mạng VPN overlay cũng được thực hiện với tạo đường hầm IP-over-IP, cả trong mạng IP riêng và trên mạng công cộng Hai giải pháp tạo đường hầm được sử dụng rộng rãi là tạo đường hầm đóng gói đường chung - Generic Route Encapsulation (GRE) - và mã hoá bảo mật IP - IP Security (IPSec)
Hình 2 : Mô hình VPN Overlay 9
Mặc dù dễ hiểu và dễ thực hiện, tuy nhiên mô hình VPN overlay cũng có những trở ngại:
• Nó thích hợp để cấu hình với một số ít trạm trung tâm và trạm từ xa, nhưng trở nên rất khó khăn khi cấu hình mạng lớn hơn.
• Từng VC riêng phải biết chính xác lưu lượng site- -to site, cái mà thường không ổn định.
IV.1.1 Kỹ thuật VPN dựa trên kênh ảo VC của Frame Relay hoặc ATM: a Tìm hiểu chung
Giải pháp VPN dựa trên kênh ảo VC cung cấp dịch vụ IP thông qua mạng công cộng Frame Relay hoặc ATM Kênh ảo được cấu hình sẵn (PVC- Permanent virtual circuit) hoặc kênh ảo được chuyển mạch (SVC-Switched virtual circuit) cung cấp tính riêng tư cao Mã hoá lớp liên kết là một tính năng của kỹ thuật này; nó có thể được cung cấp trên toàn bộ kết nối nếu cần thiết, hoặc thông thường nó thực hiện khi một ứng dụng cần mã hoá Dịch vụ VPN dựa trên VC được đưa ra bởi nhà cung cấp thường bao gồm dịch vụ router được quản lý để cung cấp giải pháp end- -to end Đây là cách truyền thống nhà cung cấp đưa ra dịch vụ VPN Họ có thể thúc đẩy cơ sở hạ tầng dựa trên frame hoặc cell mà không cần phải đầu tư nhiều hơn nữa.
Nhà cung cấp có thể tạo dịch vụ IP VPN sử dụng PVC hoặc SVC để thiết lập kết nối point- -to point thông qua mạng Frame Relay hoặc ATM, sử dụng các router để quản lý thông tin lớp 3 Kết nối này thường có cấu trúc "spoke" hay
Thực hiện IP VPN dựa trên PVC không phức tạp, nhưng việc cung cấp từng PVC mất nhiều thời gian Nhà cung cấp đưa ra PVC, và bảng định tuyến để duy trì sự liên kết các trạm từ xa trên các router của khách hàng (CPE- customer premises equipment) Việc thực hiện này có ưu điểm về cung cấp các kỹ thuật chỉ định băng thông không phức tạp, chẳng hạn như tốc độ thông tin cam kết (CIR-committed information rate) trong Frame Relay, tốc độ cell duy trì liên lạc (SRC-sustained cell rate) hay tốc độ cell nhỏ nhất (MCR-minimum cell rate) trong ATM, để đảm bảo băng thông giữa hai điểm cuối end- -end to thông qua mạng Tuy nhiên, việc ánh xạ luồng IP vào VC không đảm bảo QoS cho lưu lượng IP trừ phi các thiết bị cuối có thể xử lý định tuyến lớp 4 phức tạp và định hướng IP Khả năng này cần thiết để sử dụng băng thông tối đa thông qua từng PVC, và ngăn chặn những ứng dụng không hợp pháp từ các VC trái phép Việc quản lý được khớp nhau, VPN dựa trên VC cũng tăng độ phức tạp của việc cấu hình router CPE bởi vì mỗi thiết bị cuối cần được nhận biết tất cả các đường VC có thể hoạt động, làm cho dịch vụ VPN end- -end khto ó có thể quản lý đầy đủ, mở rộng.
Hình 2.10: VPN dựa trên kênh ảo VC của Frame Relay hoặc ATM b.
• Dịch vụ router được quản lý đưa ra dịch vụ VPN không đắt tiền, nhanh chóng trên cơ sở hạ tầng Frame Relay và ATM.
• Băng thông được cam kết theo CIR của Frame Relay, SCR hay MCR của ATM.
• Khả năng mở rộng mô hình VC
• PVC cung cấp từng VPN logic; vì thế, mã hoá không cần thiết. c Những hạn chế
• Sự mở rộng của mạng với một mô hình lưu lượng any- -to any bị giới hạn bởi mạng lưới point- -to point đầy đủ Khi số lượng trạm tăng lên thì mạng lưới VC cũng tăng lên.
• Mô hình VPN phải được duy trì trên tất cả các thiết bị CPE trong VPN đó (trên mỗi thiết kế router CPE của VPN).
• Việc thêm, di chuyển, thay đổi yêu cầu phải cung cấp lại đầy đủ của mỗi điểm cuối.
• Việc ánh xạ luồng IP vào VC không bảo đảm QoS trừ phi thiết bị cuối có thể xác định từng luồng ứng dụng, đưa ra mức độ ưu tiên và định hướng lưu lượng IP cho băng thông WAN tốt nhất.
IV.1.2 Kỹ thuật tạo đường hầm IP VPN
Trong mạng được định tuyến (lớp 3), VPN có thể được cung cấp sử dụng các đường hầm IP dựa vào các giao thức IPSec hoặc GRE cho tính riêng tư Một đường hầm làm việc giống như một phong bì để xác định luồng gói tin và che dấu cấp độ nào đó về thông tin đối với phần còn lại của mạng Kỹ thuật này yêu cầu một thiết bị bảo mật như một bức tường lửa (firewall) hoặc một router Cisco hỗ trợ các kênh IPSec thông qua mạng công cộng hoặc mạng IP mật như Cisco PIX Firewall, IPSec được dùng để tạo các đường hầm của khách hàng Trong router, các đường hầm được cấu hình trước có thể được tạo sử dụng IPSec hoặc GRE Đường hầm sẽ mã hoá toàn bộ dữ liệu đi qua phần mạng công cộng của VPN.
IV.1.2.1 Tạo đường hầm và mã hoá dựa trên IPSec
Cấu trúc MPLS/VPN
Trong những phần trước, chúng ta đã tìm hiểu quá trình phát triển của mạng riêng ảo (VPN-Virtual Private Network); hai mô hình VPN chính: VPN xếp chồng (overlay) và VPN ngang hàng (peer- -peerto ); và những công nghệ chính để thực hiện cả hai mô hình.
Mô hình VPN overlay, được sử dụng phổ biến nhất trong mạng của nhà cung cấp dịch vụ, thiết kế và cung cấp các kênh ảo phục vụ cho bất kỳ luồng lưu lượng nào thông qua mạng xương sống Trong trường hợp của một mạng
IP, điều này có nghĩa là nếu công nghệ cơ sở là kết nối vô hướng (connectionless), nó cũng gần như yêu cầu một dịch vụ kết nối có hướng (connection-oriented)
Nhìn từ phía nhà cung cấp dịch vụ, tính linh hoạt của mô hình VPN overlay sẽ bị giảm đi đáng kể khi phải quản lý và cung cấp một số lượng lớn các kênh/đường hầm giữa các thiết bị của khách hàng Nhìn từ phía khách hàng, việc thiết kế giao thức cổng vào ở phía trong (Interior Gateway Protocol) là vô cùng phức tạp và cũng rất khó quản lý.
Nói cách khác, mô hình VPN peer- -to peer cho phép thiếu sự cô lập giữa các khách hàng và sự cần thiết về không gian địa chỉ IP liên kết giữa các thiết bị của họ.
Với việc đưa ra giao thức chuyển mạch nhãn đa giao thức (MPLS-Multiprotocol Label Switching), có sự kết hợp của chuyển mạch lớp 2 với định tuyến và chuyển mạch lớp 3, nó tạo ra khả năng xây dựng một kỹ thuật kết hợp những ưu điểm của VPN overlay (như là tính bảo mật và sự biệt lập giữa các khách hàng) và những ưu điểm định tuyến đơn giản khi thực hiện mô hình
VPN peer- -to việc định tuyến của khách hàng đơn giản hơn và khả năng cung cấp của nhà cung cấp dịch vụ cũng đơn giản hơn MPLS cũng bổ sung một số những ưu điểm mới của một kết nối gần như có hướng vào mẫu định tuyến IP, thông qua việc thiết lập các đường chuyển mạch nhãn (LSP-Label Switched Path)
Cấu trúc MPLS/VPN cung cấp khả năng tạo ra một mạng riêng thông qua một cơ sở hạ tầng chung Tuy nhiên các phương pháp được dùng để cung cấp dịch vụ lại khác nhau.
I.1 Cấu trúc tổ chức mạng MPLS/VPN
CE router PE router PE router CE router
(Customer Control) P Network (Provider control) C Network
Về cơ bản cấu trúc tổ chức của một mạng dữ liệu ứng dụng công nghệ chuyển mạch nhãn IP/MPLS được mô tả như trong hình sau:
Việc xây dựng mạng dữ liệu ứng dụng công nghệ IP/MPLS cần xác định rõ
Hình 3.1:Cấu trúc tổ chức mạngMPLS/VPN
- CE router: là các thiết bị định tuyến đầu cuối của khách hàng, thuộc mạng khách hàng và do khách h ng quản lý điều khiển, các CE router à được kết nối tới mạng dữ liệu MPLS thông qua việc kết nối trực tiếp vào các PE router
Về phía nhà cung cấp dịch vụ:
PE router ( Edge LSR): là các thiết bị định tuyến lớp biên, có các chức năng cơ bản sau:
- Gán và gỡ bỏ nhãn cho các gói tin khi đi vào và đi ra khỏi một MPLS domain
- Phân loại gói tin (Classify packets): Thực hiện chức năng phân lớp dịch vụ ( Class of Services) để có thể gán các chính sách lưu lượng khác nhau cho từng lớp dịch vụ.
- Thiết kế lưu lượng và Queing: Thực hiện các chính sách Traffic Queing đảm bảo QoS,…
- Nhận nắm giữ các thông tin định tuyến từ mạng ngoài, về VPN mà chúng được kết nối trực tiếp tới Việc này làm giảm số lượng thông tin định tuyến mà một PE router cần thiết phải lưu giữ để chuyển tiếp các gói,…
- PE router: là các thiết bị định tuyến lớp lõi, những thông tin định tuyến bên ngoài không được lưu giữ trong các P router, P router có các chức năng cơ bản sau:
- Chuyển tiếp các gói tin dưa trên các nhãn của gói tin thông qua các giao thức định tuyến và giao thức phân phối nhãn như LDP, hay CD- LDP,…
- Thiết lập và thực hiện các chính sách thiết kế lưu lượng, đảm bảo QoS.
- MPLS Domain: là một tập các node liên tục có cùng chính sách định tuyến và chuyển mạch, cùng chính sách quản trị (administrative domain)
Trong mô hình mạng dữ liệu ứng dụng công nghệ MPLS thì trên đường đi của một gói tin MPLS chỉ có thể đi và MPLS domain thông qua duy nhất một
PE router và có thể đi qua nhiều P router và khi đi ra khỏi MPLS domain cũng thông qua duy nhất 1 PE router Điều này là rất quan trọng trong quá trình xây dựng và hoạch định chức năng các thành phần định tuyến trong một mạng dữ liệu MPLS.
So sánh MPLS/VPN với các kỹ thuật VPN truyền thống
II.1 Các mạng VPN truyền thống
Các mạng VPN truyền thống sử dụng các chức năng bảo mật như: tạo đường hầm (Tunneling), mã hoá dữ liệu (Encription), chứng thực (Authentication) với mục đích đạt được khả năng bảo mật khi truyền dữ liệu giữa hai đầu cuối Có rất nhiều các giao thức khác nhau được sử dụng cho các mạng VPN này như: GRE, PPTP, L2TP, và IPSec Chúng đều dựa trên hoạt động tạo đường truyền riêng và sử dụng các thuật toán mã hóa dữ liệu Chúng ta tập trung nghiên cứu giao thức IPSec vì hiện nay nó được sử dụng rộng rãi cho các mạng VPN và các giao thức trên đều có những hạn chế so với IPSec.
Xét một ví dụ đơn giản về một đường hầm IPSec giữa hai Site trong mạng VPN Site A nối với site B thông qua mạng của nhà cung cấp dịch vụ hoặc mạng Internet công cộng sử dụng giao thức IPSec với mã hóa 3DES (Hình1).
Hạn chế đầu tiên và cũng là dễ nhận thấy nhất ở IPSec đó là làm giảm hiệu năng của mạng Khi xét đường đi của một gói tin được gửi từ máy tính A trong mạng A đến máy tính B trong mạng B Gói tin từ máy tính A sẽ được gửi đến CPE (Customer Premise Equipment) A CPE-A sẽ kiểm tra gói tin xem liệu nó Hình 3.2 Kết nối giữa máy tính A và máy tính B trong mạng VPN có cần thiết phải chuyển đến CPE B hay không Trong một môi trường mạng - không có VPN thì gói tin sẽ được truyền ngay đến CPE B Tuy nhiên, với giao - thức IPSec, CPE A phải thực hiện một số thao tác trước khi gửi gói tin đi Đầu - tiên, gói tin được mã hóa, sau đó đóng gói vào các gói IP, hoạt động này tiêu tốn thời gian và gây trễ cho gói tin Tiếp theo gói tin sẽ được đưa vào trong mạng của nhà cung cấp dịch vụ Lúc này, nếu gói tin mới được tạo thành có kích thước lớn hơn kích thước tối đa cho phép truyền (MTU-Maximum Transmission Unit) trên bất cứ một liên kết nào giữa CPE-A và CPE-B thì gói tin sẽ cần phải được phân mảnh thành hai hay nhiều gói tin nhỏ hơn điều này chỉ xảy ra trong trường hợp bit DF (Don't Fragment) không được thiết lập, còn trong trường hợp bit DF được thiết lập thì gói tin sẽ bị mất và một bản tin ICMP (Internet Control Message Protocol) sẽ được gửi lại phía phát Khi gói tin đến được CPE B, nó sẽ được mở gói và giải mã, hai hoạt động này tiếp tục - làm trễ gói tin trong mạng Cuối cùng, CPE B sẽ chuyển tiếp gói tin đến máy - tính B
Thời gian trễ trong mạng sẽ phụ thuộc vào độ phức tạp và tốc độ xử lý của các CPE Các thiết bị CPE chất lượng thấp thường phải thực hiện hầu hết các chức năng IPSec bằng phần mềm khiến trễ trong mạng lớn Các thiết bị CPE với khả năng thực hiện các chức năng IPSec bằng phần cứng có thể tăng tốc độ xử lý gói tin lên rất nhiều nhưng chi phí cho các thiết bị này là rất đắt điều này dẫn đến chi phí triển khai một mạng IPSec VPN là rất tốn kém
Từ ví dụ trên, ta dễ dàng nhận thấy các mạng IPSec VPN là mạng lớp trên của mạng IP và sự trao đổi thông tin trong mạng được thực hiện bằng cách thiết lập các đường hầm giữa các site Điều này sẽ tạo nên những cấu hình mạng không tối ưu Để rõ hơn về vấn đề này, ta sẽ xét hai cấu hình mạng, cấu hình hình sao và cấu hình mạng lưới (full mesh)
Cấu hình mạng hình sao bao gồm một site trung tâm (hub) được nối với rất các site ở xa (spoke) khác Trong cấu hình này, CPE của site trung tâm thường là một thiết bị rất đắt tiền và phụ thuộc vào số lượng spoke cần kết nối đến Và mỗi một spoke này sẽ thiết lập một đường hầm IPSec (IPSec tunnel) đến site trung tâm Cấu hình mạng này không phù hợp cho truyền thông giữa các site nhánh (spoke) với nhau vì gói tin từ spoke này đến spoke kia phải đi qua site trung tâm và tại site trung tâm này sẽ lặp lại các tác vụ như đóng mở gói tin, xác định đường chuyển tiếp, mã hóa và giải mã đối với mỗi gói tin đi qua nó
Có nghĩa là mỗi gói tin sẽ phải đi qua hai đường hầm IPSec dẫn đến trễ xử lý cho mỗi gói tin sẽ tăng gấp đôi so với trường hợp hai spoke có thể trao đổi thông tin trực tiếp với nhau.
Giải pháp duy nhất để khắc phục hiện tượng trên là thiết lập một mạng mắt lưới (fully meshed network) Tuy nhiên, cấu hình này có rất nhiều hạn chế, và điểm hạn chế lớn nhất là khả năng mở rộng mạng Số lượng các tunnel cần thiết để hỗ trợ một mạng mắt lưới IPSec về phương diện hình học sẽ tăng cùng với số lượng site Ví dụ một mạng với 20 site sẽ cần 210 đường hầm IPSec và mỗi một site cần có thiết bị CPE có khả năng kết cuối với 210 đường hầm IPSec Một cấu hình mạng như vậy sẽ phải đòi hỏi mỗi site phải có một CPE phức tạp và đắt tiền Thậm chí trong một số trường hợp, việc thiết lập một cấu hình mạng “full mesh” là không thể, ta hãy tưởng tượng một mạng 100 site VPN với yêu cầu 4,950 đường hầm!
Một điểm chúng ta cần phải cân nhắc khi triển khai các mạng VPN đó là các thiết bị CPE Mỗi nhà cung cấp cần phải chắc chắn rằng tất cả các CPE sẽ hoạt động tương thích với nhau Giải pháp đơn giản và và hiệu quả nhất là sử dụng cùng một loại CPE trong mỗi vùng, tuy nhiên, điều này không phải bao giờ cũng thực hiện được do nhiều yếu tố khác nhau Tuy ngày nay sự tương thích không phải là một vấn đề lớn nhưng nó vẫn cần phải được quan tâm khi hoạch định một giải pháp mạng IPSec VPN.
Mỗi một CPE phải đóng vai trò như là một router và có khả năng hỗ trợ cách duy nhất để triển khai IPSec trong một mạch cầu là tải các phần mềm IPSec client vào tất cả các PC phía sau cầu Giải pháp này đòi hỏi sự hỗ trợ khách hàng cao dẫn đến những khó khăn trong quản lý mạng.
Khai thác và bảo dưỡng cũng là một vấn đề nữa của các mạng IPSec VPN vì mỗi một đường hầm IPSec đều phải được thiết lập bằng tay Cấu hình cho một đường hầm IPSec đơn lẻ không phải là vấn đề thế nhưng thời gian để thiết lập và duy trì một mạng VPN với nhiều site sẽ tăng lên đáng kể khi kích thước mạng được mở rộng đặc biệt là với mạng VPN có cấu hình “full mesh” thì các nhà cung cấp dịch vụ sẽ gặp nhiều khó khăn trong hỗ trợ và xử lý sự cố kỹ thuật
Vấn đề bảo mật cũng cần được quan tâm trong các mạng VPN Mỗi CPE có thể truy nhập vào mạng Internet công cộng nhưng tin tức vẫn cần được bảo mật trong quá trình truyền giữa các site Vì vậy, mỗi thiết bị CPE phải có biện pháp bảo mật nhất định (như Firewall) Và sự quản lý các firewall này sẽ trở nên rất khó khăn nhất là khi kích thước của mạng rất lớn Với một mạng VPN khoảng 100 nút mạng, sẽ cần 100 firewall và mỗi khi cần một sự thay đổi nhỏ trong chính sách (policy) của firewall, chúng ta phải tiếp cận cả 100 firewall này trong mạng Rõ ràng đây là một điểm hạn chế lớn của các mạng IPSec VPN về khía cạnh bảo mật.
Không giống như các mạng VPN truyền thống, các mạng MPLS VPN không sử dụng hoạt động đóng gói và mã hóa gói tin để đạt được mức độ bảo mật cao MPLS VPN sử dụng bảng chuyển tiếp và các nhãn “tags” để tạo nên tính bảo mật cho mạng VPN Kiến trúc mạng loại này sử dụng các tuyến mạng xác định để phân phối các dịch vụ VPN, và các cơ chế xử lý thông minh của MPLS VPN lúc này nằm hoàn toàn trong phần lõi của mạng.
Trước tiên, ta hãy xem xét một số thuật ngữ được dùng trong mạng MPLS VPN Thiết bị CPE trong MPLS-VPN chính là các CE (Customer Edge) router và các CE router này được nối với mạng của nhà cung cấp dịch vụ thông qua các PE (Provider Edge) router Một mạng VPN sẽ bao gồm một nhóm các CE router kết nối với các PE router của nhà cung cấp dịch vụ Tuy nhiên, chỉ những PE router mới có khái niệm về VPN, còn các CE router thì không “nhận thấy” những gì đang diễn ra bên trong mạng của nhà cung cấp dịch vụ và sẽ coi như chúng đang được kết nối với nhau thông qua một mạng riêng.
Mỗi VPN được kết hợp với một bảng định tuyến chuyển tiếp VPN (VRF) - riêng biệt VRF cung cấp các thông tin về mối quan hệ trong VPN của một site khách hàng khi được nối với PE router Bảng VRF bao gồm thông tin bảng định tuyến IP (IP routing table), bảng CEF (Cisco Express Forwarding), các giao diện của bảng định tuyến; các quy tắc, các tham số của giao thức định tuyến Mỗi site chỉ có thể kết hợp với một và chỉ một VRF Các VRF của site khách hàng mang toàn bộ thông tin về các “tuyến” có sẵn từ site tới VPN mà nó là thành viên Đối với mỗi VRF, thông tin sử dụng để chuyển tiếp các gói tin được lưu trong các bảng định tuyến IP và bảng CEF Các bảng này được duy trì riêng rẽ cho từng VRF nên nó ngăn chặn được hiện tượng thông tin bị chuyển tiếp ra ngoài mạng VPN cũng như ngăn chặn các gói tin bên ngoài mạng VPN chuyển tiếp vào các router bên trong mạng VPN Đây chính là cơ chế bảo mật của MPLS VPN Bên trong mỗi một MPLS VPN, có thể kết nối bất kỳ hai điểm nào với nhau và các site có thể gửi thông tin trực tiếp cho nhau mà không cần thông qua site trung tâm
Các mô hình xây dựng mạng dữ liệu ứng dụng công nghệ MPLS/VPN 90 1 Kết nối Internet và MPLS VPN chia sẻ
Có rất nhiều cách kết hợp có thể trong việc sử dụng cấu trúc hạ tầng mạng dữ liệu Internet ứng dụng công nghệ MPLS để cung cấp các dịch vụ MPLS/ VPN, tùy thuộc vào việc làm thế nào nhà cung cấp dịch vụ có thể kết hợp giữa các lưu lượng MPLS VPN và lưu lượng Internet Các lựa chọn cho mô hình cấu trúc hạ tầng như vậy gồm có:
• Kết nối Internet và MPLS VPN chia sẻ (Shared MPLS VPN và Internet Connectivity)
• Kết nối Internet và MPLS VPN chia sẻ một phần (Partially Shared)
• Kết nối Internet và MPLS VPN tách biệt hoàn toàn (Full Separation)
Khách hàng của nhà cung cấp dịch vụ có thể luôn chọn hoặc đa dịch vụ hoặc là khách hàng dành riêng, bất kể cấu trúc hạ tầng mạng nhà cung cấp dịch vụ thực hiện Ngoài ra, cấu trúc hình hub/spoke hoặc fully meshed tại các - mạng của khách hàng cũng có thể được thực hiện trên bất kỳ cấu trúc nào ở trên
III.1 Kết nối Internet và MPLS VPN chia sẻ
VPN Access only Site with
Trong mô hình kết nối này, cả router P và PE hỗ trợ lưu lượng Internet và VPN Một router PE có thể kết nối cả Internet và cả khách hàng VPN Router
PE có thể có hoặc không có bảng định tuyến Internet đầy đủ PE và Internet
GW ở trong cùng vùng IBGP. Ưu điểm của mô hình kết nối này:
- Một router biên cho kết nối khách hàng
- Có thể cung cấp các dịch vụ tập trung
Hình 3.4: Kết nối Internet và MPLS VPN chia sẻ
Nhược điểm của mô hình này nằm ở khía cạnh an ninh và năng lực hoạt động của router do PE phải thực hiện cả kết nối Internet và khách hàng VPN
III.2 Kết nối Internet và MPLS VPN chia sẻ một phần
VPN Access only Site with
Hình 3 5 mô tả cấu trúc kết nối Internet và MPLS VPN chia sẻ một phần, trong đó router P được chia sẻ, sử dụng các router PE khác nhau cho lư ượng u l Internet và VPN Hai giao diện sẽ phải có trên thiết bị router của khách hàng để kết nối đến hai PE khác nhau.
III.3 Kết nối Internet và MPLS VPN tách biệt hoàn toàn Ưu điểm của mô hình là tách biệt vật lý giữa Intranet/Extranet và Internet và phân tách giữa IGP và EGP Nhược điểm của mô hình là cần phải có hai mạng riêng và không phải là giải pháp kinh tế.
Hình 3.5: Kết nối Internet và MPLS VPN chia sẻ một
Lựa chọn thiết bị và giải pháp kỹ thuật cho mạng VNN
Hiện tại, mạng VNN đang triển khai hai mạng trục riêng biệt cho mạng IXP và mạng ISP Mạng trục IXP chủ yếu được sử dụng để cân bằng tải giữa các tuyến quốc tế ở Hà Nội, Đà nẵng và thàng phố Hồ Chí Minh Bằng việc nâng cấp lên mạng MPLS, chúng ta có thể thông nhất hai mạng trục này thành một mạng lõi IP Mạng sẽ sử dụng hiệu quả hơn và dễ triển khai nhiều ứng dụng hơn và thậm trí kết nối đến nhiều khách hàng IXP Những tính năng mới chẳng hạn như “Carrier Suport Carrier” cho phép các nhà cung cấp kết nối khác hoặc khách hàng ISP chuyển lưu lượng của họ qua mạng lõi IP VNN Sự đầu tư đó tiết kiệm cho cả VDC/VNPT, các khách hàng và nhà cung cấp kết nối khác Công nghệ AtoM (Any transport over MPLS) cho phép lưu lượng Fr, ATM, X.25 qua mạng lõi IP AtoM là công nghệ mới đã được phát triển bởi Cisco và trở thành chuẩn IETF Công nghệ đó cho phép tiếp tục cung cấp dịch
Hình 3.6: Kết nối Internet và MPLS VPN tách biệt hoàn toàn vụ Frame Relay trong khi không cần đầu tư hơn nữa vào công nghệ Frame Relay cũ.
HCM ISP Router Hanoi ISP VLAN Switch
Danang IXP VLAN Switch HCM IXP VLAN Switch
To in ter na tio na l
To in te rn at io na l
To in ter na tio na l
Mạng trục của mạng VNN hiện tại gồm hai tầng mạng cách biệt nhau bởi hệ thống firewall Công nghệ chuyển gói tin vẫn thuần túy là IP với các giao
Hình 3.7:Mạng trục của mạng VNN hiện tại
- liên mạng với các Carrier quốc tế, ISP trong nước).
Yêu cầu phát triển sẽ là triển khai ứng dụng công nghệ IP/MPLS trên toàn mạng để có các cơ chế thiết kế lưu lượng và đảm bảo chất lượng cho từng loại hình dịch vụ khác nhau trên mạng VNN. Để đáp ứng yêu cầu chuyển đổi mạng sang sử dụng Full MPLS thì mạng VNN sẽ được tổ chức lại gồm:
- Mạng lõi (p router) gồm 3 tam giác kết nối 3 trung tâm: HNI, DNG và HCM tạo thành tam giác core đủ mạnh cho mạng VNN Router lõi là sử dụng các dòng router cisco 12000 hỗ trợ đầy đủ các tính năng và công nghệ MPLS/VPN, MPLS TE, MPLS/QoS đóng vai trò là các P - router trong mô hình MPLS, hoặc các router 7600 sử dụng các Engines SUP7203BXL có khả năng hỗ trợ đầy đủ công nghệ MPLS và các tính năng MPLS/VPN, MPLS TE, MPLS/QoS Hoặc sử dụng các card - OSM trên router 7600 để hỗ trợ MPLS và các tính năng MPLS, tuy nhiên việc sử dụng card OSM cho lưu lượng MPLS chỉ là giải pháp tạm thời, khó có khả năng nâng cấp mở rộng, và không thực hiện được đầy đủ các chức năng MPLS.
- Mạng biên (PE router) gồm các router đóng vai trò là PE router trong mô hình mạng MPLS, sử dụng các dòng Cisco router 7500 tại các POP lớn như HNI, HCM, ĐNG Tại các POP ở các tỉnh thành hiện nay việc triển khai ứng dụng MPLS và cung cấp dịch vụ MPLS/VPN mới chỉ được thực hiện tại các POPs ở các sử dụng router dòng 7200 Các router dòng 7500, 7200 hỗ trợ tốt các yêu cầu về MPLS và các tính năng của MPLS Các POP khác (khoảng 31 POPs) tại các tỉnh thành hiện đang sử dụng các router dòng 3600 hiện hãng không còn sản xuất nên không thể nâng cấp (RAM, Flash Memory) để có thể ứng dụng
Các router tại các POPs này cần được nâng cấp lên các dòng mạnh hơn hỗ trợ đầy đủ công nghệ và tính năng của MPLS như các dòng router
7200, 7300, 7500, 7600,… Để có thể triển khai ứng dụng công nghệ IP/MPLS, cần phải chuẩn bị các điều kiện và thực hiện các nội dung công việc sau:
➢ Nâng cấp phần cứng của một số router có cấu hình yến trên mạng VNN Bởi vì để hỗ trợ MPLS/VPN thì các router hiện nay vừa phải mang bảng định tuyến Internet vừa phải mang bảng định tuyến VPN- IPv4 và đóng vai trò chuyển mạch nhãn LSR do đó yêu cầu về cấu hình về cấu hình phần cứng phải mạnh hơn.
➢ Nâng cấp phần mềm (các hệ điều hành IOS) trên các router để hỗ trợ MPLS/VPN, nên sử dụng các phiên bản IOS mới (từ 12.2(20)) trở nên hỗ trợ đầy đủ công nghệ MPLS và các tính năng của MPLS dành cho nhà cung cấp.
➢ Kích hoạt các router lớp lõi và lớp phân phối đóng vai trò LSR Thực hiện cấu hình các router này chạy thủ tục phân phối nhãn LDP Khi kích hoạt LDP các router sẽ đóng vai trò như các thiết bị chuyển mạch nhãn
➢ Kích hoạt các router lớp truy cập đóng vai trò các Edge-LSR Thực hiện cấu hình thủ tục phân phối nhãn LDP và thủ tục định tuyến MP- BGP trên các router này Thủ tục MP BGP được kích hoạt sẽ cho - phép các router lớp truy cập trao đổi thông tin định tuyến về các mạng VPN của khách hàng MP BGP sẽ xác định được sơ đồ định - tuyến trong VPN của khách hàng, trên cơ sở đó sẽ quyết định việc gắn nhãn và gửi gói tin VPN theo hướng nào.
➢ Định nghĩa MTU, bởi MTU bình thường chỉ hỗ trợ tối đa là 1500 byte, khi đóng gói MPLS thì kích thước gói có thể tăng thêm lên đến
16 byte Như vậy có thể sẽ xảy ra tình trạng gói tin sẽ vượt quá kích thước quy định là nhỏ hơn 1500 byte, nếu vượt quá thì gói tin có thể bị chặn bỏ, do vậy ta phải cấu hình để hỗ trợ MTU lớn hơn 1516 byte
VNN remote POPs VNN remote POPs
IP T ru nk li nk
IP T ru li nk nk
IP T ru nk li nk
IP T ru li nk nk
To In te rn at on al
To In te rn at on al
T o In te rn at on al
VNN MANAGEMENT& CONTROL LAYER VNN SERVICE LAYER
VNN CORE IP MPLS (nx2.5Gbps)
Mạng core 2 tam giác của mạng VNN sẽ được điều chỉnh thành một mạng lõi trong để khắc phục các hạn chế liên quan đến định tuyến, cân bằng tải Đồng thời, nâng tốc độ truyền dẫn từ STM1 hiện nay lên nxSTM-16 (ns2.5Gbps) để đảm bảo năng lực thực hiện các chức năng của một mạng core.
Hình 3.8:Mạng VNN khi được tổ chức lại
Sau khi nâng cấp mạng core trong lên nx2.5Gps, thực hiện cấu hình trên các thiết bị liên quan và chuyển dần lưu lượng mạng VNN trên Core ngoài vào Core2.5Gps
Việc chuyển lưu lượng mạng vào core 2.5G được tiến hành từng bước, đồng thời theo dõi hoạt động của mạng Các trung kế STM 1 vẫn giữ nguyên - để dự phòng.
Sau khi đã chuyển hết lưu lượng vào core 2.5 mới, các trung kết STM-1 ngoài vẫn giữ nguyên làm dự phòng trong thời gian khoảng 01 tháng Sau thời gian này, nếu mạng hoạt động tốt sẽ tiến hành giải phóng các kênh trung kế STM-1 của mạng Core ngoài (gồm các tuyến HNI-HCM, HNI-ĐNG, ĐNG- HCM: dung lượng 02xSTM 1/1 tuyến).-
Định tuyến đảm bảo chất lượng dịch vụ QoS
Mạng chuyển mạch gói đa dịch vụ hiện tại cần thực hiện SLA chặt chẽ mà đòi hỏi các cơ chế QoS tiên tiến và thông minh chẳng hạn như mô hình QoS DiffServ, DiffServ-Aware Các dịch vụ chẳng hạn như VoIP, Toll-bypass trunking, VLL và ATM VBR-rt… yêu cầu chất lượng dịch vụ nghiêm ngặt cho SLA
Việc thiết kế lưu lượng có thể phân biệt để đưa ra nhiều bậc kiểm tra chất lượng cho các kiểu lưu lượng mạng khác nhau Ví dụ, lưu lượng thoại dịch vụ VoIP đảm bảo ít nhất về độ trễ và băng thông, trong khi lưu lượng thương mại điện tử có thể nhận được đảm bảo băng thông nhỏ nhất (mà không đảm bảo về độ trễ) Đối với lưu lượng cần đảm bảo điểm tới điểm (hoặc site tới site), thiết kế lưu lượng DiffServ Aware của Cisco (DS E) được áp dụng cho chất lượng - -T dịch vụ chắc chắn.
Cơ chế thông minh như DS TE trong MPLS sẽ cung cấp QoS chặt chẽ hơn - cho lưu lượng cần đảm bảo point- -point (site- -to to site) về băng thông, độ trễ và jiter
Nhà cung cấp dịch vụ phải kiểm soát cả băng thông mạng và độ trễ Nhưng các dịch vụ như Ethernet trên MPLS, ATM VBR-nrt, và Frame Relay trên MPLS yêu cầu băng thông đảm bảo nhưng vừa phải hơn về QoS Nhà cung cấp dịch vụ cũng phải kiểm soát những đặc tính mạng sau nhằm phân phối SLA
1- Đảm bảo băng thông: dịch vụ kênh thuê kênh riêng ảo (Virtual leased- line service), kết nối đòi hỏi sự tương đương với một mạch mô phỏng
Thiết bị mạng phải có khả năng sắp xếp lưu lượng, do đó mạng có thể đảm bảo dung lượng các tuyến nhiều lưu lượng thoại trong bất kỳ điều kiện tắc nghẽn (vừa hoặc nghiêm trọng).
2- Đảm bảo độ trễ: đảm bảo về băng thông không luôn đảm bảo được độ trễ hoặc jiter thích hợp Ví dụ, luồng kết nối vệ tinh có thể cung cấp băng thông đảm bảo, nhưng chúng không thể đạt được yêu cầu về độ trễ cho các dịch vụ có yêu cầu QoS nghiêm ngặt Nhiều ứng dụng như kênh thuê riêng ảo thường có yêu cầu cao về độ trễ.
3- Giới hạn Jiter: Nhiều ứng dụng đa dịch vụ cũng yêu cầu hoạt động mạng nhất quán có thể dự đoán được Nhiều thiết bị mạng tạo ra jiter trong quá trình hàng đợi lưu lượng và sắp xếp, không quan tâm đến lưu lượng vào ban đầu phẳng (smooth) như thế nào Tạo ra jiter trong mạng thấp cũng làm giảm yêu cầu bộ đệm giải jiter lớn (large de-jiter buffers) ở node cuối cùng, dẫn đến việc phát lại âm thanh hoặc video tại đầu nhận cuối mịn hơn.
4- Các dịch vụ băng thông đảm bảo với MPLS
Với các giải pháp đảm bảo băng thông, khách hàng có thể sử dụng dịch vụ thoại và số liệu với đảm bảo điểm tới điểm trong mạng MPLS Dịch vụ với băng thông đảm bảo làm cho nhà khai thác dịch vụ đưa ra các tính năng truyền gói đặc trưng có thể dự tính được trong nhiều điều kiện và tải mạng khác nhau, quy định độ trễ, jiter chặt chẽ hoặc đảm bảo băng thông cho SLA cho VoIP và các lưu lượng thời gian thực khác. Để phân bổ các dịch vụ có băng thông đảm bảo, việc kết hợp các tính năng được yêu cầu để hỗ trợ cho toàn bộ giải pháp Các đặc tính được phân làm hai loại: đặc tính mặt phẳng điều khiển (control plane feature) và đặc tính mặt - phẳng chuyển tiếp (forwarding-plane feature) Đặc tính mặt phẳng điều khiển bao gồm: MPLS TE, MPLS DS-TE, MPLS FRR, và MPLS AutoBW Allocator
- băng thông, đảm bảo độ trễ, giới hạn của jiter, Diffserv QoS
Các cơ chế này làm việc kết hợp với thiết kế lưu lượng Diffserv nhằm cung cấp bảo đảm điểm tới điểm cho từng lớp dịch vụ.
Giải pháp thiết kế lưu lượng Cisco Diffserv-Aware (DS-TE) tự động chọn đường định tuyến thỏa mãn băng thông bắt buộc đã định nghĩa cho từng lớp dịch vụ (ví dụ như khuyến khích, vàng, bạc, đồng).
Cisco DS-TE sử dụng cơ chế bể kép (dual pool), không chỉ cho phép cấu - hình bể chung (global pool) cho tính toán băng thông, mà còn cung cấp cấu hình bể con (subpool) hạn chế lưu lượng mạng có ưu tiên cao như thoại.
Thiết kế lưu lượng theo mô hình Diffserv giảm nhẹ gánh nặng cho nhà cung cấp dịch vụ phải tính toán đường đi thích hợp cho mỗi khách hàng và lớp dịch cụ mỗi khách hàng.
Phần mềm IOS của Cisco cho phép nhà cung cấp dịch vụ thực hiện khả năng QoS SLA chặt chẽ để cung cấp kênh riêng ảo IP và bất kỳ dịch vụ chuyển vận lớp 2 nào trên một mạng số liệu. Ở biên của mạng, và trước khi vào đường hầm, lưu lượng được xem xét và đánh màu thích hợp Đánh màu (coloring) có nghĩa là đánh dấu các gói tin với giá trị bít ToS MPLS thích hợp trong header MPLS Mầu này sau đó được dùng trong lõi để phân biệt gói tin thuộc các lớp dịch vụ nào (Diffserv) Trong lõi, cơ chế QoS hàng đợi trễ thấp (Low Latency Queuing-LLQ) được sử dụng để đảm bảo băng thông tối thiểucho đường hầm của một lớp đặc biệt Điều này cho phép nhà cung cấp dịch vụ đảm bảo ưu tiên chặt chẽ, và một lượng băng thông được đảm bảo cho thoại, trong khi chia băng thông còn lại cho các đường hầm và lưu lượng số liệu khác sử dụng cơ chế CBWFQ (Class-Based Weighted Fair Queuing)
Trong mạng lõi, các router chuyển tiếp lưu lượng xử lý cơ bản đảm nhận chức năng như định tuyến, thiết lập và duy trì tài nguyên mạng và điều khiển quản lý Quá trình xử lý trong chuyển tiếp lưu lượng dựa trên thông tin trong cơ sở dữ liệu để phân loại lưu lượng và đưa vào hàng đợi Sử dụng IntServ đảm bảo QoS từ đầu đến cuối trên cơ sở mỗi luồng thông qua báo hiệu QoS trên từng chặng Các router dọc theo đường truyền phải duy trì trạng thái cho mỗi luồng Giải pháp này sẽ tối ưu về sử dụng tài nguyên mạng.
5- Giải pháp bảo vệ băng thông MPLS (MPLS Bandwidth Protection)
Cơ chế bảo vệ băng thông MPLS của Cisco cho phép nhà cung cấp dịch vụ cung cấp sự đảm bảo băng thông khi có lỗi của tuyến hoặc nút mạng, đảm bảo cho lưu lượng bằng cách định tuyến lại qua các đường hầm dự phòng trong khoảng 50ms, nhờ đó cải thiện sự khả dụng của toàn mạng lõi IP Bảo vệ băng thông MPLS cho phép chia sẻ băng thông hiệu quả giữa các đường hầm dự phòng, khắc phục được vấn đề lỗi các thành phần độc lập Bảo vệ băng thông MPLS, mà kết hợp Tunnel Builder Pro và Fast Reroute, bảo vệ băng thông của bất kỳ MPLS LSP nào.
6- Tối ưu hóa hội tụ BGP là giao thức định tuyến được dùng để kết nối trong tất cả mạng Internet toàn cầu Những cải tiến BGP của Cisco đã được thực hiện để cải thiện sự hội tụ và mở rộng của toàn mạng Tối ưu hóa sự hội tụ BGP cung cấp các lợi ích sau:
• Hội tụ nhanh hơn: Với số lượng các mục của bảng định tuyến hiện tại,
BGP hội tụ nhanh hơn 40% với những cải tiến Cisco Globally Resilient IP