BÁO CÁO ĐỀ TÀI CÔNG NGHỆ MẠNG LAYER 2 VPN Mạng riêng ảo hoạt động trên nền giao thức IP đang ngày càng trở nên phổ biến. Công nghệ này cho phép tạo ra một mạng riêng thông qua cơ sở hạ tầng chung của nhà cung cấp dịch vụ Internet (ISP). Các kĩ thuật đảm bảo an ninh khác nhau đã được áp dụng để bảo vệ thông tin của người sử dụng khi trao đổi trong một môi trường chia sẻ như Internet.
Trang 1ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH TRƯỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN
KHOA ĐIỆN TỬ - VIỄN THÔNG
BỘ MÔN VIỄN THÔNG VÀ MẠNG
Trang 2PHẦN 1: MẠNG RIÊNG ẢO (Virtual Private network - VPN)
I Khái quát về mạng riêng ảo (VPN):
Mạng riêng ảo (Virtual Private Network) được định nghĩa là mạng mà khách hàng
có thể kết nối nhiều vị trí được triển khai trên một nền tảng cơ sở hạ tầng, chia sẻ với cùng một mức độ truy cập (same access) hoặc chính sách bảo mật (security policies)
Mạng riêng ảo hoạt động trên nền giao thức IP đang ngày càng trở nên phổ biến Công nghệ này cho phép tạo ra một mạng riêng thông qua cơ sở hạ tầng chung của nhà cung cấp dịch vụ Internet (ISP) Các kĩ thuật đảm bảo an ninh khác nhau đã được áp dụng
để bảo vệ thông tin của người sử dụng khi trao đổi trong một môi trường chia sẻ như Internet
Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạng chung (thường là Internet) để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa Thay cho việc sử dụng kết nối thực, chuyên dùng như đường leased-line, mỗi VPN sử dụng các kết nối ảo được dẫn đường qua Internet từ mạng riêng của các công ty tới các site hay các nhân viên từ xa Để có thể gửi và nhận dữ liệu thông qua mạng công cộng mà vẫn bảo đảm tính an toàn và bảo mật, VPN cung cấp các cơ chế mã hoá dữ liệu trên đường truyền tạo ra một đường ống bảo mật giữa nơi nhận và nơi gửi (Tunnel) giống như một kết nối point-to-point trên mạng riêng Để có thể tạo ra một đường ống bảo mật đó,
dữ liệu phải được mã hoá hay dùng cơ chế giấu đi, chỉ cung cấp phần đầu gói dữ liệu (header) là thông tin về đường đi cho phép nó có thể đi đến đích thông qua đường mạng chung một cách nhanh chóng Dữ liệu được mã hoá một cách cẩn thận, do đó nếu các packet bị bắt lại trên đường truyền chung thì cũng không thể đọc được nội dùng này vì không có khoá để giải mã Liên kết với dữ liệu được mã hoá và đóng gói được gọi là kết nối VPN Các đường kết nối VPN thường được gọi là đường ống VPN (Tunnel VPN)
Trang 3II Phân loại VPN:
Có nhiều cách phân loại VPN như:
Phân loại theo layer mô hình OSI:
Phân loại theo phạm vi ứng dụng:
Phạm vi sử dụng service provider, enterprise
Phân loại theo giao thức:
Giao thức IPSEC, SSL VPN, L2TP
Trang 4PHẦN 2: LAYER 2 VPN
I Nguyên nhân ra đời:
Như đã khái quát ở trên, mạng riêng ảo được xây dựng bằng cách sử dụng đường dây thuê bao để cung cấp kết nối giữa các địa điểm khách hàng khác nhau Một khách hàng thuê Leased Line từ nhà cung cấp dịch vụ Đường dây thuê bao được cài đặt giữa các site khách hàng yêu cầu kết nối thông với nhau Đường này dành riêng cho khách hàng đó, những người khác không được chia sẻ
Dựa trên nền tảng VPN, công nghệ Layer 3VPN (viết tắt L3VPN) ra đời L3VPN
là dịch vụ VPN hoạt động dựa vào các thông tin lớp 3 của mô hình OSI, nhà cung cấp dịch vụ sẽ chuyển tiếp các gói tin của khách hàng dựa vào các thông tin lớp 3 Kĩ thuật VPN lớp 3 sử dụng phổ biến nhất là công nghệ VPN dựa trên IP Security (IPsec), MPLS VPN Border Gateway Protocol (BGP) VPN Trong L3VPN, các nhà cung cấp dịch vụ cung cấp một đường dây thuê bao hoặc kết nối PVC giữa khách hàng và điểm gần nhất
về sự hiện diện (POP) trên mạng của nhà cung cấp dịch vụ
Hình 2: Mô hình BGP/MPLS VPN
Trang 5Với L3VPN, khách hàng dựa vào các nhà cung cấp dịch vụ Internet (ISP) IP / MPLS dựa trên xương sống cho giao tiếp site–to-site riêng tư và an toàn Công nghệ L3VPN thật sự là một bước tiến cho các nhà cung cấp dịch vụ trong việc triển khai mô hình VPN tới các doanh nghiệp Tuy nhiên, L3VPN cũng có một vài hạn chế Ví dụ: IP là giao thức duy nhất được hỗ trợ trên mạng MPLS Layer 3 VPN Về mặt tốc độ truyền dữ liệu cũng như bảo mật thông tin cho khách hàng còn một số hạn chế vì L3VPN phải phân tích thông tin đến lớp 3 mới có thể chuyển gói tin đi tiếp Tốn nhiều thời gian hơn để xử
lý gói tin
Vì một số lý do được nêu ở trên dẫn đến sự ra đời của Layer 2 VPN (viết tắt L2VPN) Đây là công nghệ VPN hoạt động dựa vào các thông tin lớp 2 của mô hình OSI Công nghệ L2VPN ra đời và nhanh chóng trở nên phổ biến bởi những ưu điểm nổi bậc so với L3VPN đó là giải quyết được các vấn đề về truyền dữ liệu và tính bảo mật cao mà L2VPN mang lại Ngoài ra, L2VPN còn hỗ trợ các giao thức ứng dụng cơ bản khác IP, có tính linh hoạt cao, có khả năng mở rộng băng thông, dễ dàng trong việc bảo trì và khá phổ biến với Ethernet
II Khái quát Layer 2 VPN:
Kể từ khi được giới thiệu vào những năm 1990, Frame relay đã thống trị công nghệ VPN Frame Relay cho phép nhà cung cấp dịch vụ để cung cấp các kết nối cơ bản cho khách hàng của họ như với đường thuê bao riêng, ngoại trừ thay vì trích lập dự phòng mỗi đường chuyên dụng cho mỗi khách hàng và phân bố mạch ảo cho mỗi khách hàng giữ lưu lượng và phân bố mạch ảo cho mỗi khách hàng riêng biệt
Các mạch ảo được gọi là mạch ảo vĩnh viễn (PVC) Bằng cách cấu hình PVC, liên kết dữ liệu nhận dạng kết nối bằng DLCI liên kết các thiết bị khác nhau Và được xây dựng một đường hầm có lưu lượng truy cập của khách hàng theo một con đường chuyên dụng thông qua mạng lưới các nhà cung cấp dịch vụ
Trang 6Nhà cung cấp dịch vụ chỉ đơn thuần cung cấp các nối ở layer 2 và không tham gia vào Layer 3 khía cạnh của lưu lượng của khách hàng (L2VPN)
Nhóm em xin đi sâu vào phân tích Layer 2 VPN trên nền MPLS
III Khái quát Layer2 VPN over MPLS:
1 Giới thiệu về MPLS:
MPLS là sự kết hợp của kỹ thuật chuyển mạch lớp 2 và kỹ thuật định tuyến lớp 3 Mục tiêu chính của MPLS là tạo ra một cấu trúc mạng mềm dẻo để cung cấp cho đặc tính
mở rộng và ổn định của mạng
Trang 7Trong mạng MPLS, các gói tin vào được gán nhãn bởi một bộ định tuyến chuyển mạch nhãn ở biên (Edge LSR) Các gói tin được gửi theo một đường chuyển mạch nhãn (LSP) LSP là con đường mà mỗi LSR sử dụng để chuyển tiếp dựa trên các đối xử riêng biệt cho từng nhãn Tại mỗi chặng, LSR gỡ bỏ các nhãn có sẵn và thêm vào một nhãn mới, sau đó thông báo cho chặng kế tiếp biết để chuyển tiếp gói tin Nhãn sẽ được gỡ bỏ tại LSR biên và gói tin sẽ tiếp tục được chuyển tiếp đến đích cần đến
Công nghệ L2VPN là công nghệ VPN hoạt động dựa vào các thông tin lớp 2 của
mô hình OSI Dữ liệu được đóng gói ở lớp 2, sau đó được mang đi bởi kỹ thuật MPLS trong mạng của nhà cung cấp dịch vụ, và cuối cùng chuyển ngược lại về định dạng lớp 2
ở phía Site nhận Sự riêng tư và bảo mật của MPLS L2VPN cũng được đảm bảo như
trong ATM hay Frame Relay VPN
Ở L2VPN, các Router PE kết nối với từng CE phải chọn chính xác Virtual Circuit (VC) để gửi dữ liệu đi Chúng nhận dữ liệu, gửi nó qua mạng của nhà cung cấp tới Router
PE đã kết nối với Site nhận Router PE chỉ xử lý các câu route của khách hàng đến lớp 2
và không cần phải lưu lại chúng Nó chỉ cần được cấu hình để gửi thông tin đến đúng
đường hầm (Tunnel) trong mạng lõi MPLS Nhà cung cấp chỉ cần biết có bao nhiêu lưu
lượng dữ liệu L2VPN cần được mang đi
Hình 4 là sơ đồ phân loại L2VPN Các dịch vụ có thể vận chuyển qua mạng lõi IP hoặc MPLS L2VPN được phân thành Point-to-Point Virtual Private Wire Service (VPWS) và Multipoint Virtual Private LAN Service (VPLS)
Mô hình đầu tiên là mô hình Point-to-Point VPWS được chia ra thành các kĩ thuật
như Frame Relay, ATM và Ethernet, dựa vào các Pseudowire (VC) riêng biệt giữa hai
Trang 8điểm đầu cuối lớp 3 Nó cung cấp các kết nối lớp 2 cho Frame Relay DLCI, ATM PVC, Leased Line và Ethernet Trong trường hợp Ethernet VPWS ta có hai loại dịch vụ là Ethernet Relay Service (ERS) và Ethernet Wire Service (EWS) ERS sử dụng Ethernet Virtual LAN (VLAN) để vận chuyển thông tin EWS sử dụng Port-based, thông tin được vận chuyển qua Pseudowire, và không quan tâm đến VLAN
Mô hình thứ hai là dịch vụ Multipoint VPLS, thường chỉ hỗ trợ Ethernet, cung cấp
việc học địa chỉ MAC (Media Access Control) và nhân đôi gói tin Nó vẫn dựa vào sự
thiết lập Pseudowire giữa các thiết bị PE, nhưng thêm vào việc học địa chỉ MAC, việc chuyển tiếp dựa vào địa chỉ MAC lớp 2, làm cho nhà cung cấp hoạt động như một Switch LAN
Hình 4: Sơ đồ phân chia L2VPN
3.1 Virtual Private Wire Service (VPWS):
Một VPWS L2VPN là một tập hợp các đường ảo (VC) hoặc các Pseudowire lớp 2
VPLS thực hiện tích hợp các dịch vụ lớp 2 và lớp 3 đã tồn tại dưới dạng Point-to-Point qua đám mây IP/MPLS của nhà cung cấp dịch vụ
Trang 9Có 2 kĩ thuật Pseudowire được hỗ trợ bởi hệ thống của Cisco: AToM, là kĩ thuật Pseudowire dùng cho mạng lõi MPLS và L2TPv3 là kĩ thuật Pseudowire dùng cho mạng
IP thuần túy Cả AToM và L2TPv3 đều hỗ trợ Frame Relay, ATM, HDLC và Ethernet qua mạng lõi là MPLS, dùng kĩ thuật Pseudowire là AToM Đầu tiên chúng ta sẽ tìm hiểu
về kĩ thuật Pseudowire dùng trong mạng MPLS, đó là kĩ thuật AToM
3.1.1 Any Transport over MPLS (AToM):
AToM ra đời sau thành công vang dội của công nghệ MPLS VPN MPLS VPN là giải pháp mạng riêng ảo nhằm vận chuyển luồng dữ liệu IP của khách hàng trên một backbone chia sẻ dịch vụ MPLS của nhà cung cấp Tuy nhiên, việc thuê kênh riêng kết nối ATM và Frame Relay khiến cho nhà cung cấp dịch vụ tốn kém khá nhiều tiền của Nhiều khách hàng thuê các link ảo trên để vận chuyển traffic của họ thông qua cơ sở hạ tầng của nhà cung cấp dịch vụ Các router khách hàng đấu nối với nhau hoặc với các thiết
bị mạng khác ở mỗi site thông qua Leased Lines hoặc kênh ảo ATM hay Frame Relay
Nhà cung cấp dịch vụ cung cấp cho khách hàng một mạng riêng biệt để vận chuyển traffic lớp 2 Tuy router khách hàng giao tiếp nhau ở lớp 3, nó lại không giao tiếp với thiết bị của nhà cung cấp dịch vụ ở lớp này
Với sự thành công của MPLS VPN, nhà cung cấp dịch vụ đã có sẵn một backbone MPLS nhưng bên cạnh đó vẫn thích hợp với việc vận chuyển traffic lớp 2 AToM cung cấp giải pháp nhằm tận dụng MPLS backbone để vận chuyển traffic lớp 2 mà không cần phải xây dựng cùng lúc hai mạng chạy song song Vì thế, nhà cung cấp dịch vụ có thể cung cấp những dịch vụ đã có sẵn như ATM, Frame Relay thông qua backbone MPLS
mà chỉ sử dụng duy nhất một cơ sở hạ tầng Từ đó giúp các nhà cung cấp dịch vụ tiết kiệm được nhiều chi phí hơn
AToM tạo ra VPN ở lớp 2 và đôi khi được xem như là L2VPN Nó chỉ được thiết lập ở những router biên của nhà cung cấp dịch vụ AToM nói một cách ngắn gọn, là công nghệ cung cấp dịch vụ điểm - điểm lớp 2 (layer 2 point-to-point service) và còn được biết đến như là dịch vụ đường dây ảo (VPWS) truyền tải qua MPLS backbone Vì traffic vận
Trang 10chuyển là các gói được gán nhãn, công nghệ này còn được gọi là mạng chuyển mạch gói MPLS PSN
Về phía khách hàng, họ sẽ khá lưỡng lự khi chuyển sang MPLS VPN vì thứ nhất
là phải chuyển đổi cơ cấu hạ tầng cũ, điều mà họ không muốn vì họ đã quen với cách kiểm soát nó và cách nó được xây dựng từ ban đầu, thứ hai là vì một số các thiết bị khác chạy những giao thức mà không thể vận chuyển qua IP vì MPLS VPN là công nghệ cung cấp dịch vụ cho việc tạo ra các VPN ở lớp 3 Nhưng việc chuyển đổi từ một mạng truyền thống sử dụng ATM hay Frame Relay qua mạng sử dụng AToM là hoàn toàn trong suốt đối với khách hàng Nghĩa là khách hàng sẽ không cần phải thay đổi bất cứ điều gì trên các router của họ Kiểu đóng gói dữ liệu lớp 2 vẫn được giữ nguyên và không cần phải chạy bất cứ giao thức định tuyến IP nào với router biên của nhà cung cấp dịch vụ như trong giải pháp MPLS VPN Đây chính là điểm mạnh của AToM
a Pseudowire Label Blinding:
Một AToM Pseudowire về bản chất bao gồm 2 LSP đơn hướng Mỗi LSP được định nghĩa bởi một nhãn Pseudowire, còn gọi là nhãn VC Nhãn Pseudowire là một phần của ngăn xếp nhãn, dùng để đóng gói gói tin lớp 2 qua AToM Pseudowire
Quá trình phân phối nhãn được định nghĩa trong giao thức LDP để phân phối và quản lý nhãn Pseudowire Để liên kết Pseudowire với một kết nối lớp 2 cụ thể, ta cần một cách để trình bày kết nối lớp 2 đó Mà LDP chỉ định nghĩa FEC lớp 3 Vì vậy, Pseudowire Emulation over MPLS đã đưa ra một định nghĩa LDP mở rộng – Pseudowire
ID FEC Element Hình diễn tả một Pseudowire ID FEC Element với các thành phần sau:
Trang 11Hình 5: Cấu trúc Pseudowire ID Element
Pseudowire ID FEC: Octet đầu tiên có giá trị 128, để xác định nó là Pseudowire
ID Element
Control Word Bit (C bit): là đại diện cho 4-byte tùy chọn Control Word nằm ở
giữa ngăn xếp nhãn MPLS và dữ liệu lớp 2 trong gói tin Pseudowire Control Word mang các dữ liệu thông tin lớp 2 riêng biệt C-bit có hai giá trị là “0” hoặc “1”
Pseudowire Type: Là trường 15-bit thể hiện loại Psedowire Giá trị Pseudowire
Type của Ethernet là 0x0005
Pseudowire Information Length: Là chiều dài của trường Pseudowire ID và
Interface Parameters ở dạng Octet Khi chiều dài được thiết lập là “0”, FEC Element này đại diện cho tất cả các Pseudowire sử dụng Group ID cụ thể
Group ID: Là trường có giá trị tùy ý, 32-bit được gán cho một nhóm Pseudowire Pseudowire ID: còn được biết như là VC ID, là 32-bit Identifier để phân biệt một
Pseudowire với các Pseudowire khác Để kết nối hai Attachment Circuit qua một Pseudowire, ta cần phải liên kết chúng với cùng một Pseudowire ID cụ thể
Trang 12Interface Parameters: Là trường có độ dài không cố định cung cấp thông tin cụ
thể về Attachment Circuit, như Interface MTU, miêu tả Interface,… Mỗi Interface Parameter sử dụng một mã TLV, được mô tả như hình sau:
Hình 6: Cấu trúc Interface Parameter Encoding
Mặc dù LDP cho phép Multiple FEC Element mã hóa thành một FEC TLV, nhưng chỉ có một FEC Element – Pseudowire ID, FEC Element – tồn tại trong mỗi FEC TLV trong ứng dụng Pseudowire Emulation over MPLS
b Control Word:
Trong quá trình thiết lập Pseudowire, bản tin Label Mapping được gửi đi ở cả hai hướng Để bật Pseudowire, ta cần phải thiết lập một vài thông số Interface Parameter để đảm bảo sự thống nhất giá trị giữa hai Router PE Khi một trong các giá trị này không khớp nhau, việc sửa chữa vấn đề đòi hỏi sự can thiệp bằng tay hoặc phải thay đổi cấu hình Giao thức không thể tự động sửa chữa lỗi này Ví dụ khi Interface MTU của hai Router PE khác nhau, Pseudowire giữa hai Router này sẽ không được thiết lập
Ta có thể dùng giá trị Control Word trong các bản tin để đảm bảo sự thống nhất về các thông số Interface Parameter giữa hai Router PE Control Word có độ dài 32-bit, được đại diện bởi bit C trong cấu trúc Pseudowire ID FEC Element Nếu bit C được bật lên “1”, Control Word sẽ được đóng gói thêm trong mỗi gói tin Pseudowire và mang thông tin gói như là Sequence Number, Padding Length, và Control Flag
Trang 13Hình 7: Cấu trúc AToM Control Word
Đối với loại thông tin lớp 2 được mang qua Pseudowire như Frame Relay DLCI
và ATM AAL5, Control Word bắt buộc phải có trong đóng gói Pseudowire Có nghĩa là
ta phải thiết lập bit C trong Pseudowire ID FEC Element là “1” trong các bản tin Label Mapping Khi Router nhận một bản tin Label Mapping mà đòi hỏi bắt buộc phải có Control Word nhưng bit C lại có giá trị là “0”, Router sẽ gửi bản tin Label Release thông báo về trạng thái không hợp lệ của bit C Trong trường hợp này, Pseudowire giữa hai Router không được thiết lập
Đối với những loại thông tin lớp 2 khác, ví dụ như Ethernet, Control Word là tùy chọn Nếu một Router PE không thể gửi và nhận tùy chọn Control Word, hoặc có khả năng gửi và nhận nhưng không có nhu cầu, bit C trong bản tin Label Mapping sẽ được thiết lập là “0” Ngược lại, nếu một Router PE có thể gửi, nhận và có nhu cầu Control Word, bit C sẽ được bật lên “1”
AToM là một giải pháp vận chuyển các Frame lớp 2 (Ethernet, ATM, Frame Relay, HDLC, PPP) thông qua MPLS backbone, sử dụng kiến trúc dây nối ảo (Pseudowire) Dây nối ảo mô phỏng hoạt động giống như một dây thật để vận chuyển traffic lớp 2 từ biên này tới biên kia (giữa 2 router biên của nhà cung cấp dịch vụ) qua mạng backbone chuyển mạch gói MPLS Dây nối ảo sử dụng đường hầm Trong AToM, đường hầm này chính là LSP Một đường hầm có thể có nhiều Pseudowire
Trang 14Hình 8: Đường hầm có nhiều Pseudowire
Có 2 loại LSP Session liên quan đến việc thiết lập AToM Pseudowire, đó là Nontargeted LDP Session và Targeted LDP Session
Nontargeted LDP Session: được thiết lập thông qua LDP Basic Discovery giữa
các Router PE và một Router P kết nối trực tiếp với nó, được dùng để phân phối nhãn
đường hầm (Tunnel Label) Việc quản lý và phân phối các nhãn đường hầm gắn liền với
việc triển khai mô hình mạng MPLS
Targeted LDP Session: được thiết lập thông qua LDP Extended Discovery giữa
các Router PE Nó được gọi là Targeted LDP Session bởi vì chúng gửi định kì các bản tin Targeted Hello cho nhau Targeted LDP Session phân phối các nhãn Pseudowire Đối với Cisco IOS Soflware, AToM sử dụng việc điều khiển các nhãn độc lập và sử dụng nhãn tự
do để nâng cao hiệu suất và thời gian hội tụ trên Pseudowire Signaling
Hình 9: Mô hình triển khai AToM
Trang 15Quá trình thiết lập một AToM Pseudowire bao gồm các bước:
Bước 1: Một Pseudowire (dây nối ảo) được tạo ra ứng với một Attachment Circuit
(AC) trên Router PE1 Các Pseudowire sẽ nối những Attachment Circuits trên những Router biên của nhà cung cấp dịch vụ với nhau AC có thể là bất cứ một mạch vật lý hay mạch ảo nào dùng để kết nối một CE vào một PE, ví dụ như ATM VPI/VCI, Frame Relay DLCI, HDLC link, Ethernet port, VLAN, kết nối PPP trên một interface vật lý, một phiên PPP từ một đường hầm của L2TP hay một MPLS LSP
Bước 2: Router PE1 khởi tạo một Targeted LDP Session tới Router PE2 nếu kết
nối này chưa được thiết lập Cả hai Router PE đều nhận được bản tin LDP Keepalive của nhau và hoàn thành việc thiết lập phiên kết nối Chúng đã sẵn sàng để trao đổi các Pseudowire Label Blinding
Bước 3: Khi trạng thái của Attachment Circuit trên Router PE1 chuyển sang “up”,
Router PE1 tạo ra một nhãn Pseudowire cục bộ tương ứng với một Pseudowire ID đã được gán riêng cho Pseudowire đó
Bước 4: Router PE1 mã hóa nhãn Pseudowire cục bộ thành Label TLV và
Pseudowire ID thành FEC TLV Sau đó nó gửi thông điệp này tới Router PE2 trong bản tin Label Mapping
Bước 5: Router PE2 thực hiện lại bước 1 đến bước 4 một cách độc lập
Bước 6: Khi Router PE1 nhận được bản tin Label Mapping từ Router PE2, nó tiến
hành giải mã nhãn Pseudowire và Pseudowire ID từ Label TLV và FEC TLV Router PE2 cũng thực hiện tương tự
Bước 7: Sau khi Router PE1 và Router PE2 trao đổi nhãn Pseudowire và các
Interface Parameters thuộc một Pseudowire ID cụ thể, Pseudowire đã được thiết lập tương ứng với Pseudowire ID đó
Trang 16Nếu một Attachment Circuit trên một Router PE bị “down”, một bản tin Label Withdraw được gửi tới Router PE còn lại để rút lại nhãn Pseudowire mà nó đã quảng bá trước đó
Chú ý: Trong quá trình thiết lập, các PE router sẽ trao đổi các thông tin cần thiết
để thống nhất về dịch vụ sẽ thực hiện Ví dụ như phải thống nhất về phương thức đóng gói và công việc phải làm nếu chúng nhận được các frame không đúng thứ tự
Khi có nhiều khách hàng đấu nối vào PE, mô hình tổng quát hơn như sau:
Hình 10: Mô hình mở rộng của Pseudowire
Kết quả của dịch vụ AToM là các router biên của khách hàng (CE) hoặc các switch biên của khách hàng sẽ thấy bản thân chúng được kết nối trực tiếp với những con router cùng loại khác ở lớp 2 mặc dù thực tế chúng bị chia cắt bởi Pseudowire Ví dụ như nếu các con router hay switch CE chạy CDP (Cisco Discovery Protocol), chúng sẽ thấy nhau như là những CDP neighbor Nếu chúng là router, giữa chúng có thể trực tiếp hình thành một láng giềng trong giao thức định tuyến bởi vì router CE giống như được kết nối trực tiếp ở lớp 2
Trang 173.1.2 Kĩ thuật Ethernet over MPLS (EoMPLS):
EoMPLS là giải pháp kết nối L2VPN Point-to-Point Nó là một kĩ thuật đường hầm cho phép nhà cung cấp tạo đường hầm cho dữ liệu lớp 2 mặc dù mạng lõi là mạng MPLS lớp 3 EoMPLS cho phép các Frame Ethernet lớp 2 được chuyển qua mạng lõi MPLS Vì vậy, các Router PE phải có khả năng chuyển mạch lớp 2
Công nghệ L2 Tunneling cho phép ánh xạ các VLANs đến 1 tunnel trong miền MPLS Một dịch vụ L2 không yêu cầu khách hàng chạy IP (kết nối VPN không yêu cầu định nghĩa qua địa chỉ IP) Lưu lượng khách hàng được ánh xạ đến 1 VC (vd: nhãn) dựa trên 802.1Q VLAN trên nền MPLS core lớp 3, lưu lượng khách hàng được đóng gói và vận chuyển dựa trên kỹ thuật L2 Tunneling đây chính là phương pháp đóng gói và ánh xạ định nghĩa EoMPLS
Đóng gói EoMPLS: Dựa trên Martini hoặc Vkompella IETF EoMPLS draft, thực hiện kết nối P2P, Router PE đóng gói VLAN packet và định tuyến nó qua mạng MPLS đường trục
a Đặc điểm EoMPLS:
Đặc điểm chức năng: Không tìm kiếm địa chỉ MAC đích lớp 2, không học địa chỉ
lớp 2 mà các VLAN riêng biệt hoặc gói tin Ethernet được ánh xạ đến các EoMPLS VC
và định đường hầm qua mạng MPLS
Đặc điểm dịch vụ:
Các port vật lý chuyên dụng cho mỗi khách hang
Có thể cấu hình nhiều EoMPLS VCs trên một port vật lý
Dựa trên draft Martini, EoMPLS là kết nối P2P
Dựa trên draft Vkompella, EoMPLS là kết nối P2MP
Mỗi EoMPLS VC đi qua cùng LSP
Trang 18b Ngăn xếp nhãn Ethernet (Ethernet Label Stack)
Hầu hết các EoMPLS đều sử dụng hai mức nhãn Có nghĩa là trong ngăn xếp nhãn của gói tin Ethernet được vận chuyển giữa Router Ingress và Egress PE chứa đựng hai nhãn: nhãn ở trên (hay nhãn bên ngoài) và nhãn ở dưới (hay nhãn bên trong) Nhãn bên ngoài cũng được biết như là nhãn đường hầm hay nhãn IGP, để định tuyến gói tin đi qua mạng lõi MPLS Nhãn bên trong được biết như là nhãn VC hay nhãn Pseudowire, được xác định bởi Router Egress PE Nhãn VC xác định Attachment Circuit kết nối với Router Egress PE Router Egress PE gán kết Interface ngõ ra lớp 2 với VC ID đã được cấu hình
và gửi nhãn VC này tới Router Ingress PE bằng cách sử dụng Targeted LDP Session Hình 11 miêu tả cấu trúc đóng gói hai mức nhãn trong ngăn xếp nhãn của định dạng Frame EoMPLS
Hình 11: Cấu trúc dạng Frame EoMPLS
Nhãn VC bên dưới và nhãn Tunnel bên trên tạo thành 2 mức nhãn trong ngăn xếp nhãn Router Ingress PE thiết lập giá trị của trường Time to Live (TTL) của nhãn VC là
2, và giá trị TTL của nhãn Tunnel là 255 Để xác định nhãn VC nằm ở bên dưới của ngăn xếp nhãn, Router Ingress PE thiết lập Bit End-of-Stack của nhãn VC giá trị là “1”
c Pseudowire trong EoMPLS:
EoMPLS hoạt động ở hai chế độ:
Trang 19 Port – Tunneling Mode
VLAN – Tunneling Mode
Port – Tunneling Mode cũng giống như Port-to-Port Transport Khi dữ liệu đến Router PE, nó sẽ được chuyển đi đến Router Egress PE thông qua mạng MPLS dựa vào Port đã nhận gói dữ liệu đó Trong Port – Tunneling Mode, gói tin không có thông tin về Port ngõ vào Để tổng hợp các thông tin ngõ vào, Port – Tunneled Interface tạo ra một
VLAN ẩn (Hidden VLAN) và thêm vào trong gói tin VLAN ẩn là một VLAN mà được đánh số bên ngoài khoảng VLAN ID cho phép Đây là cách Network Processor (NP) học
các thông tin ngõ vào
Trong VLAN – Tunneling Mode, thông tin ngõ vào của VLAN được chứa bên trong dot1Q Header của gói tin Bằng cách xem VLAN ID trong dot1Q Header, Network
Processor (NP) có thể xác định bước tiếp theo trong quá trình xử lý Router Ingress PE
khi nhận được gói tin sẽ dựa vào thông tin VLAN ID, gán một đường ảo Pseudowire và chuyển gói tin đi đến Router Egress PE trong đường ảo này Như vậy, ở chế độ VLAN – Tunneled Mode không đòi hỏi VLAN ẩn
VLAN - Tunneled Interface là Pseudowire loại 4 hay 0x0004, và Port – Tunneled Interface là Pseudowire loại 5, 0x0005 Thiết bị Cisco hỗ trợ cả hai loại Pseudowire này
d Gán nhãn vào gói tin:
Việc thêm nhãn vào gói tin được gọi là Label Imposition Router nhận một gói tin lớp 2 và đóng gói nó để truyền qua mạng MPLS Dựa vào chế độ Port – Tunneling hay VLAN – Tunneling đang được dùng, Interface nhận gói tin có thể là Ethernet Port
Interface hay VLAN Interface (hoặc Subinterface) Để gán nhãn vào gói tin, Router
Ingress PE tạo một bảng liên kết một đường hầm EoMPLS với một Interface /FEC Bảng này giữ thông tin cần thiết cho việc gửi gói tin, như Interface ngõ ra hay việc đóng gói
Một ngăn xếp nhãn 2 mức được học thông qua giao thức LDP cho mỗi Pseudowire Sau đó ngăn xếp nhãn và kiểu đóng gói ngõ ra sẽ được thêm vào đầu của gói