1. Trang chủ
  2. » Luận Văn - Báo Cáo

BÁO CÁO ĐỀ TÀI CÔNG NGHỆ MẠNG LAYER 2 VPN

39 4,8K 26

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 39
Dung lượng 1,34 MB

Nội dung

BÁO CÁO ĐỀ TÀI CÔNG NGHỆ MẠNG LAYER 2 VPN Mạng riêng ảo hoạt động trên nền giao thức IP đang ngày càng trở nên phổ biến. Công nghệ này cho phép tạo ra một mạng riêng thông qua cơ sở hạ tầng chung của nhà cung cấp dịch vụ Internet (ISP). Các kĩ thuật đảm bảo an ninh khác nhau đã được áp dụng để bảo vệ thông tin của người sử dụng khi trao đổi trong một môi trường chia sẻ như Internet.

Trang 1

ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH TRƯỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN

KHOA ĐIỆN TỬ - VIỄN THÔNG

BỘ MÔN VIỄN THÔNG VÀ MẠNG

Trang 2

PHẦN 1: MẠNG RIÊNG ẢO (Virtual Private network - VPN)

I Khái quát về mạng riêng ảo (VPN):

Mạng riêng ảo (Virtual Private Network) được định nghĩa là mạng mà khách hàng

có thể kết nối nhiều vị trí được triển khai trên một nền tảng cơ sở hạ tầng, chia sẻ với cùng một mức độ truy cập (same access) hoặc chính sách bảo mật (security policies)

Mạng riêng ảo hoạt động trên nền giao thức IP đang ngày càng trở nên phổ biến Công nghệ này cho phép tạo ra một mạng riêng thông qua cơ sở hạ tầng chung của nhà cung cấp dịch vụ Internet (ISP) Các kĩ thuật đảm bảo an ninh khác nhau đã được áp dụng

để bảo vệ thông tin của người sử dụng khi trao đổi trong một môi trường chia sẻ như Internet

Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạng chung (thường là Internet) để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa Thay cho việc sử dụng kết nối thực, chuyên dùng như đường leased-line, mỗi VPN sử dụng các kết nối ảo được dẫn đường qua Internet từ mạng riêng của các công ty tới các site hay các nhân viên từ xa Để có thể gửi và nhận dữ liệu thông qua mạng công cộng mà vẫn bảo đảm tính an toàn và bảo mật, VPN cung cấp các cơ chế mã hoá dữ liệu trên đường truyền tạo ra một đường ống bảo mật giữa nơi nhận và nơi gửi (Tunnel) giống như một kết nối point-to-point trên mạng riêng Để có thể tạo ra một đường ống bảo mật đó,

dữ liệu phải được mã hoá hay dùng cơ chế giấu đi, chỉ cung cấp phần đầu gói dữ liệu (header) là thông tin về đường đi cho phép nó có thể đi đến đích thông qua đường mạng chung một cách nhanh chóng Dữ liệu được mã hoá một cách cẩn thận, do đó nếu các packet bị bắt lại trên đường truyền chung thì cũng không thể đọc được nội dùng này vì không có khoá để giải mã Liên kết với dữ liệu được mã hoá và đóng gói được gọi là kết nối VPN Các đường kết nối VPN thường được gọi là đường ống VPN (Tunnel VPN)

Trang 3

II Phân loại VPN:

Có nhiều cách phân loại VPN như:

 Phân loại theo layer mô hình OSI:

 Phân loại theo phạm vi ứng dụng:

 Phạm vi sử dụng service provider, enterprise

 Phân loại theo giao thức:

 Giao thức IPSEC, SSL VPN, L2TP

Trang 4

PHẦN 2: LAYER 2 VPN

I Nguyên nhân ra đời:

Như đã khái quát ở trên, mạng riêng ảo được xây dựng bằng cách sử dụng đường dây thuê bao để cung cấp kết nối giữa các địa điểm khách hàng khác nhau Một khách hàng thuê Leased Line từ nhà cung cấp dịch vụ Đường dây thuê bao được cài đặt giữa các site khách hàng yêu cầu kết nối thông với nhau Đường này dành riêng cho khách hàng đó, những người khác không được chia sẻ

Dựa trên nền tảng VPN, công nghệ Layer 3VPN (viết tắt L3VPN) ra đời L3VPN

là dịch vụ VPN hoạt động dựa vào các thông tin lớp 3 của mô hình OSI, nhà cung cấp dịch vụ sẽ chuyển tiếp các gói tin của khách hàng dựa vào các thông tin lớp 3 Kĩ thuật VPN lớp 3 sử dụng phổ biến nhất là công nghệ VPN dựa trên IP Security (IPsec), MPLS VPN Border Gateway Protocol (BGP) VPN Trong L3VPN, các nhà cung cấp dịch vụ cung cấp một đường dây thuê bao hoặc kết nối PVC giữa khách hàng và điểm gần nhất

về sự hiện diện (POP) trên mạng của nhà cung cấp dịch vụ

Hình 2: Mô hình BGP/MPLS VPN

Trang 5

Với L3VPN, khách hàng dựa vào các nhà cung cấp dịch vụ Internet (ISP) IP / MPLS dựa trên xương sống cho giao tiếp site–to-site riêng tư và an toàn Công nghệ L3VPN thật sự là một bước tiến cho các nhà cung cấp dịch vụ trong việc triển khai mô hình VPN tới các doanh nghiệp Tuy nhiên, L3VPN cũng có một vài hạn chế Ví dụ: IP là giao thức duy nhất được hỗ trợ trên mạng MPLS Layer 3 VPN Về mặt tốc độ truyền dữ liệu cũng như bảo mật thông tin cho khách hàng còn một số hạn chế vì L3VPN phải phân tích thông tin đến lớp 3 mới có thể chuyển gói tin đi tiếp Tốn nhiều thời gian hơn để xử

lý gói tin

Vì một số lý do được nêu ở trên dẫn đến sự ra đời của Layer 2 VPN (viết tắt L2VPN) Đây là công nghệ VPN hoạt động dựa vào các thông tin lớp 2 của mô hình OSI Công nghệ L2VPN ra đời và nhanh chóng trở nên phổ biến bởi những ưu điểm nổi bậc so với L3VPN đó là giải quyết được các vấn đề về truyền dữ liệu và tính bảo mật cao mà L2VPN mang lại Ngoài ra, L2VPN còn hỗ trợ các giao thức ứng dụng cơ bản khác IP, có tính linh hoạt cao, có khả năng mở rộng băng thông, dễ dàng trong việc bảo trì và khá phổ biến với Ethernet

II Khái quát Layer 2 VPN:

Kể từ khi được giới thiệu vào những năm 1990, Frame relay đã thống trị công nghệ VPN Frame Relay cho phép nhà cung cấp dịch vụ để cung cấp các kết nối cơ bản cho khách hàng của họ như với đường thuê bao riêng, ngoại trừ thay vì trích lập dự phòng mỗi đường chuyên dụng cho mỗi khách hàng và phân bố mạch ảo cho mỗi khách hàng giữ lưu lượng và phân bố mạch ảo cho mỗi khách hàng riêng biệt

Các mạch ảo được gọi là mạch ảo vĩnh viễn (PVC) Bằng cách cấu hình PVC, liên kết dữ liệu nhận dạng kết nối bằng DLCI liên kết các thiết bị khác nhau Và được xây dựng một đường hầm có lưu lượng truy cập của khách hàng theo một con đường chuyên dụng thông qua mạng lưới các nhà cung cấp dịch vụ

Trang 6

Nhà cung cấp dịch vụ chỉ đơn thuần cung cấp các nối ở layer 2 và không tham gia vào Layer 3 khía cạnh của lưu lượng của khách hàng (L2VPN)

Nhóm em xin đi sâu vào phân tích Layer 2 VPN trên nền MPLS

III Khái quát Layer2 VPN over MPLS:

1 Giới thiệu về MPLS:

MPLS là sự kết hợp của kỹ thuật chuyển mạch lớp 2 và kỹ thuật định tuyến lớp 3 Mục tiêu chính của MPLS là tạo ra một cấu trúc mạng mềm dẻo để cung cấp cho đặc tính

mở rộng và ổn định của mạng

Trang 7

Trong mạng MPLS, các gói tin vào được gán nhãn bởi một bộ định tuyến chuyển mạch nhãn ở biên (Edge LSR) Các gói tin được gửi theo một đường chuyển mạch nhãn (LSP) LSP là con đường mà mỗi LSR sử dụng để chuyển tiếp dựa trên các đối xử riêng biệt cho từng nhãn Tại mỗi chặng, LSR gỡ bỏ các nhãn có sẵn và thêm vào một nhãn mới, sau đó thông báo cho chặng kế tiếp biết để chuyển tiếp gói tin Nhãn sẽ được gỡ bỏ tại LSR biên và gói tin sẽ tiếp tục được chuyển tiếp đến đích cần đến

Công nghệ L2VPN là công nghệ VPN hoạt động dựa vào các thông tin lớp 2 của

mô hình OSI Dữ liệu được đóng gói ở lớp 2, sau đó được mang đi bởi kỹ thuật MPLS trong mạng của nhà cung cấp dịch vụ, và cuối cùng chuyển ngược lại về định dạng lớp 2

ở phía Site nhận Sự riêng tư và bảo mật của MPLS L2VPN cũng được đảm bảo như

trong ATM hay Frame Relay VPN

Ở L2VPN, các Router PE kết nối với từng CE phải chọn chính xác Virtual Circuit (VC) để gửi dữ liệu đi Chúng nhận dữ liệu, gửi nó qua mạng của nhà cung cấp tới Router

PE đã kết nối với Site nhận Router PE chỉ xử lý các câu route của khách hàng đến lớp 2

và không cần phải lưu lại chúng Nó chỉ cần được cấu hình để gửi thông tin đến đúng

đường hầm (Tunnel) trong mạng lõi MPLS Nhà cung cấp chỉ cần biết có bao nhiêu lưu

lượng dữ liệu L2VPN cần được mang đi

Hình 4 là sơ đồ phân loại L2VPN Các dịch vụ có thể vận chuyển qua mạng lõi IP hoặc MPLS L2VPN được phân thành Point-to-Point Virtual Private Wire Service (VPWS) và Multipoint Virtual Private LAN Service (VPLS)

Mô hình đầu tiên là mô hình Point-to-Point VPWS được chia ra thành các kĩ thuật

như Frame Relay, ATM và Ethernet, dựa vào các Pseudowire (VC) riêng biệt giữa hai

Trang 8

điểm đầu cuối lớp 3 Nó cung cấp các kết nối lớp 2 cho Frame Relay DLCI, ATM PVC, Leased Line và Ethernet Trong trường hợp Ethernet VPWS ta có hai loại dịch vụ là Ethernet Relay Service (ERS) và Ethernet Wire Service (EWS) ERS sử dụng Ethernet Virtual LAN (VLAN) để vận chuyển thông tin EWS sử dụng Port-based, thông tin được vận chuyển qua Pseudowire, và không quan tâm đến VLAN

Mô hình thứ hai là dịch vụ Multipoint VPLS, thường chỉ hỗ trợ Ethernet, cung cấp

việc học địa chỉ MAC (Media Access Control) và nhân đôi gói tin Nó vẫn dựa vào sự

thiết lập Pseudowire giữa các thiết bị PE, nhưng thêm vào việc học địa chỉ MAC, việc chuyển tiếp dựa vào địa chỉ MAC lớp 2, làm cho nhà cung cấp hoạt động như một Switch LAN

Hình 4: Sơ đồ phân chia L2VPN

3.1 Virtual Private Wire Service (VPWS):

Một VPWS L2VPN là một tập hợp các đường ảo (VC) hoặc các Pseudowire lớp 2

VPLS thực hiện tích hợp các dịch vụ lớp 2 và lớp 3 đã tồn tại dưới dạng Point-to-Point qua đám mây IP/MPLS của nhà cung cấp dịch vụ

Trang 9

Có 2 kĩ thuật Pseudowire được hỗ trợ bởi hệ thống của Cisco: AToM, là kĩ thuật Pseudowire dùng cho mạng lõi MPLS và L2TPv3 là kĩ thuật Pseudowire dùng cho mạng

IP thuần túy Cả AToM và L2TPv3 đều hỗ trợ Frame Relay, ATM, HDLC và Ethernet qua mạng lõi là MPLS, dùng kĩ thuật Pseudowire là AToM Đầu tiên chúng ta sẽ tìm hiểu

về kĩ thuật Pseudowire dùng trong mạng MPLS, đó là kĩ thuật AToM

3.1.1 Any Transport over MPLS (AToM):

AToM ra đời sau thành công vang dội của công nghệ MPLS VPN MPLS VPN là giải pháp mạng riêng ảo nhằm vận chuyển luồng dữ liệu IP của khách hàng trên một backbone chia sẻ dịch vụ MPLS của nhà cung cấp Tuy nhiên, việc thuê kênh riêng kết nối ATM và Frame Relay khiến cho nhà cung cấp dịch vụ tốn kém khá nhiều tiền của Nhiều khách hàng thuê các link ảo trên để vận chuyển traffic của họ thông qua cơ sở hạ tầng của nhà cung cấp dịch vụ Các router khách hàng đấu nối với nhau hoặc với các thiết

bị mạng khác ở mỗi site thông qua Leased Lines hoặc kênh ảo ATM hay Frame Relay

Nhà cung cấp dịch vụ cung cấp cho khách hàng một mạng riêng biệt để vận chuyển traffic lớp 2 Tuy router khách hàng giao tiếp nhau ở lớp 3, nó lại không giao tiếp với thiết bị của nhà cung cấp dịch vụ ở lớp này

Với sự thành công của MPLS VPN, nhà cung cấp dịch vụ đã có sẵn một backbone MPLS nhưng bên cạnh đó vẫn thích hợp với việc vận chuyển traffic lớp 2 AToM cung cấp giải pháp nhằm tận dụng MPLS backbone để vận chuyển traffic lớp 2 mà không cần phải xây dựng cùng lúc hai mạng chạy song song Vì thế, nhà cung cấp dịch vụ có thể cung cấp những dịch vụ đã có sẵn như ATM, Frame Relay thông qua backbone MPLS

mà chỉ sử dụng duy nhất một cơ sở hạ tầng Từ đó giúp các nhà cung cấp dịch vụ tiết kiệm được nhiều chi phí hơn

AToM tạo ra VPN ở lớp 2 và đôi khi được xem như là L2VPN Nó chỉ được thiết lập ở những router biên của nhà cung cấp dịch vụ AToM nói một cách ngắn gọn, là công nghệ cung cấp dịch vụ điểm - điểm lớp 2 (layer 2 point-to-point service) và còn được biết đến như là dịch vụ đường dây ảo (VPWS) truyền tải qua MPLS backbone Vì traffic vận

Trang 10

chuyển là các gói được gán nhãn, công nghệ này còn được gọi là mạng chuyển mạch gói MPLS PSN

Về phía khách hàng, họ sẽ khá lưỡng lự khi chuyển sang MPLS VPN vì thứ nhất

là phải chuyển đổi cơ cấu hạ tầng cũ, điều mà họ không muốn vì họ đã quen với cách kiểm soát nó và cách nó được xây dựng từ ban đầu, thứ hai là vì một số các thiết bị khác chạy những giao thức mà không thể vận chuyển qua IP vì MPLS VPN là công nghệ cung cấp dịch vụ cho việc tạo ra các VPN ở lớp 3 Nhưng việc chuyển đổi từ một mạng truyền thống sử dụng ATM hay Frame Relay qua mạng sử dụng AToM là hoàn toàn trong suốt đối với khách hàng Nghĩa là khách hàng sẽ không cần phải thay đổi bất cứ điều gì trên các router của họ Kiểu đóng gói dữ liệu lớp 2 vẫn được giữ nguyên và không cần phải chạy bất cứ giao thức định tuyến IP nào với router biên của nhà cung cấp dịch vụ như trong giải pháp MPLS VPN Đây chính là điểm mạnh của AToM

a Pseudowire Label Blinding:

Một AToM Pseudowire về bản chất bao gồm 2 LSP đơn hướng Mỗi LSP được định nghĩa bởi một nhãn Pseudowire, còn gọi là nhãn VC Nhãn Pseudowire là một phần của ngăn xếp nhãn, dùng để đóng gói gói tin lớp 2 qua AToM Pseudowire

Quá trình phân phối nhãn được định nghĩa trong giao thức LDP để phân phối và quản lý nhãn Pseudowire Để liên kết Pseudowire với một kết nối lớp 2 cụ thể, ta cần một cách để trình bày kết nối lớp 2 đó Mà LDP chỉ định nghĩa FEC lớp 3 Vì vậy, Pseudowire Emulation over MPLS đã đưa ra một định nghĩa LDP mở rộng – Pseudowire

ID FEC Element Hình diễn tả một Pseudowire ID FEC Element với các thành phần sau:

Trang 11

Hình 5: Cấu trúc Pseudowire ID Element

Pseudowire ID FEC: Octet đầu tiên có giá trị 128, để xác định nó là Pseudowire

ID Element

Control Word Bit (C bit): là đại diện cho 4-byte tùy chọn Control Word nằm ở

giữa ngăn xếp nhãn MPLS và dữ liệu lớp 2 trong gói tin Pseudowire Control Word mang các dữ liệu thông tin lớp 2 riêng biệt C-bit có hai giá trị là “0” hoặc “1”

Pseudowire Type: Là trường 15-bit thể hiện loại Psedowire Giá trị Pseudowire

Type của Ethernet là 0x0005

Pseudowire Information Length: Là chiều dài của trường Pseudowire ID và

Interface Parameters ở dạng Octet Khi chiều dài được thiết lập là “0”, FEC Element này đại diện cho tất cả các Pseudowire sử dụng Group ID cụ thể

Group ID: Là trường có giá trị tùy ý, 32-bit được gán cho một nhóm Pseudowire Pseudowire ID: còn được biết như là VC ID, là 32-bit Identifier để phân biệt một

Pseudowire với các Pseudowire khác Để kết nối hai Attachment Circuit qua một Pseudowire, ta cần phải liên kết chúng với cùng một Pseudowire ID cụ thể

Trang 12

Interface Parameters: Là trường có độ dài không cố định cung cấp thông tin cụ

thể về Attachment Circuit, như Interface MTU, miêu tả Interface,… Mỗi Interface Parameter sử dụng một mã TLV, được mô tả như hình sau:

Hình 6: Cấu trúc Interface Parameter Encoding

Mặc dù LDP cho phép Multiple FEC Element mã hóa thành một FEC TLV, nhưng chỉ có một FEC Element – Pseudowire ID, FEC Element – tồn tại trong mỗi FEC TLV trong ứng dụng Pseudowire Emulation over MPLS

b Control Word:

Trong quá trình thiết lập Pseudowire, bản tin Label Mapping được gửi đi ở cả hai hướng Để bật Pseudowire, ta cần phải thiết lập một vài thông số Interface Parameter để đảm bảo sự thống nhất giá trị giữa hai Router PE Khi một trong các giá trị này không khớp nhau, việc sửa chữa vấn đề đòi hỏi sự can thiệp bằng tay hoặc phải thay đổi cấu hình Giao thức không thể tự động sửa chữa lỗi này Ví dụ khi Interface MTU của hai Router PE khác nhau, Pseudowire giữa hai Router này sẽ không được thiết lập

Ta có thể dùng giá trị Control Word trong các bản tin để đảm bảo sự thống nhất về các thông số Interface Parameter giữa hai Router PE Control Word có độ dài 32-bit, được đại diện bởi bit C trong cấu trúc Pseudowire ID FEC Element Nếu bit C được bật lên “1”, Control Word sẽ được đóng gói thêm trong mỗi gói tin Pseudowire và mang thông tin gói như là Sequence Number, Padding Length, và Control Flag

Trang 13

Hình 7: Cấu trúc AToM Control Word

Đối với loại thông tin lớp 2 được mang qua Pseudowire như Frame Relay DLCI

và ATM AAL5, Control Word bắt buộc phải có trong đóng gói Pseudowire Có nghĩa là

ta phải thiết lập bit C trong Pseudowire ID FEC Element là “1” trong các bản tin Label Mapping Khi Router nhận một bản tin Label Mapping mà đòi hỏi bắt buộc phải có Control Word nhưng bit C lại có giá trị là “0”, Router sẽ gửi bản tin Label Release thông báo về trạng thái không hợp lệ của bit C Trong trường hợp này, Pseudowire giữa hai Router không được thiết lập

Đối với những loại thông tin lớp 2 khác, ví dụ như Ethernet, Control Word là tùy chọn Nếu một Router PE không thể gửi và nhận tùy chọn Control Word, hoặc có khả năng gửi và nhận nhưng không có nhu cầu, bit C trong bản tin Label Mapping sẽ được thiết lập là “0” Ngược lại, nếu một Router PE có thể gửi, nhận và có nhu cầu Control Word, bit C sẽ được bật lên “1”

AToM là một giải pháp vận chuyển các Frame lớp 2 (Ethernet, ATM, Frame Relay, HDLC, PPP) thông qua MPLS backbone, sử dụng kiến trúc dây nối ảo (Pseudowire) Dây nối ảo mô phỏng hoạt động giống như một dây thật để vận chuyển traffic lớp 2 từ biên này tới biên kia (giữa 2 router biên của nhà cung cấp dịch vụ) qua mạng backbone chuyển mạch gói MPLS Dây nối ảo sử dụng đường hầm Trong AToM, đường hầm này chính là LSP Một đường hầm có thể có nhiều Pseudowire

Trang 14

Hình 8: Đường hầm có nhiều Pseudowire

Có 2 loại LSP Session liên quan đến việc thiết lập AToM Pseudowire, đó là Nontargeted LDP Session và Targeted LDP Session

Nontargeted LDP Session: được thiết lập thông qua LDP Basic Discovery giữa

các Router PE và một Router P kết nối trực tiếp với nó, được dùng để phân phối nhãn

đường hầm (Tunnel Label) Việc quản lý và phân phối các nhãn đường hầm gắn liền với

việc triển khai mô hình mạng MPLS

Targeted LDP Session: được thiết lập thông qua LDP Extended Discovery giữa

các Router PE Nó được gọi là Targeted LDP Session bởi vì chúng gửi định kì các bản tin Targeted Hello cho nhau Targeted LDP Session phân phối các nhãn Pseudowire Đối với Cisco IOS Soflware, AToM sử dụng việc điều khiển các nhãn độc lập và sử dụng nhãn tự

do để nâng cao hiệu suất và thời gian hội tụ trên Pseudowire Signaling

Hình 9: Mô hình triển khai AToM

Trang 15

Quá trình thiết lập một AToM Pseudowire bao gồm các bước:

Bước 1: Một Pseudowire (dây nối ảo) được tạo ra ứng với một Attachment Circuit

(AC) trên Router PE1 Các Pseudowire sẽ nối những Attachment Circuits trên những Router biên của nhà cung cấp dịch vụ với nhau AC có thể là bất cứ một mạch vật lý hay mạch ảo nào dùng để kết nối một CE vào một PE, ví dụ như ATM VPI/VCI, Frame Relay DLCI, HDLC link, Ethernet port, VLAN, kết nối PPP trên một interface vật lý, một phiên PPP từ một đường hầm của L2TP hay một MPLS LSP

Bước 2: Router PE1 khởi tạo một Targeted LDP Session tới Router PE2 nếu kết

nối này chưa được thiết lập Cả hai Router PE đều nhận được bản tin LDP Keepalive của nhau và hoàn thành việc thiết lập phiên kết nối Chúng đã sẵn sàng để trao đổi các Pseudowire Label Blinding

Bước 3: Khi trạng thái của Attachment Circuit trên Router PE1 chuyển sang “up”,

Router PE1 tạo ra một nhãn Pseudowire cục bộ tương ứng với một Pseudowire ID đã được gán riêng cho Pseudowire đó

Bước 4: Router PE1 mã hóa nhãn Pseudowire cục bộ thành Label TLV và

Pseudowire ID thành FEC TLV Sau đó nó gửi thông điệp này tới Router PE2 trong bản tin Label Mapping

Bước 5: Router PE2 thực hiện lại bước 1 đến bước 4 một cách độc lập

Bước 6: Khi Router PE1 nhận được bản tin Label Mapping từ Router PE2, nó tiến

hành giải mã nhãn Pseudowire và Pseudowire ID từ Label TLV và FEC TLV Router PE2 cũng thực hiện tương tự

Bước 7: Sau khi Router PE1 và Router PE2 trao đổi nhãn Pseudowire và các

Interface Parameters thuộc một Pseudowire ID cụ thể, Pseudowire đã được thiết lập tương ứng với Pseudowire ID đó

Trang 16

Nếu một Attachment Circuit trên một Router PE bị “down”, một bản tin Label Withdraw được gửi tới Router PE còn lại để rút lại nhãn Pseudowire mà nó đã quảng bá trước đó

Chú ý: Trong quá trình thiết lập, các PE router sẽ trao đổi các thông tin cần thiết

để thống nhất về dịch vụ sẽ thực hiện Ví dụ như phải thống nhất về phương thức đóng gói và công việc phải làm nếu chúng nhận được các frame không đúng thứ tự

Khi có nhiều khách hàng đấu nối vào PE, mô hình tổng quát hơn như sau:

Hình 10: Mô hình mở rộng của Pseudowire

Kết quả của dịch vụ AToM là các router biên của khách hàng (CE) hoặc các switch biên của khách hàng sẽ thấy bản thân chúng được kết nối trực tiếp với những con router cùng loại khác ở lớp 2 mặc dù thực tế chúng bị chia cắt bởi Pseudowire Ví dụ như nếu các con router hay switch CE chạy CDP (Cisco Discovery Protocol), chúng sẽ thấy nhau như là những CDP neighbor Nếu chúng là router, giữa chúng có thể trực tiếp hình thành một láng giềng trong giao thức định tuyến bởi vì router CE giống như được kết nối trực tiếp ở lớp 2

Trang 17

3.1.2 Kĩ thuật Ethernet over MPLS (EoMPLS):

EoMPLS là giải pháp kết nối L2VPN Point-to-Point Nó là một kĩ thuật đường hầm cho phép nhà cung cấp tạo đường hầm cho dữ liệu lớp 2 mặc dù mạng lõi là mạng MPLS lớp 3 EoMPLS cho phép các Frame Ethernet lớp 2 được chuyển qua mạng lõi MPLS Vì vậy, các Router PE phải có khả năng chuyển mạch lớp 2

Công nghệ L2 Tunneling cho phép ánh xạ các VLANs đến 1 tunnel trong miền MPLS Một dịch vụ L2 không yêu cầu khách hàng chạy IP (kết nối VPN không yêu cầu định nghĩa qua địa chỉ IP) Lưu lượng khách hàng được ánh xạ đến 1 VC (vd: nhãn) dựa trên 802.1Q VLAN trên nền MPLS core lớp 3, lưu lượng khách hàng được đóng gói và vận chuyển dựa trên kỹ thuật L2 Tunneling đây chính là phương pháp đóng gói và ánh xạ định nghĩa EoMPLS

Đóng gói EoMPLS: Dựa trên Martini hoặc Vkompella IETF EoMPLS draft, thực hiện kết nối P2P, Router PE đóng gói VLAN packet và định tuyến nó qua mạng MPLS đường trục

a Đặc điểm EoMPLS:

Đặc điểm chức năng: Không tìm kiếm địa chỉ MAC đích lớp 2, không học địa chỉ

lớp 2 mà các VLAN riêng biệt hoặc gói tin Ethernet được ánh xạ đến các EoMPLS VC

và định đường hầm qua mạng MPLS

Đặc điểm dịch vụ:

 Các port vật lý chuyên dụng cho mỗi khách hang

 Có thể cấu hình nhiều EoMPLS VCs trên một port vật lý

 Dựa trên draft Martini, EoMPLS là kết nối P2P

 Dựa trên draft Vkompella, EoMPLS là kết nối P2MP

 Mỗi EoMPLS VC đi qua cùng LSP

Trang 18

b Ngăn xếp nhãn Ethernet (Ethernet Label Stack)

Hầu hết các EoMPLS đều sử dụng hai mức nhãn Có nghĩa là trong ngăn xếp nhãn của gói tin Ethernet được vận chuyển giữa Router Ingress và Egress PE chứa đựng hai nhãn: nhãn ở trên (hay nhãn bên ngoài) và nhãn ở dưới (hay nhãn bên trong) Nhãn bên ngoài cũng được biết như là nhãn đường hầm hay nhãn IGP, để định tuyến gói tin đi qua mạng lõi MPLS Nhãn bên trong được biết như là nhãn VC hay nhãn Pseudowire, được xác định bởi Router Egress PE Nhãn VC xác định Attachment Circuit kết nối với Router Egress PE Router Egress PE gán kết Interface ngõ ra lớp 2 với VC ID đã được cấu hình

và gửi nhãn VC này tới Router Ingress PE bằng cách sử dụng Targeted LDP Session Hình 11 miêu tả cấu trúc đóng gói hai mức nhãn trong ngăn xếp nhãn của định dạng Frame EoMPLS

Hình 11: Cấu trúc dạng Frame EoMPLS

Nhãn VC bên dưới và nhãn Tunnel bên trên tạo thành 2 mức nhãn trong ngăn xếp nhãn Router Ingress PE thiết lập giá trị của trường Time to Live (TTL) của nhãn VC là

2, và giá trị TTL của nhãn Tunnel là 255 Để xác định nhãn VC nằm ở bên dưới của ngăn xếp nhãn, Router Ingress PE thiết lập Bit End-of-Stack của nhãn VC giá trị là “1”

c Pseudowire trong EoMPLS:

EoMPLS hoạt động ở hai chế độ:

Trang 19

 Port – Tunneling Mode

 VLAN – Tunneling Mode

Port – Tunneling Mode cũng giống như Port-to-Port Transport Khi dữ liệu đến Router PE, nó sẽ được chuyển đi đến Router Egress PE thông qua mạng MPLS dựa vào Port đã nhận gói dữ liệu đó Trong Port – Tunneling Mode, gói tin không có thông tin về Port ngõ vào Để tổng hợp các thông tin ngõ vào, Port – Tunneled Interface tạo ra một

VLAN ẩn (Hidden VLAN) và thêm vào trong gói tin VLAN ẩn là một VLAN mà được đánh số bên ngoài khoảng VLAN ID cho phép Đây là cách Network Processor (NP) học

các thông tin ngõ vào

Trong VLAN – Tunneling Mode, thông tin ngõ vào của VLAN được chứa bên trong dot1Q Header của gói tin Bằng cách xem VLAN ID trong dot1Q Header, Network

Processor (NP) có thể xác định bước tiếp theo trong quá trình xử lý Router Ingress PE

khi nhận được gói tin sẽ dựa vào thông tin VLAN ID, gán một đường ảo Pseudowire và chuyển gói tin đi đến Router Egress PE trong đường ảo này Như vậy, ở chế độ VLAN – Tunneled Mode không đòi hỏi VLAN ẩn

VLAN - Tunneled Interface là Pseudowire loại 4 hay 0x0004, và Port – Tunneled Interface là Pseudowire loại 5, 0x0005 Thiết bị Cisco hỗ trợ cả hai loại Pseudowire này

d Gán nhãn vào gói tin:

Việc thêm nhãn vào gói tin được gọi là Label Imposition Router nhận một gói tin lớp 2 và đóng gói nó để truyền qua mạng MPLS Dựa vào chế độ Port – Tunneling hay VLAN – Tunneling đang được dùng, Interface nhận gói tin có thể là Ethernet Port

Interface hay VLAN Interface (hoặc Subinterface) Để gán nhãn vào gói tin, Router

Ingress PE tạo một bảng liên kết một đường hầm EoMPLS với một Interface /FEC Bảng này giữ thông tin cần thiết cho việc gửi gói tin, như Interface ngõ ra hay việc đóng gói

Một ngăn xếp nhãn 2 mức được học thông qua giao thức LDP cho mỗi Pseudowire Sau đó ngăn xếp nhãn và kiểu đóng gói ngõ ra sẽ được thêm vào đầu của gói

Ngày đăng: 04/07/2014, 18:00

HÌNH ẢNH LIÊN QUAN

Hình 2: Mô hình BGP/MPLS VPN - BÁO CÁO ĐỀ TÀI CÔNG NGHỆ MẠNG LAYER 2 VPN
Hình 2 Mô hình BGP/MPLS VPN (Trang 4)
Hình 3: Mô hình L2VPN - BÁO CÁO ĐỀ TÀI CÔNG NGHỆ MẠNG LAYER 2 VPN
Hình 3 Mô hình L2VPN (Trang 6)
Hình 4: Sơ đồ phân chia L2VPN - BÁO CÁO ĐỀ TÀI CÔNG NGHỆ MẠNG LAYER 2 VPN
Hình 4 Sơ đồ phân chia L2VPN (Trang 8)
Hình 5: Cấu trúc Pseudowire ID Element. - BÁO CÁO ĐỀ TÀI CÔNG NGHỆ MẠNG LAYER 2 VPN
Hình 5 Cấu trúc Pseudowire ID Element (Trang 11)
Hình 6: Cấu trúc Interface Parameter Encoding - BÁO CÁO ĐỀ TÀI CÔNG NGHỆ MẠNG LAYER 2 VPN
Hình 6 Cấu trúc Interface Parameter Encoding (Trang 12)
Hình 7: Cấu trúc AToM Control Word - BÁO CÁO ĐỀ TÀI CÔNG NGHỆ MẠNG LAYER 2 VPN
Hình 7 Cấu trúc AToM Control Word (Trang 13)
Hình 9: Mô hình triển khai AToM. - BÁO CÁO ĐỀ TÀI CÔNG NGHỆ MẠNG LAYER 2 VPN
Hình 9 Mô hình triển khai AToM (Trang 14)
Hình 8: Đường hầm có nhiều Pseudowire - BÁO CÁO ĐỀ TÀI CÔNG NGHỆ MẠNG LAYER 2 VPN
Hình 8 Đường hầm có nhiều Pseudowire (Trang 14)
Hình 10: Mô hình  mở rộng của Pseudowire - BÁO CÁO ĐỀ TÀI CÔNG NGHỆ MẠNG LAYER 2 VPN
Hình 10 Mô hình mở rộng của Pseudowire (Trang 16)
Hình 11: Cấu trúc dạng Frame EoMPLS - BÁO CÁO ĐỀ TÀI CÔNG NGHỆ MẠNG LAYER 2 VPN
Hình 11 Cấu trúc dạng Frame EoMPLS (Trang 18)
Hình 13: Đóng gói Frame trong VPWS - BÁO CÁO ĐỀ TÀI CÔNG NGHỆ MẠNG LAYER 2 VPN
Hình 13 Đóng gói Frame trong VPWS (Trang 22)
Hình 14: VLAN ID – VC ID Mapping - BÁO CÁO ĐỀ TÀI CÔNG NGHỆ MẠNG LAYER 2 VPN
Hình 14 VLAN ID – VC ID Mapping (Trang 23)
Hình 15: Sơ đồ mạng VPLS - BÁO CÁO ĐỀ TÀI CÔNG NGHỆ MẠNG LAYER 2 VPN
Hình 15 Sơ đồ mạng VPLS (Trang 24)
Hình 16: Sơ đồ mạng H-VPLS với MPLS Access - BÁO CÁO ĐỀ TÀI CÔNG NGHỆ MẠNG LAYER 2 VPN
Hình 16 Sơ đồ mạng H-VPLS với MPLS Access (Trang 26)

TỪ KHÓA LIÊN QUAN

TRÍCH ĐOẠN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w