Mạng riêng ảo VPN trong MPLS

Công nghệ MPLS là kết quả của việc kết hợp công nghệ chuyển mạch IP sử dụng cơ chế hoán đổi nhãn của ATM để tăng tốc độ truyền gói tin mà khôngcần thay đổi các giao thức định tuyến của I

LỜI CẢM ƠN

Em chân thành gửi lời cảm ơn sâu sắc tới các thầy cô giáo trong trườngĐại học Phương Đông đã dạy dỗ và cung cấp cho em những kiến thức cơ bảncũng như chuyên môn trong suốt năm học tập tai trường, tạo điều kiện cho emhoàn thành tốt đồ án này

Em xin chân thành cảm ơn PGS TS Phan Hữu Huân người đã tận tình

chỉ bảo, hướng dẫn và cung cấp tài liệu cần thiết cho em trong suốt thời gian làmkhóa luận, giúp em hoàn thành khóa luận và có tầm nhìn tổng quát khi tìm hiểuthực hiện đề tài

Ngoài ra em cũng cảm ơn gia đình cùng với các bạn 506102+103 đã độngviên giúp đỡ em về mặt tinh thần để em hoàn thành khóa luận

Trong thời gian ngắn thực hiện khóa luận Mặc dù rất cố gắng nhưngkhông thể tránh khỏi những thiếu sót, em rất mong nhận được lời góp ý và chỉdẫn thêm của thầy cô để hoàn thiện các kỹ năng của em

SINH VIÊN

Tống Như Lân

MỤC LỤC

Trang

LỜI CẢM ƠN 1

MỤC LỤC 2

THUẬT NGỮ VÀ TỪ VIẾT TẮT 4

DANH MỤC HÌNH VẼ 7

LỜI MỞ ĐẦU 8

Chương 1 9

GIỚI THIỆU VỀ CÔNG NGHỆ CHUYỂN MẠCH NHÃN MPLS 9

1.1 Giới thiệu: 9

1.2 Sơ lược về sự ra đời của công nghệ chuyển mạch nhãn MPLS 9

1.3 Một số khái niệm cơ bản trong công nghệ chuyển mạch nhãn MPLS 13

1.4 Các thành phần trong chuyển mạch nhãn MPLS 19

1.4.1 Thành phần điều khiển 19

1.4.2 Các thao tác nhãn 22

1.4 Nguyên tắc hoạt động của MPLS 26

1.5 Tóm tắt chương: 28

Chương 2: 29

GIỚI THIỆU CHUNG VỀ VPN 29

2.1 Giới thiệu: 29

2.2 Khái niệm về VPN 29

2.3 Chức năng và lợi ích của VPN 31

2.3.1 Chức năng của mạng riêng ảo 31

2.3.2 Tiện ích chính của mạng riêng ảo 31

2.3.3 Nhược điểm và nhưng giải pháp khắc phục 32

2.4 Mô hình VPN 33

2.4.1 Mô hình VPN chồng lấn 33

2.4.2 Mô hình VPN ngang cấp 36

2.5 Phân loại VPN 39

2.5.1 VPN truy nhập từ xa 39

2.5.2 VPN cục bộ 42

2.4.3 VPN mở rộng 44

2.6 Tóm tắt chương: 46

Chương 3 47

MẠNG RIÊNG ẢO VPN TRONG MPLS 47

3.1 Giới thiệu: 47

3.2 Các thành phần của MPLS-VPN 47

3.2.1 Mô hình hệ thống cung cấp dịch vụ MPLS-VPN 47

3.2.2 Mô hình bộ định tuyến biên nhà cung cấp dịch vụ 48

3.2.3 Mô hình bảng định tuyến và chuyển tiếp ảo 49

3.3 Các mô hình MPLS-VPN 50

3.3.1 Mô hình mạng riêng ảo tầng 2 (L2VPN) 50

3.3.2 Mô hình mạng riêng ảo lớp ba (L3VPN) 52

3.4 Hoạt động của MPLS-VPN 53

3.4.1 Truyền tải gói tin định tuyến 53

3.4.2 Địa chỉ VPN-IP trong mạng riêng ảo 54

3.4.3 Hoạt động gói tin MPLS - VPN qua các PE và CE 56

3.4.4 Hoạt động gói tin VPN dọc mạng đườngtrục MPLS: 59

3.4.5 Truyền nhãn trên mạng riêng ảo VPN 61

3.4.6 Các phương pháp để Router PE giao tiếp với nhau thông qua Router CE 62

3.5.1 Hệ thống tự trị MPLS-VPN 64

3.5.2 Nhà cung cấp dịch vụ hạ tầng 65

3.6 Vấn đề bảo mật trong mạng MPLS-VPN 67

3.7 Tóm tắt chương: 69

TÀI LIỆU THAM KHẢO 71

THUẬT NGỮ VÀ TỪ VIẾT TẮT

ADSL Asynchronous Digital Subscriber

Line

Đường dây thuê bao số bất đối xứng

ATM Asynchronous Transfer Mode Ph n g th c truy n d n không n g b

BGP Border Gateway Protocol GT định tuyến cổng mạng vùng biên

CE Customer Edge Thiết bị định tuyến biên khách hàng CIR Committed Information Rate Tốc độ thông tin ràng buộc

CL Connectionless Operation Hoạt động không kết nối

CSC Carrier supporting Carrier Carrier hỗ trợ Carrier

CSPF Constrained Shortest Path First GT định tuyến tìm đường ngắn nhất DLCI Data Link Connection Identifier Nhận dạng kết nối lớp liên kết dữ liệu

DS Differentiated Services Các dịch vụ được phân biệt

EGP Edge Gateway Protocol Giao thúc định tuyến cổng biên

FEC Forwarding Equivalence Class Nhóm chuyển tiếp tương đương FIB Forwarding Information Base Cơ sở thông tin chuyển tiếp

FTP File Transfer Protocol Giao thức truyền file

GRE Generic Route Encapsulation Gói định tuyến chung

IANA Internet Assigned Number

Authority

Thẩm quyền số được gán cho Internet

IETF Internet Engineering Task Force Tổ chức tiêu chuẩn KT Internet

IGP Interior Gateway Protocol Giao thức định tuyến cổng trong

IP Internet Protocol Giao thức định tuyến Internet

ISP Internet Service Provider Nhà cung cấp dịch vụ Internet IVR Interative Voice Response Đáp ứng thoại tương tác

LCP Link Control Protocol Giao thức điều khiển đường truyền LDP Label Distribution Protocol Giao thức phân phối nhãn

LFIB Label Forwarding Information Base Cơ sở thông tin chuyển mạch nhãn LIB Label Information Base Cơ sở thông tin nhãn

LSP Label Switched Path Tuyến chuyển mạch nhãn

LSR Label Switching Router Bộ định tuyến chuyển mạch nhãn MIR Minimum Information Rate Tốc độ thông tin nhỏ nhất

MPLS MultiProtocol Label Switching Chuyển mạch nhãn đa giao thức MPPE Microsoft Point to Point Encryption Phương thức mã hoá điểm tới điểm

NHLFE Next-hop Label Forwarding Entry Lối vào chuyển tiếp nhãn đến hop

tiếp theo NDIS Network Driver Interface

Specification

Đặc tả giao diện thiết bị mạng

NSA Network Access server Máy chủ truy nhập mạng

OSPF Open Shortest Path First GT định tuyến mở đường ngắn nhất

đầu tiên

PE Provider Edge Thiết bị định tuyến biên phía nhà

cung cấp

POP Point of Presence Điểm kết nối

PPTP Point to Point Protocol Giao thức điểm - điểm

PSTN Public Switched Telephone

Network

Mạng thoại chuyển mạch công cộng

PVC Permanent Virtual Circuit Mạch ảo cố định

RAS Remote Access Rerver Dịch vụ truy nhập từ xa

RFC Request for Comment Các tiêu chuẩn của IETF

RIB Routing Information Base Cơ sở thông tin định tuyến

RIP Routing Information Protocol Giao thức thông tin định tuyến RSVP Resource Reservation Protocol Giao thức dành trước tài nguyên RTP Real Time Transport Protocol Giao thức truyền tải thời gian thực SIP Session Inititation Protocol Giao thức khởi tạo phiên

SVC Switched Virtual Circuit Kênh ảo có chuyển mạch

TCP Transport Control Protocol Giao thức điều khiển truyền tải TDP Tag Distribution Protocol Giao thức điều khiển truyền tải

VCI Virtual Circuit Identifier Trường nhận dạng kênh ảo

VPI Virtual Path Identifier Trường nhận dạng đường ảo

VPN Virtual Private Network Mạng riêng ảo

DANH MỤC HÌNH VẼ

Trang

Hình 1.1: Mô hình mạng MPLS 14

Hình 1.2: Mô hình lớp MPLS trong OSI 15

Hình 1.3: Khuôn dạng cấu trúc nhãn 16

Hình 1.4: Kiến trúc chuyển lớp FEC 18

Hình 1.5: Kiến trúc node trong chuyển mạch nhãn 18

Hình 1.6: Thành phần điều khiển chuyển mạch nhãn 20

Hình 1.7: Cấu trúc bảng chuyển tiếp chuyển mạch nhãn 21

Hình 1.8: Liên kết nhãn downstream và upstream 21

Hình 1.9: Các ánh xạ hỗ trợ vận chuyển gói tin 24

Hình 1.10: Điều khiển độc lập 25

Hình 1.11: Điều khiển theo yêu cầu 25

Hình 1.12: Chế độ hoạt động khung của MPLS 27

Hình 1.13: Vị trí của nhãn MPLS trong khung lớp 2 28

Hình 2.1: Mô hình VPN chồng lấn 35

Hình 2.2: Mô hình VPN ngang cấp 36

Hình 2.3: Mô hình VPN ngang cấp dùng Router chung 37

Hình 2.4: Cấu hình VPN truy nhập từ xa 40

Hình 2.5: Mô hình VPN truy nhập từ xa 41

Hình 2.6: kiến trúc VPN cục bộ 42

Hình 2.7: Cấu hình cục bộ trên cơ sở VPN 43

Hình 2.8: Mô hình VPN mở rộng 44

Hình 2.9: Một ví dụ về VPN mở rộng truyền thống 45

Hình 2.10: Thiết lập VPN mở rộng 45

Hình 3.1: Hệ thống cung cấp dịch vụ MPLS-VPN và các thành phần 48

Hình 3.2: Mô hình Bộ định tuyến PE và sơ đồ kết nối các site người dùng 49

Hình 3.5: Mô hình mạng MPLS L2VPN 51

Hình 3.6: Mô hình mạng riêng ảo tầng 3 (L3VPN) 52

Hình 3.3: Sử dụng nhãn để chuyển tiếp gói tin VPN 58

Hình 3.4: Mô hình sử dụng ngăn xếp nhãn để chuyển tiếp gói tin VPN 58

LỜI MỞ ĐẦU

Trong những năm qua, nghành công nghệ viễn thông đã áp dụng côngnghệ chuyển mạch có thể phối hợp ưu điểm của IP và ATM để đáp ứng nhu cầuphát triển của mạng lưới trong giai đoạn tiếp theo Một trong những công nghệđược áp dụng là công nghệ chuyển mạch nhãn MPLS

Công nghệ MPLS là kết quả của việc kết hợp công nghệ chuyển mạch IP

sử dụng cơ chế hoán đổi nhãn của ATM để tăng tốc độ truyền gói tin mà khôngcần thay đổi các giao thức định tuyến của IP MPLS tách chức năng của IP thành

2 phần riêng biệt chức năng chuyển gói tin và chức năng điều khiển Bên cạnh

đó MPLS cũng hỗ trợ việc quản lý dễ dàng hơn

MPLS đã được lựu chọn để đơn giản hóa và tích hợp trong mạng lõi Nócho phép các nhà khai thác giảm chi phí, đơn giản hóa việc quản lý lưu lượng và

hộ trợ các dịch vụ Internet Quan trọng hơn cả, nó là bước tiến trong việc hướngtới một mạng thế hệ mới tích hợp tất cả các dịch vụ thoại, dữ liệu…

Mạng riêng ảo VPN là một trong những ứng dụng rất quan trọng trongmạng MPLS Các công ty, doanh nghiệp đặc biệt các công ty đa quốc gia có nhucầu rất lớn về loại hình dịch vụ này Với VPN, họ hoàn toàn có thể sử dụng cácdịch vụ viễn thông, truyền số liệu nội bộ với chi phí thấp, an ninh bảo đảm Đây

là một ứng dụng quan trọng đáp ứng các yêu cầu của mạng riêng sử dụng hạtầng thông tin quốc gia với những yêu cầu khác nhau về độ an toàn, bảo mật vàchất lượng dịch vụ

Nắm bắt được những vấn đề trên em đã được thầy giáo Ths.Nguyễn ĐứcMinh hướng dẫn làm đề tài về công nghệ MPLS.Nội dung đồ án của em baogồm 3 chương :

Chương 1 Giới thiệu về công nghệ chuyển mạch nhãn MPLS

Chương 2 Giới thiệu về công nghệ VPN

Chương 3 Ứng dụng công nghệ chuyển mạch nhãn trong mạng riêng ảo

SINH VIÊN

Tống Như Lân

Chương 1 GIỚI THIỆU VỀ CÔNG NGHỆ CHUYỂN MẠCH NHÃN MPLS

1.1 Giới thiệu:

MPLS (Multi-Protocol Label Switching) kết hợp đặc tính tốc độ và hiệu suấtcủa các mạng chuyển gói với đặc tính linh hoạt các mạng chuyển mạch nhằmcung cấp giải pháp tốt nhất cho việc tích hợp voice, video và dữ liệu Giống nhưcác mạng chuyển mạch, MPLS thiết lập con đường kết nối cuối đến cuối trướckhi truyền tải thông tin, và các con đường này được chọn dựa vào yêu cầu củaứng dụng Mặt khác, giống như các mạng gói, các ứng dụng và người dùng cóthể chia sẻ chung một kết nối Các ứng dụng MPLS có thể thay đổi rất rộng, từmạng phân phát dữ liệu đơn giản tới các mạng nâng cao với khả năng đảm bảophân phát dữ liệu có kèm thông tin dành cho con đường phụ

Công nghệ mới MPLS đã xuất hiện và hứa hẹn những năng lực hỗ trợ rất lớncủa WAN cho các doanh nghiệp Các doanh nghiệp, tổ chức được đề cập ở đây

có thể là bất kỳ một tổ chức nào, tập đoàn kinh tế, cơ quan chính phủ, hay hệthống giáo dục Một phương thức tiếp cận đáp ứng được các yêu cầu trên đượcbiết đến hiện nay là công nghệ chuyển mạch nhãn MPLS Các nhà cung cấp dịch

vụ đang triển khai MPLS trên khắp mạng đường trục với sự quan tâm đặc biệtbởi khả năng vượt trội trong cung cấp dịch vụ chất lượng cao qua mạng IP, bởitính đơn giản, hiệu quả và quan trọng nhất là khả năng triển khai VPN Côngnghệ chuyển mạch nhãn đa giao thức là một trong nhưng công nghệ tiến đượcmột số hãng nổi tiếng chuyên về viễn thông đầu tư, nghiên cứu và đưa ra đượcnhưng tiêu chuẩn quốc tế Với những ưu điểm nổi bật của MPLS mà nó đưa lạicho ngành viễn thông MPLS

1.2 Sơ lược về sự ra đời của công nghệ chuyển mạch nhãn MPLS

MPLS là khái niệm được đưa ra bởi hãng Ipsilon, một hãng về công nghệthông tin trong triển lãm về công nghệ thông tin, viễn thông Một thời gian sau

đó, Cisco và một loạt các hãng khác cũng đưa ra các sản phẩm của họ sử dụng

công nghệ chuyển mạch được đặt dưới nhiều tên khác nhau nhưng đều cùngchung bản chất đó là công nghệ chuyển mạch dựa trên nhãn.

Năm 1994 hãng Toshiba cho đưa ra thiết bị thiết bị định tuyến chuyển đổi

tế bào (CSR) là tổng đài ATM đầu tiên được điều khiển bằng giao thức IP thaycho báo hiệu ATM Tổng đài IP của Ipsilon về bản chất là một ma trận chuyểnmạch ATM được điều khiển bởi khối xử lý sử dụng công nghệ IP

Sự ra đời của MPLS khi nhu cầu và tốc độ phát triển rất nhanh của mạngInternet yêu cầu phải có một giao thức mới đảm bảo chất lượng dịch vụ theo yêucầu đồng thời phải đơn giản và tốc độ xử lý phải rất cao Mỗi công nghệ có ưuđiểm và nhược điểm nhất định Công nghệ ATM được sử dụng rộng rãi trêntoàn cầu trong các mạng IP xương sống do tốc độ cao, chất lượng dịch vụ QoS,điều khiển luồng và các đặc tính khác của nó mà các mạng định tuyến truyềnthống không có, nó cũng được phát triển để hỗ trợ cho IP Trong các trường hợpđòi hỏi thời gian thực cao, IPOA (IP qua ATM) sẽ là sự lựa chọn tối ưu

IPOA truyền thống là một công nghệ được ghép dựa trên công nghệ IPlớp 3 và công nghệ ATM lớp 2 Các giao thức của hai lớp là hoàn toàn độc lậpvới nhau Chúng được kết nối với nhau bằng một loạt các giao thức Cách tiếpcận này hình thành tự nhiên và nó được sử dụng rộng rãi Đây là vấn đề để giảiquyết vấn đề khi dung lượng mạng tăng lên và một số vấn đề khác

• Trong phương pháp ghép này chúng ta cần phải kết nối mạng ảo cố định(PVC) cho tất cả các điểm để thiết lập với tất cả các kết nối Duy trì hoạtđộng và ngắt kết nối giữa các điểm Khi mạng mở rộng, tiêu đề sẽ ngàycàng lớn với mức độ quá tải

• Phương pháp lai ghép phân chia toàn bộ IPOA thành rất nhiều các Mạngcon Logic IP (LIS), với các LIS trong cùng một mạng vật lý Các Mạngcon Logic IP được kết nối nhờ các bộ định tuyến trung gian Cấu hìnhmulticast giữa các Mạng con Logic IP khác nhau trên một mặt và giữa các

bộ định tuyến này sẽ trở nên hạn chế khi luồng lưu lượng lớn đi qua Cấuhình như vậy chỉ áp dụng cho các mạng nhỏ như mạng doanh nghiệp, mạngtrường học v.v… Không phù hợp với nhu cầu cho các mạng lớn Internettrong tương lai, cả hai đều khó mở rộng, và phát triển

Điều này tạo nên sự liên kết giữa chúng phụ thuộc vào một loạt các giaothức phức tạp và các bộ định tuyến xử lý các giao thức này Sự phức tạp sẽ gây

ra các mối bất lợi đến độ tin cậy của các mạng Chuyển mạch nhãn sử dụng mộtthiết bị tương tự như bộ định tuyến để điều khiển thiết bị chuyển mạch phầncứng ATM, do vậy công nghệ này có được tỉ lệ giữa giá thành và chất lượng cóthể sánh được với tổng đài Nó kết hợp một cách hoàn hảo ưu điểm của các tổngđài chuyển mạch với ưu điểm của các bộ định tuyến

 Một số ưu điểm của chuyển mạch đa giao thức MPLS

Chuyển mạch MPLS làm tăng hiệu quả chuyển tiếp gói tin của các bộ địnhtuyến lõi qua việc sử dụng các chức năng gán và phân phối nhãn gắn với cácdịch vụ định tuyến lớp mạng khác nhau Và việc phân chia nhãn hoàn toàn độclập với bộ định tuyến trong mạng nhằm tăng tốc độ xử lý gói tin khi truyền trênmạng Một số yếu tố mà chúng ta cần quan tâm đến cộng nghệ chuyển mạchnhãn MPLS

 Khả năng làm viêc của cộng nghệ chuyển mạch nhãn

Tốc độ là một vấn đề quan trọng của chuyển mạch nhãn và tăng quá trình

xử lý lưu lượng người dùng trên mạng Các dịch vụ tốc độ cao không phải làquyết định tất cả các yếu tố nhưng gì mà chuyển mạch nhãn cung cấp Chuyểnmạch nhãn còn có thể cung cấp mềm dẻo các tính năng khác nhau để đáp ứngcác nhu cầu của người dùng Internet, thay vì sử dụng địa chỉ IP mà bộ địnhtuyến cần phải xử lý thì chuyển mạch nhãn cho phép các địa chỉ này gắn với mộthoặc vài nhãn, của chuyển mạch làm giảm kích thước bảng địa chỉ và cho phép

bộ định tuyến hỗ trợ nhiều người sử dụng hơn Hệ thống chuyển mạch nhãn xử

lý một cách linh hoạt số lượng người dùng

 Tốc độ độ xử lý gói tin

Các gói tin được truyền đi trên đường truyền dựa vào các phần mềm điềukhiển lưu lượng trên mạng, độ trễ được xác định chủ yếu trong quá trình này làquá trình xử lý định tuyến để tìm ra phương án thích hợp cho các gói tin đầuvào Trong quá trình phát triển thì việc tìm cách đưa ra nhưng phương pháp tối

ưu nhất nhằm giảm được tốc độ trễ của gói tin đầu vào, nhưng lưu lượng truyềntải luôn lớn hơn khả năng xử lý và dẫn đến việc mất gói tin, hoặc tắc nghẽnmạng trên đường truyền Việc này dẫn đến làm giảm hiệu năng truyền tải của

mạng một cách đáng kể Công nghệ MPLS đưa ra một cách đánh giá khác vớichuyển tiếp gói tin IP thông thường, sẽ cung cấp một giải pháp hiệu quả để giảiquyết vấn đề trên Chuyển mạch nhãn thực hiện quá trình gán nhãn cho gói tinđầu vào và sử dụng nhãn để truy nhập vào bảng chuyển tiếp tại bộ định tuyếnnhư một chỉ số của bảng Quá trình truy nhập này chỉ yêu cầu duy nhất cho mộttruy nhập tới bảng thay vì hàng ngàn quá trình tìm kiếm được thực hiện trongbảng định tuyến truyền thống Kết quả là các hoạt động này hiệu quả hơn và vìvậy lưu lượng người sử dụng trong gói tin được gửi qua mạng nhanh hơn, giảm

độ trễ và thời gian đáp ứng tốt hơn cho các chuyển giao thông tin giữa các người

sử dụng

 Tính chuẩn hoá của công nghệ chuyển mạch nhãn

Chuyển mạch nhãn chính là sự đơn giản trong các giao thức chuyển tiếp góitin, dựa trên nhãn của nó được cấp Tuy nhiên, cần có các kỹ thuật điều khiểncho qua trình liên kết nhãn và đảm bảo tính tương quan giữa các nhãn với luồnglưu lượng người sử dụng, các kỹ thuật này nhiều khi có khó khăn nhưng chúngkhông gây ảnh hưởng tới hiệu năng lưu lượng của người dùng Sau khi đã gánnhãn vào lưu lượng người dùng thì hoạt động chuyển mạch nhãn có thể đưa vàotrong phần mềm, trong các mạch tích hợp trong bộ xử lý đặc biệt

 Điều khiển định tuyến

Định tuyến trong mạng Internet được thực hiện với các địa chỉ IP Có rấtnhiều các thông tin được lấy ra từ tiêu đề gói tin IP để thực hiện quá trình địnhtuyến này Trường kiểu dịch vụ IP, địa chỉ cổng vv…, là một phần của quyếtđịnh chuyển tiếp gói tin Nhưng định tuyến theo đích là phương pháp chuyểntiếp gói tin thông thường nhất hiện đang sử dụng

Định tuyến theo địa chỉ đích không phải là phương pháp luôn đem lại hiệuquả Các vấn đề lặp vòng trên mạng cũng như sự khác nhau về kiến trúc mạng

sẽ là các trở ngại trên mặt bằng điều khiển chuyển tiếp gói tin đối với phươngpháp này Một vấn đề nữa được đặt ra là các nhà cung cấp thiết bị Việc sử dụngphương pháp định tuyến dựa theo địa chỉ đích theo cách riêng của họ Một sốthiết bị cho phép người quản trị mạng chia sẻ lưu lượng, trong khi một số khác

sử dụng các trường chức năng (TOS), chỉ số cổng vv…

Định tuyến dựa trên IP thường gắn với các giao thức chuyển mạch nhãn,như Chuyển tiếp khung (FR), ATM hoặc MPLS Phương pháp này sử dụng cáctrường chức năng trong tiêu đề gói tin IP như: địa chỉ cổng, nhận dạng giao thức

IP hoặc kích thước của gói tin Các trường chức năng này cho phép mạng phânlớp dịch vụ thành các kiểu lưu lượng và thường thực hiện tại các nút đầu vàomạng

Các bộ định tuyến trên lớp lõi có thể sử dụng các bits đã xử lý tại thiết bịbiên để quyết định xử lý luồng lưu lượng đến, quá trình xử lý này có thể sử dụngcác kiểu hàng đợi khác nhau và các kiểu phương pháp xếp hàng khác nhau Địnhtuyến dựa trên IP cũng cho phép người quản lý mạng thực hiện phương phápđịnh tuyến ràng buộc Các chính sách dựa trên IP cho phép bộ định tuyến:

• Đặt các giá trị ưu tiên vào trong tiêu đề gói tin IP

• Thiết lập bước kế tiếp cho gói tin

• Thiết lập giao diện ra cho gói tin

• Thiết lập bước kế tiếp cho gói tin khi không tồn tại hướng trong bảng địnhtuyến

Chuyển mạch nhãn khác với các phương pháp chuyển mạch khác ở chỗ nó làmột kỹ thuật điều khiển giao thức chuyển mạch IP theo kiểu Topo mạng Mặtkhác, sự tồn tại của một địa chỉ mạng đích sẽ được xác định qua quá trình cậpnhật trong bảng định tuyến để ra một đường dẫn chuyển mạch hướng tới đích

Nó cũng khái quát hoá chuyển tiếp và trao đổi nhãn, phương pháp này không chỉthích hợp với các mạng lớn như ATM, chuyển mạch khung, PPP, mà nó có thểthích hợp với bất kỳ một phương pháp đóng gói nào

1.3 Một số khái niệm cơ bản trong công nghệ chuyển mạch nhãn MPLS

 Các khái niệm trong MPLS

Chuyển mạch nhãn đa giao thức là cơ chế ánh xạ địa chỉ lớp 3 vào nhãn ở lớp

2 và chuyển tiếp gói dữ liệu, thích hợp với cơ chế định tuyến ở tầng mạng.

Nguyên tắc cơ bản của MPLS là thay đổi các thiết bị lớp 2 trong mạng như cácthiết bị chuyển mạch ATM thành các bộ định tuyến chuyển mạch nhãn LSR.LSR có thể được xem như một sự kết hợp giữa hệ thống chuyển mạch ATM với

các bộ định tuyến truyền thống Trên đường truyền dữ liệu, LSR đầu được gọi làquyền lối vào (Ingress) LSR; LSR cuối cùng được gọi là quyền được ra (Egress)LSR, còn lại các LSR trung gian gọi là các Core LSR Trong một mạng MPLSmỗi gói dữ liệu sẽ chứa một nhãn dài 20 bits nằm trong tiêu đề MPLS dài 32bits Đầu tiên, một nhãn sẽ được gán tại lối vào LSR để sau đó sẽ được chuyểntiếp qua mạng theo thông tin của bảng định tuyến Khối chức năng điều khiểncủa mạng sẽ tạo ra và duy trì các bảng định tuyến này và đồng thời cũng có sựtrao đổi về thông tin định tuyến với các nút mạng khác

Hình 1.1: Mô hình mạng MPLS

Việc chia tách riêng hai khối chức năng độc lập nhau là: chuyển tiếp vàđiều khiển là một trong các thuộc tính quan trọng của MPLS Khối chức năngđiều khiển sử dụng một giao thức định tuyến truyền thống (OSPF) để tạo ra vàduy trì một bảng chuyến tiếp Khi gói dữ liệu đến một LSR, chức năng chuyểntiếp sẽ sử dụng thông tin ghi trong tiêu đề để tìm kiếm bảng chuyển tiếp phù hợp

và LSR đó sẽ gán một nhãn vào gói tin và chuyển nó đi theo tuyến chuyển mạchnhãn LSP (Label-Switched Path) Tất cả các gói có nhãn giống nhau sẽ đi theocùng tuyến LSP từ điểm đầu đến điểm cuối Đây là điểm khác với các giao thứcđịnh tuyến truyền thống, có thể có nhiều tuyến đường nối giữa hai điểm

Các Core LSR sẽ bỏ qua phần tiêu đề lớp mạng của gói, khối chức năngchuyển tiếp của những LSR này sử dụng số cổng vào và nhãn để thực hiện việctìm kiếm bảng chuyển tiếp phù hợp rồi sau đó thay thế nhãn mới và chuyển ra

ngoài vào tuyến LSP MPLS được xây dựng dựa trên các công nghệ của hai tầngnên nó không phụ thuộc vào công nghệ của tầng nào, hướng tiếp cận khác chorằng công nghệ MPLS là công nghệ lớp 2.5, nên MPLS được gọi là đa giaothức Ngoài ra không yêu cầu một giao thức phân bố nhãn cụ thể nào MPLS cómột số ứng dụng quan trọng như kỹ thuật điều khiển lưu lượng, hỗ trợ QoS vàmạng riêng ảo.

Công nghệ MPLS là một dạng phiên bản của công nghệ IPOA (IP overATM) truyền thống, nên MPLS có cả ưu điểm của ATM, tốc độ cao, QoS vàđiều khiển luồng và của IP độ mềm dẻo và khả năng mở rộng Giải quyết đượcnhiều vấn đề của mạng hiện tại và hỗ trợ được nhiều chức năng mới, MPLSđược cho là công nghệ mạng trục IP lý tưởng

Hình 1.2: Mô hình lớp MPLS trong OSI

 Khái niệm về nhãn trong công nghệ chuyển mạch nhãn

Nhãn là một thực thể có độ dài ngắn và cố định không có cấu trúc bên trong.Nhãn không trực tiếp mã hóa thông tin mào đầu lớp mạng như địa chỉ lớp mạng.Nhãn được gán vào một gói tin cụ thể sẽ đại diện cho một lớp chuyển tiếp tươngđương FEC (Forwarding Equivalence Classes) mà gói tin đó được ấn định.Thường thì một gói tin được ấn định một FEC hoàn toàn hoặc một phần dựa trênmột địa chỉ lớp mạng của nó Tuy nhiên nhãn không bao giờ là mã hóa của địachỉ đó

Dạng của nhãn phụ thuộc vào phương tiện truyền mà gói tin được truyền Cácgói ATM sử dụng giá trị Trường nhận dạng đường ảo và Trường nhận dạngkênh ảo VP như nhãn, Frame Relay sử dụng DLCI (Data Link ConnectionIdentifier) làm nhãn Đối với các phương tiện gốc không có cấu trúc nhãn, mộtđoạn đệm được chèn thêm để sử dụng cho nhãn Khuôn dạng đoạn đệm 4 byte

có cấu trúc như hình vẽ dưới đây Đối với các khung PPP hay Ethernet giá trịnhận dạng giao thức P-ID (hoặc EtherType) được đưa thêm vào mào đầu khungtương ứng để thông báo khung là MPLS đơn hướng (Unicast) hay đa hướng(Multicast) một cách hợp lý nhất

Hình 1.3: Khuôn dạng cấu trúc nhãn

 Ngăn xếp nhãn

Ngăn xếp nhãn là một tập hợp có thứ tự các nhãn gắn theo gói có nhiệm

vụ chuyển tải thông tin về nhiều FEC và về các LSP tương ứng mà gói sẽ đi qua.Ngăn xếp nhãn cho phép MPLS hỗ trợ định tuyến phân cấp và tổ chức đa LSPtrong một trung kế LSP

 Miền Chuyển mạch nhãn

Miền chuyển mạch nhãn là tập hợp của các nút mạng MPLS được quản

lý và điều khiển bởi cùng một nhà quản trị và điều hành mạng, hay là một miềnMPLS có thể coi như hệ thống mạng của một tổ chức nào đó

 Định tuyến chuyển mạch nhãn

Thiết bị định tuyến hay chuyển mạch sử dụng trong mạng MPLS đểchuyển các gói tin bằng thủ tục phân phối nhãn Có một số loại LSR cơ bản như:LSR biên, ATM – LSR, ATM – LSR biên

 Bảng chuyển tiếp chuyển mạch nhãn

Bảng chuyển tiếp nhãn có chứa thông tin về nhãn đầu vào, nhãn đầu ra,giao diện đầu ra và địa chỉ điểm tiếp theo

 Đường chuyển mạch nhãn

Đường chuyển mạch nhãn là tuyến tạo ra từ đầu vào đến đầu ra của mạng

MPLS dùng để chuyển tiếp gói của một FEC nào đó sử dụng cơ chế chuyển đổinhãn

 Nhóm chuyển tiếp tương đương

Khái niệm được dùng để chỉ có một nhóm các gói được đối xử như nhauqua mạng MPLS ngay cả khi có sự khác biệt giữa các gói tin nay thể hiện trongmào đầu lớp mạng

 Gói tin dán nhãn

Một gói tin dán nhãn là một gói tin mà nhãn được mã hóa trong đó.Trong một số trường hợp, nhãn nằm trong mào đầu của gói tin dành riêng chomục đích dán nhãn Trong các trường hợp khác, nhãn có thể được đặt chungtrong mào đầu lớp mạng và lớp liên kết dữ liệu miễn là ở đây có trường tin cóthể dùng được cho mục đích dán nhãn Công nghệ mã hóa được sử dụng phảiphù hợp với cả thực thể mã hóa nhãn và thực thể giải mã nhãn

 Ấn định và phân phối nhãn

Trong mạng MPLS, quyết định để kết hợp một nhãn L cụ thể với mộtFECF cụ thể là do LSR phía trước thực hiện LSR phía trước sau khi kết hợp sẽthông báo với LSR phía sau về sự kết hợp đó Do vậy các nhãn LSR phía trước

ấn định và các kết hợp nhãn được phân phối theo hướng từ LSR phía trước tớiLSR phía sau

 Lớp chuyển tiếp tương đương

Là khái niệm được dùng để chỉ một nhóm các gói được coi là bình đẳngnhư nhau qua mạng MPLS ngay cả khi có sự khác biệt giữa các gói tin này thểhiện trong tiêu đề lớp mạng Trong lớp chuyển tiếp tương đương chứa ba thànhphần cơ bản: tiền tố địa chỉ, nhận dạng bộ định tuyến và đặc tính luồng Mộtnhóm gói tin IP có thể chuyển trên cùng một đường LSP với cùng tiêu đề nhãn

Hình 1.4: Kiến trúc chuyển lớp FEC

Hình 1.5: Kiến trúc node trong chuyển mạch nhãn

 Bộ định tuyến chuyển mạch

Là thiết bị bộ định tuyến hoặc chuyển mạch sử dụng trong mạng MPLS

để chuyển các gói tin bằng thủ tục phân phối nhãn Có một số loại LSR cơ bảnsau: LSR biên, ATM-LSR, ATM-LSR biên

 Bộ định tuyến chuyển mạch biên

Nằm ở biên của mạng MPLS LSR này tiếp nhận hay gửi đi các gói thôngtin từ hay đến mạng khác (IP, Frame Relay v.v…) LSR biên gán hay loại bỏnhãn cho các gói thông tin đến hoặc đi khỏi mạng MPLS Các LSR này có thể là

bộ định tuyến lối vào hay bộ định tuyến lối ra

1.4 Các thành phần trong chuyển mạch nhãn MPLS

Đặc điểm cấu trúc quan trọng của công nghệ chuyển mạch nhãn là cácchức năng điều khiển lớp mạng được tách hoàn toàn độc lập với hoạt động vớichuyển tiếp mạch nhãn Sự tách biệt chức năng độc lập này được tính toán kĩ khithiết kế

MPLS cho phép các nhà cung cấp mạng kết hợp một số dịch vụ mạnghiện tại và mạng tương lai với một cơ chế chuyển tiếp đơn giản và hiểu quả Nó

hỗ trợ tốt các dịch vụ đặc biệt như định tuyến dựa vào đích hay định tuyến đahướng, hoặc tường minh định tuyến bằng cách kết hợp chức năng định tuyến vớiviệc thiết lập các nhãn khi phân phối chúng qua mạng, tạo ra các đường truyềnchuyển mạch với các dịch vụ đầu cuối tới đầu cuối

1.4.1 Thành phần điều khiển

Như chúng ta đã đề cập trên đây, các thành phần chuyển tiếp gói và điềukhiển không chỉ áp dụng đối với kiến trúc định tuyến thông thường mà còn ápdụng đối với chuyển mạch nhãn Trong phần này chúng ta sẽ cùng nhau xem xétmột số khái niệm cơ bản liên quan tới thành phần điều khiển chuyển mạch nhãn.Thành phần điều khiển của chuyển mạch nhãn có nhiệm vụ:

• Phân bổ thông tin định tuyến giữa các LSR

• Thực hiện các thủ tục chuyển đổi các thông tin định tuyến vào bảng chuyểntiếp nằm tại thành phần chuyển tiếp

Giống như thành phần điều khiển của bất kỳ một hệ thống định tuyến nào,thành phần điều khiển chuyển mạch nhãn phải cung cấp thông tin định tuyếntường minh giữa các LSR, trên cơ sở thông tin định tuyến, bộ định tuyến thiếtlập các thủ tục để tạo ra các bảng chuyển tiếp dựa trên các thông tin này Trongthực tế, thành phần điều khiển chuyển mạch nhãn sử dụng tất cả các giao thứcđịnh tuyến trong các bộ định tuyến thông thường (OSPF, BGP, v v.) Có thể coinhư cấu trúc định tuyến chuyển mạch nhãn có một tập nhỏ thuộc về bộ địnhtuyến thông thường

Tuy nhiên, thành phần điều khiển của bộ định tuyến thông thường không

hỗ trợ một cách hoàn toàn hiệu quả đối với chuyển mạch nhãn, bởi vì kiến trúcđịnh tuyến thông thường không thích hợp để tạo ra các bảng chuyển tiếp trên cơ

sở của thành phần chuyển tiếp chuyển mạch nhãn, lý do là trong thành phầnbảng chuyển tiếp chứa hoạt động trao đổi nhãn và các bước kế tiếp Để hỗ trợđầy đủ, chúng ta xem xét các thủ tục mà LSR phải thực hiện:

• Tạo ra liên kết ràng buộc giữa nhãn và lớp chuyển tiếp tương đương

• Thông tin tới các LSR khác về liên kết ràng buộc này

• Sử dụng cả hai ý trên để xây dựng và duy trì bảng chuyển tiếp

Cấu trúc chung của thành phần điều khiển chuyển mạch nhãn được mô hìnhhoá dưới đây

Hình 1.6: Thành phần điều khiển chuyển mạch nhãn

Các giao thức lớp mạng cung cấp cho các LSR thông tin về sự sắp xếp cácFEC và các địa chỉ bước kế tiếp Các thủ tục tạo liên kết nhãn và phân bổ thôngtin tới các LSR về thông tin liên kết nhãn và FEC Hình 1.7 dưới đây mô tả haikiểu liên kết nhãn để tạo ra bảng chuyển tiếp chuyển mạch nhãn

Trong bảng chuyển tiếp chứa một nhãn đầu vào và một hoặc nhiều nhãnđầu ra Tương ứng với hai loại nhãn trong bảng chuyển tiếp, thành phần điềukhiển chuyển mạch nhãn cung cấp hai kiểu liên kết ghép nhãn Kiểu thứ nhấtđược thực hiện trực tiếp trên LSR, và kiểu thứ hai được thực hiện trên các LSRkhác Thành phần điều khiển chuyển mạch nhãn sử dụng liên kết nhãn trực tiếpđối với các nhãn đầu vào, và gián tiếp đối với các nhãn đầu ra, hoặc ngược lại,gọi là liên kết nhãn downstream và upstream

Hình 1.7: Cấu trúc bảng chuyển tiếp chuyển mạch nhãn

Liên kết nhãn downstream thực hiện liên kết nhãn với luồng FEC thực tế

mà gói tin nằm trên đó, được tạo ra bởi LSR đặt nhãn vào gói tin Các thông tinliên kết nhãn ngược hướng với chiều của các gói tin

Liên kết nhãn upstream thực hiện liên kết nhãn với luồng FEC thực tế màgói tin nằm trên đó, được tạo ra cùng LSR đặt nhãn vào gói tin Các thông tinliên kết nhãn cùng chiều với chiều của các gói tin

Hình 1.8: Liên kết nhãn downstream và upstream

Trên hình 1.8 mô phỏng liên kết nhãn downstream và upstream, chúng ta

có thể thấy rằng trong trường hợp downstream, liên kết được tạo ra tại phía cuối

của kết nối downstream; trong trường hợp upstream liên kết được tạo ra tại cuốicủa kết nối upstream.

Bộ định tuyến chuyển mạch nhãn LSR thường duy trì một số nhãn khôngliên kết trong ngăn xếp nhãn Khi LSR khởi tạo lần đầu tiên các nhãn này được

sử dụng cho liên kết nhãn trực tiếp, số lượng nhãn này chỉ ra khả năng liên kếtnhãn đồng thời của LSR Khi bộ định tuyến tạo ra liên kết nhãn mới, các nhãn sẽđược lấy ra từ ngăn xếp nhãn và khi huỷ bỏ liên kết các nhãn sẽ được trả lại cholần sử dụng tiếp theo

Bộ định tuyến chuyển mạch nhãn có hai dạng bảng chuyển tiếp, chuyểntiếp đơn và đa bảng chuyển tiếp Tương ứng với hai kiểu này, bộ định tuyếnchuyển mạch nhãn sẽ có một hoặc nhiều ngăn xếp chứa nhãn

 Tạo và huỷ bỏ liên kết nhãn

Bộ định tuyến chuyển mạch nhãn LSR tạo và huỷ bỏ liên kết nhãn với lớpchuyển tiếp tương đương FEC dựa trên tác động từ gói tin chuyển tiếp và thôngtin điều khiển Quá trình tạo và huỷ bỏ liên kết nhãn và khi có tác động từ phíagói tin chuyển tiếp được gọi là quá trình liên kết nhãn hướng dữ liệu Quá trìnhtạo và huỷ bỏ liên kết nhãn dưới tác động của thông tin điều khiển được gọi làhướng điều khiển Bộ định tuyến chuyển mạch nhãn hỗ trợ một miền rộng cáctiếp cận để lựa chọn điều khiển Ví dụ, tiếp cận theo hướng dữ liệu sẽ tạo ra liênkết nhãn với luồng tin qua gói tin đầu tiên tới LSR, hoặc có thể chờ một vài góitin đến rồi mới thực hiện liên kết nhãn nếu các gói tin đến theo luồng.Việc lựachọn phương pháp thiết lập liên kết có thể ảnh hưởng tới hiệu năng và độ mềmdẻo của LSR, vì vậy, chúng ta sẽ cùng nhau xem xét một số điều kiện và yêu cầucủa mạng để rõ hơn các lựa chọn phương pháp

1.4.2 Các thao tác nhãn

 Ngăn xếp nhãn

Để hỗ trợ khả năng phân cấp nhằm đáp ứng sự mở rộng của mạng, MPLScho phép một gói tin có thể mang nhiều nhãn Các nhãn này được xếp liền nhautheo cấu trúc dữ liệu ngăn xếp tức là vào trước ra sau Bits sẽ chỉ ra nhãn đó cóphải là nhãn cuối cùng của gói tin hay không Do vậy, có ba thao tác liên quanđến nhãn là: Push, Pop, và đổi nhãn Các thao tác xử lý nhãn chỉ quan tâm đếnnhãn nằm trên cùng của ngăn xếp Ngăn xếp nhãn cho phép nhiều thành phần

điều khiển tác động lên một gói tin, và các thành phần này ít hoặc không phụthuộc vào nhau.

Việc tạo ngăn xếp nhãn phải tuân theo các quy tắc sau: khi một LSR đẩymột nhãn vào một gói tin đã được gán nhãn sẵn thì nhãn mới phải tương ứng vớiFEC mà LSR đầu ra đã gán nhãn ban đầu Như vậy, tại LSR đầu ra của LSP,phải thực hiện hai lần tra bảng: một lần cho nhãn cần lấy ra và một lần cho nhãncòn lại Để tăng hiệu quả hoạt động thì MPLS đưa ra khái niệm nút ngay sátLSR đầu ra thực hiện thao tác lấy ra nhãn ra khỏi ngăn xếp và gửi gói tin đếnLSR đầu ra Tại LSR đầu ra, chỉ cần thực hiện một thao tác tra bảng Mục đíchcủa việc Pop tại nút áp chót là để mỗi LSR chỉ thực hiện một lần tra bảng

 Các ánh xạ và bảng hỗ trợ

Các bảng và ánh xạ được sử dụng để hỗ trợ sự phối hợp hoạt động củanhãn đến và nhãn đi, cũng như việc quản lý ngăn xếp nhãn Chuyển nhãn đếnnút tiếp theo được sử dụng để quản lý một gói tin đã được gán nhãn Nó baogồm các thông tin sau: Nút tiếp theo của gói tin và nhãn mới hoặc Push-Pop đốivới ngăn xếp nhãn

Ngoài ra, còn có thể có các thông tin về đóng gói dữ liệu ở tầng dữ liệu,thông tin vè chính sách quản lý gói tin Có thể có nhiều NHLFE cùng tồn tại chomột FEC trong bảng chuyển tiếp

• Ánh xạ ILM (Incoming Lable Map) ánh xạ mỗi nhãn đầu vào thành mộttập hợp các NHLFE Nhãn ở trên cùng của ngăn xếp được sử dụng làm chỉmục của ánh xạ để tìm ra một tập hợp các NHLFE, dựa vào các thông tinnày, LSR sẽ xử lý các nhãn của gói tin đó rồi mới chuyển tiếp gói tin đi

• Ánh xạ FTN (FEC-To-NHLFE map): ánh xạ mỗi FEC ứng với một tập hợpNHLFE Quá trình này được thực hiện đối với các gói tin chưa được gánnhãn, những gói tin này sẽ được gán nhãn trước khi chuyển đến node tiếptheo trong mạng

Tại biên mạng, gói tin được phân tích phần tiêu đề và ánh xạ vào mộtFEC Tiếp đó, FEC được ánh xạ để tìm ra NHLFE rồi vận chuyển gói tin vàotrong mạng Tại mỗi node trong mạng, các nhãn được ánh xạ thành NHLFE đểxác định cách quản lý gói tin rồi được chuyển đến node tiếp theo

 Liên kết nhãn

Là thủ tục liên kết một nhãn với một FEC Quá trình liên kết nhãn được

thực hiện bởi downstream LSR Giá trị của nhãn có thể là duy nhất trong mộtgiao diện hoặc duy nhất trong tất cả các giao diện của LSR Sau đó, downstreamLSR thông báo cho upstream LSR về liên kết mới được tạo ra

Hình 1.9: Các ánh xạ hỗ trợ vận chuyển gói tin

 Điều khiển gán nhãn

Để thực hiện chuyển tiếp gói tin qua mạng chuyển mạch nhãn đa giaothức, nhãn được gán và phân phối trong các node mạng MPLS, MPLS hỗ trợ haikiểu điều khiển gán nhãn vào lớp chuyển tiếp tương đương FEC: điều khiển gánnhãn độc lập và theo yêu cầu Hai ví dụ dưới đây mô tả kiểu điều khiển này

Hình 1.10, LSR-1 sử dụng OSPF để phát hành tiền tố địa chỉ 192.168/19tới ATM-LSR, sau khi nhận được phát hành này ATM-LSR độc lập gán nhãnvào trong luồng FEC và phát hành địa chỉ nhãn này tới các LSR lân cận, cácnhãn là các nhãn rỗi lấy được lấy ra từ ngăn xếp nhãn Ưu điểm cơ bản củaphương pháp này là các nhãn được gán chỉ khi có phát hành địa chỉ, giả thiết làmạng có độ hội tụ định tuyến nhanh thì bước liên kết gán nhãn được thực hiệnrất nhanh Tuy nhiên, các bộ định tuyến chuyển mạch nhãn phải thiết lập thoảthuận với các LSR lân cận về lớp chuyển tiếp tương đương sẽ sử dụng Nếuquyết định khác với lớp chuyển tiếp tương đương, hoặc một số lớp chuyển tiếptương đương không có các đường dẫn chuyển mạch nhãn liên kết với chúng,thậm chí có nhưng chúng không khả dụng thì quá trình gán nhãn không đượcđảm bảo

Phương pháp điều khiển gán nhãn theo yêu cầu đảm bảo chắc chắn rằngtất cả các LSR trên đường dẫn chuyển mạch nhãn sử dụng cùng FEC được khởitạo gán nhãn Mặt hạn chế của phương pháp này là thời gian thiết lập LSP, một

số quan điểm cho rằng phương pháp này kém hiệu quả, một số khác lại cho rằngphương pháp điều khiển gán nhãn theo yêu cầu sẽ hỗ trợ rất tốt cho vấn đề địnhtuyến ràng buộc Trên thực tế, công nghệ chuyển mạch nhãn đa giao thức MPLSthực hiện cả hai phương pháp trên

Hình 1.10: Điều khiển độc lập

Hình 1.11: Điều khiển theo yêu cầu

 Trộn nhãn

Nhiều gói đến với các nhãn khác nhau và cùng đi ra một giao diện để đến

node tiếp theo có thể được LSP gán chung một nhãn Sau khi các gói được gánchung một nhãn, thông tin về các gói đến từ các giao diện khác nhau với cácnhãn khác nhau bị mất đi Do vậy, vấn đề cần phải phối hợp hoạt động giữa cácLSR có khả năng trộn và LSR không có khả năng này

Quy tắc của hoạt động trộn nhãn là khá đơn giản: nếu LSR hỗ trợ khảnăng trộn nhãn thì chỉ cần gửi một nhãn cho FEC; nếu LSR không hỗ trợ khảnăng trộn nhãn thì phải gửi một nhãn cho mỗi FEC, nếu một upstream LSRkhông hỗ trợ khả năng trộn nhãn thì nó phải yêu cầu một nhãn cho một FEC

 Chế độ sử dụng nhãn

Sẽ quyết định duy trì thông tin về nhãn hay bỏ nhãn đi khi nó nhận đượcthông tin về liên kết nhãn hay FEC Nếu LSR duy trì thông tin về liên kết giữanhãn và FEC nhận được từ các LSR không phải là node tiếp theo của nó ứng vớiFEC được gán nhãn, thì LSR hoạt động ở chế độ sử dụng nhãn tự do (LiberalLable Retention Mode) Ngược lại, LSR hoạt động ở chế độ tiết kiệm nó sẽ bỏthông tin nhận được

1.4 Nguyên tắc hoạt động của MPLS

Chế độ hoạt động này xuất hiện khi sử dụng MPLS trong môi trường cácthiết bị định tuyến thuần nhất định tuyến các gói tin IP điểm-điểm Các gói tingán nhãn được chuyển tiếp trên cơ sơ khung lớp 2

 Các hoạt động trong mảng số liệu

Quá trình chuyển tiếp một gói tin IP qua mạng MPLS được thực hiện quamột số bước cơ bản sau:

• LSR biên lối vào nhận gói IP, phân loại gói vào nhóm chuyển tiếp tươngđương FEC và gán nhãn cho gói với ngăn xếp nhãn tương ứng FEC đã xácđịnh Trong trường hợp định tuyến một địa chỉ đích, FEC sẽ tương ứng vớimạng con đích và việc phân loại gói sẽ đơn giản là việc so sánh bảng địnhtuyến lớp 3 truyền thống

• LSR lõi nhận gói tin có nhãn sử dụng bảng chuyển tiếp nhãn để thay đổi nhãn

n i vùng trong gói n v i nhãn ngoài vùng t n g ng cùng v i vùng FEC

• Khi LSR biên l i ra c a vùng FEC này nh n c gói có nhãn, nó lo i bnhãn và th c hi n vi c chuy n ti p gói IP theo b ng n h tuy n l p 3 truy n

Do nhãn MPLS được chèn vào vị trí như vậy nên Router gửi thông tinphải có phương tiện gì đó thông báo cho Router nhận rằng gói đang được gửi đikhông phải là gói IP thuần mà là gói có nhãn Để đơn giản chức năng này, một

số dạng giao thức mới được định nghĩa trên lớp 2 như sau:

• Trong môi trường LAN, các gói có nhãn các gói có nhãn truyền tải gói lớp

3 unicast hay multicast sử dụng giá trị 8847H và 8848H cho dạnh Ethernet

• Trên kênh điểm - điểm sử dụng tạo dạng PPP, sử dụng giao thức điều khiểnmạng mới được gọi là MPLSCP (giao thức điều khiển MPLS) Các góiMPLS được đánh dấu bởi giá trị 8281H trong trường giao thức PPP

Hình 1.13: Vị trí của nhãn MPLS trong khung lớp 2

• Các gói MPLS truyền qua chuyển dịch khung DLCI giữa một cặp Routerđược đánh dấu bởi nhận dạng giao thức lớp mạng SNAP của chuyển dịchkhung (NLPID), tiếp theo mào đầu SNAP với giá trị 8847H cho dạngEthernet

• Các gói MPLS truyền giữa một cặp Router qua kênh ảo ATM Forum đượcbọc với mào đầu SNAP sử dụng giá trị cho dạng Ethernet như trong môitrường LAN

1.5 Tóm tắt chương:

Trong chương này đã khái quát những ưu điểm và các vấn đề chính củacông nghệ chuyển mạch nhãn đa giao thức MPLS MPLS được rất nhiều nhàcung cấp và khai thác thiết bị triển khai trên mạng lõi MPLS đảm bảo một sốyếu tố quan trọng về băng thông, độ tin cậy và cơ chế truyền tải hiệu quả là điềukiện cần thiết nhất cho các mạng lõi Các thành phần và chế độ hoạt động củaMPLS được đề cập nhằm trình bày các đặc điểm cơ bản của giải pháp côngnghệ, hơn nữa một số các giao thức báo hiệu và định tuyến được triển khai trongmạng MPLS đã tóm lược nhằm xác định rõ các vấn đề đã và đang được giảiquyết trong mạng MPLS Chương sau sẽ trình bày chi tiết về công nghệ mạngriêng ảo trong nền công nghệ MPLS

VPN là từ thường dùng trong suốt khoảng mấy năm qua Từ đó, chúng tahiểu về nó và ứng dụng VPN vào những mục đích phục vụ cuộc sống như trongkinh doanh và văn hoá hiện đại Có thể nói rằng VPN là một sự kết hợp củađường hầm, sự mật mã, sự xác thực, công nghệ điều khiển truy cập và sự phục

vụ đã từng lưu thông trên Internet, mạng IP được quản trị hoặc mạng Backbonecủa nhà cung cấp dịch vụ

Phạm vi đường trục của mạng này dùng sự kết hợp của công nghệ truy cậpbao gồm frame relay, ISDN, ATM hoặc Aimple-Dial Access VPN có thể đượchiểu như là mạng kết nối các site người dùng đảm bảo an ninh trên cơ sở hạ tầngmạng chung cùng với các chính sách điều khiển truy nhập và bảo mật một mạngriêng biệt Tuy được xây dựng trên cơ sở hạ tầng sẵn có của mạng công cộngnhưng VPN lại có được các tính chất của một mạng cục bộ như khi sử dụng cácđường thuê riêng

2.2 Khái niệm về VPN

Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạng chung,thường là Internet để kết nối cùng với các site (các mạng riêng lẻ) hay nhiềungười sử dụng từ xa Trong thời gian gần đây cơ sở hạ tầng mạng IP đã làm choVPN thực sự có tính mới mẻ và tốt hơn Các kiểu mạng riêng ảo xây dựng trên

cơ sở hạ tầng mạng Internet công cộng đã mang lại một khả năng mới, tốt hơnhiệu quả và linh động hơn cho người sử dụng Thay cho việc sử dụng bởi mộtkết nối thực, chuyên dụng như đường mạng riêng (Leased Line), mỗi VPN sử

dụng các kết nối ảo được dẫn đường qua Internet từ mạng riêng của các công tytới các site hay các nhân viên từ xa Ngày nay với sự phát triển của cộng nghệ vàbùng nổ của mạng Internet, khả năng của VPN ngày càng được hoàn thiện hơn

về dịch vụ cũng như khai thác được hết các ưu điểm của nó

Mạng riêng ảo được định nghĩa như là một kết nối mạng triển khai trên cơ

sở hạ tầng mạng công cộng với các quản lý và bảo mật giống như mạng cục bộ.Mạng riêng ảo như là sự mở rộng của mạng LAN mà không hạn chế về mặtkhoảng cách, mà không thay đổi về sự bảo mật của nó trong công việc

Sử dụng Internet cho truy cập từ xa sẽ tiết kiệm được chi phí Ta có thểquay số ở bất cứ đâu chỉ cần tại đó có nhà cung cấp dịch vụ (ISP) có thể truynhập đến điểm kết nối Nếu ISP có các điểm POP mang tính quốc gia thì đối vớimạng LAN sẽ chỉ là các cuộc gọi nội hạt Một vài ISP có thể có mở rộng quốc tếhoặc có sự thỏa thuận với các ISP khác Việc lựa chọn ISP sẽ rẻ hơn cho việctruy cập từ xa đối với những người sử dụng roarming

VPN được thiết lập giữa các Router tại hai chi nhánh của công ty thông quaInternet Hơn nữa, VPN cho phép hợp nhất các kết nối Internet và WAN vàomột Router và một đường truyền, điều này giúp tiết kiệm chi phí thiết bị và hạtầng cơ sở viễn thông

Tính cá nhân của VPN tin cậy thể hiện ở chổ nhà cung cấp dịch vụ sễ đảmbảo không cho ai sử dụng cùng mạch thuê riêng đó Người dùng của mạng riêng

ảo loại này tin cậy hoàn toàn vào nhà cung cấp dịch vụ để duy trì tính toàn vẹn

và bảo mật dữ liệu cá nhân nội bộ của người dùng khi truyền trên mạng Cácmạng riêng xây dựng trên các đường dây thuê thuộc loại tin cậy

Mạng riêng ảo an toàn là các mạng riêng ảo có thể sử dụng mật mã vềthông tin của dữ liệu Dữ liệu ở đâu ra của một mạng được mã hoá rồi chuyểnvào mạng công cộng như các dữ liệu khác để truyền tới đích và sau đó được giải

mã tại phía thu một cách bình thường Dữ liệu được mật mã và đi trong mạngnhư là đi một đường riêng được gọi là đường hầm, dữ liệu được bảo vệ từ nguồntới đích Có thể có sự tấn công bên ngoài nhưng dữ liệu được mã hoá nên khôngthể đọc được

Về giao thức sử dụng trong việc mã hoá để đảm bảo an toàn là IPSec Đó làmột tiêu chuẩn cho mã hoá cũng như xác thực các gói IP tại tầng mạng IPSec

hỗ trợ một tập hợp các giao thức mã hoá với hai mục đích: An ninh gói mạng vàthay đổi các khoá mã hoá Mạng riêng ảo xây dựng dựa trên Internet, sử dụng cơ

sở hạ tầng mở và phân tán của Internet cho việc truyền dữ liệu các site của mạngTóm lại mạng riêng ảo VPN là thuật ngữ được các nhà cung cấp dịch vụ vàcác khai thác sử dụng Như đúng tên gọi của nó, VPN là một mạng riêng củangười dùng dựa trên cơ sở hạ tầng mạng công cộng Chúng có thể được tạo rabằng cách sử dụng phần mềm, phần cứng hay kết hợp cả hai phần đó để tạo ramột kết nối bảo mật giữa hai mạng riêng đi qua mạng công cộng

2.3 Chức năng và lợi ích của VPN

2.3.1 Chức năng của mạng riêng ảo

 Tính xác thực

Thiết lập kết nối trong VPN cả hai phía của thiết bị đầu cuối phải xác thựclẫn nhau để khẳng định một điều là thông tin mình muốn trao đổi đúng với đốitượng mình mong muốn không phải là một người khác mà mình không mongmuốn

 Tính Toàn vẹn

Khi truyền dữ liệu việc đảm bảo là dữ liệu không bị mất đi hoặc bị xáo trộn

là một việc làm vô cùng quan trọng Vì vậy VPN đã làm được điều đó một cáchhoàn hảo

 Tính bảo mật

Việc mã hoá các dữ liệu trước khi đưa vào truyền trong mạng công cộng và

dữ liệu sẽ được giải mã ở phía thu Bằng cách làm như vậy, thì việc đánh cắpthông tin dữ liệu là vô cùng khó khăn đối với người khác

2.3.2 Tiện ích chính của mạng riêng ảo

VPN đem lại lợi ích thực sự và tức thời cho công ty và các doanh nghiệptrong công việc kinh doanh của mình Có thể dùng VPN để đơn giản hoá việc truycập đối với các nhân viên làm việc và người dùng lưu động, mở rộng mạng nội bộđến từng văn phòng chi nhánh, thậm chí triển khai mạng mở rộng đến tận kháchhàng và các đối tác chủ chốt và điều quan trọng là những công việc trên đều có chiphí thấp hơn nhiều so với việc mua thiết bị và đường dây cho mạng WAN riêng.Những lợi ích của VPN có thể được dẫn dưới đây

xa công ty nhờ vào việc họ truy nhập vào mạng thông qua các điểm kết nối ởnơi mình cư trú, hạn chế gọi đường dài tới các modem tập trung.

 Tính linh hoạt

Tính linh động ở đây không chỉ thể hiện trong quá trình vận hành và khaithác mà nó còn thực sự mềm dẻo đối với yêu cầu sử dụng của người sử dụng.Người sử dụng có thể sử dụng nhiều kết nối hay các đối tượng di chuyển do đặcthù công việc Khách hàng của VPN qua mạng mở rộng này, cũng có quyền truycập và khả năng như nhau đối với các dịch vụ trung tâm bao gồm Cũng như cácứng dụng thiết yếu khác, khi truy cập chúng thông qua những phương tiện khácnhau như qua mạng cục bộ LAN, modem, modem cáp, đường dây thuê bao sốv v, mà không cần quan tâm đến những phần phức tạp bên dưới

 Mở rộng và phát triển

Như chúng ta đã biết mạng riêng ảo VPN được phát triển và hoạt động dựatrên mạng công cộng Ngay nay mạng Internet có mặt khắp nơi nên việc đó taocho việc xây dựng và phát triển mạng VPN ngày càng đơn giản Việc kết nốigiữa các chi nhánh ở xa với công ty là quá đơn giản thông qua đường dây điệnthoại hoặc qua đường dây số DSL Việc nâng cấp cũng qua đơn giản khi băngthông đường truyền lớn Và việc gỡ bỏ VPN cũng quá đơn giản khi không cầnthiết

2.3.3 Nhược điểm và nhưng giải pháp khắc phục

 Sự tin cậy và thực thi

Mạng riêng ảo sử dụng các phương pháp mã hoá để bảo mật dữ liệu, và sửdụng một số hàm mật mã phức tạp nên việc đó đã làm cho dụng lượng của máychủ là khá nặng và việc ấy rất ảnh hưởng đến việc xử lý tốc độ của máy Khi dữ

liệu được truyền tải trong VPN quá lớn thì việc tắc nghẽn và có thể mất thôngtin dữ liệu là chuyện thường xẩy ra Việc thiết lập các dịch vụ proxy và một sốdịch vụ khác để có thể hạn chế và điều chỉnh được lưu lượng truyền tải trongmạng một các hợp lý nhất.

 Sự rủi ro về an ninh

Như chúng ta đã biết thì mạng riêng ảo là dùng chung đường truyền củamạng công cộng nên việc bị tấn công là không thể tránh khỏi và điều đó như lànhưng điều được cảnh báo trước Nên các nhà cung cấp dịch đã đưa ra nhưnggiải pháp an toàn cho việc dùng mạng riêng ảo, nhưng vấn đề an toàn không baogiờ là tuyệt đối Vấn đề càng đưa các giải pháp bảo mật vào bao nhiều thì nócũng ảnh hưởng đến giá thành của dịch vụ, và điều đó là một điều không mongmuốn từ nhà cung cấp dịch vụ cũng như người sử dụng dịch vụ Nên việc sửnhưng giải pháp trong VPN cũng phải được cân nhắc làm sao tối ưu nhất

2.4 Mô hình VPN

Hai mô hình triển khai VPN, dự trên các yêu cầu của người dùng và dựatrên mạng Mô hình dựa trên khách hàng còn được gọi là mô hình chồng lấn,trong đó VPN được cấu hình trên các thiết bị của người dùng và sử dụng giaothức đường hầm qua mạng công cộng Nhà cung cấp dịch vụ sẽ đưa các mạngriêng ảo giữa các site của người dùng như là các đường kết nối riêng Mô hìnhdựa trên mạng được gọi là mô hình ngang hàng, trong đó VPN được cấu hìnhtrên các thiết bị của nhà cung cấp dịch vụ và được quản lý bởi nhà cung cấp dịch

vụ Các nhà cung cấp dịch vụ và người dùng trao đổi thông tin dữ liệu qua địnhtuyến lớp 3, các nhà cung cấp dịch vụ sẽ sắp đặt dữ liệu từ các site người dùngvào đường đi tối ưu nhất mà không cần phải có sự tham gia của người dùng

2.4.1 Mô hình VPN chồng lấn

Mô hình chồng lấn VPN ra đời rất sớm và được triển khai dưới nhiều côngnghệ khác nhau Lúc đầu VPN được xây dựng bằng cách sử dụng các đườngthuê riêng để cung cấp và kết nối giữa các người dùng ở các vị trí khác nhau.Người dùng sử dụng dịch vụ kênh thuê riêng của nhà cung cấp dịch vụ Cácđường thuê riêng này được thiết lập giữa các site của người dùng cần kết nối.Đường này là đường dùng riêng cho người dùng khi có nhu cầu sử dụng

Frame Relay được xem như là một công nghệ VPN được đua ra trongnhững năm 1990, vì nó có thể đáp ứng kết nối cho người dùng như dịch vụ thuêkênh riêng (leased line), ở đây người dùng không được cung cấp các đườngdành riêng cho mỗi người dùng, người dùng sử dụng một đường chung nhưngđược chỉ định các mạch ảo Các mạch ảo này sẽ đảm bảo lưu lượng cho mỗingười dùng là riêng biệt.

Cung cấp mạch ảo cho người dùng nghĩa là nhà cung cấp dịch vụ đã xâydựng một đường hầm riêng cho dữ liệu người dùng đi qua mạng dùng chung củanhà cung cấp dịch vụ Sau này công nghệ ATM ra đời, về cơ bản ATM cũnghoạt động giống như Frame Relay nhưng đáp ứng tốc độ truyền dẫn cao hơn Người dùng thiết lập việc kết nối giữa các thiết bị đầu phía người dùng CEvới nhau qua kênh ảo Giao thức định tuyến chạy trực tiếp giữa các Routerngười dùng thiết lập mối quan hệ cận kề và trao đổi thông tin định tuyến vớinhau Nhà cung cấp dịch vụ không thể biết đến thông tin định tuyến của ngườidùng trao đổi Nhiệm vụ của nhà cung cấp dịch vụ trong mô hình này chỉ là đảmbảo truyền dữ liệu điểm - điểm giữa các site của người dùng

VPN chồng lấn còn được triển khai dưới dạng đường hầm (Tunneling).Việc triển khai thành công các công nghệ gắn với IP nên một vài nhà cung cấpdịch vụ bắt đầu triển khai VPN qua IP Nếu người dùng nào muốn xây dựngmạng riêng của họ qua mạng công cộng thì có thể dùng giải pháp này là hợp lýnhất vì chi phí thấp Bên cạnh lý do kinh tế, mô hình đường hầm còn đáp ứngcho người dùng việc bảo mật dữ liệu và thông tin trên đường truyền Hai côngnghệ VPN đường hầm phổ biến là IPSec và Gói định tuyến chung (GRE)

Các nhà cung cấp dịch vụ cam kết về QoS trong mô hình overlay VPNthường là cam kết về băng thông trên một mạch ảo (VC), giá trị này được gọi làtốc độ thông tin ràng buộc (CIR) Băng thông có thể sử dụng được tối đa trênmột kênh ảo đó, giá trị này được gọi là tốc độ thông tin tối đa (PIR) Việc camkết này được thực hiện thông qua các thống kê tự nhiên của dịch vụ lớp 2 nhưnglại phụ thuộc vào chiến lược của nhà cung cấp Điều này có nghĩa là tốc độ camkết không thật sự được bảo đảm mặc dù nhà cung cấp có thể đảm bảo tốc độ lớnnhất Cam kết về băng thông cũng chỉ là cam kết về hai điểm trong mạng ngườidùng Nếu không có ma trận lưu lượng đầy đủ cho tất cả các lớp lưu lượng thì

thật khó có thể thực hiện cam kết này cho người dùng trong mô hình overlay Đểlàm được việc này bằng cách tạo ra nhiều kết nối, như trong công nghệ chuyểnmạch khung Frame Relay hay chuyển mạch không đồng bộ ATM là có cácmạch ảo cố định (PVC) giữa các site người dùng Tuy nhiên, kết nối mạng lướirộng thì chỉ làm tăng thêm chi phí của mạng Nên để cam kết theo lời hứa củamình thì việc tính toán lưu lượng đường truyền phải cẩn thận, và chính xác nhất.

Hình 2.1: Mô hình VPN chồng lấn

 Một số ưu điểm của VPN chồng lấn

• Đó là mô hình dễ thực hiện, nhìn theo quan điểm của người dùng và của cảnhà cung cấp dịch vụ

• Nhà cung cấp dịch vụ không tham gia vào định tuyến người dùng trongmạng VPN chồng lấn Nhiệm vụ của họ là vận chuyển dữ liệu điểm - điểmgiữa các site của người dùng, việc đánh dấu điểm tham chiếu giữa nhà cungcấp dịch vụ và người dùng sẽ quản lý dễ dàng hơn

 Hạn chế của mô hình VPN chồng lấn

• VPN thích hợp trong các mạng không cần độ dự phòng với ít site trung tâm

và nhiều site ở đầu xa, nhưng lại khó quản lý nếu như cần nhiều cấu hìnhnút khác nhau

• Việc cung cấp càng nhiều mạch ảo đòi hỏi phải có sự hiểu biết sâu sắc vềloại lưu lượng giữa hai site với nhau mà điều này thường không thật sựthích hợp