Ket-noi.com diễn đàn công nghệ, giáo dục LỜI CẢM ƠN Em chân thành gửi lời cảm ơn sâu sắc tới thầy cô giáo trường Đại học Phương Đông dạy dỗ cung cấp cho em kiến thức chuyên môn suốt năm học tập tai trường, tạo điều kiện cho em hoàn thành tốt đồ án Em xin chân thành cảm ơn PGS TS Phan Hữu Huân người tận tình bảo, hướng dẫn cung cấp tài liệu cần thiết cho em suốt thời gian làm khóa luận, giúp em hoàn thành khóa luận có tầm nhìn tổng quát tìm hiểu thực đề tài Ngoài em cảm ơn gia đình với bạn 506102+103 động viên giúp đỡ em mặt tinh thần để em hoàn thành khóa luận Trong thời gian ngắn thực khóa luận Mặc dù cố gắng tránh khỏi thiếu sót, em mong nhận lời góp ý dẫn thêm thầy cô để hoàn thiện kỹ em SINH VIÊN Tống Như Lân Ket-noi.com diễn đàn công nghệ, giáo dục MỤC LỤC Trang LỜI CẢM ƠN MỤC LỤC THUẬT NGỮ VÀ TỪ VIẾT TẮT DANH MỤC HÌNH VẼ .7 LỜI MỞ ĐẦU Chương GIỚI THIỆU VỀ CÔNG NGHỆ CHUYỂN MẠCH NHÃN MPLS 1.1 Giới thiệu: 1.2 Sơ lược đời công nghệ chuyển mạch nhãn MPLS .9 1.3 Một số khái niệm công nghệ chuyển mạch nhãn MPLS 13 1.4 Các thành phần chuyển mạch nhãn MPLS 19 1.4.1 Thành phần điều khiển 19 1.4.2 Các thao tác nhãn 22 1.4 Nguyên tắc hoạt động MPLS 26 1.5 Tóm tắt chương: 28 Chương 2: 30 GIỚI THIỆU CHUNG VỀ VPN .30 2.1 Giới thiệu: 30 2.2 Khái niệm VPN 30 2.3 Chức lợi ích VPN .32 2.3.1 Chức mạng riêng ảo 32 2.3.2 Tiện ích mạng riêng ảo 32 2.3.3 Nhược điểm giải pháp khắc phục 33 2.4 Mô hình VPN 34 2.4.1 Mô hình VPN chồng lấn 34 2.4.2 Mô hình VPN ngang cấp 37 2.5 Phân loại VPN 40 2.5.1 VPN truy nhập từ xa 40 2.5.2 VPN cục 43 Ket-noi.com diễn đàn công nghệ, giáo dục 2.4.3 VPN mở rộng 45 2.6 Tóm tắt chương: 47 Chương 48 MẠNG RIÊNG ẢO VPN TRONG MPLS 48 3.1 Giới thiệu: .48 3.2 Các thành phần MPLS-VPN 48 3.2.1 Mô hình hệ thống cung cấp dịch vụ MPLS-VPN 48 3.2.2 Mô hình định tuyến biên nhà cung cấp dịch vụ .49 3.2.3 Mô hình bảng định tuyến chuyển tiếp ảo 50 3.3 Các mô hình MPLS-VPN .51 3.3.1 Mô hình mạng riêng ảo tầng (L2VPN) .51 3.3.2 Mô hình mạng riêng ảo lớp ba (L3VPN) 53 3.4 Hoạt động MPLS-VPN 54 3.4.1 Truyền tải gói tin định tuyến 54 3.4.2 Địa VPN-IP mạng riêng ảo 55 3.4.3 Hoạt động gói tin MPLS - VPN qua PE CE .57 3.4.4 Hoạt động gói tin VPN dọc mạng đườngtrục MPLS: 60 3.4.5 Truyền nhãn mạng riêng ảo VPN 62 3.4.6 Các phương pháp để Router PE giao tiếp với thông qua Router CE 63 3.5.1 Hệ thống tự trị MPLS-VPN 65 3.5.2 Nhà cung cấp dịch vụ hạ tầng 66 3.6 Vấn đề bảo mật mạng MPLS-VPN 68 3.7 Tóm tắt chương: 70 TÀI LIỆU THAM KHẢO .72 Ket-noi.com diễn đàn công nghệ, giáo dục THUẬT NGỮ VÀ TỪ VIẾT TẮT ADSL Asynchronous Digital Subscriber Line Đường dây thuê bao số bất đối xứng ATM Asynchronous Transfer Mode Phương thức truyền dẫn không đồng BGP Border Gateway Protocol GT định tuyến cổng mạng vùng biên CE Customer Edge Thiết bị định tuyến biên khách hàng CIR Committed Information Rate Tốc độ thông tin ràng buộc CL Connectionless Operation Hoạt động không kết nối COS Class of Service Lớp dịch vụ CR Cell Router Bộ định tuyến tế bào CSC Carrier supporting Carrier Carrier hỗ trợ Carrier CSPF Constrained Shortest Path First GT định tuyến tìm đường ngắn DLCI Data Link Connection Identifier Nhận dạng kết nối lớp liên kết liệu DoS Denial of Service Từ chối dịch vụ DS Differentiated Services Các dịch vụ phân biệt EGP Edge Gateway Protocol Giao thúc định tuyến cổng biên FEC Forwarding Equivalence Class Nhóm chuyển tiếp tương đương FIB Forwarding Information Base Cơ sở thông tin chuyển tiếp FR Frame Relay Chuyển tiếp khung FTP File Transfer Protocol Giao thức truyền file GRE Generic Route Encapsulation Gói định tuyến chung GW Gateway Cổng IANA Internet Assigned Number Authority Thẩm quyền số gán cho Internet IETF Internet Engineering Task Force Tổ chức tiêu chuẩn KT Internet Ket-noi.com diễn đàn công nghệ, giáo dục IGP Interior Gateway Protocol Giao thức định tuyến cổng IP Internet Protocol Giao thức định tuyến Internet IP Sec IP Security Bảo mật IP ISP Internet Service Provider Nhà cung cấp dịch vụ Internet IVR Interative Voice Response Đáp ứng thoại tương tác LAN Local Area Network Mạng cục LCP Link Control Protocol Giao thức điều khiển đường truyền LDP Label Distribution Protocol Giao thức phân phối nhãn LFIB Label Forwarding Information Base Cơ sở thông tin chuyển mạch nhãn LIB Label Information Base Cơ sở thông tin nhãn LSP Label Switched Path Tuyến chuyển mạch nhãn LSR Label Switching Router Bộ định tuyến chuyển mạch nhãn MIR Minimum Information Rate Tốc độ thông tin nhỏ MPLS MultiProtocol Label Switching Chuyển mạch nhãn đa giao thức MPPE Microsoft Point to Point Encryption Phương thức mã hoá điểm tới điểm MS Media Server Máy chủ đa phương tiện NHLFE Next-hop Label Forwarding Entry Lối vào chuyển tiếp nhãn đến hop NDIS Network Driver Interface Specification Đặc tả giao diện thiết bị mạng NSA Network Access server Máy chủ truy nhập mạng OSPF Open Shortest Path First GT định tuyến mở đường ngắn P Provider Router Bộ định tuyến nhà cung cấp PE Provider Edge Thiết bị định tuyến biên phía nhà Ket-noi.com diễn đàn công nghệ, giáo dục cung cấp POP Point of Presence Điểm kết nối PPTP Point to Point Protocol Giao thức điểm - điểm PSTN Public Switched Telephone Network Mạng thoại chuyển mạch công cộng PVC Permanent Virtual Circuit Mạch ảo cố định RAS Remote Access Rerver Dịch vụ truy nhập từ xa RD Route Distinguisher Phân biệt tuyến RFC Request for Comment Các tiêu chuẩn IETF RIB Routing Information Base Cơ sở thông tin định tuyến RIP Routing Information Protocol Giao thức thông tin định tuyến RSVP Resource Reservation Protocol Giao thức dành trước tài nguyên RTP Real Time Transport Protocol Giao thức truyền tải thời gian thực SIP Session Inititation Protocol Giao thức khởi tạo phiên SVC Switched Virtual Circuit Kênh ảo có chuyển mạch TCP Transport Control Protocol Giao thức điều khiển truyền tải TDP Tag Distribution Protocol Giao thức điều khiển truyền tải TTL Time to Live Trường Thời gian sống VC Virtual Circui Mạch ảo VCI Virtual Circuit Identifier Trường nhận dạng kênh ảo VPI Virtual Path Identifier Trường nhận dạng đường ảo VPN Virtual Private Network Mạng riêng ảo WAN Wide Area Network Mạng diện rộng Ket-noi.com diễn đàn công nghệ, giáo dục DANH MỤC HÌNH VẼ Trang Hình 1.1: Mô hình mạng MPLS .14 Hình 1.2: Mô hình lớp MPLS OSI .15 Hình 1.3: Khuôn dạng cấu trúc nhãn .16 Hình 1.4: Kiến trúc chuyển lớp FEC .18 Hình 1.5: Kiến trúc node chuyển mạch nhãn 18 Hình 1.6: Thành phần điều khiển chuyển mạch nhãn 20 Hình 1.7: Cấu trúc bảng chuyển tiếp chuyển mạch nhãn .21 Hình 1.8: Liên kết nhãn downstream upstream .21 Hình 1.9: Các ánh xạ hỗ trợ vận chuyển gói tin 24 Hình 1.10: Điều khiển độc lập 25 Hình 1.11: Điều khiển theo yêu cầu 25 Hình 1.12: Chế độ hoạt động khung MPLS 27 Hình 1.13: Vị trí nhãn MPLS khung lớp 28 Hình 2.1: Mô hình VPN chồng lấn 36 Hình 2.2: Mô hình VPN ngang cấp 37 Hình 2.3: Mô hình VPN ngang cấp dùng Router chung .38 Hình 2.4: Cấu hình VPN truy nhập từ xa 41 Hình 2.5: Mô hình VPN truy nhập từ xa .42 Hình 2.6: kiến trúc VPN cục 43 Hình 2.7: Cấu hình cục sở VPN 44 Hình 2.8: Mô hình VPN mở rộng 45 Hình 2.9: Một ví dụ VPN mở rộng truyền thống 46 Hình 2.10: Thiết lập VPN mở rộng 46 Hình 3.1: Hệ thống cung cấp dịch vụ MPLS-VPN thành phần 49 Hình 3.2: Mô hình Bộ định tuyến PE sơ đồ kết nối site người dùng 50 Hình 3.5: Mô hình mạng MPLS L2VPN 52 Hình 3.6: Mô hình mạng riêng ảo tầng (L3VPN) .53 Hình 3.3: Sử dụng nhãn để chuyển tiếp gói tin VPN .59 Hình 3.4: Mô hình sử dụng ngăn xếp nhãn để chuyển tiếp gói tin VPN 59 Ket-noi.com diễn đàn công nghệ, giáo dục LỜI MỞ ĐẦU Trong năm qua, nghành công nghệ viễn thông áp dụng công nghệ chuyển mạch phối hợp ưu điểm IP ATM để đáp ứng nhu cầu phát triển mạng lưới giai đoạn Một công nghệ áp dụng công nghệ chuyển mạch nhãn MPLS Công nghệ MPLS kết việc kết hợp công nghệ chuyển mạch IP sử dụng chế hoán đổi nhãn ATM để tăng tốc độ truyền gói tin mà không cần thay đổi giao thức định tuyến IP MPLS tách chức IP thành phần riêng biệt chức chuyển gói tin chức điều khiển Bên cạnh MPLS hỗ trợ việc quản lý dễ dàng MPLS lựu chọn để đơn giản hóa tích hợp mạng lõi Nó cho phép nhà khai thác giảm chi phí, đơn giản hóa việc quản lý lưu lượng hộ trợ dịch vụ Internet Quan trọng cả, bước tiến việc hướng tới mạng hệ tích hợp tất dịch vụ thoại, liệu… Mạng riêng ảo VPN ứng dụng quan trọng mạng MPLS Các công ty, doanh nghiệp đặc biệt công ty đa quốc gia có nhu cầu lớn loại hình dịch vụ Với VPN, họ hoàn toàn sử dụng dịch vụ viễn thông, truyền số liệu nội với chi phí thấp, an ninh bảo đảm Đây ứng dụng quan trọng đáp ứng yêu cầu mạng riêng sử dụng hạ tầng thông tin quốc gia với yêu cầu khác độ an toàn, bảo mật chất lượng dịch vụ Nắm bắt vấn đề em thầy giáo Ths.Nguyễn Đức Minh hướng dẫn làm đề tài công nghệ MPLS.Nội dung đồ án em bao gồm chương : Chương Giới thiệu công nghệ chuyển mạch nhãn MPLS Chương Giới thiệu công nghệ VPN Chương Ứng dụng công nghệ chuyển mạch nhãn mạng riêng ảo SINH VIÊN Tống Như Lân Ket-noi.com diễn đàn công nghệ, giáo dục Chương GIỚI THIỆU VỀ CÔNG NGHỆ CHUYỂN MẠCH NHÃN MPLS 1.1 Giới thiệu: MPLS (Multi-Protocol Label Switching) kết hợp đặc tính tốc độ hiệu suất mạng chuyển gói với đặc tính linh hoạt mạng chuyển mạch nhằm cung cấp giải pháp tốt cho việc tích hợp voice, video liệu Giống mạng chuyển mạch, MPLS thiết lập đường kết nối cuối đến cuối trước truyền tải thông tin, đường chọn dựa vào yêu cầu ứng dụng Mặt khác, giống mạng gói, ứng dụng người dùng chia sẻ chung kết nối Các ứng dụng MPLS thay đổi rộng, từ mạng phân phát liệu đơn giản tới mạng nâng cao với khả đảm bảo phân phát liệu có kèm thông tin dành cho đường phụ Công nghệ MPLS xuất hứa hẹn lực hỗ trợ lớn WAN cho doanh nghiệp Các doanh nghiệp, tổ chức đề cập tổ chức nào, tập đoàn kinh tế, quan phủ, hay hệ thống giáo dục Một phương thức tiếp cận đáp ứng yêu cầu biết đến công nghệ chuyển mạch nhãn MPLS Các nhà cung cấp dịch vụ triển khai MPLS khắp mạng đường trục với quan tâm đặc biệt khả vượt trội cung cấp dịch vụ chất lượng cao qua mạng IP, tính đơn giản, hiệu quan trọng khả triển khai VPN Công nghệ chuyển mạch nhãn đa giao thức công nghệ tiến số hãng tiếng chuyên viễn thông đầu tư, nghiên cứu đưa tiêu chuẩn quốc tế Với ưu điểm bật MPLS mà đưa lại cho ngành viễn thông MPLS 1.2 Sơ lược đời công nghệ chuyển mạch nhãn MPLS MPLS khái niệm đưa hãng Ipsilon, hãng công nghệ thông tin triển lãm công nghệ thông tin, viễn thông Một thời gian sau đó, Cisco loạt hãng khác đưa sản phẩm họ sử dụng Ket-noi.com diễn đàn công nghệ, giáo dục công nghệ chuyển mạch đặt nhiều tên khác chung chất công nghệ chuyển mạch dựa nhãn Năm 1994 hãng Toshiba cho đưa thiết bị thiết bị định tuyến chuyển đổi tế bào (CSR) tổng đài ATM điều khiển giao thức IP thay cho báo hiệu ATM Tổng đài IP Ipsilon chất ma trận chuyển mạch ATM điều khiển khối xử lý sử dụng công nghệ IP Sự đời MPLS nhu cầu tốc độ phát triển nhanh mạng Internet yêu cầu phải có giao thức đảm bảo chất lượng dịch vụ theo yêu cầu đồng thời phải đơn giản tốc độ xử lý phải cao Mỗi công nghệ có ưu điểm nhược điểm định Công nghệ ATM sử dụng rộng rãi toàn cầu mạng IP xương sống tốc độ cao, chất lượng dịch vụ QoS, điều khiển luồng đặc tính khác mà mạng định tuyến truyền thống không có, phát triển để hỗ trợ cho IP Trong trường hợp đòi hỏi thời gian thực cao, IPOA (IP qua ATM) lựa chọn tối ưu IPOA truyền thống công nghệ ghép dựa công nghệ IP lớp công nghệ ATM lớp Các giao thức hai lớp hoàn toàn độc lập với Chúng kết nối với loạt giao thức Cách tiếp cận hình thành tự nhiên sử dụng rộng rãi Đây vấn đề để giải vấn đề dung lượng mạng tăng lên số vấn đề khác • Trong phương pháp ghép cần phải kết nối mạng ảo cố định (PVC) cho tất điểm để thiết lập với tất kết nối Duy trì hoạt động ngắt kết nối điểm Khi mạng mở rộng, tiêu đề ngày lớn với mức độ tải • Phương pháp lai ghép phân chia toàn IPOA thành nhiều Mạng Logic IP (LIS), với LIS mạng vật lý Các Mạng Logic IP kết nối nhờ định tuyến trung gian Cấu hình multicast Mạng Logic IP khác mặt định tuyến trở nên hạn chế luồng lưu lượng lớn qua Cấu áp dụng cho mạng nhỏ mạng doanh nghiệp, mạng trường học v.v… Không phù hợp với nhu cầu cho mạng lớn Internet tương lai, hai khó mở rộng, phát triển 10 Ket-noi.com diễn đàn công nghệ, giáo dục Sau chuyển đổi nhãn lối vào thành nhãn lối thích hợp gửi gói tin giao diện đến bước truyền • Rút nhãn: LSR sử dụng nhãn đỉnh ngăn xếp nhãn gói tin để xác định ILM lối vào NHLFE tương ứng LFIB Hoạt động ngăn xếp nhãn cho biết gói tin cần truyền gói tin gán nhãn LSR rút nhãn chuyển gói tin không nhãn đến bước truyền Do ta thấy LSR lối mạng MPLS phải thực hai trình kiểm tra gói tin mà nhận từ LSR giang cận kề với Thứ nhất, phải kiểm tra nhãn mào đầu để định xem hoạt động cần thiết gói tin này, trường hợp rút nhãn khỏi gói tin Thứ hai, phải thực kiểm tra lớp gói tin IP trước chuyển tiếp gói tin đến đích Việc thực hai lần kiểm tra làm giảm hoạt động node Egress LSR yêu cầu hoạt động rút nhãn từ láng giềng dòng ngược thông qua giao thức phân phối nhãn LDP cách sử dụng giá trị nhãn đặc biệt gọi nhãn có giá trị implicit-null Với tuyến người dùng truyền dọc theo mạng đường trục MPLSVPN lưu lượng định tuyến CE PE mặc định lưu lượng gói tin IP Bộ định tuyến người dùng CE hỗ trợ giao thức định tuyến IP chuẩn không tham gia vào MPLS-VPN Trong trường hợp để chuyển tiếp gói tin dọc theo mạng đường trục MPLS-VPN, định tuyến PE phải chuyển tiếp gói tin IP nhận từ định tuyến người dùng đến định tuyến PE khác Với giải pháp khó thực định tuyến P không rõ tuyến người dùng số yêu cầu chất lượng dịch vụ khó có khả đáp ứng Trường hợp tốt sử dụng đường dẫn chuyển mạch nhãn LSP định tuyến PE để chuyển tiếp gói tin IP theo giá trị nhãn gắn vào chúng Trong phương pháp này, gói tin người dùng gắn nhãn đăng kí cho định tuyến PE đầu Các định tuyến lõi không cần biết địa IP người dùng, có gói tin gắn nhãn chuyển đến định tuyến PE đầu Các định tuyến lõi thực hoạt động chuyển tiếp 58 Ket-noi.com diễn đàn công nghệ, giáo dục phân phối gói tin người dùng đến định tuyến PE đầu Tuy nhiên định tuyến PE đầu ra, gói tin IP người dùng thông tin VPN hay VRF để định tuyến thực kiểm tra VRF, nên gói tin IP bị Hình 3.3: Sử dụng nhãn để chuyển tiếp gói tin VPN Một phương pháp tối ưu lựa chọn để chuyển tiếp gói tin sử dụng ngăn xếp nhãn Hình 3.4: Mô hình sử dụng ngăn xếp nhãn để chuyển tiếp gói tin VPN Ngăn xếp nhãn MPLS sử dụng để thị cho định tuyến PE đầu biết phải làm với gói tin VPN Ngăn xếp nhãn bao gồm hai nhãn xếp chồng lên gọi nhãn bên (Inner Label) nhãn bên (Outer Label) Khi gói tin IP vào định tuyến PE đầu vào gán hai nhãn vào gói tin IP Nhãn nằm ngăn xếp đường dẫn chuyển mạch nhãn Đảm 59 Ket-noi.com diễn đàn công nghệ, giáo dục bảo cho gói tin truyền qua mạng MPLS-VPN đường trục đến định tuyến PE đầu MPLS sử dụng nhãn để chuyển tiếp gói tin từ định tuyến PE đầu vào qua mạng lõi Ở định tuyến P sử dụng để chuyển tiếp gói tin, số bảng chuyển tiếp định tuyến Các định tuyến P chuyển tiếp gói tin dọc theo LSP theo phương pháp hoán đổi nhãn không kiểm tra nhãn bên địa IP gói tin Khi gói tin đến PE đầu ra, định tuyến thực việc tác bỏ nhãn xử lý thông tin nhãn bên Nhãn nhãn định tuyến PE đăng kí cho VRF PE sử dụng để định VRF mà gói tin thuộc Nhãn định CE gói tin gửi đến Bộ định tuyến PE đầu thực tìm kiếm bảng chuyển tiếp VRF sử dụng địa IP đích gói tin Sau chuyển tiếp gói tin IP không nhãn đến site người dùng thích hợp Ngay nhãn bên liên lạc PE tin cập nhật mở rộng MP-IBGP Nhãn thứ hai ngăn xếp nhãn sử dụng để trực tiếp để giao diện đầu tới người dùng Trong trường hợp định tuyến PE đầu thực kiểm tra nhãn gói tin VPN Trường hợp thường sử dùng định tuyến CE bước tuyến VPN nhãn đến VRF đơn Bộ định tuyến PE đầu thức kiểm tra nhãn trước để tìm VRF đích, sau thực kiểm tra địa IP VRF 3.4.4 Hoạt động gói tin VPN dọc mạng đườngtrục MPLS: Với Router người dùng truyền dọc mạng Backbone MPLS-VPN, tất Router tham gia vào chuyển tiếp liệu người dùng Lưu lượng người dùng Router CE Router PE luôn gửi gói tin IP, đáp ứng yêu cầu Router CE chạy giao thức định tuyến IP chuẩn không tham gia vào MPLS-VPN Trong phương pháp này, để chuyển tiếp gói tin dọc mạng Backbone MPLS-VPN, Router PE phải chuyển gói tin IP nhận từ Router người dùng đến Router PE khác Đây giải pháp 60 Ket-noi.com diễn đàn công nghệ, giáo dục thực Router P biết Router người dùng, chuyển tiếp gói tin IP người dùng Phương pháp xác định tốt sử dụng đường hầm chuyển mạch nhãn MPLS, dùng LSP Router PE Trong phương pháp này, gói tin IP dùng gán vào nhãn đăng kí cho Egress Router PE Các Router lõi không thấy gói tin IP người dùng, có gói tin gán nhãn chuyển đến Egress Router PE Các Router lõi thực hoạt động chuyển mạch đơn giản, cuối phân phối gói tin người dùng đến Egress Router PE Nhưng đây, gói tin IP người dùng thông tin VPN VRF để thực kiểm tra VRF Egress Router PE Egress PE VRF sử dụng cho hoạt động kiểm tra IP đánh rơi gói tin Chồng nhãn MPLS sử dụng để thị cho Egress Router PE biết phải làm với gói tin VPN Chồng nhãn bao gồm hai nhãn xếp chồng lên gọi nhãn bên nhãn bên Khi sử dụng chồng nhãn, Ingress Router PE gán nhãn vào gói tin IP với hai nhãn Nhãn chồng nhãn nhãn bên ngoài, nhãn cho Egress Router PE, nhãn đảm bảo gói tin truyền qua mạng MPLS-VPN Backbone đến Egress Router PE MPLS sử dụng nhãn bên để chuyển tiếp gói tin từ Ingress PE thông qua mạng lõi MPLS Ở Router P, MPLS loại bỏ nhãn bên từ gói tin Nhãn index bảng chuyển tiếp Router P Từ định nexthop dọc LSP nhãn khác Ở Router PE Egress, MPLS lấy nhãn bên ra, sau đến nhãn bên Nhãn bên định CE gói tin gửi đến Router P không kiểm tra nhãn bên địa đích IP gói tin Nhãn thứ hai chồng nhãn, nhãn bên trong, nhãn Router PE đăng kí cho VRF Khi gói tin MPLS đến Egress PE, Egress Router sử dụng nhãn phía để định VRF mà gói tin thuộc Router CE Mặc định, Egress PE thực tìm kiếm IP bảng chuyển tiếp 61 Ket-noi.com diễn đàn công nghệ, giáo dục VRF sử dụng địa IP đích gói tin IP đóng gói gói MPLS Egress PE sau chuyển tiếp gói IP đến site người dùng thích hợp Bản thân nhãn bên liên lạc PE tin cập nhật mở rộng MP-IBGP Nhãn thứ hai chồng nhãn trực tiếp đến Interface ngõ ra, trường hợp Egress Router PE thực kiểm tra nhãn gói tin VPN Tình thường dùng Router CE nút VPN Route Và nhãn đến VRF, Egress Router PE thực kiểm tra nhãn trước để tìm VRF đích, sau thực kiểm tra IP VRF Router P thực chuyển mạch nhãn dựa nhãn LDP đăng kí chuyển đến Egress Router PE Egress Router PE thực chuyển mạch nhãn nhãn bên chồng nhãn sau đó, chuyển tiếp gói tin IP đến Router CE thực kiểm tra IP VRF nhãn bên Router P cuối thực lấy nhãn đỉnh khỏi chồng nhãn Router đứng trước Egress Router PE Router Router P cuối đường dẫn chuyển mạch nhãn, Router lấy nhãn phía chồng nhãn ra, Router PE nhận gói tin nhãn nhãn Inner (nhãn VPN) Trong hầu hết trường hợp, lần kiểm tra nhãn thực gói tin Egress Router PE đủ thông tin để chuyển gói tin đến Router CE, kết làm cho trình kiểm tra trở nên nhanh đơn giản Còn việc kiểm tra IP đầy đủ thông qua FIB thực lần Ingress Router PE Gói tin IP nhận Interface Router PE Interface cấu hình với VPN/ID BGP ánh xạ nhãn đến Route VPN Sau giao thức phân phối giao thức phân phối nhãn LSP ánh xạ đến Router IGP 3.4.5 Truyền nhãn mạng riêng ảo VPN Nhãn Inner đăng kí Egress Router PE Nhãn truyền Router PE để chuyển tiếp gói tin thông qua phiên làm việc MP-IBGP Do lần cập nhật MP-IBGP mang nhãn đăng kí 62 Ket-noi.com diễn đàn công nghệ, giáo dục Egress Router PE với địa IP với đia VPN có độ dài 96 bits (prefix VPNv4) Egress Router PE đăng kí nhãn đến VPN Route nhận từ Router CE kết nối vào đăng kí nhãn đến chức tóm tắt thông tin định tuyến Router PE Nhãn sau Ingress Router PE sử dụng nhãn bên trong chồng nhãn MPLS gãn nhãn cho gói tin VPN Các nhãn VPN đăng kí Egress Router PE quảng bá đến tất Router PE khác với prefix VPNv4 cập nhật MP-IBGP Các Route có nhãn ngõ vào mà nhãn ngõ Route nhận từ Router CE Các Route mà có nhãn ngõ nhãn ngõ vào Route nhận từ Router PE khác Ingress Router PE có hai nhãn liên quan với Route VPN đầu xa nhãn dành cho BGP next-hop đăng kí Router P thông qua LDP nhãn đăng kí Router PE đầu xa truyền thông qua cập nhật MP-IBGP Cả hai nhãn kết hợp chồng nhãn đưa vào bảng VRF Do nhãn bên gọi nhãn ngõ vào 3.4.6 Các phương pháp để Router PE giao tiếp với thông qua Router CE Để cung cấp dịch vụ VPN, Router PE cần cấu hình để thông tin định tuyến học từ Interface người dùng VPN liên kết với VRF Điều thực thông qua tiến trình giao thức định tuyến chuẩn, tiến trình gọi Routing context Mỗi VRF sử dụng Routing context riêng Bất kì Route học dọc Interface liên kết với Routing context nhập vào bảng VRF tương ứng Nhưng với Route thuộc Routing context VRF đặt vào bảng định tuyến global Điều cho phép cách ly thông tin định tuyến thành context khác thông tin học tiến trình giao thức định tuyến Tạo giao thức định tuyến thích hợp cho VPN cách hiệu Trong trường hợp thiết bị CE host switch, địa 63 Ket-noi.com diễn đàn công nghệ, giáo dục thường cấu hình Router PE mà thiết bị kết nối vào Nhưng trường hợp thiết bị CE Router, có nhiều cách để Router PE học địa từ Router CE Router PE chuyển địa thành địa VPNv4 cách sử dụng phân biệt tuyến (RD) Các Route VPNv4 phải quảng bá dọc phiên MP-BGP đến Router PE khác Điều xảy Routing context phải cấu hình tiến trình BGP để thông báo cho BGP biết Route VRF quảng bá Kết nối CE PE thực thông qua định tuyến tĩnh định tuyến động (OSPF, EBGP, RIPv2, EIGRP) để Router PE học Route người dùng đặt vào bảng VRF tương ứng Mỗi Routing context người dùng chạy giao thức định tuyến khác 3.5 Khả mở rộng mô hình MPLS-VPN nâng cao Để cung cấp dịch vụ mạng riêng ảo dựa khối kiến trúc MPLS, MPLS phải đáp ứng đựơc yêu cầu cung cấp dịch vụ cho người dùng nhiều nơi khác Nó phải có khả truyền thông tin định tuyến từ người dùng dọc mạng Backbone để quảng bá cho site người dùng khác thuộc VPN Để đạt điều phiên MP-IBGP phải thiết lập Router PE Rõ ràng mô hình Full-mesh phiên MP-IBGP Trong overlay VPN tương tự Nhưng mô hình Full-mesh hoàn toàn khả mở rộng số lượng phiên MP-IBGP lớn, tăng lên số lượng người dùng VPN tăng lên Và có Router thêm vào mạng Backbone nhà cung cấp láng giềng BGP phải thêm vào cấu hình BGP lõi tất Router chạy BGP tồn trước để trì mô hình full-mesh Đối với mạng có n Router kết nối mạng n(n-1)/2 kết nối Số lượng phiên BGP phụ thuộc vào nhiều nhân tố, mà nhân tố nhớ Router tốc độ CPU Thực mô hình Full-mesh triển khai mạng có kích thước nhỏ nhớ CPU Router đáp ứng số lượng phiên MP-IBGP 64 Ket-noi.com diễn đàn công nghệ, giáo dục Nhưng quan tâm đến vấn đề mở rộng mạng ta không nên sử dụng mô hình Full-mesh Trong MPLS-VPN sử dụng kĩ thuật có sẵn BGP-4 để triển khai mô hình mạng riêng ảo đảm bảo khả mở rộng sử dụng tuyến phản xạ (Route reflector) confederation Tuyến phản xạ confederation MPLS-VPN hoạt động giống BGP-4 Chính nhờ vào hai khả mà nhà cung cấp triển khai nhiều mô hình MPLS-VPN phức tạp Mô hình mạng MPLS-VPN mà ta thảo luận từ trước đến dành cho site VPN người dùng kết nối đến nhà cung cấp dịch vụ dọc kết nối PE CE, việc trao đổi thông tin định tuyến dọc liên kết không cần có tham gia MPLS, trao đổi trực tiếp site người dùng Trong trường hợp này, Router PE trì toàn trình điều khiển site với thông qua cách ly VPN Trong phần sau ta sâu vào thảo luận mô hình MPLS-VPN phức tạp hơn, mô hình cho phép trao đổi thông tin nhãn gói tin có gắn nhãn đến từ thiết bị nằm điều khiển nhà cung cấp dịch vụ 3.5.1 Hệ thống tự trị MPLS-VPN Hệ thống tự trị (Autonomous system) mạng nhóm nhiều mạng chia sách hoạt động miền định AS điều khiển nhà quản trị hệ thống Khi dịch vụ MPLS-VPN lớp trở nên phổ biến hơn, lúc cần phải hỗ trợ kết nối nhiều hệ tự trị khác Người dùng doanh nghiệp lớn thường sử dụng mô hình AS-Multihomed, vị trí địa lý khác nhau, khó đạt kết nối VPN đầy đủ qua nhà cung cấp dịch vụ Ngay kết nối đạt mô hình mạng bị chia thành nhiều AS nhỏ Do đó, dịch vụ MPLS VPN lớp cần phải mở rộng AS Cho phép VPN qua nhiều mạng Backbone nhiều nhà cung cấp dịch vụ Mỗi nhà cung cấp dịch vụ, quản trị AS khác nhau, đáp ứng dịch vụ MPLS-VPN cho 65 Ket-noi.com diễn đàn công nghệ, giáo dục người dùng đầu cuối Một VPN bắt đầu site người dùng di duyển qua nhiều mạng Backbone nhà cung cấp dịch vụ khác trước đến site khác người dùng Đặc điểm cho phép nhiều AS thành lập mạng liên tục site người dùng với nhà cung cấp Cho phép VPN tồn nhiều vùng khác Một nhà cung cấp dịch vụ tạo VPN nhiều vùng địa lý khác Và việc có tất lưu lượng VPN chảy qua điểm vùng cho phép điều khiển tốc độ lưu lượng mạng tốt vùng Sử dụng Confederation để tối ưu IBGP meshing, đáp ứng khả mở rộng Mô hình hệ thống tự trị chia thành kết nối sau: • Kết nối nhà cung cấp với • Kết nối AS với 3.5.2 Nhà cung cấp dịch vụ hạ tầng Từ ưu điểm công nghệ MPLS-VPN cộng với phát triển, mở rộng mạng nhiều vùng địa lý khác Nhiều doanh nghiệp lớn, doanh nghiệp trung bình, nhiều nhà cung cấp dịch vụ MPLS-VPN nhỏ hơn, nhiều nhà cung cấp dịch vụ Internet nhận thấy kết nối vào mạng Backbone MPLS-VPN họ tránh việc phải xây dựng sở hạ tầng lớp cho mạng Thay vào sử dụng mạng Backbone nhà cung cấp MPLSVPN để kết nối site lại với Ngoài vấn đề giảm thiểu chi phí site kết nối đến toàn site ngang cấp với Do cung cấp định tuyến tối ưu Điều có nghĩa phép tất người dùng truy cập vào mạng MPLS-VPN Backbone mạng Backbone phải có khả mang số lượng lớn thông tin định tuyến cho cá nhân người dùng Các nhà cung cấp dịch vụ Internet cần phải trao đổi phần, không nói toàn bộ, bảng định tuyến Internet site họ để người dùng họ truy cập Internet 66 Ket-noi.com diễn đàn công nghệ, giáo dục Việc truy cập đến người dùng gây vấn đề khó khăn mở rộng, Router PE phải trì tất thông tin định tuyến nội VRF Thông tin định tuyến sau phân phối đến tất Router PE có liên quan, lúc Router CE hoàn toàn đạt thông tin định tuyến thích hợp Để giải vấn đề mở rộng trường hợp trên, giải pháp mở rộng từ MPLS-VPN chuẩn, gọi hỗ trợ hạ tầng thiết bị cho Các nhà cung cấp dịch vụ sử dụng hạ tầng thiết bị nhà cung cấp dịch vụ khác gọi nhà cung cấp dịch vụ người dùng Hỗ trợ dịch vụ hạ tầng sử dụng để mô tả tình nhà cung cấp dịch vụ cho phép nhà cung cấp dịch vụ khác sử dụng phần mạng Backbone họ Nhà cung cấp dịch vụ cung cấp phần mạng Backbone cho nhà cung cấp dịch vụ khác gọi hỗ trợ hạ tầng đường trục Một số ưu điểm sử dụng hỗ trợ hạ tầng thiết bị kĩ thuật Mạng MPLSVPN hỗ trợ hạ tầng thiết bị kĩ thuật cung cấp nhiều ưu điểm cho nhà cung cấp dịch vụ, kể hỗ trợ hạ tầng backbone  Ưu điểm hỗ trợ hạ tầng Backbone Hỗ trợ hạ tầng thiết bị Backbone cung cấp cho nhiều nhà cung cấp dịch vụ khách hàng cho phép họ truy cập vào mạng Backbone hạ tầng thiết bị Backbone không cần phải tạo trì Backbone riêng cho nhà cung cấp dịch vụ khách hàng Sử dụng mạng Backbone để hỗ trợ nhiều nhà cung cấp dịch vụ khách hàng đơn giản thông qua hoạt động VPN hạ tầng thiết bị Backbone Hạ tầng thiết bị Backbone cần sử dụng phương pháp cố định để quản lý trì mạng Backbone Điều có nghĩa tiết kiệm chi phí hiệu so với việc phải trì riêng Backbone Đặc điểm MPLS hỗ trợ hạ tầng thiết bị kĩ thuật có khả mở rộng, thay đổi VPN để đáp ứng nhu cầu băng thông kết nối Nó hỗ trợ đến mười ngàn VPN qua mạng, cho phép nhà cung cấp dịch vụ vừa đáp ứng dịch vụ VPN vừa đáp ứng 67 Ket-noi.com diễn đàn công nghệ, giáo dục dịch vụ Internet Hỗ trợ hạ tầng thiết bị Backbone hỗ trợ nhiều loại nhà cung cấp dịch vụ khách hàng Hỗ trợ hạ tầng thiết bị Backbone chấp nhận nhà cung cấp dịch vụ khách hàng nhà cung cấp dịch vụ nhà cung cấp dịch vụ VPN, hai Nó hỗ trợ nhà cung cấp dịch vụ khách hàng yêu cầu bảo mật nhiều loại băng thông  Ưu điểm nhà cung cấp dịch vụ khách hàng MPLS-VPN hỗ trợ hạ tầng thiết bị kĩ thuật giúp cho nhà cung cấp dịch vụ khách hàng loại bỏ việc phải cấu hình, hoạt động trì mạng Backbone riêng họ nhà cung cấp dịch vụ khách hàng sử dụng mạng Backbone hạ tầng thiết bị Backbone Nhà cung cấp dịch vụ khách hàng sử dụng dịch vụ VPN hạ tầng thiết bị Backbone nhận mức độ bảo mật VPN lớp Frame Relay, ATM Nhà cung cấp dịch vụ khách hàng sử dụng IPSec VPN họ để bảo mật mức cao hơn, việc hoàn toàn suốt hỗ trợ hạ tầng thiết bị Backbone Nhà cung cấp dịch vụ khách hàng sử dụng mô hình địa hỗ trợ hỗ trợ hạ tầng thiết bị Backbone Không gian địa khách hàng thông tin định tuyến nhà cung cấp dịch vụ khách hàng độc lập với nhà cung cấp dịch vụ khách hàng khác, độc lập với hỗ trợ hạ tầng thiết bị Backbone 3.6 Vấn đề bảo mật mạng MPLS-VPN Trong lĩnh vực bảo mật, mục tiêu mô hình mạng MPLS-VPN lớp đạt bảo mật so sánh với bảo mật mô hình mạng overlay VPN ATM hay Frame Relay mang lại Bảo mật cho VPN phải đảm bảo cách ly thông tin định tuyến, không gian địa VPN Nghĩa việc cấp địa VPN hoàn toàn độc lập Thông tin định tuyến từ VPN không đưa vào VPN khác ngược lại Thứ hai bảo mật phải đảm bảo cấu trúc mạng lõi hoàn toàn suốt với người dùng sử dụng dịch vụ Thứ ba, bảo mật phải 68 Ket-noi.com diễn đàn công nghệ, giáo dục đảm bảo việc tránh làm giả nhãn việc làm giả địa IP chống công từ chối dịch vụ công truy nhập dịch vụ Trước hết ta biết mạng MPLS-VPN cho phép sử dụng không gian VPN tạo tính dựa vào giá trị 64 bits nhờ trường phân biệt tuyến Do đó, người dùng sử dụng dịch vụ MPLSVPN không cần phải thay đổi địa Mỗi Router PE trì bảng VRF riêng cho VPN, VRF phổ biến Router thuộc VPN Do đảm bảo cách ly thông tin định tuyến VPN với MPLS kỹ thuật chuyển mạch nhãn, chuyển gói liệu mạng không dựa vào địa IP mào đầu gói tin Hơn nữa, tất LSP kết thúc Router biên PE kết thúc Router P mạng Do mạng lõi bên hoàn toàn suốt người dùng Trong mạng MPLS-VPN, thật khó công trực tiếp vào VPN Chỉ công vào mạng lõi MPLS, từ công vào VPN Mạng lõi công theo hai cách: Bằng cách công trực tiếp vào Router PE Bằng cách công vào chế báo hiệu MPLS Để muốn công vào mạng, trước hết cần phải biết địa IP Nhưng mạng lõi MPLS hoàn toàn suốt so với bên ngoài, kẻ công biết địa IP Router mạng lõi Họ đoán địa gửi gói tin đến địa Tuy nhiên, mạng MPLS, gói tin vào xem thuộc không gian địa người dùng Do đó, thật khó tìm Router bên đoán địa Có thể việc trao đổi thông tin định tuyến Router PE CE điểm yếu mạng MPLSVPN Router PE dùng phương pháp truy nhập, phương pháp xác thực giao thức định tuyến dùng kết nối đảm bảo vấn đề bảo mật Việc làm giả nhãn khó xảy Router PE 69 Ket-noi.com diễn đàn công nghệ, giáo dục chấp nhận gói tin từ Router CE gửi đến gói tin nhãn, gói tin có nhãn nhãn PE kiểm soát quản lý Từ vấn đề nêu trên, ta thấy việc bảo mật mạng MPLS-VPN hoàn toàn so sánh ngang với việc bảo mật mạng ATM 3.7 Tóm tắt chương: Trong chương vấn đề mạng riêng ảo MPLS, nguyên lý hoạt động khả mà MPLS-VPN mang lại Các đặc điểm loại hình mạng riêng ảo IPSec MPLS so sánh qua làm bật ưu nhược điểm giải pháp công nghệ MPLSVPN 70 Ket-noi.com diễn đàn công nghệ, giáo dục KẾT LUẬN Sau thời gian tìm hiểu công nghệ chuyển mạch nhãn đa giao thức MPLS, ứng dụng mạng riêng ảo với công nghệ chuyển mạch nhãn đa giao thức em thu đuợc kết sau:  Những khó khăn tồn có công nghệ chuyển mạch truyền thống cần thiết phải đời công nghệ MPLS.Tìm hiểu kiến trúc mạng MPLS, trình tạo nhãn, chuyển mạch Các chế độ hoạt động khác MPLS  Các mode hoạt động khác MPLS, ứng dụng chuyển mạch nhãn đa giao thức, bật ứng dụng VPN MPLS  Tìm hiểu công nghệ VPN, giao thức dùng VPN, tìm hiểu IPSec, bước hoạt động IPSec Nhận thấy, MPLS –VPN công nghệ có nhiều ưu điểm chắn có nhiều doanh nghiệp lựa chọn để triển khai, MPLS-VPN có thị trường rộng lớn Tuy nhiên đề tài lớn lên trình tìm hiểu em không tránh khỏi thiếu sót mong góp ý từ thầy cô bạn bè Xin chân thành cảm ơn ! Hà Nội, ngày 19 tháng 09 năm 2010 SINH VIÊN Tống Như Lân 71 Ket-noi.com diễn đàn công nghệ, giáo dục TÀI LIỆU THAM KHẢO Các sách tham khảo [1] Mạng riêng ảo VPN, Nguyễn Tiến Ban, Hoàng Trọng Minh, Học Viện Công nghệ Bưu Chín Viễn Thông, 2007 [2] Công nghệ chuyển mạch nhãn đa giao thức, Đỗ Mạnh Quyết, Phùng Văn Vận, Nguyễn Tất Đắc, 2003 [3] Chuyển mạch nhãn đa giao thức, Nguyễn Thị Tố Uyên, 2006 Tổng hợp thông tin từ số trang Wed: [4 ] Tạp chí bưu viễn thông trực tuyến http//:www.tapchibcvt.gov.vn [5] Trang wed chuyên nghành công nghệ điện tử viễn thông http//:www.vnexpress.net [6] Trang wed công nghệ Việt Nam http//: www.vnpro.org 72 [...]... hiểu như là mạng kết nối các site người dùng đảm bảo an ninh trên cơ sở hạ tầng mạng chung cùng với các chính sách điều khiển truy nhập và bảo mật một mạng riêng biệt Tuy được xây dựng trên cơ sở hạ tầng sẵn có của mạng công cộng nhưng VPN lại có được các tính chất của một mạng cục bộ như khi sử dụng các đường thuê riêng 2.2 Khái niệm về VPN Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạng chung,... với hai mục đích: An ninh gói mạng và thay đổi các khoá mã hoá Mạng riêng ảo xây dựng dựa trên Internet, sử dụng cơ sở hạ tầng mở và phân tán của Internet cho việc truyền dữ liệu các site của mạng Tóm lại mạng riêng ảo VPN là thuật ngữ được các nhà cung cấp dịch vụ và các khai thác sử dụng Như đúng tên gọi của nó, VPN là một mạng riêng của người dùng dựa trên cơ sở hạ tầng mạng công cộng Chúng có thể... (các mạng riêng lẻ) hay nhiều người sử dụng từ xa Trong thời gian gần đây cơ sở hạ tầng mạng IP đã làm cho VPN thực sự có tính mới mẻ và tốt hơn Các kiểu mạng riêng ảo xây dựng trên cơ sở hạ tầng mạng Internet công cộng đã mang lại một khả năng mới, tốt hơn hiệu quả và linh động hơn cho người sử dụng Thay cho việc sử dụng bởi một kết nối thực, chuyên dụng như đường mạng riêng (Leased Line), mỗi VPN. .. hoàn toàn vào nhà cung cấp dịch vụ để duy trì tính toàn vẹn và bảo mật dữ liệu cá nhân nội bộ của người dùng khi truyền trên mạng Các mạng riêng xây dựng trên các đường dây thuê thuộc loại tin cậy Mạng riêng ảo an toàn là các mạng riêng ảo có thể sử dụng mật mã về thông tin của dữ liệu Dữ liệu ở đâu ra của một mạng được mã hoá rồi chuyển vào mạng công cộng như các dữ liệu khác để truyền tới đích và sau... giao thức báo hiệu và định tuyến được triển khai trong mạng MPLS đã tóm lược nhằm xác định rõ các vấn đề đã và đang được giải 28 Ket-noi.com diễn đàn công nghệ, giáo dục quyết trong mạng MPLS Chương sau sẽ trình bày chi tiết về công nghệ mạng riêng ảo trong nền công nghệ MPLS 29 Ket-noi.com diễn đàn công nghệ, giáo dục Chương 2: GIỚI THIỆU CHUNG VỀ VPN 2.1 Giới thiệu: Internet ngày một phổ biến và... cũng mở rộng các mạng mà họ sở hữu Ban đầu là các mạng nội bộ, mà các site được bảo mật bằng mật khẩu được thiết kế cho việc sử dụng chỉ bởi các thành viên trong công ty Có rất nhiều công ty đang tạo ra các mạng riêng ảo VPN để điều tiết và quản lý các nhân viên hay các văn phòng đại diện từ xa VPN là từ thường dùng trong suốt khoảng mấy năm qua Từ đó, chúng ta hiểu về nó và ứng dụng VPN vào những mục... nối ảo được dẫn đường qua Internet từ mạng riêng của các công ty tới các site hay các nhân viên từ xa Ngày nay với sự phát triển của cộng nghệ và bùng nổ của mạng Internet, khả năng của VPN ngày càng được hoàn thiện hơn về dịch vụ cũng như khai thác được hết các ưu điểm của nó Mạng riêng ảo được định nghĩa như là một kết nối mạng triển khai trên cơ sở hạ tầng mạng công cộng với các quản lý và bảo mật... công cộng Chúng có thể được tạo ra bằng cách sử dụng phần mềm, phần cứng hay kết hợp cả hai phần đó để tạo ra một kết nối bảo mật giữa hai mạng riêng đi qua mạng công cộng 2.3 Chức năng và lợi ích của VPN 2.3.1 Chức năng của mạng riêng ảo  Tính xác thực Thiết lập kết nối trong VPN cả hai phía của thiết bị đầu cuối phải xác thực lẫn nhau để khẳng định một điều là thông tin mình muốn trao đổi đúng với... đảm bảo là dữ liệu không bị mất đi hoặc bị xáo trộn là một việc làm vô cùng quan trọng Vì vậy VPN đã làm được điều đó một cách hoàn hảo  Tính bảo mật Việc mã hoá các dữ liệu trước khi đưa vào truyền trong mạng công cộng và dữ liệu sẽ được giải mã ở phía thu Bằng cách làm như vậy, thì việc đánh cắp thông tin dữ liệu là vô cùng khó khăn đối với người khác 2.3.2 Tiện ích chính của mạng riêng ảo VPN đem... Mô hình dựa trên khách hàng còn được gọi là mô hình chồng lấn, trong đó VPN được cấu hình trên các thiết bị của người dùng và sử dụng giao thức đường hầm qua mạng công cộng Nhà cung cấp dịch vụ sẽ đưa các mạng riêng ảo giữa các site của người dùng như là các đường kết nối riêng Mô hình dựa trên mạng được gọi là mô hình ngang hàng, trong đó VPN được cấu hình trên các thiết bị của nhà cung cấp dịch vụ ... dục Chương MẠNG RIÊNG ẢO VPN TRONG MPLS 3.1 Giới thiệu: MPLS -VPN kết hợp ưu điểm hai mô hình công nghệ mạng riêng ảo chồng lấn ngang hàng Khi thiết lập mạng riêng ảo MPLS cho phép đảm bảo định tuyến... 3.4.2 Địa VPN- IP mạng riêng ảo 55 3.4.3 Hoạt động gói tin MPLS - VPN qua PE CE .57 3.4.4 Hoạt động gói tin VPN dọc mạng đườngtrục MPLS: 60 3.4.5 Truyền nhãn mạng riêng ảo VPN ... chuyển tiếp ảo 50 3.3 Các mô hình MPLS -VPN .51 3.3.1 Mô hình mạng riêng ảo tầng (L 2VPN) .51 3.3.2 Mô hình mạng riêng ảo lớp ba (L 3VPN) 53 3.4 Hoạt động MPLS -VPN