Mạng riêng ảo và giải pháp hệ thống trong Tổng cục Thuế

Đường hầm là một cách thức mà ở đó dữ liệu có thể truyền đi giữa hai mạng một cách an toàn. Toàn bộ dữ liệu truyền đi được phân mảnh thành các gói nhỏ hơn hoặc thành các khung sau đó được đẩy vào trong đường hầm. Cách thức này khác với cách vận chuyển dữ liệu thông thường giữa các điểm.

MỤC LỤC

Trang phụ bìa

Lời cam đoan

Lời cảm ơn

Mục lục 1

Danh mục các thuật ngữ và các từ viết tắt 3

Danh mục hình vẽ 5

MỞ ĐẦU 7

CHƯƠNG 1 TỔNG QUAN VỀ MẠNG RIÊNG ẢO 9

1.1 Tổng quan 9

1.2 Khái niệm VPN 9

1.3 Khái niệm đường hầm 10

1.4 Phân loại VPN 10

1.4.1 Overlay VPN 11

1.4.2 Site to site VPN ( Mô hình VPN ngang cấp) 15

1.5 Kết luận 21

CHƯƠNG 2 MẠNG RIÊNG ẢO TRÊN NỀN CÔNG NGHỆ MPLS 22

2.1 Vấn đề đặt ra? 22

- Tính khả chuyển 22

- Điều khiển lưu lượng 23

- Chất lượng của dịch vụ (QoS) 23

2.2 Chuyển mạch nhãn đa giao thức là gì? 25

2.2.1 Khái niệm 25

2.2.2 Đặc điểm mạng MPLS 25

2.2.3 Một số khái niệm cơ bản trong kiến trúc MPLS 26

2.2.4 Phương thức hoạt động của công nghệ MPLS 29

2.2.5 Chuyển tiếp gói MPLS và đường chuyển mạch nhãn 33

2.3 Kết luận 39

CHƯƠNG 3 ỨNG DỤNG MPLS IP VPN VÀO HỆ THỐNG MẠNG NGÀNH VÀ GIẢI PHÁP HỆ THỐNG 41

3.1 Bối cảnh chung 41

3.2 Đánh giá ưu nhược điểm của hệ thống cơ sở hạ tầng hiện tại 44

3.2.1 Mô hình kết nối WAN và những vấn đề đặt ra? 44

3.2.2 Mô hình kết nối Internet và những vấn đề nảy sinh 46

3.3 Giải pháp MPLS IP VPN để nâng cao an ninh cho hệ thống mạng TCT.51 3.3.1 Đề xuất cải tiến để đảm bảo tính dự phòng và an ninh cho hệ thống51 3.3.2 Giải pháp thiết kế hệ thống 54

3.3.3 Đánh giá về hệ thống đảm bảo an ninh 68

3.3.4 Hoạt động thử nghiệm 75

3.4 Kết luận 76

CHƯƠNG 4 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 78

DANH MỤC CÁC THUẬT NGỮ VÀ CÁC TỪ VIẾT TẮT

C (Custommer network) – C

network

Hệ thống khách hàng sử dụng dịch vụ của nhà cung cấp

PE router mới có khái niệm về VPN còn CE router không nhận thấy những gì đang diễn ra trong mạng của nhà cung cấp và coi như chúng đang được kết nối với nhau thông qua mạng riêng

Customer site

Một phần trong hệ thống C network mà các thành phần này là láng giềng của nhau giữa chúng

có nhiều liên kết vật lý

Frame Relay Công nghệ chuyển mạch khung

Chuyển mạch nhãn đa giao thức

P: Provider – P network Nhà cung cấp dịch vụ VPN

Tên viết tắt Nội dung

PE (Provider edge device) Các thiết bị trong hệ thống mạng P network

mà dùng để kết nối với hệ thống của khách hàng PPTP (Point to Point

DANH MỤC HÌNH VẼ

Hình 1.2 Over lay VPN triển khai ở lớp 2 12

Hình 1.3 Mô hình Overlay VPN triển khai ở lớp 3 13

Hình 1.4 Mô hình triển khai dưới dạng đường hầm 14

Hình 1.5 Mô hình Overlay VPN 14

Hình 1.6 Mô hình site to site VPN 16

Hình 1.7 Mô hình VPN ngang cấp sử dụng router dùng chung 17

Hình 1.8 Mô hình VPN ngang cấp với router dùng chung 18

Hình 1.9 Mô hình VPN ngang cấp sử dụng router dành riêng 19

Hình 1.10 Mô hình router dành riêng 20

Hình 2.1 Full mesh với 6 kết nối ảo 23

Hình 2.2 Một ví dụ về mạng IP dựa trên mạng lõi ATM 24

Hình 2.3 Nhãn kiểu khung 26

Hình 2.4 Nhãn kiểu tế bào 27

Hình 2.5 Cấu trúc cơ bản của một nút MPLS 30

Hình 2.6 Các FEC riêng biệt cho mỗi tiền tố địa chỉ 32

Hình 2.7 Tổng hợp các FEC 32

Hình 2.8 Sự tạo nhãn MPLS và chuyển tiếp 33

Hình 2.9 Các ứng dụng khác nhau của MPLS 34

Hình 2.10 Mô hình mạng MPLS 37

Hình 3.1 Hạ tầng mạng BTC 42

Hình 3.2 Mô hình Overlay layer – 2 – VPN tại mạng trục 44

Hình 3.3 Mô hình Peer – to – Peer VPN tại TTM, TTT 45

Hình 3.4 Mô hình kết nối Internet BTC 47

Hình 3.5 Kết nối mạng diện rộng hệ thống Thuế 49

Hình 3.6 Dòng dữ liệu ngành Thuế 50

Hình 3.7 Kiến trúc hệ thống truyền thông BTC 51

Hình 3.8 Sơ đồ kết nối mạng trục BTC 52

Hình 3.9 Các kết nối WAN giữa hai trung tâm miền 53

Hình 3.10 Sơ đồ hệ thống mạng phân bố từ TTM xuống các TTT 54

Hình 3.11 Cấu trúc mạng trục với WAN truyền thống và MPLS VPN 55

Hình 3.12 Mô hình kết nối sử dụng dịch vụ MPLS IP VPN 55

Hình 3.13 Khả năng định tuyến gói tin trong MPLS IP VPN 56

Hình 3.14 Mô hình các vùng MPLS IP VPN sẽ thuê của nhà cung cấp dịch vụ 56

Hình 3.15 Mô hình kết nối sử dụng IP Sec VPN thông qua Internet 57

Hình 3.16 Lớp mạng trục BTC 58

Hình 3.17 Kết nối từ TTT lên TTM 59

Hình 3.18 Lớp mạng phân phối Bộ tài chính 60

Hình 3.19 Các phân lớp mạng 61

Hình 3.20 Virtual Interface với GRE Encapsulation thông qua mạng MPLS VPN công cộng 62

Hình 3.21 Các kết nối GRE trên hệ thống 63

Hình 3.22 Mạng trung ương các ngành truy cập vào mạng WAN BTC 64

Hình 3.23 Lớp truy cập của các đơn vị vào mạng WAN bộ tài chính 65

Hình 3.24 Sử dụng 02 Router kết nối cho các đơn vị có yêu cầu tính dự phòng rất cao .65

Hình 3.25 Truy cập IPSec VPN tới MPLS VPN bộ tài chính thông qua Internet 66

Hình 3.26 Mô hình khai báo Thuế On-line 68

Hình 3.27 Kiến trúc bảo mật đề xuất 69

Hình 3.28 Mã hoá đường truyền Leased – lines giữa TTT - TTM 70

Hình 3.29 Mô hình phân tách các lớp mạng, đảm bảo an ninh cho các đơn vị 71

Hình 3.30 An ninh vòng ngoài 73

Hình 3.31 Bảo vệ các hệ thống ứng dụng 74

Hình 3.32 Mô hình thử nghiệm 75

vì vậy phải đối mặt với một vấn đề không tránh khỏi đó là bảo mật thông tin Viêc chia

sẻ thông tin trên một mạng công cộng cũng có nghĩa là những người muốn tìm kiếm, khôi phục thông tin đều có thể lên mạng Điều gì sẽ xảy ra nếu một người tiếp cận thông tin lại có ý định phá mạng Nhưng hacker có ý đồ xấu như nghe lén thông tin, tiếp cận thông tin không chính đáng, trái phép, lừa bịp, sao chép thông tin đang là mối đe doạ lớn cho việc bảo mât trên mạng

Vậy làm thế nào để chúng ta có thể bảo mật thông tin trong quá trình truyền tin trên một mạng chung? Có rất nhiều phương án để đảm bảo truyền tin trên mạng một cách an toàn một trong những phương án hữu hiệu nhất hiện nay là triển khai một mạng riêng ảo (Virtual private network - VPN) VPN là những hệ thống mạng được triển khai dựa trên quy tắc: vẫn áp dụng tiêu chuẩn bảo mật, quản lý chất lượng dịch

vụ trong hệ thống mạng công cộng vào hệ thống mạng cá nhân VPN cung cấp cho chúng ta một sự lựa chọn mới: Xây dựng một mạng cá nhân cho các thông tin liên lạc klểu site- to- site trên một mạng công cộng hay Intemet Bởi vì nó hoat động trên một mạng chung thay vì một mạng cá nhân nên các công ty có thể mở rộng WAN của mình môt cách hiệu quả, những khách hàng di động hay những văn phòng ở nơi xa xôi, khách hàng hay nhà cung cấp hay những đối tác kinh doanh VPN mở rộng WAN truyền thống bằng cách thay thế những kết nối điểm tới điểm vật lý bằng những kết nổi điểm tới điểm logic chia sẻ một hạ tầng chung, cho phép tất cả lưu lượng tổng hợp, hội tụ vào một kết nối vât lý duy nhất Kết quả là tạo nên băng thông tiềm năng và có thể tiết kiệm chí phí tại đầu ra Bởi vì khách hàng không còn phải duy trì một mạng cá nhân và bản thân VPN cũng rẻ hơn và tiết kiệm chi phí đáng kể so với WAN, do đó toàn bộ chi phí hoạt động vận hành có thể giảm VPN chính là sự thay thế cho hạ tầng WAN, nó thay thế và thậm chí còn tăng cường các hệ thống mạng thương mại cá nhân

sử dụng kênh thuê riêng, frame- relay hay ATM

Luận văn “Mạng riêng ảo và giải pháp hệ thống trong Tổng Cục Thuế” đi vào nghiên cứu về mạng riêng ảo, phân tích các loại mạng riêng ảo hiện nay và cho thấy

những mặt tích cực và hạn chế của từng loại, bên cạnh đó nghiên cứu một công nghệ mới MPLS – công nghệ chuyển mạch nhãn đa giao thức – , Các ứng dụng của công nghệ MPLS đi sâu vào nghiên cứu một trong ứng dụng quan trọng của công nghệ MPLS chính là mạng riêng ảo Trên cơ sở phân tích mang tính lý thuyết trên thì luận văn cũng đưa ra giải pháp để ứng dụng công nghệ mới này vào hệ thống mạng thực tế hiện nay ở Tổng cục thuế

Về bố cục, nội dung luận văn được chia ra làm 3 chương:

Chương 1: Nghiên cứu tổng quan về mạng riêng ảo, các loại mạng riêng ảo hiện nay

Chương 2: Nghiên cứu về mạng riêng ảo trên nền công nghệ MPLS

Chương 3: Nghiên cứu về hệ thống mạng truyền thông hiện nay của Tổng cục thuế trên cơ sở phân tích, khảo sát hiện trạng hệ thống mạng của Bộ tài chính và đưa ra các giải pháp và mô hình thiết kế mới mang tính ứng dụng khả thi về kỹ thuật công nghệ

và kinh tế

Chương 4: Kết luận và hướng phát triển

Ngoài ra, luận văn còn có thêm các danh mục các thuật ngữ, các từ viết tắt, danh mục bảng biểu, hình vẽ và danh mục các tài liệu tham khảo để thuận tiện cho việc tìm hiểu và tra cứu nội dung của luận văn

CHƯƠNG 1 TỔNG QUAN VỀ MẠNG RIÊNG ẢO

Trong chương này, báo cáo luận văn sẽ giới thiệu tổng quan về mạng riêng ảo, khái niệm VPN, khái niệm đường hầm, phân loại VPN Đi sâu vào hai loại VPN chính

đó là: mô hình Overlay VPN và site to site VPN Trên cơ sở phân tích nội dung của từng loại cho ta thấy rõ được những ưu, nhược còn tồn tại trong mỗi mô hình

1.1 Tổng quan

VPN là một thuật ngữ quen thuộc hiện nay, nó là một sự lựa chọn gần như tối

ưu đối với một công ty có từ 2 chi nhánh trở lên có nhu cầu kết nối mạng với nhau, hoặc có nhu cầu thiết lập một mối quan hệ thân thiết với khách hàng, đối tác, hoặc đặc thù công việc là có nhiều nhân viên làm việc từ xa Ai cũng biết VPN không còn là một thuật ngữ mới, tuy nhiên không phải ai cũng biết VPN đã được đề cập và xây dựng từ cuối thập kỷ 80 của thế kỷ trước, và nó cũng trải qua nhiều giai đoạn phát triển

Thế hệ VPN thứ nhất do AT&T phát triển có tên là SDNs (Software Defined Networks)

Thế hệ thứ 2 là ISDN và X25

Thế hệ thứ 3 là FR và ATM

Và thế hệ hiện nay, thế hệ thứ 4 là VPN trên nền mạng IP

Thế hệ tiếp theo sẽ là VPN trên nền mạng MPLS

1.2 Khái niệm VPN

VPN là công nghệ cung cấp một phương thức giao tiếp an toàn giữa các mạng riêng dựa vào kỹ thuật đường hầm để tạo ra một mạng riêng trên cơ sở hạ tầng mạng dùng chung (mạng Internet) Về bản chất đây là quá trình đặt toàn bộ gói tin vào trong một lớp tiêu đề chứa thông tin định tuyến có thể truyền an toàn qua mạng công cộng VPN là một mạng riêng sử dụng để kết nối các mạng riêng lẻ hay nhiều người

sử dụng ở xa thông qua các kết nối ảo dẫn qua đường Internet thay cho một kết nối thực, chuyên dụng như đường leased line

VPN bao gồm hai phần: mạng của nhà cung cấp dịch vụ và mạng của khách hàng trong đó mạng của nhà cung cấp dịch vụ chạy dọc cơ sở hạ tầng mạng công cộng, bao gồm các bộ định tuyến cung cấp dịch vụ cho mạng của khách hàng

1.3 Khái niệm đường hầm

Đường hầm là một cách thức mà ở đó dữ liệu có thể truyền đi giữa hai mạng một cách an toàn Toàn bộ dữ liệu truyền đi được phân mảnh thành các gói nhỏ hơn hoặc thành các khung sau đó được đẩy vào trong đường hầm Cách thức này khác với cách vận chuyển dữ liệu thông thường giữa các điểm Ở đây các gói dữ liệu di chuyển trong đường hầm sẽ được đóng gói và mã hoá với thông tin định tuyến tới một địa chỉ xác định Sau khi tới được địa chỉ mong muốn thì dữ liệu được khôi phục nhờ việc giải

mã

Một đường hầm là một con đường logic được thiết lập giữa điểm nguồn và điểm đích của hai mạng Các gói dữ liệu được đóng gói tại nguồn và mở gói tại điểm đích Đường hầm logic giữa hai mạng này được duy trì trong suốt tiến trình gửi dữ liệu Đường hầm dùng để vận chuyển dữ liệu cho mục đích riêng tư, thông thường là

hệ thống mạng của một tập đoàn thông qua hệ thống mạng công cộng Với cách hiểu

đó các nút định tuyến trong hệ thống mạng công cộng không biết rằng luồng vận chuyển đó là của hệ thống mạng riêng hay chung

Có nhiều loại đường hầm được thực thi trên các tầng khác nhau của mô hình OSI Ví dụ hai loại đường hầm PPTP và L2TP thực thi trên tầng 2 Hai loại đường hầm này sẽ không kích hoạt tại các phiên làm việc nội mạng, trong trường hợp có sự kết nối hai mạng thì loại đường hầm sẽ được xác định hoặc PPTP hoặc L2TP sau khi lựa chọn được loại đường hầm thì các tham số như mã hóa, cách đăng ký địa chỉ, nén

…vv Được cấu hình để đạt được sự an toàn ở mức cao nhất khi đi qua mạng Internet dựa trên sự kết nối đường hầm logic địa phương Kết nối được tạo ra duy trì và kết thúc sử dụng giao thức quản lý đường hầm

1.4 Phân loại VPN

Mạng riêng ảo có thể là hệ thống mạng ảo giữa hai đầu cuối hệ thống hay giữa hai hay nhiều mạng riêng Do đó ta có thể chia mạng mạng riêng ảo thành hai loại chính đó là:

Customer – based VPN ( hay còn gọi là Overlay VPN): là mạng riêng ảo được cấu hình trên các thiết bị của khách hàng sử dụng các giao thức đường hầm xuyên qua mạng công cộng Nhà cung cấp dịch vụ sẽ cung cấp các kênh ảo, kết nối ảo giữa các mạng của khách hàng

Network – based VPN ( hay còn gọi là site to site VPN): là mạng riêng ảo được cấu hình trên các thiết bị của nhà cung cấp dịch vụ và được quản lý bởi nhà cung

cấp dịch vụ Ở đây nhà cung cấp trao đổi thông tin định tuyến với khách hàng và sắp đặt dữ liệu của khách hàng vào các đường đi tối ưu nhất

1.4.1 Overlay VPN

Mô hình Overlay VPN được triển khai dưới nhiều công nghệ khác nhau Ban đầu VPN được xây dựng bằng cách sử dụng các đường kết nối leased line để cung cấp kết nối giữa các khách hàng ở nhiều vị trí khác nhau Khách hàng mua các dịch vụ đường kết nối của nhà cung cấp Đường kết nối này được thiết lập giữa các mạng của khách hàng và đường này là đường riêng cho khách hàng

Cho đến những năm 1990, Frame Relay được giới thiệu Frame Relay được xem như là một công nghệ VPN vì nó đáp ứng kết nối cho khách hàng như dịch vụ leased line, chỉ khác ở chỗ là khách hàng không được cung cấp các đường dành riêng cho mỗi khách hàng mà các khách hàng sử dụng một đường chung nhưng được chỉ định các kênh ảo, các kênh ảo này sẽ đảm bảo lưu lượng cho mỗi khách hàng riêng biệt Khi cung cấp kênh ảo cho khách hàng nghĩa là nhà cung cấp dịch vụ đã xây dựng một đường hầm riêng cho lưu lượng khách hàng chảy qua mạng dùng chung của nhà cung cấp dịch vụ Sau này công nghệ ATM ra đời về cơ bản ATM cũng giống như Frame Relay nhưng đáp ứng được tốc độ chuyền dẫn cao hơn Khách hàng thiết lập việc liên lạc giữa các thiết bị đầu phía khách hàng với nhau thông qua kênh ảo Giao thức định tuyến chạy trực tiếp giữa các bộ định tuyến khách hàng thiết lập các mối quan hệ cận

kề và trao đổi thông tin định tuyến với nhau Nhà cung cấp dịch vụ không hề biết đến thông tin định tuyến của khách hàng và nhiệm vụ của nhà cung cấp trong mô hình này chỉ là đảm bảo vận chuyển dữ liệu từ điểm tới điểm giữa các mạng của khách hàng

mà thôi

Mô hình Overlay VPN được triển khai theo các rãnh riêng thông qua cơ sở hạ tầng của nhà cung cấp dịch vụ Hệ thống này có thể được thi hành tại lớp 1 sử dụng đường leased line/dialup line, tại lớp 2 sử dụng X25/Frame Relay/ ATM kênh ảo hoặc tại lớp

3 sử dụng đường hầm IP (GRE)

Với mô hình VPN triển khai ở lớp 1, mô hình này kế thừa giải pháp ghép kênh theo thời gian truyền thống - thời gian sử dụng đường truyền được chia ra làm nhiều khung, mỗi khung được chia thành nhiều khe thời gian và mỗi người sử dụng một khe cho mình để phục vụ việc truyền tin Ở đây nhà cung cấp ấn định nhiều dòng bit và thiết lập các kết nối vật lý giữa các site khách hàng thông qua ISDN, DSO, T1, E1, SONET hoặc SDH và khách hàng chịu trách nhiệm thi hành ở tất cả các lớp cao hơn ví như PPP, HDLC, IP

Với mô hình Overlay VPN thực hiện ở lớp 2, mô hình này kế thừa giải pháp chuyển mạch trong mạng WAN Ở đây nhà cung cấp dịch vụ chịu trách nhiệm thiết lập các kênh ảo ở lớp 2 giữa các sites khách hàng thông qua X.25, Frame Relay hoặc ATM và khách hàng có nhiệm vụ ở lớp IP và các lớp cao hơn

vì vậy hệ thống mạng ảo có thể được tạo ra bởi sự phối hợp các các thiết bị không kết nối hoặc máy chủ với nhau thông qua một đường hầm Việc triển khai đường hầm đảm bảo được tính riêng tư của hệ thống địa chỉ mạng dọc theo mạng xương sống của nhà cung cấp dịch vụ mà không cần chuyển đổi địa chỉ mạng Đường hầm được thiết lập với hai công nghệ phổ biến là GRE - generic routing encapsulation - và IPSec – IP secrity Triển khai theo GRE đơn giản và nhanh hơn song độ an toàn kém trái lại triển khai theo IPSec phức tạp và tốn tài nguyên hơn nhưng tính an toàn lại cao

Hình 1.1 Mô hình Overlay VPN triển khai ở lớp 1

Hình 1.3 Mô hình Overlay VPN triển khai ở lớp 3

Đường hầm GRE cung cấp một ống cố định dọc theo hệ thống chia sẻ mạng diện rộng ở đây các gói tin được bọc bởi một tiêu đề đầu sau đó được truyền đi tới những đích cố định Vì vậy hệ thống mạng đảm bảo tính riêng tư nhờ đưa lộ trình vào trong đường hầm tới một điểm đến Hệ thống đường hầm GRE không có khả năng đảm bảo tính an toàn, để hệ thống được tốt hơn thì có thể kết hợp GRE và IPSec Khi

ta triển khai VPN trên lớp 3 thông qua hệ thống mạng công cộng thì hệ thống đường hầm được thiết lập IPSec cung cấp dịch vụ đảm bảo tính an toàn thông tin cao nó đảm bảo thông tin qua mạng là an toàn

IPSec là một chuẩn trong Internet, nó quy định các chuẩn quy ước giữa người dùng và các thiết bị Nó được triển khai một cách “trong suốt” trong hệ thống cơ sở hạ tầng của mạng Người sử dụng đầu cuối không cần quan tâm xem gói tin bị chặn hay chuyển đi như thế nào trên mạng bởi IPSec

Overlay VPN được triển khai dưới dạng đường hầm Việc triển khai thành công các công nghệ gắn với địa chỉ IP nên một vài nhà cung cấp dịch vụ bắt đầu triển khai VPN qua IP Thực vậy, nếu khách hàng nào xây dựng mạng của riêng họ qua Internet thì có thể dùng giải pháp này vì chi phí thấp Bên cạnh lý do kinh tế thì mô hình đường hầm còn đáp ứng cho khách hàng việc bảo mật dữ liệu

Hình 1.4 Mô hình triển khai dưới dạng đường hầm

Trong mô hình Overlay VPN, nhà cung cấp dịch vụ chỉ có nhiệm vụ cung cấp các đường kết nối điểm tới điểm hoặc các kênh ảo Nhà cung cấp không tham gia vào quá trình định tuyến mà đơn thuần cung cấp việc vận chuyển dữ liệu giữa các mạng của khách hàng và giao thức định tuyến nằm ở bộ định tuyến của khách hàng

Hình 1.5 Mô hình Overlay VPN

Hình trên minh hoạ một mô hình Overlay VPN Với 3 site khách hàng là HÀNỘI, TPHCM và Đà Nẵng Ở đây Hà nội kết nối với TPHCM qua một kết nối vật lý do nhà cung cấp cấp, tương tự cũng có một kết nốii Hà nội với Đà nẵng Trong mô hình này định tuyến lớp 3 được thiết lập trực tiếp tại các thiết bị định tuyến biên của phía khách hàng là Hà nội, TPHCM và Đà nẵng và bản thân nhà cung cấp không tham gia vào quá trình định tuyến

Do nhà cung cấp không tham gia vào quá trình định tuyến của khách hàng và họ chỉ cung cấp các dịch vụ vận chuyển dữ liệu qua các kết nối điểm tới điểm ảo ( các kết nối này có thể là cố định hoặc là các kết nối chuyển đổi) Như vậy nhà cung cấp chỉ cung cấp cho khách hàng các kết nối ảo ở lớp 2 Nên ta thấy mô hình này có xuất hiện vài ưu điểm :

Nhà cung cấp dịch vụ không tham gia vào phía định tuyến của khách hàng

Mạng của nhà cung cấp dịch vụ và mạng của khách hàng hoàn toàn tách biệt

Có thể tái tạo và sử dụng lại địa chỉ IP

Bên cạnh những ưu điểm trên mô hình Overlay VPN còn một số nhược điểm: Nhược điểm chính của mô hình này là các mạch ảo kết nối các site khách hàng đều

ở dạng full mesh nghĩa là nếu có N site khách hàng thì tổng mạch ảo tối ưu cho việc định tuyến là N*(N-1)/2

Hai phía khách hàng đếu phải thực hiện các giao thức bảo mật và mã hoá dữ liệu như IP Sec, SSL, GRE do đó gây ra độ trễ lớn và việc triển khai các ứng dụng thời gian thực là không khả thi

Khi muốn mở rộng mạng ( bổ sung site mới) thì nhà cung cấp dịch vụ phải cấu hình thêm một VC mới việc này tốn công sức và băng thông của nhà cung cấp

Mặt khác ta thấy các cam kết về chất lượng dịch vụ trong mô hình Overlay VPN thường là cam kết về băng thông trên một kênh ảo, băng thông có thể sử dụng được tối

đa trên một kênh ảo Việc cam kết này được thực hiện thông qua các thống kê tự nhiên của dịch vụ lớp 2 nhưng lại phụ thuộc vào chiến lược của nhà cung cấp Điều này có nghĩa là tốc độ cam kết không thực sự được bảo đảm mặc dù nhà cung cấp có thể đảm bảo tốc độ nhỏ nhất Cam kết về băng thông cũng chỉ là cam kết về hai điểm trong mạng khách hàng Nếu không có ma trận lưu lượng thì thật khó có thể thực hiện cam kết này cho khách hàng trong mô hình Overlay VPN và thật khó có thể cung cấp nhiều lớp dịch vụ vì nhà cung cấp dịch vụ không thể phân biệt được lưu lượng ở giữa mạng

Để làm được việc này đòi hỏi phải tạo ra nhiều kết nối như trong mạng Frame relay hay ATM là có các kênh ảo cố định giữa các site khách hàng tuy nhiên nhiều kết nối chỉ làm tăng thêm chi phí của mạng

1.4.2 Site to site VPN ( Mô hình VPN ngang cấp)

Mô hình VPN ngang cấp ra đời nhằm giải quyết các hạn chế của mô hình Overlay VPN Mô hình này cho phép nhà cung cấp dịch vụ cung cấp cho khách hàng việc vận chuyển dữ liệu một cách tối ưu qua hệ thống mạng xương sống và với mô hình này

nhà cung cấp dịch vụ và khách hàng sử dụng chung một loại giao thức mạng và toàn

bộ việc định tuyến của khách hàng được thực hiện trong lõi mạng của nhà cung cấp

Bộ định tuyến nhà cung cấp dịch vụ trao đổi thông tin định tuyến với bộ định tuyến của khách hàng, tại mỗi mạng liền kề Định tuyến lớp 3 được thiết lập giữa bộ định tuyến biên của khách hàng với bộ định tuyến biên của nhà cung cấp

Bởi việc định tuyến giữa các nút đã được triển khai nên việc định tuyến giữa các mạng giờ đây là tối ưu Đa kết nối được thiết lập từ điểm tới điểm hay việc kết nối thông qua hệ thống xương sống của mạng nhà cung cấp đã giúp cho việc định tuyến đạt được ở mức tối ưu

Trong mô hình này việc bổ xung các mạng con dễ dàng hơn khi đó khả năng của các vi mạch không còn là vấn đề phải quan tâm Địa chỉ IP của phía khách hàng do nhà cung cấp kiểm soát Nhà cung cấp dịch vụ chia sẻ việc định tuyến với khách hàng, nhà cung cấp dịch vụ ấn định hoặc đưa ra một khoảng địa chỉ cần thiết để triển khai hệ thống mạng của khách hàng vì vậy địa chỉ riêng không còn là sự lựa chọn nữa

Hình 1.6 Mô hình site to site VPN

Hình trên mô phỏng cách triển khai của mô hình site to site VPN Trong mô hình này thông tin định tuyến được trao đổi giữa bộ định tuyến biên của khách hàng và nhà cung cấp dịch vụ cụ thể ở đây là giữa Hà nội CE và Hà nội PE Sau đó bộ định tuyến của nhà cung cấp trao đổi với bộ định tuyến của khách hàng khác thông qua hệ thống mạng lõi ở đây bộ định tuyến Hà nội PE sẽ quảng bá qua hệ thống lõi tới TPHCM PE

và Đà nẵng PE Mặt khác các thông tin định tuyến lớp 3 được trao đổi trực tiếp giữa

bộ định tuyến của khách hàng với bộ định tuyến của nhà cung cấp

Như vậy ta thấy mô hình này không yêu cầu tạo ra các mạch ảo mà bộ định tuyến

CE trao đổi trực tiếp thông tin về tuyến với các bộ định tuyến PE của nhà cung cấp dịch vụ và thông tin định tuyến của khách hàng được quảng bá trong mạng lõi của nhà cung cấp do đó sẽ xác định được đường đi tối ưu giữa một site khách hàng này tới một site khách hàng khác

Nhà cung cấp dịch vụ triển khai hai ứng dụng khác sử dụng mạng riêng ảo ngang cấp:

Phương pháp chia sẻ router: Bộ định tuyến dùng chung, nghĩa là khách hàng chia sẻ cùng bộ định tuyến biên mạng của nhà cung cấp Ở phương pháp này nhiều khách hàng có thể kết nối trên cùng một bộ định tuyến của nhà cung cấp

Hình 1.7 Mô hình VPN ngang cấp sử dụng router dùng chung

Trên bộ định tuyến biên mạng của nhà cung cấp phải cấu hình một danh sách truy cập cho giao diện của mỗi nhà cung cấp - để đảm bảo chắc chắn sự cách ly giữa các khách hàng VPN, để ngăn chăn mạng riêng ảo của khách hàng này thực hiện các tấn công từ chối dịch vụ vào mạng riêng ảo của khách hàng khác Nhà cung cấp dịch vụ chia mỗi phần trong không gian địa chỉ của nó cho khách hàng và quản lý việc lọc gói tin trên router của nhà cung cấp

Hình 1.8 Mô hình VPN ngang cấp với router dùng chung

Ở mô hình trên có 3 mô hình VPN riêng biệt VPN-101, VPN-201, VPN-301 Những mô hình này được triển khai trên 4 site khách hàng khác nhau VPN-101 được triển khai cho Paris cũng như Lyon VPN-201 được triển khai cho Brussels và VPN-

301 được triển khai cho Munic Ta thấy Lodon PE chứa toàn bộ thông tin định tuyến của cả 3 mô hình VPN Việc cách ly giữa các mô hình VPN được thực hiện bởi một danh sách truy cấp trên giao diện của PE và CE: Serial0/0, Serial0/1, Serial0/2, Serial0/3

Phương pháp router riêng: là phương pháp mà khách hàng VPN có router của nhà cung cấp dịch vụ riêng Trong phương pháp này, mỗi khách hàng VPN phải có router của nhà cung cấp dành riêng và do đó chỉ truy cập đến các router trong bảng định tuyến của router nhà cung cấp đó

Hình 1.9 Mô hình VPN ngang cấp sử dụng router dành riêng

Mô hình router dành trước sử dụng giao thức định tuyến để tạo ra bảng định tuyến trên một mạng riêng ảo trên router nhà cung cấp Bảng định tuyến chỉ có các router được quảng bá bởi khách hàng VPN kết nối đến chúng, kết quả là tạo ra sự cách

ly tuyệt vời giữa các mạng riêng ảo Việc định tuyến router dành trước có thể thực hiện:

Giao thức định tuyến chạy giữa PE và CE là bất kỳ

BGP là giao thức chạy giữa PE và CE

PE phân phối các router nhận được từ CE vào BGP, đánh dấu với ID của khách hàng và truyền các router đến router P, router P sẽ có tất cả các router từ tất cả các VPN của khách hàng

Router P chỉ truyền các định tuyến với BGP community thích hợp đến router

PE Do đó router PE chỉ nhận các tuyến từ router CE trong VPN của chúng Sự chia tách giữa các khách hàng đạt được thông qua việc thiếu thông tin định tuyến của nó trong bộ định tuyến biên của khách hàng Bộ định tuyến của nhà cung cấp chứa toàn

bộ bộ định tuyến của khách hàng và lọc thông tin định tuyến giữa các bộ định tuyến biên của mỗi khách hàng trong mạng nhà cung cấp sử dụng BGP Bởi mỗi khách hàng

có một bộ định tuyến biên riêng của nhà cung cấp nên mô hình này khá đắt để triển khai do đó nó không phải là giải pháp hiệu quả về giá cả

Hình 1.10 Mô hình router dành riêng

Trong mô hình này có 2 mạng riêng biệt: VPN-101, VPN-201 và triển khai qua 4 site khách hàng khác nhau VPN-101 được triển khai cho hai nơi Paris và Brussels và VPN-201 được triển khai cho một nơi là London Bộ định tuyến của nhà cung cấp dịch

vụ trong mạng của nhà cung cấp chứa toàn bộ bộ định tuyến của hai mạng riêng ảo VPn-101 và VPN-201 và nó lọc các thông tin định tuyến cập nhật của các Paris PE, London PE, và Brussels PE sử dụng BGP Communities

Từ hai phương pháp trên ta thấy:

Phương pháp dùng chung router rất khó duy trì vì nó yêu cầu cần phải có danh sách truy cập dài và phức tạp trên giao diện của router Còn phương pháp dùng router riêng, mặc dù có vẻ đơn giản về cấu hình và dễ duy trì hơn nhưng nhà cung cấp dịch

vụ phải bỏ ra chi phí lớn để đảm bảo được phục vụ tốt cho khách hàng

Tất cả khách hàng dùng chung không gian địa chỉ IP, nên họ phải sử dụng hoặc

là địa chỉ IP thật trong mạng riêng của họ hoặc là phụ thuộc vào nhà cung cấp dịch vụ

để có được địa chỉ IP Trong cả hai trường hợp, kết nối một khách hàng mới đến dịch

vụ VPN ngang cấp đòi hỏi phải đăng ký lại địa chỉ IP trong mạng khách hàng Khách hàng không thể thêm router mặc định vào mạng riêng ảo Giới hạn này đã ngăn chặn việc định tuyến tối ưu và cấm khách hàng truy cập Internet từ nhà cung cấp dịch vụ khác

Việc định tuyến đơn giản hơn nhìn từ phía khách hàng khi router khách hàng chỉ trao đổi thông tin định tuyến với một hoặc một vài router PE Trong khi ở mô hình Overlay VPN, số lượng router láng giềng có thể phát triển với số lượng lớn

Định tuyến giữa các site khách hàng luôn luôn là tối ưu vì nhà cung cấp dịch vụ biết topo mạng khách hàng và do đó có thể thiết lập định tuyến tối ưu cho các router của họ

Việc cung cấp băng thông đơn giản hơn bởi vì khách hàng chỉ phải quan tâm đến băng thông đầu vào và ra ở mỗi site mà không cần phải chính xác toàn bộ lưu lượng từ site này đến site như mô hình Overlay Hơn nữa mô hình này có khả năng mở rộng vì nhà cung cấp dịch vụ chỉ cần thêm vào một site và thay đổi cấu hình trên router PE Trong mô hình Overlay, nhà cung cấp dịch vụ phải tham gia vào toàn bộ tập hợp các kênh ảo từ site này đến site khác của VPN khách hàng

Tuy nhiên khi triển khai mô hình site to site có một số hạn chế:

Nhà cung cấp dịch vụ phải đáp ứng được định tuyến khách hàng cho đúng và đảm bảo việc hội tụ của mạng khách hàng khi có lỗi liên kết

Router P của nhà cung cấp dịch vụ phải mang tất cả các tuyến của khách hàng Nhà cung cấp dịch vụ phải biết rõ chi tiết về định tuyến IP, mà điều này thực sự không cần thiết đối với nhà cung cấp từ xưa đến nay

Việc nghiên cứu và phân tích các loại VPN hiện nay cho ta thấy được ưu cũng như nhược điểm của từng mô hình để từ đó ứng dụng vào thực tế cho phép ta có những lựa chọn đúng đắn phù hợp với từng nhu cầu của ứng dụng

CHƯƠNG 2 MẠNG RIÊNG ẢO TRÊN NỀN CÔNG NGHỆ MPLS

Trong chương này báo cáo luận văn sẽ trình bày về công nghệ MPLS- là một công nghệ đang được ứng dụng rộng rãi hiện nay, khái niệm MPLS, đặc điểm của công nghệ MPLS, phương thức hoạt động MPLS và đi sâu vào ứng dụng MPLS VPN

Vào những thập niên 90, các nhà cung cấp dịch vụ phát triển mạng của họ theo

mô hình chồng lớp bằng cách đưa ra giao thức IP over ATM ATM là một công nghệ hướng kết nối thiết lập các kênh ảo, tuyến ảo tạo thành một mạng logic nằm trên mạng vật lý, giúp định tuyến, phân bổ tải đồng đều trên toàn mạng Tuy nhiên IP và ATM là hai công nghệ hoàn toàn khác nhau, được thiết kế cho những môi trường mạng khác nhau, khác nhau về giao thức, cách đánh địa chỉ, định tuyến, báo hiệu, phân bổ tài nguyên… và khi các nhà cung cấp dịch vụ phát triển mạng theo hướng IP over ATM

họ càng nhận rõ nhược điểm của mô hình này:

- Tính khả chuyển

Một vấn đề mà nhà cung cấp dịch vụ gặp phải là tính khả chuyển Tức là để đảm bảo việc dự phòng và tối ưu trong quá trình định tuyến thì mô hình full mesh của các mạch ảo (VCs) phải được tạo ra mà kết quả có quá nhiều kết nối

Hình 2.1 Full mesh với 6 kết nối ảo

Và càng nhiều các địa điểm thêm vào mạng lõi thì càng cần phải có nhiều kết nối ảo (VCs) được tạo ra Điều đó cũng có nghĩa là các router sẽ phải trao đổi cập nhật bảng thông tin định tuyến với nhiều router liền kề gây ra một sự lưu thông lớn trên mạng Sự quá tải này cũng sẽ làm ảnh hưởng tới hiệu suất của router là làm giảm tốc độ xử lý của chúng

- Điều khiển lưu lượng

Điều khiển lưu lượng là quá trình xử lý mà lưu lượng được vận chuyển một cách tối ưu theo yêu cầu Mặc dù cả hai công nghệ IP và ATM đều có nhưng rõ ràng IP không thể sánh được với ATM về đặc tính này ATM và IP là hai công nghệ hoàn toàn tách biệt nhau cho nên thật khó để kết hợp triển khai điều khiển lưu lượng đầu cuối

- Chất lượng của dịch vụ (QoS)

Cả IP và ATM đều có khả năng đảm bảo chất lượng dịch vụ Một sự khác nhau giữa chúng chính là IP là giao thức không kết nối (connectionless) còn ATM là giao thức có kết nối (connection-oriented)

Vì vậy vấn đề đặt ra ở đây chính là các nhà cung cấp dịch vụ phải làm thế nào để kết hợp được 2 cách triển khai chất lượng dịch vụ thành một giải pháp duy nhất

Chúng ta cũng có thể thấy rõ sự bất cập tồn tại ở chuyển tiếp gói tin ở lớp mạng truyền thống (ví dụ chuyển tiếp gói tin IP qua mạng Internet) Sự chuyển tiếp gói tin dựa trên các thông tin được cung cấp bởi các giao thức định tuyến (ví dụ RIP, OSPF, EIGRP, BGP…), hoặc định tuyến tĩnh để đưa ra quyết định chuyển tiếp gói tin tới bước tiếp theo trong mạng Sự chuyển tiếp này chỉ duy nhất dựa trên địa chỉ đích Tất

cả các gói tin có cùng một đích đến sẽ đi theo cùng một con đường Thông thường là con đường có giá nhỏ nhất điều đó dễ dàng dẫn đến hiện tượng mất cân bằng tải

Hình 2.2 Một ví dụ về mạng IP dựa trên mạng lõi ATM

Để đảm bảo quá trình chuyển tiếp gói tin trong mạng là tối ưu, một mạch ảo ATM phải tồn tại giữa bất kỳ hai router kết nối tới mạng lõi ATM Điều đó có nghĩa là nếu quy mô của mạng lớn, có đến vài chục hoặc thậm chí hàng trăm router kết nối với nhau thì xảy ra một vấn đề khá trầm trọng

Sử dụng các mạch ảo giữa các router là phức tạp bởi vì thật là khó để dự đoán chính xác lưu lượng giữa bất kỳ hai router trong mạng

Mặt khác sự bùng nổ của mạng Internet dẫn tới xu hướng hội tụ các mạng viễn thông khác như mạng thoại, truyền hình dựa trên Internet, khi đó giao thức IP trở thành giao thức chủ đạo trong lĩnh vực mạng Xu hướng của nhà cung cấp dịch vụ là thiết kế và sử dụng các router chuyên dụng với dung lượng truyền tải lớn hỗ trợ các giải pháp tích hợp, chuyển mạch đa lớp cho mạng trục Internet Nhu cầu cấp thiết trong bối cảnh này là phải ra đời một công nghệ lai có khả năng kết hợp những đặc điểm tốt của chuyển mạch kênh ATM và chuyển mạch gói IP

Công nghệ MPLS ra đời trong bối cảnh đáp ứng nhu cầu của thị trường theo đúng tiêu chí phát triển của Internet đã mang lại những lợi ích thiết thực, đánh dấu một

bước phát triển mới của Internet trước xu thế tích hợp công nghệ thông tin và viễn thông

2.2 Chuyển mạch nhãn đa giao thức là gì?

2.2.1 Khái niệm

Chuyển mạch nhãn đa giao thức (Multiprotocol Label Switching – MPLS) là một công nghệ được đưa ra với mục đích giải quyết nhiều vấn đề đang tồn tại liên quan tới chuyển mạch gói trong môi trường kết nối Internet

MPLS là một công nghệ kết hợp đặc điểm tốt nhất giữa định tuyến lớp ba và chuyển mạch lớp hai cho phép chuyển tải các gói rất nhanh trong mạng lõi (core) và định tuyến tốt ở mạng biên (edge) bằng cách dựa vào nhãn (label) MPLS là một phương pháp cải tiến việc chuyển tiếp gói trên mạng bằng các nhãn được gắn với mỗi gói IP, tế bào ATM, hoặc frame lớp hai Phương pháp chuyển mạch nhãn giúp các Router và MPLS-enable ATM switch ra quyết định theo nội dung nhãn tốt hơn việc định tuyến phức tạp theo địa chỉ IP đích MPLS kết nối tính thực thi và khả năng chuyển mạch lớp hai với định tuyến lớp ba Cho phép các nhà cung cấp dịch vụ cung cấp nhiều dịch vụ khác nhau mà không cần phải bỏ đi cơ sở hạ tầng sẵn có Cấu trúc MPLS có tính mềm dẻo trong bất kỳ sự phối hợp với công nghệ lớp hai nào MPLS hỗ trợ mọi giao thức lớp hai, triển khai hiệu quả các dịch vụ IP trên một mạng chuyển mạch IP MPLS hỗ trợ việc tạo ra các tuyến khác nhau giữa nguồn và đích trên một đường trục Internet Bằng việc tích hợp MPLS vào kiến trúc mạng, Các nhà cung cấp dịch vụ có thể giảm chi phí, tăng lợi nhuận, cung cấp nhiều hiệu quả khác nhau và đạt được hiệu quả cạnh tranh cao

2.2.3 Một số khái niệm cơ bản trong kiến trúc MPLS

2.2.3.1 Nhãn

Nhãn là một khung nhận dạng ngắn, chiều dài cố định Nhãn không tực tiếp mã

hóa thông tin của header như địa chỉ lớp mạng Nhãn được gói vào một gói tin cụ thể

sẽ đại diện cho một FEC mà gói tin đó đã được ấn định

Có hai kiểu nhãn

Kiểu khung:

Hình 2.3 Nhãn kiểu khung

Kiểu khung là thuật ngữ khi chuyển tiếp một gói với nhãn gắn trước tiêu đề lớp

ba Một nhãn được mã hoá với 20bit, nghĩa là có thể có 220 giá trị khác nhau Một gói

có nhiều nhãn, gọi là chồng nhãn (label stack) Ở mỗi chặng trong mạng chỉ có một

nhãn bên ngoài được xem xét Hình trên mô tả định dạng tiêu đề của MPLS

- Kiểu tế bào

Thuật ngữ này dùng khi có một mạng gồm các ATM LSR dùng MPLS trong

mặt phẳng điều khiển để trao đổi thông tin VPI/VCI thay vì dùng báo hiệu ATM

Trong kiểu tế bào, nhãn là trường VPI/VCI của tế bào Sau khi trao đổi nhãn

trong mặt phẳng điều khiển, ở mặt phẳng chuyển tiếp, bộ định tuyến ngõ vào (ingress

router) phân tách gói thành các tế bào ATM, dùng giá trị VCI/VPI tương ứng đã trao

đổi trong mặt phẳng điều khiển và truyền tế bào đi Các ATM LSR ở phía trong hoạt

động như chuyển mạch ATM – chúng chuyển tiếp một tế bào dựa trên VPI/VCI vào

và thông tin cổng ra tương ứng Cuối cùng, bộ định tuyến ngõ ra (egress router) sắp

xếp lại các tế bào thành một gói

Bảng này gồm những trường sau

Hình 2.4 Nhãn kiểu tế bào

GFC(generic Flow Control): Điều khiển luồng chung

VPI(Vitual Parth Identifier): Nhận dạng đường ảo

VCI ( Vitual Chanel Identifier): Nhận dạng kênh ảo

PT ( Payload Type) chỉ thị kiểu trường tin

CLP (Cell loss Priority) chức năng chỉ thị ưu tiên huỷ bỏ tế bào

HEC ( Header Error Check) : Kiểm tra lỗi tiêu đề

2.2.3.3 Lớp chuyển tiếp tương đương FEC ( Forward Equivalence Class)

FEC mô tả sự kết hợp các gói tin có cùng địa chỉ đích của người nhận cuối thành các lớp để có những chính sách xử lý tương ứng Giá trị FEC trong gói tin có thể thiết lập mức độ ưu tiên cho việc điều khiển gói nhằm hỗ trợ hiệu quả hoạt động của QoS (Quality of Service) Đối với các dịch vụ khác nhau thì các FEC khác nhau với các thông số ánh xạ khác nhau Việc ánh xạ một gói vào một FEC có thể đạt được nhờ vào một số thông số sau:

2.2.3.4 Đường chuyển mạch nhãn LSP ( label Switching Parth)

Đường chuyển mạch nhãn được thiết lập từ ingress LSR (ingress Label S=witching Router – dữ liệu đầu vào là gói IP truyền thống, ingress LSR sẽ ấn định nhãn cho gói thông tin này) đến egress LSR (egress Label Switching Router – gỡ bỏ nhãn cho gói

dữ liệu khi ra khỏi mạng lõi MPLS) LSP được xây dựng bằng các giao thức như LDP (Label Distributed Protocol), RSVP (Resource Reservation Protocol),…

Một LSP nối từ đầu cuối đến đầu cuối gọi là đường hầm LSP (LSP tunnel) – liên kết các đoạn LSP giữa các nút

2.2.3.5 Cơ sở thông tin nhãn LIB ( label Information Base)

Mỗi LSR phải xây dựng một bảng thông tin sử dụng cho việc định tuyến và chuyển tiếp các gói tin trong mạng Trong bảng sẽ chứa những thông tin liên quan đến nhãn, địa chỉ, trạm kế,… để xác định rõ ràng cách thức chuyển tiếp của gói dữ liệu như thế nào

2.2.3.6 Một số khái niệm khác

LSR - Label Switch Router là các router hoặc switch triển khai phân phối nhãn và

có thể chuyển tiếp các gói dựa trên các nhãn Chức năng cơ bản của quá trình phân phối nhãn này cho phép một LSR phân phối nhãn thông tin chuyển tiếp của nó tới các LSRs khác trong mạng MPLS

Có một vài loại LSR khác nhau và chúng được phân biệt nhờ chức năng của chúng trong cơ sở hạ tầng mạng Sự khác nhau giữa các loại LSR chỉ là cấu trúc bởi một loại

có thể đóng nhiều vai trò khác nhau

Chúng ta có thể tóm tắt các chức năng của các loại LSR Chú ý rằng bất kỳ một thiết bị trên mạng nào có thể có nhiều hơn một chức năng (một thiết bị có thể vừa là LSR biên vừa là ATM LSR biên

Kiểu LSR Chức năng

LSR Chuyển tiếp các gói tin đã được gán nhãn

LSR biên - Có thể nhận một gói tin IP, thực hiện kiểm tra lớp 3, và gán một

ngăn xếp nhãn trước khi chuyển tiếp gói vào miền MPLS

- Có thể nhận một gói IP, thực hiện việc kiểm tra ở lớp 3, chuyển tiếp gói IP tới điểm tiếp theo (next-hop)

ATM-LSR - Chạy các giao thức MPLS trong mặt phẳng điều khiển để tạo ra

2.2.4 Phương thức hoạt động của công nghệ MPLS

- MPLS hoạt động trong lõi của mạng IP Các Router trong lõi phải kích hoạt MPLS trên từng giao tiếp Nhãn được gắn thêm vào gói IP khi gói đi vào mạng MPLS Nhãn được tách ra khi gói ra khỏi mạng MPLS Nhãn (Label) được chèn vào giữa header lớp ba và header lớp hai Sử dụng nhãn trong quá trình gửi gói sau khi đã thiết lập đường đi MPLS tập trung vào quá trình hoán đổi nhãn Một trong những thế mạnh của khiến trúc MPLS là tự định nghĩa chồng nhãn

- Công thức để gán nhãn gói tin là:

Network Layer Packet + MPLS Label Stack

- Không gian nhãn (Label Space): có hai loại Một là, các giao tiếp dùng chung giá trị nhãn (per-platform label space) Hai là, mỗi giao tiếp mang giá trị nhãn riêng, (Per-interface Label Space)

- Bộ định tuyến chuyển nhãn (LSR – Label Switch Router): ra quyết định chặng kế tiếp dựa trên nội dung của nhãn, các LSP làm việc ít và hoạt động gần giống như Switch

- Con đường chuyển nhãn (LSP – Label Switch Path): xác định đường đi của gói tin MPLS Gồm hai loại: Hop by hop signal LSP - xác định đường đi khả thi nhất và Explicit route signal LSP - xác định đường đi từ nút gốc

Sự khác nhau cơ bản giữa MPLS và các công nghệ WAN truyền thống chính là cách mà các nhãn được gán và khả năng mang một ngăn xếp của các nhãn cho một gói tin Khái niệm ngăn xếp nhãn cho phép chúng ta có nhiều ứng dụng mới ví dụ như Điều khiển lưu lượng (Traffic Engineering), Mạng riêng ảo (Virtual Private Network – VPN )…

các mạch ảo ATM, và chuyển tiếp các tế bào tới ATM-LSR ở điểm tiếp theo(next-hop)

ATM

LSR-biên

- Có thể nhận 1 gói đã được gán nhãn hoặc chưa, chia nó thành các

tế bào ATM và chuyển tiếp các tế bào tới ATM-LSR tiếp theo

- Có thể nhận các tế bào ATM từ một ATM-LSR kề cận, lắp ghép các tế bào này trở lại gói tin gốc và sau đó chuyển tiếp gói tin này dưới dạng đã được gán nhãn hoặc chưa

Cấu trúc của một nút MPLS bao gồm 2 mặt thành phần: thành phần chuyển tiếp (hay còn được gọi là mặt phẳng dữ liệu) và thành phần điều khiển (còn được gọi là mặt phẳng điều khiển) Thành phần chuyển tiếp sử dụng một cơ sở dữ liệu chuyển tiếp nhãn để chuyển tiếp dữ liệu dựa trên các nhãn đi kèm với gói tin Thành phần điều khiển chịu trách nhiệm tạo và duy trì các thông tin chuyển tiếp nhãn (còn được gọi là bindings ) giữa nhóm các chuyển mạch nhãn với nhau

Tất cả các nút MPLS phải chạy một hoặc nhiều giao thức định tuyến IP (hoặc dựa trên định tuyến tĩnh) để có thể trao đổi thông tin định tuyến với các nút MPLS khác trên mạng Theo đó, mỗi một nút MPLS (bao gồm cả chuyển mạch ATM) là một router trên mặt phẳng điều khiển

Hình 2.5 Cấu trúc cơ bản của một nút MPLS

Tương tự như các router truyền thống, các giao thức định tuyến IP sẽ dùng để xây dựng nên bảng định tuyến Bảng định tuyến IP được sử dụng để đẩy gói tin đi

Tại một nút MPLS, bảng định tuyến được sử dụng để xác định việc trao đổi thông tin nhãn chuyển tiếp, nơi mà các nút MPLS kề cận với nó trao đổi các nhãn cho các mạng con (subnets) cụ thể được chứa trong bảng định tuyến

Các quá trình điều khiển định tuyến MPLS IP (MPLS IP Routing Control) sử dụng các nhãn để trao đổi với các nút MPLS cạnh nó để tạo ra bảng chuyển tiếp nhãn (Label Forwarding Table), bảng này là vùng cơ sở dữ liệu được sử dụng để chuyển tiếp các gói được gán nhãn qua mạng MPLS

Tạo nhãn ở mạng biên

Các gói tin phải được đánh nhãn trước khi chuyển tiếp tới miền mạng MPLS

Để thực hiện được nhiệm vụ này, LSR biên phải biết nơi gói tin được đánh tiêu đề,

hoặc ngăn xếp nhãn, nó phải khai báo cho gói tin Để chuyển tiếp gói tin IP lớp 3 tới chặng tiếp theo, nó kiểm tra trong bảng định tuyến địa chỉ IP đích được chứa trong tiêu

đề lớp 3 của gói tin Sau đó lựa chọn bước tiếp theo để chuyển tiếp gói tin Và cứ như thế cho đến khi gói tin đi đến đích

Có 2 cách để gói IP tới chặng tiếp theo Cách thứ nhất là toàn bộ các gói được coi là như nhau khi chuyển qua mạng Cách thứ hai là ánh xạ từng địa chỉ IP đích tới một IP của chặng tiếp theo Trong mạng MPLS cách thứ nhất được gọi là nhóm chuyển tiếp tương đương – FECs (Forwarding Equivalence Classes) FEC là một nhóm các gói, nhóm các gói này chia sẻ cùng yêu cầu trong sự chuyển tiếp chúng qua mạng Tất cả các gói trong một nhóm như vậy được cung cấp cùng cách chọn đường tới đích Khác với chuyển tiếp IP truyền thống, trong MPLS việc gán một gói cụ thể vào một FEC cụ thể chỉ được thực hiện một lần khi các gói vào trong mạng MPLS không ra quyết định chuyển tiếp với mỗi datagram ( một gói thông tin và cả thông tin bàn giao kết hợp thường là địa chỉ ) lớp 3 mà sử dụng khái niệm FEC FEC phụ thuộc vào một số các yếu tố, ít nhất là phụ thuộc vào địa chỉ IP và có thể là phụ thuộc cả vào kiểu lưu lượng trong datagram (thoại, dữ liệu, fax…) Sau đó dựa trên FEC, nhãn được thoả thuận giữa các LSR lân cận từ lối vào tới lối ra trong một vùng định tuyến Mỗi LSR xây dựng một bảng để xác định xem một gói phải được chuyển tiếp như thế nào Bảng này được gọi là cơ sở thông tin nhãn (LIB: Label Information Base), nó là

tổ hợp các ràng buộc FEC với nhãn (FEC-to-label) Và nhãn lại được sử dụng để chuyển tiếp lưu lượng qua mạng

Một cách để phân chia lưu lượng vào trong các FEC là tạo một FEC riêng biệt cho mỗi tiền tố địa chỉ xuất hiện trong bảng định tuyến Cách này có thể tạo

ra một tập hợp các FEC cho phép cùng đi một đường tới đích Theo cách này thì bên trong một miền MPLS, sẽ có nhiều FEC riêng biệt và như thế sẽ không hiệu quả Trên thực tế MPLS hợp nhất những FEC đó thành một FEC duy nhất

Hình 2.6 Các FEC riêng biệt cho mỗi tiền tố địa chỉ

Egress Node

Hình 2.8 Sự tạo nhãn MPLS và chuyển tiếp

Với cơ chế chuyển tiếp IP truyền thống, thì mỗi gói tin được xử lý tại một chặng trong mạng Tuy nhiên với MPLS, một gói tin cụ thể được gán tới một FEC cụ thể, và được thực hiện tại thiết bị mạng biên khi mà gói tin tham gia vào mạng Nhóm chuyển tiếp tương đương cho mỗi gói được khai báo sau đó mã hóa thành một chỉ số định dạng ngắn có chiều dài cố định, được gọi là nhãn

2.2.5 Chuyển tiếp gói MPLS và đường chuyển mạch nhãn

Mỗi một gói tin khi tham gia mạng MPLS tại LSR vào và ra khỏi mạng MPLS tại một LSR ra Cơ chế này tạo ra Đường chuyển mạch nhãn – Label Switched Path (LSP), được mô tả như là một nhóm các LSRs mà các gói được gán nhãn phải đi qua

để tới LSR đầu ra cho một FEC cụ thể

LSP là một hướng kết nối (connection-oriented) bởi vì đường dẫn được tạo ra trước khi có sự vận chuyển lưu lượng Tuy nhiên, việc thiết lập kết nối này dựa trên thông tin về mô hình mạng hơn là yêu cầu về luồng lưu lượng

Khi gói tin đi qua mạng MPLS, mỗi LSR sẽ hoán đổi nhãn đi vào với một nhãn

đi ra cho đến LSR cuối cùng, được biết đến là LSR ra (giống như cơ chế được sử dụng trong mạng ATM nơi mà một cặp VPI/VCI này được tráo đổi với một cặp VPI/VCI khác khi ra khỏi chuyển mạch ATM)

2.2.5.1 Các ứng dụng của MPLS

Hình 2.9 Các ứng dụng khác nhau của MPLS

MPLS được tạo ra để kết hợp của định tuyến truyền thống và chuyển mạch ATM trong một mạng lõi IP thống nhất ( IP-ATM cấu trúc) Tuy nhiên ưu thế thực sự của MPLS chính là các ứng dụng khác mà nó đem lại, từ điều khiển lưu lượng (Traffic Engineering) tới mạng riêng ảo (Virtual Private Networks) Tất cả các ứng dụng này

sử dụng chức năng miền điều khiển để thiết lập một cơ sở dữ liệu chuyển mạch

2.2.5.2 Điều khiển lưu lượng

Vấn đề quan trọng trong các mạng IP là thiếu khả năng điều khiển linh hoạt các luồng lưu lượng IP để sử dụng hiệu quả dải thông mạng có sẵn Do vậy, thiếu hụt này liên quan đến khả năng gửi các luồng được chọn xuống các đường được chọn ví dụ như chọn các đường trung kế được bảo đảm cho các lớp dịch vụ riêng MPLS sử dụng các đường chuyển mạch nhãn LSP mà có thể được thiết lập trên cả ATM và thiết bị dựa trên gói tin Khả năng kỹ thuật lưu lượng của MPLS sử dụng thiết lập các LSP để điều khiển một cách linh hoạt các luồng lưu lượng IP

vụ IP, RSVP và mạng riêng ảo VPN

2.2.5.4 Hỗ trợ chất lượng dịch vụ

Một thiếu sót của mạng IP so với mạng Frame Relay và ATM, là sự bất lực của chúng để cung cấp dịch vụ thoả mãn nhu cầu lưu lượng Ví dụ lưu lượng thời gian thực như voice hay video cần dịch vụ chất lượng cao (độ trễ luồng thấp, mất luồng thấp…) khi truyền qua mạng Tương tự dữ liệu trong kinh tế thương mại phải được ưu tiên qua trình duyệt web thông thường

Kết nối định hướng mang tính tự nhiên của MPLS cung cấp khung làm việc hợp lý để đảm bảo chất lượng lưu lượng IP Trong khi QoS và lớp dịch vụ CoS (Class

of Service) không phải là cơ sở đặc biệt của MPLS, chúng có thể ứng dụng trong mạng MPLS khi kỹ thuật lưu lượng được sử dụng Điều này cho phép nhà cung cấp thiết lập hợp đồng mức dịch vụ SLA (Service Level Agreements) với khách hàng để đảm bảo dịch vụ như độ rộng băng thông, độ trễ, mức thất thoát Dịch vụ giá trị gia tăng có thể được phân phối bổ sung như truyền tải dữ liệu cơ sở, tăng thu nhập và cuối cùng cho tiến tới mạng hội tụ

Intserv and Diffserv, qua thời gian một số kỹ thuật được phát triển để thiết lập QoS/CoS trong một mạng Trong mô hình dịch vụ tích hợp Intserv (Integrated Services), RSVP đã phát triển thủ tục báo hiệu QoS qua một mạng, cho phép thiết bị sắp xếp và thiết lập thông số lưu lượng đảm bảo như độ rộng băng thông và độ trễ đầu cuối - đầu cuối Nó sử dụng nguồn tài nguyên tại chỗ, đảm bảo dịch vụ xuống theo luồng cơ sở Mô hình dịch vụ khác nhau Diffserv (Differentiated Services) giảm bớt cứng nhắc, cung cấp phân phối CoS để đối xử như nhau đối với lớp lưu lượng có mức

ưu tiên như nhau, nhưng không có báo hiệu hay đảm bảo dịch vụ đầu cuối đầu cuối Diffserv định nghĩa lại kiểu dịch vụ ToS (Type of Service) trong tiêu đề gói IP để cung cấp sự phân loại này

Trong khi Intserv đảm bảo độ rộng băng lưu lượng, nó xác nhận không thể tăng hay thực hiện hoạt động qua mạng lớn IETF kết hợp Difserv và kỹ thuật lưu lượng MPLS để cung cấp QoS đảm bảo trong mạng MPLS Thông tin Diffserv trong tiêu đề gói IP được ánh xạ trong thông tin nhãn của gói MPLS Bộ định tuyến MPLS cập nhật thông tin ưu tiên để truyển tiếp dữ liệu thích hợp Một số cơ chế sử dụng gồm chia sẻ lưu lượng, đợi, và phân loại gói

QoS thực hiện ở biên của đám mây MPLS, ở nơi lưu lượng phi nhãn từ mạng khách hàng đi vào mạng truyền thông Tại cổng vào này, lưu lượng thời gian thực dễ

bị ảnh hưởng như lưu lượng định dạng voice IP hay hội nghị video có thể được ưu tiên phân phát qua sự chuyển giao dữ liệu lớn

2.2.5.5 Mạng riêng ảo

Dịch vụ VPN là dịch vụ mạng Intranet và Extranet mà các mạng đó được cung cấp bởi nhà cung cấp dịch vụ đến nhiều tổ chức khách hàng MPLS kết hợp với giao thức BGP cho phép một nhà cung cấp mạng hỗ trợ hàng nghìn VPN của khách hàng Như vậy, mạng MPLS cùng với BGP tạo ra cách thức cung cấp dịch vụ VPN trên cả ATM và các thiết bị dựa trên gói tin rất linh hoạt, dễ mở rộng quy mô và dễ quản lý Thậm chí trên các mạng của nhà cung cấp khá nhỏ, khả năng linh hoạt và dễ quản lý của các dịch vụ BGP/MPLS VPN là ưu điểm chủ yếu

Không giống như các mạng VPN truyền thống, các mạng MPLS VPN không sử dụng hoạt động đóng gói và mã hóa gói tin để đạt được mức độ bảo mật cao MPLS VPN sử dụng bảng chuyển tiếp và các nhãn “tags” để tạo nên tính bảo mật cho mạng VPN Kiến trúc mạng loại này sử dụng các tuyến mạng xác định để phân phối các dịch

vụ VPN, và các cơ chế xử lý thông minh của MPLS VPN lúc này nằm hoàn toàn trong phần lõi của mạng

Trước tiên, ta hãy xem xét một số thuật ngữ được dùng trong mạng MPLS VPN Thiết bị CPE trong MPLS-VPN chính là các CE (Customer Edge) router và các

CE router này được nối với mạng của nhà cung cấp dịch vụ thông qua các PE (Provider Edge) router Một mạng VPN sẽ bao gồm một nhóm các CE router kết nối với các PE router của nhà cung cấp dịch vụ Tuy nhiên, chỉ những PE router mới có khái niệm về VPN, còn các CE router thì không “nhận thấy” những gì đang diễn ra bên trong mạng của nhà cung cấp dịch vụ và sẽ coi như chúng đang được kết nối với nhau thông qua một mạng riêng

Mỗi VPN được kết hợp với một bảng định tuyến - chuyển tiếp VPN (VRF) riêng biệt VRF cung cấp các thông tin về mối quan hệ trong VPN của một mạng khách hàng khi được nối với PE router Bảng VRF bao gồm thông tin bảng định tuyến IP (IP routing table), bảng CEF (Cisco Express Forwarding), các giao diện của bảng định tuyến; các quy tắc, các tham số của giao thức định tuyến Mỗi mạng chỉ có thể kết hợp với một và chỉ một VRF Các VRF của mạng khách hàng mang toàn bộ thông tin về các “tuyến” có sẵn từ mạng tới VPN mà nó là thành viên

Đối với mỗi VRF, thông tin sử dụng để chuyển tiếp các gói tin được lưu trong các bảng định tuyến IP và bảng CEF Các bảng này được duy trì riêng rẽ cho từng VRF nên nó ngăn chặn được hiện tượng thông tin bị chuyển tiếp ra ngoài mạng VPN cũng như ngăn chặn các gói tin bên ngoài mạng VPN chuyển tiếp vào các router bên trong mạng VPN đây chính là cơ chế bảo mật của MPLS VPN Bên trong mỗi một MPLS VPN, có thể kết nối bất kỳ hai điểm nào với nhau và các mạng có thể gửi thông tin trực tiếp cho nhau mà không cần thông qua mạng trung tâm

Tham số phân biệt tuyến RD (Route Distinguisher) giúp nhận biết các địa chỉ IP thuộc VPN riêng biệt nào Xét mô hình mạng như hình dưới, có 3 VPN khác nhau và được xác định bởi các RD: 10, 20 và 30 Một mạng MPLS có thể hỗ trợ hàng trăm đến hàng nghìn VPN Phần bên trong của kiến trúc mạng MPLS VPN được kết cấu bởi các thiết bị của nhà cung cấp Những thiết bị này hình thành mạng lõi (core) MPLS và không được nối trực tiếp đến các CE router Các chức năng VPN của một mạng MPLS-VPN sẽ được thực hiện bởi các PE router bao quanh mạng lõi này Cả P router

và PE router đều là các bộ định tuyến chuyển mạch nhãn LSR (Label Switch Router) trong mạng MPLS Các site khách hàng có thể được kết nối với các PE router bằng nhiều cách khác nhau như T1, Frame Relay, DSL, ATM, v.v

Hình 2.10 Mô hình mạng MPLS

Trong một mạng MPLS VPN, site phía khách hàng sẽ sử dụng IP thông thường

mà không cần biết đến MPLS, IPSec hay bất cứ một chức năng VPN đặc biệt nào

Tại các PE router, một cặp VRF và RD sẽ tương ứng với mỗi liên kết đến site của khách hàng (customer site) Liên kết này có thể là một liên kết vật lý T1, Frame Relay hay ATM VC, DSL Giá trị RD sẽ hoàn toàn “ẩn” và sẽ không được cấu hình tại các thiết bị của khách hàng

Sau đây ta xét một ví dụ cụ thể đường đi của một gói tin trong mạng VPN của khách hàng từ PC A thuộc site A tới PC B thuộc site B thông qua mạng MPLS

- Gói tin đến từ site A của PE router R1 như một gói IP thông thường với địa chỉ đích 10.2.1.100 Site này thuộc mạng VPN với RD:10

- R1 sẽ tra cứu bảng chuyển tiếp VPN của nó và dựa vào bảng này để gán nhãn cho gói tin, trong trường hợp này là nhãn 56 Nhãn này mang thông tin về đích đến của gói tin trong mạng VPN với RD:10

10 10.1.0.0/16 216.70.128.216 318

- LSR1 tiếp nhận gói tin và thưc hiện hoạt động chuyển mạch nhãn thông thường Trong ví dụ này, LSR1 tráo đổi nhãn 188 với nhãn 62, sau đó chuyển tiếp gói tin đến LSR2

- LSR2 tiếp nhận gói tin và thực hiện chức năng Penultimate Hop Popping bởi

vì đây là chặng cuối cùng trước khi gói tin đến PE đích, LSR2 sẽ loại bỏ nhãn (62) và gửi gói tin tới R2 với nhãn 56

- Sau khi R2 tiếp nhận gói tin, nó sẽ tra nhãn 56 trong bảng chuyển tiếp VPN, trong trường hợp này, nhãn sẽ tương ứng với RD:10 Sau đó, R2 tham chiếu địa chỉ IP trong gói tin để xác định ra đích đến là RD:10 với địa chỉ IP 10.2.1.100 R2 xác định RD:10 và địa chỉ IP:10.2.1.100 là thuộc site được liên kết trực tiếp với R2 bởi một liên kết IP thông thường nên nó sẽ loại bỏ nhãn và chuyển tiếp gói IP tới site đó

Một trong những ưu điểm lớn nhất của các MPLS VPN là không đòi hỏi các thiết bị CPE thông minh bởi vì toàn bộ các chức năng VPN được thực hiện ở phía

trong mạng lõi của nhà cung cấp dịch vụ và hoàn toàn “trong suốt” đối với các CPE Các CPE không đòi hỏi chức năng VPN và hỗ trợ IPSec điều này có nghĩa là khách hàng không phải chi phí quá cao cho các thiết bị CPE

Trễ trong mạng được giữ ở mức thấp nhất vì các gói tin lưu chuyển trong mạng không phải thông qua các hoạt động như đóng gói và mã hóa Sở dĩ không cần chức năng mã hóa là vì MPLS VPN tạo nên một mạng riêng Phương pháp bảo mật này gần giống như bảo mật trong mạng Frame Relay Thậm chí trễ trong MPLS VPN còn thấp hơn là trong mạng MPLS IP sử dụng chuyển mạch nhãn

Việc tạo một mạng đầy đủ (full mesh) VPN là hoàn toàn đơn giản vì các MPLS VPN không sử dụng cơ chế tạo đường hầm Vì vậy, cấu hình mặc định cho các mạng MPLS VPN là full mesh, trong đó các site được nối trực tiếp với PE vì vậy các site bất

kỳ có thể trao đổi thông tin với nhau trong VPN Và thậm chí, nếu site trung tâm gặp trục trặc, các spoke site vẫn có thể liên lạc với nhau

Hoạt động khai thác và bảo dưỡng cũng đơn giản hơn trong mạng MPLS-VPN Hoạt động này chỉ cần thực hiện tại các thiết bị bên trong mạng core mà không cần phải tiếp xúc đến các CPE Một khi một site đã được cấu hình xong, ta không cần đụng chạm đến nó nữa cho dù nếu muốn thêm một site mới vào mạng vì những thay đổi về cấu hình lúc này chỉ cần thực hiện tại PE mà nó nối tới

Vấn đề bảo mật thậm chí còn đơn giản hơn nhiều khi triển khai trong các mạng MPLS VPN vì một VPN khép kín bản thân nó đã đạt được sự an toàn thông tin do không có kết nối với mạng Internet công cộng Nếu có nhu cầu truy nhập Internet, một tuyến sẽ được thiết lập để cung cấp khả năng truy nhập Lúc này, một firewall sẽ được

sử dụng trên tuyến này để đảm bảo một kết nối bảo mật cho toàn bộ mạng VPN Cơ chế hoạt động này rõ ràng dễ dàng hơn nhiều cho hoạt động quản lý mạng vì chỉ cần duy trì các chính sách bảo mật cho một firewall duy nhất mà vẫn đảm bảo an toàn cho toàn bộ VPN

Một ưu điểm nữa của các mạng MPLS VPN là chỉ cần một kết nối duy nhất cho mỗi remote site So sánh với mạng Frame Relay truyền thống có 1 nút trung tâm và 10 remote site (mỗi một remote site sẽ cần một Frame Relay PVC) thì tại nút trung tâm (hub) sẽ cần 10 PVCs Trong khi bên trong một mạng MPLS VPN chỉ cần duy nhất một PVC tại vị trí hub trung tâm nên chi phí mạng sẽ giảm đáng kể

việc phân tích phương thức hoạt động của MPLS VPN ta thấy nó có nhiều ưu điểm hơn so với các dịch vụ VPN truyền thống:

Riêng biệt và bảo mật: MPLS VPN giữ các thông tin định tuyến riêng biệt cho mỗi VPN, đảm bảo người dùng chỉ có thể liên lạc được với các địa chỉ đã được lập sẵn cho VPN của mình

Độc lập với khách hàng: MPLS VPN có cách đánh địa chỉ (gán nhãn trong mạng MPLS) hết sức linh hoạt, người dùng có thể sử dụng bất cứ dải địa chỉ nào (kể

cả các địa chỉ kiểm tra hoặc các địa chỉ không được đăng ký) hoặc có thể sử sụng NAT (Network Address Translation) Mặt khác, người dùng còn có thể sử dụng các dải địa chỉ trùng hoặc giống nhau Một điểm nổi bật khác là mạng của người dùng không yêu cầu các thiết bị hỗ trợ MPLS, các thiết bị đắt tiền như VPN Router với IP Sec hoặc bất

cứ yêu cầu đặc biệt nào khác ngoài IP

Linh hoạt và khả năng phát triển: Với các dịch vụ VPN dựa trên IP, số lượng router trên mạng tăng nhanh chóng theo số lượng các VPN VPN sẽ phải chứa các bảng định tuyến ngày một lớn MPLS VPN sử dụng một tập các BGP (Border Gateway Protocol) ngang hàng giữa các LSR cạnh (Edge LSR), cho phép số lượng VPN không hạn chế và hỗ trợ nhiều dạng VPN, dễ dàng tạo thêm các VPN hoặc site mới (chỉ cần thực hiện tại router của site mới)

Như vậy MPLS là một trong những giải pháp mạng đường trục cho mạng thế

hệ mới, hiện xu hướng phát triển của MPLS là ATOM (Any traffic Over MPLS), nghĩa là có khả năng đáp ứng bất cứ loại dịch vụ nào: thoại, video, fax, data MPLS VPN sẽ là một thị trường đầy tiềm năng và hứa hẹn mang lại nhiều lợi ích cho cả người dùng và nhà cung cấp dịch vụ viễn thông

Ngày nay, tuy VPN vẫn đang còn là một công nghệ mới mẻ ở Việt nam, nhưng việc đầu tư nghiên cứu để chọn giải pháp tối ưu cũng là điều nên làm đối với các nhà cung cấp dịch vụ mạng./