Tác giả:
+ Nguyễn Thị Băng Tâm
5.1. Phân tích các bước cấuhình trên router của Cisco
Trong đề tài này sử dụng thiết bị router của Cisco để mô phỏng mạng MPLS/VPN. Mạng
MPLS là mạng chuyển mạch nhãn, thích hợp cho môi trường truyền dẫn tốc độ cao. Do
đó, trong thực tế khi triển khai mô hìnhmạng này sử dụng các router dùng cho mạng lõi
như router dòng 7200, router dòng 12000…
Đặc điểm của router Cisco giống như một máy tính, nó cần phải có hệ điều hành cài đặt
vào. Hệ điều hành trong các thiết bị của Cisco được gọi là IOS. Tùy vào từng IOS mà có
thể đáp ứng từng hoạt động dịch vụ khác nhau. Đối với MPLS, cần sử dụng IOS phiên
bản dành Enterprise Plus (phiên bản js).
Tuy nhiên, trong đề tài này, việc cấuhìnhmạng MPLS/VPN chỉ là cấuhình trong phòng
thí nghiệm, do đó sử dụng các router nhỏ như router series 2600, hay router series 2500.
Trước khi đi vào phần làm lab, ta đi tìm hiểu các bước cấuhình VPN và QoS, TE cần
thiết trong mạng MPLS.
5.1.1. Cấuhình VPN trong mạng MPLS
Các bước cấuhình VPN tại router PE:
• Bước 1: Khi báo VRF trong router PE
• Bước 2: Cấuhình phiên MP-BGP giữa các router PE.
• Bước 3: Cấuhình định tuyến giữa router PE và CE.
• Bước 4: Kiểm tra, giám sát hoạt động MPLS/VPN
5.1.1.a. Khai báo VRF trong router PE
Khai báo VRF theo sơ đồ sau :
Trình tự khai báo gồm các bước như sau:
• Tạo bảng VRF
• Đăng kí Route Distinguisher cho VRF
• Chỉ ra các giá trị Route target xuất và nhập
• Đăng kí VRF vào interface.
• Tạo bảng VRF
Sử dụng câu lệnh: router(config)# ip vrf vrf_name
vrf_name là tên của vrf cần tạo, tên của vrf là case-sensitive, tức là có sự phân biệt chữ
thường và chữ hoa. Nó chỉ có ý nghĩa cục bộ
Muốn xoá vrf ra khỏi router: no ip vrf vrf_name
Đăng kí RD
VRF sẽ không hoạt động nếu không có giá trị RD đăng kí cho nó. Đăng kí rd vào VRF
bằng câu lệnh sau: rd route-distinguisher
+ Mỗi VRF chỉ có một giá trị rd duy nhất.
+ Có thể sử dụng format ASN:nn hoặc A.B.C.D:nn để đăng kí cho RD.
+ Chỉ ra giá trị Route Target import và export
Để tạo route-target extended community cho VRF, sử dụng câu lệnh route-target trong
submode của vrf. Để tắt cấuhình route-target, sử dụng lệnh no.
route-target {import | export | both} route-target-ext-community
no route-target {import | export | both} route-target-ext-community
+ Import: nhập thông tin định tuyến từ target VPN extended community
+ Export: xuất thông tin định tuyến đến target VPN extended community
+ Both: nhập cả thông tin định tuyến nhập và xuất đến target VPN extended community.
+ Route-tartget-ext-community: là giá trị của route-target, format của route-target cũng
tương tự như route-distinguisher, có thể là AS:nn hoặc A.B.C.D:nn.
+ Đăng kí interface vào VRF
Sử dụng câu lệnh ip vrf forwarding trong mode interface:
Router(config)# ip vrf forwarding vrf-name
+ Khi áp đặt interface vào vrf, địa chỉ ip trên interface sẽ bị loại bỏ đi, lúc đó ta cần cấu
hình lại địa chỉ ip.
+ Chuyển mạch CEF phải được bật lên trên interface.
5.1.1.b. Cấuhình phiên MP-BGP giữa các router PE
+ Cấuhình BGP address family.
+ Cấuhình láng giềng MP-BGP.
+ Kích hoạt láng giềng BGP đã được cấuhình cho việc trao đổi route VPNv4.
+ Chỉ ra các tham số cho việc trao đổi route VPNv4 (như filter, next-hop v.v…)
+ Cấuhình address family
Cấu hình address family để lựa chọn routing context mà ta muốn sử dụng. Bao gồm các
bước sau:
+ Cấuhình tiến trình định tuyến BGP global:
Router(config)# router bgp autonomous-system
Để vào submode address family để cấuhình các giao thức định tuyến như BGP, RIPv2,
và định tuyến tĩnh, sử dụng câu lệnh address-family. Để tắt tính năng này thì sử dụng no
phía trước câu lệnh.
+ Cấuhình trao đổi các prefix vpnv4:
address-family vpnv4 [unicast]
no address-family vpnv4 [unicast]
+ Cấuhình các tham số trên vrf giữa PE và CE:
address-family ipv4 [unicast] vrf vrf-name
address-family ipv4 [unicast] vrf vrf-name
+ Cấuhình láng giềng MP-BGP
Tất cả láng giềng MP-BGP phải được cấuhình ở mode cấuhình định tuyến global BGP.
Phiên MP-BGP phải chạy giữa các interface loopback.
Câu lệnh như sau:
router(config)#
+ Cấuhình dành cho việc trao đổi các route VPNv4
router(config-router)#address-family vpnv4
router(config-router-af)#neighbor {ip-address| peer-group-name} activate
+ Kích hoạt việc trao đổi route vpnv4
router(config-router-af)#neighbor ip-address send-community [extended| both]
+ Được sử dụng để truyền community extended BGP và standard BGP gắn vào VPNv4.
Trong đó, community extended BGP phải được trao đổi giữa các láng giềng MP-BGP với
nhau.
router(config-router)#no bgp default ipv4 unicast
+ Việc trao đổi route Ipv4 giữa các BGP láng giềng được bật lên mặc định, mỗi láng
giềng được cấuhình sẽ nhận route Ipv4 bên cạnh route VPNv4. Sử dụng câu lệnh này khi
trên cùng một router mang cả các route internet và route VPNv4, và ta không muốn
truyền route internet đến router PE khác.
5.1.1.c. Cấuhình định tuyến giữa router PE và router CE
Mỗi khách hàng có thể chạy mỗi giao thức định tuyến riêng biệt khi kết nối vào router
PE. Trên router PE chỉ cần cấuhình trên mỗi VRF thuộc về khách hàng giao thức định
tuyến của riêng họ thì xem như kết nối giữa router PE và CE đã được thành lập. Giao
thức định tuyến per-VRF có thể được cấuhình theo hai cách:
+ Nếu chỉ có BGP hay RIP hay định tuyến tĩnh, các tham số per_VRF sex được chỉ ra
trong routing context, dưới câu lệnh address family.
+ Tiến trình OSPF được cấuhình trên mỗi VRF. Tổng số tiến trình định tuyến trên mỗi
router tối đa là 32.
Cấu hình routing context VRF sử dụng định tuyến tĩnh
Lựa chọn đầu tiên là chạy giao thức định tuyến tĩnh giữa router PE và CE. Thông tin định
tuyến này được redistribute vào BGP để quảng bá qua phiên MP-iBGP. Đây sẽ là lựa
chọn tốt nếu site sử dụng dịch vụ VPN là stub site, tức là chỉ có một điểm entry vào mạng
nhà cung cấp dịch vụ.
Cấu trúc câu lệnh như sau:
ip route vrf vrf-name static route parameters
Cấu hình routing context VRF cho BGP và RIPv2.
+ VRF routing context được lựa chọn bằng câu lệnh address-family ipv4 vrf vrf-name
trong tiến trình định tuyến của RIP và BGP. Tất cả các tham số định tuyến của riêng từng
mỗi giao thức (network number, passive interface, neighbor, filter…) được cấuhình dưới
địa chỉ family này .
+ Cấuhình per-VRF BGP routing context
Khách hàng có thể chạy giao thức định tuyến BGP-4 và trao đổi các route VPNv4 dọc
phiên BGP-4. Với lựa chọn này, tất cả các route được học từ router CE sẽ được quảng bá
vào dọc mạng backbone MPLS/VPN sử dụng phiên MP-iBGP đã tồn tại trước đó giữa
các router PE.
Khi cấu trình BGP giữa PE và CE, như phần trên ta đã thấy, bắt đầu cấuhình per-VRF
BGP với câu lệnh address-family ipv4 vrf vrf-name. Sau khi tiến vào mode cấuhình
address family, ta định nghĩa láng giềng BGP trên cả CE và PE và kích hoạt chúng. Sau
đó cấuhình redistribute từ tất cả các giao thức định tuyến per-VRF khác vào BGP. Chú ý
là luôn cấuhình BGP address-family cho mỗi VRF, và cấuhình redistribute route vào
BGP ngay cả khi không sử dụng BGP là giao thức định tuyến giữa PE và CE.
Một số lưu ý khi cấuhình định tuyến giữa PE và CE:
+ Tắt tính năng BGP synchronization (mặc định là được bật lên).
+ Tắt tính năng auto-summarization (tự động thu gọn subnet lại thành lớp mạng classfull)
(mặc định được bật lên). Mạng MPLS/VPN backbone phải truyền route của khách hàng
như ban đầu, không được thay đổi nó để đảm bảo sự trong suốt định tuyến đầu cuối đến
đầu cuối giữa các site khách hàng.
+ Redistribute các route BGP vào IGP phải được tắt đi (mặc định là được bật lên).
+ Cấuhình định tuyến RIP giữa PE và CE
Cấu hình RIP đơn giản hơn BGP. Cũng như BGP, để cấuhình routing context ta vào
mode cấuhình address-family ipv4 vrf vrf-name. Tất cả các tham số RIP được cấuhình
dưới mode này. Chỉ có RIPv2 mới tính năng address-family.
Các route BGP phải được truyền lại vào RIP nếu ta muốn định tuyến RIP đầu cuối – đầu
cuối trong mạng khách hàng.
IGP metric luôn luôn được copy vào trong thuộc tính MED của BGP route khi route IGP
được redistribute vào BGP. Với giao thức BGP-4 chuẩn, thuộc tính chỉ được sử dụng khi
lựa chọn route, và không được copy ngược vào lại IGP metric. Trong MPLS/VPN đã mở
rộng câu lệnh redistribute – metric transparent – cho phép MED được thêm vào các route
được redistribute như là metric của RIP khi BGP quảng bá route ngược lại vào RIP. Điều
này cho phép ta trong suốt định tuyến RIP giữa đầu cuối khách hàng:
+ Rip hop count được thêm vào attribute MED khi route RIP được ingress router PE
redistribute vào BGP.
+ Giá trị attribute MED (là RIP hop count trước đó) được copy vào RIP hop count, nếu
được cấu hình, khi BGP route được redistribute lại vào RIP. Do đó toàn bộ mạng
backbone MPLS/VPN giống như một hop đơn lẻ đối với các router CE.
Cấu hình định tuyến OSPF giữa router PE và CE
Thông tin định tuyến được học từ các site khách hàng thông qua OSPF được đặt vào VRF
tương ứng với interface ngõ vào giống như các cơ chế mà ta đã thảo luận trên đây. Các
route này sau đó được quảng bá dọc mạng backbone MPLS/VPN giữa các router PE sử
dụng MP-iBGP, và được nhập vào VRF thích hợp trên router PE khác.
Giao thức định tuyến OSPF được thiết kế để hỗ trợ kiến trúc mạng phân tầng với mạng
backbone trung tâm. Mạng chạy OSPF được chia thành các area. Tất cả các area phải kết
nối trực tiếp vào area backbone (area 0). Toàn bộ mạng OSPF (area backbone và các area
khác kết nối vào nó) được gọi là OSPF domain (miền OSPF). Để hỗ trợ kết nối OSPF
giữa PE và CE trong mạng MPLS/VPN, cần phải có sự mở rộng cấu trúc phân tầng trong
OSPF để chạy các tiến trình OSPF độc lập với nhau và học các route từ site khác mà
không cần phải thiết lập mối quan hệ cận kề trực tiếp.
Khác với các giao thức định tuyến khác là chạy các routing context khác nhau nhưng
trong cùng một tiến trình, còn OSPF mỗi VRF chạy mỗi tiến trình định tuyến khác nhau
(tức là có process-ID khác nhau), do đó cần phải có sự cách ly giữa các tiến trình OSPF
trên router PE. Để đáp ứng yêu cầu này, câu lệnh router ospf được mở rộng, có cấu trúc
như sau:
Để truyền được các route của khách hàng qua mạng backbone MPLS thì nó phải được
redistribute vào MP-BGP. Như ta đã biết, bất kì khi nào một route được redistribute vào
OSPF từ giao thức định tuyến khác, nó được xem như là external OSPF route. Trong
mạng MPLS VPN cũng vậy khi khách hàng sử dụng OSPF làm giao thức định tuyến
chạy trên kết nối PE – CE. Các route OSPF được router PE nhận sẽ được truyền dọc
mạng backbone, và được redistribute ngược lại vào OSPF ở site khác như là external
OSPF route.
Một số đặc điểm đối với external OSPF route là:
+ External route không thể summarize.
+ External route được flood đến tất cả các OSPF area khác.
+ External route có thể sử dụng metric type khác, metric này không thích hợp với OSPF
cost.
+ External route không được thêm vào những area nào được xem là stub và not-so-stubby
(NSSA).
+ Các route internal luôn luôn được ưu tiên hơn đối với các route external, bất chấp cost
của chúng như thế nào.
Vì những đặc điểm trên, việc chuyển khách hàng OSPF sử dụng dịch vụ MPLS VPN có
thể gây ra nhiều vấn đề đối với định tuyến khách hàng. Do đó khối kiến trúc MPLS VPN
phải mở rộng mô hình định tuyến OSPF-BGP để hỗ trợ sự trong suốt đối với khách hàng.
Kiến trúc MPLS VPN hỗ trợ mạng backbone qua area 0 (superbackbone). Tức là mạng
MPLS VPN sẽ là superbackbone, còn các site khách hàng khác có thể chạy OSPF ở các
area khác nhau, kể cả area 0. Điều này cho phép area backbone OSPF (area 0) được tách
ra ở các site khách hàng MPLS/VPN.
+ Mạng superbackbone phải đáp ứng được các mục tiêu sau:
- Super-backbone không sử dụng cơ chế redistribute OPSF-BGP chuẩn
- OSPF continity phải được hỗ trợ giữa các site OSPF:
+ Internal route OPSF phải được duy trì là internal route OSPF.
+ External route OSPF phải được duy trì là external route OSPF.
+ Các route không phải là OSPF được redistribute vào OSPF phải xuất hiện như là
external route OSPF trong OSPF.
+ Metric OSPF và metric type (external 1 và external 2) phải được bảo vệ (tức là không
được thay đổi).
- OSPF super-backbone phải trong suốt đối với router CE chạy giao thức OSPF.
Router PE kết nối các area OSPF của khách hàng vào mạng super-backbone sẽ được xem
là ABR trong OSPF area. Các route OSPF intra-area được thêm vào mạng OSPF super-
backbone bằng cách redistribute route OSPF vào MP-BGP. Route summarization có thể
được router PE thực hiện trên biên redistribute. Các route MP-BGP được truyền đến
router PE khác, lúc này nó được truyền vào các OSPF area khác như là inter-area route.
+ Một số quy tắc đối với mạng super-backbone MPLS VPN:
- OSPF super-backbone có có đặc điểm chính xác như area o trong OSPF thông thường.
+ Router PE được xem là Area Border router.
+ Các route được redistribute từ BGP vào OSPF xuất hiện như là inter-area route nếu
route khởi tạo là inter-area hoặc intra-area route, và được xem là external route nếu route
khởi tạo là external route. Ví dụ như các route bắt đầu từ area 0 của site này khi đến area
0 của site khác sẽ được xem là inter-area route.
Bất kì khi nào router PE nhận cập nhật MP-iBGP có các prefix được học thông qua OSPF
do router PE đầu xa gửi tới, nó phải có khả năng nhận diện loại route OSPF nào có trong
cập nhật. Điều này thực sự cần thiết để cho router PE phát ra LSA thích hợp đến router
CE của khách hàng VPN dựa trên loại route OSPF mà nó nhận được. Để hỗ trợ yêu cầu
này, khi router PE truyền route OSPF vào MP-iBGP thông qua redistribute, thuộc tính
BGP Community mở rộng được sử dụng để truyền thuộc tính OSPF của route.
Format của community này được định nghĩa như bảng sau:
Bảng 5.1: Format của thuộc tính Community
. ta đi tìm hiểu các bước cấu hình VPN và QoS, TE cần
thiết trong mạng MPLS.
5.1.1. Cấu hình VPN trong mạng MPLS
Các bước cấu hình VPN tại router PE:. bật lên).
+ Cấu hình định tuyến RIP giữa PE và CE
Cấu hình RIP đơn giản hơn BGP. Cũng như BGP, để cấu hình routing context ta vào
mode cấu hình address-family