MPLS và sử dụng MPLS VPN tạo kết nối mạng riêng tư ảo

MỤC LỤC

Hoạt động của MPLS ở chế độ Frame-mode

Sau khi nhận được frame PPP lớp 2 từ router San Jose, router San Francisco ngay lập tức xác định gói tin vừa nhận được là một gói tin đã được gán nhãn dựa trên giá trị trường giao thức PPP của nó và thực hiện tra cứu trong cơ sở thông tin chuyển tiếp nhãn (Label Forwarding Information – LFIB). Phương pháp lưu giữ này được gọi là kiểu ghi nhớ tự do (liberal retention mode) trái ngược với kiểu ghi nhớ bảo thủ (conservative retention mode), tức là các LSR chỉ giữ lại các nhãn được khai báo cho một prefix bởi các bộ định tuyến phía trước hiện tại của nó, nơi mà LSR chỉ lưu giữ các nhãn được khai báo tới một prefix bởi các router phía trước.

Hình 2. 1: Mô hình chuyển mạch gói tin giữa các bộ định tuyến
Hình 2. 1: Mô hình chuyển mạch gói tin giữa các bộ định tuyến

Hoạt động của MPLS ở chế độ Cell-mode

 ATM LSR biên lối vào nhận một gói tin đã được gán nhãn hoặc chưa, thực hiện việc kiểm tra trên Cơ sở thông tin chuyển tiếp (FIB) hoặc Cơ sở thông tin chuyển tiếp nhãn (LFIB), tìm kiếm một giá trị VPI/VCI đầu ra, giá trị này sẽ được nó sử dụng giống như là nhãn lối ra.  Các ATM-LSR tế bào chuyển mạch dựa trên giá trị VPI/VCI trong tiêu đề tế bào ATM theo cơ chế chuyển mạch tế bào truyền thống, và cơ chế phân phối và phân bổ nhãn này phải phù hợp với việc thiết lập sự chuyển đổi giá trị VPI/VCI nội vùng và ngoại vùng là chính xác.

Hình 3. 3: Cơ chế thiết lập kênh ảo điều khiển MPLS
Hình 3. 3: Cơ chế thiết lập kênh ảo điều khiển MPLS

Ứng dụng mạng riêng ảo VPN trên mạng MPLS

Với một sự thay đổi nhỏ, một số chuyển mạch ATM có thể đảm bảo rằng hai luồng tế bào cùng chiếm một VC sẽ không bao giờ xen kẽ nhau. Các chuyển mạch sẽ lưu các tế bào ATM trong vùng đệm cho đến khi nó nhận được một tế bào có bit kết thúc khung được đặt trong tiêu đề tế bào ATM. Như vậy bộ đệm trong các tổng đài này phải tăng thêm và một vấn đề nảy sinh là độ trễ qua chuyển mạch sẽ tăng lên.

Quá trình gửi liên tiếp các tế bào ra một kênh ảo đơn VC được gọi là hợp nhất kênh ảo (VC merg) và nó cho phép các ATM-LSR có thể sử dụng cùng một nhãn cho các gói tin đến từ nhiều LSR phía sau khác nhau cho cùng một đích đến. Chức năng của sự hợp nhất nhãn đã giảm đáng kể việc cấp nhãn qua miền ATM-LSR. An ninh mạng không chỉ quan trọng đối với các nhà cung cấp dịch vụ ISP mà còn có ý nghĩa quyết định đối với các cơ quan chính phủ và các doanh nghiệp.

Các giải pháp cho hệ thống WAN như sử dụng đường dây thuê riêng, Frame-relay không có sự mềm dẻo linh hoạt về mặt kết nối, mở rộng mạng cũng như an toàn thông tin, hơn nữa chi phí lại cao. Các giải pháp về tường lửa cũng chỉ đảm bảo chống lại được các cuộc tấn công từ phía ngoài vào trong mạng tại điểm cửa ngừ vào mạng mà thụi, nguy cơ bị tấn cụng là rất cao. Do đú khi đưa ra giải pháp an ninh bảo mật toàn diện cho một hệ thống mạng không thể không kể đến giải pháp mạng riêng ảo VPN.

Mô hình mạng MPLS/VPN

Một số khách hàng, cụ thể trong môi trường mỗi nước nhiều yêu cầu mở rộng cơ sở hạ tầng truyền thông lớp 2 (Frame realy, ATM, Ehernet, VLAN, TDM, dịch vụ LAN trong suốt…), một số nhà cung cấp dịch vụ phải cung cấp dung lượng vượt quỏ trong mạng lừi IP đang tồn tại của họ do đó họ cần sử dụng yếu tố giúp đỡ dịch vụ lớp 2 như Frame Relay hay ATM. Những RFC 2547 VPN cũng hiểu là BGP/MPLS VPN bởi vì BGP được sử dụng để phân phát thông tin định tuyến VPN qua mạng đường trục của nhà cung cấp và bởi vì MPLS được sử dụng cho chuyển tiếp lưu lượng VPN từ một site VPN tới site khác. LSP có thể được thiết lập và duy trì qua mạng của nhà cung cấp dịch vụ bằng cách sử dụng giao thức phân phối nhãn ( Label Distribution Protocol – LDP) hoặc giao thức dành trước tài nguyên RSVP (Resource Reservation Protocol).

Trong cấu trúc MPLS/VPN, bởi vì mỗi một VPN phải có khả năng sử dụng cùng tiền tố IP giống như các VPN khác (khi chúng không liên lạc với nhau), cho nên cần thiết phải có phân biệt tuyến với IPv4.Nên cần phải mở rộng giao thức BGP để thông tin VPN là duy nhất trong miền đường trục MPLS/VPN. Mặc dù MP-BGP cung cấp khả năng xác định và truyền các thông tin định tuyến không phải IPv4, nhưng trước hết chúng ta tìm hiểu các tuyến VPN được phân biệt như thế nào và quyết định chọn tuyến ra sao giữa nhiều tuyến khác nhau của khách hàng. Chuỗi các bit này được gọi là phân biệt tuyến (route distinguisher) và nó là khác nhau cho mỗi VPN (hoặc cho mỗi subnet của các site trong một VPN) và vì vậy các địa chỉ chứa trong tất cả các VPN là duy nhất trong mạng đường trục MPLS/VPN.

Mặc dù cơ chế phân biệt tuyến cho phép chúng ta giải quyết được vấn đề các khách hàng VPN có thể sử dụng cùng một giải địa chỉ private, nhưng nó không khắc phục được vấn đề nhiều khách hàng bên trong cùng một VPN sử dụng cùng một lược đồ địa chỉ bên trong các site của họ. Khi bộ định tuyến tại New York so sánh hai tuyến để xác định tuyến nào nhập vào Bảng chuyển tiếp và định tuyến (VRF) của VPN EuroBank; tùy thuộc vào tuyến nào được chọn, thì sự kết nối tới VPN site khác sẽ không thực hiện được. Ví dụ, nếu router New York xác định MP-BGP thông tin định tuyến cho 10.2.1.0/24 nhận được từ bộ định tuyến tại Paris là tuyến tốt nhất, thì sự kết nối từ site tại EuroBank tại NewYork tới đích bên trong subnet 10.2.1.0/24 trong site EuroBank San Francisco sẽ không thực hiện được.

Hình 5. 2: Thành phần mạng RFC 2547 [2]
Hình 5. 2: Thành phần mạng RFC 2547 [2]

Vấn đề bảo mật và chất lượng dịch vụ MPLS/VPN

Tấn cụng từ chối dịch vụ là một vớ dụ, nhưng trên môi trường mạng MPLS/VPN thì nó càng nguy hiểm hơn: nếu kẻ tấn công (tạm gọi là hacker) có thể nắm quyền kiểm soát thiết bị PE, thì bảo mật của bất kỳ VPN trờn mạng MPLS lừi nào cũng cú thể bị tổn hại, dự kết nối tới PE này hay khụng. Đó cũng là một hạn chế khả năng tấn công các điểm: hình sau mô tả rằng, chỉ interface nơi mà một VPN cú thể thấy được mạng lừi và và gửi cỏc gúi tin tới một thiết bị của mạng lừi: đú là bộ định tuyến PE bởi vỡ mạch kết nối giữa cỏc bộ định tuyến CE và PE thuộc về VPN. Điều này là rất quan trọng để hiểu việc dấu mạng lừi khụng phải bởi vỡ ACL mà bản chất là việc tỏch biệt cỏc dải địa chỉ trờn mạng lừi MPLS: thậm chớ nếu một địa chỉ của một bộ định tuyến P nào đấy bị lộ ra bờn ngoài thì do địa chỉ này không thuộc về dải địa chỉ của người sử dụng nên không thể đến được (unreachable).

Điều đó là có thể bởi vì các bộ định tuyến PE giữ tất cả các gói tin bên trong VRF (VPN Routing and Forwarding), vì thế ngay cả gói tin giả mạo kia cũng không “ thoát ” ra được VPN.Vì thế địa chỉ IP giả mạo trong một VPN không ảnh hưởng tới VPN khác. Lừi MPLS VPN cũng dấu đối với người sử dụng VPN, mặc dự sử dụng một phương pháp khác: phần lớn các địa chỉ được dấu đi bởi cấu trúc của nó; chỉ có một phần được nhìn thấy đó là địa chỉ PE ngang hàng (peering PE address). Đặc điểm một hướng này của mô hình “ống” chỉ cho phép thiết lập các kết nối cho các ứng dụng sử dụng luồng lưu lượng không đối xứng, trong đó lưu lượng từ một site tới site khác có thể khác với lưu lượng theo hướng ngược lại.

Có nghĩa là ứng với một cặp bộ định tuyến PE có nhiều bộ định tuyến CE nối trực tiếp mà giữa chúng đã có các đường ống, thay vì sử dụng một LSP băng thông đảm bảo cho mỗi ống ta sử dụng một LSP đảm bảo băng thông cho tất cả các ống. Với mô hình này số LSP mà nhà cung cấp dịch vụ phải thiết lập và duy trì phụ thuộc vào số cặp bộ định tuyến PE của nhà cung cấp dịch vụ chứ không phụ thuộc vào số đường ống của khách hàng VPN mà nhà cung cấp có thể có. Đối với lưu lượng vượt quá băng thông đã thoả thuận, nhà cung cấp có hai khả năng lựa chọn: hoặc là lại bỏ lưu lượng vượt quá này ngay lập tưc tại bộ định tuyến PE lối vào hoặc gửi đi nhưng đánh dấu nó khác với các lưu lượng nằm trong băng thông thoả thuận.

Hình 6. 1: Cấu tạo của một địa chỉ VPN-IPv4
Hình 6. 1: Cấu tạo của một địa chỉ VPN-IPv4