2.5.1. Ưu điểm
Mặc dù thực tế rằng MPLS ban đầu được phát triển với mục đích để giải quyếtviệc chuyển tiếp gói tin, nhưng lợi điểm chính của MPLS trong môi trường mạng hiệntại lại từ khả năng điều khiển lưu lượng của nó, một số lợi ích của MPLS như:
Hỗ trợ mềm dẻo cho tất cả các dịch vụ (hiện tại và sắp tới) trên một mạng đơn.
Đơn giản hóa đồ hình và cấu hình mạng khi so với giải pháp IP qua ATM.
Hỗ trợ tất cả các công cụ điều khiển lưu lượng mạnh mẽ bao gồm cả địnhtuyến liên tiếp và chuyển mạch bảo vệ.
Hỗ trợ đa kết nối và đa giao thức: thiết bị chuyển tiếp chuyển mạch nhãn cóthể được dùng khi thực hiện chuyển mạch nhãn với IP cũng tốt như với IPX. Chuyển mạch nhãn cũng có thể vận hành ảo trên bất kỳ giao thức lớp liên kết dữ liệu.
Khả năng mở rộng: chuyển mạch nhãn cũng có ưu điểm về sự tương tác giữachức năng điều khiển và chuyển tiếp. Mỗi phần có thể phát triển không cần đến cácphần khác, tạo sự phát triển mạng dễ dàng hơn, giá thành thấp hơn và lỗi ít hơn.
Hỗ trợ cho tất cả các loại lưu lượng: một ưu điểm khác của chuyển mạchnhãn là nó có thể hỗ trợ cho tất cả các loại chuyển tiếp unicast, loại dịch vụ unicast vàcác gói multicast.
2.5.2. Nhược điểm
Việc hỗ trợ đồng thời nhiều giao thức sẽ gặp phải những vấn đề phức tạp trongkết nối.
Các ưu thế về hiệu năng, tốc độ hay điều khiển lưu lượng của MPLS chỉ thựcsự phát huy tác dụng đối với các mạng qui mô lớn. Đối với các mạng qui mô nhỏ thìđôi khi việc ứng dụng MPLS lại dẫn đến sự phức tạp hóa mạng không cần thiết, giảmtốc độ xử lí tại các nút và giảm hiệu năng mạng nói chung.
CHƯƠNG III: CÔNG NGHỆ MPLS VPN VÀ ỨNG DỤNG
CHƯƠNG III: CÔNG NGHỆ MPLS VPN VÀ ỨNG DỤNG 3.1. Giới thiệu MPLS VPN
MPLS VPN hoặc mạng riêng ảo MPLS hiện đang được phổ biến rộng rãi. Tốc độphổ biến được phát triển theo cấp số nhân kể từ khi công nghệ này được phát minh vàhiện nay nó vẫn đang phát triển đều đặn. MPLS VPN cho thấy mối quan tâm ngàycàng tăng từ các công ty, doanh nghiệp lớn, MPLS VPN có thể cung cấp khả năng mởrộng và phân chia mạng thành các mạng nhỏ riêng biệt hơn, mà điều này thường cần thiết cho các doanh nghiệp lớn – nơi mà cơ sở hạ tầng chung của nhà cung cấp mạngbị cô lập ở các phòng ban. MPLS-VPN kết hợp những đặc điểm tốt nhất của Overlay VPN và Peer-to-PeerVPN:
Các PE router tham gia vào quá trình định tuyến của khách hàng, tối ưu việcđịnh tuyến giữa các site của khách hàng.
Các PE router sử dụng các bảng định tuyến ảo (Virtual Routing Table) cho từng khách hàng nhằm cung cấp khả năng kết nối vào mạng của nhà cung cấp chonhiều khách hàng.
Các khách hàng có thể sử dụng địa chỉ IP trùng nhau (Overlap address)MPLS VPN backbone và các site khách hàng trao đổi thông tin định tuyến lớp 3.
Hình 3.1: Mô hình MPLS-VPN
MPLS VPN được phân thành hai vùng mạng chính:
• Provider network: hạ tầng mạng được xây dựng bởi nhà cung cấp dịch vụđể cung cấp dịch vụ VPN cho khách hàng, bao gồm các thiết bị và sự quản lý của nhàcung cấp dịch vụ.
• Customer network: hạ tầng mạng của khách hàng nằm dưới sự quản lý của khách hàng.
CHƯƠNG III: CÔNG NGHỆ MPLS VPN VÀ ỨNG DỤNG
Các thành phần thiết bị trong miền MPLS VPN (hình 3.1):
• Customer Edge (CE) Router: đây là bộ định tuyến kết nối một khu vựctrong VPN vào hạ tầng mạng của nhà cung cấp dịch vụ, thường đặt ở site khách hangvà chịu trách nhiệm trao đổi thông tin định tuyến lớp 3 với các PE của nhà cung cấpdịch vụ.
• Provider Edge (PE) Router: bộ định tuyến nằm ở vùng biên thuộc mạng lõi của nhà cung cấp dịch vụ, các CE router sẽ kết nối với các PE router trên mạng lõi MPLS. PE router này là một phần của lõi MPLS và được các nhà cung cấp dịch vụquản lý.
• Provider (P) Router: bộ định tuyến nằm trong mạng lõi của nhà cung cấpdịch vụ, nó cung cấp kết nối giữa các PE router. Thông thường một P router không cóthông tin VPN, chỉ có thông tin liên lạc với các PE router. Các P router sẽ cung cấp cơ chế chuyển mạch nhãn các gói tin, chúng không mang các tuyến VPN và không tham gia định tuyến trong MPLS VPN.
3.2. Các mô hình MPLS VPN (L2 VPN và L3 VPN)
3.2.1. Mô hình L2VPN
Hình 3.2: Mô hình MPLS L2VPN
Trong mạng MPLS VPN lớp 2, một frame (dữ liệu lớp 2) khi di chuyển quamạng sẽ được gán hai nhãn: nhãn L1 được sử dụng bởi các router lõi (P router) để vậnchuyển các frame trong mạng MPLS và nhãn VC1 được sử dụng bởi các PE router đểđưa các frame đến đúng router của khách hàng. Khi khách hàng sử dụng dịch vụ VPNlớp 2, các thiết bị
CHƯƠNG III: CÔNG NGHỆ MPLS VPN VÀ ỨNG DỤNG
bị định tuyến của nhà cung cấp dịch vụ và khách hàng khôngtrao đổi thông tin định tuyến với nhau.
L2VPN có ưu điểm quan trọng nhất là cho phép các giao thức lớp cao đượctruyền trong suốt đối với MPLS. Nó có thể hoạt động trên hầu hết các công nghệ lớp 2gồm ATM, FR, Ethernet và mở ra khả năng tích hợp các mạng phi kết nối IP với cácmạng hướng kết nối. Ngoài ra, trong giải pháp này người sử dụng đầu cuối không cầnphải cấu hình định tuyến cho các bộ định tuyến khách hàng CE.
Tuy nhiên, L2VPN không dễ dàng mở rộng như L3VPN, một cấu hình đầy đủcho các LSP phải được sử dụng để kết nối các VPN trong mạng. Hơn nữa, L2VPNkhông thể tự động định tuyến giữa các site. Vì vậy, tuỳ thuộc vào cấu hình mạngMPLS và nhu cầu cụ thể mà có thể sử dụng một trong hai mô hình L2VPN hay là L3VPN.
3.2.2. Mô hình L3VPN
Trong kiến trúc L3VPN, các bộ định tuyến khách hàng và của nhà cung cấpđược coi là các phần tử ngang hàng. Bộ định tuyến biên khách hàng CE cung cấp thông tin định tuyến tới bộ định tuyến biên nhà cung cấp PE, PE lưu các thông tin địnhtuyến trong bảng định tuyến chuyển tiếp ảo VRF. Mỗi khoản mục của VRF tương ứngvới một mạng khách hàng và hoàn toàn biệt lập với các mạng khách hàng khác. Ngườisử dụng VPN chỉ được phép truy nhập tới các site hoặc máy chủ trong cùng một mạngriêng này. Bộ định tuyến PE còn hỗ trợ các bảng định tuyến thông thường nhằmchuyển tiếp lưu lượng của khách hàng qua mạng công cộng. Cấu hình mạng L3VPN dựa trên MPLS được chỉ ra trên hình:
CHƯƠNG III: CÔNG NGHỆ MPLS VPN VÀ ỨNG DỤNG
Các gói tin IP qua miền MPLS được gắn hai loại nhãn bao gồm nhãn IGP chỉ thịđường dẫn chuyển mạch LSP và nhãn VPN chỉ thị định tuyến chuyển tiếp đến các Sitekhách hàng, ngăn xếp nhãn được thiết lập để chứa các nhãn trên. Các bộ định tuyến Pcủa nhà cung cấp xử lý nhãn IGP để chuyển tiếp các gói tin qua miền MPLS. NhãnVPN chỉ được xử lý tại thiết bị định tuyến biên PE nối với bộ định tuyến khách hàng.
Mô hình L3VPN có ưu điểm là không gian địa chỉ khách hàng được quản lý bởinhà khai thác và do vậy nó cho phép đơn giản hóa việc triển khai kết nối với nhà cungcấp. Ngoài ra, L3VPN còn cung cấp khả năng định tuyến động để phân phối các thôngtin định tuyến tới các bộ định tuyến VPN. Tuy nhiên, L3VPN chỉ hỗ trợ các lưu lượngIP hoặc lưu lượng đóng gói vào gói tin IP. Đồng thời, việc tồn tại hai bảng định tuyếntại các thiết bị biên mạng cũng là một vấn đề phức tạp trong điều hành và ảnh hưởngtới khả năng mở rộng các hệ thống thiết bị.
3.3. Các khái niệm và thành phần cơ bản trong MPLS VPN
Để thực hiện MPLS VPN, chúng ta cần một số kiến trúc cơ sở trên các router PE.Các kiến trúc đó như sau: VRF, route distinguisher (RD), route targets (RT), sự vận chuyển tuyến qua MP-BGP và chuyển tiếp gói được gán nhãn.
3.3.1. VRF (Virtual Routing Forwarding - Chuyển tiếp định tuyến ảo)
Chuyển tiếp định tuyến ảo (VRF) là ví dụ về định tuyến và chuyển tiếp VPN.Mỗi VPN được kết hợp với một bảng định tuyến - chuyển tiếp VPN (VRF) riêngbiệt. VRF cung cấp các thông tin về mối quan hệ trong VPN của một site kháchhàng khi được nối với router PE. Bảng VRF bao gồm thông tin bảng định tuyến IP(IP routing table), bảng CEF (Cisco Express Forwarding), các giao thức liên kếttuyến trên router PE.
Bởi vì việc định tuyến sẽ được tách rời riêng lẻ cho mỗi khách hàng VPN trên một router PE, mỗi VPN sẽ có một bảng định tuyến riêng của mình. Bảng địnhtuyến riêng này được gọi là bảng định tuyến VRF. Giao diện trên router PE hướng về phía router CE là thuộc một VRF. Như vậy, tất cả các gói IP thu được trên giaodiện VRF được phân biệt rõ là thuộc về VRF đó.
CHƯƠNG III: CÔNG NGHỆ MPLS VPN VÀ ỨNG DỤNG
Hình 3.4: Bảng định tuyến VRF
3.3.2. RD (Route Distinguisher)
Trong mô hình MPLS VPN các tiền tố VPN được quảng bá qua mạng MPLS VPN bằng đa giao thức BGP. Mặc dù BGP có khả năng trao đổi số lượng thông tintuyến/mạng lớn, tuy nhiên vì khách hàng có thể sử dụng chung dãy địa chỉ chonên việc định tuyến sẽ sai, do đó phải có cách để phân biệt giữa các tuyến/ mạngkhách hàng với nhau. Để thực hiện điều này, người ta dùng khái niệm RD (RouteDistinguisher).
RD là một chuỗi 64 bit chèn thêm vào một địa chỉ IPv4 tạo thành giá trị duy nhất trên toàn mạng để phân biệt khách hàng với nhau. Sự kết hợp của 64 bit RD với 32bit IPv4 sẽ tạo thành địa chỉ VPNv4 với chiều dài là 96 bit. Địa chỉ VPNv4 đượctrao đổi thông qua BGP giữa các router PE.
CHƯƠNG III: CÔNG NGHỆ MPLS VPN VÀ ỨNG DỤNG
Hình 3.5: Sử dụng RD trong MPLS VPN
➢ Quá trình sử dụng RD trong MPLS VPN:
Router CE trao đổi thông tin định tuyến với router PE dưới dạng địa chỉIPv4.
Router PE chèn 64 bit RD vào địa chỉ 32 bit IPv4 và tạo ra địa chỉVPNv4 với chiều dài là 96 bit.
Các router PE sử dụng MP-BGP để trao đổi thông tin định thuyến vớinhau.
Các router PE loại bỏ các bit RD và trả địa chỉ về dạng địa chỉ IPv4.
Router PE chuyển tiếp địa chỉ IPv4 đến các router CE.
➢ Sử dụng RD trong MPLS VPN:
Chức năng của RD không phải là xác định VPN. Bởi vì một số trường hợp VPNphức tạp đòi hỏi nhiều hơn một RD cho mỗi VPN. Ví dụ như, một khách hàng cóthể sử dụng các RD khác nhau cho tuyến IPv4 giống nhau. Tuy nhiên, khi một siteVPN được kết nối đến hai router PE, các tuyến từ các site VPN có thể có hai RDkhác nhau, phụ thuộc vào router PE mà tuyến đó nhận được. Mỗi tuyến IPv4 sẽ cóhai RD khác nhau gán vào và hình thành hai tuyến VPNv4 khác nhau hoàn toàn.Điều này cho phép BGP xem chúng như là các tuyến khác nhau và thực hiện chínhsách đối xử khác nhau trên từng tuyến.
Tóm lại, RD được sử dụng để giải quyết vấn đề trùng địa chỉ IP giữa các kháchhàng. Mỗi một VPN sẽ được cấp một giá trị RD để phân biệt với VPN khác.
3.3.3. RT (Route Target)
Nếu RD chỉ được sử dụng cho riêng một VPN, việc giao tiếp giữa các site củacác VPN khác nhau trở nên khó giải quyết. Với trường hợp một site tham gia nhiềuVPN, RD không
CHƯƠNG III: CÔNG NGHỆ MPLS VPN VÀ ỨNG DỤNG
thể giúp các router PE phân biệt được các tuyến sẽ được đưa vàoVRF nào. Do đó, người ta đưa thêm khái niệm về RT – Route Target.
RT là một đoạn thông tin được thực thi bởi các thuộc tính mở rộng BGP sử dụng16 bit cao của BGP extended community (64 bit) mã hóa với một giá trị tương ứngvới thành viên VPN của site cụ thể, được sử dụng để xác định tuyến sẽ được đưa vàoVRF nào đó. Do một tuyến có thể thuộc nhiều VRF, cho nên một tuyến có thể gánnhiều giá trị RT.
Import RT là tuyến VPNv4 nhận được từ MP-BGP để kiểm tra sự phù hợp củathuộc tính mở rộng này với một thuộc tính mở rộng khác được cấu hình. Nếu kếtquả này phù hợp, tiền tố này được đặt vào bảng định tuyến VRF như một tuyếnIPv4. Nếu kết quả không phù hợp, tiền tố này sẽ bị đẩy ra. Import RT kết hợp vớimỗi VRF và xác định các tuyến VPNv4 được thêm vào VRF cho khách hàng cụ thể.
Export RT là tuyến VPNv4 xuất ra một thuộc tính mở rộng khi tuyến được phânphối lại từ bảng định tuyến VRF trong MP-BGP. Export RT dùng để xác định thànhviên VPN và được liên kết với mỗi VRF. Export RT được nối thêm vào địa chỉ khách hàng khi chuyển thành địa chỉ VPNv4 bởi PE và quảng bá trong các cập nhậtMP-BGP.
Hình 3.6: Extranet với các RT
3.3.4. MP–BGP (Multiprotocol BGP)
BGP là giao thức định tuyến nòng cốt, nó hoạt động dựa trên việc cập nhật mộtbảng chứa các địa chỉ mạng và cho biết mối liên kết giữa các hệ tự trị. BGP là giaothức vector đường đi (path vector).VRF được sử dụng để tách biệt các tuyến kháchhàng trên các router
CHƯƠNG III: CÔNG NGHỆ MPLS VPN VÀ ỨNG DỤNG
PE, nhưng để các tuyến có thể được vận chuyển trong mạng lõicủa nhà cung cấp dịch vụ là một vấn đề cần giải quyết, do có một số lượng lớn cáctuyến có thể vận chuyển nên cần một giao thức định tuyến phù hợp. Mà BGP là mộtgiao thức lý tưởng được sử dụng vì nó là một giao thức ổn định và mang nhiều tuyến. Nhiệm vụ chính của BGP là giúp các router PE trao đổi các tuyến VPNv4.BGP chỉ chọn có một đường tốt nhất cho mỗi tiền tố nó nhận được. Điều này có nghĩa rằng chỉ có một con đường BGP được cài đặt trong bảng định tuyến IP, màloại trừ khả năng cân bằng tải. Vấn đề địa chỉ trùng lắp gây cản trở trong quá trìnhquảng bá của BGP cũng đã được giải quyết với giá trị RD cho mỗi VPN.
MP-BGP (Multiprotocol BGP – BGP đa giao thức) là mở rộng của giao thứcBGP hiện tại. Một phiên làm việc MP-BGP giữa các PE trong cùng một BGP AS (Autonomous System – tập hợp các mạng có cùng chính sách định tuyến) đượcgọi là phiên MP-iBGP. Nếu VPN mở rộng ra khỏi phạm vi của một AS, các tuyếnVPNv4 sẽ trao đổi giữa các AS tại biên bằng phiên MP–eBGP.
3.3.5. RR (Route Reflector)
Một Route Reflector là một router được cấu hình để chuyển những cập nhật địnhtuyến đến các router hàng xóm hoặc các router chạy BGP bên trong một AS. Cácrouter iBGP cần phải được chỉ ra như một client trong khi cấu hình. Khi một client gửi một cập nhật định tuyến đến Route Reflector nó sẽ chuyển cập nhật đó đến các router client khác. Cả Route Reflector và các client của nó hình thành nên một đơnvị để chia sẻ thông tin. Đơn vị này gọi là cluster. Với cách dùng Route reflector,router đóng vai trò Route reflector sẽ tốn nhiều tài nguyên hơn. Nếu cấu hình RouteReflector không chính xác, nó có thể gây loop.
Các lợi ích của Route Reflector bao gồm: Khả năng mở rộng mạng.
Thiết kế mang tính cấu trúc cao. Giảm lưu lượng mạng.
Hoạt động của Route Reflector: Một Route Reflector đơn giản giống như một tấm gương để phản hồi các bảng cập nhật định tuyến từ client này đến client khác.Khi một RR nhận được một cập nhật:
Client sẽ chuyển cập nhật tuyến đó cho router hàng xóm của nó, trong trườnghợp
này là RR.
Một cập nhật tuyến từ client được nhận từ RR và cập nhật cũng được chuyểnđến các
nonclients. Thuộc tính Originator_ID được thiết lập, nếu router này nhận lạibảng cập nhật định tuyến đó, router sẽ thấy ID của chính nó và sẽ bỏ qua thông tinnày. Điều này nhằm