Trên đây chúng ta đã tìm hiểu về thế nào là VPN lớp một và các mô hình triển khai chúng. Nhưng câu hỏi được đặt ra là các thành phần trong các mô hình làm việc như thế nào, chúng thông tin và liên kết với nhau theo cách nào để tạo ra các VPNL1. Để giải đáp các câu hỏi này, chúng ta cùng tìm hiểu về hai giải pháp cung cấp VPNL1 dựa trên GMPLS đó là: mạng riêng ảo tổng quát (GVPN) và xếp chồng GMPLS.
Cả hai giải pháp này đều có những điểm giống nhau về định địa chỉ liên kết CE-PE, báo hiệu giữa CE-PE và cung cấp động các đoạn PE-PE của các kết nối VPNL1 CE-CE. Sự khác nhau cơ bản giữa chúng đó là cơ chế được sử dụng trong việc khám phá tựđộng khám phá các thành phần VPN (PE nhận biết các CE ở xa, chúng thuộc VPN nào và gắn với PE nào).
Cả hai giải pháp đều tạo ra các giả thiết liên quan đến định địa chỉ liên kết CE-PE như sau:
- Phía CE của liên kết CE-PE (cổng CE) có một không gian địa chỉ VPN (nó là duy nhất trong một VPN) được gán bởi khách hàng, chúng ta gọi nó là CE_ID.
- Phía PE có hai địa chỉ. Địa chỉ thứ nhất là PE_ID được gán bởi nhà cung cấp còn địa chỉ thứ hai được gán bởi khách hàng và được cấp phát từ cùng một không gian địa chỉ như CE_ID.
- Cổng PE cũng nhận biết một số mà nhận dạng các VPN trong miền nhà cung cấp.
Với mọi VPN liên quan, một PE duy trì một bảng mà giữ liên kết giữa các bộ ba <CE_ID, PE_VPN_ID, PE_ID> và trạng thái của các liên kết CE-PE tương ứng
mà đã khám phá các trạm nội bộ và ở xa thông qua các giao thức tựđộng khám phá VPN.
Cả hai giải pháp này đều sử dụng GMPLS để báo hiệu giữa CE và PE cho mục đích khởi tạo, thay đổi và giải phóng các kết nối VPNL1 với các CE đầu xa. Hơn nữa, mặt phẳng điều khiển GMPLS được sử dụng trong cả hai trường hợp để cung cấp và duy trì các đoạn PE-PE của các kết nối VPNL1 như: thông báo tài nguyên, tính toán đường, cung cấp các LSP hoạt động và LSP dự phòng để bảo vệ hoặc tránh khỏi các lỗi mạng…
3.1.3.1 GVPN
Giải pháp GVPN dựa trên ý tưởng mở rộng giao thức định tuyến BGP (được áp dụng thành công trong các dịch vụ VPN lớp 2 và 3) cho VPNL1. Nó giả sử rằng giao thức định tuyến BGP tối thiểu là đang chạy trong miền nhà cung cấp (I-BGP) và tốt nhất là giữa các CE và PE (E-BGP).
Trong GVPN, có một bảng chứa các địa chỉ CE-PE gắn với trạng thái của các liên kết CE-PE tương ứng được gọi là trường hợp chuyển mạch ảo tổng quát (GVSI). Các GVSI được duy trì bởi các PE dựa trên cơ sở theo VPN. Một GVSI được thiết lập từ hai nguồn. Thông tin liên quan đến các liên kết CE-PE nội bộ (gọi là thông tin nội bộ) được nhận biết từ cấu hình tùy chọn cùng chung với dữ liệu nhận được từ các CE đi kèm (thông qua E-BGP). Thông tin liên quan đến các liên kết CE-PE ở xa (gọi là thông tin từ xa được gọi) thu được thông qua quá trình tự khám phá VPN dựa trên BGP, quá trình này được mô tả như sau:
- Tất cả các PE được liên kết với nhau theo một mạng mắt lưới các phiên I- BGP hoặc thông qua các bộ phản xạđịnh tuyến (như trong hình 3.9). - Mỗi GVS được cấu hình với một hoặc nhiều khu vực đích định tuyến
BGP được gọi là các đích định tuyến ra. Chúng được sử dụng cho việc gắn thông tin nội bộ (nghĩa là liên kết thông tin với các liên kết CE-PE nội bộ) trong bất cứ khi nào thông tin gửi đến các PE khác trên I-BGP. - Thêm vào đó, mỗi GVP được cấu hình với một hoặc nhiều khu vực đích
ràng buộc thông tin được cài đặt trong GVSI. Thông tin thu được trong một cập nhật BGP chỉ được cài đặt vào trong các GVSI mà có tối thiểu một đích định tuyến vào phù hợp với một đích định tuyến ra tìm thấy trong bản tin BGP.
Hình 3.9: VPN tổng quát
- Mỗi một PE gửi thông tin nội bộ từ tất các GVSI tới tất cả các PE khác. Tuy nhiên thông tin này kết thúc cài đặt chỉ trong các GVSI đầu xa thích hợp do quá trình lọc bỏ ở trên. Vì thế, mọi PE cho mỗi VPN liên quan đều nắm giữ thông tin về tất cả các CE hiện tồn tại trong VPN. Thông tin này được đồng bộ trên cơ sở theo đơn vị VPN với tất cả các PE khác. Quá trình này không miêu tả làm thế nào một CE nhận biết được sự tồn tại của các CE khác trong một VPNL1 cụ thể, tuy nhiên có một khuyến nghị để sử dụng các mở rộng đa giao thức BGP cho mục đích này. PE sẽ thiết lập các phiên E- BGP với tất cả các CE được gắn kết (như trong hình 3.9) và sử dụng chúng cho việc gửi các cập nhật thông tin liên kết các thành phần của VPN. Việc sử dụng các
Thông tin liên kết các thành phần của VPN là đủ cho một CE để khởi nguồn các kết nối VPNL1 cới các CE khác, tuy nhiên, nó là không đủ để kết nối các thiết bị C được đặt trong các trạm của VPN khác. Để làm điều này, mạng của nhà cung cấp sẽ tham gia vào việc định tuyến VPN như sau:
- Thiết lập quan hệ lân cận IGP giữa các PE và các CE được liên kết với các PE này.
- Sử dụng các quan hệ lân cận này để thông báo các thuộc tính TE của tất cả các liên kết PE-CE thích hợp cho một VPN cụ thể.
- Chuyển tiếp thông tin TE khách hàng xuyên qua các trạm VPN
Để đạt được điều này, mỗi PE chạy nhiều giao thức IGP-TE: một giao thức để khám phá cấu hình mạng của nhà cung cấp và các tài nguyên; một giao thức cho mỗi VPN được liên kết (cho mọi GVSI) để chuyển tiếp thông tin VPN. Các GVSI mà thuộc cùng một VPN thiết lập trực tiếp các quan hệ lân cận IGP với mỗi GVSI khác nhằm mục đích đồng bộ thông tin thu được từ VPN khác. Việc truyền tải các quan hệ lân cận này được thực hiện nhờ các tunnel IP trong mặt phẳng điều khiển (ví dụ, các tunnel IP-in-IP, GRE, hoặc IP/MPLS) mà có thểđược thiết lập mỗi khi một GVSI nội bộ nhận biết về sự tồn tại của một GVSI mới. Chú ý rằng việc thiết lập các tunnel tách rời với quá trình khám phá tựđộng. Cụ thể là không bao hàm cả về khoảng thời gian cả về cách mà các GVSI đầu xa được khám phá.
Giải pháp này chỉ được thiết kế cho kiểu dịch vụ Node ảo. Trong kiểu này tất cả các node mạng của khách hàng xem các mạng của nhà cung cấp như các node đơn lẻ và tất cả các PE cần phải thông báo cho tất cả các liên kết kỹ thuật lưu lượng PE-CE thuộc cùng một VPN sử dụng cùng một ID của Router và địa chỉ Router kỹ thuật lưu lượng (cả hai giá trị này có thể phải được cấu hình trên mỗi PE dựa trên cơ sởđơn vị VPN). Trong kiểu node ảo này các PE thông tin về kết nối bên trong giữa tất cả các thành phần trong liên kết CE-PE.
Giải pháp này có thể được mở rộng để hỗ trợ liên kết ảo bằng cách tạo nên các PE và các liên kết TE ảo để liên kết chúng lại với nhau trong một VPN mà khách hàng có thể nhận thấy được. Cụ thể là:
- Các thông báo của liên kết TE PE-CE kết thúc trên các PE khác nhau sẽ chứa một Router ID và địa chỉ Router TE duy nhất. Phần IP của PE_VPN_ID của thông báo PE sẽđược sử dụng cho việc này.
- Các thông báo của các liên kết TE ảo PE-PE sẽ được tiết lộ cho một số hoặc tất cả các VPN. Cả hai phía của liên kết sẽ được thông báo bởi mỗi đầu cuối (PE). Mỗi PE sẽ sử dụng chung router ID/địa chỉ Router để thông báo những liên kết PE-Ce và PE-PE mà thuộc cùng một VPN. Khi một CE quyết định thiết lập một kết nối VPN, nó khởi tạo một bản tin GMPLS Setup và gửi kèm theo PE thông qua kênh điều khiển CE-PE. Giả sử rằng kênh này không thể sử dụng chung giữa nhiều VPN, do đó PE mà có thểđược tính toán cho kết nối VPN đó sẽđược yêu cầu mà không cần VPN ID (nó được báo hiệu bởi CE). Đối tượng SENDER_TEMPLATE của bản tin LSP Setup ban đầu được liên kết với CE_ID nguồn; và đối tượng SESSION được liên kết với CE_ID đích.
Khi PE đầu vào nhận bản tin LSP Setup thì nó sẽ tìm kiếm CE_ID đích trong GVSI và xác định PE_ID của PE đi kèm cho CE đích. Nó cũng xác định các thuộc tính của phân đoạn PE-PE như băng thông, kiểu mã hóa dữ liệu và các tài nguyên. Một số thuộc tính được suy ra từ bản tin đến và các thuộc tính còn lại được suy ra bằng cách áp dụng chính sách của VPN và/hoặc CE. Sau đó, một hoặc nhiều đường sẽđược tính toán cho phân đoạn PE-PE và các đường khôi phục của nó.
Một câu hỏi đặt ra là: PE đầu vào được thực hiện như thế nào cho việc cung cấp VPNL1. Có hai tùy chọn khả thi được đưa ra:
- Tùy chọn thứ nhất: cung cấp kết nối này như một LSP end-to-end kế tiếp được xây dựng từ 3 phân đoạn: CE nguồn tới PE đầu vào, PE đầu vào tới PE đầu ra, và PE đầu ra tới CE đích. Tuy nhiên giao thức mở rộng cho GMPLS RSVP-TE không hoạt động tốt trong trường hợp này khi mà các
đường đi của bản tin LSP Setup. Trong trường hợp này khi một PE mất trạng thái điều khiển vì một lý do nào đó thì các đối tượng này cũng đã bị thay đổi trên PE đó, do vậy PE sẽ không thể sử dụng việc kết hợp mạng để tạo ra ánh xạ trực tiếp giữa các phân đoạn LSP trong khi khôi phục trạng thái điều khiển LSP bởi vì không thể nhận được các bản tin liên kết từ CE và P kế cận.
- Tùy chọn thứ hai: cung cấp phân đoạn PE đầu vào đến PE đầu ra như một tunnel riêng và sử dụng nó dưới dạng một LSP phân cấp (H-LSP) cho LSP CE-CE. Tùy chọn này bao gồm hai giai đoạn. Giai đoạn đầu tiên là thiết lập một LSP phân cấp H-LSP PE-PE, sau đó lại tiếp tục quá trình cung cấp LSP CE-CE sử dụng H-LSP như một liên kết kết nối các PE đầu vào và đầu ra. Khác với tùy chọn một, giải pháp này không có các vấn đề liên quan đến giao thức, các bản tin CE-CE LSP SETUP được thiết lập được gửi đi giống như trực tiếp từ PE đầu vào tới PE đầu ra và các node P không tham gia vào quá trình xử lý nó. Vì vậy, không cần các đối tượng báo hiệu tunnel xuyên qua mạng của nhà cung cấp và cũng không yêu cầu các đối tượng SESSION và SENDER_TEMPLATE. Tùy chọn này còn sử dụng chuyển mạch LSP khi các liên kết CE-PE có cùng khả năng chuyển mạch như các liên kết PE-P và P-P, tuy nhiên khi các tài nguyên mạng từ một lớp chuyển mạch thấp hơn các liên kết CE-PE (ví dụ khách hàng được kết nối trực tiếp theo TDM CE-PE đến mạng của nhà cung cấp được xây dựng dựa trên các OXC) thì sử dụng H-LSP sẽ hữu ích hơn bởi khả năng tái sử dụng băng thông thừa được cấp cho các kết nối VPNL1 khác.
Chúng ta hãy xem xét giải pháp GVPN đánh địa chỉ cho các chức năng mặt phẳng điều khiển mà các dịch vụ VPNL1 mong muốn. Điều này đã được nói đến ở trên, các PE được khuyến nghị sử dụng E-BGP để gửi các cập nhật các thành phần của VPN cho các CE đi kèm. Một mạng truyền tải chung có thểđược sử dụng cho
việc gửi các CE cùng với thông tin như là kết nối VPN, giám sát hoạt động và các cảnh báo mặt phẳng dữ liệu.
Một trong các dịch vụđược mong chờđó là sự truyền đi thông tin mặt phẳng điều khiển giữa các CE. Các CE cầm các kênh điều khiển này để thiết lập các quan hệ lân cận về báo hiệu, các phiên LMP… Một cách để hiểu rõ các kênh điều khiển CE-CE đó là thông qua sự kết hợp sử dụng E-BGP trên các liên kết CE-CE và các tunnel IP mà liên kết các GVSI vào trong cùng một VPN (các tunnel giống nhau mà được sử dụng như nền tảng truyền tải cho các quan hệ lân cận IGP GVSI-GVSI). Chú ý rằng việc chuyển tiếp xuyên qua của định tuyến và thông tin TE giữa các phía của VPN có thể đạt được thông qua định tuyến các quan hệ lân cận xây dựng dữa trên các kênh điều khiển và có thể là trong suốt đối với mạng của nhà cung cấp. Tuy nhiên, tốt nhất là hiểu việc chuyển tiếp xuyên qua là một dịch vụ VPN riêng. Điều này làm cho mạng của nhà cung cấp tham gia vào trong quá trình định tuyến của khách hàng theo cách sau: Xét trường hợp một PE nhận một yêu cầu thiết lập kết nối VPNL1 cho node mạng C nào đó (không phải CE) được đặt trong VPN đầu xa. Nếu mạng của nhà cung cấp cung cấp một dịch vụđặc biệt cho việc chuyển tiếp xuyên qua của kỹ thuật lưu lượng và có thể lựa chọn đường đi tới đích C tối ưu hơn là chỉđến đầu ra PE/CE.
Cuối cùng, việc hỗ trợ kiểu dịch vụ ngang hàng theo đơn vị VPN cần phải được đánh địa chỉ. Trước tiên, thông tin TE mô tả các liên kết TE nội trong mạng của nhà cung cấp không thể truyền tới tận các CE do các C không nhận biết được các VPN và có thể bị xung đột do các thông báo này bởi vì các địa chỉ của các liên kết TE của mạng nhà cung cấp có thể xung đột với các địa chỉ của các liên kết TE của mạng khách hàng. Với cùng lý do này, các CE chỉ là các thực thể có thể tạo nên việc sử dụng các thông tin trong khi lựa chọn đường đi theo các kết nối VPNL1 xuyên qua mạng của nhà cung cấp. Vì thế, một giải pháp hợp lý sẽ là các PE công bố phạm vi VPN của mạng nhà cung cấp bằng cách gửi đến các CE đi kèm các LSA TE mà mô tả các liên kết TE của mạng nhà cung cấp (thực và ảo) mà được dành
thông qua cùng các lân cận mà được sử dụng cho chuyển tiếp xuyên qua định tuyến khách hàng và thông tin TE giữa các phía VPN.
3.1.3.2. Xếp chồng GMPLS.
Xếp chồng GMPLS cung cấp thêm một giải pháp VPNL1 dựa trên GMPLS. Giải pháp này mô hình hòa mạng của nhà cung cấp như một mạng lõi và các VPN như các mạng xếp chồng, mặt khác, các phía cô lập của nó được kết nối theo tính chất của mạng lõi. Các xếp chồng được kết nối đến mạng lõi trong mặt phẳng dữ liệu bởi các liên kết CE-PE và trong mặt phẳng điều khiển thông qua các kênh điều khiển CE-PE. Cả các liên CE-PE và các kênh điều khiển đều không thể bị chia sẻ giữa các xếp chồng khác nhau.
Các dịch vụđược cung cấp bởi mạng lõi theo các xếp chồng là được cung cấp động các kết nối LSP CE-CE một cách cụ thể theo dung lượng, độ khả dụng, loại mã hóa dữ liệu. Các kênh CE-PE được sử dụng để báo hiệu các trao đổi giữa các CE và các PE đi kèm. Giao thức báo hiệu CE-PE hoàn toàn phù hợp với chuẩn GMPLS RSVP.
Việc đánh địa chỉ liên kết TE CE-PE giống với trong giải pháp GVPN. Một PE có hai địa chỉ. Địa chỉ thứ nhất được gán bởi khách hàng và là duy nhất trong