Từ những ưu điểm của công nghệ MPLS/VPN và cộng với sự phát triển, mở rộng mạng ra nhiều vùng địa lý khác nhau. Nhiều doanh nghiệp lớn, doanh nghiệp trung bình, nhiều nhà cung cấp dịch vụ MPLS/VPN nhỏ hơn, và nhiều nhà cung cấp dịch vụ Internet (ISP) đã nhận thấy rằng khi kết nối vào mạng backbone MPLS/VPN họ có thể tránh được việc phải xây dựng cơ sở hạ tầng lớp 2 cho mạng của mình. Thay vào đó sử dụng mạng backbone của nhà cung cấp MPLS/VPN để kết nối các site lại với nhau. Ngoài vấn đề giảm thiểu được chi phí thì mỗi site có thể kết nối đến toàn bộ
các site ngang cấp với nó, tức là full-mesh. Do đó sẽ cung cấp được định tuyến tối ưu nhất. Điều này có nghĩa là để cho phép tất cả các khách hàng như vậy truy cập vào mạng MPLS VPN backbone thì mạng backbone phải có khả năng mang một số lượng cực kì lớn thông tin định tuyến cho mỗi cá nhân khách hàng. Ví dụ như ISP, nhà cung cấp dịch vụ Internet, hầu như cần phải trao đổi một phần, nếu không nói là toàn bộ, bảng định tuyến Internet giữa các site của họ để khách hàng của họ có thể truy cập được Internet.
Việc truy cập đến những khách hàng này gây ra vấn đề khó khăn khi mở rộng, vì mỗi router PE phải duy trì tất cả thông tin định tuyến local trong một VRF. Thông tin định tuyến này sau đó được phân phối đến tất cả các router PE có liên quan, lúc đó router CE hoàn toàn có thể đạt được thông tin định tuyến thích hợp. Để giải quyết vấn đề mở rộng trong trường hợp trên (tức là vấn đề định tuyến khi nhà cung cấp dịch vụ này lại là khách hàng của nhà cung cấp dịch vụ khác) một giải pháp mới được mở rộng ra từ MPLS/VPN chuẩn, gọi là Carrier hỗ trợ Carrier (Carrier supporting Carrier- Carrier’s Carrier).
Carrier’s Carrier là thuật ngữ được sử dụng để mô tả một tình huống khi một nhà cung cấp dịch vụ cho phép nhà cung cấp dịch vụ khác sử dụng một phần trong mạng backbone của họ. Nhà cung cấp dịch vụ cung cấp một phần trong mạng backbone cho nhà cung cấp dịch vụ được gọi là Carrier backbone. Nhà cung cấp dịch vụ mà sử dụng một phần trong mạng backbone được gọi là Customer Carrier (Carrier khách hàng).
Ưu điểm của việc triển khai MPLS VPN CSC
Mạng MPLS VPN CSC cung cấp nhiều ưu điểm cho nhà cung cấp dịch vụ, kể cả Carrier backbone và Carrier khách hàng.
3.3. CÁC MÔ HÌNH TRIỂN KHAI MPLS/VPN
Có rất nhiều cách kết hợp có thể trong việc sử dụng cấu trúc hạ tầng mạng dữ liệu Internet ứng dụng công nghệ MPLS để cung cấp các dịch vụ MPLS/ VPN, tùy thuộc vào việc làm thế nào nhà cung cấp dịch vụ có thể kết hợp giữa các lưu lượng MPLS VPN và lưu lượng Internet. Các mô hình cấu trúc hạ tầng như vậy gồm có:
- Kết nối Internet và MPLS VPN chia sẻ (Shared MPLS VPN và Internet Connectivity)
- Kết nối Internet và MPLS VPN chia sẻ một phần (Partially Shared) - Kết nối Internet và MPLS VPN tách biệt hoàn toàn (Full Separation)
Khách hàng của nhà cung cấp dịch vụ có thể luôn chọn hoặc đa dịch vụ hoặc là khách hàng dành riêng, bất kể cấu trúc hạ tầng mạng nhà cung cấp dịch vụ thực hiện. Ngoài ra, cấu trúc hình hub/spoke hoặc fully-meshed tại các mạng của khách hàng cũng có thể được thực hiện trên bất kỳ cấu trúc nào ở trên.
3.3.1. Kết nối Internet và MPLS VPN chia sẻ
Hình 3.6: Kết nối MPLS VPN chia sẻ
Trong mô hình kết nối thể hiện trên hình 3.6, cả router P và PE hỗ trợ lưu lượng Internet và VPN. Một router PE có thể kết nối cả Internet và cả khách hàng VPN. Router PE có thể có hoặc không có bảng định tuyến Internet đầy đủ. PE và Internet GW ở trong cùng vùng IBGP.
Ưu điểm của mô hình kết nối này: - Một mạng trục
- Một router biên cho kết nối khách hàng - Quản lý dễ hơn
- Có thể cung cấp các dịch vụ tập trung xlii
Nhược điểm của mô hình này nằm ở khía cạnh an ninh và năng lực hoạt động của router do PE phải thực hiện cả kết nối Internet và khách hàng VPN.
3.3.2. Kết nối Internet và MPLS VPN chia sẻ một phần
Hình 3.7: Kết nối Internet và MPLS VPN chia sẻ một phần
Hình 3.7 mô tả cấu trúc kết nối Internet và MPLS VPN chia sẻ một phần, trong đó router P được chia sẻ, sử dụng các router PE khác nhau cho lưu lượng Internet và VPN. Hai giao diện sẽ phải có trên thiết bị router của khách hàng để kết nối đến hai PE khác nhau.
3.3.3. Kết nối Internet và MPLS VPN tách biệt hoàn toàn
Ưu điểm của mô hình là tách biệt vật lý giữa Intranet/Extranet và Internet và phân tách giữa IGP và EGP. Nhược điểm của mô hình là cần phải có hai mạng riêng và không phải là giải pháp kinh tế.
Hình 3.8: Kết nối Internet và MPLS VPN tách biệt
CHƯƠNG 4: TRIỂN KHAI MPLS/VPN
4.1. TRIỂN KHAI MẠNG MPLS/VPN PHÍA NHÀ CUNG CẤP DỊCH VỤ
4.1.1. Cấu hình mạng VDC trước khi nâng cấp
Trước khi nâng cấp VDC đang triển khai hai mạng trục riêng biệt cho mạng IXP và mạng ISP. Mạng trục IXP chủ yếu được sử dụng để cân bằng tải giữa các tuyến quốc tế ở Hà Nội, Đà nẵng và Thành phố Hồ Chí Minh. Sau khi nâng cấp lên mạng MPLS, có thể thống nhất hai mạng trục này thành một mạng lõi IP. Mạng sẽ sử dụng hiệu quả hơn và dễ triển khai nhiều ứng dụng hơn và có khả năng kết nối đến nhiều khách hàng IXP. Những tính năng mới như “Carrier Suport Carrier” cho phép các nhà cung cấp kết nối khác hoặc khách hàng ISP chuyển lưu lượng qua mạng lõi IP VDC. Công nghệ AtoM (Any transport over MPLS) cho phép lưu lượng Fr, ATM, X.25 qua mạng lõi IP. AtoM là công nghệ mới đã được phát triển bởi Cisco và trở thành chuẩn IETF. Công nghệ đó cho phép tiếp tục cung cấp dịch vụ Frame Relay trong khi không cần đầu tư hơn nữa vào công nghệ Frame Relay cũ.
Mạng trục VDC hiện tại gồm hai tầng mạng cách biệt nhau bởi hệ thống firewall. Công nghệ chuyển gói tin trên nền IP với các giao thức định tuyến sử dụng là OSPF (định tuyến nội mạng) và BGP-4 (định tuyến liên mạng với các Carrier quốc tế, ISP trong nước).
Hạ tầng mạng VDC được triển khai chủ yếu dựa trên các thiết bị phần cứng của hãng CISCO.
Yêu cầu phát triển sẽ là triển khai ứng dụng công nghệ IP/MPLS trên toàn mạng để có các cơ chế thiết kế lưu lượng và đảm bảo chất lượng cho từng loại hình dịch vụ khác nhau trên mạng VDC.
Hình 4.1: Kiến trúc mạng VDC
4.1.2. Phương án nâng cấp mạng sử dụng công nghệ MPLS.
Để đáp ứng yêu cầu chuyển đổi mạng sang sử dụng công nghệ MPLS, trên cơ sở kế thừa các thiết bị mạng và các công nghệ hiện tại, mạng được triển khai dựa trên các thiết bị phần cứng của Cisco, đề xuất tổ chức lại mạng VDC như sau:
Mạng lõi (P router) gồm 3 tam giác kết nối 3 trung tâm: HNI, DNG và HCM tạo thành tam giác core đủ mạnh. Router lõi là sử dụng các dòng router cisco 12000 Series hỗ trợ đầy đủ các tính năng và công nghệ MPLS/VPN, MPLS-TE, MPLS/QoS đóng vai trò là các P router trong mô hình MPLS, hoặc các router 7600 sử dụng các Engines SUP7203BXL có khả năng hỗ trợ đầy đủ công nghệ MPLS và các tính năng MPLS/VPN, MPLS-TE, MPLS/QoS. Hoặc sử dụng các card OSM trên router 7600 để hỗ trợ MPLS và các tính năng MPLS, tuy nhiên việc sử dụng card OSM cho lưu lượng MPLS chỉ là giải pháp tạm thời, khó có khả năng nâng cấp mở rộng, và không thực hiện được đầy đủ các chức năng MPLS.
Mạng biên (PE router) gồm các router đóng vai trò là PE router trong mô hình mạng MPLS, sử dụng các dòng Cisco router 7500 tại các POP lớn như HNI, HCM, ĐNG. Tại các POP ở các tỉnh thành hiện nay việc triển khai ứng dụng MPLS và cung cấp dịch vụ MPLS/VPN mới chỉ được thực hiện tại các POPs ở các sử dụng router dòng 7200. Các router dòng 7500, 7200 hỗ trợ tốt các yêu cầu về MPLS và các tính năng của MPLS. Các POP khác tại các tỉnh thành hiện đang sử dụng các router dòng 3600 hiện hãng không còn sản xuất nên không thể nâng cấp (RAM, Flash Memory) để có thể ứng dụng MPLS và hỗ trợ các tính năng MPLS/VPN, MPLS-TE, MPLS/QoS. Các router tại các POPs này cần được nâng cấp lên các dòng mạnh hơn hỗ trợ đầy đủ công nghệ và tính năng của MPLS như các dòng router 7200, 7300, 7500, 7600,…
Trên cơ sở kế thừa việc triển khai ứng dụng công nghệ IP/MPLS cần phải chuẩn bị các điều kiện và thực hiện các nội dung công việc sau:
- Nâng cấp phần cứng của một số router đang sử dụng. Để hỗ trợ MPLS/VPN thì các router hiện nay vừa phải mang bảng định tuyến Internet vừa phải mang
bảng định tuyến VPN-IPv4 và đóng vai trò chuyển mạch nhãn LSR do đó yêu cầu về cấu hình về cấu hình phần cứng phải mạnh hơn.
- Nâng cấp phần mềm (các hệ điều hành-IOS) trên các router để hỗ trợ MPLS/VPN, sử dụng các phiên bản IOS mới (từ 12.2(20)) trở lên hỗ trợ đầy đủ công nghệ MPLS và các tính năng của MPLS dành cho nhà cung cấp. - Kích hoạt các router lớp lõi và lớp phân phối đóng vai trò LSR. Thực hiện cấu
hình các router này chạy thủ tục phân phối nhãn LDP. Khi kích hoạt LDP các router sẽ đóng vai trò như các thiết bị chuyển mạch nhãn.
- Kích hoạt các router lớp truy cập đóng vai trò các Edge-LSR. Thực hiện cấu hình thủ tục phân phối nhãn LDP và thủ tục định tuyến MP-BGP trên các router này. Thủ tục MP-BGP được kích hoạt sẽ cho phép các router lớp truy cập trao đổi thông tin định tuyến về các mạng VPN của khách hàng. MP-BGP sẽ xác định được sơ đồ định tuyến trong VPN của khách hàng, trên cơ sở đó sẽ quyết định việc gắn nhãn và gửi gói tin VPN theo hướng nào.
- Định nghĩa lại MTU, MTU bình thường chỉ hỗ trợ tối đa là 1500 byte, khi đóng gói MPLS thì kích thước gói có thể tăng thêm lên đến 16 byte. Như vậy có thể sẽ xảy ra tình trạng gói tin sẽ vượt quá kích thước quy định là nhỏ hơn 1500 byte, nếu vượt quá thì gói tin có thể bị chặn bỏ, do vậy ta phải cấu hình để hỗ trợ MTU lớn hơn 1516 byte.
Hình 4.2: Mô hình mạng MPLS sau nâng cấp
Mạng core 2 tam giác sẽ được điều chỉnh thành một mạng lõi trong để khắc phục các hạn chế liên quan đến định tuyến, cân bằng tải. Đồng thời, nâng tốc độ truyền dẫn từ STM1 hiện nay lên nxSTM-16 (ns2.5Gbps) để đảm bảo năng lực thực hiện các chức năng của một mạng core.
Sau khi nâng cấp mạng core trong lên nx2.5Gps, thực hiện cấu hình trên các thiết bị liên quan và chuyển dần lưu lượng mạng VDC trên Core ngoài vào Core2.5Gps.
Việc chuyển lưu lượng mạng vào core 2.5G được tiến hành từng bước, đồng thời theo dõi hoạt động của mạng. Các trung kế STM-1 vẫn giữ nguyên để dự phòng.
Sau khi đã chuyển hết lưu lượng vào core 2.5 mới, các trung kết STM-1 ngoài vẫn giữ nguyên làm dự phòng trong thời gian khoảng 01 tháng. Sau thời gian này, nếu mạng hoạt động tốt sẽ tiến hành giải phóng các kênh trung kế STM-1 của mạng Core ngoài (gồm các tuyến HNI-HCM, HNI-ĐNG, ĐNG-HCM: dung lượng 02xSTM-1/1 tuyến).
Các cổng giao diện STM-1 trên các Gateway router tại HNI, Tp.HCM và ĐNG sau khi được giải phóng sẽ được sử dụng để kết nối các luồng STM-1 đi quốc tế, kết nối với các ISP khác tại Việt Nam.
Hệ thống tường lửa và caching sẽ được điều chỉnh quy hoạch đưa ra ngoài miền MPLS, tạo thành các Internet Module, các trung tâm dịch vụ sẽ được kết nối vào các router biên (PE) của mạng MPLS/VDC.
Các router ở lớp mạng biên và router truy nhập (các POP router tỉnh) sẽ được cấu hình để đóng vai trò Edge-LSR (PE router). Các Edge-LSR này trao đổi thông tin định tuyến BGP trực tiếp với nhau để trao đổi các tuyến VPN.
Các router ở lớp lõi (router lõi ở 3 trung tâm) và router phân phối được cấu hình để đóng vai trò LSR (P). Các router này là các router trao đổi và chuyển tiếp nhãn trong miền MPLS.
Các trung tâm dịch vụ, quản lý mạng đảm bảo security được xây dụng tại các điểm Hà Nội, HCM và Đà Nẵng sẽ được kết nối vào các router biên (PE router) để cung cấp các dịch vụ và quản lý đảm bảo an ninh mạng.
4.1.3. Triển khai dịch vụ MPLS-VPN
Với mục tiêu tạo ra một giải pháp mạng an toàn bảo mật tối ưu, độ trễ thấp, và tích hợp với mọi ứng dụng dữ liệu như Data, Voice, Video...Giải pháp MPLS/VPN của
VDC được ứng dụng triển khai dựa trên công nghệ chuyển giao và thiết bị của Cisco. Hình 4.3 chỉ ra sơ đồ liên kết các thiết bị Cisco trong việc triển khai mạng MPLS/VPN.
Hình 4.3: Liên kết các thiết bị MPLS-VPN trên mạng VDC
Việc cấu hình các thiết bị Route CE, PE,P được thực hiện trên các bộ định tuyến của cisco có hỗ trợ MPLS, bao gồm các bước cấu hình chính như sau:
Cấu hình cho router CE: Cấu hình trao đổi tuyến giữa PE và CE bao gồm việc thực thi một giao thức định tuyến (hay tuyến tĩnh (static)/ngầm định (default)) trên các router CE. Trên PE, bối cảnh định tuyến (routing context) VRF (address family context) được yêu cầu để trao đổi tuyến giữa PE và CE. Các tuyến này sau đó được phân phối lẫn nhau nhờ cào tiến trình MP-BGP trên VRF.
Cấu hình chuyển tiếp MPLS và định danh VRF trên PE: Cấu hình chuyển tiếp MPLS là bước đầu tiên xây dựng MPLS VPN backbone của nhà cung cấp. Các bước tối thiểu để cấu hình chuyển tiếp MPLS trên PE như sau:
- Cho phép CEF.
- Cấu hình giao thức định tuyến IGP trên PE.
- Cấu hình MPLS hay chuyển tiếp nhãn trên giao tiếp PE kết nối với P.
- Cấu hình VRF trên PE, cấu hình VRF CustomerA trên PE1 và PE2 để tạo bảng định tuyến VRF và bảng CEF cho CustomerA.
RouterPE(config)#ip vrf CustomerA
- Cấu hình RD, RD tạo bảng chuyển tiếp và định tuyến. RD được thêm vào đầu địa chỉ Ipv4 của khách hàng để chuyển chúng thành địa chỉ VPNv4 duy nhất. Cấu hình thông số RD của VRF:
RouterPE(config-vrf)#rd route-distinguisher
- RD có thể được dùng theo các dạng sau: Chỉ số AS-16 bit : chỉ số 32 bit (ví dụ: 1:100) hoặc địa chỉ IP 32 bit : chỉ số 16 bit (ví dụ: 10.10.10.101:1). RD chỉ thay đổi khi xóa VRF đi. RD là duy nhất cho một VRF cụ thể. Không có hai VRF trên một router mà cùng giá trị RD.
- Cấu hình chính sách nhập (import) và xuất (export). Cấu hình chính sách nhập và xuất cho các community mở rộng của MP-BGP. Chính sách này dùng để lọc tuyến cho RT cụ thể.
Router(config-vrf)#route-target {import | export | both} route-target-ext-community
- Kết hợp VRF với giao tiếp. Nếu trên giao tiếp cấu hình sẵn địa chỉ IP thì việc kết hợp này sẽ làm mất địa chỉ IP trên giao tiếp đó nên phải cấu hình lại. PE1(config)#interface serial4/0
PE1(config-if)#ip add 172.16.1.1 255.255.255.252 PE1(config-if)# ip vrf forwarding CustomerA
PE1(config-if)#ip add 172.16.1.1 255.255.255.252 - Kiểm chứng cấu hình VRF trên PE.
Kiểm tra sự tồn tại của VRF trên giao tiếp: Router#show ip vrf
Liệt kê các giao tiếp hoạt động trong một VRF cụ thể: Router#show ip vrf interfaces
- Cấu hình định tuyến BGP PE-PE trên router PE. Mục đích của bước này là chắc rằng các tuyến VPNv4 có thể được chuyển vận qua mạng trục của nhà cung cấp bằng MP-iBGP. Router P là trong suốt đối với tiến trình này nên nó