- Chất lượng của dịch vụ (QoS)
2.2.5Chuyển tiếp gói MPLS và đường chuyển mạch nhãn
Mỗi một gói tin khi tham gia mạng MPLS tại LSR vào và ra khỏi mạng MPLS tại một LSR ra. Cơ chế này tạo ra Đường chuyển mạch nhãn – Label Switched Path (LSP), được mô tả như là một nhóm các LSRs mà các gói được gán nhãn phải đi qua để tới LSR đầu ra cho một FEC cụ thể.
LSP là một hướng kết nối (connection-oriented) bởi vì đường dẫn được tạo ra trước khi có sự vận chuyển lưu lượng. Tuy nhiên, việc thiết lập kết nối này dựa trên thông tin về mô hình mạng hơn là yêu cầu về luồng lưu lượng.
Khi gói tin đi qua mạng MPLS, mỗi LSR sẽ hoán đổi nhãn đi vào với một nhãn đi ra cho đến LSR cuối cùng, được biết đến là LSR ra. (giống như cơ chế được sử dụng trong mạng ATM nơi mà một cặp VPI/VCI này được tráo đổi với một cặp VPI/VCI khác khi ra khỏi chuyển mạch ATM)
2.2.5.1 Các ứng dụng của MPLS
Hình 2.9 Các ứng dụng khác nhau của MPLS
MPLS được tạo ra để kết hợp của định tuyến truyền thống và chuyển mạch ATM trong một mạng lõi IP thống nhất ( IP-ATM cấu trúc). Tuy nhiên ưu thế thực sự của MPLS chính là các ứng dụng khác mà nó đem lại, từ điều khiển lưu lượng (Traffic Engineering) tới mạng riêng ảo (Virtual Private Networks). Tất cả các ứng dụng này sử dụng chức năng miền điều khiển để thiết lập một cơ sở dữ liệu chuyển mạch
2.2.5.2 Điều khiển lưu lượng
Vấn đề quan trọng trong các mạng IP là thiếu khả năng điều khiển linh hoạt các luồng lưu lượng IP để sử dụng hiệu quả dải thông mạng có sẵn. Do vậy, thiếu hụt này liên quan đến khả năng gửi các luồng được chọn xuống các đường được chọn ví dụ như chọn các đường trung kế được bảo đảm cho các lớp dịch vụ riêng. MPLS sử dụng các đường chuyển mạch nhãn LSP mà có thể được thiết lập trên cả ATM và thiết bị dựa trên gói tin. Khả năng kỹ thuật lưu lượng của MPLS sử dụng thiết lập các LSP để điều khiển một cách linh hoạt các luồng lưu lượng IP.
2.2.5.3 Tích hợp IP và ATM
Do “chuyển mạch nhãn” có thể thực hiện được bởi các chuyển mạch ATM, MPLS là một phương pháp tích hợp các dịch vụ IP trực tiếp trên chuyển mạch ATM. Sự tích hợp này cần phải đặt định tuyến IP và phần mềm LDP trực tiếp trên chuyển mạch ATM. Do tích hợp hoàn toàn IP trên chuyển mạch ATM, MPLS cho phép chuyển mạch ATM hỗ trợ tối ưu các dịch vụ IP như IP đa hướng (multicast), lớp dịch vụ IP, RSVP và mạng riêng ảo VPN
2.2.5.4 Hỗ trợ chất lượng dịch vụ
Một thiếu sót của mạng IP so với mạng Frame Relay và ATM, là sự bất lực của chúng để cung cấp dịch vụ thoả mãn nhu cầu lưu lượng. Ví dụ lưu lượng thời gian thực như voice hay video cần dịch vụ chất lượng cao (độ trễ luồng thấp, mất luồng thấp…) khi truyền qua mạng. Tương tự dữ liệu trong kinh tế thương mại phải được ưu tiên qua trình duyệt web thông thường.
Kết nối định hướng mang tính tự nhiên của MPLS cung cấp khung làm việc hợp lý để đảm bảo chất lượng lưu lượng IP. Trong khi QoS và lớp dịch vụ CoS (Class of Service) không phải là cơ sở đặc biệt của MPLS, chúng có thể ứng dụng trong mạng MPLS khi kỹ thuật lưu lượng được sử dụng. Điều này cho phép nhà cung cấp thiết lập hợp đồng mức dịch vụ SLA (Service Level Agreements) với khách hàng để đảm bảo dịch vụ như độ rộng băng thông, độ trễ, mức thất thoát. Dịch vụ giá trị gia tăng có thể được phân phối bổ sung như truyền tải dữ liệu cơ sở, tăng thu nhập và cuối cùng cho tiến tới mạng hội tụ.
Intserv and Diffserv, qua thời gian một số kỹ thuật được phát triển để thiết lập QoS/CoS trong một mạng. Trong mô hình dịch vụ tích hợp Intserv (Integrated Services), RSVP đã phát triển thủ tục báo hiệu QoS qua một mạng, cho phép thiết bị sắp xếp và thiết lập thông số lưu lượng đảm bảo như độ rộng băng thông và độ trễ đầu cuối - đầu cuối. Nó sử dụng nguồn tài nguyên tại chỗ, đảm bảo dịch vụ xuống theo luồng cơ sở. Mô hình dịch vụ khác nhau Diffserv (Differentiated Services) giảm bớt cứng nhắc, cung cấp phân phối CoS để đối xử như nhau đối với lớp lưu lượng có mức ưu tiên như nhau, nhưng không có báo hiệu hay đảm bảo dịch vụ đầu cuối đầu cuối. Diffserv định nghĩa lại kiểu dịch vụ ToS (Type of Service) trong tiêu đề gói IP để cung cấp sự phân loại này.
Trong khi Intserv đảm bảo độ rộng băng lưu lượng, nó xác nhận không thể tăng hay thực hiện hoạt động qua mạng lớn. IETF kết hợp Difserv và kỹ thuật lưu lượng MPLS để cung cấp QoS đảm bảo trong mạng MPLS. Thông tin Diffserv trong tiêu đề gói IP được ánh xạ trong thông tin nhãn của gói MPLS. Bộ định tuyến MPLS cập nhật thông tin ưu tiên để truyển tiếp dữ liệu thích hợp. Một số cơ chế sử dụng gồm chia sẻ lưu lượng, đợi, và phân loại gói.
QoS thực hiện ở biên của đám mây MPLS, ở nơi lưu lượng phi nhãn từ mạng khách hàng đi vào mạng truyền thông. Tại cổng vào này, lưu lượng thời gian thực dễ bị ảnh hưởng như lưu lượng định dạng voice IP hay hội nghị video có thể được ưu tiên phân phát qua sự chuyển giao dữ liệu lớn.
2.2.5.5 Mạng riêng ảo
Dịch vụ VPN là dịch vụ mạng Intranet và Extranet mà các mạng đó được cung cấp bởi nhà cung cấp dịch vụ đến nhiều tổ chức khách hàng. MPLS kết hợp với giao thức BGP cho phép một nhà cung cấp mạng hỗ trợ hàng nghìn VPN của khách hàng. Như vậy, mạng MPLS cùng với BGP tạo ra cách thức cung cấp dịch vụ VPN trên cả ATM và các thiết bị dựa trên gói tin rất linh hoạt, dễ mở rộng quy mô và dễ quản lý. Thậm chí trên các mạng của nhà cung cấp khá nhỏ, khả năng linh hoạt và dễ quản lý của các dịch vụ BGP/MPLS VPN là ưu điểm chủ yếu.
Không giống như các mạng VPN truyền thống, các mạng MPLS VPN không sử dụng hoạt động đóng gói và mã hóa gói tin để đạt được mức độ bảo mật cao. MPLS VPN sử dụng bảng chuyển tiếp và các nhãn “tags” để tạo nên tính bảo mật cho mạng VPN. Kiến trúc mạng loại này sử dụng các tuyến mạng xác định để phân phối các dịch vụ VPN, và các cơ chế xử lý thông minh của MPLS VPN lúc này nằm hoàn toàn trong phần lõi của mạng.
Trước tiên, ta hãy xem xét một số thuật ngữ được dùng trong mạng MPLS VPN. Thiết bị CPE trong MPLS-VPN chính là các CE (Customer Edge) router và các CE router này được nối với mạng của nhà cung cấp dịch vụ thông qua các PE (Provider Edge) router. Một mạng VPN sẽ bao gồm một nhóm các CE router kết nối với các PE router của nhà cung cấp dịch vụ. Tuy nhiên, chỉ những PE router mới có khái niệm về VPN, còn các CE router thì không “nhận thấy” những gì đang diễn ra bên trong mạng của nhà cung cấp dịch vụ và sẽ coi như chúng đang được kết nối với nhau thông qua một mạng riêng.
Mỗi VPN được kết hợp với một bảng định tuyến - chuyển tiếp VPN (VRF) riêng biệt. VRF cung cấp các thông tin về mối quan hệ trong VPN của một mạng khách hàng khi được nối với PE router. Bảng VRF bao gồm thông tin bảng định tuyến IP (IP routing table), bảng CEF (Cisco Express Forwarding), các giao diện của bảng định tuyến; các quy tắc, các tham số của giao thức định tuyến... Mỗi mạng chỉ có thể kết hợp với một và chỉ một VRF. Các VRF của mạng khách hàng mang toàn bộ thông tin về các “tuyến” có sẵn từ mạng tới VPN mà nó là thành viên.
Đối với mỗi VRF, thông tin sử dụng để chuyển tiếp các gói tin được lưu trong các bảng định tuyến IP và bảng CEF. Các bảng này được duy trì riêng rẽ cho từng VRF nên nó ngăn chặn được hiện tượng thông tin bị chuyển tiếp ra ngoài mạng VPN cũng như ngăn chặn các gói tin bên ngoài mạng VPN chuyển tiếp vào các router bên trong mạng VPN. đây chính là cơ chế bảo mật của MPLS VPN. Bên trong mỗi một MPLS VPN, có thể kết nối bất kỳ hai điểm nào với nhau và các mạng có thể gửi thông tin trực tiếp cho nhau mà không cần thông qua mạng trung tâm.
Tham số phân biệt tuyến RD (Route Distinguisher) giúp nhận biết các địa chỉ IP thuộc VPN riêng biệt nào. Xét mô hình mạng như hình dưới, có 3 VPN khác nhau và được xác định bởi các RD: 10, 20 và 30. Một mạng MPLS có thể hỗ trợ hàng trăm đến hàng nghìn VPN. Phần bên trong của kiến trúc mạng MPLS VPN được kết cấu bởi các thiết bị của nhà cung cấp. Những thiết bị này hình thành mạng lõi (core) MPLS và không được nối trực tiếp đến các CE router. Các chức năng VPN của một mạng MPLS-VPN sẽ được thực hiện bởi các PE router bao quanh mạng lõi này. Cả P router và PE router đều là các bộ định tuyến chuyển mạch nhãn LSR (Label Switch Router) trong mạng MPLS. Các site khách hàng có thể được kết nối với các PE router bằng nhiều cách khác nhau như T1, Frame Relay, DSL, ATM, v.v...
Hình 2.10 Mô hình mạng MPLS
Trong một mạng MPLS VPN, site phía khách hàng sẽ sử dụng IP thông thường mà không cần biết đến MPLS, IPSec hay bất cứ một chức năng VPN đặc biệt nào.
Tại các PE router, một cặp VRF và RD sẽ tương ứng với mỗi liên kết đến site của khách hàng (customer site). Liên kết này có thể là một liên kết vật lý T1, Frame Relay hay ATM VC, DSL... Giá trị RD sẽ hoàn toàn “ẩn” và sẽ không được cấu hình tại các thiết bị của khách hàng.
Sau đây ta xét một ví dụ cụ thể đường đi của một gói tin trong mạng VPN của khách hàng từ PC A thuộc site A tới PC B thuộc site B thông qua mạng MPLS.
- Gói tin đến từ site A của PE router R1 như một gói IP thông thường với địa chỉ đích 10.2.1.100. Site này thuộc mạng VPN với RD:10.
- R1 sẽ tra cứu bảng chuyển tiếp VPN của nó và dựa vào bảng này để gán nhãn cho gói tin, trong trường hợp này là nhãn 56. Nhãn này mang thông tin về đích đến của gói tin trong mạng VPN với RD:10
RD Prefix Destination PE Label
10 10.2.0.0/16 216.70.128.192 56 10 10.3.0.0/16 216.70.128.133 32
10 10.4.0.0/16 216.70.128.60 210
10 10.5.0.0/16 216.70.128.84 109
- R1 chuyển tiếp gói tin dựa vào địa chỉ PE đích trong bảng FIB (Label Forwarding Information Base). Khi gói tin này được chuyển đi, nó sẽ được gán một nhãn MPLS trong bảng LIB. Nhãn này (188) tương ứng với nhãn được yêu cầu để chuyển tiếp gói tin đến R2, có địa chỉ IP là 216.70.128.192.
- LSR1 tiếp nhận gói tin và thưc hiện hoạt động chuyển mạch nhãn thông thường. Trong ví dụ này, LSR1 tráo đổi nhãn 188 với nhãn 62, sau đó chuyển tiếp gói tin đến LSR2.
- LSR2 tiếp nhận gói tin và thực hiện chức năng Penultimate Hop Popping bởi vì đây là chặng cuối cùng trước khi gói tin đến PE đích, LSR2 sẽ loại bỏ nhãn (62) và gửi gói tin tới R2 với nhãn 56.
- Sau khi R2 tiếp nhận gói tin, nó sẽ tra nhãn 56 trong bảng chuyển tiếp VPN, trong trường hợp này, nhãn sẽ tương ứng với RD:10. Sau đó, R2 tham chiếu địa chỉ IP trong gói tin để xác định ra đích đến là RD:10 với địa chỉ IP 10.2.1.100. R2 xác định RD:10 và địa chỉ IP:10.2.1.100 là thuộc site được liên kết trực tiếp với R2 bởi một liên kết IP thông thường nên nó sẽ loại bỏ nhãn và chuyển tiếp gói IP tới site đó.
RD Prefix Destination PE Label
10 10.1.0.0/16 216.70.128.216 318 10 10.2.0.0/16 216.70.128.192 56 10 10.3.0.0/16 216.70.128.133 32 10 10.4.0.0/16 216.70.128.60 210 10 10.5.0.0/16 216.70.128.84 109
Chú ý rằng địa chỉ IP 10.2.1.100 và 216.70.128.192 khác nhau về phạm vi, địa chỉ IP 10.2.1.100 thuộc mạng VPN với RD:10 và chỉ những gói tin bên trong VPN này mới có thể đến được địa chỉ này. Có thể có một địa chỉ IP 10.2.1.100 khác ở các VPN khác, nhưng chúng được đặc trưng bởi những RD khác nhau. địa chỉ 216.70.128.192 thuộc mạng đường trục và nó không thuộc một VPN nào.
Một trong những ưu điểm lớn nhất của các MPLS VPN là không đòi hỏi các thiết bị CPE thông minh bởi vì toàn bộ các chức năng VPN được thực hiện ở phía
trong mạng lõi của nhà cung cấp dịch vụ và hoàn toàn “trong suốt” đối với các CPE. Các CPE không đòi hỏi chức năng VPN và hỗ trợ IPSec. điều này có nghĩa là khách hàng không phải chi phí quá cao cho các thiết bị CPE.
Trễ trong mạng được giữ ở mức thấp nhất vì các gói tin lưu chuyển trong mạng không phải thông qua các hoạt động như đóng gói và mã hóa. Sở dĩ không cần chức năng mã hóa là vì MPLS VPN tạo nên một mạng riêng. Phương pháp bảo mật này gần giống như bảo mật trong mạng Frame Relay. Thậm chí trễ trong MPLS VPN còn thấp hơn là trong mạng MPLS IP sử dụng chuyển mạch nhãn
Việc tạo một mạng đầy đủ (full mesh) VPN là hoàn toàn đơn giản vì các MPLS VPN không sử dụng cơ chế tạo đường hầm. Vì vậy, cấu hình mặc định cho các mạng MPLS VPN là full mesh, trong đó các site được nối trực tiếp với PE vì vậy các site bất kỳ có thể trao đổi thông tin với nhau trong VPN. Và thậm chí, nếu site trung tâm gặp trục trặc, các spoke site vẫn có thể liên lạc với nhau.
Hoạt động khai thác và bảo dưỡng cũng đơn giản hơn trong mạng MPLS-VPN. Hoạt động này chỉ cần thực hiện tại các thiết bị bên trong mạng core mà không cần phải tiếp xúc đến các CPE. Một khi một site đã được cấu hình xong, ta không cần đụng chạm đến nó nữa cho dù nếu muốn thêm một site mới vào mạng vì những thay đổi về cấu hình lúc này chỉ cần thực hiện tại PE mà nó nối tới.
Vấn đề bảo mật thậm chí còn đơn giản hơn nhiều khi triển khai trong các mạng MPLS VPN vì một VPN khép kín bản thân nó đã đạt được sự an toàn thông tin do không có kết nối với mạng Internet công cộng. Nếu có nhu cầu truy nhập Internet, một tuyến sẽ được thiết lập để cung cấp khả năng truy nhập. Lúc này, một firewall sẽ được sử dụng trên tuyến này để đảm bảo một kết nối bảo mật cho toàn bộ mạng VPN. Cơ chế hoạt động này rõ ràng dễ dàng hơn nhiều cho hoạt động quản lý mạng vì chỉ cần duy trì các chính sách bảo mật cho một firewall duy nhất mà vẫn đảm bảo an toàn cho toàn bộ VPN
Một ưu điểm nữa của các mạng MPLS VPN là chỉ cần một kết nối duy nhất cho mỗi remote site. So sánh với mạng Frame Relay truyền thống có 1 nút trung tâm và 10 remote site (mỗi một remote site sẽ cần một Frame Relay PVC) thì tại nút trung tâm (hub) sẽ cần 10 PVCs. Trong khi bên trong một mạng MPLS VPN chỉ cần duy nhất một PVC tại vị trí hub trung tâm nên chi phí mạng sẽ giảm đáng kể.
2.3 Kết luận
Như vậy có thể nói VPN là một trong những ứng dụng quan trọng nhất của MPLS. Kỹ thuật MPLS VPN đưa ra một thay đổi cơ bản trong công nghệ VPN đó là sử dụng khái niệm Virtual Router thay cho Dedicated Router và Shared Router. Từ
việc phân tích phương thức hoạt động của MPLS VPN ta thấy nó có nhiều ưu điểm hơn so với các dịch vụ VPN truyền thống:
Riêng biệt và bảo mật: MPLS VPN giữ các thông tin định tuyến riêng biệt cho mỗi VPN, đảm bảo người dùng chỉ có thể liên lạc được với các địa chỉ đã được lập sẵn cho VPN của mình.
Độc lập với khách hàng: MPLS VPN có cách đánh địa chỉ (gán nhãn trong mạng MPLS) hết sức linh hoạt, người dùng có thể sử dụng bất cứ dải địa chỉ nào (kể cả các địa chỉ kiểm tra hoặc các địa chỉ không được đăng ký) hoặc có thể sử sụng NAT