L ỜI MỞ ĐẦU
3.6.3 Ưu điểm của MPLS VPN
MPLS VPN khác biệt với các VPN trước đĩ là khơng đĩng gĩi và mã hĩa gĩi tin để đạt mức bảo mật cao. MPLS VPN sử dụng bảng chuyển tiếp và các nhãn (tags) để tạo tính bảo mật cho mạng VPN. Kiến trúc mạng này sử dụng các tuyến mạng xác định để phân phối các dịch vụ VPN và cơ chế xử lý thơng minh của MPLS VPN hồn tồn trong phần lõi mạng.
Trước tiên, ta hãy xem xét một số thuật ngữ được dùng trong mạng MPLS VPN. Thiết bị CPE trong MPLS-VPN chính là các CE (Customer Edge) router và các CE router này được nối với mạng của nhà cung cấp dịch vụ thơng qua các PE (Provider Edge) router. Một mạng VPN sẽ bao gồm một nhĩm các CE router kết nối với các PE router của nhà cung cấp dịch vụ. Tuy nhiên, chỉ những PE router mới cĩ khái niệm về VPN, cịn các CE router thì khơng “nhận thấy” những gì đang diễn ra bên trong mạng của nhà cung cấp dịch vụ và sẽ coi như chúng đang được kết nối với nhau thơng qua một mạng riêng.
Mỗi VPN được kết hợp với một bảng định tuyến - chuyển tiếp VPN (VRF) riêng biệt. VRF cung cấp các thơng tin về mối quan hệ trong VPN của một site khách hàng khi được nối với PE router. Bảng VRF bao gồm thơng tin bảng định tuyến IP (IP routing table), bảng CEF (Cisco Express Forwarding), các giao diện của bảng định tuyến; các quy tắc, các tham số của giao thức định tuyến... Mỗi site chỉ cĩ thể kết hợp với một và chỉ một VRF. Các VRF của site khách hàng mang tồn bộ thơng tin về các “tuyến” cĩ sẵn từ site tới VPN mà nĩ là thành viên.
Đối với mỗi VRF, thơng tin sử dụng để chuyển tiếp các gĩi tin được lưu trong các bảng định tuyến IP và bảng CEF. Các bảng này được duy trì riêng rẽ cho từng VRF nên nĩ ngăn chặn được hiện tượng thơng tin bị chuyển tiếp ra ngồi mạng VPN cũng như ngăn chặn các gĩi tin bên ngồi mạng VPN chuyển tiếp vào các router bên trong mạng VPN. đây chính là cơ chế bảo mật của MPLS VPN. Bên trong mỗi một MPLS VPN, cĩ thể kết nối bất kỳ hai điểm nào với nhau và các site cĩ thể gửi thơng tin trực tiếp cho nhau mà khơng cần thơng qua site trung tâm.
Tham số phân biệt tuyến RD (Route Distinguisher) giúp nhận biết các địa chỉ IP thuộc VPN riêng biệt nào. Xét mơ hình mạng như Hình 3-25, cĩ 3 VPN khác nhau và được xác định bởi các RD: 10, 20 và 30. Một mạng MPLS cĩ thể hỗ trợ hàng trăm đến hàng nghìn VPN. Phần bên trong của kiến trúc mạng MPLS VPN được kết cấu bởi các thiết bị của nhà cung cấp. Những thiết bị này hình thành mạng lõi (core) MPLS và khơng được nối trực tiếp đến các CE router. Các chức năng VPN của một mạng MPLS-VPN sẽđược thực hiện bởi các PE router bao quanh mạng lõi này. Cả P router
trong mạng MPLS. Các site khách hàng cĩ thể được kết nối với các PE router bằng nhiều cách khác nhau như T1, Frame Relay, DSL, ATM, v.v...
Hình 3-25 : Mơ hình mạng MPLS
Một trong những ưu điểm lớn nhất của các MPLS VPN là khơng địi hỏi các thiết bị CPE thơng minh bởi vì tồn bộ các chức năng VPN được thực hiện ở phía trong mạng lõi của nhà cung cấp dịch vụ và hồn tồn “trong suốt” đối với các CPE. Các CPE khơng địi hỏi chức năng VPN và hỗ trợ IPSec. điều này cĩ nghĩa là khách hàng khơng phải chi phí quá cao cho các thiết bị CPE.
Trễ trong mạng được giữở mức thấp nhất vì các gĩi tin lưu chuyển trong mạng khơng phải thơng qua các hoạt động như đĩng gĩi và mã hĩa. Sở dĩ khơng cần chức năng mã hĩa là vì MPLS VPN tạo nên một mạng riêng. Phương pháp bảo mật này gần giống như bảo mật trong mạng Frame Relay. Thậm chí trễ trong MPLS VPN cịn thấp hơn là trong mạng MPLS IP sử dụng chuyển mạch nhãn
Việc tạo một mạng đầy đủ (mạng mắt lưới) VPN là hồn tồn đơn giản vì các MPLS VPN khơng sử dụng cơ chế tạo đường hầm. Vì vậy, cấu hình mặc định cho các mạng MPLS VPN là mạng mắt lưới, trong đĩ các site được nối trực tiếp với PE vì vậy các site bất kỳ cĩ thể trao đổi thơng tin với nhau trong VPN. Và thậm chí, nếu site trung tâm gặp trục trặc, các site ở xa vẫn cĩ thể liên lạc với nhau.
Hoạt động khai thác và bảo dưỡng cũng đơn giản hơn trong mạng MPLS-VPN. Hoạt động này chỉ cần thực hiện tại các thiết bị bên trong mạng lõi mà khơng cần phải tiếp xúc đến các CPE. Một khi một site đã được cấu hình xong, ta khơng cần đụng chạm đến nĩ nữa cho dù nếu muốn thêm một site mới vào mạng vì những thay đổi về cấu hình lúc này chỉ cần thực hiện tại PE mà nĩ nối tới.
Vấn đề bảo mật thậm chí cịn đơn giản hơn nhiều khi triển khai trong các mạng MPLS VPN vì một VPN khép kín bản thân nĩ đã đạt được sự an tồn thơng tin do khơng cĩ kết nối với mạng Internet cơng cộng. Nếu cĩ nhu cầu truy nhập Internet, một tuyến sẽ được thiết lập để cung cấp khả năng truy nhập. Lúc này, một tường lửa sẽ được sử dụng trên tuyến này để đảm bảo một kết nối bảo mật cho tồn bộ mạng VPN. Cơ chế hoạt động này rõ ràng dễ dàng hơn nhiều cho hoạt động quản lý mạng vì chỉ cần duy trì các chính sách bảo mật cho một tường lửa duy nhất mà vẫn đảm bảo an tồn cho tồn bộ VPN.
Một ưu điểm nữa của các mạng MPLS VPN là chỉ cần một kết nối duy nhất cho mỗi remote site. So sánh với mạng Frame Relay truyền thống cĩ 1 nút trung tâm và 10 remote site (mỗi một remote site sẽ cần một Frame Relay PVC) thì tại nút trung tâm (hub) sẽ cần 10 PVCs. Trong khi bên trong một mạng MPLS VPN chỉ cần duy nhất một PVC tại vị trí hub trung tâm nên chi phí mạng sẽ giảm đáng kể.