CHƢƠNG 2 : MỘT SỐ ỨNG DỤNG CỦA MPLS
2.4. ỨNG DỤNG MPLS TRONG MẠNG RIÊNG ẢO VPN
2.4.4. Những yêu cầu và giải pháp với mạng riêng ảo có hỗ trợ MPLS
BGP/MPLS có sử dụng nhiều cơ chế để làm tăng tính mở của cách tiếp cận và giải quyết một số vấn đề cụ thể của mạng riêng ảo. Các yêu cầu chủ yếu như sau:
Hỗ trợ việc dùng chung địa chỉ IP của các khách hàng (overlapping)
Chế ngự kết nối mạng.
Duy trì thông tin định tuyến mạng riêng ảo cập nhật.
Bảo tồn băng thông mạng trục nhà cung cấp và tài nguyên xử lý gói các bộ định tuyến biên nhà cung cấp
2.4.4.1. Hỗ trợ việc chồng địa chỉ của khách hàng VPN.
Khách hàng mạng riêng ảo thường sử dụng mạng riêng ảo của họ với việc sử dụng khoảng địa chỉ riêng RFC 1918. Một trường hợp xảy ra là khách hàng sử dụng các địa chỉ IP duy nhất toàn bộ, cùng một địa chỉ 32 bít IPv4 có thể được sử dụng để định danh cho các hệ thống khác nhau trong mạng riêng ảo. Vì vậy nên nhà cung cấp sẽ gặp một số khó khăn trong việc quản lý địa chỉ của các khách hàng VPN của mình. Để giải quyết hiện trạng này, BGP/MPLS có hỗ trợ một cơ chế chuyển đổi các địa chỉ IP không duy nhất thành một địa chỉ mới duy nhất cho toàn bộ mạng thông qua việc sử dụng địa chỉ IPv4 với việc triển khai mở rộng BGP đa giao thức (MPLS-BGP: Multiprotocol BGP extensions).
Một yêu cầu được đưa ra khi chồng các khoảng địa chỉ đó là, nếu BGP thường thấy hai tuyến khác nhau tới cùng một tiền tố địa chỉ IPv4, trong đó tiền tố được gán cho hệ thống ở mạng riêng ảo khác nhau, BGP sẽ coi như các tiền tố đó là giống hệt nhau và chỉ đặt (install) một tuyến. Kết quả là hệ thống kia không đạt tới được. Loại trừ vấn đề này đòi hỏi phải có một cơ cấu cho phép BGP làm thành một nghĩa các tiền tố (prefixes), để cho nó có khả năng đặt hai tuyến hoàn toàn khác nhau có các địa chỉ đó, mỗi tuyến cho một mạng riêng ảo. RFC 2547bis hỗ trợ khả năng này bằng định nghĩa họ địa chỉ mạng riêng ảo IPv4 (Mạng riêng ảo-IPv4)
Một địa chỉ mạng riêng ảo BGP/MPLS có chiều dài 12 byte và được cấu thành từ một bộ phân biệt tuyến RD (Route Distinguisher) và tiếp theo là địa chỉ IPv4 dài
79
4 byte. Hình vẽ 2.4.9 dưới đây thể hiện một địa chỉ mạng riêng ảo.
Hình 2.4.9: Cấu trúc địa chỉ mạng riêng ảo
Bộ phân biệt tuyến RD có chiều dài 8 byte được cấu thành từ hai thành phần: trường Type (Type Field) dài 2 byte và trường Value (Value Field) dài 6 byte. Trường Type xác định chiều dài các trường con của Value Field (Administrator Subfield và Assigned Number Subfield), cũng như tính chất của Administrator Field. Hiện thời, có 2 giá trị được định nghĩa cho Type Field là 0 và 1.
Type Field có giá trị 0, thì Administrator Subfield có chiều dài 2 Byte và Assigned Number Subfield có chiều dài 4 byte. Administrator chứa một số hệ thống tự trị ASN (Autonomous System Number). Assigned Subfield chứa một giá trị từ khoảng số được quản trị bởi nhà cung cấp dịch vụ, người chào dịch vụ mạng riêng ảo là người được phân phối cho ASN.
Type Field có giá trị 1, thì Administrator Subfield có chiều dài 4 byte và Assigned Number Subfield có chiều dài 2 byte. Administrator subfield chứa địa chỉ IPv4. Assigned Number Subfield chứa một giá trị từ khoảng số được quản trị bởi nhà cung cấp dịch vụ, người chào dịch vụ mạng riêng ảo là người được phân phối cho ASN.
Khi cấu hình bộ phân biệt tuyến RD trên các bộ định tuyến biên nhà cung cấp (PE) RFC 2547 không đòi hỏi là tất cả các tuyến trong một mạng riêng ảo sử dụng cùng một bộ phân biệt tuyến RD, và trên thực tế, mỗi một VRF trong một mạng riêng ảo có thể sử dụng bộ phân biệt tuyến RD riêng của mình. Tuy nhiên nhà cung cấp dịch vụ phải đảm bảo rằng các bộ phân biệt tuyến RD là duy nhất trên toàn bộ hệ thống mạng.
Các bộ phân biệt tuyến RD duy nhất toàn bộ cung cấp một cơ cấu cho phép mỗi nhà cung cấp dịch vụ quản trị khoảng địa chỉ của riêng mình và tạo ra các địa chỉ mạng riêng ảo IPv4 duy nhất toàn bộ mà không bị xung đột với các sự phân phối bộ phân biệt tuyến RD được thực hiện bởi các nhà cung cấp dịch vụ khác. Việc sử dụng các bộ phân biệt tuyến RD duy nhất toàn bộ sẽ hỗ trợ các điểm sau.
80
Tạo ra đa tuyến duy nhất toàn bộ tới cùng một hệ thống
Sử dụng chính sách để quyết định các gói nào sẽ sử dụng tuyến nào
Cuối cùng, cần lưu ý một số quan sát (observations) sẽ giúp tránh nhầm lẫn liên quan đến cách sử dụng địa chỉ Mạng riêng ảo-IPv4 trong một mạng riêng ảo BGP/MPLS.
Các địa chỉ Mạng riêng ảo-IPv4 được sử dụng chỉ trong mạng nhà cung cấp dịch vụ.
Các khách hàng mạng riêng ảo không nhận biết được việc sử dụng các địa chỉ Mạng riêng ảo-IPv4.
Các địa chỉ Mạng riêng ảo-IPv4 được mang trong các giao thức định tuyến chạy trên mạng trục của nhà cung cấp.
Các địa chỉ Mạng riêng ảo-IPv4 không được mang trong các mào đầu gói (packet header) của giao thông dữ liệu mạng riêng ảo khi nó qua mạng trục của nhà cung cấp.
2.4.4.2. Liên kết mạng có ràng buộc (Constraining Network Connectivity)
Một sự thừa nhận cơ bản về định tuyến IP là nếu tuyến tới một mạng cụ thể không được đặt cụ thể trong một mạng định tuyến của bộ định tuyến, thì dĩ nhiên mạng đó sẽ không đạt tới được từ bộ định tuyến này. Qua việc chế ngự dòng thông tin định tuyến, các nhà cung cấp dịch vụ có thể kiểm soát hiệu quả dòng của giao thông dữ liệu mạng riêng ảo khách hàng. Mô hình mạng riêng ảo BGP/MPLS chế ngự dòng thông tin định tuyến sử dụng hai cơ cấu:
Nhiều bảng thông tin chuyển tiếp (Multiple Forwarding Tables).
Các thuộc tính BGP mở rộng.
Nhiều bảng thông tin chuyển tiếp
Mỗi một định tuyến biên nhà cung cấp (PE) duy trì một hoặc nhiều bảng thông tin chuyển tiếp theo vị trí được biết đến là VRF. Khi một định tuyến biên nhà cung cấp được cấu hình, mỗi một VRF của nó được liên kết với một hoặc nhiều cổng trên định tuyến biên nhà cung cấp mà kết nối trực tiếp với khách hàng của nhà cung cấp dịch vụ. Khi một gói tin truyền từ định tuyến biên khách hàng (CE), khi gói tin đến
81
định tuyến biên nhà cung cấp (PE), PE thực hiện việc kiểm tra tuyến trong VRF mà liên kết trực tiếp với vị trí này. VRF riêng được xác định bởi giao diện con mà qua đó gói dữ liệu đã được nhận. Hỗ trợ nhiều bảng thông tin chuyển tiếp làm đơn giản cho định tuyến biên nhà cung cấp do đó mang lại khả năng tách riêng giao thông định tuyến theo mạng riêng ảo.
Hình 2.4.10: Biểu diễn cách PE1 cƣ trú ở VRF đỏ.
PE 1 học các tuyến VPN đỏ của Site 1 từ CE 1 và cài chúng vào VRF đỏ Các tuyến từ xa (remote) được học thông qua MP-IBGP từ các PE khác mà được kết nối trực tiếp vào các vị trí với các máy (hosts) mà là thành viên của VPN bên trên. PE 1 học các tuyến VPN bên trên của Site 2 từ CE 2 và cài chúng vào VRF bên trên. Việc nhập khẩu (import) các tuyến từ xa (remote routes) vào VRF bên trên được quản trị thông qua sử dụng các thuộc tính định tuyến BGP mở rộng (BGP extended community route target attributes).
Các tuyến VPN dương (blue) cục bộ tại Site 4 và các tuyến VPN dương tại Site 3 không được liên đới với VPN bên trên và không được nhập khẩu (import) vào VRF đỏ.
2.4.5. Vấn đề an toàn và khả năng hỗ trợ QoS của mạng riêng ảo MPLS 2.4.5.1. An toàn thông tin trong mạng MPLS VPN.
Cũng giống như mọi hệ thống mạng khác, vấn đề an toàn thông tin là một trong những điểm cần quan tâm nhất trong mạng MPLS VPN. BGP/MPLS VPN đạt được mức độ an toàn cao nhất trong tất cả các giải pháp VPN khác. Giải pháp
82
Frame Relay và ATM cung cấp. Điều này có nghĩa là phải đảm bảo cho các gói dữ liệu của một VPN không đi lạc sang một VPN khác trong trường hợp cấu hình đúng.
Điều này là hoàn toàn thực hiện được. Đầu tiên chúng ta có thể thấy rõ việc chuyển tiếp dữ liệu trong mạng của nhà cung cấp dịch vụ sử dụng công nghệ chuyển mạch nhãn chứ không phải công nghệ IP truyền thống. Các LSP ứng với các tuyến VPN-IP đều sinh ra và kết thúc tại các bộ định tuyến biên nhà cung cấp PE, chứ không phải tại một bộ định tuyến nào đó nằm ở giữa mạng của nhà cung cấp. Tại các PE, LSP được gắn với bảng thông tin định tuyến cụ thể và thông tin định tuyến lại được gắn với một giao diện trên bộ định tuyến PE. Giao diện này được kết nối với một VPN cụ thể. Vì vậy khi bộ định tuyến PE gửi một gói tin tới bộ định tuyến CE của một VPN, gói tin này phải được gửi đến một CE khác (có liên kết trực tiếp với PE) hoặc từ một PE khác.
Trong trường hợp đầu, cả hai bộ định tuyến CE phải thuộc cùng một VPN và cùng sử dụng một bảng thông tin chuyển tiếp trên bộ định tuyến CE. Trong trường hợp thứ hai, các gói tin được chuyển đến bộ định tuyến PE khác thông qua một tuyến của LSP. LSP này được gắn với một bảng thông tin chuyển tiếp cụ thể và bảng thông tin chuyển tiếp này gắn với một VPN cụ thể. Chúng ta cần phải nhớ rằng, một gói dữ liệu được chuyển tiếp dựa trên bảng thông tin chuyển tiếp thì gói tin này phải đến bộ định tuyến PE qua một giao diện được cấu hình gắn với VPN đó. Kết quả là việc chèn một gói tin gửi tới một VPN chỉ có thể thực hiện qua giao diện của bộ định tuyến PE gắn với VPN đó. Như vậy là một gói dữ liệu không thể gửi tới một VPN một cách ngẫu nhiên nếu người gửi tin không thuộc VPN đó, giống như trong mạng ATM hay Frame Relay.
2.4.5.2. Hỗ trợ QoS trong MPLS VPN.
Trong phần này, chúng ta sẽ xem xét các cơ cấu mà nhà cung cấp dịch vụ sử dụng để cung cấp QoS. Các cơ chế hỗ trợ QoS này cần phải thực hiện một cách đủ mềm dẻo để có thể cung cấp nhiều lớp chất lượng dịch vụ và các loại khách hàng khác nhau. Tức là nhà cung cấp dịch vụ có thể cung cấp các lớp dịch vụ khác nhau cho các VPN khác nhau, các ứng dụng khác nhau trong cùng một VPN có thể nhận
83
các CoS khác nhau. Một ví dụ cho trường hợp này là dịch vụ thư điện tử có thể có một CoS trong khi các ứng dụng thời gian thực có thể có các CoS hoàn toàn khác nhau. Hơn nữa, các CoS mà một ứng dụng được gán trong VPN này có thể khác so với CoS mà một ứng dụng như vậy nhận được trong VPN khác.
Nói tóm lại, tập hợp các cơ chế hỗ trợ QoS phải có khả năng quyết định loại CoS nào được sử dụng trên VPN nào.
2.4.6. Chất lƣợng trong MPLS VPN
Về nguyên tắc, các bộ định tuyến thực hiện 2 chức năng chính đó là định tuyến thông tin và gửi chuyển tiếp thông tin.
Xem xét về khía cạnh định tuyến, hầu hết các giao thức định tuyến hiện đại sử dụng một số phương thức tính toán tối ưu để tính toán đường đi ngắn nhất tới đích cuối cùng. Ví dụ, OSPF và IS-IS sử dụng thuật toán Djikstra trong khi BGP sử dụng “Decision Process”. Những thuật toán này dựa trên việc phân tích cơ sở dữ liệu định tuyến và tính toán đường đi tốt nhất tới đích cuối cùng. Các đặc tính chất lượng của những thuật toán này được dựa trên hoặc là đặc tính topo hình học (IS-IS và OSPF) hoặc số AS trên đường đi tới đích (BGP). Nhưng chú ý rằng mào đầu trong việc thiết lập và khởi tạo những tính toán này là rất nhỏ cho hầu hết các bộ định tuyến ngày nay. Điều này chủ yếu bởi vì mặc dầu chúng ta đề cập tới đầu vào tính toán định tuyến là cơ sở dữ liệu, những cơ sở dữ liệu này được nhớ trong các cấu trúc dữ liệu thường trú.
Do đó, có thể đưa ra một số kết luận sau:
Việc bắt đầu tính toán định tuyến cho một miền định tuyến thực chất là việc thiết lập đăng ký để chỉ ra các đối tượng cơ sở dữ liệu đúng (1).
Dựa trên (1), chất lượng của một thuật toán đưa ra hoàn toàn không tồi hơn nhờ mào đầu được yêu cầu để thiết lập thuật toán đó (2).
Dựa trên (2), tiếp theo, khi một số việc tính toán định tuyến cho một số bộ định tuyến ảo phải được bộ định tuyến vật lý thi hành, độ phức tạp trong kết quả tính toán định tuyến không nhiều hơn tổng các độ phức tạp của việc tính toán định tuyến của các bộ định tuyến ảo riêng rẽ (3).
84
Dựa trên (3), tiếp theo liệu mô hình lai ghép được sử dụng hay một mô hình định tuyến ảo được áp dụng, các đặc tính chất lượng của một bộ định tuyến hoàn toàn phụ thuộc vào khả năng về phần cứng của nó và sự lựa chọn các cấu trúc dữ liệu và các thuật toán.
Trong trường hợp thông thường, gửi chuyển tiếp có hai đầu vào: bảng gửi chuyển tiếp và mào đầu gói tin. Tham số chất lượng chính là thuật toán tìm kiếm. Chất lượng tốt nhất có thể có được cho việc tìm kiếm bảng định tuyến IP bằng cách tổ chức bảng dưới một số mô hình hình cây và sử dụng các phương pháp tìm kiếm nhị phân để thi hành việc tìm kiếm. Chất lượng của thuật toán này là O (log n).
Do đó, chỉ cần các bảng định tuyến của các bộ định tuyến ảo là riêng biệt, chi phí tìm kiếm là giá trị không đổi cho việc tìm kiếm bảng định tuyến và là O(log n) để tìm lối vào. Điều này không tồi hơn bất cứ bộ định tuyến nào và không khác so với bộ định tuyến sử dụng các công nghệ lai ghép để phân phối các dịch vụ VPN. Tuy nhiên, khi bộ định tuyến lai ghép sử dụng việc tích hợp nhiều bảng định tuyến VPN, chất lượng sẽ là O[log(m*n)] ở đây „m‟ là số VPN mà bảng định tuyến giữ.
CHƢƠNG 3
CUNG CẤP DỊCH VỤ VPN MPLS TẠI BƢU ĐIỆN HÀ NỘI
3.1. GIỚI THIỆU SƠ LƢỢC MẠNG INTERNET BƢU ĐIỆN HÀ NỘI.
Mạng Internet của Bưu điện Hà Nội bao gồm hai thành phần: một là mạng Inernet băng hẹp sử dụng công nghệ Dial-up truyền số liệu Internet thông qua hạ tầng mạng điện thoại PSTN, hai là mạng Internet băng rộng được xây dựng trên nền
85
tảng hạ tầng sử dụng công nghệ xDSL và Metro Ethernet. Do hiện nay các công nghệ xDSL đang nắm vai trò chủ đạo trong việc cung cấp dịch vụ Internet, số lượng khách hàng chủ yếu là qua mạng Internet băng rộng. Xu hướng trong tương lai cũng theo hướng đó, mạng băng hẹp sẽ dần dần thu nhỏ và tiến tới xóa bỏ. Hơn nữa, việc cung cấp dịch vụ mạng riêng ảo của Bưu điện Hà Nội cũng được thực hiện hoàn toàn thông qua mạng băng rộng. Do đó, ở đây chúng ta chỉ xét tới mạng Internet băng rộng của Bưu điện Hà Nội.
Mạng băng rộng của Bưu điện Hà nội có 03 thiết bị ERX 1410 kết nối vào mạng core của VNPT, các thiết bị này hoạt động như máy chủ truy nhập đối với các dịch vụ Internet và như PE router đối với dịch vụ mạng riêng ảo. Các thiết bị ghép kênh DSLAM trong từng khu vực được nối ghép với nhau và nối vào các thiết bị ERX 1410 này theo hình cây. Ngoài ra các thiết bị ERX này còn cùng được kết nối vào một mạng quản lý thiết bị.
87
3.1.1. Các công nghệ và giao thức truyền dẫn sử dụng
Hiện nay, các đường truyền dẫn trong mạng Internet băng rộng của Bưu điện Hà nội sử dụng nhiều công nghệ khác nhau. Các đường truyền dẫn kết nối đến các ATM DSLAM thì sử dụng công nghệ ATM trên các luồng truyền dẫn STM-1 sử