CHƢƠNG 2 : MỘT SỐ ỨNG DỤNG CỦA MPLS
2.4. ỨNG DỤNG MPLS TRONG MẠNG RIÊNG ẢO VPN
2.4.3.1. Các thành phần của BGP/MPLS
Trong phạm vi của RFC 2547bis[4], một mạng riêng ảo là một sự hội tụ của các chính sách, và các chính sách này kiểm soát sự liên kết giữa các vị trí. Một vị trí nào đó của khách hàng được kết nối vào mạng chủ của nhà cung cấp dịch vụ thông qua một hay nhiều cổng, nơi mà các nhà cung cấp dịch vụ liên kết mỗi cổng vào của mình với một bảng định tuyến. Trong RFC 2547bis một bảng định tuyến mạng riêng ảo (VPN Routing Table) được gọi là một bảng định tuyến chuyển tiếp mạng riêng ảo (VPN Routing and Forwarding). Hình 2.4.5 dưới đây mô tả các thành phần cơ bản của một BGP/MPLS.
Trong mô hình này các Site được nối với nhau thông qua liên kết giữa các CE (Custumer Edge) của khách hàng với các PE (Provider Edge) của nhà cung cấp. Các bảng thông tin định tuyến chuyển tiếp mạng riêng ảo được các PE sử dụng để chuyển tiếp dữ liệu của khách hàng qua mạng của nhà cung cấp.
Một BGP/MPLS gồm 3 thiết bị chính là các bộ định tuyến biên khách hàng (CE), các bộ định tuyến biên nhà cung cấp (PE) và các bộ định tuyến nhà cung cấp.
Hình 2.4.5: Các thành phần của BGP/MPLS
Bộ định tuyến biên của khách hàng (CE)
Một thiết bị biên khách hàng (Custumer Edge Device) cung cấp cho khách hàng truy cập vào mạng của nhà cung cấp dịch vụ qua một kết nối dữ liệu vào một hay nhiều bộ định tuyến biên của nhà cung cấp dịch vụ. Các thiết bị khách hàng có thể là một máy hoặc một bộ chuyển mạch lớp 2, còn các thiết bị khách hàng thường
71
là các bộ định tuyến IP mà nó được liên kết với các bộ định tuyến biên của khách hàng. Sau khi đã thiết lập được các liên hệ, bộ định tuyến biên khách hàng thông báo cho bộ định tuyến biên nhà cung cấp (PE) về các tuyến đường của mạng riêng ảo từ vị trí cục bộ đó và lấy các thông tin về các tuyến đường của mạng riêng ảo từ xa từ các PE.
Bộ định tuyến biên nhà cung cấp (PE)
Các PE trao đổi thông tin định tuyến với các CE thông qua các định tuyến động RIP, OSPF…Các PE chỉ lưu trữ các thông tin về các tuyến của mạng riêng ảo mà nó trực tiếp kết nối. Với thiết kế này làm giảm lượng thông tin lưu trữ tại mỗi PE, đồng thời không phải thay đổi thông tin tuyến tại các PE khi mở rộng mạng. Thiết kế này làm tăng khả năng mở rộng của BGP/MPLS.
Các PE duy trì một kết nối cho tất cả các VRF được kết nối trực tiếp vào nó từ các CE. Mỗi một kết nối của khách hàng, ví dụ như Frame Relay PVC, ATM PVC và VLAN, được tham chiếu đến một VRF cụ thể.
Sau khi các PE đã có được các thông tin về mạng riêng ảo mà nó trực tiếp kết nối, nó sẽ trao đổi các thông tin định tuyến này với các PE khác sử dụng IBGP. Khi sử dụng MPLS làm cơ chế chuyển tiếp thì các PE đầu vào (ingress) hoạt động như là các LSR đầu vào và các PE đầu ra (egress) hoạt động như là các LSR đầu ra.
Bộ định tuyến nhà cung cấp.
Các bộ định tuyến nhà cung cấp (trong hình ký hiệu bằng chứ “P”) có thể là bất kỳ bộ định tuyến nào, nó có nhiệm vụ liên kết các PE với nhau. Trong mạng MPLS thì nó chính là các LSR để chuyển tiếp dữ liệu qua mạng.
Hoạt động của BGP/MPLS
Trong toàn bộ quá trình hoạt động, có hai dòng lưu lượng chính xuất hiện trong mạng riêng ảo BGP/MPLS là:
Một dòng điều khiển (Control Flow) được sử dụng trong mạng để truyền tải
các thông tin định tuyến trên mạng riêng ảo, đồng thời để xác định đường chuyển mạch nhãn LSP trong mạng của nhà cung cấp.
72
Để tiện cho cho việc giải thích cơ chế hoạt động của BGP/MPLS, một mô hình mẫu cho các quá trình hoạt động trong mạng sẽ được sử dụng. Và hình vẽ 2.4.6 sau đây sẽ là mô hình mẫu cho các quá trình diễn ra trong một mạng BGP/MPLS.
Hình 2.4.6: Mô hình mẫu hoạt động của BGP/MPLS
Trong mạng này chỉ có một nhà cung cấp dịch vụ duy nhất. Nhà cung cấp dịch vụ BGP/MPLS này có hai PE (định tuyến biên nhà cung cấp) được nối với 4 CE (định tuyến biên của khách hàng)
Cấu trúc liên kết được mô ta như sau:
Mỗi máy bất kỳ thuộc Site 1 có thể liên lạc với một máy bất kỳ thuộc Site 2
và ngược lại.
Mỗi máy bất kỳ thuộc Site 3 có thể liên lạc với một máy bất kỳ thuộc Site 4
và ngược lại
Điều khiển trong BGP/MPLS
Trong mạng BGP/MPLS, dòng điều khiển gồm có hai dòng chính.
Dòng con chịu trách nhiệm trao đổi thông tin định tuyến giữa các CE và PE
ở phần biên của mạng trục của nhà cung cấp, và giữa các PE trên mạng trục của nhà cung cấp.
Dòng con thứ hai chịu trách nhiệm cho sự thiết lập của các LSP giữa các PE
của nhà cung cấp sau khi đã có được các thông tin định tuyến và các thông tin từ luồng dữ liệu mà khách hàng yêu cầu chuyển tiếp.
73
Trong mô hình mạng ngang hàng nêu trên, kỹ thuật được sử dụng là phân phối thông tin định tuyến cưỡng bức. Việc phân phối thông tin định tuyến cưỡng bức để quyết định tuyến đường của các các luồng số liệu trong mạng riêng ảo. Vì vậy kiểm soát luồng thông tin định tuyến cũng có nghĩa là kiểm soát luồng dữ liệu.
Quá trình phân phối thông tin định tuyến trong BGP/MPLS gồm có năm bước cơ bản sau:
1. Thông tin định tuyến được truyền từ một Site phía khách hàng tới nhà cung cấp dịch vụ (tức là được truyền từ CE tới PE được kết nối trực tiếp). Phương thức truyền thông tin định tuyến này có thể là RIP, OSPF hay BGP.
2. Tại mỗi bộ PE, thông tin này được đưa tới BGP của nhà cung cấp dịch vụ. 3. Thông tin này được phân phối cho các PE có sử dụng BGP.
4. Bước này hoàn toàn trái ngược với bước thứ hai. Tại bộ định tuyến PE đầu ra, thông tin định tuyến được đưa ra từ BGP của nhà cung cấp dịch vụ.
5. Bước 5 diễn ra hoàn toàn ngược với bước thứ nhất, thông tin định tuyến được truyền từ bộ định tuyến PE đầu ra tới bộ định tuyến CE của Site liên kết trực tiếp ở phía khách hàng. Cũng như bước thứ nhất, các giao thức được sử dụng ở đây có thể là RIP, OSPF hay BGP.
Để có thể sử dụng thông tin định tuyến, chúng ta sử dụng kỹ thuật lọc tuyến kết nối dựa trên thuộc tính nhóm của BGP. Tại bước thứ hai, do cấu hình nội bộ, bộ định tuyến PE đầu vào gắn thuộc tính nhóm cho một tuyến kết nối, chính tuyến kết nối này đưa thông tin đến BGP của nhà cung cấp dịch vụ. Tại bước bốn, với cấu hình hợp lý, bộ định tuyến PE đầu ra sử dụng thuộc tính nhóm để điều khiển việc nhập thông tin các tuyến kết nối từ BGP của nhà cung cấp dịch vụ tới phía khách hàng (bộ định tuyến CE).
Trong ví dụ như nêu trong hình 2.4.6, PE1 được cấu hình để liên kết VRF màu đỏ qua giao diện hoặc giao diện con qua đó nó học được các tuyến từ CE1. Khi CE1 thông báo tuyến có tiền tố 10.1/16 tới PE1, PE1 sẽ đặt một tuyến tới 10.1/16 trong VRF đỏ. PE1 thông báo cho PE2 bằng cách sử dụng BGP, trước khi thông báo tuyến, PE1 chọn một nhãn MPLS ví dụ 234 để thông báo cùng với tuyến và gán địa
74
BGP/MPLS có hỗ trợ các vùng địa chỉ trùng nhau (địa chỉ được định nghĩa trong RFC1918) thông qua việc sử dụng định tuyến phân biệt (Routing Distinguisher) và địa chỉ IPv4. BGP/MPLS chế ngự việc thông báo thông tin định tuyến giữa các PE dựa trên việc lọc tuyến dựa trên các thuộc tính BGP mở rộng.
Khi PE2 nhận được thông báo từ PE1, nó xem xét có phải đặt tuyến có tiền tố 10.1/16 vào VRF đỏ hay không bằng cách thực hiện lọc tuyến dựa trên các thuộc tính BGP mở rộng được vận chuyển cùng tuyến. Nếu PE2 quyết định cài tuyến trong VRF đỏ, nó sẽ thông báo tuyến với tiền tố 10.1/16 tới CE2.
Chúng ta có thể dễ dàng nhận thấy có rất nhiều ưu điểm của kỹ thuật này. Thứ nhất là bộ định tuyến CE tại phía khách hàng chỉ phải trao đổi thông tin định tuyến với một bộ định tuyến PE liên kết trực tiếp với nó. Điều này giúp cho các VPN có thể mở rộng tới hàng nghìn Site vì số tuyến kết nối mà PE đảm nhiệm là độc lập với số lượng Site. Thứ hai, khi thêm hay loại bỏ một Site thì công việc mà nhà cung cấp dịch vụ phải làm chỉ là cấu hình lại PE liên kết trực tiếp với CE của Site thêm vào hay loại đi. Đồng thời, các PE chỉ cần quản lý thông tin tuyến cho các VPN có các Site được liên kết trực tiếp với PE này.
Thiết lập đƣờng LSP
Để có thể sử dụng MPLS trong công nghệ mạng riêng ảo để chuyển tiếp dữ liệu qua mạng của nhà cung cấp, thì các LSP phải được thiết lập giữa các PE trước khi vận chuyển dữ liệu qua hệ thống mạng. Tuy nhiên chúng ta cũng cần phải hiểu được cơ chế hoạt động của hệ thống mạng trong việc thiết lập LSP của nhà cung cấp dịch vụ. LER của các LSP chính là các định tuyến biên nhà cung cấp (PE) còn LSR của LSP là các bộ định tuyến nhà cung cấp (P).
Hình 2.4.7 sau đây cho chúng ta biết được LSP được thiết lập trong mạng của nhà cung cấp
75
Hình 2.4.7: Đƣờng chuyển mạch nhãn trong mạng của nhà cung cấp
LSP có thể được thiết lập và duy trì trên một mạng của nhà cung cấp dịch vụ bằng cách sử dụng giao thức phân phối nhãn LDP (Label Distribution Protocol) hoặc giao thức dành trước tài nguyên RSVP (Resource Reservation Protocol)
Nhà cung cấp dịch vụ sử dụng LDP nếu như thiết lập một LSP nỗ lực tốt nhất “best effort” giữa hai PE.
Nhà cung cấp dịch vụ sử dụng RSVP nếu như muốn gán băng thông cho LSP hoặc là sử dụng kỹ thuật lưu lượng TE (Traffic Engineering) để tạo ra một đường riêng (Explicit Path) cho LSP. LSP sử dụng RSVP có khả năng hỗ trợ chất lượng dịch vụ QoS và có được các kỹ thuật về điều khiển lưu lượng cụ thể.
Có thể có một hoặc nhiều LSP song song (với các khả năng về dịch vụ khác nhau) được thiết lập giữa các PE. Một bộ phản tuyến (Router reflector) hoạt động như một máy chủ, nó phản xạ các tuyến từ một PE vào (ingress) tới các PE đầu ra (egress). Nếu một nhà cung cấp sử dụng phản xạ tuyến thì vẫn phải thiết lập LSP giữa các PE bởi vì các bộ phản xạ tuyến không phải là thành phần thiết yếu của đường chuyển tiếp giữa các PE.
Dòng dữ liệu trong BGP/MPLS.
Để hiểu rõ sự di chuyển dữ liệu trong BGP/MPLS, chúng ta sẽ xem xét sự vận chuyển dữ liệu từ một máy khách tới máy chủ trong mô hình được đưa ra trong hình 2.4.8 sau:
Hình 2.4.8: Dòng dữ liệu trong BGP/MPLS
Mô hình chỉ ra một dòng dữ liệu trên mạng trục của nhà cung cấp dịch vụ từ một vị trí của khách hàng đến một vị trí khác của khách hàng. Giả sử máy có địa chỉ
76
Máy 10.2.3.4 chuyển tất cả các gói dữ liệu tới máy chủ 10.1.3.8 thông qua cổng mặc định của nó. Khi một gói đến CE2, nó sẽ thực hiện một cuộc tìm kiếm tuyến hợp xa nhất (Longest Match Route) và chuyển gói tới PE2. PE2 nhận được gói và tìm kiếm trong VRF đỏ và nó sẽ nhận được các thông tin sau:
Nhãn MPLS đã được thông báo bởi PE1 là 234.
Điểm tiếp theo BGP cho tuyến (địa chỉ quay vòng của PE1).
Giao diện con xuất phát cho LSP từ PE2 tới PE1.
Nhãn ban đầu của LSP từ PE2 tới PE1.
Giao thông của người sử dụng được truyền trực tiếp từ PE2 tới PE1 bằng cách sử dụng MPLS với một ngăn xếp nhãn chứa hai nhãn. Đối với dòng dữ liệu này thì PE1 là LRS vào (ingress), PE2 là LSR ra (egress) cho LSP đã được thiết lập đó. Trước khi chuyển một gói dữ liệu, PE2 đẩy (Push) một nhãn giá trị 234 vừa nêu vào đáy ngăn xếp nhãn. Nhãn này được cài đầu tiên vào trong VRF đỏ, khi PE2 nhận được thông báo cho IBGP cho tiền tố 10.1/16 của mạng riêng ảo mà PE1 liên kết trực tiếp. Tiếp theo PE2 đẩy nhãn liên kết với LSP dựa trên giao thức phân phối nhãn LDP hoặc dựa trên RSVP tới PE1 và trở thành nhãn đỉnh của ngăn xếp nhãn.
Sau khi gỡ cụm nhãn, PE2 chuyển gói MPLS từ giao diện xuất phát tới PE2 của LSP, các bộ định tuyến trong mạng lõi nhà cung cấp dựa vào giá trị nhãn mà chuyển tiếp gói dữ liệu trên LSP đã được chọn. Khi gói tin tới PE1 nó gỡ nhãn ra và gói tin trở thành gói tin IPv4 và dựa vào giá trị nhãn ở đáy ngăn xếp (trong trường hợp này là 234) để định danh CE liên kết trực tiếp với nó. Sau đó PE1 chuyển gói dữ liệu tới CE1 liên kết trực tiếp với nó và sẽ chuyển gói dữ liệu tới máy chủ 10.1.3.8 trên Site1.