5.2.5 Triển khai kết nối và lựa chọn thủ tục định tuyến kết nối đến khỏch hàng.
Để cung cấp dịch vụ VPN, cần cấu hỡnh router PEđể thụng tin định tuyến ghi nhận từ phớa khỏch hàng được nhập vào VRF của khỏch hàng. Cú bốn cỏch khỏc nhau để mạng trục MPLS/VPN cú thể nhận thụng tin định tuyến của khỏch hàng VPN từ router CE, bốn
cỏch này tương xứng với bốn cỏch định tuyến khỏc nhau là: BGP-4, RIP version 2, OSPF
và định tuyến tĩnh.
Khi VRF đó nhận cỏc tuyến từ router CE, cỏc tuyến này phải được phõn phối lại thành MP-iBGP và gửi qua mạng trục MPLS để cỏc router PE khỏc nhập cỏc tuyến của khỏch hàng vào cỏc VRF cú liờn quan.
5.2.6 Triển khai BGP đa thủ tục
Ta đó biết rằng sử dụng MP-BGP để truyền cỏc tuyến VPN giữa cỏc router PE, cỏc tuyến VPN được cỏc router PE ghi nhận từ cỏc router CE đấu nối đến nú. MP-BGP chỉ yờu cầu sử dụng bờn trong mạng trục nhà cung cấp dịch vụ. Do vậy tất cả cỏc phiờn MP-BGP là nội mạng (MP-iBGP), nú là nội mạng bởi vỡ phiờn này được thiết lập giữa hai router thuộc cựng một số hiệu mạng (AS: autonomous system).
MP-iBGP cần thiết bờn trong kiến trỳc MPLS/VPN bởi vỡ bản tin cập nhật BGP cần mang nhiều thụng tin hơn thụng tin địa chỉ IPv4. Bản tin cập nhật MP-iBGP chứa: địa chỉ VPN-IPv4, thụng tin nhón MPLS, thụng tin BGP mở rộng và cỏc thụng tin BGP tiờu chuẩn.
Mở rộng BGP-4 (RFC 1771) hiện tại lờn BGP đa thủ tục được định nghĩa trong RFC 2283. Ta cú thể tỡm nhiều thụng tin về sử dụng MP-BGP bờn trong mụi trường MPLS ở bản thảo draft-ietf-bgp4-mpls trờn sitehttp://www.ietf.org.
Mở rộng thủ tục BGP sẽ cung cấp khả năng bổ sung để cho phộp BGP mang nhiều thụng tin hơn.
5.2.7 Cơ chế bảo mật của kiến trỳc MPLS/VPN
Khụng giống như cỏc mạng VPN truyền thống, cỏc mạng MPLS/VPN khụng sử dụng hoạt động đúng gúi và mó húa gúi tin để đạt được mức độ bảo mật cao. MPLS/VPN sử dụng bảng chuyển tiếp và cỏc nhón “tags” để tạo nờn tớnh bảo mật cho mạng VPN.
Mỗi VPN được kết hợp với một bảng định tuyến - chuyển tiếp VPN (VRF) riờng biệt.
VRF cung cấp cỏc thụng tin về mối quan hệ trong VPN của một site khỏch hàng khi được nối với router PE. Bảng VRF bao gồm thụng tin bảng định tuyến IP (IP routing table), bảng CEF (Cisco Express Forwarding), cỏc giao diện của bảng định tuyến; cỏc quy tắc, cỏc tham số của giao thức định tuyến... Mỗi site chỉ cú thể kết hợp với một và chỉ một VRF. Cỏc VRF của site khỏch hàng mang toàn bộ thụng tin về cỏc “tuyến” cú sẵn từ site tới VPN mà nú là thành viờn.
Đối với mỗi VRF, thụng tin sử dụng để chuyển tiếp cỏc gúi tin được lưu trong cỏc bảng định tuyến IP và bảng CEF. Cỏc bảng này được duy trỡ riờng rẽ cho từng VRF nờn nú ngăn chặn được hiện tượng thụng tin bị chuyển tiếp ra ngoài mạng VPN cũng như ngăn chặn cỏc gúi tin bờn ngoài mạng VPN chuyển tiếp vào cỏc router bờn trong mạng VPN. Đõy chớnh là cơ chế bảo mật của MPLS VPN. Bờn trong mỗi một MPLS/VPN, cú thể kết nối bất kỳ hai điểm nào với nhau và cỏc site cú thể gửi thụng tin trực tiếp cho nhau mà khụng cần thụng qua site trung tõm.
5.3. TểM TẮT CHƯƠNG 5
Toàn bộ chương này miờu tả chi tiết kiến trỳc MPLS/VPN, phõn tớch cỏc hoạt động và cỏc bước cần thiết để triển khai mạng trục MPLS/VPN.
Chương này cũng giỳp ta thấy được việc triển khai mạng riờngảo (VPN) dựa trờn cụng nghệ chuyển mạch nhón MPLS đó kết hợp được tớnh cỏch biệt và bảo mật của mụ hỡnh mạng VPN chồng lấp (overlay) và phương phỏp định tuyến tối ưu, đơn giản, dễ dàng trong triển khai mở rộng của mụ hỡnh mạng VPN ngang hàng.
Cỏc cơ chế cần thiết để xõy dựng mạng MPLS/VPN là:
+ Cần xõy dựng một bảng chuyển tiếp và định tuyến VPN (VRF) riờng biệt trờn mỗi router PE.
+ Sử dụng giỏ trịroute target để nhận dạng một tập hợp cỏc VPN mà một VRF tham gia vào, chống hiện tượng chồng đốđịa chỉ.
+ Địa chỉ IP VPN làđơn nhất khiđược thờm 64 bit route distinguisher. Địa chỉ 96 bit này được trao đổi giữa cỏc router PE qua MP-BGP, nú cũng mang thuộc tớnh định tuyến bổ sung và được gọi là thụng tin mở rộng.
+ Mỗi router PE cần một địa chỉ nhận dạng duy nhất (thường sử dụng địa chỉ loopback) để xỏc định nhón cho router PE và kớch hoạt chuyển tiếp gúi VPN qua mạng trục.
+ Mỗi router PE xỏc định một nhón duy nhất cho mỗi tuyến trong VRF và lan truyền nhón này cựng với 96 bit địa chỉ VPN qua MP-BGP.
+ Router PE hướng vào sử dụng ngăn xếp hai nhón để gỏn nhón cho gúi VPN, một
nhónđược gỏn cho router PE hướng ra và và một nhón gỏn cho tiền tố địa chỉ VPN
đớch. Ngăn xếp nhón này được gắn phớa trước gúi VPN và được chuyển tiếp qua
mạng trục.
Cụng việc để triển khai mạng MPLS/VPN cho khỏch hàng gồm cỏc bước:
+ Tạo một VRF cho từng site của khỏch hàng trờn router PE và gỏn VRF này cho từng giao tiếp kết nối đến CE của khỏch hàng.
+ Gỏn một giỏ trịroute distinguisher đơn nhất cho từng VRF.
+ Định nghĩa chớnh sỏch xuất và nhập tuyến cho từng VRF (gỏn giỏ trịrouter target). + Thiết lập MP-BGP giữa cỏc router PE và cho phộp trao đổi định tuyến VPN-IPv4
giữa chỳng.
+ Triển khai kết nối và lựa chọn thủ tục định tuyến kết nối đến khỏch hàng. Cấu hỡnh phõn phối cỏc tuyến của khỏch hàng sang MP-BGP.
Cỏc ưu điểm của mạng MPLS/VPN được ghi nhận như sau :
• Định tuyến tối ưu giữa cỏc site khỏch hàng. • Cung cấp dịch vụ dễ dàng.
• Cho phộp trựng địa chỉ giữa cỏc khỏch hàng bằng cỏch sử dụng route distinguisher. • Với việc sử dụng route target cho phộp xõy dựng cỏc mụ hỡnh VPN phức tạp.
Chương 6:PHƯƠNG ÁN TRIỂN KHAI MẠNG MPLS/VPN
TRấN HẠ TẦNG MẠNG VNN 6.1. HIỆN TRẠNG MẠNG INTERNET (VNN) [2]
Trong phần này tụi xin trỡnh bày về cấu trỳc của mạng Internet Việt Nam (VNN) để cú thể hiểu rừ hơn về mạng MPLS/VPN được triển khai trờn nền mạng Internet này.
Hiện tại cấu trỳc mạng VNN được tổ chức theo cấu trỳc một mạng hai tầng, bao gồm cỏc tầng IXP và tầng ISP. Hệ thống cỏc tường lửa (Firewalls) được đặt giữa hai tầng bằng cỏch chia cỏc chuyển mạch chớnh (main Switch) theo cỏc VLAN IXP và VLAN ISP. Cỏc mỏy chủ mạng LAN (LAN Server) dịch vụ được kết nối trực tiếp vào main Switch 6509 tại 3 node lớnở Hà nội, TP Hồ Chớ Minh và Đà Nẵng.
6.1.1 Tầng IXP
Tầng này đúng vai trũ như một giao diện giữa mạng VNN với mạng Internet toàn cầu, bao gồm ba nỳt cửa khẩu Hà Nội (HNI), TP.HCM (HCM), Đà Nẵng (DNG) hỡnh thành nờn mạng trục VNN IXP hỡnh tam giỏc (HNI-HCM: 1xSTM-1; HNI-DNG: 2xSTM-1; HCM-DNG: 2xSTM-1). Đõy là tầng mạng IXP kết nối đi quốc tế cho mạng VNN và cho cỏc ISP trong nước đấu nối vào. Tại mỗi nỳt sử dụng cỏc chủng loại thiết bị chủ yếu:
Cỏc bộ định tuyến Gateway - Router cổng IXP (Router7609 OSR) cú chức năng mạnh - Gateway Routers liờn mạng kiến tạo nờn mạng trục IXP.
Hệ thống bức tường lửa quốc gia– Firewalls (PIX 525 đặt tại VDC1, PIX 520 đặt tại VDC2, Checkpoint đặt tại VDC3).
Mỏy chủ quản lý tờn miền mức đỉnh VN.
Router dịch vụ IAP (Router 7206 VXR) cung cấp mụi trường kết nối cho cỏc ISP.
Hệ thống Switch (VLAN IXP on 6509 main Switch) tập trung nhằm kết nối với cỏc thiết bị của tầng mạng này.
Routing sử dụng giao thứcđịnh tuyến BGP kết nối đi quốc tế và giao thức EIGRP cho kết nối tam giỏc IXP.
Sơ đồ mạng tầng IXP như sau:
Phõn mạng IXP kết nối Internet quốc tế và kết nối tới cỏc phõn mạng ISP. Phõn mạng này khụng sử dụngđể cung cấp MPLS/VPN. Mụ hỡnh mạng thể hiện trong hỡnh 6.1.