Khi router PE hướng vào nhận một gúi VPN, bảng VRF tương ứng được kiểm tra, một
nhón được gỏn để xỏc định địa chỉ đớch. Một nhón khỏc (xỏc định router PE hướng ra)
được xỏc định từ bảng chuyển tiếp global. Cả hai nhón nàyđược kết hợp trong một ngăn
xếp nhón MPLS và được gắn vào phớa trước của gúi VPN, gúi tin được gửi về phớa router PE hướng ra.
Tất cả router P trong mạng chuyển mạch gúi VPN dựa vào nhón trờnđỉnh trong ngăn xếp.Router P khụng bao giờ đọc nhón phớa dưới và khụng hề biết về nhón thứ hai hoặc gúi tin VPN được mang qua mạng.
Router PE hướng ra nhận gúi được gỏn nhón, loại bỏ nhónđầu tiờn, và thực hiện đọc và tỡm kiếm nhón thứ hai, nhón này xỏcđịnh duy nhất VRF đớch và giao tiếp ra của router PE. Tỡm kiếm được thực hiện trong VRF đớch (nếu cần), và gúi được gửi chớnh xỏc về phớa router CE đớch(Bước 3).
5.2. CƠ CHẾ HOẠT ĐỘNG CỦA KIẾN TRÚC MPLS/VPN [4,19,20,21]
Dịch vụ VPN được thiết lập bằng cỏch sử dụng cỏc Bảng chuyển tiếp và định tuyếnảo
(VRF), trong đú thụng tin định tuyến của khỏch hàng VPN được tạo dựng qua cơ chế nhập cỏc tuyến cú router target nhất định. Thụng tin định tuyến được nhận dạng đơn nhất bằng cỏch sử dụng một route distinguisher và được phõn phối trong cỏc router PE của nhà cung cấp dịch vụ bằng cỏch sử dụng MP-BGP.
Để cú thể tỡm hiểu về vấn đề thiết kế và cấu hỡnh cho hạ tầng mạng trục của nhà cung cấp dịch vụ ta cần nghiờn cứu một vớ dụ về mụ hỡnh mạng.
5.2.1 Nghiờn cứu dịch vụIntranet MPLS/VPN cơ bản
Một trong cỏc sơ đồ mạng VPN đơn giản nhất là mạng Intranet giữa cỏc site của một tổ chức. Sơ đồ này là cấu trỳc mạng VPN cơ bản cung cấp kết nối đa điểm giữa cỏc site với nhau bằng cỏch sử dụng mụ hỡnh ngang hàng nõng cao.
Hỡnh 5.9 là một vớ dụ vềmụ hỡnh VPNđơn giản. Mạng trục MPLS/VPN Big_Net cú hai khỏch hàng: khỏch hàng A và khỏch hàng B. Tổ chức của khỏch hàng B cú cỏc site tại: Nghệ An, TP Hồ Chớ Minh và Hồng Kụng. Tổ chức của khỏch hàng B cú cỏc site tại: Hà Nội, Vũng Tàu và Hồng Kụng. Cỏc site của cả hai khỏch hàng là kết nốiđiểm đến đa điểm, khụng cú dự phũng.
Hỡnh 5. 9. Cấu trỳc mạng Intranet MPLS/VPN cơ bản
Mạng của nhà cung cấp dịch vụ Big_Net ghi nhận cỏc tuyến của hai khỏch hàng VPN qua thủ tục định tuyến tĩnh và RIP version 2. Tại site Nghệ An của khỏch hàng A và site Hà Nội của khỏch hàng B sử dụng RIP version 2 để thụng tin với mạng trục MPLS/VPN. Tại site Vũng Tàu/Hồng Kụng của khỏch hàng A và site TP Hồ Chớ Minh/Hồng Kụng của khỏch hàng B sử dụng định tuyến tĩnh.
Bảng 5.5 chỉ ra giải địa chỉ của hai khỏch hàng VPN này, cỏc router mạng trục Big_Net sử dụng địa chỉ loopback cho cỏc phiờn BGP.
Khỏch hàng Site Subnet Khỏch hàng A Hà nội 192.168.20.64/28 Hồng Kụng 10.2.12.0/28 Vũng tàu 10.2.11.0/28 Khỏch hàng B Nghệ An 10.2.11.0/28 Hồng Kụng 10.1.12.0/28
TP Hồ Chớ Minh 192.168.24.48/28 Mạng trục TP Hồ Chớ Minh (loopback 0) 192.168.30.81/32 Hà nội (loopback 0) 192.168.30.82/32 Hồng Kụng(loopback 0) 192.168.30.97/32 Bảng 5. 5. Địa chỉIP của cỏc khỏch hàng VPN và địa chỉ loopback của router mạng trục
Để cung cấp dịch vụ VPN này qua mạng trục MPLS/VPN, ta cần phải thực hiện cỏc
bước sau:
l. Định nghĩa và gỏn VRF cho khỏch hàng VPN trờn router PE. 2. Định nghĩaroute distinguisher trờn router PE.
3. Định nghĩa chớnh sỏch xuất và nhập tuyến trờn router PE.
4. Triển khai kết nối và lựa chọn thủ tục định tuyến kết nối đến khỏch hàng. 5. Triển khai MP-BGP trờn mạng nhà cung cấp dịch vụ.
5.2.2 Định nghĩa và gỏn VRF
Từ hỡnh 5.9 ta thấy cỏc site của khỏch hàng A và B kết nối với cả ba router PE. Do vậy ta phải định nghĩa VRF cho cả hai khỏch hàng này trờn cả ba router PE, vỡ vậy cấu hỡnh VRF cho hai khỏch hàng này phải tồn tại trờn cả ba router này.
Mỗi VRF phải được gỏn cho một cỏi tờn để phõn biệt cỏc VRF (gỏn cỏc giỏ trị route distinguisher và route target).
Để router PE cú thể nhận biết VRF này thuộc khỏch hàng VPN nào, cỏc VRF này phải được gỏn đến cỏc giao tiếp kết nối đến khỏch hàng VPN.
5.2.3Định nghĩaRoute Distinguisher và tiền tố địa chỉ VPN-IPV4
Trong phần 5.1 đó xỏc định cỏc yờu cầu để gửi cỏc tuyến VPN của khỏch hàng qua mạng trục MPLS/VPN và cỏc yờu cầu để nhập cỏc tuyến này vào bảng định tuyến VPN
(VRF). Ta cũng đó xỏc định BGP (Border Gateway Protocol) là thủ tục định tuyến được chọn thớch hợp và đỏp ứng được cho kiến trỳc MPLS/VPN.
BGP theo tiờu chuẩn chỉ trợ giỳp tuyến IPv4. Trong kiến trỳc MPLS/VPN, vỡ mạng VPN phải cú khả năng sử dụng địa chỉ chồng lấn (dựng được địa chỉ mạng riờng) nờn nú cần phải thờm route distinguisher cho địa chỉ IPv4. Do vậy yờu cầu phải mở rộng thủ tục BGP để cú thể nhận dạng việc cập nhật định tuyến khụng theo tiờu chuẩn IPv4. MP-iBGP (BGPđa thủ tục bờn trong mạng trục) và thụng tin định tuyến VPN-IPv4 cung cấp việc mở rộng này.
MP-iBGP khụng thể làm việc chớnh xỏc nếu khỏch hàng sử dụng địa chỉ trựng nhau . Hỡnh 5.10 chỉ ra vấn đề gặp phải khi router PEở Singapore nhận hai cập nhật IPv4 cú địa chỉ đớch trựng nhau. Trong trường hợp này, router PE chọn tuyến đường tốt nhất trong hai tuyến này dựa trờn xử lý quyết định BGP tiờu chuẩn. Như vậy MP-iBGP khụng nhận
dạng để tỡm ra cỏc tuyến thuộc mạng VPN nào, nú chỉ cú thể so sỏnh để chọn một tuyến
đường tốt nhất.
Hỡnh 5.10. Router PE so sỏnh cỏc tuyến BGP
Để nhận dạng là duy nhất, một chuỗi 64 bit được bổ sung vào phớa trước của địa chỉ IPv4 trong bản tin cập nhật MP-iBGP. Chuỗi bổ sung này được gọi là route distinguisher
(lộ trỡnh riờng) và mỗi mạng VPN nú cú một giỏ trị khỏc nhau.
Địa chỉ VPN-IPv4 (hay địa chỉ VPNv4) bao gồm địa chỉ IPv4 và route distinguisher. Kết hợp route distinguisher và địa chỉ IPv4 làm cho tuyến IPv4 là duy nhất trong mạng MPLS/VPN. Hỡnh 5.11 minh hoạ việc router PE phõn biệt hai tuyến cú cựng địa chỉ IPv4 như thế nào.
Hỡnh 5.11 chỉ ra rằng khi router PE Hồng Kụng nhận một bản tin cập nhật MP-iBGP của mạng cú địa chỉ 10.2.11.0/28 từ router PE Hà Nội và TP Hồ Chớ Minh, cỏc bản tin cập nhật này khụng so sỏnh chọn tuyến đường vỡ cú một route distinguisher bổ sung vào địa chỉ IP. Bản tin cập nhật từ router PE Hà Nội cú tiền tố 101:500:10.2.11.0/28 và từ router PE TP Hồ Chớ Minh cú dạng 101:501:10.2.11.0/28.
Hỡnh 5.11. Router PE so sỏnh cỏc tuyến VPN-IPv4
5.2.4Định nghĩa chớnh sỏch xuất nhập tuyến và ngăn chặn vũng lặp
Cỏc router PE học cỏc tuyến từ mạng trục MPLS/VPN và từ cỏc site khỏch hàng kết nối đến. Cỏc tuyến này được đưa vào cỏc bảng định tuyến VPN (VRF) và được gửi ra mạng trục MPLS/VPN bằng thủ tục MP-iBGP. Từng router PE cần cú thụng tin để xử lý cỏc tuyến nhận được (tuyến này sẽ được nhập vào VRF nào), nú được đớnh kốm theo tuyến khi chuyển thụng tin đến cỏc router PE khỏc.
Mặc dự route target cung cấp cơ chế để nhận dạng xem VRF nào được nhận tuyến, nhưng nú khụng cung cấp phương tiện để ngăn chặn vũng lặp định tuyến.Để giải quyết
vấn đề này, ta cú khỏi niệm SOO (Site of Origin- Site gốc) trong kiến trỳc MPLS/VPN
nhận dạng site khởi thuỷ của tuyến và trờn cơ sở đú nú khụng nhận tuyến quay trở lại. Thuộc tớnh thụng tin mở rộng BGP cú thể đỏp ứng cả hai khỏi niệm route target và SOO của kiến trỳc mạng MPLS/VPN. (Cỏc thuộc tớnh này được miờu tả trong bản thảo
draft-ramachandra-bgp-ext-communities trờn trang Web http://www.ietf.org).
5.2.4.1 Chớnh sỏch xuất nhập tuyến (sử dụng Route Target)
Khỏi niệm route target định nghĩa chớnh sỏch xuất nhập tuyến cho cỏc VRF. Bản tin cập nhật MP-iBGP lan truyền giữa cỏc router PE nội dung thụng tin mở rộng qua cỏc thuộc tớnh BGP, giỏ trị của route target xỏc định xem những VRF nào sẽ nhập tuyến. Định nghĩa giỏ trị thụng tin mở rộng route target một cỏch cẩn thận sẽ cung cấp cho ta sự linh
động khi triển khai nhiều sơ đồ mạng VPN khỏc nhau. Trong hỡnh 5.12 mụ tả việc sử dụng mạng trục MPLS/VPN để triển khai cỏc sơ đồ mạng VPN.
Hỡnh 5.12. Chớnh sỏch xuất nhập tuyến sửroute target
Hỡnh 5.12 chỉ ra router PE tại Hà Nội xuất cỏc tuyến: tuyến VPN của khỏch hàng A với route target là 101:500 và tuyến VPN của khỏch hàng B với route target 101:501. VRF của khỏch hàng C trờn router Hồng Kụng nhập tuyến cú route target là 101:501, vỡ vậy khỏch hàng Cở Hồng Kụng cú chứa thụng tin định tuyến của khỏch hàng Bở site Nghệ An. VRF của khỏch hàng A trờn router TP Hồ Chớ Minh nhập tuyến cú route target là 101:500 và 101:501. Cú nghĩa rằng site của khỏch hàng Aở Vũng Tàu chứa thụng tin định tuyến của cả khỏch hàng Aở site Hà Nội và khỏch hàng Bở Nghệ An.
5.2.4.2 Ngăn chặn vũng lặp địnhtuyến
SOO ngăn chặn vũng lặp định tuyến khi một site kết nối đến nhiều điểm của mạng trục MPLS/VPN. Dựa vào giỏ trị SOO để nhận dạng ra site gửi thụng tin định tuyến, trờn cơ sở đú tất cả cỏc router PE trong mạng trục MPLS/VPN sẽ khụng gửi thụng tin định tuyến trở lại site đó gửi.
Khỏi niệm trờn được minh hoạ bởi hỡnh 5.13, nú chỉ ra một site được kết nối đến hai router PE và hoạt động của router PE khi nú nhận một tuyến cú giỏ trị SOO trựng với SOO được cấu hỡnh cho VRF.
Router PE HongKong nhận một bản tin cập nhật MP-iBGP cho mạng 195.2.10.0/28 từ router Singapore. Bản tin cập nhật này chứa giỏ trị SOO là 101:502, giỏ trị này được cấu
hỡnh cho VRF của khỏch hàng C trờn router PE HongKong. Do vậy bản tin cập nhật này khụng được gửi đến router CE HongKong của khỏch hàng C.
Hỡnh 5.13. Thụng tin mởrộng BGP SOO
5.2.5 Triển khai kết nối và lựa chọn thủ tục định tuyến kết nối đến khỏch hàng.
Để cung cấp dịch vụ VPN, cần cấu hỡnh router PEđể thụng tin định tuyến ghi nhận từ phớa khỏch hàng được nhập vào VRF của khỏch hàng. Cú bốn cỏch khỏc nhau để mạng trục MPLS/VPN cú thể nhận thụng tin định tuyến của khỏch hàng VPN từ router CE, bốn
cỏch này tương xứng với bốn cỏch định tuyến khỏc nhau là: BGP-4, RIP version 2, OSPF
và định tuyến tĩnh.
Khi VRF đó nhận cỏc tuyến từ router CE, cỏc tuyến này phải được phõn phối lại thành MP-iBGP và gửi qua mạng trục MPLS để cỏc router PE khỏc nhập cỏc tuyến của khỏch hàng vào cỏc VRF cú liờn quan.
5.2.6 Triển khai BGP đa thủ tục
Ta đó biết rằng sử dụng MP-BGP để truyền cỏc tuyến VPN giữa cỏc router PE, cỏc tuyến VPN được cỏc router PE ghi nhận từ cỏc router CE đấu nối đến nú. MP-BGP chỉ yờu cầu sử dụng bờn trong mạng trục nhà cung cấp dịch vụ. Do vậy tất cả cỏc phiờn MP-BGP là nội mạng (MP-iBGP), nú là nội mạng bởi vỡ phiờn này được thiết lập giữa hai router thuộc cựng một số hiệu mạng (AS: autonomous system).
MP-iBGP cần thiết bờn trong kiến trỳc MPLS/VPN bởi vỡ bản tin cập nhật BGP cần mang nhiều thụng tin hơn thụng tin địa chỉ IPv4. Bản tin cập nhật MP-iBGP chứa: địa chỉ VPN-IPv4, thụng tin nhón MPLS, thụng tin BGP mở rộng và cỏc thụng tin BGP tiờu chuẩn.
Mở rộng BGP-4 (RFC 1771) hiện tại lờn BGP đa thủ tục được định nghĩa trong RFC 2283. Ta cú thể tỡm nhiều thụng tin về sử dụng MP-BGP bờn trong mụi trường MPLS ở bản thảo draft-ietf-bgp4-mpls trờn sitehttp://www.ietf.org.
Mở rộng thủ tục BGP sẽ cung cấp khả năng bổ sung để cho phộp BGP mang nhiều thụng tin hơn.
5.2.7 Cơ chế bảo mật của kiến trỳc MPLS/VPN
Khụng giống như cỏc mạng VPN truyền thống, cỏc mạng MPLS/VPN khụng sử dụng hoạt động đúng gúi và mó húa gúi tin để đạt được mức độ bảo mật cao. MPLS/VPN sử dụng bảng chuyển tiếp và cỏc nhón “tags” để tạo nờn tớnh bảo mật cho mạng VPN.
Mỗi VPN được kết hợp với một bảng định tuyến - chuyển tiếp VPN (VRF) riờng biệt.
VRF cung cấp cỏc thụng tin về mối quan hệ trong VPN của một site khỏch hàng khi được nối với router PE. Bảng VRF bao gồm thụng tin bảng định tuyến IP (IP routing table), bảng CEF (Cisco Express Forwarding), cỏc giao diện của bảng định tuyến; cỏc quy tắc, cỏc tham số của giao thức định tuyến... Mỗi site chỉ cú thể kết hợp với một và chỉ một VRF. Cỏc VRF của site khỏch hàng mang toàn bộ thụng tin về cỏc “tuyến” cú sẵn từ site tới VPN mà nú là thành viờn.
Đối với mỗi VRF, thụng tin sử dụng để chuyển tiếp cỏc gúi tin được lưu trong cỏc bảng định tuyến IP và bảng CEF. Cỏc bảng này được duy trỡ riờng rẽ cho từng VRF nờn nú ngăn chặn được hiện tượng thụng tin bị chuyển tiếp ra ngoài mạng VPN cũng như ngăn chặn cỏc gúi tin bờn ngoài mạng VPN chuyển tiếp vào cỏc router bờn trong mạng VPN. Đõy chớnh là cơ chế bảo mật của MPLS VPN. Bờn trong mỗi một MPLS/VPN, cú thể kết nối bất kỳ hai điểm nào với nhau và cỏc site cú thể gửi thụng tin trực tiếp cho nhau mà khụng cần thụng qua site trung tõm.
5.3. TểM TẮT CHƯƠNG 5
Toàn bộ chương này miờu tả chi tiết kiến trỳc MPLS/VPN, phõn tớch cỏc hoạt động và cỏc bước cần thiết để triển khai mạng trục MPLS/VPN.
Chương này cũng giỳp ta thấy được việc triển khai mạng riờngảo (VPN) dựa trờn cụng nghệ chuyển mạch nhón MPLS đó kết hợp được tớnh cỏch biệt và bảo mật của mụ hỡnh mạng VPN chồng lấp (overlay) và phương phỏp định tuyến tối ưu, đơn giản, dễ dàng trong triển khai mở rộng của mụ hỡnh mạng VPN ngang hàng.
Cỏc cơ chế cần thiết để xõy dựng mạng MPLS/VPN là:
+ Cần xõy dựng một bảng chuyển tiếp và định tuyến VPN (VRF) riờng biệt trờn mỗi router PE.
+ Sử dụng giỏ trịroute target để nhận dạng một tập hợp cỏc VPN mà một VRF tham gia vào, chống hiện tượng chồng đốđịa chỉ.
+ Địa chỉ IP VPN làđơn nhất khiđược thờm 64 bit route distinguisher. Địa chỉ 96 bit này được trao đổi giữa cỏc router PE qua MP-BGP, nú cũng mang thuộc tớnh định tuyến bổ sung và được gọi là thụng tin mở rộng.
+ Mỗi router PE cần một địa chỉ nhận dạng duy nhất (thường sử dụng địa chỉ loopback) để xỏc định nhón cho router PE và kớch hoạt chuyển tiếp gúi VPN qua mạng trục.
+ Mỗi router PE xỏc định một nhón duy nhất cho mỗi tuyến trong VRF và lan truyền nhón này cựng với 96 bit địa chỉ VPN qua MP-BGP.
+ Router PE hướng vào sử dụng ngăn xếp hai nhón để gỏn nhón cho gúi VPN, một
nhónđược gỏn cho router PE hướng ra và và một nhón gỏn cho tiền tố địa chỉ VPN
đớch. Ngăn xếp nhón này được gắn phớa trước gúi VPN và được chuyển tiếp qua
mạng trục.
Cụng việc để triển khai mạng MPLS/VPN cho khỏch hàng gồm cỏc bước:
+ Tạo một VRF cho từng site của khỏch hàng trờn router PE và gỏn VRF này cho từng giao tiếp kết nối đến CE của khỏch hàng.
+ Gỏn một giỏ trịroute distinguisher đơn nhất cho từng VRF.
+ Định nghĩa chớnh sỏch xuất và nhập tuyến cho từng VRF (gỏn giỏ trịrouter target). + Thiết lập MP-BGP giữa cỏc router PE và cho phộp trao đổi định tuyến VPN-IPv4
giữa chỳng.
+ Triển khai kết nối và lựa chọn thủ tục định tuyến kết nối đến khỏch hàng. Cấu hỡnh phõn phối cỏc tuyến của khỏch hàng sang MP-BGP.
Cỏc ưu điểm của mạng MPLS/VPN được ghi nhận như sau :
• Định tuyến tối ưu giữa cỏc site khỏch hàng. • Cung cấp dịch vụ dễ dàng.
• Cho phộp trựng địa chỉ giữa cỏc khỏch hàng bằng cỏch sử dụng route distinguisher. • Với việc sử dụng route target cho phộp xõy dựng cỏc mụ hỡnh VPN phức tạp.