5.1.5 Lan truyền thụng tin định tuyến VPN trong mạng
Trong phần trước đó giải thớch kiến trỳc MPLS/VPN trờn quan điểm từ router PE. Cỏc vấn đề cũn lại cần được quan tõm là:
Cỏc router PE trao đổi thụng tin với nhau như thế nào về cỏc khỏch hàng VPN và cỏc tuyến VPN?
Cỏc router PE chuyển tiếp gửi gúi tin của khỏch hàng VPN như thế nào? Cú hai cỏch khỏc nhau cơ bản để thực hiện trao đổi định tuyến VPN giữa cỏc router PE:
Router PE cú thể chạy thuật toỏn định tuyến khỏc nhau cho mỗi mạng VPN. Vớ dụ, OSPF hoặc EIGRP. Giải phỏp này sẽ gặp một trở ngại lớn cho phỏt triển mạng khi số lượng khỏch hàng VPN của nhà cung cấp dịch vụ lớn. Nú cũng đối mặt với vấn đề thiết kế mạng khi cú yờu cầu cung cấp khả năng trợ giỳp mạng VPN chồng lấn.
Router PE chạy một thủ tục định tuyến để trao đổi định tuyến của tất cả cỏc mạng VPN. Để trợ giỳp địa chỉ chồng đố cho cỏc khỏch hàng VPN, địa chỉ IP mà khỏch hàng VPN sử dụng phải thờm thụng tin bổ sung để xỏc định địa chỉ là duy nhất.
Cỏch thứ hai được lựa chọn để xõy dựng kiến trỳc MPLS/VPN. Subnet IP được gửi từ router CE đến router PE được bổ sung thờm 64 bit tiền tố, nú được gọi là route
distinguisher để xỏc định tuyến một cỏch đơn nhất. Kết quả là địa chỉ 96 bit được trao đổi giữa cỏc router PE bằng cỏch sử dụng BGP đa thủ tục tức là MP-BGP (MP-BGP: Multiprotocol BGP). Cú một vài lý do sauđể chọn BGP là thủ tục định tuyến để truyền cỏc tuyến VPN:
Số lượng cỏc tuyến VPN trong mạng cú thể rất lớn. BGP là thủ tục định tuyến cú thể trợ giỳp một số lượng lớn cỏc tuyến.
BGP, EIGRP, và IS-IS là cỏc thủ tục định tuyến cú thể mang thụng tin định tuyến cho cỏc kiểu địa chỉ khỏc nhau. Mặc dự vậy EIGRP và IS-IS khụng cú khả năngtrợ giỳp nhiều tuyến như BGP. BGP cũng được thiết kế để trao đổi thụng tin định tuyến giữa cỏc router khụng kết nối trực tiếp với nhau.
BGP cú thể mang bất cứ thụng tin nào liờn quan đến một tuyến, chẳng hạn như cỏc thuộc tớnh BGP tuỳ chọn. Thờm nữa ta cú thể định nghĩa cỏc thuộc tớnh bổ sung, cỏc thuộc tớnh này sẽ được cỏc router BGP chuyển tiếp trong suốt mặc dự cỏc router BGP khụng hiểu chỳng là gỡ.Đặc tớnh này của BGP làm cho việc lan truyền cỏc routr target giữa cỏc router PE trở nờn đơn giản.
Để minh hoạ tương tỏc giữa thủ tục định tuyến cho mỗi mạng VPN với thủ tục định tuyến MP-BGP sử dụng trong nhõn mạng của nhà cung cấp dịch vụ, ta xem xột trường hợp của khỏch hàng A trong mạng Big_Net. Giả sử rằng site Hà Nội sử dụng thủ tụcOSPF để tương tỏc với mạng trục Big_Net, site Vũng Tàu và Quảng Ninh sử dụng thủ tục RIP và site Quảng Ninh sử dụng định tuyến tĩnh. Xem sơ đồ hỡnh vẽ 5.5.
Router Đà Nẵng (router P trong mạng Big_Net) khụng liờn quan đến MP-BGP, chỳng chỉ thực hiện chuyển tiếp gúi dựa trờn giỏ trị nhón gắn đến gúi. Do vậy router P khụng cần mang thụng tin về cỏc tuyến VPN, chớnh vỡ vậy việc thiết kế mở rộng mạng trở nờn thuận lợi.
Router PE Hà Nội tập hợp thụng tin định tuyến từ site Hà Nội (hỡnh 5.6). Thụng tin được tập hợp này và cả định tuyến tĩnh sẽ được phõn phối lại chuyển sang MP-BGP. Địa chỉ VPN được bổ sung thờm route distinguisher tại thời điểm phõn phối lại. Route target của VRF cũng được đớnh kốm theo tuyến. Kết quả là thụng tin định tuyến 96 bớt được lan truyền bởi MP-BGP đến router TP Hồ Chớ Minh (xem bước 2 trong hỡnh 5.6).
Router TP Hồ Chớ Minh sau khi nhận cỏc tuyến MP-BGP sẽ thực hiện chốn cỏc tuyến nhận được vào cỏc bảng VRF tương ứng dựa trờn thuộc tớnh route target gắn vào mỗi tuyến. Route distinguisher được loại ra khỏi tuyến 96 bit khi tuyến này được chốn vào bảng VRF, địa chỉ quay trở lại địa chỉ IP truyền thống. Cuối cựng thụng tin định tuyến được nhận qua BGP được phõn phối lại sang RIP và gửi nú đến site Vũng Tàu qua cập nhật RIP (xem bước 3 hỡnh 5.6).
_
Hỡnh 5.6. Hoạt động của thủ tục định tuyến trong mạng Big_Net
5.1.6 Cơ chế chuyển tiếp gúi VPN
Ta thấy rằng địa chỉ IP được sử dụng trong mạng VPN phải được bổ sung thờm 64 bit, được gọi là route distinguisher (RD) để địa chỉ được xỏc định đơn nhất.
Gúi IP được viết lại để tăng địa chỉ lờn 96 bit trong mào đầu gúi tin. Hoạt động này sẽ làm chậm tốc độ và tăng tớnh phức tạp.
Gúi IP được chuyển qua mạng trong đường hầm VPN qua IP. Cụng nghệ này
làm MPLS/VPN phức tạp như giải phỏp VPN IP-qua-IP truyền thống được sử dụng trong mụ hỡnh VPN overlay.
Giải phỏp thứ ba là: mỗi gúi VPN được router PE hướng vào gỏn một nhónđơn
nhất để xỏc định router PE hướng ra và gửi nú qua mạng. Tất cả cỏc router trờn
mạng sẽ thực hiện chuyển mạch nhón mà khụng cần phải đọc gúi tin lớp 3. Cỏc bước mở đầu cho xử lý nàyđược minh hoạ trong hỡnh 5.7.
Hỡnh 5.7.Cỏc bước chuyển tiếp gúi VPN
Mỗi router PE cần một địa chỉ nhận dạng duy nhất (thường sử dụng địa chỉ loopback), địa chỉ này sau đú được lan truyền qua mạng P bằng cỏch sử dụng IGP (Giao thức cổng vào phớa trong) (Bước 1). Địa chỉ IP này cũng được sử dụng như thuộc tớnh BGP chặng tiếp theo của tất cả cỏc tuyến VPN qua router PE này. Trong router P một nhón được gỏn cho địa chỉ nhận dạng này và được lan truyền đến cỏc router hàng xúm (Bước 2). Cuối cựng, tất cả cỏc router PE khỏc nhận một nhón tương ứng với router PE hướng ra qua xử lý phõn phối nhón MPLS(Bước 3). Sau khi nhón cho router PE hướng ra này được nhận bởi router PE hướng vào, trao đổi gúi VPN cú thể bắt đầu.
Mặc dự vậy, khi router PE hướng ra nhận một gúi VPN nú khụng cú thụng tin để xỏc định gúi này định tuyến cho mạng VPN nào. Để thụng tin giữa cỏc site của mạng VPN là đơn nhất, một bộ nhón thứ hai được đưa ra, như minh hoạ hỡnh 5.8.
Mỗi router PE xỏc định một nhón, duy nhất cho mỗi tuyến trong VRF (Bước 1). Cỏc
nhón này được lan truyền cựng với cỏc tuyến, tương ứng qua MP-BGP đến tất cả cỏc router PE khỏc(Bước 2).
Hỡnh 5.8.Phương thức xỏc định nhón truyền của gúi VPN
Khi router PE hướng vào nhận một gúi VPN, bảng VRF tương ứng được kiểm tra, một
nhón được gỏn để xỏc định địa chỉ đớch. Một nhón khỏc (xỏc định router PE hướng ra)
được xỏc định từ bảng chuyển tiếp global. Cả hai nhón nàyđược kết hợp trong một ngăn
xếp nhón MPLS và được gắn vào phớa trước của gúi VPN, gúi tin được gửi về phớa router PE hướng ra.
Tất cả router P trong mạng chuyển mạch gúi VPN dựa vào nhón trờnđỉnh trong ngăn xếp.Router P khụng bao giờ đọc nhón phớa dưới và khụng hề biết về nhón thứ hai hoặc gúi tin VPN được mang qua mạng.
Router PE hướng ra nhận gúi được gỏn nhón, loại bỏ nhónđầu tiờn, và thực hiện đọc và tỡm kiếm nhón thứ hai, nhón này xỏcđịnh duy nhất VRF đớch và giao tiếp ra của router PE. Tỡm kiếm được thực hiện trong VRF đớch (nếu cần), và gúi được gửi chớnh xỏc về phớa router CE đớch(Bước 3).
5.2. CƠ CHẾ HOẠT ĐỘNG CỦA KIẾN TRÚC MPLS/VPN [4,19,20,21]
Dịch vụ VPN được thiết lập bằng cỏch sử dụng cỏc Bảng chuyển tiếp và định tuyếnảo
(VRF), trong đú thụng tin định tuyến của khỏch hàng VPN được tạo dựng qua cơ chế nhập cỏc tuyến cú router target nhất định. Thụng tin định tuyến được nhận dạng đơn nhất bằng cỏch sử dụng một route distinguisher và được phõn phối trong cỏc router PE của nhà cung cấp dịch vụ bằng cỏch sử dụng MP-BGP.
Để cú thể tỡm hiểu về vấn đề thiết kế và cấu hỡnh cho hạ tầng mạng trục của nhà cung cấp dịch vụ ta cần nghiờn cứu một vớ dụ về mụ hỡnh mạng.
5.2.1 Nghiờn cứu dịch vụIntranet MPLS/VPN cơ bản
Một trong cỏc sơ đồ mạng VPN đơn giản nhất là mạng Intranet giữa cỏc site của một tổ chức. Sơ đồ này là cấu trỳc mạng VPN cơ bản cung cấp kết nối đa điểm giữa cỏc site với nhau bằng cỏch sử dụng mụ hỡnh ngang hàng nõng cao.
Hỡnh 5.9 là một vớ dụ vềmụ hỡnh VPNđơn giản. Mạng trục MPLS/VPN Big_Net cú hai khỏch hàng: khỏch hàng A và khỏch hàng B. Tổ chức của khỏch hàng B cú cỏc site tại: Nghệ An, TP Hồ Chớ Minh và Hồng Kụng. Tổ chức của khỏch hàng B cú cỏc site tại: Hà Nội, Vũng Tàu và Hồng Kụng. Cỏc site của cả hai khỏch hàng là kết nốiđiểm đến đa điểm, khụng cú dự phũng.
Hỡnh 5. 9. Cấu trỳc mạng Intranet MPLS/VPN cơ bản
Mạng của nhà cung cấp dịch vụ Big_Net ghi nhận cỏc tuyến của hai khỏch hàng VPN qua thủ tục định tuyến tĩnh và RIP version 2. Tại site Nghệ An của khỏch hàng A và site Hà Nội của khỏch hàng B sử dụng RIP version 2 để thụng tin với mạng trục MPLS/VPN. Tại site Vũng Tàu/Hồng Kụng của khỏch hàng A và site TP Hồ Chớ Minh/Hồng Kụng của khỏch hàng B sử dụng định tuyến tĩnh.
Bảng 5.5 chỉ ra giải địa chỉ của hai khỏch hàng VPN này, cỏc router mạng trục Big_Net sử dụng địa chỉ loopback cho cỏc phiờn BGP.
Khỏch hàng Site Subnet Khỏch hàng A Hà nội 192.168.20.64/28 Hồng Kụng 10.2.12.0/28 Vũng tàu 10.2.11.0/28 Khỏch hàng B Nghệ An 10.2.11.0/28 Hồng Kụng 10.1.12.0/28
TP Hồ Chớ Minh 192.168.24.48/28 Mạng trục TP Hồ Chớ Minh (loopback 0) 192.168.30.81/32 Hà nội (loopback 0) 192.168.30.82/32 Hồng Kụng(loopback 0) 192.168.30.97/32 Bảng 5. 5. Địa chỉIP của cỏc khỏch hàng VPN và địa chỉ loopback của router mạng trục
Để cung cấp dịch vụ VPN này qua mạng trục MPLS/VPN, ta cần phải thực hiện cỏc
bước sau:
l. Định nghĩa và gỏn VRF cho khỏch hàng VPN trờn router PE. 2. Định nghĩaroute distinguisher trờn router PE.
3. Định nghĩa chớnh sỏch xuất và nhập tuyến trờn router PE.
4. Triển khai kết nối và lựa chọn thủ tục định tuyến kết nối đến khỏch hàng. 5. Triển khai MP-BGP trờn mạng nhà cung cấp dịch vụ.
5.2.2 Định nghĩa và gỏn VRF
Từ hỡnh 5.9 ta thấy cỏc site của khỏch hàng A và B kết nối với cả ba router PE. Do vậy ta phải định nghĩa VRF cho cả hai khỏch hàng này trờn cả ba router PE, vỡ vậy cấu hỡnh VRF cho hai khỏch hàng này phải tồn tại trờn cả ba router này.
Mỗi VRF phải được gỏn cho một cỏi tờn để phõn biệt cỏc VRF (gỏn cỏc giỏ trị route distinguisher và route target).
Để router PE cú thể nhận biết VRF này thuộc khỏch hàng VPN nào, cỏc VRF này phải được gỏn đến cỏc giao tiếp kết nối đến khỏch hàng VPN.
5.2.3Định nghĩaRoute Distinguisher và tiền tố địa chỉ VPN-IPV4
Trong phần 5.1 đó xỏc định cỏc yờu cầu để gửi cỏc tuyến VPN của khỏch hàng qua mạng trục MPLS/VPN và cỏc yờu cầu để nhập cỏc tuyến này vào bảng định tuyến VPN
(VRF). Ta cũng đó xỏc định BGP (Border Gateway Protocol) là thủ tục định tuyến được chọn thớch hợp và đỏp ứng được cho kiến trỳc MPLS/VPN.
BGP theo tiờu chuẩn chỉ trợ giỳp tuyến IPv4. Trong kiến trỳc MPLS/VPN, vỡ mạng VPN phải cú khả năng sử dụng địa chỉ chồng lấn (dựng được địa chỉ mạng riờng) nờn nú cần phải thờm route distinguisher cho địa chỉ IPv4. Do vậy yờu cầu phải mở rộng thủ tục BGP để cú thể nhận dạng việc cập nhật định tuyến khụng theo tiờu chuẩn IPv4. MP-iBGP (BGPđa thủ tục bờn trong mạng trục) và thụng tin định tuyến VPN-IPv4 cung cấp việc mở rộng này.
MP-iBGP khụng thể làm việc chớnh xỏc nếu khỏch hàng sử dụng địa chỉ trựng nhau . Hỡnh 5.10 chỉ ra vấn đề gặp phải khi router PEở Singapore nhận hai cập nhật IPv4 cú địa chỉ đớch trựng nhau. Trong trường hợp này, router PE chọn tuyến đường tốt nhất trong hai tuyến này dựa trờn xử lý quyết định BGP tiờu chuẩn. Như vậy MP-iBGP khụng nhận
dạng để tỡm ra cỏc tuyến thuộc mạng VPN nào, nú chỉ cú thể so sỏnh để chọn một tuyến
đường tốt nhất.
Hỡnh 5.10. Router PE so sỏnh cỏc tuyến BGP
Để nhận dạng là duy nhất, một chuỗi 64 bit được bổ sung vào phớa trước của địa chỉ IPv4 trong bản tin cập nhật MP-iBGP. Chuỗi bổ sung này được gọi là route distinguisher
(lộ trỡnh riờng) và mỗi mạng VPN nú cú một giỏ trị khỏc nhau.
Địa chỉ VPN-IPv4 (hay địa chỉ VPNv4) bao gồm địa chỉ IPv4 và route distinguisher. Kết hợp route distinguisher và địa chỉ IPv4 làm cho tuyến IPv4 là duy nhất trong mạng MPLS/VPN. Hỡnh 5.11 minh hoạ việc router PE phõn biệt hai tuyến cú cựng địa chỉ IPv4 như thế nào.
Hỡnh 5.11 chỉ ra rằng khi router PE Hồng Kụng nhận một bản tin cập nhật MP-iBGP của mạng cú địa chỉ 10.2.11.0/28 từ router PE Hà Nội và TP Hồ Chớ Minh, cỏc bản tin cập nhật này khụng so sỏnh chọn tuyến đường vỡ cú một route distinguisher bổ sung vào địa chỉ IP. Bản tin cập nhật từ router PE Hà Nội cú tiền tố 101:500:10.2.11.0/28 và từ router PE TP Hồ Chớ Minh cú dạng 101:501:10.2.11.0/28.
Hỡnh 5.11. Router PE so sỏnh cỏc tuyến VPN-IPv4
5.2.4Định nghĩa chớnh sỏch xuất nhập tuyến và ngăn chặn vũng lặp
Cỏc router PE học cỏc tuyến từ mạng trục MPLS/VPN và từ cỏc site khỏch hàng kết nối đến. Cỏc tuyến này được đưa vào cỏc bảng định tuyến VPN (VRF) và được gửi ra mạng trục MPLS/VPN bằng thủ tục MP-iBGP. Từng router PE cần cú thụng tin để xử lý cỏc tuyến nhận được (tuyến này sẽ được nhập vào VRF nào), nú được đớnh kốm theo tuyến khi chuyển thụng tin đến cỏc router PE khỏc.
Mặc dự route target cung cấp cơ chế để nhận dạng xem VRF nào được nhận tuyến, nhưng nú khụng cung cấp phương tiện để ngăn chặn vũng lặp định tuyến.Để giải quyết
vấn đề này, ta cú khỏi niệm SOO (Site of Origin- Site gốc) trong kiến trỳc MPLS/VPN
nhận dạng site khởi thuỷ của tuyến và trờn cơ sở đú nú khụng nhận tuyến quay trở lại. Thuộc tớnh thụng tin mở rộng BGP cú thể đỏp ứng cả hai khỏi niệm route target và SOO của kiến trỳc mạng MPLS/VPN. (Cỏc thuộc tớnh này được miờu tả trong bản thảo
draft-ramachandra-bgp-ext-communities trờn trang Web http://www.ietf.org).
5.2.4.1 Chớnh sỏch xuất nhập tuyến (sử dụng Route Target)
Khỏi niệm route target định nghĩa chớnh sỏch xuất nhập tuyến cho cỏc VRF. Bản tin cập nhật MP-iBGP lan truyền giữa cỏc router PE nội dung thụng tin mở rộng qua cỏc thuộc tớnh BGP, giỏ trị của route target xỏc định xem những VRF nào sẽ nhập tuyến. Định nghĩa giỏ trị thụng tin mở rộng route target một cỏch cẩn thận sẽ cung cấp cho ta sự linh
động khi triển khai nhiều sơ đồ mạng VPN khỏc nhau. Trong hỡnh 5.12 mụ tả việc sử dụng mạng trục MPLS/VPN để triển khai cỏc sơ đồ mạng VPN.
Hỡnh 5.12. Chớnh sỏch xuất nhập tuyến sửroute target
Hỡnh 5.12 chỉ ra router PE tại Hà Nội xuất cỏc tuyến: tuyến VPN của khỏch hàng A với route target là 101:500 và tuyến VPN của khỏch hàng B với route target 101:501. VRF của khỏch hàng C trờn router Hồng Kụng nhập tuyến cú route target là 101:501, vỡ vậy khỏch hàng Cở Hồng Kụng cú chứa thụng tin định tuyến của khỏch hàng Bở site Nghệ An. VRF của khỏch hàng A trờn router TP Hồ Chớ Minh nhập tuyến cú route target là 101:500 và 101:501. Cú nghĩa rằng site của khỏch hàng Aở Vũng Tàu chứa thụng tin định tuyến của cả khỏch hàng Aở site Hà Nội và khỏch hàng Bở Nghệ An.
5.2.4.2 Ngăn chặn vũng lặp địnhtuyến
SOO ngăn chặn vũng lặp định tuyến khi một site kết nối đến nhiều điểm của mạng trục MPLS/VPN. Dựa vào giỏ trị SOO để nhận dạng ra site gửi thụng tin định tuyến, trờn cơ sở đú tất cả cỏc router PE trong mạng trục MPLS/VPN sẽ khụng gửi thụng tin định tuyến trở