4.4 Kiến trỳc MPLS VPN
4.4.3 DiffSer trong MPLS VPN
Việc cấu hỡnh cỏc LSP riờng cho cỏc VPN cho phộp SP cung cấp DiffSer dành cho cỏc khỏch hàng. Những LSP riờng này cú thể được kết hợp với bất cứ lớp QoS L2 nào cú sẵn hoặc với cỏc điểm mó dịch vụ. Trong một VPN, nhiều LSP riờng với cỏc lớp dịch vụ khỏc nhau cú thể được cấu hỡnh với cỏc thụng tin luồng cho việc sắp xếp cỏc gúi tin trong cỏc LSP. Đặc tớnh này, cựng với khả năng thay đổi kớch thước cỏc bộ định tuyến ảo, cho phộp SP cung cấp cỏc dịch vụ hoàn toàn khỏc nhau tới cỏc khỏch hàng VPN.
4.5 Vấn đề bảo mật trong MPLS VPN
Tất cả cỏc khả năng giỏm sỏt bộ định tuyến dựng trong bộ định tuyến vật lý cú thể dựng được trong bộ định tuyến ảo bao gồm cỏc cụng cụ như “ping”, “traceroute” … Hơn nữa, khả năng hiển thị bảng định tuyến cỏ nhõn, cơ sở dữ liệu trạng thỏi liờn kết, v.v.. cũng cú thể được sử dụng.
4.5.1 Bảo mật định tuyến
Do VR sử dụng cỏc giao thức định tuyến chuẩn như OSPF và BGP, cú nghĩa là tất cả cỏc cỏc phương thức mó hoỏ và bảo mật (như xỏc nhận MD5 của cỏc bộ định tuyến lõn cận) là hoàn toàn cú sẵn trong cỏc VR. Hơn nữa, việc đảm bảo cỏc tuyến khụng bị lệch từ một VPN này tới cỏc VPN khỏc là hoàn toàn cú thể thực hiện được.
nghệ chuyển mạch nhón chứ khụng phải cụng nghệ IP. Cỏc LSP ứng với cỏc tuyến VPN-IP đều sinh ra và kết thỳc tại cỏc bộ định tuyến biờn PE. Tại cỏc PE, LSP được gắn với bảng thụng tin định tuyến cụ thể và thụng tin định tuyến lại được liờn kết với một VPN nhất định. Vỡ vậy, một gúi tin khụng thể gửi tới một VPN tuỳ ý nếu người gửi khụng thuộc VPN đú.
4.5.2 Bảo mật dữ liệu
Nhà khai thỏc dịch vụ SP đảm bảo với cỏc khỏch hàng VPN rằng tất cả cỏc gúi tin dữ liệu trong một VPN khụng bao giờ đi chệch đường sang VPN khỏc. Từ quan điểm định tuyến, điều này cú thể đạt được bằng việc duy trỡ cỏc cơ sở dữ liệu định tuyến riờng biệt cho mỗi bộ định tuyến ảo. Từ quan điểm gửi chuyển tiếp dữ liệu, sử dụng cỏc tập nhón trong trường hợp cỏc LSP dựng chung hoặc sử dụng cỏc LSP riờng biệt đảm bảo bảo mật dữ liệu. Cỏc bộ lọc gúi tin cũng cú thể được thiết lập để hỗ trợ cỏc quỏ trỡnh trờn.
4.5.3 Bảo mật mạng vật lý
Cỏc bộ định tuyến ảo được xem như cỏc bộ định tuyến vật lý đối với PNA. Điều này cú nghĩa là chỳng cú thể được PNA cấu hỡnh để cú được kết nối giữa cỏc văn phũng của một tập đoàn. Rừ ràng, nhà cung cấp dịch vụ SP phải đảm bảo rằng chỉ cú PNA và cỏc nhà thiết kế của PNA, những người truy cập tới cỏc VR trờn SPED trong mạng cỏ nhõn, là cú được cỏc kết nối tới chỳng. Kể từ khi bộ định tuyến ảo cõn bằng về mặt chức năng với bộ định tuyến vật lý, tất cả cỏc phương thức xỏc nhận cú thể dựng trong phạm vi vật lý như khẩu lệnh, RADIUS được sử dụng trong PNA.
Khi một PNA truy cập vào một SPED để cấu hỡnh hoặc giỏm sỏt VPN, PNA đú được truy cập vào VR của VPN. PNA chỉ cú quyền cấu hỡnh và giỏm sỏt lớp 3 cho VR. Cụ thể PNA khụng cú quyền cấu hỡnh cho mạng vật lý. Điều này đảm bảo cho SP rằng nhà quản trị VPN sẽ khụng thể tỏc động đến mạng SP.
4.6 Chất lượng dịch vụ trong MPLS VPN [1, 15]
Chất lượng dịch vụ luụn là điều rất quan trọng khi triển khai xõy dựng, thiết kế một hệ thống mạng, đặc biệt trong thời đại ngày nay, rất nhiều cỏc ứng dụng yờu cầu băng thụng rộng, thời gian thực như hội nghị trực tuyến (Video conference), cỏc dịch vụ thoại (Voice over IP) …Vỡ vậy khỏch hàng thường đũi hỏi nhà cung cấp phải cam kết đảm bảo dành trước tài nguyờn, điều này thường được chỳng ta đề cập tới bằng thuật ngữ chất lượng dịch vụ QoS (Quality of Service). Cỏc thuộc tớnh của QoS được mụ tả bằng cỏc thụng số liờn quan đến băng thụng, độ trễ (delay), tỷ lệ mất gúi tin, tốc độ truyền…
Thuật ngữ QoS và CoS (Class of Service) cú sự liờn quan chặt chẽ với nhau nhưng cũng cú sự khỏc biệt nhỏ giữa chỳng. QoS là sự đảm bảo về việc cung cấp một mức dịch vụ yờu cầu, cũn CoS là thể loại của dịch vụ được yờu cầu bởi một gúi tức
một phần của lưu lượng ứng dụng đặc biệt. Chỳng được kết hợp với nhau để cung cấp cỏc dịch vụ cú chất lượng dịch vụ như mong muốn. Bắt đầu từ điểm vào của một tuyến, giỏ trị trường CoS được ấn định. Trường CoS này sau đú được phõn tớch bởi mỗi quỏ trỡnh QoS hoạt động trong cỏc nỳt dọc theo tuyến đường gúi di chuyển cho tới khi gúi đạt tới đớch của nú với chất lượng dịch vụ đó được thiết lập.
Trong phần này chỳng ta sẽ xem xột cỏc cơ cấu mà SP sử dụng để hỗ trợ QoS, đũi hỏi phải đủ độ mềm dẻo để hỗ trợ nhiều loại khỏch hàng VPN khỏc nhau. Vớ dụ SP cú thể đưa ra cho cỏc khỏch hàng VPN của mỡnh cỏc mức (Level) CoS cho mỗi VPN, cỏc ứng dụng khỏc nhau trong cựng một VPN cú thể nhận cỏc mức CoS khỏc nhau. Theo cỏch này, dịch vụ email cú thể cú một CoS trong khi một vài ứng dụng thời gian thực khỏc cú thể cú cỏc CoS khỏc nhau. Hơn nữa, CoS mà một ứng dụng được gỏn trong một VPN cú thể khỏc so với CoS mà một ứng dụng như vậy cú thể nhận được trong VPN khỏc. Tức là, một tập cỏc cơ chế hỗ trợ QoS cho phộp quyết định dữ liệu nào nhận CoS nào. Hơn nữa, khụng phải tất cả cỏc VPN phải sử dụng tất cả cỏc CoS mà một nhà cung cấp dịch vụ VPN đưa ra. Do đú, một tập cỏc cơ chế hỗ trợ QoS cho phộp quyết định lại CoS nào được sử dụng để tạo ra cỏc cơ sở VPN ngang cấp.
Trước khi mụ tả cỏc cơ chế được sử dụng trong BGP/MPLS VPN để hỗ trợ QoS, chỳng ta xem xột hai mụ hỡnh được sử dụng để mụ tả QoS trong phạm vi VPN là mụ hỡnh „ống‟ và mụ hỡnh „vũi‟.
4.6.1 Mụ hỡnh “ống” hỗ trợ QoS
Trong mụ hỡnh „ống‟ một nhà cung cấp dịch vụ VPN cung cấp cho một khỏch hàng VPN một QoS cố định đảm bảo cho dữ liệu đi từ một bộ định tuyến CE của khỏch hàng tới cỏc bộ định tuyến CE khỏc. Về một ý nghĩa nào đú thỡ ta cú thể hỡnh dung mụ hỡnh này như một đường ống mà nú kết nối hai bộ định tuyến với nhau, và lưu lượng giữa hai bộ định tuyến trong đường ống này cú những giỏ trị QoS xỏc định. Vớ dụ về một loại QoS cú thể được cung cấp trong mụ hỡnh „ống‟ là giỏ trị băng thụng nhỏ nhất giữa hai vựng.
Ta cú thể cải tiến mụ hỡnh „ống‟ bằng việc tạo một tập con của tất cả cỏc lưu lượng từ một CE tới cỏc CE khỏc cú thể sử dụng đường ống. Quyết định cuối cựng lờn lưu lượng nào cú thể sử dụng đường ống mang ý nghĩa cục bộ đối với bộ định tuyến PE tại đầu ống.
Chỳ ý là mụ hỡnh „ống‟ khỏ giống với mụ hỡnh QoS mà cỏc khỏc hàng VPN cú được hiện nay với cỏc giải phỏp dựa trờn FrameRelay hoặc ATM. Sự khỏc nhau căn bản là với ATM hay FrameRelay là kết nối theo hai hướng trong khi trong mụ hỡnh „ống‟ cung cấp kết nối theo một hướng. Trờn thực tế đường ống là đơn hướng khụng đối xứng tương ứng với kiểu lưu lượng, do đú tổng lưu lượng từ một vựng tới vựng
Hỡnh 4.8 - Mụ hỡnh ống QoS
Xem xột vớ dụ biểu diễn trờn hỡnh 4.8, ở đõy nhà cung cấp dịch vụ cung cấp cho VPN A một đường ống đảm bảo băng thụng 7Mb/s cho lưu lượng từ vựng 3 đến vựng 1 và một đường ống khỏc đảm bảo băng thụng 10Mb/s cho lưu lượng từ vựng 3 đến vựng 2. Cũng như vậy, cú thể cú hơn một ống kết thỳc tại vựng cho trước. Một ưu điểm của mụ hỡnh „ống‟ là nú giống với mụ hỡnh QoS đang được cỏc khỏch hàng VPN sử dụng với FrameRelay hay ATM. Do đú, nú cú thể là dễ hiểu đối với cỏc khỏch hàng. Tuy nhiờn, mụ hỡnh „ống‟ cũng cú một vài nhược điểm. Nú đũi hỏi một khỏch hàng VPN phải biết toàn bộ ma trận lưu lượng của nú. Tức là, đối với tất cả cỏc vựng, khỏch hàng phải biết tổng lưu lượng đi từ một vựng này đến cỏc vựng khỏc. Thường thỡ thụng tin này khụng cú sẵn, thậm chớ là nếu cú thỡ cũng bị lỗi thời.
4.6.2 Mụ hỡnh “vũi” hỗ trợ QoS
Khắc phục nhược điểm trờn, mụ hỡnh „vũi‟ khụng đũi hỏi khỏch hàng biết ma trận lưu lượng. Trong mụ hỡnh „vũi‟, nhà cung cấp dịch vụ VPN cung cấp cho khỏch hàng một đảm bảo chắc chắn cho lưu lượng mà bộ định tuyến CE của khỏch hàng gửi đi và nhận về từ cỏc bộ định tuyến CE khỏc trong cựng một VPN. Trong trường hợp khỏc khỏch hàng phải chỉ định bằng cỏch nào lưu lượng này được phõn phối trong cỏc bộ định tuyến CE.
Mụ hỡnh „vũi‟ sử dụng hai tham số, tốc độ cam kết lối vào ICR (ingress Committed Rate) và tốc độ cam kết lối ra ECR (egress Committed Rate). ICR là tổng lưu lượng mà một CE cú thể gửi tới cỏc CE khỏc trong khi ECR là tổng lưu lượng mà một CE cú thể nhận từ cỏc CE khỏc. Núi cỏch khỏc, ICR đại diện cho tổng lưu lượng từ một CE cụ thể, trong khi ECR đại diện cho tổng lưu lượng tới một CE cụ thể. Chỳ ý là, với một CE cho trước, khụng đũi hỏi là ICR cõn bằng với ECR.
VPN B/Site 1 VPN A/Site 2 VPN B/Site 2 VPN A/Site 3 VPN B/Site 3 VPN A/Site12 CE1 B1 CE2 B1 CEA1 CEB3 CEA3 CEB2 CEA2 PE2 PE1 PE3 7Mbps 10Mbp s
Để minh hoạ mụ hỡnh „vũi‟, xem xột vớ dụ biểu diễn trờn hỡnh 4.9, ở đõy nhà cung cấp dịch vụ cung cấp cho VPN B một đảm bảo chắc chẵn với băng thụng 15Mb/s cho lưu lượng từ vựng 2 tới cỏc vựng khỏc (ICR=15Mbps) mà khụng chỳ ý đến liệu lưu lượng này đi tới vựng 1 hay vựng 3 hay được phõn phối giữa vựng 1 và vựng 3. Cũng như vậy nhà cung cấp dịch vụ cung cấp cho VPN B một đảm bảo chắc chắn với băng thụng 7Mbps cho lưu lượng từ vựng 3 gửi tới cỏc vựng khỏc trong cựng VPN (ICR=7Mbps), khụng chỳ ý đến liệu lưu lượng tới vựng 1 hay vựng 2 hay được phõn phối trong vựng 1 và 2. Tương tự như vậy, nhà cung cấp dịch vụ cung cấp cho VPN B sự đảm bảo với băng thụng 15Mbps cho lưu lượng gửi tới vựng 2 (ECR=15Mpbs) mà khụng chỳ ý tới liệu lưu lượng xuất phỏt từ vựng 1 hay vựng 3 hay được phõn phối giữa vựng 1 và vựng 3.
Mụ hỡnh „vũi‟ hỗ trợ nhiều CoS với cỏc dịch vụ khỏc nhau từ một trong số cỏc đặc tớnh chất lượng liờn quan; Vớ dụ, một dịch vụ cú thể cú khả năng mất mỏt gúi tin ớt hơn dịch vụ khỏc. Với cỏc dịch vụ đũi hỏi phải cú sự đảm bảo lớn (như đảm bảo về băng thụng), thỡ mụ hỡnh „ống‟ phự hợp hơn.
Hỡnh 4.9 - Mụ hỡnh vũi QoS
Mụ hỡnh „ống‟ và „vũi‟ khụng phải là cỏc mụ hỡnh đối ngược nhau. Nghĩa là, nhà cung cấp dịch vụ cú thể cung cấp cho khỏch hàng VPN một kết hợp giữa cỏc mụ hỡnh „ống‟ và „vũi‟, và cú thể giỳp cho khỏch hàng quyết định loại dịch vụ nào cần mua và loại lưu lượng nào nờn cú gớa trị CoS nào.
Để hỗ trợ mụ hỡnh „ống‟ chỳng ta sử dụng cỏc LSP băng thụng bảo đảm. Những LSP này bắt đầu và kết thỳc tại cỏc bộ định tuyến PE và được sử dụng để cung cấp băng thụng đảm bảo cho tất cả cỏc ống từ một PE đến cỏc PE khỏc. Tức là với một cặp
VPN B/Site 1 VPN A/Site 2 VPN B/Site 2 VPN A/Site 3 VPN B/Site 3 VPN A/Site12 CE1 B1 CE2 B1 CEA1 CEB3 CEA3 CEB2 CEA2 PE2 PE1 PE3 ICR 7Mbps ECR 7Mbps ICR 15Mbps ECR 15Mbps
tuyến PE này mà chỳng đó cú cỏc đường ống giữa chỳng và hơn là sử dụng một LSP băng thụng đảm bảo cho mỗi ống như vậy, chỳng ta sử dụng một LSP cho tất cả.
Vớ dụ trong hỡnh 4.9 cú thể cú một ống cho VPN A từ CEA3 tới CEA1 và một ống khỏc cho VPN B từ CEB3 tới CE2B1. Để hỗ trợ hai ống này, chỳng ta thiết lập một LSP từ PE3 tới PE1 và dự trữ trong LSP băng thụng cú độ lớn bằng tổng băng thụng của hai ống. Khi PE3 nhận gúi tin từ CEA3 và gúi tin cú đớch là một host ở vựng 1 của VPN A, PE3 quyết định dưới sự điều khiển của cấu hỡnh cục bộ của nú xem liệu gúi tin nhận CoS nào. nếu như vậy, sau đú PE3 gửi chuyển tiếp gúi tin dọc theo LSP từ PE3 tới PE1.
Sử dụng một LSP băng thụng cố định để tải nhiều ống giữa một cặp bộ định tuyến PE cải thiện tớnh mở rộng của giải phỏp do số LSP mà nhà cung cấp dịch vụ phải thiết lập và duy trỡ phụ thuộc vào số cặp bộ định tuyến PE của nhà cung cấp dịch vụ hơn là phụ thuộc vào số đường ống của cỏc khỏc hàng VPN mà nhà cung cấp cú thể cú.
Để hỗ trợ QoS trong mụ hỡnh vũi, nhà cung cấp dịch vụ sử dụng cỏc dịch vụ khỏc nhau với MPLS. Nhà cung cấp dịch vụ cũng ỏp dụng kỹ thuật lưu lượng để cải thiện khả năng sử dụng mạng trong khi đạt được những mục tiờu về chất lượng mong muốn.
Cỏc thủ tục bộ định tuyến PE lối vào quyết định loại lưu lượng nào nhận được CoS nào rơi vào mụ hỡnh vũi hay ống là hoàn toàn mang tớnh cục bộ đối với bộ định tuyến PE đú. Những thủ tục này cú thể xem xột cỏc yếu tố như giao diện lối vào, địa chỉ IP nguồn, đớch, quyền ưu tiờn IP, số cổng TCP, hoặc sự kết hợp của những yếu tố trờn. Điều này mang lại cho nhà cung cấp dịch vụ sự mềm dẻo với khớa cạnh điều khiển xem loại lưu lượng nào nhận CoS nào.
Mặc dự cỏc khỏch hàng ký kết hợp đồng với nhà cung cấp dịch vụ cho số lưu lượng cụ thể trong CoS cụ thể, khỏch hàng cú thể gửi lưu lượng vượt quỏ lượng đú. Để quyết định liệu lưu lượng cú nằm trong hợp đồng ký kết, nhà cung cấp dịch vụ sử dụng cỏc chớnh sỏch tại bộ định tuyến PE lối vào. Với lưu lượng vượt khỏi giao ước, nhà cung cấp cú hai khả năng lựa chọn: hoặc là loại bỏ lưu lượng này ngay lập tức tại bộ định tuyến lối vào hoặc gửi lưu lượng đi nhưng đỏnh dấu nú khỏc với cỏc lưu lượng nằm trong hợp đồng. Với sự lựa chọn thứ hai, để giảm phõn phối khụng đỳng thủ tục, cả lưu lượng nằm trong hoặc vượt khỏi hợp đồng đều được gửi theo cựng một LSP. Lưu lượng vượt hợp đồng sẽ được đỏnh dấu khỏc và cỏch đỏnh dấu này ảnh hưởng đến khả năng loại bỏ trong trường hợp cú tắc nghẽn.
4.6.3 Cỏc tham số chất lượng
Về nguyờn tắc, cỏc bộ định tuyến thực hiện 2 chức năng chớnh đú là định tuyến thụng tin và gửi chuyển tiếp thụng tin.
Xem xột về khớa cạnh định tuyến, hầu hết cỏc giao thức định tuyến hiện đại sử dụng một số phương thức tớnh toỏn tối ưu để tớnh toỏn đường đi ngắn nhất tới đớch
cuối cựng. Vớ dụ, OSPF và IS-IS sử dụng thuật toỏn Djikstra trong khi BGP sử dụng “Decision Process”. Những thuật toỏn này dựa trờn việc phõn tớch cơ sở dữ liệu định tuyến và tớnh toỏn đường đi tốt nhất tới đớch cuối cựng. Cỏc đặc tớnh chất lượng của những thuật toỏn này được dựa trờn hoặc là đặc tớnh hỡnh học topo (IS-IS và OSPF) hoặc số AS trờn đường đi tới đớch (BGP). Nhưng chỳ ý rằng mào đầu trong việc thiết