CHƢƠNG 3 MẠNG RIÊNG ẢO TRÊN NỀN MPLS
3.2 Công nghệ VPN dựa trên MPLS
3.2.2 Các mô hình MPLS – VPN
Hiện nay có hai mô hình triển khai mạng riêng ảo trên nền MPLS phổ biến là mạng riêng ảo lớp 3 (Layer 3 VPN) và mạng riêng ảo lớp 2 (Layer 2 VPN). Sau đây sẽ giới thiệu những đặc điểm chính của hai mô hình này.[7]
3.2.2.1 Mô hình mạng riêng ảo lớp 3
Kiến trúc mạng riêng ảo L3VPN đƣợc chia thành hai lớp, tƣơng ứng với các lớp 3 và 2 của mô hình OSI. L3VPN dựa trên RFC 2547, mở rộng một số đặc tính cơ bản của giao thức cổng biên BGP (Border Gateway Protocol) và tập trung vào hƣớng đa giao thức của BGP nhằm phân bổ các thông tin định tuyến qua mạng lõi của nhà cung cấp dịch vụ cũng nhƣ là chuyển tiếp các lƣu lƣợng VPN qua mạng lõi.
Trong kiến trúc L3VPN, các bộ định tuyến khách hàng và của nhà cung cấp đƣợc coi là các phần tử ngang hàng. Bộ định tuyến biên khách hàng CE cung cấp thông tin định tuyến tới bộ định tuyến biên nhà cung cấp PE. PE lƣu các thông tin định tuyến trong bảng định tuyến và chuyển tiếp ảo VRF. Mỗi khoản mục của VRF tƣơng ứng với một mạng khách hàng và hoàn toàn biệt lập với các mạng khách hàng khác. Ngƣời sử dụng VPN chỉ đƣợc phép truy nhập tới các site hoặc máy chủ trong cùng một mạng riêng này. Bộ định tuyến PE còn hỗ trợ các bảng định tuyến thông thƣờng nhằm chuyển tiếp lƣu lƣợng của khách hàng qua mạng công cộng. Một cấu hình mạng L3VPN dựa trên MPLS đƣợc chỉ ra trên hình 3-14
Hình 3 - 14 Mô hình MPLS L3 VPN
Các gói tin IP qua miền MPLS đƣợc gắn hai loại nhãn, bao gồm nhãn MPLS chỉ thị đƣờng dẫn chuyển mạch nhãn LSP và nhãn chỉ thị định tuyến/chuyển tiếp ảo VRF. Ngăn xếp nhãn đƣợc thiết lập để chứa các nhãn trên. Các bộ định tuyến P của nhà cung cấp xử lý nhãn LSP để chuyển tiếp các gói tin qua miền MPLS. Nhãn VRF chỉ đƣợc xử lý tại thiết bị định tuyến biên PE nối với bộ định tuyến khách hàng.
Mô hình L3VPN có ƣu điểm là không gian địa chỉ khách hàng đƣợc quản lý bởi nhà khai thác, và do vậy nó cho phép đơn giản hóa việc triển khai kết nối với nhà cung cấp. Ngoài ra, L3VPN còn cung cấp khả năng định tuyến động để phân phối các thông
tin định tuyến tới các bộ định tuyến VPN. Tuy nhiên, L3VPN chỉ hỗ trợ các lƣu lƣợng IP hoặc lƣu lƣợng đóng gói vào gói tin IP. Đồng thời, việc tồn tại hai bảng định tuyến tại các thiết bị biên mạng cũng là một vấn đề phức tạp trong điều hành và ảnh hƣởng tới khả năng mở rộng các hệ thống thiết bị.
3.2.2.2 Mô hình mạng riêng ảo lớp 2
Mô hình mạng riêng ảo lớp 2 đƣợc phát triển sau và các tiêu chuẩn vẫn đang trong giai đoạn hoàn thiện. Cách tiếp cận L2VPN hƣớng tới việc thiết lập các đƣờng hầm qua mạng MPLS để xử lý các kiểu lƣu lƣợng khác nhau nhƣ Ethernet, FR, ATM và PPP/HDLC.
Có hai dạng L2VPN cơ bản là:
- Điểm tới điểm: tƣơng tự nhƣ trong công nghệ ATM và FR, nhằm thiết lập các đƣờng dẫn chuyển mạch ảo qua mạng;
- Điểm tới đa điểm: hỗ trợ các cấu hình mắt lƣới và phân cấp.
Trong những năm gần đây, dịch vụ LAN ảo dựa trên mô hình Layer 2 VPN đa điểm sử dụng công nghệ truy nhập Ethernet đã đƣợc triển khai rộng rãi. Giải pháp này cho phép liên kết các mạng Ethernet qua hạ tầng MPLS trên cơ sở nhận dạng lớp 2, vì vậy mà giảm đƣợc độ phức tạp của các bảng định tuyến lớp 3. Trong mô hình Layer 2 VPN các bộ định tuyến CE và PE không nhất thiết phải đƣợc coi là ngang hàng (hình 3-15). Thay vào đó, chỉ cần tồn tại kết nối lớp 2 giữa các bộ định tuyến này. Bộ định tuyến PE chuyển mạch các luồng lƣu lƣợng vào trong các đƣờng hầm đã đƣợc cấu hình trƣớc tới các bộ định tuyến PE khác.
Hình 3 - 15 Mô hình MPLS L2 VPN
Layer 2 VPN xác định khả năng tìm kiếm qua mặt phẳng dữ liệu bằng địa chỉ học đƣợc từ các bộ định tuyến lân cận. Layer 2 VPN sử dụng ngăn xếp nhãn tƣơng tự nhƣ trong Layer 3 VPN. Nhãn MPLS bên ngoài đƣợc sử dụng để xác định đƣờng dẫn cho lƣu lƣợng qua miền MPLS, còn nhãn kênh ảo VC nhận dạng các mạng LAN ảo, VPN hoặc kết nối tại các điểm cuối. Một trƣờng nhãn tuỳ chọn sử dụng để điều khiển đóng các kết nối lớp 2 đƣợc đặt trong cùng ngăn xếp sát với trƣờng dữ liệu.
Later 2 VPN có ƣu điểm quan trọng nhất là cho phép các giao thức lớp cao đƣợc truyền trong suốt đối với MPLS. Nó có thể hoạt động trên hầu hết các công nghệ lớp 2 gồm ATM, FR, Ethernet và mở ra khả năng tích hợp các mạng phi kết nối IP với các
mạng hƣớng kết nối. Ngoài ra, trong giải pháp này ngƣời sử dụng đầu cuối không cần phải cấu hình định tuyến cho các bộ định tuyến khách hàng CE.
Tuy nhiên, L2VPN không dễ dàng mở rộng nhƣ L3VPN. Một cấu hình đầy đủ cho các LSP phải đƣợc sử dụng để kết nối các VPN trong mạng. Hơn nữa, L2VPN không thể tự động định tuyến giữa các site. Vì vậy, tuỳ thuộc vào cấu hình mạng MPLS và nhu cầu cụ thể mà có thể sử dụng một trong hai mô hình nói trên.