CHƯƠNG 1: CÔNG NGHỆ MPLS VÀ MẠNG MPLS-VPN
1.4. MẠNG RIÊNG ẢO TRÊN NỀN MPLS (MPLS-VPN)
1.4.1. Các thành phần trong kiến trúc MPLS-VPN
Nhà cung cấp dịch vụ sẽ cung cấp hạ tầng dung chung cho các khách hàng có kết nối VPN.
Customer 1
Service Provider
P
P
PE CE PE
C C
Site A VPN
Customer 1
CE
C C
Site B VPN
MPLS-VPN
Hình 1.19 Các thành phần cơ bản của MPLS-VPN
Nhƣ trên hình 1.19, các thành phần cơ bản trong MPLS-VPN bao gồm:
- VPN là một tập hợp nhiều site chia sẻ cùng thông tin định tuyến chung;
- Mạng lừi MPLS-VPN đƣợc quản trị bởi nhà cung cấp dịch vụ gồm cú các bộ định tuyến P và PE. Trong khi thực hiện, cả hai bộ định tuyến P
và PE đều chạy MPLS. Điều này có nghĩa là chúng phải có khả năng phân phối nhãn giữa chúng và chuyển tiếp những gói đƣợc gán nhãn.
PE là router biên phía nhà cung cấp có kết nối trực tiếp với router biên CE của mạng khách khàng. PE cung cấp thông tin định tuyến của khách hàng và thực hiện đáp ứng dịch vụ cho khách hàng từ phía nhà cung cấp;
- Mạng khỏch hàng, đƣợc coi là mạng truy nhập tới vựng mạng lừi. Bộ định tuyến biên của khách hàng (CE router), đóng vai trò là cầu nối giữa mạng khách hàng và mạng của nhà cung cấp. C là các bộ định tuyến khách hàng không có kết nối trực tiếp với nhà cung cấp.
b. Bảng định tuyến và chuyển tiếp ảo VRF
Sự kết hợp giữa bảng định tuyến và bảng chuyển tiếp VPN tạo thành một bảng định tuyến chuyển tiếp ảo VRF (Vitual Routing and Forwarding).
Mỗi VPN đều có bảng định tuyến và chuyển tiếp riêng của nó trong bộ định tuyến PE, và mỗi bộ định tuyến PE duy trì một hoặc nhiều bảng VRF. Mỗi site mà có bộ định tuyến PE nối vào đó sẽ liên kết với một trong các bảng này.
Địa chỉ IP đích của một gói tin chỉ đƣợc kiểm tra trong bảng VRF mà nó thuộc về nếu gói tin này đến trực tiếp từ site tương ứng với bảng VRF đó.
Một VRF đơn giản chỉ là một tập hợp các tuyến thích hợp cho một site nào đó (hoặc một tập hợp gồm nhiều site) kết nối đến bộ định tuyến PE. Các tuyến này có thể thuộc về một hoặc nhiều VPN.
Chức năng của VRF giống nhƣ một bản định tuyến toàn cục, ngoại trừ việc nó chứa các tuyến (route) liên quan đến một VPN cụ thể. VRF cũng chứa một bảng chuyển tiếp cho VRF riêng biệt tương ứng để xác định các yêu cầu kết nối và các giao thức cho mỗi site khách hàng kết nối trên một router PE.
Hình 1.20 Chức năng của VRF [10]
Tóm lại, VRF đƣợc sử dụng cho một site VPN hoặc cho nhiều site kết nối đến cùng một bộ định tuyến PE miễn là những site này chia sẻ chính xác các yêu cầu kết nối giống nhau. Do đó, cấu trúc của bảng VRF bao gồm:
- Bảng định tuyến IP;
- Bảng chuyển tiếp;
- Tập hợp các quy tắc và các tham số giao thức định tuyến (gọi là Routing Protocol Context);
- Định danh VPN (VPN-id) và thông tin thành viên VPN (RD và RT);
- Danh sách các giao diện sử dụng trong VRF.
c. Trường phân biệt tuyến RD và địa chỉ VPNv4
Với việc triển khai giao thức định tuyến BGP để trao đổi tất cả các tuyến của khách hàng giữa các bộ định tuyến PE đặt ra một vấn đề là làm thế nào mà BGP có thể truyền những tiền tố xác định thuộc về các khách hàng khác nhau giữa các bộ định tuyến PE. BGP sử dụng địa chỉ IP để chọn một đường đi giữa tất cả các đường có thể đi đến đích. Do đó, BGP không thể làm việc đúng nếu khách hàng sử dụng cùng không gian địa chỉ.
Giải pháp để giải quyết vấn đề này là mở rộng tiền tố địa chỉ IP của khách hàng bằng cách thêm vào đầu địa chỉ IP một định danh gọi là trường
phân biệt tuyến RD (Route Distinguisher) có độ dài 64 bit với mục đích làm cho địa chỉ này trở nên duy nhất ngay cả khi có sự trùng lặp địa chỉ. Việc mở rộng tiền tố địa chỉ IPv4 của khách hàng VPN đã dẫn đến một khái niệm mới là địa chỉ VPNv4.
Địa chỉ VPNv4 có độ dài 96 bit đƣợc tạo ra bằng cách ghép hai thành phần có độ dài không đổi là trường phân biệt tuyến (RD-Route Distinguisher) 64-bit và địa chỉ IPv4 32-bit nhƣ hình 1.21.
Trường phân biệt tuyến (RD) 64 bit
Địa chỉ IPv4 32 bit
ASN VPN-ID
IP-add VPN-ID
RD theo định dạng ASN:nn
RD theo định dạng IP-add:nn
Hình 1.21 Trường RD và địa chỉ VPNv4
RD có thể có hai định dạng: dạng địa chỉ IP hoặc chỉ số AS. Giá trị 64 bit có thể có 2 định dạng: ASN:nn hoặc IP-address:nn (ở đây nn là một số dùng để nhận dạng VPN). Trong đó định dạng ASN:nn đƣợc sử dụng nhiều hơn (ở đây ASN viết tắt của chỉ số AS - Autonomous System Number).
Ví dụ: Với tiền tố IPv4 là 172.16.10.0/24 và RD 100:1 thì tiền tố VPNv4 sẽ là 100:1: 172.16.10.0/24.
Một điểm quan trọng cần nhấn mạnh là địa chỉ VPNv4 chỉ đƣợc xử lý trong các giao thức định tuyến chứ không đƣợc tải trong phần mào đầu của gói IP. Vì vậy VPNv4 không thể sử dụng một cách trực tiếp để chuyển tiếp gói. Nhiệm vụ chuyển tiếp các gói đƣợc thực hiện dựa trên MPLS và sẽ đƣợc trình bày ở phần sau.
d. Thuộc tính tuyến đích RT (Route Target)
Trường phân biệt tuyến RD dùng để nhận dạng VPN cho một site.
Trong trường hợp một site là thành viên của nhiều hơn một VPN hoặc cần kết nối các site thuộc các VPN khác nhau thì chỉ với RD là chƣa đủ. Để giải quyết vấn đề này, RT là đƣợc giới thiệu trong kiến trúc MPLS-VPN để hỗ trợ các mô hình VPN phức tạp. RT gắn thêm vào các tuyến VPNv4 dùng giao thức BGP (VPNv4 BGP route) để chỉ thị thành viên VPN.
RT là một thuộc tính mở rộng của BGP, nó chỉ ra những tuyến nào nên đƣợc nhập từ MP-BGP trong VRF. RT đƣợc thực thi bởi các thuộc tính mở rộng BGP sử dụng 16 bit cao của thuộc tính community mở rộng mã hóa với một giá trị tương ứng với thành viên VPN của site cụ thể. Hai khái niệm liên quan đến RT:
Export RTs:
o Dùng để nhận dạng thành viên VPN;
o Chèn thêm vào route khách hàng khi nó đƣợc chuyển đổi thành route dạng VPNv4 trước khi quảng bá trong các cập nhật của MP- BGP tới.
Import RTs:
o Kết hợp với mỗi bảng định tuyến ảo VRF;
o Chọn các route thích hợp để chèn vào bảng VRF. PE so sánh tham số RT trong các route VPNv4 nhận đƣợc từ bản cập nhật MP-BGP với các giá trị Import RT cấu hình trước trong các VRF để chọn route IPv4 tương ứng để chèn vào VRF phù hợp .
Hình 1.22 Truyền thông tin định tuyến qua MPLS-VPN [10]
Quá trình quảng bá route từ Site 1 đến Site 2 của Customer A ở hình trên đƣợc mô tả nhƣ sau:
CE1-A gửi quảng bá một tuyến (route) với prefix 172.16.10.0/24 tới PE1-AS1 thông qua VRF_CustomerA.
Route 172.16.10.0/24 sau khi phân phối (redistribute) vào MP-BGP PE1 đƣợc chèn thêm các giá trị RD, export_RT tạo thành địa chỉ VPNv4 1:100: 172.16.10.0/24 và RT 1:100 kết hợp với nhãn VPN rồi gửi quảng bá sang PE2-AS1. Nhãn VPN chỉ đơn giản là gắn cùng với tiền tố VPNv4 và quảng bá bởi BGP sử dụng thuộc tính mở rộng đa giao thức.
PE2-AS1 so sánh RT nhận đƣợc để xác định VRF thích hợp để MP- BGP redistribute vào. Kết quả chọn đƣợc: VRF_CustomerA và prefix IPv4:
172.16.10.0/24 (sau khi cắt bỏ RD). Route 172.16.10.0/24 đƣợc quảng bá tiếp sang CE2-A [10].