I. GIỚI THIỆU VỀ MPLS TRONG VPN
v. Các dịch vụ khác nhau trong MPLS VPN
Việc cấu hình các LSP cá nhân cho các VPN cho phép SP đưa ra những dịch vụ khác nhau dành cho các khác hàng. Những LSP cá nhân này có thể được kết hợp với bất cứ lớp QOS L2 nào có sẵn hoặc với các điểm mã dịch vụ. Trong một VPN, nhiều LSP cá nhân với các lớp dịch vụ khác nhau có thể được cấu hình với các thông tin luồng cho việc sắp xếp các gói tin trong các LSP. Đặc tính này, cùng với khả năng thay đổi kích thước các bộ định tuyến ảo, cho phép SP cung cấp các dịch vụ hoàn toàn khác nhau tới các khách hàng VPN.
vi. Vấn đề bảo mật trong MPLS VPN 1. Bảo mật định tuyến
Sử dụng các giao thức định tuyến chuẩn như OSPF và BGP theo hình thức không thay đổi của chúng có nghĩa là tất cả các các phương thức mã hoá và bảo mật (Như xác nhận MD5 của các bộ định tuyến lân cận) là hoàn toàn có sẵn trong các VR. Đảm bảo rằng các tuyến này không bị rò rỉ thông tin từ một VPN tới các VPN khác là một vấn đề phải được thực hiện. Một cách để đạt được điều này là duy trì các cơ sở dữ liệu định tuyến và gửi chuyển tiếp.
2. Bảo mật dữ liệu
Điều này cho phép SP đảm bảo với các khách hàng VPN rằng tất cả các gói tin dữ liệu trong một VPN không bao giờ đi chệch đường sang VPN khác. Từ quan điểm định tuyến, điều này có thể đạt được bằng việc duy trì các cơ sở dữ liệu định tuyến riêng biệt cho mỗi bộ định tuyến ảo. Từ quan điểm gửi chuyển tiếp dữ liệu, sử dụng các tập nhãn trong trường hợp các LSP dùng chung hoặc sử dụng các LSP cá nhân đảm bảo bảo mật dữ liệu. Các bộ lọc gói tin cũng có thể được cấu hình để giúp đỡ làm các vấn đề trở nên dễ dàng hơn.
3. Bảo mật cấu hình
Các bộ định tuyến ảo được xem như các bộ định tuyến vật lý đối với PNA. Điều này có nghĩa là chúng có thể được PNA cấu hình để có được kết nối giữa các văn phòng của một tập đoàn. Rõ ràng, SP phải đảm bảo rằng chỉ có PNA và các nhà thiết kế của PNA, những người truy cập tới các VR trên SPED trong mạng cá nhân, là có được các kết nối tới chúng. Kể từ khi bộ định tuyến ảo cân bằng về mặt chức năng với bộ định tuyến vật lý, tất cả các phương thức xác nhận có thể dùng trong phạm vi vật lý như khẩu lệnh, RADIUS là dùng được trong PNA.
4. Bảo mật mạng vật lý
Khi một PNA truy cập vào một SPED để cấu hình hoặc giám sát VPN, PNA đó được truy cập vào VR của VPN. PNA chỉ có quyền cấu hình và giám sát lớp 3 cho VR. Cụ thể PNA không có quyền cấu hình cho mạng vật lý. Điều này đảm bảo cho SP rằng nhà quản trị VPN sẽ không thể tác động đến mạng SP.
vii. Giám sát bộ định tuyến ảo trong MPLS VPN
Tất cả các đặt tính giám sát bộ định tuyến dùng trong bộ định tuyến vật lý có thể dùng được trong bộ định tuyến ảo. Điều này bao gồm các công cụ như “ping” “traceroute”. Thêm vào đó, khả năng hiển thị bảng định tuyến cá nhân, cơ sở dữ liệu trạng thái liên kết, v.v.. cũng sử dụng được.
viii. Hỗ trợ QoS trong MPLS VPN
Trong phần này chúng ta sẽ xem xét các cơ cấu mà SP sử dụng để thi hành các khía cạnh QoS. Trong phạm vi QoS, đòi hỏi phải phát triển các cơ cấu hỗ trợ QoS theo cách đủ độ mềm dẻo để hỗ trợ nhiều loại khác hàng VPN khác nhau. Ví dụ SP có thể đưa ra cho các khách hàng VPN của mình các CoS cho mỗi VPN, các ứng dụng khác nhau trong cùng một VPN có thể nhận các CoS khác nhau. Theo cách nay, dịch vụ email có thể có một CoS trong khi một vài ứng dụng thời gian thực khác có thể có các CoS khác nhau. Hơn nữa, CoS mà một ứng dụng nhận được trong một VPN có thể khác so với CoS mà một ứng dụng như vậy có thể nhận được trong VPN khác. Tức là, một tập các cơ chế hỗ trựo QoS cho phép quyết định dữ liệu nào nhận CoS nào. Hơn nữa, không phải tất cả các VPN phải sử dụng tất cả các CoS mà một nhà cung cấp dịch vụ VPN đưa ra. Do đó, một tập các cơ chế hỗ trợ QoS cho phép quyết định lại CoS nào được sử dụng để tạo ra các cơ sở per-VPN.
Trước khi mô tả các cơ chế được sử dụng trong BGP/MPLS VPN để hỗ trợ QoS, chúng ta xem xét hai mô hình được sử dụng để mô tả QoS trong phạm vi VPN là mô hình ‘pipe’ và mô hình ‘hose’.
Trong mô hình ‘pipe’ một nhà cung cấp dịch vụ VPN cung cấp cho một khách hàng VPN một QoS cố định đảm bảo cho dữ liệu đi từ một bộ định tuyến CE của khách hàng tới các bộ định tuyến CE khác. Về một ý nghĩa nào đó thì ta có thể hình dung mô hình này như một đường ống mà nó kết nối hai bộ định tuyến với nhau, và lưu lượng giữa hai bộ định tuyến trong đường ống này có những giá trị QoS xác định. Ví dụ về một loại QoS có thể được cung cấp trong mô hình ‘pipe’ là giá trị băng thông nhỏ nhất giữa hai vùng.
Ta có thể cải tiến mô hình ‘pipe’ bằng việc tạo một tập con của tất cả các lưu lượng từ một CE tới các CE khác có thể sử dụng đường ống. Quyết định cuối cùng lên lưu lượng nào có thể sử dụng đường ống mang ý nghĩa cục bộ đối với bộ định tuyến PE tại đầu ống.
Chú ý là mô hình ‘pipe’ khá giống với mô hình QoS mà các khác hàng VPN có được hiện nay với các giải pháp dựa trên FrameRelay hoặc ATM. Sự khác nhau căn bản là với ATM hay FrameRelay thì kết nối theo hai hướng trong khi trong mô hình ‘pipe’ cung cấp kết nối theo một hướng. Trên thực tế đường ống là đơn hướng không đối xứng tương ứng với kiểu lưu lượng, do đó tổng lưu lượng từ một vùng tới vùng khác có thể khác với tổng lưu lượng theo hướng ngược lại.
Hình III-5 Mô hình pipe QoS
Xem xét ví dụ biểu diễn trên Error: Reference source not found, ở đây nhà cung cấp dịch vụ cung cấp cho VPN A một đường ống đảm bảo băng thông 7Mb/s cho lưu lượng từ vùng 3 đến vùng 1 và một đường ống khác đảm bảo băng thông 10Mb/s cho lưu lượng từ vùng 3 đến vùng 2. Nhận thấy rằng bộ định tuyến CE có thể có nhiều hơn một ống xuất phát từ nó (ví dụ có hai ống xuất phát từ vùng 3). Cũng như vậy, có thể có hơn một ống kết thúc tại vùng cho trước. Một ưu điểm của mô hình ‘pipe’ là nó giống với môt hình QoS đang được các khách hàng VPN sử dụng với FrameRelay hay ATM. Do đó, nó có thể là dễ hiểu đối với các khách hàng. Tuy nhiên, mô hình ‘pipe’ cũng có một vài nhược điểm. Thứ nhất, nó đòi hỏi một khách hàng VPN phải biết toàn bộ ma trận lưu
lượng của nó. tức là, cho tất cả các vùng, khách hàng phải biết tổng lưu lượng đi từ một vùng đến các vùng khác. Thường thì thông tin này không có sẵn, thậm chí là nếu có thì cũng bị lỗi thời.
Trong mô hình ‘hose’, nhà cung cấp dịch vụ VPN cung cấp cho khách hàng một sự đảm bảo chắc chắn cho lưu lượng mà bộ định tuyến CE của khách hàng gửi đi và nhận về từ các bộ định tuyến CE khác trong cùng một VPN. Trong trường hợp khác khách hàng phải chỉ định bằng cách nào lưu lượng này được phân phối trong các bộ định tuyến CE. Kết quả là ngược với mô hình ‘pipe’, mô hình ‘hose’ không đòi hỏi khách hàng biết ma trận lưu lượng mà điều này là gánh nặng với các khách hàng muốn sử dụng dịch vụ VPN.
Mô hình ‘hose’ sử dụng hai tham số, ICR (ingress Committed Rate) và ECR (egress Committed Rate). ICR là tổng lưu lượng mà một CE có thể gửi tới các CE khác trong khi ECR là tổng lưu lượng mà moọt CE có thể nhận từ các CE khác. Nói cách khác, ICR đại diện cho tổng lưu lượng từ một CE cụ thể, trong khi ECR đại diện cho tổng lưu lượng tới một CE cụ thể. Chú ý là, với một CE cho trước, không đòi hỏi là ICR cân bằng với ECR.
Để minh hoạ mô hình ‘hose’, xem xét ví dụ biểu diễn trên Hình III -6, ở đây nhà cung cấp dịch vụ cung cấp cho VPN B một sự đảm bảo chắc chẵn với băng thông 15Mb/s cho lưu lượng từ vùng 2 tới các vùng khác (ICR=15Mbps) mà không chú ý đến liệu lưu lượng này đi tới vùng 1 hay vùng 3 hay được phân phối giữa vùng 1 và vùng 3. Cũng như vậy nhà cung cấp dịch vụ cung cấp cho VPN B một sự đảm bảo chắc chắn với băng thông 7Mbps cho lưu lượng từ vùng 3 gửi tới các vùng khác trong cùng VPN (ICR=7Mbps), không chú ý đến liệu lưu lượng tới vùng 1 hay vùng 2 hay được phân phối trong vùng 1 và 2. Tương tự như vậy nhà cung cấp dịch vụ cung cấp cho VPN B sự đảm bảo với băng thông 15Mbps cho lưu lượng gửi tới vùng 2 (ECR=15Mpbs) mà không chú ý tới liệu lưu lượng xuất phát từ vùng 1 hay vùng 3 hay được phân phối giữa vùng 1 và vùng 3.
Mô hình ‘hose’ hỗ trợ nhiều CoS với các dịch vụ khác nhau từ mỗi trong số các đặc tính chất lượng liên quan; Ví dụ, một dịch vụ có thể có khả năng mất
mát gói tin ít hơn dịch vụ khác. Với các dịch vụ đòi hỏi phải có sự đảm bảo lớn (như đảm bảo về băng thông), thì mô hình ‘pipe’ phù hợp hơn.
Hình III-6 Mô hình hose QoS
Mô hình ‘pipe’ và ‘hose’ không phải là các mô hình đối ngược nhau. Nghĩa là, nhà cung cấp dịch vụ có thể cung cấp cho khách hàng VPN một sự kết hợp giữa các mô hình ‘pipe’ và ‘hose’, và có thể giúp cho khách hàng quyết định loại dịch vụ nào cần mua và loại lưu lượng nào nên có gía trị CoS nào.
Để hỗ trợ mô hình ‘pipe’ chúng ta sử dụng các LSP băng thông bảo đảm. Những LSP này bắt đầu và kết thúc tại các bộ định tuyến PE và được sử dụng để cung cấp băng thông đảm bảo cho tất cả các ống từ một PE đến các PE khác. Tức là với một cặp bộ định tuyến PE, ở đây có thể có nhiều bộ định tuyến CE gắn liền với cặp bộ định tuyến PE này mà chúng đã có các đường ống giữa chúng và hơn là sử dụng một LSP băng thông đảm bảo cho mỗi ống như vậy, chúng ta sử dụng một LSP cho tất cả.
Ví dụ trong hình Hình III -5 có thể có một ống cho VPN A từ CEA3tới CEA1 và một ống khác cho VPN B từ CEB3 tới CE2B1. Để hỗ trợ hai ống này, chúng ta thiết lập một LSP từ PE3 tới PE1 và dự trữ trong LSP băng thông có độ lớn bằng tổng băng thông của hai ống. Khi PE3 nhận gói tin từ CEA3 và gói tin có đích là một host ở vùng 1 của VPN A, PE3 quyết định dưới sự điều khiển của cấu hình cục bộ của nó xem liệu gói tin nhận CoS nào. nếu như vậy, sau đó PE3 gửi chuyển tiếp gói tin dọc theo LSP từ PE3 tới PE1.
Sử dụng một LSP băng thông cố định để mang nhiều đường ống giữa một cặp bộ định tuyến PE cải thiện tính mở rộng của giải pháp. Điều này bởi vì số LSP mà nhà cung cấp dịch vụ phải thiết lập và duy trì phụ thuộc với số cặp bộ định tuyến PE của nhà cung cấp dịch vụ hơn là phụ thuộc vào số đường ống của các khác hàng VPN mà nhà cung cấp có thể có.
Để hỗ trợ CoS trong mô hình hose, nhà cung cấp dịch vụ sử dụng các dịch vụ khác nhau với MPLS. Nhà cung cấp dịch vụ cũng sử dụng xử lý lưu lượng để
cải thiện khả năng sử dụng mạng trong khi đạt được những mục tiêu về chất lượng mong muốn.
Các thủ tục mà thông qua nó bộ định tuyến PE lối vào quyết định loại lưu lượng nào nhận được CoS nào rơi vào mô hình hose hay pipe là hoàn toàn mang tính cục bộ đối với bộ định tuyến PE đó. Những thủ tục này có thể xem xét các yếu tố như giao diện lối vào, địa chỉ IP nguồn, đích, quyền ưu tiên IP, số cổng TCP, hoặc sự kết hợp của những yếu tố trên. Điều này mang lại cho nhà cung cấp dịch vụ sự mềm dẻo với khía cạnh điều khiển xem loại lưu lượng nào nhận CoS nào.
Mặc dù các khách hàng ký kết hợp đồng với nhà cung cấp dịch vụ cho số lưu lượng cụ thể trong CoS cụ thể, khách hàng có thể gửi lưu lượng quá lượng đó. Để quyết định liệu lưu lượng có nằm trong hợp đồng ký kết, nhà cung cấp dịch vụ sử dụng các chính sách tại bộ định tuyến PE lối vào. Với lưu lượng vượt khỏi giao ước, nhà cung cấp có hai khả năng lựa chọn: hoặc là loại bỏ lưu lượng này ngay lập tức tại bộ định tuyến lối vào hoặc gửi lưu lượng đi nhưng đánh dấu nó khác với các lưu lượng nằm trong hợp đồng. Với sự lựa chọn thứ hai, để giảm phân phối không đúng thủ tục, cả lưu lượng nằm trong hoặc vượt khỏi hợp đồng đều được gửi theo cùng một LSP. Lưu lượng vượt hợp đồng sẽ được đánh dấu khác và cách đánh dấu này ảnh hưởng đến khả năng loại bỏ trong trường hợp có tắc nghẽn.
ix. Xem xét về chất lượng trong MPLS VPN
Cho mục đích tranh luận về các vấn đề chất lượng và khả năng mở rộng, các bộ định tuyến ngày nay có thể được phân chia thành hai mặt bằng: mặt bằng định tuyến và mặt bằng gửi chuyển tiếp.
Xem xét tại mặt bằng định tuyến, hầu hết các giao thức định tuyến hiện đại sử dụng một vài hình thức của phương thức tính toán tối ưu để tính toán đường đi ngắn nhất để tới được đích cuối cùng. Ví dụ, OSPF và ISIS sử dụng thuật toán Djikstra trong khi BGP sử dụng “Decision Process”. Những thuật toán này dựa trên việc phân tích cơ sở dữ liệu định tuyến và tính toán đường đi tốt nhất tới đích cuối cùng. Các đặc tính chất lượng của những thuật toán này
được dựa trên hoặc là đặc tính hình học topo (ISIS và OSPF) hoặc số AS trên đường đi tới đích (BGP). Nhưng chú ý rằng mào đầu trong việc thiết lập và khởi tạo những tính toán này là rất nhỏ cho hầu hết các bộ định tuyến ngày nay. Điều này bởi vì mặc dầu chúng ta đề cập tới đầu vào tính toán định tuyến là cơ sở dữ liệu, những cơ sở dữ liệu này được nhớ trong các cấu trúc dữ liệu thường trú.
Do đó, những kết luận sau có thể được đưa ra:
1. Việc bắt đầu tính toán định tuyến cho một miền định tuyến không nhiều hơn việc thiết lập những đăng ký để chỉ ra các đối tượng cơ sở dữ liệu đúng.
2. Dựa trên 1, chất lượng của một thuật toán đưa ra hoàn toàn không tồi hơn nhờ mào đầu được yêu cầu để thiết lập thuật toán đó.
3. Dựa trên 2, tiếp theo, khi một số các công việc tính toán định tuyến cho một số các bộ định tuyến ảo phải được bộ định tuyến vật lý thi hành, độ phức tạp trong kết quả tính toán định tuyến không nhiều hơn tổng các độ phức tạp của việc tính toán định tuyến của các bộ định tuyến ảo riêng rẽ.
4. Dựa trên 3, tiếp theo liệu mô hình lai ghép được sử dụng hay một mô hình định tuyến ảo được áp dụng, các đặc tính chất lượng của một bộ định tuyến hoàn toàn phụ thuộc vào khả năng về phần cứng của nó và sự lựa chọn các cấu trúc dữ liệu và các thuật toán.
Để minh hoạ, đặt một bộ định tuyến vật lý trong N VPN, tất cả chạy cùng