ẢO VPN
.1. Giới thiệu chung
Trong phần này chúng ta sẽ tìm hiểu MPLS hỗ trợ mạng riêng ảo (VPN) như thế nào. Có nhiều cách tiếp cận để xây dựng mạng VPN sử dụng MPLS và tất cả các giải pháp này đều sử dụng MPLS. Tuy nhiên chúng ta không thể nào đi sâu vào tất cả các cách tiếp cận, ở đây chúng ta sẽ đi sâu vào một cách tiếp cận cụ thể thay vì trình bày tổng quan về tất cả các cách tiếp cận. Trong phần này các khái niệm cơ bản có liên quan đến MPLS VPN sẽ dần được làm sáng tỏ. Chúng ta bắt đầu bằng khái niệm VPN là một khái niệm được sử dụng nhiều trong phần này. Tiếp theo chúng ta sẽ xem xét lại các giải pháp VPN truyền thống dựa trên các công nghệ Frame Relay, ATM và đường ngầm IP; các vấn đề gì khơng thể giải quyết được trong các giải pháp này. Sau đó chúng ta sẽ đi vào giải pháp VPN dựa trên MPLS – BGP/MPLS VPN. Như thể hiện trong tên gọi, giải pháp này là sự kết hợp của hai cơng nghệ đó là BGP và MPLS. Chúng ta cũng xem xét đến các khía cạnh bảo mật và chất lượng dịch vụ của giải pháp.
.2. Khái niệm mạng riêng ảo
Chúng ta hãy xét một cơng ty có trụ sở phân tán ở nhiều nơi. Để kết nối các máy tính tại các vị trí này, cơng ty đó cần có một mạng thơng tin. Mạng đó là mạng riêng với ý nghĩa là nó chỉ được cơng ty đó sử dụng. Mạng đó là mạng riêng cũng với ý nghĩa là kế hoạch định tuyến và đánh địa chỉ trong mạng đó độc lập với việc định tuyến và đánh địa chỉ của các mạng khác. Mạng đó là một mạng ảo với ý nghĩa là các phương tiện được sử dụng để xây dựng mạng này có thể khơng dành riêng cho cơng ty đó mà có thể chia sẻ dùng chung với các công ty khác. Các phương tiện cần thiết để xây dựng mạng này được cung cấp bởi người thứ ba được gọi là nhà cung cấp dịch vụ VPN. Các công ty sử dụng mạng được gọi là các khách hàng VPN.
Có thể nói một cách nơm na rằng VPN là tập hợp gồm nhiều Site có thể trao đổi thơng tin với nhau. Chính xác hơn, VPN được định nghĩa là tập hợp các chính sách quản lý quy định cả về kết nối cũng như chất lượng dịch vụ giữa các Site.
Câu hỏi đặt ra là ai sẽ là người đặt ra các chính sách quy định các khách hàng của mạng VPN. Có rất nhiều lựa chọn trả lời cho câu hỏi này tuỳ thuộc vào việc ai triển khai các chính sách và cơng nghệ được sử dụng.
Có nhiều mơ hình kết nối các Site với nhau. Nó có thể là kết nối dạng mắt lưới hoặc cũng có thể là kết nối hình sao qua Hub. Một ví dụ khác về cấu hình kết nối giữa các Site thuộc hai hoặc nhiều nhóm là các Site trong mỗi nhóm được kết nối với nhau dạng mắt lưới còn các Site trong các nhóm khác nhau được kết nối gián tiếp thơng qua một Site cụ thể.
Ngồi việc VPN được sử dụng để kết nối giữa các Site của một cơng ty, nó cịn được sử dụng để kết nối giữa các Site của các công ty khác nhau. Tên gọi của trường hợp đầu là mạng Intranet còn trường hợp sau là Extranet. Định nghĩa mạng VPN trên đây được áp dụng cho cả hai trường hợp. Điểm khác nhau giữa hai trường hợp này đó là câu hỏi ai là người đặt ra các chính sách của mạng VPN, trong trường hợp mạng Intranet thì đó là một cơng ty cịn trong trường hợp mạng Extranet thì đó là một nhóm cơng ty.
Trong định nghĩa mạng VPN cho phép một Site có thể thuộc về một hay nhiều VPN. Ví dụ như một Site có thể thuộc một mạng VPN tương ứng với một mạng Intranet, tuy nhiên nó có thể thuộc về một mạng VPN khác tương ứng với một mạng Extranet. Vì vậy mạng VPN có thể chồng lấn lên nhau.
Cuối cùng một VPN không nhất thiết phải giới hạn trong một nhà cung cấp dịch vụ VPN, mà các phương tiện cần thiết để cấu thành một mạng VPN có thể được cung cấp bởi một nhóm các nhà cung cấp dịch vụ VPN.
.3. Các bộ định tuyến ảo trong MPLS VPN
Một bộ định tuyến ảo là một tập các chức năng, cả tĩnh và động trong thiết bị định tuyến, nó cung cấp các dịch vụ định tuyến và gửi chuyển tiếp giống các bộ định tuyến vật lý. Một bộ định tuyến ảo khơng nhất thiết là một tiến trình hệ thống vận hành riêng rẽ (mặc dầu nó có thể là như vậy). Một bộ định tuyến ảo, giống như bản sao vật lý của nó, là một thành phần trong một miền định tuyến. Các bộ định tuyến khác trong miền này có thể là các bộ định tuyến vật lý hay ảo. Với giả thiết bộ định tuyến ảo kết nối vào một miền định tuyến xác định và bộ định tuyến vật lý có thể hỗ trợ nhiều bộ định tuyến ảo, sẽ xảy ra hiện tượng một bộ định tuyến vật lý hỗ trợ nhiều miền định tuyến.
Từ quan điểm của khách hàng VPN, đòi hỏi một bộ định tuyến ảo phải tương đương với một bộ định tuyến vật lý. Nói cách khác, với rất ít ngoại lệ , bộ định tuyến ảo nên thiết kế cho nhiều mục đích (cấu hình, quản lý, giám sát, xử lý sự cố) giống như các bộ định tuyến vật lý. Động cơ chính đằng sau những địi hỏi này là để tránh việc nâng cấp hoặc cấu hình lại những cơ sở đã được cài đặt của các bộ định tuyến và để tránh phải đào tạo lại các nhà quản lý mạng.
Các đặc tính mà bộ định tuyến ảo cần có là:
Cấu hình của bất cứ sự kết hợp giữa các giao thức định tuyến. Giám sát mạng
Xử lý sự cố
Tất cả các VPN đều có miền định tuyến độc lập logic. Điều này tăng cường khả năng của SP cho phép cung cấp dịch vụ bộ định tuyến ảo hoàn tồn mềm dẻo mà nó có thể phục vụ các khách hàng của SP mà khơng cần địi hỏi các bộ định tuyến vật lý cho VPN. Điều này có nghĩa là các đầu tư vào phần cứng của SP là các bộ định tuyến và các liên kết giữa chúng mà chúng có thể được các khách hàng sử dụng lại.
.4. Các yêu cầu đối với cấu trúc MPLS VPN
Mạng cung cấp dịch vụ phải hoạt động với một số mơ hình định tuyến multicast cho tất cả các nút sẽ có các kết nối VPN và cho các nút phải gửi chuyển tiếp các gói tin multicast cho việc phát hiện bộ định tuyến ảo. Không tồn tại một giao thức định tuyến multicast riêng mặc định. Một SP có thể chạy MOSPF hoặc DVMRP hoặc các giao thức định tuyến khác.
.5. Cấu trúc MPLS VPN
Tất cả các VPN được xác định bởi một giá trị nhận dạng VPNID và nó là duy nhất trong mạng SP. Nhận dạng này xác định chính xác một VPN mà với nó một gói tin hoặc một kết nối được kết hợp. VPNID giá trị 0 được coi là dự trữ; nó liên kết với mạng Internet công cộng và đại diện cho mạng Internet công cộng.
Dịch vụ VPN được đưa ra theo dạng dịch vụ bộ định tuyến ảo. Những VR đặt tại SPED và được hạn chế tới biên của mạng SP. Các VR sẽ sử dụng mạng SP cho dữ liệu và điều khiển gửi chuyển tiếp gói tin nhưng mặt khác nó là vơ hình phía ngồi các SPED.
Kích thước của VR qui ước với VPN trong một SPED cho trước được biểu diễn bằng số lượng tài nguyên IP như các giao diện định tuyến, các bộ lọc tuyến, các lối vào định tuyến v.v.. Điều này hoàn toàn nằm dưới sự điều khiển của SP và mô tả độ mịn mà SP yêu cầu để cung cấp các lớp dịch vụ khởi đầu trong một mức SPED. (ví dụ: một SPED có thể là điểm tổng hợp cho một VPN và số các SPED khác có thể là điểm truy cập) Trong trường hợp này, SPED kết nối với sở chỉ huy có thể được giao kèo để cung cấp một VR lớn trong khi SPED kết nối với các đơn vị nhánh có thể nhỏ hơn. Cung cấp này cũng cho phép SP thiết kế mạng với mục tiêu cuối cùng là phân phối tải giữa các bộ định tuyến trong mạng.
Một dấu hiệu chỉ thị cho kích thước của VPN là số SPED trong mạng SP có kết nối tới các bộ định tuyến CPE trong VPN đó. Về khía cạnh này, một VPN
với rất nhiều các vị trí cần được kết nối là một VPN lớn trong khi một VPN với một vài vị trí là VPN nhỏ. Cũng vậy, có thể hiểu được rằng VPN phát triển hay thu hẹp lại về kích thước theo thời gian. Các VPN thậm chí có thể hợp nhất để kết hợp các nhà liên kết, khả năng lĩnh hội và các thoả thuận hợp tác. Những thay đổi này rất phù hợp trong kiến trúc này, khi các tài nguyên IP duy nhất không được ấn định cho các VPN. Số SPED không được giới hạn bởi bất cứ những giới hạn về cấu hình giả tạo nào.
SP sở hữu và quản lý các thực thể lớp 1 và lớp 2. Chi tiết hơn, SP điều khiển các tổng đài chuyển mạch và các bộ định tuyến vật lý, các đường liên kết vật lý, các kết nối logic lớp 2 (như DLCI trong FrameRelay và VPI/VCI trong ATM) và LSP (và cả ấn định của chúng cho các VPN cụ thể). Trong phạm vi của VPN, SP có trách nhiệm, kết hợp và ấn định các thực thể lớp 2 cho các VPN cụ thể.
Các thực thể lớp 3 thuộc quyền quản lý của PNA. Các ví dụ về thực thể lớp 3 bao gồm các giao diện IP, sự lựa chọn các giao thức định tuyến động hoặc các tuyến tĩnh, và các giao diện định tuyến. Chú ý rằng mặc dù cấu hình lớp 3 về mặt logic là đặt dưới trách nhiệm của PNA, nhưng không nhất thiết PNA phải thi hành nó. Điều này có thể cho phép PNA đẩy quyền quản lý IP của các bộ định tuyến ảo tới các nhà cung cấp dịch vụ.
VPN có thể được quản lý như các bộ định tuyến vật lý hơn là các bộ định tuyến ảo được triển khai. Do đó, việc quản lý có thể được thi hành sử dụng SNMP hoặc các phương thức tương tự khác hoặc trực tiếp tại bàn điều khiển VR (VRC)
Việc giám sát và xử lý lỗi có thể sử dụng SNMP hoặc các phương thức tương tự, nhưng có thể bao gồm việc sử dụng các cơng cụ chuẩn như đối với bộ định tuyến vật lý.
Khi bàn điều khiển VR là hữu hình với người sử dụng, việc kiểm tra bảo mật bộ định tuyến cần phải được đặt đúng vị trí để đảm bảo người sử dụng VPN
được cho phép truy cập vào các tài nguyên lớp 3 chỉ trong VPN đó và khơng được phép truy cập vào các tài nguyên vật lý trong bộ định tuyến. Hầu hết các bộ định tuyến đạt được điều này thông qua việc sử dụng các quan điểm về cơ sở dữ liệu.
Nếu cấu hình và giám sát bị đẩy tới SP, SP có thể sử dụng bàn điều khiển VR để thực hiện các nhiệm vụ này nếu nó là PNA.
Các VR trong các SPED hình thành VPN trong mạng SP. Đồng thời chúng đại diện cho miền định tuyến ảo. Chúng phát hiện các VR khác một cách tự động bằng cách sử dụng mạng LAN mô phỏng trong mạng SP.
Mỗi VPN trong mạng SP được ấn định một và chỉ một địa chỉ multicast. Địa chỉ này được lựa chọn từ phạm vi áp dụng quản lý và yêu cầu duy nhất là địa chỉ multicast có thể được xắp xếp đơn nhất vào một VPN cụ thể. Điều này có thể thực hiện tự động một cách dễ dàng trong các bộ định tuyến nhờ việc sử dụng các chức năng đơn giản để xắp xếp chính xác một VPNID cho một địa chỉ multicast. Địa chỉ multicast này cho phép một VR có thể nhận biết các VR khác và được các VR khác nhận biết. Chú ý rằng địa chỉ multicast khơng nhất thiết phải được cấu hình.
.6. Gửi chuyển tiếp
Chúng ta sẽ xem xét xem sử dụng BGP như thế nào để xây dựng tất cả các bộ định tuyến, thậm chí với các địa chỉ IP khơng duy nhất. Vấn đề sử dụng những bộ định tuyến này là khả năng thu thập thông tin được biểu diễn không phải dưới dạng địa chỉ IP mà dưới dạng địa chỉ VPN-IP. Ở đây khơng có thơng tin trong mào đầu IP để mang địa chỉ VPN-IP, như vậy làm thế nào để gửi chuyển tiếp các gói tin IP dọc theo các bộ định tuyến này.
Để cung cấp việc gửi chuyển tiếp các gói tin IP dọc theo các bộ định tuyến người ta sử dụng MPLS. Lý do mà MPLS giúp chúng ta làm được điều này là vì nó tách riêng thơng tin sử dụng cho việc gửi chuyển tiếp gói tin với thơng tin mang trong mào đầu IP. Do vậy, chúng ta có thể kết hợp LSP với các bộ định tuyến VPN-IP và sau đó gửi chuyển tiếp các gói tin IP dọc theo những bộ định tuyến đó sử dụng MPLS đóng vai trị cơ chế gửi chuyển tiếp. Để minh
hoạ việc gửi chuyển tiếp được thực hiện như thế nào, đầu tiên xem xét một ví dụ được biểu diễn trong hình III-1. Chú ý là theo quan điểm MPLS thì bộ định tuyến PE chính là LSR biên. Tức là bộ định tuyến PE chuyển các gói tin khơng dán nhãn thành các gói tin dán nhãn và ngược lại.
Hình Lỗi! Khơng có văn bản nào có kiểu đã chỉ định trong tài liệu.-1 Dán nhãn tại bộ định tuyến PE
Khi một bộ định tuyến CE gửi một gói tin IP tới bộ định tuyến PE, bộ định tuyến PE sử dụng cổng lối vào (giao diện mà bộ định tuyến PE nhận gói tin) để xác định VPN mà bộ định tuyến CE trực thuộc và xác định chính xác bảng gửi chuyển tiếp (cịn gọi là cơ sở thơng tin gửi chuyển tiếp hay FIB) liên kết với VPN đó. Một khi FIB đã được xác định, bộ định tuyến PE thi hành việc tìm kiếm địa chỉ IP bình thường trong FIB này, sử dụng địa chỉ đích trong gói
Bả ng FIB Nhận dạng VPN Hop tiếp theo Thông tin nhãn Nhãn IP PKT Gán thông tin nhãn và gửi đi Lựa chọn FIB cho VPN PE LSR IP PKT
tin. Kết quả của việc tìm kiếm trong FIB là bộ định tuyến PE thêm các thông tin nhãn phù hợp vào gói tin và gửi chuyển tiếp nó đi.
Để nâng cao khả năng của hệ thống, kỹ thuật định tuyến phân cấp được áp dụng. Nhờ sử dụng cơng nghệ này, khơng có bộ định tuyến PE nào duy trì thơng tin định tuyến VPN, điều này giảm tải định tuyến trên các bộ định tuyến. Để triển khai hệ thống phân cấp thông tin định tuyến, chúng ta sử dụng không chỉ một mà hai mức nhãn, ở đây nhãn mức một kết hợp với bộ định tuyến PE lối ra, và do đó có thể gửi chuyển tiếp từ bộ định tuyến PE lối vào tới bộ định tuyến PE lối ra. Nhãn mức hai có thể được phân phối hoặc là qua LDP hoặc nếu nhà cung cấp dịch vụ muốn sử dụng điều khiển lưu lượng thì có thể qua RSVP hoặc CR- LDP. Nhãn mức hai được phân phối qua BGP cùng với các bộ định tuyến VPN- IP.
Chú ý là tuyến VPN-IP được phân phối qua BGP mang thuộc tính nút tiếp theo, địa chỉ của bộ định tuyến PE khởi đầu tuyến và tuyến tới địa chỉ nút tiếp theo đó được cung cấp qua các thủ tục định tuyến trong miền của nhà cung cấp. Do vậy, chúng ta có thể nhận thấy rằng đó chính là thơng tin được mang trong thuộc tính nút tiếp theo cung cấp liên kết giữa thông tin định tuyến trong miền và các tuyến VPN.
Hình III-2 mơ tả quá trình phân cấp định tuyến trong VPN. Ví dụ biểu diễn hai vùng trong một VPN, ở đây mỗi vùng đại diện bằng một bộ định tuyến CE (CE1 và CE2). Cả PE1 và PE2 được cấu hình với Route Distinguisher phù
Gói tin IP Gói tin IP Gói tin Gói tin IP Nhãn IGP PE2 Nhãn Nhãn IGP PE2 Nhãn Nhãn IGP cho PE2