Các mơ hình VPN

Một phần của tài liệu đồ án:CÔNG NGHỆ BGP/MPLS VPN (Trang 26)

CHƯƠNG I : MẠNG RIÊNG ẢO VPN

1.5 Các mơ hình VPN

Các VPN site-to-site SP (PPVPN)

PPVPN thuộc một trong các loại VPN sau: VPN lớp 1, VPN lớp 2, VPN lớp 3.

Các VPN lớp 1 dùng để truyền tải các dịch vụ lớp 1 trên mạng trung gian

được điều khiển và quản lý bởi GMPLS. Hiện tại, việc phát triển L1VPN vẫn đang còn khá mới, và bởi vậy ta sẽ không đi vào nghiên cứu sâu hơn về L1VPN.

Các VPN lớp 2

Các VPN site-to-site lớp 2 (L2VPN) có thể thực hiện giữa các chuyển mạch, các host, và các bộ định tuyến, cho phép kết nối tầng liên kết dữ liệu giữa các điểm riêng biệt. Việc thông tin giữa các bộ chuyển mạch, host, và các bộ định tuyến khách hàng dựa trên địa chỉ lớp 2, và các thiết bị PE thực hiện chuyển tiếp lưu lượng dữ liệu của khách hàng dựa trên liên kết đầu vào và thơng tin tiêu đề lớp 2 (ví dụ địa chỉ MAC, FR DLCI, v.v..)

Các VPN lớp 3

Các VPN site-to-site lớp 3 (L3VPN) kết nối các host và các bộ định tuyến tại các điểm riêng của khách hàng. Các host và bộ định tuyến khách hàng thông tin với

nhau dựa trên địa chỉ lớp 3, và các thiết bị PE chuyển tiếp lưu lượng khách hàng dựa trên liên kết đầu vào, và trên các địa chỉ chứa trong tiêu đề IP.

Có hai kiểu L3VPN cơ bản là:

VPN dựa trên thiết bị PE (PE-based VPN) : Các thiết bị PE tham gia

vào định tuyến và chuyển tiếp lưu lượng mạng khách hàng dựa trên địa chỉ mạng khách hàng. Lưu lượng của khách hàng thường được chuyển tiếp giữa các thiết bị PE trên các đường hầm VPN thuộc dạng (MPLS) LSP, đường hầm Ipsec, đường hầm L2TPv3, hoặc đường hầm GRE. Trong kiểu này, các thiết bị CE không hề biết rằng chúng đang tham gia vào một VPN. PE-based VPN cũng đôi khi được gọi là Network-based VPN. PE-based L3VPN có thể được phân lớp như sau :

BGP/MPLS VPN : Trong kiểu PE-based L3VPN này, các thiết bị

PE duy trì các bảng định tuyến và chuyển tiếp riêng cho mỗi VPN. Các tuyến của khách hàng được quảng bá giữa các thiết bị PE bằng cách sử dụng MP-BGP, các tuyến và không gian địa chỉ của khách hàng cùng sử dụng các thuộc tính BGP.

VPN dựa trên bộ định tuyến ảo : Trong kiểu PE-based L3VPN

này, các bộ định tuyến phân chia logic rõ ràng được duy trì trên các thiết bị PE cho mỗi VPN. Mỗi bộ định tuyến logic duy trì giao thức định tuyến riêng của nó.

VPN dựa trên thiết bị CE (CE-based VPN) : Trong CE-based L3VPN,

các thiết bị PE không tham gia vào và cũng không biết việc định tuyến và chuyển tiếp lưu lượng của khách hàng trong mạng khách hàng dựa trên địa chỉ duy nhất toàn cầu. Với kiểu VPN này, các đường hầm được cấu hình giữa các thiết bị CE bằng cách sử dụng các giao thức như GRE và Ipsec. Các CE-based VPN đôi khi cũng được gọi là CPE-based VPN.

Hình 1.5: VPN dựa trên bộ định tuyến CE

Các VPN truy nhập từ xa nhà cung cấp và khách hàng

Các VPN truy cập từ xa có thể được cấu hình theo kiểu đường hầm bắt buộc hay tự nguyện.

Hình 1.6 : Một VPN truy cập từ xa cơ bản

Hoạt động của hai kiểu này như sau:

Kiểu đường hầm bắt buộc: Kiểu VPN truy nhập từ xa này được các

nhà cung cấp dịch vụ cung cấp. Trong hoạt động của kiểu này, các máy khách truy cập từ xa kết nối tới một NAS mà sau đó đường hầm lưu lượng dữ liệu máy khách đến và đi từ một VPN gateway. Ví dụ các giao thức để truy cập từ xa kiểu đường hầm bắt buộc là L2F, PPTP, và L2TP. Trong hình 1.6, người sử dụng di động số 2 được kết nối thông qua đường hầm kiểu bắt buộc tới cổng/bộ tập trung VPN. Các VPN

truy cập từ xa kiểu đường hầm bắt buộc đôi khi được gọi là NAS- initiated remote access VPN (VPN truy cập từ xa khởi tạo từ NAS).

Kiểu đường hầm tự nguyện: VPN truy cập từ xa kiểu đường hầm tự

nguyện có thể là VPN khách hàng hoặc VPN SP. Hoạt động của kiểu VPN này như sau, lưu lượng dữ liệu được truyền theo đường hầm trực tiếp giữa máy khách truy cập từ xa và VPN gateway. Trong hình 1.6, người dùng tại nhà và người dùng di động số 1 đều được kết nối đến gateway/concentrator VPN thông qua các đường hầm tự nguyện. Chú ý là, đôi khi người ta gọi VPN truy nhập từ xa kiểu đường hầm tự nguyện là Client-initiated remote access VPN (VPN truy cập từ xa khởi tạo từ máy khách).

Một kiểu VPN truy nhập từ xa nữa là Mạng riêng ảo quay số VPDN. Thuật ngữ này có thể dùng để mơ tả các VPN truy cập từ xa (L2F, PPTP, và L2TP) trong đó người dùng từ xa sẽ kết nối thông qua PSTN hoặc ISDN đến NAS quay số (Dial NAS). Lưu lượng người dùng sẽ được truyền trên đường hầm đến VPN gateway. Những người dùng từ xa như vậy bây giờ thường kết nối qua cáp, DSL và các kết nối tốc độ cao khác hơn là thơng qua các kết nối quay số, vì vậy thuật ngữ này đã khá cổ điển.

1.6 Kết luận chương I

Trong chương này, đề tài đã trình bày về định nghĩa VPN, các cách phân loại VPN cùng với các công nghệ được sử dụng cho VPN. Chương tiếp theo sẽ nghiên cứu về công nghệ MPLS, công nghệ nền tảng để xây dựng các MPLS VPN.

CHƯƠNG II: CHUYỂN MẠCH NHÃN ĐA GIAO THỨC MPLS

2.1 Giới thiệu về MPLS

Chuyển mạch nhãn đa giao thức là một giải pháp chuyển mạch IP và được chuẩn hoá bởi IETF.

MPLS gồm hai chức năng quan trọng :

Chức năng chuyển tiếp gói tin: sử dụng cơ chế hốn đổi nhãn, tìm

chặng kế tiếp của gói tin trong một bảng chuyển tiếp nhãn, sau đó thay thế giá trị nhãn của gói rồi chuyển ra cổng ra của bộ định tuyến.

Chức năng điều khiển: gồm các giao thức định tuyến lớp mạng có

nhiệm vụ phân phối thông tin giữa các LSR và các thủ tục gán nhãn để chuyển thông tin định tuyến thành bảng định tuyến chuyển mạch nhãn. Các đặc điểm chính của MPLS :

Tốc độ và trễ: Chuyển mạch nhãn nhanh hơn nhiều do giá trị nhãn được

đặt ở tiêu đề của gói và được sử dụng để tìm kiếm trong bảng. Việc tìm kiếm này chỉ yêu cầu một lần truy nhập tới bảng, khác với truy nhập bảng định tuyến truyền thống có thể cần hàng ngàn lần truy nhập. Kết quả là lưu lượng người sử dụng trong gói được gửi qua mạng nhanh hơn nhiều so với chuyển tiếp IP truyền thống.

Jitter: Là sự thay đổi độ trễ của lưu lượng người sử dụng do việc

chuyển gói tin qua nhiều nút trong mạng để chuyển tới đích của nó. Tại từng nút, địa chỉ đích trong gói phải được kiểm tra và so sánh với danh sách địa chỉ đích khả dụng trong bảng định tuyến của nút, do đó trễ và biến thiên trễ phụ thuộc vào số lượng gói và khoảng thời gian mà bảng tìm kiếm phải xử lý trong khoảng thời gian xác định. Kết quả là tại nút cuối cùng, Jitter là tổng cộng tất cả các biến thiên độ trễ tại mỗi nút giữa bên gửi và bên thu. Với gói là là lưu lượng thoại thì cuộc thoại bị mất đi tính liên tục. Do chuyển mạch nhãn hiệu quả hơn, lưu lượng người dùng được gửi qua mạng nhanh hơn và ít Jitter hơn so với định tuyến IP truyền thống.

Khả năng mở rộng mạng: Chuyển mạch nhãn cung cấp các giải pháp

phép một lượng lớn các địa chỉ IP được kết hợp với một hay vài nhãn. Giải pháp này giảm đáng kể kích cỡ bảng địa chỉ và cho phép bộ định tuyến hỗ trợ nhiều người sử dụng hơn.

Tính đơn giản: Chuyển mạch nhãn là giao thức chuyển tiếp cơ bản,

chuyển tiếp gói chỉ dựa vào nhãn. Do tách biệt giữa điều khiển và chuyển tiếp nên kỹ thuật điều khiển dù phức tạp cũng không ảnh hưởng đến hiệu quả của dòng lưu lượng người sử dụng. Cụ thể là, sau khi ràng buộc nhãn được thực hiện, các hoạt động chuyển mạch nhãn để chuyển tiếp lưu lượng là đơn giản, có thể được thực hiện bằng phần mềm, bằng mạch tích hợp chuyên dụng hay bằng các bộ xử lý đặc biệt.

Sử dụng tài nguyên: Các mạng chuyển mạch nhãn không cần nhiều tài

nguyên mạng để thực hiện các công cụ điều khiển trong việc thiết lập các đường đi chuyển mạch nhãn cho lưu lượng người sử dụng.

Điều khiển đường đi: Chuyển mạch nhãn cho phép các đường đi qua

một liên mạng được điều khiển tốt hơn. Nó cung cấp một cơng cụ để bố trí các nút và liên kết lưu lượng phù hợp hơn, thuận lợi hơn, cũng như phân lớp lưu lượng dựa trên các yêu cầu về QoS khác nhau của dịch vụ.

2.2 Các thành phần của MPLS

2.2.1 Các thiết bị trong mạng MPLS

LSR là một thiết bị định tuyến tốc độ cao trong lõi của một mạng MPLS, nó

tham gia trong việc thiết lập các đường dẫn chuyển mạch nhãn LSP bằng việc sử dụng giao thức báo hiệu nhãn thích ứng và thực hiện chuyển mạch tốc độ cao lưu lượng số liệu dựa trên các đường dẫn được thiết lập.

LER là một thiết bị hoạt động tại biên của mạng truy nhập và mạng lõi MPLS.

Các LER hỗ trợ đa cổng được kểt nối tới các mạng không giống nhau (chẳng hạn FR, ATM và Ethernet). LER đóng vai trị quan trọng trong việc chỉ định và huỷ bỏ nhãn, khi lưu lượng vào trong hay đi ra khỏi mạng MPLS. Sau đó, tại lối vào nó thực hiện việc chuyển tiếp lưu lượng vào mạng MPLS sau khi đã thiết lập LSP nhờ các giao thức báo hiệu nhãn và phân bổ lưu lượng trở lại mạng truy nhập tại lối ra.

2.2.2 Đường chuyển mạch nhãn

LSP: là một đường đi để gói tin qua mạng chuyển mạch nhãn trọn vẹn từ điểm

bắt đầu dán nhãn đến điểm nhãn bị loại bỏ khỏi gói tin. Các LSP được thiết lập trước khi truyền dữ liệu

Đường hầm LSP: LSP từ đầu tới cuối được gọi là đường hầm LSP, nó là

chuỗi liên tiếp các đoạn LSP giữa hai nút kề nhau. Các đặc trưng của đường hầm LSP, chẳng hạn như phân bổ băng tần, được xác định bởi sự thoả thuận giữa các nút, nhưng sau khi đã thoả thuận, nút lối vào (bắt đầu của LSP) xác định dòng lưu lượng bằng việc chọn lựa nhãn của nó. Khi lưu lượng được gửi qua đường hầm, các nút trung gian không kiểm tra nội dung của tiêu đề mà chỉ kiểm tra nhãn. Do đó, phần lưu lượng cịn lại được xun hầm qua LSP mà không phải kiểm tra. Tại cuối đường hầm LSP, nút lối ra loại bỏ nhãn và chuyển lưu lượng IP tới nút IP.

Các đường hầm LSP có thể sử dụng để thực hiện các chính sách kỹ thuật lưu lượng liên quan tới việc tối ưu hiệu năng mạng. Chẳng hạn, các đường hầm LSP có thể được di chuyển tự động hay thủ công ra khỏi vùng mạng bị lỗi, tắc nghẽn, hay là nút mạng bị nghẽn cổ chai. Ngồi ra, nhiều đường hầm LSP song song có thể được thiết lập giữa hai nút, và lưu lượng giữa hai nút đó có thể được chuyển vào trong các đường hầm này theo các chính sách cục bộ.

Trong mạng MPLS các LSP được thiết lập bằng một trong ba cách đó là: Định tuyến từng chặng, định tuyến hiện (ER) và định tuyến cưỡng bức (CR).

Một số khái niệm liên quan tới đường chuyển mạch nhãn :

Đường lên (Upstream): Hướng đi dọc theo đường dẫn từ đích đến nguồn. Một

bộ định tuyến đường lên có tính chất tương đối so với một bộ định tuyến khác, nghĩa là nó gần nguồn hơn bộ định tuyến được nói đến đó dọc theo đường dẫn chuyển mạch nhãn.

Đường xuống (Downstream): Hướng đi dọc theo đường dẫn từ nguồn đến

đích. Một bộ định tuyến đường xuống có tính chất tương đối so với một bộ định tuyến khác, nghĩa là nó gần đích hơn bộ định tuyến được nói đến đó dọc theo đường dẫn chuyển mạch nhãn.

2.2.3 Nhãn và các vấn đề liên quan

a. Nhãn, ngăn xếp nhãn, không gian nhãn

Tiêu đề MPLS: MPLS định nghĩa một tiêu đề có độ dài 32 bit, được đặt ngay

Hình 2.1 : Khuôn dạng tiêu đề nhãn

Ý nghĩa các trường :

Nhãn : là một thực thể có chiều dài cố định (20 bit) dùng làm cơ sở cho

việc chuyển tiếp.

Exp (Experimental) : Các bit Exp được dự trữ về mặt kỹ thuật cho sử

dụng thực tế. Chẳng hạn sử dụng những bit này để chỉ thị QoS - thường là một bản sao trực tiếp của các bit chỉ thị độ ưu tiên trong gói IP. Khi các gói MPLS bị xếp hàng, có thể sử dụng các bit Exp như cách sử dụng các bit chỉ thị độ ưu tiên IP.

BS (Bottom of stack) : Có thể có hơn một nhãn với một gói. Bit này

dùng để chỉ thị cho nhãn ở cuối ngăn xếp nhãn. Nhãn ở đáy của ngăn xếp nhãn có giá trị BS bằng 1. Các nhãn khác có giá trị bit BS bằng 0.

TTL (Time To Live) : Thông thường các bit TTL là một bản sao trực

tiếp của các bit TTL trong tiêu đề gói IP. Chúng giảm giá trị đi một đơn vị khi gói đi qua mỗi chặng để tránh lặp vịng vơ hạn. TTL cũng có thể được sử dụng khi các nhà điều hành mạng muốn dấu cấu hình mạng nằm bên dưới.

Ngăn xếp nhãn là một tập các nhãn có thứ tự được chỉ định cho gói. Việc xử

Hình 2.2 : Cấu trúc ngăn xếp nhãn

Nếu ngăn xếp nhãn của gói có độ sâu m, nhãn tại đáy của ngăn xếp được xem như là nhãn mức 1, nhãn trên nó là nhãn mức 2, và nhãn trên cùng là nhãn mức m.

Mục đích của ngăn xếp nhãn là để tăng cường các dịch vụ như VPN, CoS và cho mở rộng mạng.

Không gian nhãn: Thuật ngữ không gian nhãn dùng để chỉ ra cách thức mà

một nhãn được kết hợp với một LSR. Có hai phương pháp để phân nhãn giữa các LSR, tương ứng với hai dạng không gian nhãn, đó là khơng gian nhãn theo từng giao diện và không gian nhãn theo từng nút.

Không gian nhãn theo từng giao diện: Nhãn được kết hợp với một giao diện

đặc trưng ở một LSR, ví dụ như DS3 hoặc giao diện SONET. LSR sẽ dùng một giá trị giao diện để giữ dấu vết của các nhãn ở mỗi giao diện, nên nhãn có thể được dùng lại tại mỗi giao diện, miễn là thoả mãn điều kiện một nhãn là duy nhất trong không gian nhãn. Và khi này định danh giao diện này trở thành một nhãn nội bộ trong LSR đối với nhãn bên ngoài được gửi đi giữa các LSR.

Không gian nhãn theo từng nút (theo tất cả các giao diện): Ở đây, các nhãn

đầu vào được xẻ dọc theo tất cả các giao diện tham gia vào một nút. Nghĩa là, nút này phải chỉ định không gian nhãn dọc theo tất cả các giao diện,

b. Ràng buộc FEC và nhãn

Khái niệm FEC: FEC là một nhóm các gói, nhóm các gói này chia sẻ cùng

yêu cầu trong sự chuyển tiếp chúng qua mạng. Tất cả các gói trong một nhóm như vậy được cung cấp cùng cách chọn đường tới đích. Dựa trên FEC, nhãn được thoả thuận giữa các LSR lân cận từ lối vào tới lối ra trong một vùng định tuyến. Mỗi LSR xây dựng một bảng để xác định xem một gói phải được chuyển tiếp như thế nào.

Bảng này được gọi là cơ sở thơng tin nhãn LIB, nó là tổ hợp các ràng buộc FEC với nhãn (FEC-to-label). Và nhãn lại được sử dụng để chuyển tiếp lưu lượng qua mạng.

Lý do dùng FEC: Thứ nhất, nó cho phép nhóm các gói vào các lớp. Từ nhóm

này, giá trị FEC trong một gói có thể được dùng để thiết lập độ ưu tiên cho việc xử lý các gói. Thứ hai, FEC có thể được dùng để hỗ trợ hiệu quả hoạt động QoS. Ví dụ,

Một phần của tài liệu đồ án:CÔNG NGHỆ BGP/MPLS VPN (Trang 26)

Tải bản đầy đủ (DOC)

(95 trang)
w