b Sử dụng MPLS làm phương tiện chuyển tiếp thông tin.
CHƯƠNG III: ỨNG DỤNG MPLS TRONG MẠNG RIÊNG ẢO VPN 1 Giới thiệu chung
.1. Giới thiệu chung
Trong phần này chúng ta sẽ tìm hiểu MPLS hỗ trợ mạng riêng ảo (VPN) như thế nào. Có nhiều cách tiếp cận để xây dựng mạng VPN sử dụng MPLS và tất cả các giải pháp này đều sử dụng MPLS. Tuy nhiên chúng ta không thể nào đi sâu vào tất cả các cách tiếp cận, ở đây chúng ta sẽ đi sâu vào một cách tiếp cận cụ thể thay vì trình bày tổng quan về tất cả các cách tiếp cận. Trong phần này các khái niệm cơ bản có liên quan đến MPLS VPN sẽ dần được làm sáng tỏ.
Chúng ta bắt đầu bằng khái niệm VPN là một khái niệm được sử dụng nhiều trong phần này. Tiếp theo chúng ta sẽ xem xét lại các giải pháp VPN truyền thống dựa trên các công nghệ Frame Relay, ATM và đường ngầm IP; các vấn đề gì khơng thể giải quyết được trong các giải pháp này. Sau đó chúng ta sẽ đi vào giải pháp VPN dựa trên MPLS – BGP/MPLS VPN. Như thể hiện trong tên gọi, giải pháp này là sự kết hợp của hai cơng nghệ đó là BGP và MPLS. Chúng ta cũng xem xét đến các khía cạnh bảo mật và chất lượng dịch vụ của giải pháp.
.2. Khái niệm mạng riêng ảo
Chúng ta hãy xét một cơng ty có trụ sở phân tán ở nhiều nơi. Để kết nối các máy tính tại các vị trí này, cơng ty đó cần có một mạng thơng tin. Mạng đó là mạng riêng với ý nghĩa là nó chỉ được cơng ty đó sử dụng. Mạng đó là mạng riêng cũng với ý nghĩa là kế hoạch định tuyến và đánh địa chỉ trong mạng đó độc lập với việc định tuyến và đánh địa chỉ của các mạng khác. Mạng đó là một mạng ảo với ý nghĩa là các phương tiện được sử dụng để xây dựng mạng này có thể khơng dành riêng cho cơng ty đó mà có thể chia sẻ dùng chung với các công ty khác. Các phương tiện cần thiết để xây dựng mạng này được cung cấp bởi người thứ ba được gọi là nhà cung cấp dịch vụ VPN. Các công ty sử dụng mạng được gọi là các khách hàng VPN.
Có thể nói một cách nơm na rằng VPN là tập hợp gồm nhiều Site có thể trao đổi thơng tin với nhau. Chính xác hơn, VPN được định nghĩa là tập hợp các
chính sách quản lý quy định cả về kết nối cũng như chất lượng dịch vụ giữa các Site.
Câu hỏi đặt ra là ai sẽ là người đặt ra các chính sách quy định các khách hàng của mạng VPN. Có rất nhiều lựa chọn trả lời cho câu hỏi này tuỳ thuộc vào việc ai triển khai các chính sách và cơng nghệ được sử dụng.
Có nhiều mơ hình kết nối các Site với nhau. Nó có thể là kết nối dạng mắt lưới hoặc cũng có thể là kết nối hình sao qua Hub. Một ví dụ khác về cấu hình kết nối giữa các Site thuộc hai hoặc nhiều nhóm là các Site trong mỗi nhóm được kết nối với nhau dạng mắt lưới còn các Site trong các nhóm khác nhau được kết nối gián tiếp thơng qua một Site cụ thể.
Ngoài việc VPN được sử dụng để kết nối giữa các Site của một cơng ty, nó cịn được sử dụng để kết nối giữa các Site của các công ty khác nhau. Tên gọi của trường hợp đầu là mạng Intranet còn trường hợp sau là Extranet. Định nghĩa mạng VPN trên đây được áp dụng cho cả hai trường hợp. Điểm khác nhau giữa hai trường hợp này đó là câu hỏi ai là người đặt ra các chính sách của mạng VPN, trong trường hợp mạng Intranet thì đó là một cơng ty cịn trong trường hợp mạng Extranet thì đó là một nhóm cơng ty.
Trong định nghĩa mạng VPN cho phép một Site có thể thuộc về một hay nhiều VPN. Ví dụ như một Site có thể thuộc một mạng VPN tương ứng với một mạng Intranet, tuy nhiên nó có thể thuộc về một mạng VPN khác tương ứng với một mạng Extranet. Vì vậy mạng VPN có thể chồng lấn lên nhau.
Cuối cùng một VPN không nhất thiết phải giới hạn trong một nhà cung cấp dịch vụ VPN, mà các phương tiện cần thiết để cấu thành một mạng VPN có thể được cung cấp bởi một nhóm các nhà cung cấp dịch vụ VPN.
.3. Các bộ định tuyến ảo trong MPLS VPN
Một bộ định tuyến ảo là một tập các chức năng, cả tĩnh và động trong thiết bị định tuyến, nó cung cấp các dịch vụ định tuyến và gửi chuyển tiếp giống các bộ định tuyến vật lý. Một bộ định tuyến ảo khơng nhất thiết là một tiến trình
hệ thống vận hành riêng rẽ (mặc dầu nó có thể là như vậy). Một bộ định tuyến ảo, giống như bản sao vật lý của nó, là một thành phần trong một miền định tuyến. Các bộ định tuyến khác trong miền này có thể là các bộ định tuyến vật lý hay ảo. Với giả thiết bộ định tuyến ảo kết nối vào một miền định tuyến xác định và bộ định tuyến vật lý có thể hỗ trợ nhiều bộ định tuyến ảo, sẽ xảy ra hiện tượng một bộ định tuyến vật lý hỗ trợ nhiều miền định tuyến.
Từ quan điểm của khách hàng VPN, đòi hỏi một bộ định tuyến ảo phải tương đương với một bộ định tuyến vật lý. Nói cách khác, với rất ít ngoại lệ , bộ định tuyến ảo nên thiết kế cho nhiều mục đích (cấu hình, quản lý, giám sát, xử lý sự cố) giống như các bộ định tuyến vật lý. Động cơ chính đằng sau những địi hỏi này là để tránh việc nâng cấp hoặc cấu hình lại những cơ sở đã được cài đặt của các bộ định tuyến và để tránh phải đào tạo lại các nhà quản lý mạng.
Các đặc tính mà bộ định tuyến ảo cần có là:
Cấu hình của bất cứ sự kết hợp giữa các giao thức định tuyến. Giám sát mạng
Xử lý sự cố
Tất cả các VPN đều có miền định tuyến độc lập logic. Điều này tăng cường khả năng của SP cho phép cung cấp dịch vụ bộ định tuyến ảo hồn tồn mềm dẻo mà nó có thể phục vụ các khách hàng của SP mà không cần đòi hỏi các bộ định tuyến vật lý cho VPN. Điều này có nghĩa là các đầu tư vào phần cứng của SP là các bộ định tuyến và các liên kết giữa chúng mà chúng có thể được các khách hàng sử dụng lại.
.4. Các yêu cầu đối với cấu trúc MPLS VPN
Mạng cung cấp dịch vụ phải hoạt động với một số mơ hình định tuyến multicast cho tất cả các nút sẽ có các kết nối VPN và cho các nút phải gửi chuyển tiếp các gói tin multicast cho việc phát hiện bộ định tuyến ảo. Không tồn tại một giao thức định tuyến multicast riêng mặc định. Một SP có thể chạy MOSPF hoặc DVMRP hoặc các giao thức định tuyến khác.
.5. Cấu trúc MPLS VPN
Tất cả các VPN được xác định bởi một giá trị nhận dạng VPNID và nó là duy nhất trong mạng SP. Nhận dạng này xác định chính xác một VPN mà với nó một gói tin hoặc một kết nối được kết hợp. VPNID giá trị 0 được coi là dự trữ; nó liên kết với mạng Internet cơng cộng và đại diện cho mạng Internet công cộng.
Dịch vụ VPN được đưa ra theo dạng dịch vụ bộ định tuyến ảo. Những VR đặt tại SPED và được hạn chế tới biên của mạng SP. Các VR sẽ sử dụng mạng SP cho dữ liệu và điều khiển gửi chuyển tiếp gói tin nhưng mặt khác nó là vơ hình phía ngồi các SPED.
Kích thước của VR qui ước với VPN trong một SPED cho trước được biểu diễn bằng số lượng tài nguyên IP như các giao diện định tuyến, các bộ lọc tuyến, các lối vào định tuyến v.v.. Điều này hoàn toàn nằm dưới sự điều khiển của SP và mô tả độ mịn mà SP yêu cầu để cung cấp các lớp dịch vụ khởi đầu trong một mức SPED. (ví dụ: một SPED có thể là điểm tổng hợp cho một VPN và số các SPED khác có thể là điểm truy cập) Trong trường hợp này, SPED kết nối với sở chỉ huy có thể được giao kèo để cung cấp một VR lớn trong khi SPED kết nối với các đơn vị nhánh có thể nhỏ hơn. Cung cấp này cũng cho phép SP thiết kế mạng với mục tiêu cuối cùng là phân phối tải giữa các bộ định tuyến trong mạng.
Một dấu hiệu chỉ thị cho kích thước của VPN là số SPED trong mạng SP có kết nối tới các bộ định tuyến CPE trong VPN đó. Về khía cạnh này, một VPN với rất nhiều các vị trí cần được kết nối là một VPN lớn trong khi một VPN với một vài vị trí là VPN nhỏ. Cũng vậy, có thể hiểu được rằng VPN phát triển hay thu hẹp lại về kích thước theo thời gian. Các VPN thậm chí có thể hợp nhất để kết hợp các nhà liên kết, khả năng lĩnh hội và các thoả thuận hợp tác. Những thay đổi này rất phù hợp trong kiến trúc này, khi các tài nguyên IP duy nhất không được ấn định cho các VPN. Số SPED không được giới hạn bởi bất cứ những giới hạn về cấu hình giả tạo nào.
SP sở hữu và quản lý các thực thể lớp 1 và lớp 2. Chi tiết hơn, SP điều khiển các tổng đài chuyển mạch và các bộ định tuyến vật lý, các đường liên kết vật lý, các kết nối logic lớp 2 (như DLCI trong FrameRelay và VPI/VCI trong ATM) và LSP (và cả ấn định của chúng cho các VPN cụ thể). Trong phạm vi của VPN, SP có trách nhiệm, kết hợp và ấn định các thực thể lớp 2 cho các VPN cụ thể.
Các thực thể lớp 3 thuộc quyền quản lý của PNA. Các ví dụ về thực thể lớp 3 bao gồm các giao diện IP, sự lựa chọn các giao thức định tuyến động hoặc các tuyến tĩnh, và các giao diện định tuyến. Chú ý rằng mặc dù cấu hình lớp 3 về mặt logic là đặt dưới trách nhiệm của PNA, nhưng khơng nhất thiết PNA phải thi hành nó. Điều này có thể cho phép PNA đẩy quyền quản lý IP của các bộ định tuyến ảo tới các nhà cung cấp dịch vụ.
VPN có thể được quản lý như các bộ định tuyến vật lý hơn là các bộ định tuyến ảo được triển khai. Do đó, việc quản lý có thể được thi hành sử dụng SNMP hoặc các phương thức tương tự khác hoặc trực tiếp tại bàn điều khiển VR (VRC)
Việc giám sát và xử lý lỗi có thể sử dụng SNMP hoặc các phương thức tương tự, nhưng có thể bao gồm việc sử dụng các cơng cụ chuẩn như đối với bộ định tuyến vật lý.
Khi bàn điều khiển VR là hữu hình với người sử dụng, việc kiểm tra bảo mật bộ định tuyến cần phải được đặt đúng vị trí để đảm bảo người sử dụng VPN được cho phép truy cập vào các tài nguyên lớp 3 chỉ trong VPN đó và khơng được phép truy cập vào các tài nguyên vật lý trong bộ định tuyến. Hầu hết các bộ định tuyến đạt được điều này thông qua việc sử dụng các quan điểm về cơ sở dữ liệu.
Nếu cấu hình và giám sát bị đẩy tới SP, SP có thể sử dụng bàn điều khiển VR để thực hiện các nhiệm vụ này nếu nó là PNA.
Các VR trong các SPED hình thành VPN trong mạng SP. Đồng thời chúng đại diện cho miền định tuyến ảo. Chúng phát hiện các VR khác một cách tự động bằng cách sử dụng mạng LAN mô phỏng trong mạng SP.
Mỗi VPN trong mạng SP được ấn định một và chỉ một địa chỉ multicast. Địa chỉ này được lựa chọn từ phạm vi áp dụng quản lý và yêu cầu duy nhất là địa chỉ multicast có thể được xắp xếp đơn nhất vào một VPN cụ thể. Điều này có thể thực hiện tự động một cách dễ dàng trong các bộ định tuyến nhờ việc sử dụng các chức năng đơn giản để xắp xếp chính xác một VPNID cho một địa chỉ multicast. Địa chỉ multicast này cho phép một VR có thể nhận biết các VR khác và được các VR khác nhận biết. Chú ý rằng địa chỉ multicast không nhất thiết phải được cấu hình.
.6. Gửi chuyển tiếp
Chúng ta sẽ xem xét xem sử dụng BGP như thế nào để xây dựng tất cả các bộ định tuyến, thậm chí với các địa chỉ IP không duy nhất. Vấn đề sử dụng những bộ định tuyến này là khả năng thu thập thông tin được biểu diễn không phải dưới dạng địa chỉ IP mà dưới dạng địa chỉ VPN-IP. Ở đây khơng có thơng tin trong mào đầu IP để mang địa chỉ VPN-IP, như vậy làm thế nào để gửi chuyển tiếp các gói tin IP dọc theo các bộ định tuyến này.
Để cung cấp việc gửi chuyển tiếp các gói tin IP dọc theo các bộ định tuyến người ta sử dụng MPLS. Lý do mà MPLS giúp chúng ta làm được điều này là vì nó tách riêng thơng tin sử dụng cho việc gửi chuyển tiếp gói tin với thông tin mang trong mào đầu IP. Do vậy, chúng ta có thể kết hợp LSP với các bộ định tuyến VPN-IP và sau đó gửi chuyển tiếp các gói tin IP dọc theo những
Báo cáo đề tài: 63