Trong chế độ “Frame Mode”, MPLS sử dụng một nhãn dài 32 bit và chèn nhãn này giữa phần header của “layer 3” và “layer 2” . Các dạng đóng gói “layer 2” như HDLC, PPP, Frame Relay, và Ethernet dựa trên “frame” nên có thể hoạt động trong chế độ “Frame mode” hoặc chế độ “cell mode”.Ngoại trừ ATM chỉ hoạt động ở chế độ “Cell mode”
Trang 62
Bảng 1.2 – Bảng địa chỉ IP
Biểu đồ tiến trình cấu hình cơ bản MPLS Frame mode.
Trang 63
Các bước cấu hình dựa trên sơ đồ :
Bước 1: Enabel CEF trên các bộ định tuyến ,CEF là một thành
phần cần thiết cho chuyển mạch nhãn .CEF chịu trách nhiệm xắp xếp và cài đặt nhãn trong một mạng MPLS. Cấu hình CEF ở mode “Global” hoặc mode “Interface” trên các router bằng dòng lệnh: Router(Config)# ip cef [distributed] Hoặc Router(Config)# ip route-cache cef
Có thể dùng từ khóa Distributed để thể hiện khả năng chuyển mạch cef được chia sẽ.
Bước 2: Cấu hình các giao thức định tuyến IGP “Interior
Gateway Protocol”.Trong trường hợp này ta xét giao thức OSPF. Router(config)# router ospf process – id
Router(config-router)# network ip-address wild–card mask area area- id
Tiếp theo ta enabel giao thức phân phối nhãn đây là một bước tùy chọn,theo mặc định thì giao thức LDP là giao thức phân phối nhãn trên router .Dòng lệnh mpls label protocol { ldp|tdp} chỉ được dùng nếu LDP không phải là giao thức mặc định trên router hoặc nếu muốn chuyển đổi qua lại giữa LDP và TDP.
Router(config)#mpls label protocol {ldp | tdp}
Bước 3: Assign LDP router ID, LDP sử dụng giá trị địa chỉ IP
cao nhất trên một Interface như là một LDP router ID.Nếu địa chỉ Loopback không được xác định thì địa chỉ IP cao nhất trên router sẽ trở thành LDP router ID.Loopback Interface luôn được khuyến khích sử dụng vì chúng luôn luôn ở trạng thái up.
Trang 64
Bước 4: Enabel Ipv4 MPLS hay chuyển tiếp nhãn trên Interface.
Router (config)# interface {type interface} Router(config- if)# mpls ip
Kiểm tra hoạt động của MPLS:
Bước 1:Kiểm tra tính năng CEF trên router.
Hình 6.4 – kiểm tra chức năng CEF trên router
Bước 2:Kiểm tra sự chuyển tiếp MPLS được kích hoạt trên một
interface.Cột IP là “yes” thì chuyển mạch nhãn đã được kích hoạt và cột “Operational” là yes thì gói tin đã được gắn nhãn khi đi qua một Interface.
Trang 65
Hình 6.5- Kiểm tra sự chuyển tiếp mpls trên một cổng
Bước 3 :Kiểm tra trạng thái của LDP và hiển thị thông tin các
LDP lân cận.Trường xmit/recv cho thấy rằng các interface đang truyền và nhận các gói tin LDP discovery hello.
Hình 6.6 – kiểm tra trạng thái của LDP
Bước 4: xác định trạng thái và các tiến trình làm việc của các
Trang 66 Hình 6.7 – Xác định LDP neighbor. 6.2 Tóm tắt các dòng lệnh dùng để cấu hình cơ bản MPLS. Câu Lệnh Mô tả Router(config)#ip cef [distributed]
Để Enable chức năng CEF trên router.Sử dụng câu lệnh ip cef ở chế độ “global configuration”. Để Disable chức năng CEF, sử dụng từ khóa no trước câu lệnh này.
Router(config-if)#ip route-
cache cef
Để Enabel chức năng CEF trên một cổng “interface”.
Trang 67
Router(config-if)#mpls ip Router(config-if)# no mpls ip
Để Enabel chức năng chuyển tiếp nhãn trên một cổng “interface”.
Router(config)#router ospf
process-id
Router(config-
router)#network ip-address
wild-card mask area area-id
Router(config-router)#no auto-summary
Cấu hình các giao thức định tuyến nội “interior gateway protocol” ở đây là giao thức OSPF.
Router(config)#router isis process-id Router(config-router)#net network-entity-title Router(config)#interface type- number Router(config-if)#ip router isis process-id
Cấu hình các giao thức định tuyến nội“interior gateway protocol” ở đây là giao thức ISIS.
Router(config)#mpls label
protocol {ldp|tdp|both}
Router(config-if)#mpls label protocol {ldp| tdp |both}
Để chỉ ra giao thức phân phối nhãn được sử trên một interface.sử dụng câu lệnh mpls label protocol ở chế độ “interface configuration”.Để Disabel tính năng này thì ta dùng từ
Trang 68
khóa no trước câu lệnh này. Router(config)#no mpls ip
propagate-ttl [forwarded
|local]
Để điều khiển trường TTL trong header MPLS khi nhãn lần đầu tiên được gán vào một gói tin IP.sử dụng câu lệnh mpls ip propagate-
ttl ở chế độ “global
configuration”.Để sử dụng giá trị TTL=255 cho nhãn đầu tiên của gói tin IP,thì dùng từ khóa no trước câu lệnh này.
Router(config)#mpls ldp
router -id {interface |ip
address}[force]
Cấu hình một địa chỉ IP hoặc một interface đặc biệt như là một router ID cho giao thức phân phối nhãn LDP.
Router(config)#mpls label
range min-label-value max-
label-value [static min-label- value max-label-value] Xác định một vùng giao thức mpls Router(config-if)#mpls mtu bytes Xác định MPLS MTU trên một “interface” Router(config)#mpls ldp
advertise-label [for prefix- access-list [to peer-access-
Để điều khiển việc phân phối nhãn bởi LDP,sử dụng câu lệnh này ở chế độ “global configuration”.
Trang 69
list]]
Router# show mpls interface [interface][detail]
Để hiển thị thông tin về một hoặc nhiều interface đã được cấu hình chuyển mạch nhãn.Sử dụng câu lệnh show mpls interface ở chế độ privileged EXEC.
Router# show mpls ldp
discovery
Để hiển thị trạng thái của tiến trình xử lý LDP discovery.Câu lệnh này sẽ đưa ra một danh sách các
interface đang chạy LDP
discovery,sử dụng câu lệnh này ở chế độ privileged EXEC.
Router# show mpls ldp
neighbor [addresss |
interface][ detail]
Để hiển thị trạng thái các phiên làm việc của LDP,câu lệnh này được dùng ở chế độ privileged EXEC.
Trang 70 Chương 7:
MPLS VPN
7.1 Tổng quan về VPN
VPN là công nghệ cho phép kết nối các thành phần của một mạng riêng (private network) thông qua hạ tầng mạng công cộng (Internet). VPN hoạt động dựa trên kỹ thuật tunneling: gói tin được chuyển đi trên mạng VPN sẽ được mã hóa và được đặt bên trong một gói tin có thể chuyển di được trên mạng công cộng. Gói tin được truyền đi đến đầu bên kia của kết nối VPN. Tại điểm bên kia của kết nối VPN, gói tin bị mã hóa sẽ được lấy ra từ gói tin của mạng công cộng và được giải mã. VPN được sử dụng rộng rãi ở mọi công ty hiện nay.
7.2 Các khái niệm và mô hình VPN
VPN ban đầu được giới thiệu để cho phép các nhà cung cấp dịch vụ sử dụng chung cơ sở hạ tầng vật chất để thực hiện mô phỏng liên kết “point-to-point” giữa các site của người dùng. Một hạ tầng mạng của người dùng được thực hiện với bất kỳ công nghệ VPN nào sẽ có các khu vực riêng biệt dưới sự kiểm soát của chính người dùng đó được gọi là các “customer sites” kết nối với nhau thông qua các nhà cung cấp dịch vụ mạng (ISP). Một cách tổng quát, VPN sẽ bao gồm các khu vực sau đây:
Customer Network: Bao gồm các bộ định tuyến ở tại các “customer sites” khác nhau. Các thiết bị định tuyến kết nối các site cá
Trang 71
nhân của người dùng với mạng của nhà cung cấp dịnh vụ được gọi là “customer edge (CE) router”.
Provider Network: Được sử dụng bởi các nhà cung cấp dịch vụ để cung cấp đường truyền chuyên dụng “point-to-point” trên cơ sở hạ tầng thuộc sở hữu của các nhà cung cấp dịch vụ. Các thiết bị của nhà cung cấp dịch vụ là các router CE chúng được kết nối trực tiếp với các site của người dùng gọi là “provider edge (PE) router”. Ngoài ra, mạng lưới của nhà cung câp dịch vụ bao gồm các thiết bị được sử dụng cho việc chuyển tiếp dữ liệu trong “SP backbone” được gọi là “provider (P) router”.
Tùy thuộc vào sự tham gia của các nhà cung cấp dịch vụ trong định tuyến của người dùng, triển khai VPN có thể được phân loại thành các mô hình sau đây:
Overlay VPN model
Peer-to-peer VPN model
7.3 Cấu trúc MPLS VPN và các thuật ngữ
Trong cấu trúc của MPLS VPN các edge router sẽ thực hiện các thông tin định tuyến của người dùng và cung cấp đường đi tốt nhất cho các lưu lượng tín hiệu giữa các site của người dùng. Dựa trên mô hình MPLS VPN người dùng không những có thể sử dụng không gian địa chỉ trùng lắp (overlapping). Không giống như mô hình “peer-to-peer” mà trong đó các định tuyến tốt nhất cho các tín hiệu của người dùng yêu cầu nhà cung cấp dịch vụ gán một địa chỉ IP cho mỗi người dùng của
Trang 72
mình (hoặc người dùng có thể thực hiện NAT) để có thể tránh trùng lắp địa chỉ. MPLS VPN là một cách triển khai của mô hình “peer-to-peer”. MPLS VPN backbone và các site của người dùng trao đổi thông tin định tuyến qua tầng 3. Dữ liệu được truyền giữa các site của người dùng bằng cách sử dụng cách kích hoạt “MPLS SP IP backbone”.
Miền MPLS VPN giống như VPN truyền thống bao gồm các hệ thống mạng của người dùng và hạ tầng mạng của các nhà cung cấp dịch vụ. Mô hình MPLS VPN rất giống với mô hình triển khai một “router PE” dành riêng trong “peer-to-peer VPN”. Tuy nhiên, triển khai một router PE dành riêng cho mỗi người dùng thì lưu lượng tín hiệu của người dùng sẽ được phân lập trên các “router PE” giống nhau để có thể kết nối vào mạng của các nhà cung cấp dịch vụ và nhà cung cấp dịch vụ có thể cung câp cho nhiều người dùng. Các thành phần của một mạng MPLS VPN được trình bày trong hình 7.1
Hình 7.1- Cấu trúc mạng MPLS VPN
Trang 73
Customer Network: Đó là một miền “customer-controlled” bao gồm các thiết bị và các router của người dùng.
CE router: Là các router trong hệ thống mạng của người dùng có các interface kết nối trực tiếp với các router PE của các nhà cung cấp dịch vụ.
Provider Network: Đó là một miền “provider-controlled” bao gồm các edge và các core router của nhà cung cấp dịch vụ để kết nối với các site của người dùng trên một hạ tầng mạng được chia sẻ.
PE router: Là các router trong hệ thống mạng của nhà cung cấp dịch vụ có các interface kết nối đến các P router của nhà cung cấp dịch vụ hoặc kết nối đến các edge router của các site người dùng.
P router: Là các router core của nhà cung cấp dịch vụ mạng có các kết nối tới các router core khác trong mạng hoặc các edge router của nhà cung cấp dịch vụ.
7.4 Mô hình định tuyến MPLS VPN
Triển khai MPLS VPN tương tự như triển khai mô hình “peer-to- peer VPN”. Từ các router CE của người dùng các địa chỉ Ipv4 cũng như dữ liệu được chuyển tiếp tới các PE router. Các router CE không cần kích hoạt bất kỳ cấu hình đặc biệt nào vì nó là một phần của miền MPLS VPN. Chỉ yêu cầu trên các bộ định tuyến CE một giao thức định tuyến (một static route hoặc default route) để cho phép các router đó trao đổi thông tin định tuyến qua địa chỉ Ipv4 đến các kết nối với PE router.
Trang 74
Khi thực hiện MPLS VPN các router PE phải thực hiện nhiều chức năng. Đầu tiên các router PE phải có khả năng thực hiện phân lập các luồng tín hiệu của người dùng nếu có nhiều hơn một người dùng kết nối đến router PE này. Vì vậy, mỗi người dùng được gán vào một bảng định tuyến độc lập giống như là một router PE dành riêng trong các trao đổi thông tin “peer-to-peer” ban đầu. Định tuyến qua SP Backbone được thực hiện bằng cách sử dụng quá trình định tuyến trong bảng định tuyến “global”. P router cung cấp chuyển mạch nhãn giữa các edge router và không biết được các “route VPN”. Và các router CE trong mạng của người dùng không nhận biết được các router P. Hình 7.2 mô tả chức năng của các PE router
Hình 7.2- Chức năng của các PE router
Các router P chỉ có trách nhiệm chuyển mạch nhãn của gói tin. Các router P này không chứa các VPN route và không tham gia vào các định tuyến MPLS VPN. Các router PE trao đổi các Ipv4 route với các router CE được kết nối trực tiếp bằng cách sử dụng các giao thức định tuyến riêng biệt. Để kích hoạt tính năng nhân rộng các mạng lưới với số
Trang 75
lượng lớn các mạng VPN của người dùng. Các giao thức BGP được cấu hình giữa các PE router để có thể thực hiện các định tuyến của người dùng.
7.4.1 Virtual Routing and Forwarding table (VRF)
Phân lập các người dùng trên các router PE bằng cách sử dụng các bảng định tuyến ảo (VRF). Chức năng VRF giống như một bảng định tuyến “global”, ngoại trừ nó chứa tất cả tuyến đường liên quan đến một VPN cụ thể so với bản định tuyến “global”.
VRF cũng chứa một bảng chuyển tiếp CEF VRF cụ thể tương tự như bảng CEF global và xác định các yêu cầu kết nối, và các giao thức cho mỗi site của người dùng trên một PE router. VRF xác định các giao thức định tuyến và các interface trên “local PE router” như là một phần cụ thể của VPN do đó VRF được sử dụng . Các interface là một phần của VRF các interface này phải được hỗ trợ các chuyển mạch CEF. Số lượng interface có thể bị ràng buộc bởi một VRF, một single interface chỉ có thể liên quan với một VRF.
VRF chứa một bảng định tuyến IP giống như bảng định tuyến IP global, và một bảng CEF. Danh sách của các interface là một phần của VRF và các quy tắc xác định giao thức định tuyến trao đổi với các router CE. Thêm vào đó VRF cũng chứa các thông tin như “VPN identifiers” và “VPN membership”. Hình 7.3 Trình bày chức năng của VRF trên một router PE để thực hiện phân lập định tuyến cho người dùng.
Trang 76
Hình 7.3- Các thành phần của VRF trên PE router
7.4.2 Router Distinguisher, Router Targets, MP-BGP, và AddressFamilies Families
Trong mô hình định tuyến MPLS VPN, router PE phân biệt các khách hàng bằng VRF. Tuy nhiên, thông tin này cần được mang theo giữa các router PE để cho phép truyền dữ liệu giữa các site khách hàng qua MPLS VPN backbone. Router PE phải có khả năng thực thi các tiến trình cho phép các mạng khách hàng kết nối vào có không gian địa chỉ trùng lắp (overlapping address spaces). Router PE học các tuyến này từ các mạng khách hàng và quảng bá thông tin này bằng mạng trục chia sẻ của nhà cung cấp (share provider backbone). Điều này thực hiện bằng việc kết hợp với RD (route distinguisher) trong bảng định tuyến ảo (virtual routing table) trên một route PE.
RD là một định danh 64-bit duy nhất, thêm vào trước 32-bit địa chỉ tuyến được học từ router CE tạo thành địa chỉ 96-bit duy nhất có thể được chuyển vận giữa các router PE trong miền MPLS. Do đó, duy nhất một RD được cấu hình cho 1 VRF trên router PE. Địa chỉ 96-bit cuối
Trang 77
cùng (tổng hợp của 32-bit địa chỉ khách hàng và 64-bit RD) được gọi là một địa chỉ VPNv4 .
Địa chỉ VPNv4 được thay đổi giữa các router PE trong mạng của nhà cung cấp. Định dạng của một RD được trình bày trong hình 7.4, RD có thể có hai định dạng. Nếu các nhà cung cấp dịch vụ không có một số BGP AS thì định dạng địa chỉ IP có thể được sử dụng. Nếu như các nhà cung cấp có một AS thì định dạng số AS có thể được sử dụng. Hình 7.4 ví dụ có hai địa chỉ IP giống nhau nhận được từ hai người dùng khác nhau và router PE thực hiện bằng cách thêm vào trước các giá trị RD khác nhau, 1:100 và 1:101 trước khi quảng bá địa chỉ VPNv4 trên router PE.
Trang 78
Giao thức được sử dụng cho việc trao đổi các VPNv4 route giữa các PE router là “multiprotocol BGP”(MP-BGP), BGP có khả năng mang VPNv4(96 bit) địa chỉ đến các “address families” khác được gọi MP-BGP. Giao thức IGP được yêu cầu để thực hiện iBGP (internal BGP) vẫn giữ trong trường hợp thực hiện một MPLS VPN. Vì vậy, các router PE phải chạy một định tuyến IGP để cung cấp thông tin NLRI cho iBGP nếu cả hai Pe router cùng một AS.
MP-BGP chịu trách nhiệm gắn nhãn của VPN. Khả năng mở rộng là một lý do chính cho việc chọn lựa giao thức BGP để mang các thông tin định tuyến của người dùng. Ngoài ra BGP còn cho phép sử dụng địa chỉ VPNv4 trong một môi trường MPLS VPN router. Có thể cho phép việc trùng địa chỉ với nhiều người sử dụng. Một MP-BGP