6. Ý nghĩa thực tiễn của đề tài
2.8 Tổng kết chƣơng 3 7-
Qua chƣơng này ta có thể biết đƣợc các thành phần và cách hoạt động của MPLS. Nắm đƣợc ƣu và nhƣợc điểm của MPLS, và tại sao MPLS sẽ đƣợc triển khai rộng rãi. Sử dụng MPLS ta có thể dễ dàng mở rộng mạng lƣới mạng mà không cần phải cấu hình router lõi, chi phí cho sự mở rộng ít,…
MPLS có khả năng linh hoạt và chuyển mạch tốc độ cao dựa trên sự kết hợp của IP và ATM. Có thể nói mạng MPLS hiện nay đang là sự lựa chọn tốt nhất cho các nhà quản trị mạng. MPLS có các modul: MPLS VPN, MPLS QoS, MPLS TE,.. Trong đó MPLS VPN là một trong những vấn đề quan trọng khi truyền dữ liệu giữa các mạng, nó thay thế cho mạng VPN truyền thống.
CHƢƠNG 3. MPLS VPN 3.1 MPLS VPN là gì?
Hình 3.1 Mơ hình MPLS VPN
MPLS VPN kết hợp những đặc điểm tốt nhất của Overlay VPN và peer-to-peer VPN:
Các router PE tham gia vào quá trình định tuyến của khách hàng (customer), tối ƣu việc định tuyến giữa các site của khách hàng.
Các router PE sử dụng các bảng định tuyến ảo (virtual routing table) cho từng khách hàng nhằm cung cấp khả năng kết nối vào mạng của nhà cung cấp cho nhiều khách hàng.
Các khách hàng có thể sử dụng địa chỉ IP trùng nhau (overlap addresses) MPLS VPN backbone và các site khách hàng trao đổi thông tin định tuyến lớp 3.
MPLS VPN gồm các vùng sau:
Mạng khách hàng: thƣờng là miền điều khiển của khách hàng gồm các thiết bị hay các router trải rộng trên nhiều site của cùng một khách hàng. Các router CE là những router trong mạng khách hàng giao tiếp với mạng của nhà cung cấp.
Mạng của nhà cung cấp: là miền thuộc điều khiển của nhà cung cấp gồm các router biên (edge) và lõi (core) để kết nối các site thuộc vào các khách hàng trong một hạ tầng mạng chia sẻ. Các router PE là các router trong mạng của nhà cung cấp giao tiếp với router biên của khách hàng. Các router P là router trong lõi của mạng, giao tiếp với các router lõi khác hoặc router biên của nhà cung cấp.
Trong mạng MPLS VPN, router lõi cung cấp chuyển mạch nhãn giữa các router biên của nhà cung cấp và không biết đến các tuyến VPN. Các router CE trong mạng khách hàng không nhận biết đƣợc các router lõi, do đó cấu trúc mạng nội bộ của mạng nhà cung cấp trong suốt đối với khách hàng.
3.2 Lợi ích của MPLS VPN
Chi phí thấp, tốc độ ổn định, đáp ứng đƣợc yêu cầu về bảo mật thông tin, đơn giản trong việc quản lý và dễ dàng trong việc chuyển đổi.
Giảm thiểu chi phí so với các cơng nghệ tƣơng đồng trong việc quản lý, xây dựng, triển khai trong một mạng diện rộng.
Tính ổn định và khả năng mở rộng: đáp ứng nhu cầu mở rộng một cách nhanh chóng, có thể kết nối nhanh chóng với các mạng khác.
Thích ứng với nhiều loại cơng nghệ khác nhau và không thay thế hệ thống mạng hiện tại của khách hàng. Với khả năng hỗ trợ nhiều loại cơng nghệ khác nhau do đó MPLS có thể hỗ trợ nhiều kiểu truy cập khác nhau nhƣ Frame relay, IP, …làm giảm thiểu chi phí cho khách hàng hoặc có thể tận dụng thiết bị mạng sẵn có.
An tồn mạng: với tính năng mã hóa và tạo đƣờng hầm của cơng nghệ VPN giúp MPLS đạt đƣợc mức độ an tồn cao nhƣ trong mơi trƣờng mạng riêng.
Chất lƣợng dịch vụ: đảm bảo phân biệt thứ tự ƣu tiên cho các lọai dữ liệu khác nhau nhƣ: số liệu, hình ảnh, âm thanh.
3.3 Các thành phần trong MPLS VPN
3.3.1 Virtual Routing and Forwarding Table (VRF)
Khách hàng đƣợc phân biệt trên router PE bằng các bảng định tuyến ảo (virtual routing tables) hoặc các instance, còn đƣợc gọi là VRF (virtual routing and forwarding tables/instances).
Chức năng của VRF giống nhƣ một bản định tuyến tồn cục, ngoại trừ việc nó chứa mọi tuyến liên quan đến một VPN cụ thể.
VRF chứa một bảng định tuyến IP tƣơng ứng với bảng định tuyến IP toàn cục, một bảng CEF, liệt kê các cổng giao tiếp tham gia vào VRF, và một tập hợp các nguyên tắc xác định giao thức định tuyến trao đổi với các router CE (routing protocol contexts). VRF còn chứa các định danh VPN (VPN identifier) nhƣ thông tin thành viên VPN (RD và RT).
3.3.2 Multiprotocol BGP (MP-BGP)
MP-BGP chạy giữa các router biên nhà cung cấp để trao đổi thông tin các tuyến VPNv4. MP-BGP là mở rộng của giao thức BGP hiện tại. Địa chỉ VPNv4 khách hàng là một địa chỉ 12 byte, kết hợp của địa chỉ IPv4 và RD. 8 byte đầu là RD; 4 byte tiếp theo là địa chỉ IPv4.
Một phiên làm việc MP-BGP giữa các PE trong một BGP AS đƣợc gọi là MP-iBGP session và kèm theo các nguyên tắc thực thi của iBGP liên quan đến thuộc tính của BGP (BGP attributes). Nếu VPN mở rộng ra khỏi phạm vi một AS, các VPNv4 sẽ trao đổi giữa các AS tại biên bằng MP- eBGP session.
3.3.3 Route Distinguisher (RD)
RD là một định danh 64-bit duy nhất. Giải quyết trùng địa chỉ IP của các khách hàng bằng cách ghép thêm 64-bit vào IPv4 tạo thành địa chỉ VPNv4 (96 bit). Do đó chỉ duy nhất một RD đƣợc cấu hình cho một VRF trên router PE. Các địa chỉ VPNv4 đƣợc trao đổi giữa các router PE qua BGP.
RD có thể có hai định dạng: dạng địa chỉ IP hoặc chỉ số AS Hình 3.3 Giá trị RD
Đầu tiên router PE-1 ghép thêm 64-bit RD vào gói tin IPv4 tạo thành địa chỉ VPNv4 và thông qua giao thức MP-BGP chuyển gói tin đến router PE-2
Hình 3.4 Q trình gán RD Tại router PE-2 gói tin đƣợc bỏ RD khỏi VPNv4 thành IPv4
3.3.4 Route Targets (RT)
Route targets (RT) là những định danh dùng trong miền MPLS VPN khi triển khai MPLS VPN nhằm xác định thành viên VPN của các tuyến đƣợc học từ các site cụ thể. RT đƣợc thực thi bởi các BGP community mở rộng sử dụng 16 bit cao của BGP extended community (64 bit) mã hóa với một giá trị tƣơng ứng với thành viên VPN của site cụ thể. Khi một tuyến VPN học từ một CE chèn vào VPNv4 BGP, một danh sách các thuộc tính community mở rộng cho VPN router target đƣợc kết hợp với nó.
RT đƣợc kèm theo định tuyến đƣợc gọi là export RT và đƣợc cấu hình riêng biệt cho mỗi VRF tại router PE. Export RT dùng để xác định thành viên VPN và đƣợc kết hợp với mỗi VRF. Export RT đƣợc nối thêm vào địa chỉ khách hàng khi chuyển thành địa chỉ VPNv4 bởi PE và quảng bá trong các cập nhật MP-BGP.
Import RT kết hợp với mỗi VRF và xác định các tuyến VPNv4 đƣợc thêm vào VRF cho khách hàng cụ thể. Định dạng của RT giống nhƣ giá trị RD.
Khi thực thi các cấu trúc mạng VPN phức tạp (nhƣ: extranet VPN, Internet access VPNs, network management VPN,…) sử dụng cơng nghệ MPLS VPN thì RT giữ vai trị nịng cốt. Một địa chỉ mạng có thể đƣợc kết hợp với một hoặc nhiều export RT khi quảng bá qua mạng MPLS VPN. Nhƣ vậy, RT có thể kết hợp với nhiều site thành viên của nhiều VPN.
3.4 Cách hoạt động MPLS VPN
Sơ đồ dòng dữ liệu MPLS VPN lớp 3 :
Hình 3.6 Hoạt động của MPLS lớp 3
Khi vận chuyển trong mạng MPLS VPN, một gói IP đƣợc gán hai nhãn sau: Nhãn PE đƣợc sử dụng bởi các router lõi (P router) để vận chuyển gói tin trong mạng MPLS; nhãn VPN đƣợc sử dụng bởi các router biên của mạng MPLS (PE router) để đƣa gói tin đến đúng router của khách hàng. Khi khách hàng sử dụng VPN lớp 3 của nhà cung cấp dịch vụ MPLS, các thiết bị định tuyến của nhà cung cấp dịch vụ và khách hàng trao đổi với nhau các thông tin định tuyến, hoặc đƣợc cấu hình định tuyến tĩnh qua lại. Các thiết bị định tuyến tại các văn phịng của một cơng ty phải sử dụng các subnet khác nhau.
Sơ đồ dịng dữ liệu MPLS VPN lớp 2 :
Hình 3.7 Hoạt động của MPLS lớp 2
Trong mạng MPLS VPN lớp 2, một frame (dữ liệu của tầng 2) đƣợc gán hai nhãn: nhãn L1 đƣợc sử dụng bởi các router lõi ( router P) để vận chuyển các frame trong mạng MPLS và nhãn VC1 đƣợc sử dụng bởi các PE router để đƣa các frame đến đúng router của khách hàng. Khi khách hàng sử dụng dịch vụ VPN lớp 2, các thiết bị mạng dùng để kết nối các văn phịng khác nhau của một đơn vị có cùng một subnet. Thiết bị định tuyến của nhà cung cấp dịch vụ và khách hàng không trao đổi thông tin định tuyến (routing protocols) với nhau.
3.5 Hoạt động của mặt phẳng điều khiển MPLS VPN
Mặt phẳng điều khiển trong MPLS VPN chứa mọi thông tin định tuyến lớp 3 và các tiến trình trao đổi thơng tin của các IP prefix đƣợc gán và phân phối nhãn bằng LDP.
Các bƣớc hoạt động của mặt phẳng điều khiển MPLS VPN: Mỗi router PE
quảng cáo địa chỉ loopback của nó: PE1 quảng cáo 1.1.1.1/32 và PE2 quảng cáo 2.2.2.2/32. LDP dùng để phân phối thông tin gắn nhãn giữa các router chạy MPLS. Trên mỗi router PE, LFIB chứa một nhãn gắn với địa chỉ loopback của router PE khác. Khi PE1 chuyển tiếp gói từ 2.2.2.2 trên PE2, nó sẽ gắn thêm nhãn 20 cho gói và khi PE2 chuyển tiếp một gói từ 1.1.1.1, nó sẽ đặt nhãn 10 cho gói. Định tuyến và chuyển tiếp VPN đƣợc tạo trên PE1 và PE2, gọi là VPNA. PE1 dùng giao tiếp S0/0 trong VPN này và PE2 dùng giao tiếp S0/1. OSPF chạy giữa các PE1và CE1; PE2 và CE2. Khi PE1 nhận tuyến đƣờng tới mạng 10.1.1.0 từ CE1, router đặt nó trong bảng định tuyến của VPNA. Lúc này, nó gán nhãn (5) cho prefix. Khi PE2 nhận tuyến đƣờng tới mạng 10.1.2.0 từ CE2, nó đặt vào bảng định tuyến của VPNA. Lúc này nhãn (6) đƣợc gán cho prefix. PE1 sau đó gởi cập nhật MP-iBGP đa giao thức tới PE2 quảng cáo mạng 10.1.1.0. Cập nhật cũng chứa nhãn (5) mà PE1 gắn cho prefix 10.1.1.0, và PE2 gắn thêm vào bất kỳ gói nào tới mạng 10.1.1.0 trƣớc khi nó chuyển tiếp gói. Khi PE1 quảng cáo tuyến, nó đặt địa chỉ BGP chặng kế là 1.1.1.1/32, là địa chỉ loopback của nó. PE2 sau đó gởi cập nhật iBGP đa giao thức cho PE1 quảng cáo mạng 10.1.2.0. Cập nhật cũng chứa nhãn (6), mà PE2 gán cho prefix 10.1.2.0 và PE1 phải gắn thêm vào các gói tới mạng 10.1.2.0 trƣớc khi chuyển tiếp nó. Khi PE2 quảng cáo tuyến đƣờng, nó đặt địa chỉ BGP chặng kế là 2.2.2.2/32 là địa chỉ loopback của nó. PE1 đƣa prefix 10.1.2.0 vào bảng định tuyến của VPNA và PE2 đƣa prefix 10.1.1.0 vào bảng định tuyến của VPNA.
3.6 Hoạt động của mặt phẳng dữ liệu MPLS VPN
Mặt phẳng dữ liệu thực hiện chức năng chuyển tiếp các gói IP đƣợc gán nhãn đến trạm kế để về đích.
Việc chuyển tiếp trong mạng MPLS VPN đòi hỏi phải dùng chồng nhãn (label stack).
Nhãn trên (top lable) đƣợc gán và hoán đổi (swap) để chuyển tiếp gói dữ liệu đi trong lõi MPLS. Nhãn thứ hai (nhãn VPN) đƣợc kết hợp với VRF ở router PE để chuyển tiếp gói đến các CE. Hình 3.9 mơ tả các bƣớc trong chuyển tiếp dữ liệu khách hàng của mặt phẳng dữ liệu từ một site khách hàng CE2-A tới CE1-A trong hạ tầng mạng của SP.
Hình 3.9 Mặt phẳng dữ liệu MPLS VPN
Sau đây là những bƣớc trong việc chuyển tiếp của mặt phẳng dữ liệu minh họa cho hình 3.9: CE1 bây giờ gởi một gói tới máy 10.1.2.1. Gói đƣợc chuyển
tiếp tới PE1. PE1 đặt nhãn trong cho gói là 6. Sau đó nó xem xét đích tới trong bảng định tuyến của VPNA. Nó xác định rằng địa chỉ IP chặng kế là 2.2.2.2. Nó xem trong LFIB của nó để xác định nhãn ra nào. Lúc này, PE1 đặt nhãn ngồi cho gói là 20 và chuyển ra cổng giao tiếp hƣớng tới PE2. Nhãn ngoài là 20 và nhãn trong là 6. Khi PE2 nhận gói nhãn, nó gỡ bỏ nhãn ngồi 20 và kiểm tra
nhãn trong. Nhãn trong (6) cho router biết giao tiếp nào nó sẽ chuyển tiếp gói ra. Gói sau đó đƣợc chuyển tới CE2.
3.7 So sánh VPN truyền thống và MPLS VPN 3.7.1 VPN truyền thống 3.7.1 VPN truyền thống
Hình 3.10 Mơ hình VPN truyền thống
Hạn chế đầu tiên và cũng là dễ nhận thấy nhất ở IPSec đó là làm giảm hiệu năng của mạng. Khi xét đƣờng đi của một gói tin đƣợc gửi từ máy tính A trong mạng A đến máy tính B trong mạng B. Gói tin từ máy tính A sẽ đƣợc gửi đến CPE A. CPE-A sẽ kiểm tra gói tin xem liệu nó có cần thiết phải chuyển đến CPEB hay khơng. Trong một mơi trƣờng mạng khơng có VPN thì gói tin sẽ đƣợc truyền ngay đến CPE-B. Tuy nhiên, với giao thức IPSec, CPE-A phải thực hiện một số thao tác trƣớc khi gửi gói tin đi. đầu tiên, gói tin đƣợc mã hóa, sau đó đóng gói vào các gói IP, hoạt động này tiêu tốn thời gian và gây trễ cho gói tin. Tiếp theo gói tin sẽ đƣợc đƣa vào trong mạng của nhà cung cấp dịch vụ. Lúc này, nếu gói tin mới đƣợc tạo thành có kích thƣớc lớn hơn kích thƣớc tối đa cho phép truyền (MTU) trên bất cứ một liên kết nào giữa CPE-A và CPE-B thì gói tin sẽ cần phải đƣợc phân mảnh thành hai hay nhiều gói tin nhỏ hơn. điều này chỉ xảy ra trong trƣờng hợp bit DF (Don't Fragment) khơng đƣợc thiết lập, cịn trong trƣờng hợp bit DF đƣợc thiết lập thì gói tin sẽ bị mất và một bản tin ICMP sẽ đƣợc gửi lại phía phát. Khi gói tin đến đƣợc CPE-B, nó sẽ đƣợc mở gói và giải
mã, hai hoạt động này tiếp tục làm trễ gói tin trong mạng. Cuối cùng, CPE- B sẽ chuyển tiếp gói tin đến máy tính B.
Thời gian trễ trong mạng sẽ phụ thuộc vào độ phức tạp và tốc độ xử lý của các CPE. Các thiết bị CPE chất lƣợng thấp thƣờng phải thực hiện hầu hết các chức năng IPSec bằng phần mềm khiến trễ trong mạng lớn. Các thiết bị CPE với khả năng thực hiện các chức năng IPSec bằng phần cứng có thể tăng tốc độ xử lý gói tin lên rất nhiều nhƣng chi phí cho các thiết bị này là rất đắt. điều này dẫn đến chi phí triển khai một mạng IPSec VPN là rất tốn kém.
Các cơng nghệ IP VPN khác hiện có, nhƣ IPSec, L2TP, L2F và GRE – tất cả đều hoạt động tốt với cấu hình mạng sao (hub–and–spoke). Tuy nhiên, mạng ngày nay cần liên lạc nhiều chiều (any–to–any). Để hỗ trợ điều này sử dụng Frame relay hay giao thức đƣờng hầm thì cần phải có cấu hình dạng kết nối đầy đủ (full mesh) các PVC hay đƣờng hầm giữa các vùng là thành viên. Mạng không thể cung cấp và quản lý một cấu hình đầy đủ (full mesh topology) sử dụng các công nghệ truyền thống với hàng ngàn hay chục ngàn VPN.
Một điểm chúng ta cần phải cân nhắc khi triển khai các mạng VPN đó là các thiết bị CPE. Mỗi nhà cung cấp cần phải chắc chắn rằng tất cả các CPE sẽ hoạt động tƣơng thích với nhau. Giải pháp đơn giản và hiệu quả nhất là sử dụng cùng một loại CPE trong mỗi vùng, tuy nhiên, điều này không phải bao giờ cũng thực hiện đƣợc do nhiều yếu tố khác nhau. Tuy ngày nay sự tƣơng thích khơng phải là một vấn đề lớn nhƣng nó vẫn cần phải đƣợc quan tâm khi hoạch định một giải pháp mạng IPSec VPN.
3.7.2 MPLS VPN
Hình 3.11 MPLS VPN
Các mạng MPLS VPN khơng sử dụng hoạt động đóng gói và mã hóa gói tin để đạt đƣợc mức độ bảo mật cao. MPLS VPN sử dụng bảng chuyển tiếp và các nhãn để tạo nên tính bảo mật cho mạng VPN. Kiến trúc mạng loại này sử dụng các tuyến mạng xác định để phân phối các dịch vụ VPN, và các cơ chế xử lý thông minh của MPLS VPN lúc này nằm hoàn toàn trong phần lõi của mạng.
Mỗi VPN đƣợc kết hợp với một bảng định tuyến - chuyển tiếp VPN (VRF) riêng biệt. VRF cung cấp các thông tin về mối quan hệ trong VPN của một site khách hàng khi đƣợc nối với PE router. Đối với mỗi VRF,