Trong mạng VPN/MPLS, các router PE phải thực hiện nhiều chức năng. Tr- ớc hết, PE phải có khả năng phân loại lu lợng khách hàng nếu có nhiều hơn 1 site kết nối vào nó. Do đó, mỗi một site khách hàng phải có một bảng định tuyến độc lập đợc lu trong PE router. Định tuyến qua mạng lõi của SP thì đợc thực hiện nhờ bảng định tuyến toàn mạng (global routing table). Các P router chỉ làm nhiệm vụ chuyển tiếp dữ liệu dựa vào nhãn mà không quan tâm đến các tuyến VPN. Các CE router trong mạng khách hàng không cần biết đến các P router và do đó, cấu hình
mạng SP là trong suốt đối với khách hàng. P router chỉ thực hiện chuyển mạch nhãn. Nó không mang thông tin các tuyến VPN. PE router trao đổi các tuyến IPv4 với các CE đấu nối với nó. Để cho phép mở rộng mạng VPN, BGP đa thủ tục đợc cấu hình giữa các router để mạng thông tin định tuyến của mạng khách hàng.
5.3.1. Bộ định tuyến ảo VR trong VPN/MPLS
Vì mỗi một PE router phải hỗ trợ nhiều site đầu cuối, nên việc tách biệt về thông tin định tuyến giữa các site này là yếu tố sống còn đối với mạng VPN. Điều này đợc thực hiện tại các PE bằng cách lu trữ thông tin định tuyến trong một bộ định tuyến/chuyển tiếp ảo (VRF). Một VRF có thể đợc coi nh là một router ảo riêng biệt trong một router vật lý. Nó bao gồm các cấu trúc sau:
• Một bảng định tuyến và chuyển tiếp gói IP.
• Một tập các giao diện sử dụng bảng chuyển tiếp VRF này.
• Một tập các quy tắc điều khiển việc quảng bá hoặc cập nhật các tuyến vào bảng định tuyến của VRF.
VRF cũng cung cấp cơ chế cho phép mỗi khách hàng có thể sử dụng dải địa chỉ đăng kí của họ, hoặc các địa chỉ IP riêng dành cho mạng LAN mà không cần quan tâm là nó có thể bị trùng lặp với địa chỉ của một site nào đó khác.
Cần lu lý rằng một VRF có thể là một router logic hoặc router vật lý. Nhng một giao diện trên Router vật lý chỉ có thể có một bảng VRF.
Hình dới đây chỉ rõ một PE router tách biệt thông tin định tuyến nh thế nào thông qua VRF:
5.3.2. Trao đổi thông tin định tuyến giữa mạng khách hàng và mạng nhà cung cấp: cung cấp:
Ngay khi các CE router thiết lập kết nối vật lý với các PE router, nó phải trao đổi thông tin định tuyến với nhà cung cấp. Việc này có thể thực hiện thông qua cấu hình tĩnh. Tuy nhiên, hầu hết ngời ta đều sử dụng các giao thức định tuyến động nh OSPF, EIGRP hay RIPv2.
Hình 5.3: Trao đổi thông tin định tuyến giữa CE và PE
5.3.3. Lan truyền thông tin định tuyến VPN trong mạng lõi:
Sau khi nhận đợc các thông tin định tuyến từ các CE, PE router sẽ quảng bá nó đến các PE khác trong mạng để phục vụ cho việc thiết lập mạng VPN. PE học các thông tin định tuyến từ CE bằng các giao thức OSPF, RIPv2, eBGP hay định tuyến tĩnh. Và sử dụng giao thức iBGP để trao đổi thông tin này với các PE khác trong mạng lõi.
Mỗi site mạng khách hàng đợc phân bổ một địa chỉ private IP mà không cần quan tâm liệu nó có bị trùng lặp với một site nào khác hay không. Tuy nhiên, khi trao đổi thông tin định tuyến giữa các PE thì BGP yêu cầu phải có địa chỉ IP duy nhất trên toàn mạng. Do đó, các gói đợc gửi từ CE đến PE sẽ đợc bổ sung thêm 64 bit tiền tố – gọi là route distinguisher (RD) để xác định một địa chỉ IP đơn nhất trong toàn mạng lõi. Địa chỉ này gọi là địa chỉ VPN – IPv4. Mỗi một bảng VRF đợc cấu hình với một RD mặc định. Hiểu một cách đơn giản, PE sẽ dịch địa chỉ IP cuả mạng khách hàng mà nó nhận đợc từ CE sang địa chỉ VPN – IPv4.
Hình 5.4: Địa chỉ IP VPN
Sau đó, PE sẽ sử dụng BGP để trao đổi các tuyến VPN – IPv4 này với nhau và chọn ra tuyến tốt nhất.
Có thể xem ví dụ dới để thấy rõ giá trị của RD: 2 site của 2 mạngVPN khác nhau A và B cùng dùng một địa chỉ IP : 172. 16.10.0/24. Khi dữ liệu từ hai mạng này đến router PE thì chúng sẽ đợc gắn thêm các giá trị RD lần lợt là 1:100:1 và 1:101:1 :
Hình 5.5: Hoạt động của RD
Tóm lại, trong mỗi bảng VR F sẽ có 2 thông tin quan trọng: các tuyến tốt nhất để chuyển tiếp gói tin từ PE đến CE, và các tuyến VPN – IPv4 học đợc từ các PE khác.
BGP – 4 vốn chỉ dùng để trao đổi các gói IPv4 nên không thể sử dụng cho việc quảng bá các tuyến VPN-IPv4 đợc. Do đó, ngời ta đã mở rộng BGP4 thành giao thức MP – BGP ( BGP đa thủ tục) để phục vụ cho mục đích trên.
5.3.4. Cập nhật một tuyến mới vào VRF
Sau khi nhận bản tin cập nhật định tuyến MP – BGP, router PE phải quyết định xem tuyến mới sẽ thuộc vào VRF nào. Việc này đợc thực hiện nhờ chính sách nhập tuyến, đợc cấu hình tại VRF của PE nhận.
Mỗi một bản tin update đợc PE phát gắn thêm một hoặc nhiều thuộc tính mở rộng (16bit) – gọi là route targets. Thuộc tính này cho PE nhận biết nó phải nhập tuyến này vào VRF nào.
Sử dụng route targets cung cấp một giải pháp linh hoạt để tạo nhiều cấu hình VPN khác nhau. Ví dụ: nếu một khách hàng chỉ cần kết nối trong mạng intranet của họ, thì một giá trị route target chung sẽ đợc cấu hình tại mỗi PE router kết nối với các site của khách hàng. Tuy nhiên, nếu cần đến một mạng extranet, nhà cung cấp sẽ chọn nhiều giá trị route target để xây dựng mạng VPN đó.
Tóm lại, để thực hiện việc định tuyến cho VPN cần phải qua nhiều bớc. Thứ nhất, phải dịch từ địa chỉ IPv4 của tuyến sang địa chỉ VPNv4. Sau đó, PE còn phải gán cho tuyến đó thuộc tính route target trớc khi quảng bá đến các PE trong mạng lõi. Cuối cùng, mỗi tuyến sẽ đợc ấn định một nhãn để phục vụ cho việc thiết lập mạng.
Hình dới đây mô tả lại toàn bộ quá trình định tuyến từ CE->PE->PE->CE:
Hình 5.6: Quá trình định tuyến để xây dựng VPN
5.4. Phân bổ nhãn ở PE router
Đối với mỗi một tuyến nhận đợc từ CE, router PE sẽ phân bổ một nhãn. Nhờ đó, khi có gói dữ liệu từ tuyến đó đến PE, nó sẽ đợc gán nhãn đã xác định từ trớc – gọi là nhãn L3VPN. Gói tin này sau đó lại tiếp tục đợc gán thêm một nhãn nữa (gọi là nhãn đờng hầm) để phục vụ cho việc thiết lập tuyến đờng hầm PE – PE.
Hình 5.7: Các nhãn sử dụng trong VPN/MPLS
5.5. Phân phối nhãn trong mạng lõi
Nhãn đờng hầm (còn gọi là nhãn ngoài) đợc dùng để forward gói tin qua mạng lõi. Tại PE hớng ra thực hiện tách nhãn đờng hầm, còn lại nhãn L3VPN ban đầu – dùng để chọn giao diện truy nhập đầu ra cho gói tin.
Trong trờng hợp đờng hầm VPN đợc định tuyến hop – by – hop, giao thức LDP đợc sử dụng để phân phối nhãn của đờng hầm. Còn nếu là định tuyến tr- ớc thì sử dụng giao thức RSVP – TE.
Riêng nhãn L3VPN (còn gọi là nhãn trong) thì đợc phân phối giữa các PE thông qua một phiên iBGP giữa chúng hoặc một phiên iBGP tới một điểm trung gian RR (route reflector) - điểm này đợc sử dụng để tránh phải cấu hình một mô hình full – mesh các phiên iBGP.
Hình 5.8: Phân phối nhãn trong VPN/MPLS
5.6. Triển khai các phiên BGP
Các giao thức phân phối nhãn “đờng hầm” là LDP và RSVP – TE đã đợc trình bày kĩ ở chơng 3. Do đó, phần này chỉ tập trung vào giao thức iBGP sử dụng cho việc phân phối nhãn gắn cho tuyến VPN – IPv4 giữa các PE. Mạng VPN có thể thuộc một miền AS duy nhất hay nhiều miền AS khác nhau. Nhờ đáp ứng đợc khả năng mở rộng của mạng nên giao thức MP – BGP hay đợc dùng trong mạng lõi.
Để tránh việc phải cấu hình mạng full mesh các phiên BGP, ngời ta sử dụng bộ route reflector (RR). Các thông tin cập nhật định tuyến VRF của mỗi PE trong mạng chỉ cần gửi đến RR, và RR sẽ chịu trách nhiệm quảng bá đến các PE khác:
Hình 5.9: RR
5.6.1. BGP trong một miền AS
Đây là trờng hợp đơn giản nhất, toàn bộ mạng VPN đều nằm trong một miền AS (nh hình 5.7). Một tuyến dữ liệu từ CE đến CE có thể phân thành hai phần: đoạn kết nối giữa CE – PE và đờng hầm PE – PE trong mạng backbone. Trong đó:
• Đoạn CE – PE sử dụng giao thức IGP (hoặc eBGP)
• iBGP đợc sử dụng để trao đổi thông tin định tuyến và nhãn giữa các PE.
• LDP (hoặc RSVP – TE) dùng để thiết lập đờng hầm giữa PE và P router.
Trong trờng hợp này, 2 site của một VPN nằm trên 2 miền AS khác nhau. PE router phải thiết lập phiên iBGP để phân phối nhãn L3VPN đến router biên AS (ASBR). Sau đó, giữa các AS, các router ASBR tiếp tục thiết lập phiên eBGP để phân phối nhãn L3VPN. Lúc này, một tuyến dữ liệu từ CE đến CE có thể phân thành 3 phần: CE – PE, PE – ASBR, và ASBR – ASBR.
Hình 5.10: BGP trong liên miền AS
5.7. Hoạt động của một mạng VPN/MPLS
Ngay khi mặt phẳng điều khiển thiết lập đợc các đờng hầm LSP thì mạng VPN có thể truyền dữ liệu.
Các gói VPN/MPLS chuyển tiếp trên mạng backbone dựa vào ngăn xếp nhãn 2 mức đợc gán tại router biên PE. Nhãn ngoài ( nhãn đờng hầm ) đợc phân phối giữa PE với P, hoặc P với P router bởi 1 trong 3 giao thức: LDP, TDP hoặc RSVP – TE. Nhãn trong (nhãn VPN) đợc phân phối giữa các PE bởi giao thức MP – BGP.
Thông thờng, nhãn ngoài đợc tách tại router gần cuối trong mạng lõi chứ không phải router biên hớng ra. Việc làm này giúp cho PE router không phải thực hiện tra bảng nhãn 2 lần. Nó chỉ việc forward các gói nhận đợc từ mạng backbone ra mạng truy nhập, dựa trên giá trị nhãn VPN tra trong bảng LFIB.
Hình 5.11: Quá trình chuyển tiếp gói tin trong mạng VPN
Phần này sẽ trình bày cụ thể hoạt động của một mạng VPN/MPLS.
5.7.1. Hoạt động của mặt phẳng điều khiển
Mặt phẳng điều khiển thực hiện các nhiệm vụ : định tuyến lớp 3 cũng nh ấn định và phân phối nhãn. Trên kết nối CE – PE sử dụng giao thức IGP, BGP hoặc định tuyến tĩnh để trao đổi thông tin định tuyến mạng khách hàng. Trong mạng lõi MPLS, giao thức IGP đợc dùng cho định tuyến và LDP đợc dùng để phân phối nhãn đờng hầm giữa các PE và P router. IGP còn làm nhiệm vụ ánh xạ các thông tin định tuyến PE – P vào MP – BGP. Các phiên MP – BGP đợc thiết lập để trao đổi các thông tin về nhãn VPN.
Hình 5.12 mô tả hoạt động của mặt phẳng điều khiển của một mạng VPN đơn giản – 2 site của công ty A kết nối với nhau thông qua mạng backbone MPLS của nhà cung cấp.
Bớc 1: PE1 nhận các bản tin cập nhật về mạng 172.16.10.0/24 từ CE1.
Bớc 2: PE1 dịch địa chỉ IPv4 (172.16.10.0/24) sang địa chỉ VPNv4 bằng cách gán thêm giá trị RD = 1:100 và RT = 1:100 ( nhờ thao tác cấu hình VRF tại PE1). Sau đó, nó đợc gán cho một nhãn VPN là V1 và chuyển đến giao diện đầu ra trên PE1 là 10.10.10.101. Nhãn này đợc phân phối đến PE2 bằng giao thức iBGP. Tiếp theo là quá trình phân phối nhãn đờng hầm.
• 2a: Router PE2 yêu cầu 1 nhãn cho địa chỉ 10.10.10.101/32 thông qua phiên LDP gửi đến router downstream của nó là P2. Router P2 lại yêu cầu một nhãn cho 10.10.10.101/32 thông qua phiên LDP gửi đến router downstream của nó là router P1. Router P1 lại tiếp tục thực hiện nh vậy đối với PE1. Router PE1 sẽ phân bổ một nhãn implicit – null ( chỉ định việc tách nhãn thực hiện ở nút kế cuối) cho địa chỉ 10.10.10.101/32, cập nhật vào LFIB và gửi cho P1 bằng một LDP reply.
• 2b: P1 sử dụng giá trị nhãn implicit – null nhận đợc từ PE1 làm nhãn ra của nó, phân bổ nhãn L1 cho địa chỉ 10.10.10.101/32, cập nhật vào bảng LFIB . Sau đó, gửi giá trị nhãn L1 cho P2 thông qua LDP reply.
• 2c: P2 dùng giá trị L1 nhận đợc từ P1 làm nhãn ra của nó, phân bổ nhãn L2 cho địa chỉ 10.10.10.101/32, cập nhật vào LFIB . Sau đó, tiếp tục gửi giá trị nhãn này đến PE2 thông qua LDP reply.
Bớc 3: VRF của CE2 trên PE2 đợc cấu hình giá trị RT = 1:100 và sẽ dịch địa chỉ VPNv4 thành IPv4 và PE2 sẽ chèn tuyến này vào bảng VRF của công ty A. Tuyến PE2 – CE2 đợc thiết lập.
5.7.2. Hoạt động cuả mặt phẳng dữ liệu
Mặt phẳng dữ liệu thực hiện các chức năng nh chuyển tiếp các gói tin IP hoặc gói tin gán nhãn trong mạng cho đến đích cuối cùng. Mặt phẳng này hoạt động dựa trên việc sử dụng ngăn xếp nhãn 2 mức đã nói ở trên.
Khi dữ liệu truyền trong mạng lõi MPLS, chỉ có nhãn đờng hầm là đợc hoán đổi tại các P router. Cả 2 nhãn này đều đợc tách khỏi gói trớc khi nó đến CE router. Riêng nhãn đờng hầm thờng đợc tách tại nút kế cuối trớc PE. Nhờ vậy mà tại PE hớng ra chỉ phải kiểm tra nhãn VPN để chọn giao diện chuyển gói tin ra khỏi PE, đến CE.
Quay trở lại với mô hình mạng trong hình 5.10, hoạt động của mặt phẳng dữ liệu trong quá trình truyền từ CE2 đến CE1 nh sau:
Hình 5.13: Hoạt động của mặt phẳng dữ liệu
Bớc 1: CE2 truyền 1 gói có địa chỉ nguồn là 172.16.20.1và địa chỉ
đích là 172.16.10.1.
Bớc 2: PE 2 nhận gói này và gắn nhãn VPN là V1, nhãn đờng hầm là
L2 và chuyển đến P2.
Bớc 3: Nhờ thông tin trong bảng LFIB, P2 hoán đổi nhãn L2 thành
L1 và chuyển đến P1.
Bớc 4: P1 nhận gói, tách nhãn L1. gói lúc này chỉ còn nhãn VPN V1
và đợc chuyển tiếp đến PE1
Bớc 5: PE1 tách nhãn VPN và chuyển đến CE1 - điểm kết nối với
mạng 172.16.10.1.
5.8. Vấn đề bảo mật trong VPN/MPLS
Yêu cầu quan trọng nhất khi thiết lập một mạng VPN là phải bảo mật dữ liệu. Phần này sẽ xem xét đến các mối đe dọa đối với vấn đề an toàn thông tin trong VPN và cách xử lý của MPLS.
5.8.1. Các mối đe doạ đối với một VPN
Phần này đề cập đến các nguy cơ đối với một VPN intranet đứng trên quan điểm của ngời sử dụng. Đó có thể là:
a. Sự xâm nhập từ bên ngoài : ( từ các mạng VPN khác, mạng lõi hay từ Internet) nhằm chiếm quyền điều khiển các thành phần trong mạng VPN nh : PC, server hay các thiết bị networking khác.
Hình 5.14: Các nguy cơ đối với một VPN
b. Kiểu tấn công từ chối dịch vụ DoS : cũng đến từ các tác nhân bên ngoài, nh VPN khác, mạng lõi hay từ Internet. Nhng nó khác với kiểu xâm nhập ở chỗ là: DoS không cần truy nhập vào mạng VPN, mà nó ngăn cản sự truy nhập của các user khác (hợp lệ hay không) vào mạng. Ví dụ: một PE router bị tấn công DoS thì một mạng VPN nào đó kết nối vào nó cũng bị ảnh hởng lây, cho dù mục tiêu tấn công của hacker không phải là mạng VPN đó.
Hình 5.15: DoS
Về nguyên tắc, bất cứ một thành phần nào trong hạ tầng mạng chia sẻ bị tấn công DoS thì đều ảnh hởng đến VPN. Nh hình trên, các điểm tấn công có thể là PE, P, CE router hay ngay cả trên đờng truyền dẫn.
Tấn công DoS có thể thực hiện bằng các cách:
Làm quá tải đờng truyền trong mạng
Liên tục gửi gói đến để làm tràn bộ đệm của router
Liên tục gửi gói đến để làm quá tải khả năng xử lý của server
Nh vậy, các tài nguyên bị DoS tấn công có thể là: băng thông, CPU hay bộ