Trong mạng VPN/MPLS, các router PE phải thực hiện nhiều chức năng. Tr- ớc hết, PE phải có khả năng phân loại lu lợng khách hàng nếu có nhiều hơn 1 site kết nối vào nó. Do đó, mỗi một site khách hàng phải có một bảng định tuyến độc lập đợc lu trong PE router. Định tuyến qua mạng lõi của SP thì đợc thực hiện nhờ bảng định tuyến toàn mạng (global routing table). Các P router chỉ làm nhiệm vụ chuyển tiếp dữ liệu dựa vào nhãn mà không quan tâm đến các tuyến VPN. Các CE router trong mạng khách hàng khơng cần biết đến các P router và do đó, cấu hình
mạng SP là trong suốt đối với khách hàng. P router chỉ thực hiện chuyển mạch nhãn. Nó khơng mang thơng tin các tuyến VPN. PE router trao đổi các tuyến IPv4 với các CE đấu nối với nó. Để cho phép mở rộng mạng VPN, BGP đa thủ tục đợc cấu hình giữa các router để mạng thơng tin định tuyến của mạng khách hàng.
5.3.1. Bộ định tuyến ảo VR trong VPN/MPLS
Vì mỗi một PE router phải hỗ trợ nhiều site đầu cuối, nên việc tách biệt về thông tin định tuyến giữa các site này là yếu tố sống còn đối với mạng VPN. Điều này đợc thực hiện tại các PE bằng cách lu trữ thông tin định tuyến trong một bộ định tuyến/chuyển tiếp ảo (VRF). Một VRF có thể đợc coi nh là một router ảo riêng biệt trong một router vật lý. Nó bao gồm các cấu trúc sau:
• Một bảng định tuyến và chuyển tiếp gói IP.
• Một tập các giao diện sử dụng bảng chuyển tiếp VRF này.
• Một tập các quy tắc điều khiển việc quảng bá hoặc cập nhật các tuyến vào bảng định tuyến của VRF.
VRF cũng cung cấp cơ chế cho phép mỗi khách hàng có thể sử dụng dải địa chỉ đăng kí của họ, hoặc các địa chỉ IP riêng dành cho mạng LAN mà không cần quan tâm là nó có thể bị trùng lặp với địa chỉ của một site nào đó khác.
Cần lu lý rằng một VRF có thể là một router logic hoặc router vật lý. Nhng một giao diện trên Router vật lý chỉ có thể có một bảng VRF.
Hình dới đây chỉ rõ một PE router tách biệt thông tin định tuyến nh thế nào thông qua VRF:
5.3.2. Trao đổi thông tin định tuyến giữa mạng khách hàng và mạng nhà cung cấp: cung cấp:
Ngay khi các CE router thiết lập kết nối vật lý với các PE router, nó phải trao đổi thông tin định tuyến với nhà cung cấp. Việc này có thể thực hiện thơng qua cấu hình tĩnh. Tuy nhiên, hầu hết ngời ta đều sử dụng các giao thức định tuyến động nh OSPF, EIGRP hay RIPv2.
Hình 5.3: Trao đổi thông tin định tuyến giữa CE và PE
5.3.3. Lan truyền thông tin định tuyến VPN trong mạng lõi:
Sau khi nhận đợc các thông tin định tuyến từ các CE, PE router sẽ quảng bá nó đến các PE khác trong mạng để phục vụ cho việc thiết lập mạng VPN. PE học các thông tin định tuyến từ CE bằng các giao thức OSPF, RIPv2, eBGP hay định tuyến tĩnh. Và sử dụng giao thức iBGP để trao đổi thông tin này với các PE khác trong mạng lõi.
Mỗi site mạng khách hàng đợc phân bổ một địa chỉ private IP mà không cần quan tâm liệu nó có bị trùng lặp với một site nào khác hay không. Tuy nhiên, khi trao đổi thơng tin định tuyến giữa các PE thì BGP u cầu phải có địa chỉ IP duy nhất trên tồn mạng. Do đó, các gói đợc gửi từ CE đến PE sẽ đợc bổ sung thêm 64 bit tiền tố – gọi là route distinguisher (RD) để xác định một địa chỉ IP đơn nhất trong toàn mạng lõi. Địa chỉ này gọi là địa chỉ VPN – IPv4. Mỗi một bảng VRF đợc cấu hình với một RD mặc định. Hiểu một cách đơn giản, PE sẽ dịch địa chỉ IP cuả mạng khách hàng mà nó nhận đợc từ CE sang địa chỉ VPN – IPv4.
Hình 5.4: Địa chỉ IP VPN
Sau đó, PE sẽ sử dụng BGP để trao đổi các tuyến VPN – IPv4 này với nhau và chọn ra tuyến tốt nhất.
Có thể xem ví dụ dới để thấy rõ giá trị của RD: 2 site của 2 mạngVPN khác nhau A và B cùng dùng một địa chỉ IP : 172. 16.10.0/24. Khi dữ liệu từ hai mạng này đến router PE thì chúng sẽ đợc gắn thêm các giá trị RD lần lợt là 1:100:1 và 1:101:1 :
Hình 5.5: Hoạt động của RD
Tóm lại, trong mỗi bảng VR F sẽ có 2 thơng tin quan trọng: các tuyến tốt nhất để chuyển tiếp gói tin từ PE đến CE, và các tuyến VPN – IPv4 học đợc từ các PE khác.
BGP – 4 vốn chỉ dùng để trao đổi các gói IPv4 nên khơng thể sử dụng cho việc quảng bá các tuyến VPN-IPv4 đợc. Do đó, ngời ta đã mở rộng BGP4 thành giao thức MP – BGP ( BGP đa thủ tục) để phục vụ cho mục đích trên.
5.3.4. Cập nhật một tuyến mới vào VRF
Sau khi nhận bản tin cập nhật định tuyến MP – BGP, router PE phải quyết định xem tuyến mới sẽ thuộc vào VRF nào. Việc này đợc thực hiện nhờ chính sách nhập tuyến, đợc cấu hình tại VRF của PE nhận.
Mỗi một bản tin update đợc PE phát gắn thêm một hoặc nhiều thuộc tính mở rộng (16bit) – gọi là route targets. Thuộc tính này cho PE nhận biết nó phải nhập tuyến này vào VRF nào.
Sử dụng route targets cung cấp một giải pháp linh hoạt để tạo nhiều cấu hình VPN khác nhau. Ví dụ: nếu một khách hàng chỉ cần kết nối trong mạng intranet của họ, thì một giá trị route target chung sẽ đợc cấu hình tại mỗi PE router kết nối với các site của khách hàng. Tuy nhiên, nếu cần đến một mạng extranet, nhà cung cấp sẽ chọn nhiều giá trị route target để xây dựng mạng VPN đó.
Tóm lại, để thực hiện việc định tuyến cho VPN cần phải qua nhiều bớc. Thứ nhất, phải dịch từ địa chỉ IPv4 của tuyến sang địa chỉ VPNv4. Sau đó, PE cịn phải gán cho tuyến đó thuộc tính route target trớc khi quảng bá đến các PE trong mạng lõi. Cuối cùng, mỗi tuyến sẽ đợc ấn định một nhãn để phục vụ cho việc thiết lập mạng.
Hình dới đây mơ tả lại tồn bộ quá trình định tuyến từ CE->PE->PE->CE:
Hình 5.6: Quá trình định tuyến để xây dựng VPN