1. Giới thiệu MPLS
1.5.3. Giao thức MPLS-BGP
MPLS mở rộng chức năng cho BGP để mang các nhãn trong giao thức cổng biên BGP, MPLS-BGP cho phép bộ định tuyến chạy BGP phân phối nhãn tới các bộ định tuyến biên khác một cách trực tiếp thông qua bản tin cập nhật của BGP. Tiếp cận này đảm bảo cho quá trình phân phối nhãn và các thông tin định tuyến ổn định và giảm bớt tiêu đề của bản tin điều khiển xử lý.
1.6. Hoạt động của MPLS:
Để gói tin truyền qua mạng MPLS, mạng sẽ thực hiện các bước sau:
Tạo và phân phối nhãn.
Tạo bảng cho mỗi bảng định tuyến.
Tạo đường chuyển mạch nhãn.
Gán nhãn dựa trên tra cứu bảng.
Truyền gói tin.
Nguồn gửi các dữ liệu của nó tới đích. Trong miền MPLS, không phải tất cả các lưu lượng từ một nguồn cần thiết truyền qua cùng một tuyến đường. Dựa trên các đặc tính lưu lượng, các LSP khác nhau có thể được tạo ra cho các gói tin với các yêu cầu khác nhau từ phía nguồn.[2]
Tạo và phân phối nhãn: Trước khi dữ liệu truyền, các bộ định tuyến quyết định
tạo ra liên kết nhãn tới các FEC cụ thể và tạo bảng. Trong LDP các bộ định tuyến luồng xuống bắt đầu phân phối nhãn và gán nhãn vào FEC. Các đặc tính liên quan đến lưu lượng và dung lượng MPLS được điều chỉnh thông qua sử dụng LDP. Giao thức báo hiệu nên dùng giao thức vận chuyển có thứ tự và đảm bảo tin cậy
Tạo bảng: Khi chấp nhận các liên kết nhãn mối LSR tạo ra bảng cơ sở dữ liệu
nhãn (LIB). Nội dung của các bảng này xác định mối liên hệ giữa nhãn và FEC, ánh xạ giữa cổng vào và bảng nhãn vào đến cổng ra và bảng nhãn ra. Các LIB được cập nhật khi có sự thay đổi hoặc điều chỉnh nhãn.
Tạo đường chuyển mạch nhãn: Các LSP được tạo ra theo chiều ngược với các
mục trong các LIB.
Gán nhãn dựa trên bảng tra cứu: Bộ định tuyến đầu tiên LER1 trong hình trên
sử dụng bảng LIB để tìm đường tiếp theo yêu cầu nhãn cho FEC cụ thể. Các bộ định tuyến tiếp theo sử dụng bảng để tìm đường tiếp theo.
Khi gói tin đến LSR lối ra LER4 hình trên nhãn được loại bỏ và gói tin được truyền tới đích.
Chuyển tiếp gói tin: Hình trên mô tả đường đi của gói tin khi nó được truyền từ
nguồn tới đích. Lần đầu tiên của yêu cầu nhãn, các gói tin không có nhãn tại LER1. Trong mạng IP, nó sẽ tìm địa chỉ dài nhất để tìm các bước tiếp theo. LSR1 là bước tiếp theo của LER1. LER1 sẽ khởi phát các yêu cầu nhãn tới LSR1. Yêu cầu này sẽ được phát trên toàn mạng. LDP sẽ xác định đường dẫn ảo đảm bảo QoS. Mỗi bộ định tuyến trung gian LS2 và LS3 sẽ nhận gói tin gán nhãn thay đổi nhãn và truyền đi. Gói tin đến LER4, loại bỏ nhãn vì gói ra khỏi miền hoạt động của MPLS và phân phát tới đích. Đường truyền gói tin được chỉ ra trong hình trên.
Có hai chế độ hoạt động đối với MPLS: chế độ hoạt động khung (Frame-mode) và chế độ tế bào (Cell-mode ).[2, 10, 14]
Chế độ hoạt động khung
Chế độ hoạt động này xuất hiện khi sử dụng MPLS trong môi trường các thiết bị định tuyến thuần điều khiển các gói tin IP điểm-điểm. Các gói tin dán nhãn được chuyển tiếp trên cơ sở khung lớp 2, các router được kết nối qua một giao diện frame mode như là PPP và sử dụng địa chỉ IP thuần túy để trao đổi thông tin
Cơ chế hoạt động của MPLS trong chế độ này được mô tả hình dưới đây:
- LSR biên lối vào nhận gói IP, phân loại gói vào nhóm chuyển tiếp tương đương FEC và gán nhãn cho gói với ngăn xếp nhãn tương ứng với FEC đã xác định. Trong trường hợp định tuyến một địa chỉ đích, FEC sẽ tương ứng với mạng con đích và việc phân lại gói sẽ đơn giản là việc so sánh bảng định tuyến lớp 3 truyền thống.
- LSR lõi nhận gói tin có nhãn và sử dụng bảng chuyển tiếp nhãn để thay đổi nhãn lối vào của gói đến với nhãn lối ra tương ứng với cùng FEC (trong trường hợp mạng con là mạng IP).
- Khi LSR biên lối ra của vùng FEC này nhận được gói tin có nhãn, nó loại bỏ nhãn và thực hiện chuyển tiếp gói tin IP theo bản định tuyến lớp 3 truyền thống
LSR biên 1 LSR biên 2 LSR biên 3 LSR lõi 2 LSR lõi 1 LSR lõi 3 LSR biên 4 Bước1: nhận gói
tin IP tại LSR biên
Bước2: Kiểm tra lớp 3 gán nhãn, nhuyển gói IP đến LSR lõi 1
Bước3:Kiểm tra nhãn chuyển đổi nhãn chuyển gói IP đến
LSR lõi 3
Bước4: Kiểm tra nhãn chuyển đổi nhãn chuyển gói IP đến
LSR biên 4 Bước5:Kiểm tra nhãn xoá bỏ nhãn đi chuyển gói IP đến đích
Hình 1.9: Mạng MPLS trong hoạt động chế độ khung. Chế độ tế bào (cell mode)
Thuật ngữ này dùng khi có một mạng gồm các ATM LSR dùng MPLS trong mặt phẳng điều khiển để trao đổi thông tin VPI/VCI thay vì dùng báo hiệu ATM. Trong kiểu tế bào, nhãn là trường VPI/VCI của tế bào. Sau khi trao đổi nhãn trong mặt phẳng điều khiển, ở mặt phẳng chuyển tiếp, router ngõ vào (ingress router) phân tách gói thành các tế bào ATM, dùng giá trị VCI/CPI tương ứng đã trao đổi trong mặt phẳng điều khiển và truyền tế bào đi. Các ATM LSR ở phía trong hoạt động như chuyển mạch ATM – chúng chuyển tiếp một tế bào dựa trên VPI/VCI vào và thông tin cổng ra tương ứng. Cuối cùng, router ngõ ra (egress router) sắp xếp lại các tế bào thành một gói.[2]
2. Mạng MPLS trên cơ sở VPN 2.1. Giới thiệu VPN
Mạng riêng ảo VPN (Virtual Private Network) không phải là kỹ thuật mới, mô hình VPN đã phát triển được khoảng trên 20 năm và trải qua một số thế hệ. Mô hình VPN đầu tiên được đề xuất bới AT&T cuối những năm 80 và được biết đến với tên Software Defined Networks (SDNs). SDNs là mạng WAN, các kết nối dựa trên cơ sở dữ liệu mà được phân loại mỗi khi có kết nối cục bộ hay bên ngoài. Dựa trên thông tin này, gói dữ liệu được định tuyến đường đi tới đích thông qua hệ thống chuyển mạch chia sẻ công cộng.
Thế hệ thứ hai của VPN khởi đầu từ sự xuất hiện của kỹ thuật X25 và kỹ thuật Intergrated Services Digital Network (ISDN) trong đầu những năm 90. Hai kĩ thuật
này cho phép truyền dữ liệu gói qua mạng công cộng phổ biến với tốc độ nhanh. Giao thức X25 và ISDN được xem là nguồn gốc của giao thức VPN. Tuy nhiên do hạn chế về tốc độ truyền tải thông tin để đáp ứng các nhu cầu càng tăng của con người nên thời gian tồn tại khá ngắn.
Sau thế hệ thứ hai, VPN phát triển chậm cho đến khi sự xuất hiện của cell-based frame Relay (FR) và kỹ thuật Asynchoronous Transfer Mode (ATM). Thế hệ thứ 3 của VPN dựa trên cơ sở kĩ thuật ATM và FR. Hai kĩ thuật này dựa trên mô hình chuyển mạch ảo (virtual circuit switching). Trong đó các gói tin không chứa dữ liệu nguồn hay địa chỉ gửi đến mà thay vào đó chúng sẽ mang các con trỏ đến mạch ảo, nơi mà nguồn và điểm đến được xác định. Với kỹ thuật này thì tốc độ truyền dữ liệu được cải thiện (160Mbps hoặc hơn) so với trước đó.
Với sự phát triển của thương mại điện tử (e-commerce) giữa thập niên 90, người sử dụng và các tổ chức muốn một giải pháp có cấu hình dễ dàng, có khả năng quản lý, truy cập toàn cầu và có tính bảo mật cao hơn. Thế hệ VPN hiện tại đã đáp ứng được các yêu cầu đề ra, bằng cách sử dụng kỹ thuật “đường hầm” (tunneling technology). Kĩ thuật này dựa trên giao thức gói dữ liệu truyền trên một tuyến xác định gọi là tunneling, như IP Security (IPSec), Point-to-Point Tunneling Protocol (PPTP), hay Layer 2 Tunneling Protocol (L2TP). Tuyến đường đi xác định bởi thông tin IP. Vì dữ liệu được tạo bởi nhiều dạng khác nhau nên “đường hầm” phải có thể hỗ trợ nhiều giao thức truyền tải khác nhau bao gồm IP, ISDN, FR, và ATM. [10, 15]
Hình trên là ví dụ một mạng VPN điển hình bao gồm mạng LAN chính tại trụ sở (văn phòng chính), các mạng LAN khác tại những văn phòng từ xa, các điểm kết nối.
2.2. Phân loại VPN
Kỹ thuật VPN gồm có 2 loại : [15]
- Kết nối VPN có hướng : các thiết bị PE cung cấp các đường riêng ảo giữa các thiết bị CE. Các đường riêng ảo này gọi là các kênh ảo (vitual circuit). Các VC có thể là cố định PVC (permanent vitual circuit), được thiết lập ngoài băng bởi nhà cung cấp dịch vụ. Ngoài ra cũng có các kênh tạm thời, được thiết lập theo yêu cầu của khách hàng thông qua các giao thức báo hiệu SVC (switched virtual circuit)
- VPN vô hướng : Các thiết bị PE truyền các dữ liệu vô hướng giữa các CE. Nhà cung cấp dịch vụ hay khách hàng không cần thiết lập các VC trong các VPN này
2.2.1. Kết nối VPN có hướng
Kết nối VPN có hướng được xây dựng trên cấu trúc lớp 2 hoặc lớp 3. VPN có hướng sử dụng mô hình chồng lớp điểm- điểm như : mô hình Frame Relay và các kết nối ATM ảo là những ví dụ về các mạng VPN có hướng lớp 2. Các mạng VPN có hướng lớp 3 sử dụng mô hình IPSec kiểu full hoặc mesh (có mã hóa bảo mật) hoặc mã hóa định tuyến chung GRE (Generic Routing Encapsulation).
Các VPN access là các chuyển mạch kênh, VPN có hướng cung cấp kết nối tới các điểm, hoặc giữa các mạng intranet, extranet đầu xa thông qua mạng của nhà cung cấp dịch vụ với cùng chính sách như một mạng riêng.
Các VPN có hướng lớp 2 :
Các mạng kết nối có hướng lớp 2 có mô hình dựa trên kiểu VPN xếp chồng. Trong kiểu VPN xếp chồng, nhà cung cấp dịch vụ cung cấp các kênh ảo và các thông tin định tuyến được trao đổi giữa các router CPE.
Customer Site (C network)
Servivice Provider Network (P network) Provider Edge Device Provider Core Device PE Device PE Device Customer site B Customer site C Customer site A VC#1 VC#2 Hình 1.11: Mô hình kết nối VPN có hƣớng.
Các mạng dựa trên công nghệ TDM :
Hầu hết các nhà cung cấp dịch vụ cung cấp mạng riêng tới khách hàng. Mạng này gồm các bộ ghép kênh số. Các bộ ghép kênh DS1, DS3 được sử dụng tại Bắc Mỹ, ghép kênh tốc độ E1, E3 thường được sử dụng tại Châu Âu và Châu Á.
CSU/DSU CSU/ DSU D S 3 M U X D S 1 M U X D S 1 M U X D S 3 M U X SONET OC48 ADM ADM Customer A branches Customer B branches DS1MUX Customer A headquater Customer B headquater
Hình 1.12: Mô hình kết nối vật lý VPN leased line.
VPN dựa trên công nghệ Frame :
Frame based VPN cũng giống như các công nghệ Frame Relay và X25 sử dụng các đường logic là các kênh ảo cố định và chuyển mạch. Nhiều nhóm người sử dụng sẽ cùng chia sẻ hạ tầng mạng của nhà cung cấp dịch vụ. Có thể cung cấp các kênh SVC hoặc PVC với tốc độ CIR cố định.
Hình 1.13: Kiến trúc vật lý của mô hình VPN Frame Relay.
Cell based VPN :
Về cơ bản cell based VPN cũng giống như các kỹ thuật ATM và SMDS sử dụng các đường logic được định nghĩa bởi các kênh ảo cố định và chuyển mạch. Các kênh PVC và SVC được cung cấp các lớp dịch vụ như CBR, VBR-RT, VBR-NRT,.. ATM cũng có thể cung cấp được các PVC mềm (kết hợp của SVC và PVC).
Hình 1.14: Mô hình kiến trúc vật lý VPN ATM.
Các VPN có hướng lớp 3
Các mô hình VPN có hướng lớp 3 dựa trên kiểu VPN đường hầm. Kiểu GRE (Generic Route Encapsulation) và IPSec cung cấp mô hình đường hầm điểm – điểm thông qua mạng Intranet IP hoặc mạng Internet.
VPN đường hầm GRE :
Mô hình GRE được sử dụng để tạo ra kết nối IP điểm – điểm, các đường hầm GRE kết hợp với nhau tạo thành một VPN.
Hình 1.15: Mô hình VPN kiểu đƣờng hầm IPSec và GRE.
Kiểu GRE được sử dụng để xây dựng các VPN trong mạng đường trục IP của nhà cung cấp dịch vụ.
Kiểu VPN IPSec :
Kiểu VPN IPSec là kỹ thuật có tính bảo mật cao, nó là sự kết hợp của cơ chế mã hóa và cơ chế đường hầm, cho phép bảo vệ các gói tin khi chúng truyền qua mạng. IPSec thường được sử dụng trong các mạng IP có độ tin cậy thấp như mạng Internet. Sự kết hợp của các đường hầm IPSec điểm – điểm tạo nên cấu trúc VPN over IP. Hầu hết các cấu trúc IPSec được tạo tại các CPE, còn nhà cung cấp dịch vụ chỉ cung cấp các dịch vụ quản lý VPN IPSec.
Ưu, nhược điểm của VPN có hướng : Ưu điểm :
- Nhà cung cấp dịch vụ sẽ không cần phải biết cấu trúc mạng của khách hàng mà chỉ cần cung cấp các kênh ảo giữa các site của khách hàng.
- Nhà cung cấp dịch vụ không cần quan tâm tới việc định tuyến trong mạng khách hàng.
Nhược điểm :
Các router CE phải trao đổi thông tin định tuyến với các router CE khác. Do đó, nếu có càng nhiều các router liền kề thì việc setup định tuyến càng phức tạp và quá trình hội tụ chậm hơn.[3, 15]