I.3.1. VPN MPLS
I.3.1.1. Giới thiệu
VPN là một mạng riêng đƣợc giả lập dựa trên cơ sở hạ tầng cung cấp dịch vụ thông thƣờng, hoạt động trên lớp 2 hoặc 3 của mô hình OSI. Yêu cầu tối thiểu đối với 1 VPN là tất cả các khách hàng có thể kết nối đến đƣợc với nhau và hoàn toàn tách biệt với các VPN khác. Tuy nhiên, với nhu cầu hiện nay, các mô hình VPN tại lớp IP đƣợc yêu cầu nhiều hơn nữa, họ cần cung cấp các kết nối giữa các VPN với nhau và thậm chí là cung cấp kết nối ra ngoài internet. Và MPLS VPN sẽ đáp ứng tất cả những yêu cầu này với việc cung cấp 1 mặt phẳng chuyển tiếp và một mặt phẳng điều khiển trong mạng xƣơng sống MPLS mà trong mạng IP không thể có. [3]
Trên nền MPLS, dịch vụ VPN đƣợc phát triển thành hai loại: VPN lớp 3 và VPN lớp 2. Điểm khác biệt chính của 2 dịch vụ này là VPN lớp 3 thực hiện công việc định tuyến phức tạp cho mạng của khách hàng (Xem thêm tại VI.I.4), còn trong VPN lớp 2, khách hàng phải tự cấu hình, quản lý định tuyến giữa các mạng của mình (Xem thêm tại VI.I.3). BGP MPLS VPN và VPLS là hai công nghệ đại diện cho VPN lớp 3 và lớp 2 trên nền MPLS.
I.3.1.2. Cách thức hoạt động của MPLS VPN
Hình I.6 Mô hình hoạt ộng của MPLS VPN [10]
MPLS VPN hoạt động dựa vào hoạt động của bốn khối công việc cơ bản đƣợc xây dựng trên router PE trong mô hình MPLS VPN: Định tuyến chuyển tiếp
ảo (VRF), định tuyến phân biệt (RD), nhân rộng đƣờng định tuyến qua MP – BGP và chuyển tiếp gói tin có gắn nhãn. Chúng ta sẽ tìm hiểu lần lƣợt từng công việc trên
Mỗi VPN đƣợc kết hợp với một bảng định tuyến - chuyển tiếp VPN (VRF) riêng biệt. VRF cung cấp các thông tin về mối quan hệ trong VPN của một mạng khách hàng khi đƣợc nối với PE router. Bảng VRF bao gồm thông tin bảng định tuyến IP (IP routing table), bảng CEF (Cisco Express Forwarding), các cổng của bảng định tuyến; các quy tắc, các tham số của giao thức định tuyến... Mỗi mạng chỉ có thể kết hợp với một và chỉ một VRF. Các VRF của mạng khách hàng mang toàn bộ thông tin về các “tuyến” có sẵn từ mạng tới VPN mà nó là thành viên.
Hình I.7 VRF và VPN MPLS [10]
Đối với mỗi VRF, thông tin sử dụng để chuyển tiếp các gói tin đƣợc lƣu trong các bảng định tuyến IP và bảng CEF. Các bảng này đƣợc duy trì riêng rẽ cho từng VRF nên nó ngăn chặn đƣợc hiện tƣợng thông tin bị chuyển tiếp ra ngoài mạng VPN cũng nhƣ ngăn chặn các gói tin bên ngoài mạng VPN chuyển tiếp vào các router bên trong mạng VPN. Đây chính là cơ chế bảo mật của MPLS VPN. Bên trong mỗi một MPLS VPN, có thể kết nối bất kỳ hai điểm nào với nhau và các mạng có thể gửi thông tin trực tiếp cho nhau mà không cần thông qua mạng trung tâm. [3]
I.3.1.3. Ƣu điểm của MPLS VPN
Một trong những ƣu điểm lớn nhất của các MPLS VPN là không đòi hỏi các thiết bị CPE thông minh bởi vì toàn bộ các chức năng VPN đƣợc thực hiện ở phía trong mạng lõi của nhà cung cấp dịch vụ và hoàn toàn “trong suốt” đối với các CPE.
Trễ trong mạng đƣợc giữ ở mức thấp nhất vì các gói tin lƣu chuyển trong mạng không phải thông qua các hoạt động nhƣ đóng gói và mã hóa. Sở dĩ không cần chức năng mã hóa là vì MPLS VPN tạo nên một mạng riêng.
Việc tạo một mạng đầy đủ (full mesh) VPN là hoàn toàn đơn giản vì các MPLS VPN không sử dụng cơ chế tạo đƣờng hầm.
Hoạt động khai thác và bảo dƣỡng cũng đơn giản hơn trong mạng MPLS- VPN.
Vấn đề bảo mật thậm chí còn đơn giản hơn nhiều khi triển khai trong các mạng MPLS VPN vì một VPN khép kín bản thân nó đã đạt đƣợc sự an toàn thông tin do không có kết nối với mạng Internet công cộng.
Nhƣ vậy, có thể thấy rằng MPLS-VPN đáp ứng đƣợc những yêu cầu đặt ra của một mạng VPN, đồng thời giải quyết đƣợc một cách triệt để những hạn chế của các mạng VPN truyền thống dựa trên công nghệ ATM, Frame Relay và đƣờng hầm IP. Ngày nay, tuy VPN vẫn đang còn là một công nghệ mới mẻ ở Việt nam, nhƣng việc đầu tƣ nghiên cứu để chọn giải pháp tối ƣu cũng là điều nên làm đối với các nhà cung cấp dịch vụ mạng.
I.3.2. IPv6 và MPLS I.3.2.1. Giới thiệu IPv6 I.3.2.1. Giới thiệu IPv6
Nhƣ ta đã biết, hiện nay, trong thế giới Internet, giao thức IP là giao thức mạng phổ biến nhất hiện nay, vì thế, có rất nhiều địa chỉ IPv4 dùng cho giao thức đƣợc sử dụng trên thế giới. Tuy nhiên, với tốc độ bùng nổ của thế giới internet hiện nay, số lƣợng địa chỉ IPv4 đƣợc sử dụng đã gần đi đến giới hạn của nó. Trƣớc tình hình đó, các nhà nghiên cứu đã nghiên cứu và phát triển một loại địa chỉ mới có thể thay thế IPv4, đáp ứng đƣợc yêu cầu phát triển của mạng internet trong tƣơng lai, đó là địa chỉ IPv6. Với độ dài 128 bit của địa chỉ IPv6 so với 32 bit của địa chỉ IPv4, số lƣợng IPv6 có thể cung cấp cho ngƣời dùng là 3.4 ×1038, 1 con số lớn hơn nhiều so với 4.3 tỉ địa chỉ đƣợc IPv4 cung cấp. (Xem thêm tại VI.1.2)
I.3.2.2. So sánh giữa IPv4 và IPv6
Hình I.9 Phần tiêu ề gói tin IPv6 [11] (Hình 2)
Quan sát hai hình trên, ta có thể thấy đƣợc sự khác biệt rõ ràng là chiều dài địa chỉ nguồn (source Address) và địa chỉ đích ( Destination Address) trong phần tiêu đề của gói tin IPv6 dài gấp 4 lần gói tin IPv4. So với gói tin IPv4, phần tiêu đề gói tin IPv6 đã lƣợc bỏ một số trƣờng để trở nên đơn giản hơn.
Ngoài ra, có các trƣờng ở phần tiêu đề IPv4 vẫn đƣợc giữ nguyên ở phần tiêu đề của IPv6, chỉ thay đổi tên.
Trong phần tiêu đề IPv6 có một trƣờng mới hoàn toàn so với phần tiêu đề trong tiêu đề IPv4, đó là trƣờng Flow Label. Trƣờng này dài 20 bit dùng để chỉ luồng lƣu lƣợng của mỗi gói tin IPv6.
Bên cạnh phần tiêu đề mới, cách viết địa chỉ mới, IPv6 còn có những tiến bộ nổi bật so với IPv4 là :
- ICMPv6
- Khám phá láng giềng (Neighbor discovery) - Khám phá định tuyến (Router discovery)
- Tự động cấu hình phi trạng thái (Stateless autoconfiguration) - DHCP version 6 (DHCPv6)
- Khám phá quỹ đạo MTU
- DNS mới.
I.3.2.3. Cấu trúc địa chỉ IPv6
Địa chỉ IPv6 bao gồm 128 bít đƣợc chia thành 8 phần, mỗi phần rộng 2 byte, bao gồm 4 chữ số trong hệ đếm 16. Vì thế cho nên địa chỉ gồm có 32 chữ số trong hệ đếm 16 với mỗi 4 chữ số một lại có một dấu 2 chấm.
Ví dụ : 2001:DB08:7654:3210:FEDC:BA98:7654:3210.
Tuy nhiên, cách viết này cũng gây không ít khó khăn cho những nhà quản trị mạng. Một cải tiến đầu tiên là cho phép bỏ qua những số 0 đứng trƣớc mỗi thành phần hệ 16, có thể viết 0 thay vì viết 0000.
Hơn nữa ta có thể sử dụng ký hiệu :: để chỉ một chuỗi các số 0. Tuy nhiên ký hiệu trên chỉ đƣợc sử dụng một lần trong một địa chỉ.
Không gian địa chỉ IPv6 chia làm ba phần: mạng prefix, subnet ID (địa chỉ subnet), interface ID ( địa chỉ cổng). Ba thành phần này đƣợc nhận dạng bởi vị trí của các bit bên trong một địa chỉ. Ba trƣờng đầu tiên trong IPv6 đƣợc biểu thị tiền tố của mạng, trƣờng tiếp theo biểu thị subnet ID còn 4 trƣờng cuối biểu thị cho interface ID.
Ví dụ: địa chỉ IPv6 : 2001:0f68:0000:0000:0000:0000:1986:69af
Phần tiền tố mạng của địa chỉ này là: 2001:0f68:0000. Trƣờng tiếp theo là 0000 biểu thị subnet ID. Các byte còn lại (0000:0000:1986:69af) biểu thị interface ID.
I.3.2.4. Phân loại địa chỉ IPv6
Địa chỉ IPv6 đƣợc chia thành ba loại: đơn hƣớng (unicast), đa hƣớng (multicast) và vô hƣớng (anycast).
Địa chỉ đơn hƣớng (Unicast): Dùng để gán cho một cổng và dùng để
nhận dạng một nút. Một gói dữ liệu khi lƣu thông trên mạng đƣợc gửi đến một địa chỉ đơn hƣớng sẽ đƣợc chuyển đến cổng (hay nút) mang địa chỉ đơn hƣớng đó.
- Địa chỉ đơn hƣớng có hai loại: toàn cục, cục bộ.
- Địa chỉ toàn cục dùng để dùng trong môi trƣờng internet, tiền tố mạng chiếm 48 bít và có 3 bít đầu là 001.
- Địa chỉ cục bộ là địa chỉ dùng trong mạng Intranet, tƣơng tự địa chỉ private trong IPv4. Địa chỉ cục bộ lại bao gồm hai loại là liên kết cục bộ (link – local) và mạng cục bộ (stie local).
Địa chỉ vô hƣớng (Anycast): Là địa chỉ dùng để nhận dạng một tập
hợp các cổng (thƣờng thuộc các host khác nhau). Một gói tin gửi đến địa chỉ vô hƣớng sẽ đƣợc chuyển đến host gần nhất trong tập hợp các host mang địa chỉ vô hƣớng đó. Khái niệm “gần nhất” ở đây dựa theo chi phí (cost) tối ƣu để đến một host, thông tin này liên quan đến thông tin định tuyến.
- Khi những địa chỉ đơn hƣớng đƣợc gán nhiều hơn một cổng, nó trở thành địa chỉ vô hƣớng.
- Địa chỉ IPv6 vô hƣớng không đƣợc sử dụng làm địa chỉ nguồn của các gói tin IPv6.
- Một địa chỉ vô hƣớng không đƣợc phép gán cho một Host IPv6, do vậy nó chỉ đƣợc gán cho Router IPv6.
Địa chỉ đa hƣớng (Multicast): là địa chỉ cũng dùng để gán cho một tập hợp các cổng (thƣờng thuộc các host khác nhau). Nhƣng khác với địa chỉ vô hƣớng, một gói tin khi chuyển đến địa chỉ đa hƣớng đƣợc chuyển đến tất cả các host mang địa chỉ đa hƣớng này. Loại địa chỉ này cũng giống với địa chỉ đa hƣớng trong IPv4(lớp D).
I.3.2.5. Thực hiện IP v6 trong mạng MPLS
Ngƣời ta đƣa IPv6 vào trong mạng MPLS bằng những cách : 6PE, 6VPE.
Dùng giải pháp 6VPE:
Đây cũng là một giải pháp dùng MPLS VPN đối với IPv6. Hoạt động của nó tƣơng tự nhƣ MPLS VPN đối với IPv4. Sự khác biệt so với giải pháp 6PE là ở 6VPE, các tiền tố IPv6 của khách hàng sẽ thuộc về một VPN và tách biệt hoàn toàn với tiền tố của các khách hàng khác trong mạng VPN.
6VPE có những đặc điểm chính sau:
- Có một mạng lõi MPLS chạy giao thức đinh tuyến của IPv4 (IGP) và một giao thức phân phối nhãn ( LDP)
- Có các bộ định tuyến chuyển mạch nhãn ở biên hoặc router PE có khả năng chạy IPv6.
- Có các bộ định tuyến chuyển mạch nhãn ở biên hoặc router PE có các VRF ( Bảng định tuyến ảo) để xác định cho các VPN hƣớng đến các router CE.
- Giao thức MP – iBGP chạy giữa các router các bộ định tuyến chuyển mạch nhãn ở biên hoặc router PE để phục vụ việc phân phối các tiền tố IPv6 và nhãn liên quan. (vpnv6 + label)
- Gói tin IPv6 mang hai loại nhãn, một nhãn IGP ở bên trên và một nhãn BGP( hoặc VPN) ở bên dƣới.
Dùng giải pháp 6PE:
Đây là cách vận chuyển trực tiếp gói tin IPv6 qua mạng xƣơng sống MPLS. Các mạng MPLS không cần chạy VPN, do đó, không cần có những bảng VRF (Bảng định tuyến chuyển tiếp ảo) ở mỗi router biên (PE) của nhà cung. Tất cả các router CE IPv6 đều có thể nhìn thấy nhau.
Ở giải pháp này, router sẽ chạy ở chế độ dual –stack song song IPv4 và IPv6. Các router CE chạy IPv6 sẽ đƣợc kết nối vào router PE thông qua 1 cổng bình thƣờng. Các định tuyến đƣợc phân phối giữa các router PE thông qua giao thức MP –iBGP (Multiprotocol internal BGP). Giao thức này sẽ phân phối các nhãn đƣợc sử dụng cho các tiền tố IPv6 cụ thể. Các thẻ đánh dấu các gói tin IPv6 tại router biên
PE của nhà cung cấp. Sau đó, router PE sẽ tìm kiếm nhãn BGP này trong cơ sở dữ liệu nhãn chuyển tiếp LFIB và dùng nó để chuyển gói tin IPv6 đến router CE. [3]
I.3.3. Any Transport over MPLS (AtoM)
Sau những thành công to lớn của mạng MPLS VPN, rất nhiều nhà cung cấp và khách hàng đã sử dụng giải pháp này để chuyển các gói tin IP qua mạng. Tuy nhiên, việc cho thuê các kênh truyền riêng, sử dụng liên kết ATM và Frame Relay vẫn còn có thể mang lại rất nhiều tiền cho các nhà cung cấp. Vì vậy, ngƣời ta đã nghiên cứu ra một giải pháp để có thể cung cấp các dịch vụ nhƣ ATM, Frame Relay có thể chạy chung với MPLS VPN trên đƣờng trục của mạng MPLS, giúp tiết tiệm chi phí cho các nhà cung cấp. Và đó là giải pháp AToM của Cisco.
Đây là dịch vụ vận chuyển ở lớp 2 thông qua đƣờng trục MPLS, AToM có kiến trúc dựa trên các tiêu chuẩn mở có sử dụng kiến trúc chuyển mạch MPLS và có thể tích hợp đƣợc vào mạng MPLS. Các khách hàng không cần phải thay đổi bất cứ điều gì, router của họ kết nối đến các nhà cung cấp vẫn có thể sử dụng đƣợc các loại đóng gói tin ở lớp 2 mà không cần phải chạy 1 giao thức định tuyến IP đến router biên của nhà cung cấp nhƣ giải pháp của MPLS VPN. [3]
Các nhà cung cấp dịch vụ không cần phải thay đổi bất cứ điều gì trên router P của họ trong lõi của mạng MPLS. Các thông tin cần thiết cho AToM nằm hoàn toàn ở router PE. Các bộ định tuyến chuyển mạch nhãn (LRSs) trung tâm chỉ chuyển đổi các gói tin có nhãn, các bộ LSR ở biên sẽ áp đặt và loại bỏ các nhãn trên khung lớp 2. Đây là điều tƣơng tự với MPLS VPN khi router P chỉ chuyển các gói tin có nhãn và router PE sẽ áp đặt và loại bỏ các nhãn trên các luồng lƣu lƣợng IP VPN của khách hàng.
I.3.4. Dịch vụ mạng LAN riêng ảo (VPLS) trên nền MPLS
Một công nghệ VPN mới xuất hiện trên nền MPLS, cung cấp dịch vụ đa điểm là dịch vụ LAN riêng ảo – VPLS. Với VPLS, nhiều mạng khách hàng có thể giao tiếp nhƣ kiểu kết nối qua phân đoạn mạng LAN Ethernet riêng. VPLS nằm trên truyền tải MPLS vì vậy thiết bị lõi là tƣơng tự BGP MPLS. Điểm khác nhau chính là giao tiếp giữa thiết bị CE và PE. Trong VPLS, CE không cần là một router và PE không ngang hàng với thiết bị CE nên PE không cần quản lý riêng biệt bảng định tuyến của mỗi CE. VPLS đơn giản chỉ ánh xạ lƣu lƣợng lớp 2 đến của khách hàng vào một LSP thích hợp trong MPLS. VPLS hoạt động theo mô hình bao phủ trong khi BGP MPLS VPN là mô hình hoạt động ngang hàng.
Hình I.10 Dịch vụ MPLS [12] (Hình 4)
Nguyên tắc hoạt động cơ bản của dịch vụ VPLS sử dụng giao thức phân phối nhãn (LDP) để thành lập một mạng đầy đủ các đƣờng dẫn chuyển mạch nhãn (LSP) – đƣờng hầm giữa tất cả các nút PE. Các đƣờng hầm đó đƣợc gán các VPLS-ID nhận dạng các kết nối ảo (VC LSP) giữa các nút PE cho mạng VPN. Các VC LSP tạo một cầu nối logic các PE cấu hình VPLS cho khách hàng. [3]
Tính năng cơ bản của VPLS là khả năng tự học địa chỉ MAC gửi từ phía mạng khách hàng của các router PE. Các PE tiếp nhận và học địa chỉ MAC qua các gói tin unicast hoặc multicast gửi qua mạng. Các địa chỉ MAC sau khi tự học sẽ đƣợc gán với một LSP là cơ sở cho việc chuyển tiếp gói tin truyền giữa các nút PE.
Hình I.11 Cơ chế học ịa chỉ MAC gói tin Broadcast [12] (Hình 5)
I.3.5. MPLS QoS
QoS là một dịch vụ đã đƣợc phổ biến trong những năm trƣớc đây. Ngoài một số mạng có băng thông không giới hạn, còn lại tắc nghẽn là một vấn đề xảy ra ở hầu hết các mạng. Và QoS bảo đảm cho các luồng lƣu lƣợng quan trọng hơn vƣợt qua tắc nghẽn và đƣợc chuyển đi. QoS bao gồm hai thành phần chính:
- Tìm đƣờng qua mạng nhằm cung cấp cho dịch vụ đƣợc yêu cầu. - Duy trì hiệu lực hoạt động của dịch vụ.
- Mô hình dịch vụ tích hợp IntServ (Intergrated Services). - Mô hình dịch vụ phân biệt DiffServ (Differentiated Services).
Có nhiều nguyên nhân giải thích tại sao mô hình IntServ không đƣợc sử dụng để theo kịp mức độ phát triển của Internet. Thay vào đó, IntServ chỉ đƣợc sử dụng phổ biến trong các mô hình mạng với quy mô nhỏ và trung bình. Trong khi đó, DiffServ lại là mô hình cung cấp chất lƣợng dịch vụ có khả năng mở rộng. Cơ chế