2.6.1 Hoạt động cơ bản
Cơ chế chuyển tiếp của MPLS được thực hiện bằng cách tra cứu trong một bảng LIB đã định trước (là ánh xạ giữa giá trị nhãn và các địa chỉ của bước tiếp theo). Một PHB (Per Hop Behavior) có thể được xác định ở mỗi LSR cho một FEC nào đó. PHB xác định mức ưu tiên khi xếp hàng gói tương ứng với FEC và xác định chính sách hủy gói (khi nghẽn mạch).
Các gói tin có thể có cùng LER lối vào và ra nhưng FEC khác nhau. Khi đó, chúng được đánh nhãn khác nhau, được sử lý theo PHB khác nhau ở các LSR, và có thể được vận chuyển qua mạng theo các LSP khác nhau.
Về cơ bản MPLS phân lưu lượng vào các loại FEC. Lưu lượng thuộc một FEC sẽ được chuyển qua miền MPLS theo một đường LSP. Từng gói dữ liệu sẽ được xem như thuộc một FEC bằng cách sử dụng các nhãn cục bộ
MPLS thực hiện bốn bước sau đây để chuyển gói tin qua một miền MPLS:
Hình 2.13:Hoạt động của MPLS
Bước 1-Báo hiệu
Với bất kỳ loại lưu lượng nào vào mạng MPLS, các bộ định tuyến sẽ xác định một liên kết giữa nhãn với lớp chuyển tiếp FEC của lưu lượng đó. Sau khi thực hiện thủ tục liên kết nhãn, mỗi bộ định tuyến sẽ tạo các mục trong bảng cơ sở thông tin nhãn LIB. Tiếp đó, MPLS thiết lập một đường chuyển mạch nhãn LSP và các tham số QoS của nó.
Để thực hiện được bước 1 cần phải có hai giao thức cho phép trao đổi thông tin giữa các bộ định tuyến là:
- Giao thức định tuyến bên trong một miền để trao đổi thông tin giữa các bộ định tuyến.
- Giao thức phân bổ nhãn.
Giao thức định tuyến cho phép xác định cấu trúc cũng như tình trạng hoạt động hiện thời của mạng. Dựa vào các thông tin đó, một LSP có thể được gán cho một FEC. Như vậy giao thức định tuyến phải có khả năng thu thập và sử dụng thông tin để hỗ trợ các yêu cầu QoS của FEC.
Các nhãn được gán cho các gói ứng với FEC của nó. Vì giá trị của nhãn chỉ mang tính cục bộ giữa hai bộ định tuyến kề nhau nên cần phải có cơ chế đảm bảo tính xuyên
suốt giữa các bộ định tuyến trên cùng LSP nhằm thống nhất về việc liên kết giá trị nhãn với FEC. Như vậy cần có một giao thức để phân bổ nhãn giữa các LSR.
Bước 2- Dán nhãn
Khi một gói đến bộ định tuyến LER đầu vào, LER sau khi xác định các tham số QoS sẽ phân gói này vào một loại FEC, tương ứng với một LSP nào đó. Sau đó, LER gán cho gói này một nhãn phù hợp và chuyển tiếp gói dữ liệu vào trong mạng. Nếu LSP chưa có sẵn thì MPLS phải thiết lập một LSP mới như ở bước 1.
Bước 3- Vận chuyển gói dữ liệu
Sau khi đã vào trong mạng MPLS, tại mỗi LSR gói dữ liệu sẽ được xử lý như sau: - Bỏ nhãn các gói đến và gán cho chúng một nhãn mới ở đầu ra (đổi nhãn). - Chuyển tiếp gói dữ liệu đến LSR kế tiếp dọc theo LSP.
Bước 4- Tách nhãn
Bộ định tuyến biên LER ở đầu ra của miền MPLS sẽ cắt bỏ nhãn, phân tích tiêu đề IP (hoặc xử lý nhãn tiếp theo trong ngăn xếp) và chuyển tiếp gói dữ liệu đó đến đích.
2.6.2. Định tuyến
Khái niệm định tuyến trong mạng MPLS đề cập đến việc chọn LSP cho một FEC nào đó. Nói chung các LSP có thể được thiết lập bằng một trong ba cách: Định tuyến từng chặng (hop-by-hop), định tuyến hiện (ER-Explicit Routing) hoặc định tuyến ràng buộc (CR-Constrained Routing). Dưới đây sẽ giới thiệu về các phương pháp định tuyến này.
Định tuyến từng chặng
Phương pháp này là tương đương với phương pháp được sử dụng hiện nay trong các mạng IP truyền thống. Các giao thức định tuyến truyền thống chẳng hạn như OSPF, BGP hay PNNI được sử dụng để thăm dò địa chỉ IP. Trong phương pháp này mỗi LSR lựa chọn một cách độc lập tuyến kế tiếp với một FEC cho trước. Mỗi node MPLS xác định nội dung của LIB bằng việc tham chiếu tới bảng định tuyến IP của nó. Với mỗi lối vào trong bảng định tuyến, mỗi node sẽ thông báo một ràng buộc (chứa 1 địa chỉ mạng và 1 nhãn) tới các node lân cận.
Phương pháp định tuyến này hỗ trợ vài ưu điểm của MPLS như chuyển mạch nhãn nhanh, có thể dùng ngăn xếp nhãn và các xử lý khác nhau với các FEC trên cùng một tuyến. Tuy nhiên, do có hạn chế về các tham số trong giao thức định tuyến nên định tuyến từng chặng không hỗ trợ tốt xử lý lưu lượng và các chính sách quản trị.
Định tuyến hiện (ER)
Định tuyến hiện tương tự với định tuyến nguồn. Trong phương pháp này không một node nào được cho phép lựa chọn chặng kế tiếp. Thay vào đó một LSR được lựa chọn trước, thường là LSR lối vào hay LSR lối ra, sẽ xác định danh sách các node mà ER- LSP đi qua. Đường dẫn đã được xác định có thể là không tối ưu. Song do các tuyến có thể chọn trước nên định tuyến hiện cho phép đơn giản hóa công việc quản trị. Dọc đường dẫn các tài nguyên có thể được đặt trước để đảm bảo QoS cho lưu lượng dữ liệu. Điều này làm cho kĩ thuật lưu lượng thực hiện dễ dàng hơn, các dịch vụ được phân biệt có thể được cung cấp bằng cách sử dụng các luồng dựa trên các chính sách hay các phương pháp quản lý mạng.
Hình 2.14 : Định tuyến hiện
Hình 2.14 thể hiện ví dụ về định tuyến hiện. Các đường đi được xác định bắt đầu tại bộ định tuyến lối vào A, sau đó tới B và D rồi ra tại F. Trong trường hợp này định tuyến hiện không cho phép đường đi qua các LSR C và E. Các đường đi trong định tuyến hiện được mã hóa trong bản tin yêu cầu nhãn và có thể được thiết lập bằng việc sử dụng các bản tin LDP.
Cũng như các chức năng khác của MPLS, chức năng định tuyến hiện được chia làm hai phần là điều khiển và chuyển tiếp. Thành phần điều khiển chịu trách nhiệm thiết lập trạng thái chuyển tiếp dọc theo tuyến hiện. Thành phần chuyển tiếp sử dụng trạng
thái chuyển tiếp được thiết lập bởi thành phần điều khiển cũng như thông tin có trong các gói tin để truyền chúng dọc theo tuyến hiện. (adsbygoogle = window.adsbygoogle || []).push({});
Định tuyến ràng buộc (CR)
Một thuật toán định tuyến có tính đến các yêu cầu về lưu lượng của nhiều luồng và tài nguyên hiện có tại các node trong mạng được xem như định tuyến có ràng buộc. Khi sử dụng định tuyến này, mạng có thể biết được mức độ sử dụng mạng hiện tại, dung lượng còn lại của mạng và các dịch vụ được cam kết.
Các tham số được tính đến trong định tuyến ràng buộc có thể là đặc tính liên kết (băng tần, trễ,…vv), hop count hay QoS. Các LSP được thiết lập có thể là các CR-LSP, trong đó các thông tin ràng buộc có thể là các chặng định tuyến hiện hay các yêu cầu QoS. Các chặng định tuyến hiện chỉ ra đường đi nào được dùng. Còn các yêu cầu QoS chỉ ra các tuyến và các cơ chế xếp hàng hay lập lịch nào được sử dụng cho luồng lưu lượng.
Khi sử dụng định tuyến ràng buộc, có thể một đường đi có cost tổng cộng lớn hơn nhưng chịu tải ít hơn sẽ được lựa chọn. Tuy nhiên, trong khi định tuyến ràng buộc gia tăng hiệu năng mạng thì nó cũng bổ sung thêm độ phức tạp trong việc tính toán định tuyến vì đường dẫn được lựa chọn phải thoả mãn các yêu cầu QoS của LSP.
Định tuyến ràng buộc có thể được sử dụng cùng với MPLS để thiết lập các LSP. IETF đã định nghĩa thành phần CR-LDP để làm cho việc thiết lập đường đi dựa trên các ràng buộc trở nên thuận tiện hơn.
2.6.3. Các chế độ hoạt động
MPLS có thể hoạt động tương ứng với hai chế độ đó là: chế độ khung và chế độ tế bào
Chế độ khung
Chế độ khung là thuật ngữ được sử dụng khi thực hiện chuyển tiếp gói với một tiêu đề được bổ sung vào giữa tiêu đề lớp 3 và lớp 2 của gói tin (hình 2.14)
Hình 2.15 : Khung MPLS với PPP/Ethernet là lớp liên kết dữ liệu
Do nhãn MPLS được chèn thêm vào gói tin như vậy nên bộ định tuyến gửi thông tin phải có phương tiện gì đó để thông báo cho bộ định tuyến nhận biết rằng gói đang được gửi không phải là gói IP thuần mà là gói có nhãn (gói MPLS). Để thực hiện chức năng này, một số dạng giao thức mới được định nghĩa trên lớp 2.
Chế độ tế bào
Chế độ tế bào là thuật ngữ được sử dụng khi chúng ta có một mạng các chuyển mạch ATM hay mạng FR sử dụng MPLS trong mặt phẳng điều khiển để hoán đổi thông tin VCI/VPI thay cho việc sử dụng báo hiệu ATM hay báo hiệu FR.
Hình 2.16 : Khung MPLS với ATM là lớp liên kết dữ liệu
Trong chế độ tế bào, nhãn được mã hoá trong các trường VPI/VCI hay DLCI (xem hình 2.16 và hình 2.17). Sau khi quá trình trao đổi thông tin nhãn được thực hiện trong mặt phẳng điều khiển, trong mặt phẳng chuyển tiếp, bộ định tuyến lối vào phân chia các gói vào trong các tế bào ATM, dán nhãn cho chúng và thực hiện truyền. Các ATM LSR trung gian xử lý các gói như một chuyển mạch ATM thông thường–chúng
Ip header Data
VPI/VCI Data
Shim header Ip header Data
VPI/VCI Data ……
Gãi IP
T¹o nh·n
chuyển tiếp tế bào dựa trên giá trị VPI/VCI và thông tin cổng vào. Cuối cùng, bộ định tuyến lối ra tổng hợp các tế bào trở lại thành gói.
Hình 2.17: Khung MPLS với FR là lớp liên kết dữ liệu
2.7. Tóm tắt chương II
Chương II đã đưa ra các vấn đề cơ bản của chuyển mạch nhãn đa giao thức MPLS. Đó là: các khái niệm cơ bản và các thành phần của MPLS, hoạt động của MPLS và các giao thức được sử dụng trong mạng MPLS. Đây sẽ này là cơ sở để tìm hiểu các vấn đề trong mạng MPLS VPN mà em sẽ trình bày trong các chương tiếp theo.
Ip header Data
DLCI Data
Shim header Ip header Data
DLCI Data ……
Gãi IP (adsbygoogle = window.adsbygoogle || []).push({});
T¹o nh·n
Chương III : Mạng riêng ảo MPLS VPN
3.1 Giới thiệu về MPLS VPN3.1.1 Định nghĩa VPN 3.1.1 Định nghĩa VPN
Ngày nay, một công ty có trụ sở phân tán ở nhiều nơi. Để kết nối các máy tính tại các vị trí này, công ty đó cần có một mạng thông tin. Mạng đó là mạng riêng với ý nghĩa là nó chỉ được công ty đó sử dụng. Mạng đó là mạng riêng cũng với ý nghĩa là kế hoạch định tuyến và đánh địa chỉ trong mạng đó độc lập với việc định tuyến và đánh địa chỉ của các mạng khác. Mạng đó là một mạng ảo với ý nghĩa là các phương tiện được sử dụng để xây dựng mạng này có thể không dành riêng cho công ty đó mà có thể chia sẻ dùng chung với các công ty khác. Các phương tiện cần thiết để xây dựng mạng này được cung cấp bởi người thứ ba được gọi là nhà cung cấp dịch vụ VPN. Các công ty sử dụng mạng được gọi là các khách hàng VPN. Các công ty cung cấp dịch vụ VPN gọi là SP (services Provider).
VPN có thể được sử dụng để mở rộng phạm vi của một Intranet. Bởi vì, Intranet thường được sử dụng để trao đổi thông tin một cách độc quyền và ta không muốn những thông tin này được truyền bá trên Internet. Tuy nhiên trong nhiều trường hợp, các văn phòng công ty trên diện rộng có nhu cầu chia sẻ thông tin và những người sử dụng từ xa muốn truy cập vào Intranet thông qua Internet. VPN sẽ cho phép kết nối vào Intranet một cách an toàn và không lo ngại bị lộ thông tin. Có thể coi kết nối loại này như là Extranet. Điểm khác nhau giữa hai trường hợp Intranet và Extranet đó là câu hỏi ai là người đặt ra các chính sách của mạng VPN, trong trường hợp mạng Intranet thì đó là một công ty còn trong trường hợp mạng Extranet thì đó là một nhóm công ty.
Sử dụng ví dụ trên về cơ sở dữ liệu khách hàng, rất dễ hiểu là làm thế nào mà VPN có thể mở rộng khả năng ứng dụng của Intranet. Giả sử tất cả các nhân viên bán hàng của công ty đang đi công tác hoặc là làm việc tại nhà. Họ có thể sử dụng Internet để truy cập vào các WebServer chứa những thông tin về khách hàng. VPN cung cấp kết nối đảm bảo an toàn giữa máy tính của nhân viên và WebServer chứa CSDL và mã hóa dữ liệu. VPN cho phép khả năng sử dụng linh hoạt đối với bất cứ dịch vụ mạng nào được sử dụng một cách an toàn thông qua Internet.
Đặc tính chủ yếu của một mạng riêng là lưu lượng khách hàng được tách riêng với cơ sở hạ tầng bên dưới và từ các khách hàng mà cùng chia sẻ cơ sở hạ tầng đó. Sự tách biệt thể hiện ở hai khía cạnh:
• Tách biệt về topology (Topological Isolation): nghĩa là các khách hàng có thể đưa vào bất cứ không gian địa chỉ và định tuyến nào họ lựa chọn. Một vấn đề phổ biến sử dụng cho các mạng riêng là địa chỉ IP sử dụng không thực sự là duy nhất (mang tính tổng thể) và sẽ xảy ra va chạm với người khác sử dụng cùng địa chỉ đó hiện hữu trên mạng Internet.
• Tách biệt về thời gian (Temporal Isolation): Nghĩa là dịch vụ mạng riêng chỉ phụ thuộc vào các đặc tính của lưu lượng khách hàng đó. Tạo ra mạng riêng ảo yêu cầu các cơ chế cho phép một cơ sở hạ tầng chung (ví dụ, một tập hợp các liên kết và các router) được chia sẻ trong khi vẫn làm cho khách hàng tin rằng họ đảm bảo được sự riêng tư. Các kĩ thuật hạ tầng IP tunneling qua một backbone IP có thể hỗ trợ sự tách biệt về topology, nhưng IP backbone vẫn cần thiết được đảm bảo băng thông khả dụng xác định và độ trễ đầu cuối đến đầu cuối cho các IP tunnel khác nhau. Có nhiều mô hình kết nối các Site với nhau. Nó có thể là kết nối dạng mắt lưới hoặc cũng có thể là kết nối hình sao qua Hub. Một ví dụ khác về cấu hình kết nối giữa các Site thuộc hai hoặc nhiều nhóm là các Site trong mỗi nhóm được kết nối với nhau dạng mắt lưới còn các Site trong các nhóm khác nhau được kết nối gián tiếp thông qua một Site cụ thể. VPN là một cách mô phỏng mạng riêng trên một mạng công cộng như Internet. Nó được gọi là ảo bởi vì nó phụ thuộc vào việc sử dụng các kết nối ảo, đó là những kết nối tạm thời gồm các gói được định tuyến trên nhiều máy tính trên Internet theo một cấu trúc đặc biệt. Các kết nối ảo đảm bảo an ninh được thiết lập giữa các máy tính, giữa các mạng, giữa mạng và máy tính. Sử dụng Internet cho truy cập từ xa sẽ tiết kiệm được chi phí. Ta có thể quay số ở bất cứ đâu chỉ cần tại đó ISP có điểm truy nhập POP. Nếu ISP có các điểm POP mang tính quốc gia thì đối với mạng LAN sẽ chỉ là các cuộc gọi nội hạt. Một vài ISP có thể có các mở rộng quốc tế hoặc có sự thỏa thuận với các ISP khác. Việc lựa chọn ISP sẽ rẻ hơn đối với việc truy cập từ xa với những người sử dụng roamming.
VPN được thiết lập giữa các router tại hai chi nhánh của công ty thông qua Internet. Hơn nữa, VPN cho phép hợp nhất các kết nối Internet và WAN vào một router và một đường truyền, điều này giúp tiết kiệm chi phí thiết bị và hạ tầng cơ sở viễn thông.
3.1.2 Mô hình Overlay VPN và Peer to Peer VPN
VPN được giới thiệu như là một một mạng riêng mà sử dụng trên hạ tầng chung. Một mạng riêng yêu cầu tất cả các đầu cuối khách hàng có thể kết nối với nhau và hoàn toàn riêng biệt đối với các mạng VPN khác. Mạng VPN thường là một công ty và