MPLS là kết quả phát triển của công nghệ chuyển mạch IP sử dụng cơ chế hoán đổi nhãn như ATM để tăng tốc độ truyền gói tin mà không cần thay đổi các giao thức định tuyến của IP.. Nói các
Trang 1-
BÙI ANH TUẤN
KỸ THUẬT LƯU LƯỢNG TRONG MPLS-VPN
Chuyên ngành: Kỹ thuật điện tử
Mã số: 60.52.70
Người hướng dẫn khoa học: TS NGUYỄN TIẾN BAN
TÓM TẮT LUẬN VĂN THẠC SĨ
HÀ NỘI – 2013
Trang 2độ cao với chi phí thấp là cơ sở cho một loạt các công nghệ mới ra đời, trong đó có MPLS
Công nghệ MPLS đã chứng minh được tính ứng dụng thực tiễn với các tính năng vượt trội của nó so với các công nghệ chuyển mạch truyền thống khác như ATM MPLS là kết quả phát triển của công nghệ chuyển mạch IP sử dụng cơ chế hoán đổi nhãn như ATM để tăng tốc độ truyền gói tin mà không cần thay đổi các giao thức định tuyến của IP MPLS tách chức năng của IP thành hai phần riêng biệt: chuyển gói tin và điều khiển Bên cạnh đó, MPLS cũng hỗ trợ việc quản lý dễ dàng hơn
MPLS đã được lựa chọn để đơn giản hoá và tích hợp trong mạng lõi Nó cho phép các nhà khai thác giảm chi phí, đơn giản hoá việc quản lý lưu lượng và hỗ trợ các dịch vụ Internet Việc triển khai các dịch vụ mới trên nền MPLS cũng đã mang lại những lợi ích to lớn trong đó có dịch vụ mạng riêng ảo (MPLS-VPN)
Để nghiên cứu sâu hơn về dịch vụ mạng riêng ảo VPN trên nền MPLS và bài toán điều khiển lưu lượng hỗ trợ chất lượng dịch vụ, em đã chọn đề tài “Kỹ thuật lưu lượng trong MPLS-VPN” để làm luận văn tốt nghiệp
Nội dung luận văn gồm 3 chương:
Chương 1 – Công nghệ MPLS và bài toán điều khiển lưu lượng
Chương 2 – Công nghệ mạng riêng ảo trên nền MPLS
Chương 3 – Kỹ thuật lưu lượng trong MPLS-VPN
Trang 3CHƯƠNG 1: TỔNG QUAN VỀ MPLS
VÀ BÀI TOÁN ĐIỀU KHIỂN LƯU LƯỢNG
1.1 Các khái niệm cơ bản
1.1.1 Miền MPLS (MPLS Domain)
MPLS là viết tắt của “Multi-Protocol Label Switching” Thuật ngữ Multi-Protocol (đa giao thức) để nhấn mạnh rằng công nghệ này áp dụng được cho tất cả các giao thức lớp mạng chứ không chỉ riêng có giao thức IP MPLS cũng hoạt động tốt trên bất kỳ các giao thức lớp liên kết Đây là một công nghệ lai kết hợp những đặc tính tốt nhất của định tuyến lớp 3 (Layer 3 Routing) và
chuyển mạch lớp 2 (Layer 2 Switching)
Theo RFC 3031, miền MPLS là “một tập hợp các nút mạng thực hiện hoạt động định tuyến
và chuyển tiếp MPLS” Các nút thuộc miền MPLS được gọi là các bộ định tuyến chuyển mạch nhãn LSR (Label Switching Router) Một miền MPLS thường được quản lý và điều khiển bởi một nhà quản trị (Administrator)
1.1.2 Lớp chuyển tiếp tương đương (FEC)
Lớp chuyển tiếp tương đương FEC (Forwarding Equivalence Class) là một tập hợp các gói được đối xử như nhau bởi một LSR Nói cách khác, FEC là một nhóm các gói (ví dụ gói tin IP) được chuyển tiếp trên cùng một đường chuyển mạch nhãn LSP (Label Switched Path), được đối xử theo cùng một cách thức và có thể ánh xạ vào một nhãn bởi một LSR cho dù chúng có thể khác nhau về thông tin mào đầu (Header) lớp mạng
Trang 41.1.3 Nhãn và ngăn xếp nhãn
Theo RFC 3031, nhãn là “một bộ nhận dạng có độ dài ngắn và cố định, mang ý nghĩa cục bộ dùng để nhận biết một FEC” Nhãn được “dán” lên một gói để báo cho LSR biết gói này cần đi đâu Phần nội dung nhãn có độ dài 20 bit không có cấu trúc Như vậy số lượng giá trị nhãn có thể có là
220 (hơn một triệu) giá trị Giá trị nhãn định nghĩa chỉ mục (Index) để dùng trong bảng chuyển tiếp
1.1.4 Hoán đổi nhãn
Hoán đổi nhãn là cách dùng các thủ tục để chuyển tiếp gói Để chuyển tiếp gói có nhãn, LSR kiểm tra nhãn trên đỉnh ngăn xếp và dùng ánh xạ ILM (Incoming Label Map) để ánh xạ nhãn này tới một Entry chuyển tiếp nhãn NHLFE (Next Hop Label Forwarding Entry) Sử dụng thông tin trong NHLFE, LSR xác định ra nơi để chuyển tiếp gói và thực hiện một tác vụ trên ngăn xếp nhãn, rồi nó mã hóa ngăn xếp nhãn mới vào gói và chuyển gói đi
Chuyển tiếp gói chưa có nhãn cũng tương tự nhưng xảy ra ở Ingress-LER LER phải phân tích mào đầu lớp mạng để xác định FEC rồi sử dụng ánh xạ FTN (FEC-to-NHLFE) để ánh xạ FEC vào một NHLFE
1.1.5 Đường chuyển mạch nhãn (LSP)
Đường chuyển mạch nhãn LSP (Label Switched Path) là một đường nối giữa Router ngõ vào (Ingress-LER) và Router ngõ ra (Egress-LER), được thiết lập bởi các nút MPLS để chuyển các gói đi xuyên qua mạng Đường dẫn của một LSP qua mạng được định nghĩa bởi sự chuyển đổi các giá trị nhãn ở các LSR dọc theo LSP bằng cách dùng thủ tục hoán đổi nhãn Khái niệm LSP tương
tự như khái niệm mạch ảo (VC-Virtual Circuit) trong ATM
Kiến trúc MPLS cho phép phân cấp các LSP, tương tự như ATM sử dụng VPI và VCI để tạo ra phân cấp kênh ảo (VC) nằm trong đường ảo (VP) Tuy nhiên ATM chỉ có thể hỗ trợ 2 mức phân cấp, trong khi với MPLS thì số mức phân cấp cho phép rất lớn, nhờ khả năng chứa được nhiều nhãn trong một ngăn xếp nhãn Về lý thuyết, giới hạn số lượng nhãn trong ngăn xếp phụ thuộc giá
T¶i Mµo ®Çu IP §Öm MPLS Mµo ®Çu líp 2
Nh·n (20) COS (3) S (1) TTL (8)
Trang 5trị đơn vị chuyển tiếp tối đa MTU (Maximum Transfer Unit) của các giao thức lớp liên kết dữ liệu (Data Link Layer) được dùng dọc theo một LSP
1.1.6 Chuyển gói qua miền MPLS
Sau đây là một ví dụ đơn giản minh họa quá trình truyền gói tin IP đi qua một miền MPLS: Gói tin IP khi đi từ ngoài mạng vào trong miền MPLS sẽ được Router A, đóng vai trò là một Ingress-LER, gán nhãn có giá trị là 6 rồi chuyển tiếp đến Router B Router B, đóng vai trò là một LSR, dựa vào bảng hoán đổi nhãn để kiểm tra nhãn của gói tin Nó thay giá trị nhãn mới là 3 và chuyển tiếp đến Router C Tại C, cũng đóng vai trò là một LSR, việc kiểm tra cũng tương tự như ở
B và sẽ hoán đổi nhãn, gán cho gói tin một nhãn mới là 9 và tiếp tục đưa đến Router D
Router D đóng vai trò Egress-LER sẽ kiểm tra trong bảng hoán đổi nhãn và gỡ bỏ nhãn 9 ra khỏi gói tin rồi định tuyến gói IP một cách bình thường ra khỏi miền MPLS Với phương pháp làm việc này, các LSR trung gian như Router B và C sẽ không phải thực hiện kiểm tra toàn bộ Header
IP của gói tin mà nó chỉ việc kiểm tra các giá trị của nhãn, so sánh trong bảng và chuyển tiếp Vì vậy tốc độ xử lý trong miền MPLS sẽ nhanh hơn nhiều so với định tuyến IP truyền thống Đường đi
từ Router A đến Router D được gọi là đường chuyển mạch nhãn LSP (Label Switched Path)
1.2 Kiến trúc chức năng của MPLS
1.2.1 Kiến trúc một nút MPLS
Thành phần quan trọng cơ bản của mạng MPLS là thiết bị định tuyến chuyển mạch nhãn LSR Thiết bị này thực hiện chức năng chuyển tiếp gói thông tin trong phạm vi mạng MPLS bằng thủ tục phân phối nhãn Căn cứ vào vị trí và chức năng của LSR có thể phân thành các loại chính sau đây: LSR biên (LER) và LSR lõi
Mặt phẳng điều khiển có chức năng định tuyến dùng để giao tiếp với các LSR, LER khác hoặc giao tiếp với các Router IP thông thường bằng các giao thức định tuyến IP Kết quả là một cơ
Trang 6sở thông tin định tuyến RIB (Routing Information Base) được tạo lập gồm các thông tin mô tả các tuyến đường khả thi để tìm đến các Prefix địa chỉ IP LER sẽ sử dụng các thông tin này để xây dựng
cơ sở thông tin chuyển tiếp FIB (Forwarding Information Base) trong mặt phẳng chuyển tiếp
Mặt phẳng chuyển tiếp MPLS chịu trách nhiệm chuyển tiếp dữ liệu của người sử dụng (User) Nó sử dụng LFIB để thực hiện chuyển tiếp các gói có gắn nhãn căn cứ vào giá trị của nhãn nằm trên đỉnh Stack nhãn
1.2.2 Cơ sở thông tin chuyển tiếp nhãn (LFIB)
Trong mạng IP, quyết định chuyển tiếp gói được xác lập bằng cách thực hiện tra cứu địa chỉ đích trong bảng FIB để xác định nút tiếp theo và giao diện ra Trong mạng MPLS, mỗi LSR duy trì một bảng LFIB riêng rẽ và tách biệt với FIB Bảng LFIB có hai loại Entry là ILM (Incoming Label Map) và FTN (FEC-to-NHLFE) NHLFE (Next Hop Label Forwarding Entry) là Subentry chứa các trường như địa chỉ nút tiếp theo, các tác vụ Stack nhãn, giao diện ra và thông tin mào đầu lớp 2 ILM ánh xạ một nhãn đến một hoặc nhiều NHLFE Nhãn trong gói đến sẽ dùng để chọn ra một Entry ILM cụ thể nhằm xác định NHLFE Còn FTN ánh xạ mỗi FEC vào một hoặc nhiều NHLFE Nhờ các Entry FTN, gói chưa có nhãn được chuyển thành gói có nhãn
1.2.3 Thuật toán chuyển tiếp nhãn
Các nút MPLS sử dụng giá trị nhãn trong các gói đến làm chỉ mục để tra bảng LFIB Khi tìm thấy Entry tương ứng với nhãn đến, nút MPLS thay thế nhãn trong gói bằng nhãn ra và gửi gói
đi qua giao diện ra để đến nút tiếp theo được đặc tả trong Subentry NHLFE Nếu Subentry có chỉ định hàng đợi ra, nút MPLS sẽ đặt gói trên hàng đợi đã chỉ định Trường hợp nút MPLS duy trì một LFIB riêng cho mỗi giao diện, nó sẽ dùng LFIB của giao diện mà gói đến để tra cứu chuyển gói
1.3 Các chế độ hoạt động của MPLS
1.3.1 Chế độ khung
Chế độ hoạt động này xuất hiện khi sử dụng MPLS trong môi trường các thiết bị định tuyến thuần nhất định tuyến các gói tin IP điểm-điểm Các gói tin gán nhãn được chuyển tiếp trên cơ sở khung lớp 2
1.3.2 Chế độ tế bào
Khi xem xét triển khai MPLS qua ATM cần phải giải quyết một số trở ngại sau đây:
- Hiện tại không tồn tại một cơ chế nào cho việc trao đổi trực tiếp các gói IP giữa 2 nút MPLS cận
kề qua giao diện ATM Tất cả các số liệu trao đổi qua giao diện ATM phải được thực hiện qua kênh
ảo ATM
Trang 7- Các tổng đài ATM không thể thực hiện việc kiểm tra nhãn hay địa chỉ lớp 3 Khả năng duy nhất của tổng đài ATM đó là chuyển đổi VC đầu vào sang VC đầu ra của giao diện ra
Như vậy cần thiết phải xây dựng một số cơ chế để đảm bảo thực thi MPLS qua ATM như sau :
- Các gói IP trong mảng điều khiển không thể trao đổi trực tiếp qua giao diện ATM Một kênh ảo
VC phải được thiết lập giữa 2 nút MPLS cận kề để trao đổi gói thông tin điều khiển
- Nhãn trên cùng trong ngăn xếp nhãn phải được sử dụng cho các giá trị VPI/VCI
- Các thủ tục gán và phân phối nhãn phải được sửa đổi để đảm bảo các tổng đài ATM không phải kiểm tra địa chỉ lớp 3
1.4 Kỹ thuật lưu lượng MPLS
1.4.2 Các mục tiêu triển khai kỹ thuật lưu lượng
Các mục tiêu triển khai kỹ thuật lưu lượng có thể phân theo hai hướng sau:
- Hướng lưu lượng (Traffic Oriented)
- Hướng tài nguyên (Resource Oriented)
Các mục tiêu hướng lưu lượng liên quan đến việc tăng cường QoS cho các luồng lưu lượng Trong mô hình đơn lớp (dịch vụ Best-Effort), các mục tiêu này gồm: giảm thiểu mất gói và trễ, tăng tối đa thông lượng (Throughput) và tuân thủ các hợp đồng mức dịch vụ (SLA) Các mục tiêu hướng lưu lượng bị chặn thống kê (như thay đổi độ trễ gói đỉnh-đỉnh, tỷ lệ mất gói, trễ truyền tối đa) cũng rất hữu ích trong mô hình dịch vụ phân biệt (Diffserv)
Các mục tiêu hướng tài nguyên liên quan đến việc tối ưu hóa sử dụng tài nguyên Băng thông là một tài nguyên cốt yếu của mạng, do đó chức năng trọng tâm của kỹ thuật lưu lượng là quản lý hiệu quả tài nguyên băng thông
1.5 Kết luận chương
Với các hạn chế thuộc về bản chất và ngày càng bộc lộ ra khi mạng phát triển nhanh về tốc
độ và số lượng thì mạng IP truyền thống đang đứng trước những vấn đề hết sức khó khăn Tuy nhiên, với sự xuất hiện của chuyển mạch nhãn đa giao thức MPLS thì có thể giải quyết nhanh chóng các bài toán mà mạng IP đang mắc phải Và thực tế chứng minh điều đó khi đã có một số nhà cung cấp dịch vụ ứng dụng MPLS vào mạng đường trục của mình và thu được khá nhiều lợi ích
Công nghệ chuyển mạch nhãn cho phép thay thế chuyển tiếp gói truyền thống theo kiểu Hop-by-Hop dựa trên địa chỉ đích bằng kỹ thuật chuyển tiếp hoán đổi nhãn Kỹ thuật này dựa vào các nhãn có độ dài cố định, cải thiện được năng lực định tuyến lớp 3, đơn giản hóa việc chuyển gói, cho phép dễ dàng mở rộng và đặc biệt là hỗ trợ kỹ thuật lưu lượng
Chương này cũng đã trình bày các khái niệm và mục tiêu của việc triển khai kỹ thuật điều khiển lưu lượng để từ đó làm căn cứ cho việc tìm hiểu, nghiên cứu ở các chương tiếp theo
Trang 8CHƯƠNG 2: CÔNG NGHỆ MPLS VPN
Mạng riêng ảo VPN là khái niệm đã có từ lâu, xuất phát từ nhu cầu của các doanh nghiệp và
tổ chức muốn tạo một đường truyền xuyên suốt và bảo mật giữa các chi nhánh của mình trên một
cơ sở hạ tầng chung MPLS VPN có thể coi là mô hình VPN ưu việt nhất so với trước đây Chương này giới thiệu tổng quan về VPN, phân tích các mô hình VPN và sự ra đời của MPLS VPN Phần này cũng đi sâu vào tìm hiểu các kỹ thuật trong việc triển khai MPLS VPN sao cho đạt hiệu quả cao nhất trong triển khai đồng thời cũng hạn chế thấp nhất những phí tổn
2.1 Giới thiệu chung về VPN
2.1.1 Khái niệm VPN
VPN ra đời cho phép các nhà cung cấp dịch vụ triển khai những kết nối Point-to-Point giữa các nhà cung cấp dịch vụ trên một hạ tầng vật lý chung Một khách hàng sử dụng VPN sẽ bao gồm các vùng riêng biệt chịu sự điều khiển của khách hàng gọi là Site khách hàng Các Site này liên kết với nhau bởi mạng của nhà cung cấp dịch vụ Trước đây trong mạng truyền thống, mô hình VPN đơn giản nhất là nhà cung cấp dịch vụ sẽ kết nối các Site khách hàng theo một đường Point-to-Point dành riêng cho khách hàng đó Khi số Site của khách hàng tăng lên, số kết nối sẽ tăng đồng nghĩa với việc chi phí triển khai tăng Mô hình này được coi là không hiệu quả nhưng lại là nền tảng cho các công nghệ VPN sau này Frame Realy và ATM là những công nghệ đầu tiên thực hiện VPN có
hiệu quả Mỗi công nghệ chứa đựng những kỹ thuật và thiết bị riêng cho giải pháp VPN
nó yêu cầu phải kết nối tất cả các Site khách hàng để cho kết quả chuyển mạch tối ưu Nếu số Site khách hàng là N, số mạch ảo phải tạo ra giữa các Site là N(N-1)/2 để có thể tối ưu trong quá trình định tuyến
Trang 9Peer-to-Peer VPN
Mô hình Peer-to-Peer ứng dụng trên nền tảng IP, sử dụng các Router để định tuyến thông tin khách hàng Mô hình Peer-to-Peer được phát triển nhằm khắc phục những nhược điểm của Overlay VPN Khác với Overlay VPN, Peer-to-Peer cho phép nhà cung cấp dịch vụ tham gia và tối ưu định tuyến của khách hàng Do vậy, không cần tạo các mạch ảo và Full Mesh các Site, nhà cung cấp vẫn tạo một đường đi tối ưu giữa các Site Thông tin định tuyến được mang giữa các Router của nhà cung cấp dịch vụ (Router PE và P) và Router biên khách hàng (Router CE)
Tại các Router PE, các gói tin được lọc khi đi vào hay ra khỏi một VPN Có 2 loại mô hình Peer-to-Peer VPN:
+ Router PE chia sẻ: Một Router PE kết nối với nhiều Site khách hàng đấu nối vào mạng SP, nói cách khác, Router đó là dùng chung cho nhiều khách hàng
+ Router PE dành riêng: Mỗi Site khách hàng dùng riêng một Router PE Loại mô hình này tuy nâng cao khả năng hoạt động của mạng nhưng tốn kém thiết bị và chi phí triển khai Mô hình này chỉ dành cho các doanh nghiệp và tổ chức lớn có nhu cầu cao về bảo mật và truyền dữ liệu
2.2 MPLS VPN
MPLS VPN phát triển trên công nghệ Peer-to-Peer VPN, nhưng có nhiều điểm phát triển hơn và hội tụ cả những ưu điểm của Overlay VPN Các PE Router tham gia trực tiếp vào quá trình định tuyến khách hàng để đảm bảo đường đi của lưu lượng qua mạng là tối ưu Bên cạnh đó, với
Trang 10mô hình Router PE chia sẻ, MPLS VPN phân tách tốt nhất dữ liệu khách hàng bằng việc sử dụng các bảng định tuyến riêng cho mỗi khách hàng Thông tin khách hàng khi đi vào mạng trục MPLS
sẽ được gán thêm một tiền tố để nó là duy nhất trong mạng Do vậy, MPLS VPN cho phép sử dụng lại địa chỉ như trong mô hình Overlay VPN
2.2.1 Mô hình tổng quát MPLS VPN
Mô hình MPLS VPN tổng quát gồm có các thành phần sau: Thành phần do người sử dụng điều khiển, gọi là mạng khách hàng, thành phần do nhà cung cấp dịch vụ quản lý, gọi là mạng của nhà cung cấp dịch vụ Mạng khách hàng bị chia cắt bởi mạng của nhà cung cấp, các phần gián đoạn của mạng khách hàng gọi là các Site
Các Site được kết nối với mạng lõi thông qua các CE Router Các CE Router kết nối trực tiếp với các PE Router, PE Router có vai trò là Router cạnh giúp mạng P giao tiếp với mạng người sử dụng Cấu tạo mạng P gồm các P Router, có chức năng thiết lập kênh tuyền giữa các Site nhưng không tham gia vào tiến trình định tuyến
2.2.2 Mô hình định tuyến MPLS VPN
Hoạt động của MPLS VPN tương tự như mô hình Router Peer-to-Peer Từ góc độ của một Router CE, tất cả thông tin cập nhập IPv4 cũng như dữ liệu đều được Forward cho Router PE Router CE không cần một cấu hình đặc biệt nào để cho phép nó tham gia vào miền MPLS VPN Yêu cầu duy nhất của CE Router là phải cấu hình một giao thức định tuyến, có thể là tĩnh hoặc động
để nó có thể trao đổi thông tin định tuyến với các PE Router khác
Trang 112.2.3 Các kỹ thuật trong MPLS VPN
2.2.3.1 Cấu trúc PE Router
Chức năng của một PE tương tự như một tập các Dedicated PE Router trong mô hình to-Peer Trong mô hình Peer-to-Peer mỗi PE Router chịu trách nhiệm với một mạng VPN Còn trong mạng MPLS VPN nhiều Dedicated PE Router được tích hợp trong một PE Router duy nhất,
Peer-sự cách ly giữa các mạng tư nhân ảo (các bảng định tuyến của từng mạng) được thực hiện bằng phần mềm
2.2.3.2 Bảng chuyển tiếp ảo VRF (Virtual Routing Forwarding)
Việc phân tách lưu lượng khách hàng được thực hiện bằng cách sử dụng một bảng chuyển tiếp và định tuyến riêng cho mỗi khách hàng, gọi là bảng VRF Điều này giống như việc xây dựng nhiều Router dành riêng cho các khách hàng Chức năng của VRF tương tự như bảng định tuyến chung, chỉ khác là nó chỉ chứa tất cả thông tin đường đi của một VPN nào đó thay vì cho toàn mạng Bảng VRF cũng chứa bảng chuyển tiếp CEF riêng, bảng này cũng mô tả kết nối và giao thức cho mỗi Site khách hàng trên cùng một Router PE
2.2.3.3 Kỹ thuật phân biệt tuyến trong mạng Core
Sự trao đổi thông tin định tuyến giữa các Router PE chỉ sử dụng giao thức định tuyến duy nhất là BGP, các thông tin định tuyến trao đổi giữa các VRF thuộc các VPN khác nhau chuyển qua mạng Core có thể trùng lặp địa chỉ (địa chỉ IP ở mạng khách hàng) Vậy làm sao BGP có thể giúp hội tụ định tuyến ở các PE Router trong khi vẫn giữ sự cách ly giữa các mạng ảo?
