chuyển mạch nhãn đa giao thức (mlpls) và ứng dụng trong mạng vpv.

Hoặc các phương tiện cần thiết dể xâydựng mạng này được cung cấp bởi các nhà cung cấp dịch vụ viễn thông.Các tổ chức sử dụng mạng VPN gọi là các khách hàng VPN.. Intranet VPNs Mạng VPN c

LỜI NÓI ĐẦU

Với sự phát triển nhanh chóng của hệ thống thông tin từ khi có mặtcủa mạng internet: dịch vụ thuê kênh (Leased Line, Frame Relay, ATM) vàcác dịch vụ kết nối cơ bản khác, đã đem lại nhiều lợi ích cho người tiêudùng cũng như các nhà khai thác, triển khai mạng và các dịch vụ mạng.Cùng với sự nghiên cứu phát triển của các nhà khoa học nhằm mục đích cảitiến và khắc phục các điểm chưa tốt còn tồn tại của các hệ thống chuyểnmạch đã và đang được sử dụng rộng rãi trên toàn cầu đem lại cho ngườinhiều dịch vụ mới

Đồ án “Chuyển mạch nhãn đa giao thức (MPLS) và ứng dụng MPLS để xây dựng mạng riêng ảo (VPN)” đã nghiên cứu những khái niệm

và ứng dụng từ cơ bản đến nâng cao của dịch vụ mạng riêng ảo và côngnghệ chuyển mạch nhãn đa giao thức Đồ án cũng đã nghiên cứu sự kết hợpcủa hai công nghệ trên để tạo ra một công nghệ mới hiện đang được triểnkhai rộng rãi ở trong và ngoài nước Công nghệ VPN trên nền MPLS haycòn có tên gọi ngắn gọi là MPLS/VPN

Nhằm mục đích tìm hiểu về chuyển mạch nhãn và ứng dụng của nócho mạng riêng ảo, đồ án này bao gồm 3 chương như sau:

 Chương 1: MẠNG RIÊNG ẢO (VPN)

 Chương 2: CHUYỂN MẠCH NHÃN ĐA GIAO THỨC (MPLS)

 Chương 3: ỨNG DỤNG CÔNG NGHỆ MPLS TRONG VIỆCTHIẾT LẬP MẠNG RIÊNG ẢO (MPLS/VPN)

Trong quá trình làm đồ án, do còn nhiều hạn chế về thời gian, tài liệucũng như kiến thức hiểu biết của bản thân còn chưa đầy đủ nên đồ ánkhông thể nào tránh khỏi những thiếu sót Em rất mong nhận được sự đónggóp ý kiến của các thầy cô và các bạn để đồ án của em ngày càng đượchoàn thiện hơn

Em xin chân thành cảm ơn thầy giáo, Trung tá - TS Lê Hải Nam

cùng các thầy cô trong khoa Vô tuyến Điện tử-trường Học viện Kỹ thuậtQuân sự đã tận tình chỉ bảo, giúp đỡ và tạo điều kiện cho em hoàn thành đồ

án tốt nghiệp này

Xin chân thành cảm ơn

Hà Nội, ngày 22 tháng 04 năm 2010

Sinh viên thực hiện

TẠ DUY LINH

CHƯƠNG I

MẠNG RIÊNG ẢO

Hiện nay lợi nhuận của các nhà cung cấp dịch vụ thu được một phần

từ các dịch vụ thuê kênh (Leased Line, Frame Relay, ATM) và các dịch vụkết nối cơ bản khác Tuy nhiên xu hướng giảm lợi nhuận từ các dịch vụ nàybắt buộc các nhà cung cấp phải nghiên cứu và triển khai những dịch vụ mớidựa trên nền IP để đảm bảo lợi nhuận lâu dài

Về phía khách hàng, phướng án truyền thông nhanh, an toàn và tincậy đang trở thành mối quan tâm của nhiều tổ chức, tổ chức đặc biệt là các

tổ chức, tổ chức có các địa điểm phân tán về mặt vật lý, tổ chức đa quốcgia Giải pháp thông thường được áp dụng bởi đa số các tổ chức là thuê cácđường truyền riêng (leased lines) để duy trì một mạng WAN (Wide AreaNetwork) Các đường truyền này, được giới hạn từ ISDN (IntergratedServices Digital Network, 128 Kbps) cho đến đường cáp quang OC3(Optical Carrier-3, 155Mbps) Mỗi mạng WAN đều có các điểm thuận lợitrên một mạng công cộng khi xét đến độ tin cậy, hiệu năng và tính an toàn,bảo mật Nhưng để bảo trì một mạng WAN, đặc biệt khi sử dụng cácđường truyền riêng, có thể trở nên quá đắt và chi phí sẽ trở nên tăng vọt khi

tổ chức muốn mở rộng thêm các văn phòng đại diện

Mạng riêng ảo VPN chính là một giải pháp cho vấn đề này VPN cóthể đáp ứng các nhu cầu của khách hàng bằng các kết nối dạng any-to-any,các lớp đa dịch vụ, các dịch vụ có giá thành quản lý thấp, riêng tư, tích hợpxuyên suốt cùng với các mạng Intranet hoặc mạng Extranet Một nhómngười dùng (Users) trong mạng Intranet và Extranet có thể hoạt động thôngqua mạng IP Các mạng VPN có chi phí vận hành thấp hơn hẳn so với việcthuê đường truyền riêng (Leased Lines) trên phương diện quản lý, băng

thông và dung lượng Hiểu một cách đơn giản, VPN là một mạng mở rộng

có tính tự quản VPN có thể liên kết các user thuộc một nhóm kín hay giữacác nhóm khác nhau Các thuê bao VPN có thể di chuyển trong một kết nốimềm dẻo trải dài từ mạng cục bộ đến mạng hoàn chỉnh Các thuê bao này

có thể dùng trong cùng một mạng (Intranet VPN) hoặc khác mạng(Extranet VPN)

Mạng riêng ảo (VPN) là một trong những ứng dụng rất quan trọngtrong mạng NGN Các tổ chức, các doanh nghiệp đặc biệt là các tổ chức đaquốc gia có nhu cầu rất lớn về loại hình dịch vụ này Với VPN họ hoàntoàn có thể sử dụng các dịch vụ viễn thông, truyền số liệu cục bộ với chiphí thấp, với an ninh đảm bảo, với cơ chế bảo mật và cung cấp chất lượngdịch vụ (QoS) theo yêu cầu

Ta xét một tổ chức có trụ sở phân tán ở nhiều nơi Để kết nối cácmáy tính tại các vị trí xa nhau này, tổ chức cần có một mạng thông tin.Mạng này được gọi là mạng riêng với ý nghĩa là nó chỉ được tổ chức đó sửdụng, và với ý nghĩa các kế hoạch định tuyến và đánh địa chỉ trong mạng

đó là độc lập với việc định tuyến và đánh địa chỉ của các mạng khác Mạngnày được gọi là mạng riêng ảo với ý nghĩa là các phương tiện được sử dụng

để xây dựng mạng này có thể không chỉ dành riêng cho tổ chức đó mà chia

sẻ dùng chung với các tổ chức khác Hoặc các phương tiện cần thiết dể xâydựng mạng này được cung cấp bởi các nhà cung cấp dịch vụ viễn thông.Các tổ chức sử dụng mạng VPN gọi là các khách hàng VPN

Có thể hiểu mạng VPN là tập hợp gồm nhiều Site, các site được quyđịnh với nhau bởi chính sách quản lý, quy định cả về kết nối cũng như chấtlượng dịch vụ giữa các site Theo định nghĩa IETF (Internet Engineering

Task Force), mạng VPN là một kiểu mạng diện rộng riêng (Privite WAN)

sử dụng mạng đường trục IP riêng hoặc mạng Internet công cộng

Mặc dù công nghệ kết nối ngầm logic được áp dụng trong phần lõicủa mạng VPN, nhưng những kỹ thuật và phương pháp bảo mật chi tiết vẫnđược áp dụng nhằm đảm bảo an toàn cho những thông tin quan trọng củacác tổ chức khi truyền qua các mạng trung gian Các kỹ thuật bảo mật gồm:

 Firewall:

Một firewall cung cấp biện pháp ngăn chặn hiệu quả giữa mạng riêngcủa người sử dụng với Internet Người dùng có thể sử dụng tường lửa ngănchặn các cổng được mở, loại gói tin được phép truyền qua và giao thức sửdụng Một vài sản phẩm VPN, chẳng hạn như Cisco's 1700 router, có thểnâng cấp để bao gồm cả tường lửa bằng cách chạy Cisco IOS tương ứng ở

trên router Người dùng cũng nên có tường lửa trước khi sử dụng VPN,nhưng tường lửa cũng đôi khi ngăn chặn các phiên làm việc của VPN.

 Encryption:

Đây là quá trình mã hoá dữ liệu khi truyền đi khỏi máy tính theo mộtquy tắc nhất định và máy tính đầu xa có thể giải mã được Hầu hết các hệthống mã hoá máy tính thuộc về 1 trong 2 loại sau:

- Mã hoá sử dụng khoá riêng (Symmetric-key encryption)

- Mã hoá sử dụng khoá công khai (Public-key encryption)

Trong hệ symmetric-key encryption, mỗi máy tính có một mã bí mật

sử dụng để mã hoá các gói tin trước khi truyền đi Khoá riêng này cần đượccài trên mỗi máy tính và máy tính phải biết được trình tự giải mã đã đượcquy ước trước Mã bí mật còn được sử dụng để giải mã gói tin Ví dụ: User

1 tạo ra một bức thư mã hoá mà trong nội dung thư mỗi ký tự được thay thếbằng ký tự ở sau nó 2 vị trí trong bảng ký tự Như vậy A sẽ được thay bằng

C, và B sẽ được thay bằng D User 1 đã nói với User 2 khoá riêng là Dịch

đi 2 vị trí (Shift by 2) User 2 nhận được thư sẽ giải mã sử dụng chìa khoáriêng đó Còn những User khác sẽ không đọc được nội dung thư

Hệ Public-key encryption sử dụng một tổ hợp khoá riêng và khoá

công cộng để thực hiện mã hoá, giải mã Khoá riêng chỉ sử dụng tại máytính đó, còn khoá công cộng được truyền đi đến các máy tính khác mà nómuốn trao đổi thông tin bảo mật Để giải mã dữ liệu mã hoá, máy tính kiaphải sử dụng khoá công cộng nhận được, và khoá riêng của chính nó Một

phần mềm mã hóa công khai thông dụng là Pretty Good Privacy (PGP) cho

phép thực hiện các chức năng này

 Authentication:

Authentication là tiến trình kiểm tra tính đúng đắn của định danh(username, password, fingerprinter ) Thêm nữa tính xác thực cũng đảmbảo người nhận, nhận được đầy đủ bản tin và nguồn gốc của bản tin Dạng

đơn giản nhất của quá trình xác thực là yêu cầu tên người sử dụng và mậtkhẩu để được phép truy nhập vào dữ liệu Với dạng phức tạp, quá trình xácthực có thể dựa trên quá trình mã hoá sử dụng khoá bí mật hoặc quá trình

mã hoá sủ dụng khoá công cộng

 Authorization:

Authorization là một tiến trình cho phép hoặc từ chối người sử dụnghay một định danh sau khi đã truy nhập vào mạng thành công tức là đã xácnhận tính chính xác của định danh người dùng, được quyền truy nhập hợppháp vào đúng những tài nguyên xác định từ trước mà không thể truy cậpđến những tài nguyên khác không được phép

VPN thực ra không phải là công nghệ mới Ngược lại, khái niệmmạng VPN đã được thảo luận từ cách đây khoảng mười lăm năm và đãphát triển qua một vài thế hệ mạng cho đến ngày nay

Khái niệm đầu tiên về VPN được AT&T đưa ra vào khoảng cuốithập niên tám mươi VPN được biết đến như là: “Mạng được định nghĩabởi phần mềm” (Software Defined Network - SDN) SDN là mạng WANvới khoảng cách xa, nó được thiết lập dành riêng cho người dùng SDN dựavào cơ sở dữ liệu truy nhập để phân loại mỗi cố gắng truy nhập vào mạng ởgần hoặc từ xa Dựa vào thông tin, gói dữ liệu sẽ được định tuyến đến đíchthông qua cơ sở hạ tầng chuyển mạch công cộng

Thế hệ thứ hai của VPN xuất hiện cùng với sự ra đời của công nghệX25 và ISDN vào đầu thập kỷ chín mươi Trong một thời gian, mặc dùgiao thức X25 qua mạng ISDN được thiết lập như là một giao thức củaVPN, tuy nhiên, tỉ lệ sai lỗi trong quá trình truyền dẫn vượt quá sự chophép Do đó thế hệ thứ hai của VPN nhanh chóng bị lãng quên trong mộtthời gian ngắn

Sau thế hệ thứ hai, thị trường VPN bị chậm lại cho đến khi côngnghệ Frame Relay và công nghệ ATM (Asynchronous Tranfer Mode) rađời Thế hệ thứ ba của VPN dựa trên công nghệ Frame Relay và công nghệATM Những công nghệ này dựa trên khái niệm chuyển mạch kênh ảo(Virtual Circuit Switching).

Trong thời gian gần đây, thương mại điện tử (E-Commerce) đã trởthành một phương thức thương mại hữu hiệu, những yêu cầu của người sửdụng mạng VPN cũng rõ ràng hơn Người dùng hay các tổ chức mongmuốn một giải pháp mà có thể dễ dàng được thực hiện, thay đổi, quản trị,

có khả năng truy nhập trên toàn cầu và có khả năng cung cấp bảo mật ởmức cao, từ đầu cuối đến đầu cuối Thế hệ gần đây (thế hệ thứ tư) của VPN

là IP-VPN IP-VPN đã đáp ứng được tất cả những yêu cầu này bằng cáchứng dụng công nghệ kết nối ngầm logic

Hầu hết các mạng VPN hiện đều dựa trên tunneling để hình thành

mạng riêng ảo trên nền internet Về cơ bản, tunneling là quá trình xử lý vàđặt toàn bộ các gói tin trong một gói tin khác và gửi đi trên mạng Giaothức sinh ra các gói tin được đặt tại cả hai điểm thu phát gọi là giao tiếp

kênh - tunnel interface, ở giao tiếp đó các gói tin truyền đi và đến.

Kênh thông tin yêu cầu ba giao thức khác nhau:

 Giao thức sóng mang - Carrier protocol: (còn gọi là giao thức

truyền tải) giao thức này sử dụng trên mạng để đưa thông tin về trạng tháiđường truyền

 Giao thức đóng gói - Encapsulating protocol: bao gồm các

giao thức GRE, IPSEC, L2F, PPTP, L2TP cho phép che giấu nội dungtruyền

 Giao thức gói - Passenger protocol: giao thức bao gồm IPX,

NetBeui, IP

Nếu xét trên phương diện các giao thức đóng gói thì có ba giao thứckết nối ngầm logic chính thường được sử dụng trong VPN để đảm bảo độtin cậy cho VPN trong quá trình truyền dẫn gồm:

 Giao thức IPSEC: IPSEC được phát triển bởi IETF, IPSEC là

một tiêu chuẩn mở mà vẫn đảm bảo được tính bảo mật và quyền lợi củangười sử dụng trong quá trình truyền thông qua mạng công cộng Khônggiống như các kỹ thật mã hoá khác, IPSEC hoạt động ở lớp mạng (Networklayer) trong mô hình bảy lớp OSI Do vậy, nó có thể được hoạt động độclập với các ứng dụng khác cùng hoạt động trên mạng Như vậy, mạng vẫn

có thể được bảo mật mà không cần phải thiết lập hay xác định an ninh chotừng ứng dụng riêng

 Giao thức PPTP: Giao thức PPTP được phát triển bởi

Microsoft, 3 COM và Ascend communication Giao thức PPTP được đềxuất như là một giao thức mới có thể thay thế giao thức IPSEC Tuy nhiên,IPSEC vẫn tiếp tục là giao thức kết nối ngầm logic được sử dụng nhiềuhơn PPTP hoạt động ở lớp hai, lớp liên kết dữ liệu (Data Link Layer) trong

mô hình phân lớp OSI và sử dụng bảo mật cho quá trình truyền dẫn củatraffic dựa trên nền Windows

Hình 1.2 Mô hình L2TP

 Giao thức L2TP: Giao thức L2TP được phát triển bởi Cisco,

giao thức L2TP cũng có ý định dùng để thay thế IPSEC Tuy nhiên, IPSECvẫn là giao thức có ưu thế trội hơn trong số các giao thức bảo mật chotruyền thông qua Internet Giao thức L2TP là kết quả của quá trình trộngiữa lớp hai chuyển tiếp và giao thức PPTP, nó sử dụng giao thức điểm tớiđiểm cho quá trình đóng gói các khung dữ liệu để truyền qua mạng X.25,

FR hoặc ATM

Mục tiêu đặt ra đối với công nghệ mạng VPN là thoả mãn được bayêu cầu cơ bản sau:

 Tại mọi thời điểm, các nhân viên của tổ chức có thể truy nhập

từ xa vào nguồn tài nguyên chia sẻ chung trong mạng của cônng ty

 Nối liền các chi nhánh văn phòng

 Khả năng điều khiển được quyền truy nhập của khách hàng,các nhà cung cấp dịch vụ hoặc các đối tượng bên ngoài khác là yêu cầu rấtquan trọng trong hợp tác kinh doanh

Dựa vào những yêu cầu cơ bản trên, hiện nay, VPN đang phát triểnthành hai hướng chính

 Remote Access VPNs

 Site – to – Site VPNs

+) Mạng VPN cục bộ (Intranet VPN)

+) Mạng VPN mở rộng (Extranet VPN)

Hình 1.3 Các loại mạng VPN

1.1.1 Remote Access VPNs

Remote Access VPNs cho phép truy cập bất cứ lúc nào bằngRemote, mobile và các thiết bị truyền thông của nhân viên các chi nhánhkết nối đến tài nguyên mạng của tổ chức

Remote Access VPNs mô tả việc các người dùng ở xa sử dụng cácphần mềm VPN để truy cập vào mạng Intranet của tổ chức thông quagateway hoặc VPN concentrator Vì lý do này, giải pháp thường được gọi

là client/server Trong giải pháp này, nguời dùng thuờng sử dụng các côngnghệ WAN truyền thống để tạo lại các tunnel về mạng HO (HeadOffice)của họ

Một hướng phát triển khá mới trong remote access VPN là dùngwireless VPN, trong đó một nhân viên có thể truy cập về mạng của họthông qua kết nối không dây Trong thiết kế này, các kết nối không dây cầnphải kết nối về một trạm wireless và sau đó về mạng của tổ chức Trong cảhai trường hợp, phần mềm client trên máy PC đều cho phép khởi tạo cáckết nối bảo mật, hay các kết nối đuờng ngầm (tunnel)

Một phần quan trọng của thiết kế này là việc thiết kế quá trình xácthực ban đầu nhằm để đảm bảo là yêu cầu được xuất phát từ một nguồn tincậy Thường thì giai đoạn ban đầu này dựa trên cùng một chính sách về bảo

mật của tổ chức Chính sách này bao gồm: quy trình (procedure), kỹ thuật,server (RADIUS server, TACACS+…).

1.1.2 Site – to – Site VPNs

1.1.2.1 Intranet VPNs

Mạng VPN cục bộ (Intranet VPNs) được sử dụng để liên kết các chinhánh văn phòng ở xa của một tổ chức tới các mạng cục bộ của tổ chức đó.Đối với mạng cục bộ không sử dụng công nghệ VPN (Hình 1.4 ), mỗi site

ở xa kết nối tới mạng cục bộ của tổ chức (Mạng định tuyến đường trục)bằng cách sử dụng bộ định tuyến (Router)

Hình 1.4 Mô hình Intranet VPNs sử dụng bộ định tuyến

Mạng cục bộ được thiết lập bằng cách sử dụng mạng đường trục(Như chỉ ra trên hình 1.4) khá đắt bởi vì ít nhất phải có hai bộ định tuyến

để kết nối khu vực ở xa với mạng cục bộ của tổ chức Hơn nữa, quá trìnhthực hiện bảo dưõng và quản trị mạng đường trục có thể tốn thêm rất nhiềuchi phí phụ thuộc vào dung lượng, traffic của mạng và phụ thuộc vào phạm

vi địa lý của toàn thể mạng Đối với mạng cục bộ càng lớn thì chi phí càngnhiều

Hình 1.5 Mô hình Intranet VPN

Với giải pháp VPN, những chi phí tốn kém cho mạng đường trụcđược thay thế bởi kết nối chi phí thấp thông qua mạng Internet Giải phápVPN có thể giảm tổng giá thành của toàn thể mạng cục bộ Hình 1.5 chỉ ra

mô hình mạng cục bộ dựa trên giải pháp VPN

1.1.2.2 Extranet VPNs

Không giống như giải pháp mạng cục bộ và mạng truy nhập từ xadựa trên VPN, mạng VPN mở rộng không bị cô lập với “thế giới bênngoài” Thực tế, mạng VPN mở rộng cho phép khả năng điều khiển truynhập tới những nguồn tài nguyên mạng cần thiết để mở rộng những đốitượng kinh doanh, như là các đối tác, các khách hàng, và các nhà cung cấp,những người mà thi hành các quy định chính của tổ chức

Hình 1.6 Mạng mở rộng truyền thống

Hình 1.6 chỉ ra phương pháp kết nối truyền thống trong mạng mởrộng Mạng mở rộng truyền thống có giá thành quá cao bởi vì tất cả mạngriêng biệt nằm trong mạng cục bộ của tổ chức, bắt buộc phải hoàn toàntương thích với mạng mở rộng Như vậy quá trình thực hiện và quá trìnhquản trị các mạng khác nhau trong mạng mở rộng là rất phức tạp Cũngnhư cần thiết phải có một số lượng lớn nhân viên kỹ thuật để bảo trì vàquản lý cho mạng phức tạp này Hơn nữa, đối với mạng này thường gặpkhó khăn trong việc mở rộng bởi vì việc mở rộng mạng liên quan đến toànthể mạng cục bộ và ảnh hưởng tới các kết nối trong mạng mở rộng khác

Đó là không ít những vấn đề gặp phải khi kết nối mạng cục bộ với mạng

mở rộng, quá trình thiết kế mạng là một vấn đề cực kỳ khó khăn đối vớicác nhà thiết kế và quản trị mạng

Mạng VPN mở rộng (Hình 1.7) được xem là dễ dàng thiết lập và cóchi phí hiệu quả hơn so với mạng truyền thống như trình bày ở trên

Những ưu điểm chính của mạng VPN mở rộng so với mạng mở rộngtruyền thống bao gồm:

 Chi phí cho mạng VPN mở rộng thấp hơn rất nhiều so vớimạng truyền thống

 Dễ dàng thiết lập, bảo trì và dễ dàng thay đổi đối với mạngđang hoạt động

 Bởi vì mạng VPN mở rộng được xây dựng dựa trên mạngInternet do vậy có nhiều cơ hội trong việc cung cấp dịch vụ và chọn lựagiải pháp phù hợp với các nhu cầu của mỗi tổ chức hơn

 Bởi vì các kết nối Internet được bảo trì bởi nhà cung cấp dịch

vụ Internet (ISP), nên giảm được số lượng nhân viên kỹ thuật hỗ trợ mạng,

do vậy giảm được chi phí vận hành của toàn mạng

Bên cạnh những ưu điểm ở trên giải pháp mạng VPN mở rộng cũngcòn những nhược điểm đi cùng như:

 Khả năng bảo mật thông tin, mất dữ liệu vẫn tồn tại

 Trường hợp truyền dẫn khối lượng lớn dữ liệu, như là đaphương tiện, với yêu cầu truyền dẫn tốc độ cao và đảm bảo thời gian thực,

là thách thức lớn trong môi trường Internet

 Làm tăng khả năng rủi ro đối với các mạng cục bộ của tổchức

Hinh 1.7 Mô hình Extranet VPNs

1.2 Cấu trúc mạng VPN

Cấu trúc phần cứng chính của VPN bao gồm: VPN server (VPNservers), VPN client (VPN clients), bộ định tuyến VPN (VPN routers),cổng kết nối VPN (VPN Gateways) và bộ tập trung (Concentrator).

Hình 1.8 Cấu trúc phần cứng của VPN

1.2.1 Máy chủ VPN (VPN servers)

Nhìn chung, VPN servers là thiết bị mạng dành riêng để chạy phần

mềm máy chủ (software servers) Dựa vào những yêu cầu của tổ chức, màmột mạng VPN có thể có một hay nhiều server

Những chức năng chính của VPN server:

 Tiếp nhận những yêu cầu kết nối vào mạng VPN

 Thoả thuận các yêu cầu và các thông số kết nối vào mạng

 Tiếp nhận dữ liệu từ client và chuyển dữ liệu yêu cầu về client

 VPN server đóng vai trò một điểm cuối trong kết nối ngầmlogic kết nối VPN Điểm cuối còn lại được xác lập bởi người dùng cuối

VPN server phải được hỗ trợ hai hoặc nhiều hơn hai cạc (Card) đápứng mạng Một hoặc nhiều hơn một cạc đáp ứng được sử dụng để kết nốichúng tới mạng mở rộng (Intranet) của tổ chức, trong khi cạc còn lại kếtnối chúng tới mạng Internet

Chú ý: Một VPN server cũng có thể hoạt động như là một Gateway

hay như một bộ định tuyến (Router) trong trưòng hợp số yêu cầu hoặc sốngười dùng trong mạng nhỏ (nhỏ hơn 20) Trong trường hợp VPN serverphải hỗ trợ nhiều người sử dụng hơn, mà vẫn hoạt động như một cổng kếtnối hoặc một bộ định tuyến thì VPN server sẽ bị chạy chậm hơn, và gặpkhó khăn trong vấn đề bảo mật thông tin cũng như bảo mật dữ liệu lưu trữtrong máy chủ

Với nhu cầu ngày càng tăng về số lượng nhân viên làm việc di độngtrong một tổ chức thì những người dùng này (VPN client) bắt buộc phải có

hồ sơ cập nhật vị trí Những người dùng này có thể sử dụng VPN để kết nốiđến mạng cục bộ của tổ chức Những VPN client được phân loại thành:

 Những người làm việc ở xa sử dụng mạng Internet hoặc mạngcông cộng để kết nối đến tài nguyên của tổ chức từ nhà

 Những người dùng di động sử dụng máy tính xách tay để kếtnối vào mạng cục bộ của tổ chức thông qua mạng công cộng, để có thể truycập vào hòm thư điện tử hoặc các nguồn tài nguyên trong mạng mở rộng

 Những người quản trị mạng từ xa, họ dùng mạng công cộngtrung gian, như là mạng Internet, để kết nối tới những site ở xa để quản lý,giám sát, sửa chữa hoặc cài đặt dịch vụ hay các thiết bị

1.2.3 Bộ định tuyến VPN (VPN Router)

Trong trường hợp thiết lập một mạng VPN nhỏ, thì VPN server cóthể đảm nhiệm luôn vai trò của bộ định tuyến Tuy nhiên, trong thực tế thìcách thiết lập đó không hiệu quả trong trường hợp mạng VPN lớn - mạngphải đáp ứng một số lượng lớn các yêu cầu Trong trường hợp này, sử dụng

bộ định tuyến VPN riêng là cần thiết Nhìn chung, bộ định tuyến là điểmcuối của một mạng riêng trừ khi nó được đặt sau “bức tường lửa”(Firewall) Vai trò của bộ định tuyến VPN là tạo kết nối từ xa có thể đạtđược trong mạng cục bộ Do vậy, bộ định tuyến là thiết bị chịu trách nhiệmchính trong việc tìm tất cả những đường đi có thể, để đến được nơi đếntrong mạng, và chọn ra đường đi ngắn nhất có thể, cũng giống như trongmạng truyền thống

Mặc dù những bộ định tuyến thông thường cũng có thể sử dụng đượctrong mạng VPN, nhưng theo khuyến nghị của các chuyên gia thì sử dụng

bộ định tuyến VPN là khả quan hơn Bộ định tuyến VPN ngoài chức năngđịnh tuyến còn thêm các chức năng bảo mật và đảm bảo mức chất lượngdịch vụ (QoS) trên đường truyền Ví dụ như bộ định tuyến truy nhậpmodun 1750 của Cisco được sử dụng rất phổ biến

Giống như Hub là thiết bị được sử dụng trong mạng truyền thống, bộtập trung VPN (VPN concentrators) được sử dụng để thiết lập một mạngVPN truy cập từ xa có kích thước nhỏ Ngoài việc làm tăng công suất và sốlượng của VPN, thiết bị này còn cung cấp khả năng thực hiện cao và nănglực bảo mật cũng như năng lực xác thực cao Ví dụ như bộ tập trung sêri

3000 và 5000 của Cisco hay bộ tập trung VPN của Altiga là các bộ tậptrung được sử dụng khá phổ biến

Hình 1.9 Bộ định tuyến truy nhập Cisco 1750

1.2.4 Cổng kết nối VPN (VPN Gateways)

Cổng kết nối IP (IP gateway) là thiết bị biên dịch những giao thức

không phải là giao thức IP sang giao thức IP và ngược lại Như vậy, nhữngcổng kết nối này cho phép một mạng riêng hỗ trợ chuyển tiếp dựa trên giaothức IP Những thiết bị này có thể là những thiết bị mạng dành riêng,nhưng cũng có thể là giải pháp dựa trên phần mềm Với thiết bị phần cứng,cổng kết nối IP nói chung được thiết lập ở biên của mạng cục bộ của tổchức Còn là giải pháp dựa trên phần mềm, thì cổng kết nối IP được cài đặttrên mỗi máy chủ (Server) và được sử dụng để chuyển đổi các traffic từgiao thức không phải là giao thức IP sang giao thức IP và ngược lại Ví dụnhư phần mềm Novell’s Border Manager

1.3 Mô hình mạng VPN

Có thể chia mô hình mạng VPN ra thành hai loại chính, đó là:

 Customer-based VPN (còn gọi là overlay VPN): là VPN đượccấu hình trên các thiết bị của khách hàng sử dụng các giao thức đường hầmxuyên qua mạng công cộng Nhà cung cấp dịch vụ sẽ bán các mạch ảo giữacác site của khách hàng như là đường kết nối leased line

 Network-based VPN (còn gọi là peer - to - peer VPN ): làVPN được cấu hình trên các thiết bị của nhà cung cấp dịch vụ và đượcquản lý bởi nhà cung cấp dịch vụ Nhà cung cấp dịch vụ và khách hàng traođổi thông tin định tuyến lớp 3, nhà cung cấp sắp đặt dữ liệu các site khách

hàng vào đường đi tối ưu nhất mà không cần có sự tham gia của kháchhàng

1.3.1 Overlay VPN1

Mô hình overlay VPN ra đời từ rất sớm và được triển khai dướinhiều công nghệ khác nhau Ban đầu, VPN được xây dựng bằng cách sửdụng các đường leased line để cung cấp kết nối giữa khách hàng ở nhiều vịtrí khác nhau Khách hàng mua dịch vụ leased line của nhà cung cấp.Đường leased line này được thiết lập giữa các site của khách hàng cần kếtnối Đường này là đường dành riêng cho khách hàng

Cho đến những năm 1990, Frame Relay được giới thiệu FrameRelay được xem như là một công nghệ VPN vì nó đáp ứng kết nối chokhách hàng như dịch vụ leased line, chỉ khác ở chỗ là khách hàng khôngđược cung cấp các đường dành riêng cho mỗi khách hàng, mà khách hàng

sử dụng một đường chung nhưng được chỉ định các mạch ảo Các mạch ảonày sẽ đảm bảo lưu lượng cho mỗi khách hàng là riêng biệt Mạch ảo đượcgọi là PVC (Permanent Virtual Circuit) hay SVC (Switched VirtualCircuit) Cung cấp mạch ảo cho khách hàng nghĩa là nhà cung cấp dịch vụ

đã xây dựng một đường hầm riêng cho lưu lượng khách hàng chảy quamạng dùng chung của nhà cung cấp dịch vụ Sau này công nghệ ATM rađời, về cơ bản ATM cũng hoạt động giống như Frame Relay nhưng đápứng tốc độ truyền dẫn cao hơn

Khách hàng thiết lập việc liên lạc giữa các thiết bị đầu phía kháchhàng CPE với nhau qua kênh ảo Giao thức định tuyến chạy trực tiếp giữacác router khách hàng thiết lập mối quan hệ cận kề và trao đổi thông tinđịnh tuyến với nhau Nhà cung cấp dịch vụ không hề biết đến thông tinđịnh tuyến của khách hàng Nhiệm vụ của nhà cung cấp dịch vụ trong môhình này chỉ là đảm bảo vận chuyển dữ liệu điểm-điểm giữa các site củakhách hàng mà thôi

Cam kết về QoS trong mô hình overlay VPN thường là cam kết vềbăng thông trên một VC, giá trị này được gọi là CIR (CommittedInformation Rate) Băng thông có thể sử dụng được tối đa trên một kênh ảo

đó, giá trị này được gọi là PIR (Peak Information Rate) Việc cam kết nàyđược thực hiện thông qua các thống kê tự nhiên của dịch vụ lớp 2 nhưng lạiphụ thuộc vào chiến lược của nhà cung cấp Điều này có nghĩa là tốc độcam kết không thật sự được bảo đảm mặc dù nhà cung cấp có thể đảm bảotốc độ nhỏ nhất (Minimum Information Rate – MIR) Cam kết về băngthông cũng chỉ là cam kết về hai điểm trong mạng khách hàng Nếu không

có ma trận lưu lượng đầy đủ cho tất cả các lớp lưu lượng thì khó có thểthực hiện cam kết này cho khách hàng trong mô hình overlay Và thật khó

để cung cấp nhiều lớp dịch vụ vì nhà cung cấp dịch vụ không thể phân biệtđược lưu lượng ở giữa mạng Để làm được việc này bằng cách tạo ra nhiềukết nối (kết nối full-mesh), như trong mạng Frame Relay hay ATM là cócác PVC giữa các site khách hàng Tuy nhiên, kết nối full-mesh thì chỉ làmtăng thêm chi phí của mạng

Mô hình VPN overlay có một số ưu điểm sau:

 Đó là mô hình dễ thực hiện, nhìn theo quan điểm của kháchhàng và của cả nhà cung cấp dịch vụ

 Nhà cung cấp dịch vụ không tham gia vào định tuyến kháchhàng trong mạng VPN overlay Nhiệm vụ của họ là vận chuyển dữ liệuđiểm-điểm giữa các site của khách hàng, việc đánh dấu điểm tham chiếugiữa nhà cung cấp dịch vụ và khách hàng sẽ quản lý dễ dàng hơn

Hạn chế của mô hình overlay VPN:

 Nó thích hợp trong các mạng không cần độ dự phòng với ítsite trung tâm và nhiều site ở đầu xa, nhưng lại khó quản lý nếu như cầnnhiều cầu hình mắc lưới

 Việc cung cấp càng nhiều VC đòi hỏi phải có sự hiểu biết cặn

kẽ về loại lưu lượng giữa hai site với nhau mà điều này thường không thật

sự thích hợp

 Khi thực hiện mô hình này với các công nghệ lớp 2 thì chỉ tạo

ra một lớp mới không cần thiết đối với các nhà cung cấp hầu hết chỉ dựatrên IP, do đó làm tăng thêm chi phí hoạt động

1.3.2 Peer – to – Peer VPN

Để giải quyết các hạn chế của mô hình VPN overlay và để cho nhàcung cấp dịch vụ cung cấp cho khách hàng việc vận chuyển dữ liệu tối ưuqua mạng backbone, mô hình VPN ngang cấp ra đời Với mô hình này nhàcung cấp dịch vụ tham gia vào hoạt động định tuyến của khách hàng Tức

là router biên mạng nhà cung cấp (Provider Edge - PE) thực hiện trao đổithông tin định tuyến trực tiếp với router CE của khách hàng

Mô hình VPN ngang cấp giải quyết được hạn chế của VPN overlay:

 Việc định tuyến đơn giản hơn (nhìn từ phía khách hàng) khirouter khách hàng chỉ trao đổi thông tin định tuyến với một hoặc một vàirouter PE Trong khi ở mô hình overlay VPN, số lượng router láng giềng

có thể phát triển với số lượng lớn

 Định tuyến giữa các site khách hàng luôn luôn được tối ưu vìnhà cung cấp dịch vụ biết topology mạng khách hàng và do đó có thể thiếtlập định tuyến tối ưu cho các route của họ

 Việc cung cấp băng thông đơn giản hơn bởi vì khách hàng chỉphải quan tâm đến băng thông đầu vào và ra ở mỗi site mà không cần phảichính xác toàn bộ lưu lượng từ site này đến site kia (site-to-site) như môhình overlay VPN

 Có khả năng mở rộng vì nhà cung cấp dịch vụ chỉ cần thêmvào một site và thay đổi cấu hình trên Router PE Trong mô hình overlay,

nhà cung cấp dịch vụ phải tham gia vào toàn bộ tập hợp các VC từ site nàyđến site khác của VPN khách hàng

Nhà cung cấp dịch vụ triển khai hai ứng dụng khác sử dụng VPNngang cấp: Phương pháp chia sẽ router (shared router): Router dùng chung,tức là khách hàng VPN chia sẻ cùng router biên mạng nhà cung cấp(provider edge – PE) Ở phương pháp này, nhiều khách hàng có thể kết nốiđến cùng router PE

Hình 1.10 Mô hình VPN ngang cấp sử dụng router dùng chung

Trên router PE phải cấu hình access-list cho mỗi interface PE-CE đểđảm bảo chắc chắn sự cách ly giữa các khách hàng VPN, để ngăn chặnVPN của khách hàng này thực hiện các tấn công từ chối dịch vụ (DoS –Denial of Service) vào VPN của khách hàng khác Nhà cung cấp dịch vụchia mỗi phần trong không gian địa chỉ của nó cho khách hàng và quản lýviệc lọc gói tin trên Router PE

Phương pháp router P dành riêng (dedicated router): là phương pháp

mà khách hàng VPN có router PE dành riêng Trong phương pháp này, mỗikhách hàng VPN phải có router PE dành riêng và do đó chỉ truy cập đếncác route trong bảng định tuyến của router PE đó

Hình 1.11 Mô hình VPN ngang cấp sử dụng router dành riêng

Mô hình router dành riêng sử dụng các giao thức định tuyến để tạo rabảng định tuyến trên một VPN trên Router PE Bảng định tuyến chỉ có cácroute được quảng bá bởi khách hàng VPN kết nối đến chúng, kết quả là tạo

ra sự cách ly tuyệt vời giữa các VPN Định tuyến trên router dành trước cóthể được thực hiện như sau:

 Giao thức định tuyến chạy giữa PE và CE là bất kì

 BGP là giao thức chạy giữa PE và PE

 PE phân phối các route nhận được từ CE vào BGP, đánh dấuvới ID (Identification) của khách hàng, và truyền các route đến router P,router P sẽ có tất cả các route từ tất cả VPN của khách hàng

 Router P chỉ truyền các route với BGP community thích hợpđến Router PE Do đó Router PE chỉ nhận các route từ Router CE trongVPN của chúng

So sánh các phương pháp của mô hình VPN ngang cấp:

 Phương pháp dùng chung router rất khó duy trì vì nó yêu cầucần phải có cấu hình access-list dài và phức tạp trên mỗi interface củarouter Còn phương pháp dùng router riêng, mặc dù có vẻ đơn giản về cấuhình và dễ duy trì hơn nhưng nhà cung cấp dịch vụ phải bỏ ra chi phí lớn

để đảm bảo được phục vụ tốt cho số lượng lớn khách hàng

 Tất cả khách hàng dùng chung không gian địa chỉ IP, nên họphải sử dụng hoặc là địa chỉ thật trong mạng riêng (private network) của họhoặc là phụ thuộc vào nhà cung cấp dịch vụ để có được địa chỉ IP Trong cảhai trường hợp, kết nối một khách hàng mới đến dịch vụ VPN ngang cấpđòi hỏi phải đăng kí lại địa chỉ IP trong mạng khách hàng

 Khách hàng không thể thêm default route vào VPN Giới hạnnày đã ngăn chặn việc định tuyến tối ưu và cấm khách hàng truy cậpInternet từ nhà cung cấp dịch vụ khác

Ưu điểm của mô hình VPN peer-to-peer:

 VPN ngang cấp cho ta định tuyến tối ưu giữa các site kháchhàng mà không cần phải cấu hình hay thiết kế gì đặc biệt

 Dễ mở rộng

Hạn chế của mô hình VPN peer-to-peer:

 Nhà cung cấp dịch vụ phải đáp ứng được định tuyến kháchhàng cho đúng và đảm bảo việc hội tụ của mạng khách hàng khi có lỗi liênkết

 Router P của nhà cung cấp dịch vụ phải mang tất cả các routecủa khách hàng

 Nhà cung cấp dịch vụ cần phải biết rõ chi tiết về định tuyến

IP, điều này thực sự không cần thiết đối với nhà cung cấp từ xưa đến nay

Kết luận: Chương 1 đã nghiên cứu được hầu hết những khái niệm,

công nghệ và mô hình của dịch vụ VPN truyền thống Tuy nhiên, bên cạnh

ưu điểm thì cả hai mô hình VPN: Overlay VPN và Peer-to-Peer VPN đềutồn tại những nhược điểm chưa khắc phục được Việc định tuyến, chuyểnmạch, thời gian trễ còn chưa đạt mức tối ưu Để giải quyết vấn đề này, cầnphải sử dụng một công nghệ và mô hình mạng mới với nhiều ưu điểm hơn

so với mô hình IP truyền thống, đó là công nghệ chuyển mạch nhãn đa giaothức (MPLS)

CHƯƠNG II CHUYỂN MẠCH NHÃN ĐA GIAO THỨC

Chuyển mạch nhãn đa giao thức (Multi-Protocol Label SwitchMPLS) là một công nghệ mạng mới với nhiều tính năng vượt trội so vớicông nghệ IP truyền thống Việc định tuyến, chuyển mạch, phân phối nhãn,quảng bá gói tin trong MPLS có nhiều khác biệt so với trong mạng IPtruyền thống Xu thế trên thế giới hiện này là chuyển đổi dần sang kiến trúcmạng thế hệ tiếp theo NGN mà trong đó hạ tầng cơ sở sử dụng công nghệMPLS Hiện tại ở Việt Nam, Bộ Công An, Cục Bưu Điện Trung Ương vàCMC-TI đang trong quá trình xây dựng hệ thống MPLS của mình và dầnchuyển sang kiến trúc NGN Chương 2 tập trung nghiên cứu những kháiniệm và cơ chế họat động của MPLS từ cơ bản đến nâng cao bao gồm: cơchế định tuyến, cơ chế chuyển mạch, cơ chế phân phối nhãn, cơ chế quảng

bá gói tin, cơ chế phát hiện thiết bị lân cận

2.1 Hạn chế của phương pháp định tuyến truyền thống

Hiện nay phương thức định tuyến chủ đạo trong mạng là IP Phươngthức IP truyền thống có các đặc điểm sau:

 Các giao thức định tuyến được sử dụng để phân phối và traođổi thông tin định tuyến lớp 3

 Định tuyến và truyền gói tin chủ yếu dựa trên địa chỉ IP đích

 Tại mọi điểm trong mạng thì các thiết bị định tuyến ( router,switch layer 3 … ) đều phải thực hiện tra trong bảng định tuyến của mìnhkhi nhận được gói tin cần truyền

Bên cạnh đó, những phương thức chuyển mạch chủ yếu như ATM,Frame Relay cũng có những đặc điểm sau:

 Các layer 2 path (ví dụ virtual circuit) phải được cấu hìnhbằng tay trên các thiết bị chuyển mạch

 Các thiết bị lớp 2 không có khả năng định tuyến và tìm đườngnhư thiết bị lớp 3, do đó đường đi sẽ không tối ưu

Hình 2.1 Update thông tin và tìm đường dựa theo IP

Hình 2.2 Chuyển mạch IP over ATM

Với công nghệ định tuyến và chuyển mạch truyền thống, những lợiích của việc điều khiển lưu lượng (TE_ Traffic Engineering) và chất lượngdịch vụ (QoS _ Quality of Services) không được tận dụng tối đa:

 Do việc định tuyến và tìm đường đi của các gói tin dựa chủyếu vào thông tin địa chỉ IP đích cho nên khả năng phân loại để quản lýtheo chất lượng dịch vụ rất khó khăn

 Việc tìm đường đi bằng các giao thức định tuyến truyền thốngthường không có khả năng hỗ trợ cơ chế tự động truyền gói tin theo cácđường có metric khác nhau ( 1 số giao thức có hỗ trợ tuy nhiên không linhhoạt )

Như trong mô hình Hình 2.3 thì thông tin giữa site A và site B chủyếu sử dụng đường chính Để sử dụng cả đường phụ thì phải tác động vàothông qua việc định tuyến dựa trên chính sách

Hình 2.3 Ví dụ về chọn đường giữa các địa điểm

Như trong mô hình Hình 2.3 thì thông tin giữa site A và site B chủyếu sử dụng đường chính Để sử dụng cả đường phụ thì phải tác động vàothông qua việc định tuyến dựa trên chính sách

Để khắc phục những nhược điểm của phương pháp định tuyến vàchuyển mạch truyền thống như trên, phương pháp chuyển mạch nhãn đagiao thức đã ra đời và đáp ứng được những nhu cầu đó

Trong mạng sử dụng công nghệ MPLS, các gói tin sẽ được gán thêm

1 nhãn Dựa vào các nhãn được gán này, các gói tin sẽ được truyền đi trongmạng với tốc độ chuyển mạch cao, cùng với khả năng điều khiển theo cácchính sách mong muốn

2.2.1.2 Sự phát triển của MPLS

Năm 1996: Tổ chức Ipsilon đưa ra IP Switching, với ưu điểm củamình thì công nghệ này hứa hẹn khả năng phát triển rất tốt, tuy nhiên sựthiếu sót trong việc hỗ trợ QoS là 1 thiếu sót lớn ngăn chặn sự phát triểncủa nó

Hình 2.4 Sự phát triển của MPLS

Năm 1997: Đối mặt với sự phát triển của các router tốc độ cao và IPSwitching của Ipsilon, Cisco đã đưa ra công nghệ Tag Switching Đây làtiền thân của MPLS Cisco sau đó đã đề xuất lên IETF để tiêu chuẩn hóa vàphát triển hơn nữa công nghệ này

Từ 1997-2001: Các kỹ thuật trong công nghệ MPLS ngày càng hoànthiện và phát triển mạnh mẽ

2.2.2 Ưu điểm của MPLS so với các công nghệ trước đó

So với các công nghệ chuyển mạch trước đây, thì MPLS có các ưuđiểm đó là: Tốc độ chuyển mạch cao

Trước đây, khi các router muốn thực hiện chuyển mạch gói tin IP mà

nó nhận được thì router sẽ phải xem địa chỉ IP đích trong gói tin đó và thựchiện tra bảng định tuyến của mình để tìm thông tin đến mạng đích Quátrình chuyển mạch sử dụng CPU tra bảng định tuyến sẽ rất phức tạp vàchậm khi bảng định tuyến của router lớn Vì vậy sẽ làm cho quá trìnhtruyền gói tin IP bị trễ nhiều So với cách chuyển mạch trước đây thìchuyển mạch gói tin nhờ thông tin nhãn chứa trong gói tin đó sẽ nhanh hơnrất nhiều do việc chuyển mạch nhãn được thực hiện nhanh và dễ dàng nhờchuyển mạch bằng phần cứng

Hình 2.5 Cơ chế truyền các gói tin trong MPLS

Tuy nhiên với những công nghệ cải tiến hiện nay, thì với các routerchuyển mạch IP thông thường, việc chuyển mạch gói tin đã dựa trên phầncứng như ASIC - chứa các thông tin chuyển mạch CPU lúc này sẽ chỉđược sử dụng để tính toán các thông tin định tuyến Với chuyển mạch từphần cứng thì tốc độ chuyển mạch các gói tin IP rất cao (lên tới hàng chụcGbps) tương đương với chuyển mạch nhãn Do đó ứng dụng MPLS đểnâng cao tốc độ chuyển mạch hiện không phải là ưu điểm chính và chủ yếuđưa MPLS vào ứng dụng trong mạng hiện nay

nó IP không chỉ truyền dữ liệu và thậm chí cả thoại nữa Với sự kết hợpcủa MPLS với IP, thì khả năng truyền của mạng được mở rộng rất nhiều.Bằng cách gán nhãn cho các gói tin cho phép thực hiện truyền các giaothức khác nhau ngoài IP thông qua MPLS Công nghệ MPLS cho phéptruyền IPv4, IPv6, Ethernet, HDLC, PPP, và các công nghệ lớp 2 khác

Hình 2.6 Frame Relay trên MPLS

Hình 2.7 ATM trên MPLS

 Không cần sử dụng giao thức BGP trong các thiết bị lõi

Với mạng IP trước đây, các router khi muốn truyền 1 gói tin đi thì sẽphải sử dụng địa chỉ đích trong gói tin, sau đó so sánh với bảng định tuyếncủa mình Nếu các gói tin này được gửi tới các địa chỉ đích nằm ngoàimạng của nhà cung cấp như mạng nhà cung cấp khác hoặc internet, thì đểthực hiện được điều này, các tuyến bên ngoài cũng phải được học bởi tất cảcác router trong mạng Giao thức định tuyến phải sử dụng đó là BGP, vì chỉ

có giao thức này mới có thể chứa và trao đổi thông tin định tuyến về cácmạng bên ngoài Điều này khiến các router ở trong mạng lõi cũng phảichạy BGP, dẫn tới các router trong mạng lõi cũng sẽ tốn nhiều CPU và bộnhớ để tính toán và lưu số lượng thông tin định tuyến lớn

Với công nghệ MPLS, các router khi muốn truyền 1 gói tin đi sẽ phải

sử dụng thông tin về nhãn trong gói tin đó Các router trong mạng lõi chỉcần lưu giữ thông tin định tuyến trong nội bộ mạng của nhà cung cấp màkhông cần lưu giữ thông tin về các mạng bên ngoài Vì vậy các router trongmạng lõi sẽ không cần sử dụng giao thức BGP

Hình 2.8 Thiết bị mạng lõi không cần sử dụng BGP

Lúc này trong mạng của nhà cung cấp chỉ có các router biên sử dụnggiao thức BGP và trao đổi thông tin định tuyến về các tuyến bên ngoài vớicác router biên khác

 Với MPLS, các thiết bị lớp 2 cũng có khả năng định tuyến kéotheo khả năng chọn đường đi tối ưu

Hình 2.9 MPLS trong mô hình IP over ATM

 Quá trình điều khiển lưu lượng trong MPLS rất linh hoạt dựatrên nhiều tham số: QoS, CoS, nguồn, tình trạng mạng … Đồng thời việctruyền gói tin qua các đường đi khác nhau có thể thực hiện được dễ dàng

Hình 2.10 Traffic Engineering với MPLS

 Có các cơ chế để quản lý và điều khiển lưu lượng thông tingiữa các thiết bị phần cứng khác nhau, thậm chí là giữa các ứng dụng khácnhau

 Chế độ hoạt động khung: Là chế độ hoạt động khi MPLS được

sử dụng trong mạng không phải là mạng chuyển mạch ATM

 Chế độ hoạt động tế bào: Là chế độ hoạt động khi MPLS được

sử dụng trong mạng chuyển mạch ATM

2.3.1.2 Nhãn (Label)

Label – nhãn là yếu tố nền tảng trong MPLS Nhãn là một đoạnthông tin được đưa vào giữa thông tin của lớp 2 và lớp 3 trong cấu trúc góitin của frame-mode MPLS

Trường experimental 3 bit thể hiện mức ưu tiên của gói tin Trườngnày được sử dụng chủ yếu trong ứng dụng QoS

 Trường Stack 1 bit chỉ ra đây có phải là nhãn cuối cùng tronggói tin hay chưa Bit 1 thể hiện đây là nhãn cuối cùng Bit 0 thể hiện saunhãn này còn nhãn khác

 Trường TTL 8 bit dùng để chống lặp vô hạn trong quá trìnhtruyền

2.3.1.3 FEC (Forwarding Equivalence Class)

FEC nhóm chuyển tiếp tương đương – là một nhóm các gói tin đượctruyền đi theo một chính sách giống nhau Tất cả các gói tin trong nhómnày sẽ được đối xử giống nhau trong quá trình truyền Các gói tin trongmột FEC được gán nhãn giống nhau tại những vị trí giống nhau trongmạng Tuy nhiên các gói tin có nhãn giống nhau không nhất thiết thuộccùng FEC vì có thể giá trị trong trường EXP khác nhau, do đó chính sáchdành cho các gói tin đó sẽ khác nhau FEC của một gói tin sẽ được quyếtđịnh bởi router biên ở đầu vào Một vài ví dụ của FEC đó là:

 Các gói tin có cùng địa chỉ mạng đích

 Gói tin có cùng chính sách truyền dựa trên trường EXP

 Khung lớp 2 truyền qua mạng MPLS với cùng VC hoặc cổngtrên router biên đầu vào và truyền tới cùng VC hoặc cổng trên router biênđầu ra

 Các gói tin có địa chỉ IP đích cùng đưa tới một router đầu ra(BGP next-hop) trong mạng sử dụng BGP

Sử dụng FEC ta có thể định ra các chính sách, sau đó gán nhãn đểđiều khiển các gói tin theo chính sách mong muốn

2.3.1.4 Label Stack (Chồng nhãn)

Hình 2.14 Label Stack

Giá trị chỉ thị giao thức (PID - Protocol Identifier) trong phần đầucủa khung lớp 2 chỉ ra rằng bắt đầu phần tải của khung sẽ là nhãn Tiếptheo trong mỗi nhãn, giá trị của bit S (stack) chỉ ra đó đã là nhãn cuối cùngchưa Các router trong mạng lõi chỉ sử dụng nhãn ở trên cùng để chuyển

mạch, còn các nhãn phía sau sẽ dùng trong các mục đích khác Thôngthường, 1 gói tin được gán 1 nhãn Tuy nhiên trong 1 số ứng dụng, 1 gói tin

có thể được gán nhiều nhãn:

 MPLS VPN: các gói tin được gán 2 nhãn, trong đó nhãn đầuchỉ ra router biên cần tới, còn nhãn sau xác định VPN

 MPLS TE: có từ 2 nhãn trở lên, trong đó nhãn đầu tiên sẽ chỉ

ra điểm cuối của đường hầm điều khiển lưu lượng, nhãn còn lại chỉ ra đích

 MPLS VPN kết hợp với MPLS TE: có từ 3 nhãn trở lên

2.3.1.5 Các chế độ hoạt động của MPLS

LSR là các router nằm bên trong mạng lõi của nhà cung cấp dich vụ.LSR chuyển mạch các gói tin dựa vào thông tin nhãn trong gói tin đó LSRkhông có bất kỳ kết nối nào tới các thiết bị của khách hàng LSR thườngđược gọi là P router Edge LSR là các router nằm ở biên giữa mạng lõi củanhà cung cấp dịch vụ và mạng của khách hàng LSR thường được gọi là PErouter

Hình 2.15 Các LSR và Edge LSR

LSR gồm 2 loại:

 Ingress LSR: là các router nhận các gói tin IP từ mạng củakhách hàng và thực hiện việc gán nhãn cho các gói tin đó

 Egress LSR: là các router nhận các gói tin IP từ trong mạng lõi

và thực hiện việc bóc nhãn cho các gói tin đó

Hình 2.16 LSR và Edge LSR trong Frame-mode MPLS

Hình 2.17 LSR và Edge LSR trong Cell-mode MPLS

Trong chế độ hoạt động khung, các LSR cũng có thể trở thànhingress LSR hoặc egress LSR và thực hiện cả 3 chức năng trên Ngược lại,trong chế độ hoạt động tế bào, các ATM-LSR chỉ có thể “swap” nhãn tronggói tin, 2 chức năng còn lại chỉ có các Edge LSR ở biên thực hiện

Hình 2.18 MPLS Forwarding trong frame-mode

Hình 2.19 MPLS Forwarding trong cell-mode

Do các ATM-LSR trong lõi của chế độ hoạt động tế bào chỉ có thểthay đổi nhãn chứ không gán hoặc bỏ nhãn, do đó gói tin IP không thểđược truyền trong mạng lõi, chỉ có các gói tin được gán nhãn mới có thểtruyền được

Bảng 2 1 Tóm tắt chức năng các loại router

LSR Chuyển tiếp các gói tin dán nhãn, thay đổi nhãn của gói tin đó Edge-LSR

ATM-LSR Chạy giao thức MPLS ở mặt phẳng điều khiển để cài đặt các

mạch ảo ATM Truyền các gói tin gán nhãn như các tế bàoATM

2.3.1.7 LSP

Hình 2.20 LSP từ router A tới rotuer I trong mạng MPLS

LSP - đường chuyển mạch nhãn, là tuyến đường được tạo từ đầu vàođến đầu ra của mạng MPLS (hoặc một đoạn nào đó trong mạng MPLS)dùng để chuyển tiếp gói tin của một FEC sử dụng cơ chế chuyển đổi nhãn(label-swapping forwarding)