sử dụng công nghệ mạch nhãn mpls và kết nối site to site vpn

tìm hiểu công nghệ mpls và kỹ thuật vpn sử dụng để kết nối 2 chi nhánh hoặc nhiều trên nền chuyển mạch nhãn mpls nhằm đem lại lợi ích và sự tiện lợi cao nhất cho chuyên viên quản trị cũng như công ty

BỘ GIÁO DỤC VÀ ĐÀO TẠO

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TP HCM

ĐỒ ÁN/ KHÓA LUẬN TỐT NGHIỆP

TP Hồ Chí Minh, <2014>

MỞ ĐẦU

Trong những năm qua, ngành công nghiệp viễn thông đã và đang tìm một phương thứcchuyển mạch có thể phối hợp ưu điểm của IP và ATM để đáp ứng nhu cầu phát triển của mạnglưới trong giai đoạn tiếp theo Đã có nhiều nghiên cứu được đưa ra trong đó có việc nghiên cứucông nghệ chuyển mạch nhãn MPLS

Công nghệ MPLS là kết quả phát triển của công nghệ chuyển mạch IP sử dụng cơ chếhoán đổi nhãn như của ATM để tăng tốc độ truyền gói tin mà không cần thay đổi các giao thứcđịnh tuyến của IP MPLS tách chức năng của IP thành hai phần riêng biệt: chức năng chuyển góitin và chức năng điều khiển Bên cạnh đó, MPLS cũng hỗ trợ việc quản lý dễ dàng hơn

Trong những năm gần đây, MPLS đã được lựa chọn để đơn giản hoá và tích hợp mạngtrong mạng lõi Nó cho phép các nhà khai thác giảm chi phí, đơn giản hoá việc quản lý lưulượng và hỗ trợ các dịch vụ Internet Quan trọng hơn cả, nó là một bước tiến mới trong việc đạtmục tiêu mạng đa dịch vụ với các giao thức gồm di động, thoại, dữ liệu …

Mạng riêng ảo VPN là một trong những ứng dụng rất quan trọng trong mạng MPLS Cáccông ty, doanh nghiệp đặc biệt các công ty đa quốc gia có nhu cầu rất lớn về loại hình dịch vụnày Với VPN họ hoàn toàn có thể sử dụng các dịch vụ viễn thông, truyền số liệu nội bộ với chiphí thấp, an ninh bảo đảm Đây là một ứng dụng rất quan trọng đáp ứng các yêu cầu của cácmạng riêng sử dụng hạ tầng cơ sở thông tin quốc gia với những yêu cầu khác nhau về độ an toàn,bảo mật và chất lượng dịch vụ

Luận văn được trình bày trong 6 chương và được chia làm hai phần Phần đầu tập trungvào tìm hiểu công nghệ chuyển mạch nhãn đa giao thức Phần thứ hai tìm hiểu về ứng dụng củamạng riêng ảo trong công nghệ MPLS

Phần hai gồm 3 chương:

Chương 4: Tổng quan về mạng riêng ảo VPN: sự phát triển của mạng riêng ảo, phân loại

và chức năng của mạng riêng ảo, đường hầm và mã hóa, các giao thức dùng cho VPN, mô hìnhngang hàng và chồng lấn

Chương 5: Mô hình mạng MPLS/VPN: Mô hình ở lớp 2 (các thành phần VPN lớp 2, môhình Martini, thông tin định tuyến) và lớp 3 (BGP/MPLS, các thành phần trong VPN lớp 3, hoạtđộng của BGP/MPLS, tồn tại và giải pháp

Chương 6: Vấn đề bảo mật và chất lượng dịch vụ trong MPLS VPN: Tách biệt các VPN,chống lại các sự tấn công, dấu cấu trúc mạng lõi, chống lại sự giả mạo, chất lượng dịch vụ và xuhướng cũng như cơ hội của nhà cung cấp dịch vụ khi triển khai công nghệ MPLS VPN

Đề tài MPLS là một đề tài khó và rộng, lại do trình độ và hiểu biết còn nhiều hạn chế nênluận văn này không thể tránh khỏi những thiếu sót, và có những phần còn chưa thể đề cập hếtđược Em rất mong nhận được sự đóng góp ý kiến của các thầy cô và các bạn sinh viên Em xinchân thành cám ơn

- Mô Hình Và Cấu Hình Cần Thiết :

router ospf 2

network 172.16.200.0 0.0.0.255 area 0 network 172.16.20.0 0.0.0.255 area 1 exit

neighbor 10.0.1.1 send-community both

Chương 1 Cấu trúc tổng quan của MPLS.

Hình 1 1: Topo vật lý của nhà cung cấp dịch vụ

Hình 1 2: Topo logic của nhà cung cấp dịch vụMột cách khác để nhìn mô hình mạng trên chính là việc xem các địa điểm trên kết nối tới một đám mây mạng (cloud network) như trên hình 1 2

Đám mây mạng chính là sự minh họa vấn đề gặp phải khi kết nối giữa ATM và IP

IP và ATM được phát triển độc lập và không có sự liên hệ giữa chúng Chuyển mạchATM chỉ quan tâm tới việc truyền tải lưu lượng dựa trên các giá trị VPI/VCI trong khi đó

các router là thiết bị lớp 3 quan tâm tới việc chuyển tiếp các gói tin dựa trên thông tinchứa trong các gói

1 1 1 Tính khả chuyển (Scalability)

Một vấn đề mà nhà cung cấp dịch vụ gặp phải nữa là tính khả chuyển Tức là để đảm bảoviệc dự phòng và tối ưu trong quá trình định tuyến thì mô hình full mesh của các mạch ảo (VCs)phải được tạo ra mà kết quả có quá nhiều kết nối

Hình 1 3: Full mesh với 6 kết nối ảo

Và càng nhiều các địa điểm thêm vào mạng lõi thì càng cần phải có nhiều kết nối ảo (VCs)được tạo ra Điều đó cũng có nghĩa là các router sẽ phải trao đổi cập nhật bảng thông tin địnhtuyến với nhiều router liền kề gây ra một sự lưu thông lớn trên mạng Sự quá tải này cũng sẽ làmảnh hưởng tới hiệu suất của router là làm tốc độ xử lý của chúng giảm

1 1 2 Điều khiển lưu lượng

Điều khiển lưu lượng là quá trình xử lý mà lưu lượng được vận chuyển một cách tối ưutheo yêu cầu Mặc dù cả hai công nghệ IP và ATM đều có nhưng rõ ràng IP không thể sánh đượcvới ATM về đặc tính này ATM và IP là hai công nghệ hoàn toàn tách biệt nhau cho nên thật khó

để kết hợp triển khai điều khiển lưu lượng đầu cuối

1 1 3 Chất lượng của dịch vụ (QoS)

Cả IP và ATM đều có khả năng QoS Một sự khác nhau giữa chúng chính là IP là giaothức không kết nối (connectionless) còn ATM là giao thức có kết nối (connection-oriented)

Vì vậy vấn đề đặt ra ở đây chính là các nhà cung cấp dịch vụ phải làm thế nào để kết hợpđược 2 cách triển khai chất lượng dịch vụ thành một giải pháp duy nhất

Chúng ta cũng có thể thấy rõ sự bất cập tồn tại ở chuyển tiếp gói tin ở lớp mạng truyềnthống(ví dụ chuyển tiếp gói tin IP qua mạng Internet) Sự chuyển tiếp gói tin dựa trên các thôngtin được cung cấp bởi các giao thức định tuyến (ví dụ RIP, OSPF, EIGRP, BGP…), hoặc địnhtuyến tĩnh để đưa ra quyết định chuyển tiếp gói tin tới hop tiếp theo trong mạng Sự chuyển tiếpnày chỉ duy nhất dựa trên địa chỉ đích Tất cả các gói tin có cùng một đích đến sẽ đi theo cùng

một con đường nếu không tồn tại các tuyến có cùng cost Trong trường hợp ngược lại sẽ sinh rahiện tượng load balancing (cân bằng tải)

Các router (bộ định tuyến) đưa ra quyết định gói tin sẽ đi theo đường nào Các thiết bị lớpmạng thu thập và phân phối các thông tin lớp mạng, và thực hiện chuyển mạch lớp 3 dựa trêndựa trên các nội dung của tiêu đề lớp mạng trong mỗi gói tin Chúng ta có thể kết nối các routertrực tiếp với nhau qua liên kết point-to-point hoặc LAN, cũng có thể kết nối chúng bằng chuyểnmạch WAN (ví dụ Frame-relay hoặc ATM) Tuy nhiên chuyển mạch này lại không có khả năng

xử lý các thông tin định tuyến lớp 3 hoặc chọn tuyến cho gói tin thông qua việc phân tích địa chỉđích Vì vậy chuyển mạch lớp 2 không thể tham gia vào quá trình đưa ra quyết định chuyển tiếpgói tin ở lớp 3 Trong trường hợp môi trường mạng WAN này, người thiết kế mạng phải thiết lậpcác tuyến lớp 2 một cách thủ công qua mạng WAN Các tuyến sau đó chuyển tiếp gói tin lớp 3giữa các router mà nó có kết nối vật lý đến mạng lớp 2

Các đường dẫn lớp 2 trong mạng LAN thiết lập kết nối khá đơn giản Tuy nhiên thiết lậpkết nối tuyến lớp 2 trong WAN phức tạp hơn Các tuyến lớp 2 trong WAN thường dựa trên kiểupoint-to-point (ví dụ như các mạch ảo trong phần lớn công nghệ WAN) và chỉ được thiết lậptheo yêu cầu cấu hình thủ công Bất kỳ thiết bị định tuyến nào (ví dụ như định tuyến đầu vào) ởbiên của mạng lớp 2 muốn chuyển tiếp các gói tin lớp 3 tới một thiết bị định tuyến khác (địnhtuyến đầu ra) cần hoặc là thiết lập sự kết nối trực tiếp qua mạng tới thiết bị đầu ra hoặc gửi dữliệu tới một thiết bị khác để tryền dữ liệu tới đích

Hình 1 4: Một ví dụ về mạng IP dựa trên mạng lõi ATM

Để đảm bảo quá trình chuyển tiếp gói tin trong mạng là tối ưu, một mạch ảo ATM phải tồntại giữa bất kỳ hai router kết nối tới mạng lõi ATM Điều đó có nghĩa là nếu quy mô của mạnglớn, có đến vài chục hoặc thậm chí hàng trăm router kết nối với nhau thì xảy ra một vấn đề khátrầm trọng

Ta có thể gặp các vấn đề sau:

 Khi một router mới được nối vào mạng lõi WAN thì một mạch ảo phải được thiếtlập

 Nếu một mạng chạy giao thực định tuyến (giả sử OSPF hoặc IS-IS) thì mọi router

sẽ thông báo sự thay đổi trong mạng tới mọi router khác cùng kết nối tới WANđường trục, kết quả là có quá nhiều lưu lượng trong mạng

 Sử dụng các mạch ảo giữa các router là phức tạp bởi vì thật là khó để dự đoánchính xác lưu lượng giữa bất kỳ hai router trong mạng

Sự thiếu thông tin trao đổi giữa các router và các chuyển mạch WAN không phải là vấn

đề với mạng Internet truyền thống bởi chúng chỉ đơn thuần sử dụng các router cho định tuyến,hoặc các dịch vụ WAN(ATM hay Frame-relay) Tuy nhiên nếu có sự kết hợp giữa hai dịch vụtrên thì lại là vấn đề Vì vậy yêu cầu đòi hỏi một kiến trúc khác cho phép trao đổi thông tin lớpmạng giữa các router với các chuyển mạch WAN và cho phép các chuyển mạch tham gia vàoquá trình xử lý chuyển tiếp các gói tin, khi đó sự kết nối giữa các router biên là không cần thiết

1 2 Chuyển mạch nhãn đa giao thức là gì?

Chuyển mạch nhãn đa giao thức (Multiprotocol Label Switching – MPLS) là một côngnghệ được đưa ra với mục đích giải quyết nhiều vấn đề đang tồn tại liên quan tới chuyển mạchgói trong môi trường kết nối internet

Chuyển mạch nhãn đa giao thức kết hợp giữa lợi ích của chuyển mạch gói dựa trên chuyểnmạch lớp 2 với định tuyến lớp 3 Tương tự như các mạng lớp 2 ( Frame relay hay ATM), MPLS

là một phương pháp cải tiến việc chuyển tiếp gói trên mạng bằng cách gán nhãn cho các gói IP,

tế bào ATM hoặc frame lớp 2 Cơ chế chuyển tiếp qua mạng như thế được gọi là đổi nhãn (labelswapping), trong đó các đơn vị dữ liệu (ví dụ như gói hoặc tế bào) mang một nhãn ngắn cóchiều dài cố định để tại các node các gói được xử lý và chuyển tiếp

Sự khác nhau cơ bản giữa MPLS và các công nghệ WAN truyền thống chính là cách màcác nhãn được gán và khả năng mang một ngăn xếp của các nhãn (stack of labels) cho một góitin Khái niệm ngăn xếp nhãn cho phép chúng ta có nhiều ứng dụng mới ví dụ như Điều khiểnlưu lượng (Traffic Engineering), Mạng riêng ảo (Virtual Private Network – VPN )…

Chuyển tiếp các gói trong MPLS hoàn toàn tương phản với môi trường không kết nối hiện

có, nơi mà các gói tin được phân tích trên từng hop một (router), đấy chính là quá trình kiểm tratiêu đề lớp 3, và một quyết định forward gói tin được tiến hành dựa trên thuật toán định tuyến ởlớp mạng

Cấu trúc của một nút MPLS bao gồm 2 mặt thành phần:thành phần chuyển tiếp (hay cònđược gọi là mặt phẳng dữ liệu) và thành phần điều khiển (còn được gọi là mặt phẳng điềukhiển) Thành phần chuyển tiếp sử dụng một cơ sở dữ liệu chuyển tiếp nhãn để chuyển tiếp dữliệu dựa trên các nhãn đi kèm với gói tin Thành phần điều khiển chịu trách nhiệm tạo và duy trìcác thông tin chuyển tiếp nhãn (còn được gọi là bindings ) giữa nhóm các chuyển mạch nhãn vớinhau

Tất cả các nút MPLS phải chạy một hoặc nhiều giao thức định tuyến IP (hoặc dựa trênđịnh tuyến tĩnh) để có thể trao đổi thông tin định tuyến với các nút MPLS khác trên mạng Theo

đó, mỗi một nút MPLS (bao gồm cả chuyển mạch ATM) là một router trên mặt phẳng điềukhiển

Hình 1 4: Cấu trúc cơ bản của một nút MPLS Tương tự như các router truyền thống, các giao thức định tuyến IP sẽ dùng để xây dựngnên bảng định tuyến Bảng định tuyến IP được sử dụng để forward gói tin

Tại một nút MPLS, bảng định tuyến được sử dụng để xác định việc trao đổi thông tin nhãnchuyển tiếp, nơi mà các nút MPLS kề cận với nó trao đổi các nhãn cho các mạng con (subnets)

cụ thể được chứa trong bảng định tuyến

Các quá trình Điều khiển định tuyến MPLS IP (MPLS IP Routing Control) sử dụng cácnhãn để trao đổi với các nút MPLS cạnh nó để tạo ra Bảng chuyển tiếp nhãn (Label ForwardingTable), bảng này là vùng cơ sở dữ liệu được sử dụng để chuyển tiếp các gói được gán nhãn quamạng MPLS

Có một vài loại LSR khác nhau và chúng được phân biệt nhờ chức năng của chúng trong

cơ sở hạ tầng mạng Sự khác nhau của các loại LSR được mô tả bên trong cấu trúc của LSR, ATM-LSR và ATM edge-LSR Sự khác nhau giữa các loại LSR chỉ là cấu trúc bởi mộtloại có thể đóng nhiều vai trò khác nhau

Edge-Chúng ta có thể tóm tắt các chức năng của các loại LSR Chú ý rằng bất kỳ một thiết bịtrên mạng nào có thể có nhiều hơn một chức năng (một thiết bị có thể vừa là LSR biên vừa làATM LSR biên.

1 2 2 Tạo

nhãn ở mạng biên

Các gói tin phải được đánh nhãn trước khi chuyển tiếp tới miền mạng MPLS Để thực hiệnđược nhiệm vụ này, LSR biên phải biết nơi gói tin được đánh tiêu đề, hoặc ngăn xếp nhãn, nóphải khai báo cho gói tin Để chuyển tiếp IP lớp 3 tới hop tiếp theo, nó kiểm tra trong bảng địnhtuyến địa chỉ IP đích được chứa trong header lớp 3 của gói tin Sau đó lựa chọn hop tiếp theo đểchuyển tiếp gói tin Và cứ như thế cho đến khi gói tin đi đến đích

Có 2 cách để gói IP tới hop tiếp theo Cách thứ nhất là toàn bộ các gói được coi là nhưnhau khi chuyển qua mạng Cách thứ hai là ánh xạ từng địa chỉ IP đích tới một IP của hop tiếptheo Trong mạng MPLS cách thứ nhất được gọi là nhóm chuyển tiếp tương đương – FECs(Forwarding Equivalence Classes) FEC là một nhóm các gói, nhóm các gói này chia sẻ cùngyêu cầu trong sự chuyển tiếp chúng qua mạng Tất cả các gói trong một nhóm như vậy đượccung cấp cùng cách chọn đường tới đích Khác với chuyển tiếp IP truyền thống, trong MPLSviệc gán một gói cụ thể vào một FEC cụ thể chỉ được thực hiện một lần khi các gói vào trongmạng MPLS không ra quyết định chuyển tiếp với mỗi datagram lớp 3 mà sử dụng khái niệmFEC FEC phụ thuộc vào một số các yếu tố, ít nhất là phụ thuộc vào địa chỉ IP và có thể là phụthuộc cả vào kiểu lưu lượng trong datagram (thoại, dữ liệu, fax…) Sau đó dựa trên FEC, nhãnđược thoả thuận giữa các LSR lân cận từ lối vào tới lối ra trong một vùng định tuyến Mỗi LSRxây dựng một bảng để xác định xem một gói phải được chuyển tiếp như thế nào Bảng này đượcgọi là cơ sở thông tin nhãn (LIB: Label Information Base), nó là tổ hợp các ràng buộc FEC vớinhãn (FEC-to-label) Và nhãn lại được sử dụng để chuyển tiếp lưu lượng qua mạng

Một cách để phân chia lưu lượng vào trong các FEC là tạo một FEC riêng biệt cho mỗitiền tố địa chỉ xuất hiện trong bảng định tuyến Cách này có thể tạo ra một tập hợp các FEC chophép cùng đi một đường tới đích Theo cách này thì bên trong một miền MPLS, sẽ có nhiều FEC

Kiểu LSR Chức năng

LSR Chuyển tiếp các gói tin đã được gán nhãn

LSR biên - Có thể nhận một gói tin IP, thực hiện kiểm tra lớp 3, và gán một ngăn

xếp nhãn trước khi chuyển tiếp gói vào miền LSR

- Có thể nhận một gói IP, thực hiện việc kiểm tra ở lớp 3, chuyển tiếp gói

IP tới điểm tiếp theo (next-hop)ATM-LSR - Chạy các giao thức MPLS trong mặt phẳng điều khiển để tạo ra các

mạch ảo ATM, và chuyển tiếp các tế bào tới ATM-LSR ở điểm tiếptheo(next-hop)

riêng biệt và như thế sẽ không hiệu quả Trên thực tế MPLS hợp nhất những FEC đó thành mộtFEC duy nhất

Hình 1 5: Các FEC riêng biệt cho mỗi tiền tố địa chỉ

Hình 1 6: Tổng hợp các FEC

Hình 1 7: Sự tạo nhãn MPLS và chuyển tiếp

Với cơ chế chuyển tiếp IP truyền thống, thì mỗi gói tin được xử lý tại một hop trongmạng Tuy nhiên với MPLS, một gói tin cụ thể được gán tới một FEC cụ thể, và được thực hiệntại thiết bị mạng biên khi mà gói tin tham gia vào mạng Nhóm chuyển tiếp tương đương chomỗi gói được khai báo sau đó mã hóa thành một chỉ số định dạng ngắn có chiều dài cố định,được gọi là nhãn

1 2 3 Chuyển tiếp gói MPLS và Đường chuyển mạch nhãn

Mỗi một gói tin khi tham gia mạng MPLS tại LSR vào và ra khỏi mạng MPLS tại mộtLSR ra Cơ chế này tạo ra Đường chuyển mạch nhãn – Label Switched Path (LSP), được mô tảnhư là một nhóm các LSRs mà các gói được gán nhãn phải đi qua để tới LSR đầu ra cho mộtFEC cụ thể LSP này là theo một phương hướng duy nhất, có nghĩa là một LSP khác được sửdụng để cho lưu lượng có thể trở về từ một FEC nào đó

LSP là một hướng kết nối (connection-oriented) bởi vì đường dẫn được tạo ra trước khi có

sự vận chuyển lưu lượng Tuy nhiên, việc thiết lập kết nối này dựa trên thông tin về mô hìnhmạng hơn là yêu cầu về luồng lưu lượng

Khi gói tin đi qua mạng MPLS, mỗi LSR sẽ hoán đổi nhãn đi vào với một nhãn đi ra chođến LSR cuối cùng, được biết đến là LSR ra (giống như cơ chế được sử dụng trong mạng ATMnơi mà một cặp VPI/VCI này được tráo đổi với một cặp VPI/VCI khác khi ra khỏi chuyển mạchATM)

1 3 Các ứng dụng khác của MPLS

Hình 1 8: Các ứng dụng khác nhau của MPLS

MPLS được tạo ra để kết hợp của định tuyến truyền thống và chuyển mạch ATM trongmột mạng lõi IP thống nhất ( IP-ATM cấu trúc) Tuy nhiên ưu thế thực sự của MPLS chính làcác ứng dụng khác mà nó đem lại, từ điều khiển lưu lượng (Traffic Engineering) tới mạng riêng

ảo (Virtual Private Networks) Tất cả các ứng dụng này sử dụng chức năng miền điều khiển đểthiết lập một cơ sở dữ liệu chuyển mạch

1 3 1 Điều khiển lưu lượng:

Vấn đề quan trọng trong các mạng IP là thiếu khả năng điều khiển linh hoạt các luồng lưulượng IP để sử dụng hiệu quả dải thông mạng có sẵn Do vậy, thiếu hụt này liên quan đến khảnăng gửi các luồng được chọn xuống các đường được chọn ví dụ như chọn các đường trung kếđược bảo đảm cho các lớp dịch vụ riêng MPLS sử dụng các đường chuyển mạch nhãn LSP, đóchính là một dạng của “lightweight VC” mà có thể được thiết lập trên cả ATM và thiết bị dựatrên gói tin Khả năng kỹ thuật lưu lượng của MPLS sử dụng thiết lập các LSP để điều khiểnmột cách linh hoạt các luồng lưu lượng IP

1 3 2 Mạng riêng ảo VPN (Virtual Private Network)

VPN thiết lập cơ sở hạ tầng cho mạng Intranet và Extranet, đó là các mạng IP mà các công

ty kinh doanh sẽ thiết lập trên cơ sở toàn bộ cấu trúc kinh doanh của họ Dịch vụ VPN là dịch vụmạng Intranet và Extranet mà các mạng đó được cung cấp bởi nhà cung cấp dịch vụ đến nhiều tổchức khách hàng MPLS kết hợp với giao thức BGP cho phép một nhà cung cấp mạng hỗ trợhàng nghìn VPN của khách hàng Như vậy, mạng MPLS cùng với BGP tạo ra cách thức cungcấp dịch vụ VPN trên cả ATM và các thiết bị dựa trên gói tin rất linh hoạt, dễ mở rộng quy mô

và dễ quản lý Thậm chí trên các mạng của nhà cung cấp khá nhỏ, khả năng linh hoạt và dễ quản

lý của các dịch vụ BGP/MPLS VPN là ưu điểm chủ yếu

1 3 3 Tích hợp IP và ATM

Do “chuyển mạch nhãn” có thể thực hiện được bởi các chuyển mạch ATM, MPLS là mộtphương pháp tích hợp các dịch vụ IP trực tiếp trên chuyển mạch ATM Sự tích hợp này cần phảiđặt định tuyến IP và phần mềm LDP trực tiếp trên chuyển mạch ATM Do tích hợp hoàn toàn IP

trên chuyển mạch ATM, MPLS cho phép chuyển mạch ATM hỗ trợ tối ưu các dịch vụ IP như IP

đa hướng (multicast), lớp dịch vụ IP, RSVP và mạng riêng ảo VPN

1 3 4 Hỗ trợ chất lượng dịch vụ Qos (Quality of Service)

Một thiếu sót của mạng IP so với mạng Frame Relay và ATM, là sự bất lực của chúng đểcung cấp dịch vụ thoả mãng nhu cầu lưu lượng Ví dụ lưu lượng thời gian thực như voice hayvideo cần dịch vụ chất lượng cao (độ trễ luồng thấp, mất luồng thấp…) khi truyền qua mạng.Tương tự dữ liệu trong kinh tế thương mại phải được ưu tiên qua trình duyệt web thông thường Kết nối định hướng mang tính tự nhiên của MPLS cung cấp khung làm việc hợp lý để đảmbảo chất lượng lưu lượng IP Trong khi QoS và lớp dịch vụ CoS (Class of Service) không phải là

cơ sở đặc biệt của MPLS, chúng có thể ứng dụng trong mạng MPLS khi kỹ thuật lưu lượng được

sử dụng Điều này cho phép nhà cung cấp thiết lập hợp đồng mức dịch vụ SLA (Service LevelAgreements) với khách hàng để đảm bảo dịch vụ như độ rộng băng, độ trễ, mức thấp thoát Dịch

vụ giá trị gia tăng có thể được phân phối bổ sung như truyển tải dữ liệu cơ sở, tăng thu nhập vàcuối cùng cho tiến tới mạng hội tụ

Intserv and Diffserv, qua thời gian một số kỹ thuật được phát triển để thiết lập QoS/CoStrong một mạng Trong mô hình dịch vụ tích hợp Intserv (Integrated Services), RSVP đã pháttriển thủ tục báo hiệu QoS qua một mạng, cho phép thiết bị sắp xếp và thiết lập thông số lưulượng đảm bảo như độ rộng băng và độ trễ đầu cuối - đầu cuối Nó sử dụng nguồn tài nguyên tạichỗ, đảm bảo dịch vụ xuống theo luồng cơ sở Mô hình dịch vụ khác nhau Diffserv(Differentiated Services) giảm bớt cứng nhắc, cung cấp phân phối CoS để đối xử như nhau đốivới lớp lưu lượng có mức ưu tiên như nhau, nhưng không có báo hiệu hay đảm bảo dịch vụ đầucuối đầu cuối Diffserv định nghĩa lại kiểu dịch vụ ToS (Type of Service) trong tiêu đề gói IP đểcung cấp sự phân loại này

Trong khi Intserv đảm bảo độ rộng băng lưu lượng, nó xác nhận không thể tăng hay thựchiện hoạt động qua mạng lớn Khiến trúc Diffserv, có một tăng luôn phiên, nhưng không cungcấp đản bảo IETF kết hợp Difserv và kỹ thuật lưu lượng MPLS để cung cấp QoS đảm bảo trongmạng MPLS Thông tin Diffserv trong tiêu đề gói IP được ánh xạ trong thông tin nhãn của góiMPLS Bộ định tuyến MPLS cập nhật thông tin ưu tiên để truyển tiếp dữ liệu thích hợp Một số

cơ chế sử dụng gồm chia sẻ lưu lượng, đợi, và phân loại gói

QoS thực hiện ở biên của đám mây MPLS, ở nơi lưu lượng phi nhãn từ mạng khách hàng

đi vào mạng truyền thông Tại cổng vào này, lưu lượng thời gian thực dễ bị ảnh hưởng như lưulượng định dạng voice IP hay hội nghị video có thể được ưu tiên phân phát qua sự chuyển giao

dữ liệu lớn

Chương 2 Hoạt động của MPLS ở chế độ Frame-mode

Trong Chương 1, chúng ta đã có cái nhìn tổng quan về kiến trúc của MPLS Trong phầnnày chúng ta sẽ một trong những ứng dụng của nó:

Định tuyến IP với địa chỉ đích là unicast trong môi trường đơn thuần các bộ định tuyến.Cũng được gọi là Frame-mode MPLS, bởi vì các nhãn được gán được trao đổi giống như là cácframes ở lớp 2

Ở phần này chúng ta tập trung trên miền dữ liệu (MPLS data plane), giả sử rằng, bằng mộtcách nào đó các nhãn được trao đổi giữa các bộ định tuyến Ở phần tiếp theo chúng ta sẽ giảithích một cách chính xác cơ chế phân phối nhãn giữa các router

2 1 Hoạt động miền dữ liệu MPLS ở chế độ Frame-mode

Trong Chương 1 chúng ta đã hiểu một cách tóm tắt quá trình một gói tin IP đi qua mạng lõiMPLS Có 3 bước chính trong quá trình này đấy là:

 Một LSR biên vào nhận một gói tin IP, phân loại gói tin này vào một nhóm cácchuyển tiếp tương đương nào đó (FEC) và gán nhãn cho gói tin với ngăn xếp nhãn

ra (outgoing label stack) phù hợp với FEC Để định tuyến dựa trên địa chỉ đích

IP, FEC phải phù hợp với subnet của địa chỉ đích và việc phân loại gói tin chỉ làviệc kiểm tra lớp 3 dựa theo bảng định tuyến

 Các LSR lõi nhận các gói tin đã được gán nhãn và sử dụng các bảng chuyển tiếpnhãn để trao đổi nhãn đi vào trong gói tin với nhãn ra phù hợp với FEC ( trongtrường hợp này là IP subnet)

 Khi đến LSR biên lối ra nhận gói tin đã được gán nhãn, nó bỏ nhãn này ra và thựchiện việc tra cứu lớp 3 trong gói tin IP đó

Một câu hỏi được đặt ra ở đây là: Ở đâu nhãn được tạo ra và ở bộ định tuyếnnhận được gói tin thì đó là gói tin đã được gán nhãn hay đơn thuần chỉ là gói tin IPChúng ta xem lại mô hình sau:

Hình 2 1: Mô hình chuyển mạch gói tin giữa các bộ định tuyến

2 1 1 Tiêu đề ngăn xếp nhãn MPLS ( MPLS label stack header)

Vì nhiều lý do, mà hiệu suất chuyển mạch là một trong những số đó, nhãn MPLS phảiđược đặt ở trước dữ liệu được dán nhãn trong chế độ frame-mode Vì vậy nhãn MPLS phải đượcchèn vào giữa tiêu đề lớp 2 và nội dung lớp 3 của frame lớp 2

Hình 2 2 Vị trí của nhãn MPLS trong một Frame lớp 2

Theo cách mà nhãn MPLS được chèn vào giữa gói tin lớp 3 và tiêu đề lớp 2, thì tiêu đề

nhãn MPLS được gọi là shim header Một tiêu đề của nhãn MPLS bao gồm: 20 bit nhãn MPLS,

3 bit thông tin lớp dịch vụ (class-of-service information), 8 bit trường Time-to-live (TTL) dùng

để xác định dò loop giống như chức năng của trường TTL trong IP và 1 bit được gọi là bit đáycủa ngăn xếp (Bottom-of-Stack)

Hình 2 3: Tiêu đề ngăn xếp nhãn MPLSBit đáy ngăn xếp nhãn đóng vai trò (implement) như ngăn xếp nhãn MPLS Chúng ta nhắclại khái niệm ngăn xếp nhãn, nó được định nghĩa giống như là một sự kết hợp của hai hoặc nhiềutiêu đề nhãn đính vào một gói tin Trong định tuyến IP theo địa chỉ unicast thì không sử dụngngăn xếp, nhưng với các ứng dụng khác của MPLS, ví dụ như MPLS-VPN hay MPLS TrafficEngineering thì đây là một yếu tố rất quan trọng

Với tiêu đề ngăn xếp nhãn MPLS được chèn vào giữa tiêu đề lớp 2 và tải trọng lớp 3 thìrouter gửi phải có vài cách thức để thông báo với router nhận rằng gói tin đang được truyềnkhông phải là gói IP đơn thuần mà là gói tin được gán nhãn Để làm được điều đó một cáchthuận lợi, các loại giao thức mới được định nghĩa ở trên lớp 2:

 Trong môi trường mạng LAN (Local Area Network), các gói tin đã được gánnhãn mang địa chỉ unicast và multicast lớp 3 sử dụng kiểu ethernet có giá trị 8847

và 8848 trong hệ 16 Những giá của kiểu ethernet này có thể được sử dụng trựctiếp trong môi trường Ethernet (Fast Ethernet và Gigabit Ethernet)

 Trong kiểu kết nối point-to-point sử dụng cách thức đóng gói PPP, một giao thứcđiều khiển mạng mới (new Network Control Protocol – NCP) được gọi là giaothức điều khiển MPLS(MPLSCP) được sử dụng Các gói tin MPLS được đánhdấu bằng trường giao thức PPP có giá trị là 8281 trong hệ 16

 Các gói tin MPLS đi qua một DLCI Frame Relay giữa một cặp định tuyến(router)được đánh dấu bởi chỉ số giao thức lớp mạng SNP của Frame Relay(Frame RelaySNAP Network Layer Protocol ID – NLPID), theo sau đó là tiêu đề SNAP với giátrị của kiểu ethernet là 8847 trong hệ hex

San Jose router trong hình 2.1 chèn nhãn MPLS vào trước gói IP mà nó nhận được, đónggói gói tin đã gán nhãn đó trong một khung PP với trường giao thức PPP có giá trị là 8281 trong

hệ 16 và chuyển tiếp khung lớp 2 tới router San Francisco

2 1 2 Chuyển mạch nhãn trong chế độ Frame-mode

Sau khi nhận được frame PPP lớp 2 từ router San Jose, router San Francisco ngay lập tứcxác định gói tin vừa nhận được là một gói tin đã được gán nhãn dựa trên giá trị trường giao thứcPPP của nó và thực hiện tra cứu trong cơ sở thông tin chuyển tiếp nhãn (Label ForwardingInformation – LFIB)

Các gói tin được gán nhãn được truyền như vậy cho đến đích, đến router cuối cùng thìLFIB sẽ thông báo với router bỏ nhãn và chuyển tiếp gói tin không gán nhãn này

2 1 3 Chuyển mạch nhãn MPLS với ngăn xếp nhãn

Hoạt động của chuyển mạch nhãn được thực hiện mà không quan tâm tới số lượng nhãngán vào gói tin, có thể là một nhãn hoặc một ngăn xếp gồm một số nhãn bên trong Trong cả haitrường hợp, LSR sẽ chỉ xử lý nhãn ở trên cùng của ngăn xếp, bỏ qua các nhãn khác Chức năngnày cho phép nhiều ứng dụng ở các bộ định tuyến biên có thể cho phép phân loại nhãn và kếthợp các nhãn (Can agree on packet classification rules and associated labels) mà không cần biếtcác bộ định tuyến lõi của mạng

Ví dụ, giả sử rằng router San Joe và router New York ở trong mạng có hỗ trợ MPLS/VPN

và cùng biết mạng 10 1 0 0/16, mạng này có thể đến được thông qua router New York, nhãnđược khai báo với giá trị là 73 Các router trong mạng lõi (San Francisco và Washington) không

có thông tin về điều này Để gửi một gói tin tới host có địa chỉ là 10 1 0 0/16, router San Josetạo ra một ngăn xếp nhãn Nhãn dưới cùng trong ngăn xếp được khai báo cho router New Yorkcòn nhãn trên cùng được khai báo cho địa chỉ IP của router New York thông qua router SanFrancisco Khi mạng chuyển gói tin thì nhãn trên cùng được chuyển mạch chính xác giống nhưchuyển tiếp gói tin IP qua mạng đường trục và nhãn thứ 2 trong ngăn xếp sẽ nguyên vẹn khi đếnrouter New York

Hình 2 4: Chuyển mạch nhãn với ngăn xếp

2 2 Quá trình truyền và kết hợp nhãn trong Frame-mode MPLS

Phần này sẽ tập trung vào quá trình kết hợp FEC với nhãn và truyền chúng giữa các LSRsqua các giao diện đã được đóng khung

Có hai giao thức kết hợp nhãn được sử dụng để tổng hợp một IP mạng con (subnet) vớimột số nhãn MPLS cho mục đích gửi tới địa chỉ đích:

 Giao thức phân phối thẻ (Tag Distribution Protocol – TDP)

 Giao thức phân phối nhãn(Label Distribution Protocol – LDP)

Cả TDP và LDP đều có chức năng giống nhau và có thể được sử dụng trong mạng, thậmchí trên các interface khác nhau của cùng một LSR Ở đây chúng ta chỉ đề cập đến TDP

2 2 1 Thiết lập một phiên LDP/TDP

Khi bắt MPLS trên interface của router, thì TDP/LDP được khởi tạo và cấu trúc cơ sởthông tin nhãn(LIB) được tạo ra Bộ định tuyến(router) cũng tìm cách nhận ra các LSRs kháctrên interface đang chạy MPLS thông qua gói tin hello TDP Các gói tin hello TDP này được gửiquảng bá(broadcast) hoặc là gói tin UDP multicast(tới một nhóm các đích), tạo ra quan hệ hàngxóm LSR

Sau khi gói tin hello TDP khám phá ra TDP hàng xóm thì một phiên TDP được thiết lập.Các phiên TDP sử dụng TCP với cổng 711 và LDP sử dụng TCP cổng 646 Sử dụng giao thứcTCP đem lại khả năng tối ưu trong điều khiển luồng và tin cậy trong việc giải quyết tắc nghẽnlưu lượng

2 2 2 Phân phối và kết hợp nhãn

Khi cơ sở thông tin nhãn (LIB) được tạo ra trong bộ định tuyến, một nhãn được khai báocho mọi FEC biết đến bộ định tuyến Vì định tuyến dựa vào địa chỉ đích, FEC tương đương vớimột tiền tố IGP(Internal Gateway Protocol) trong bảng định tuyến IP Vì vậy một nhãn được

khai báo cho mọi tiền tố trong bảng định tuyến IP và có sự ánh xạ hai bảng này được lưu trữtrong LIB

Bởi vì LSR khai báo một nhãn cho mỗi IP prefix trong bảng định tuyến của nó khi màprefix xuất hiện trong bảng định tuyến và nhãn này được sử dụng bởi các LSR khác trong việcgửi các gói tin đã được gán nhãn cho LSR, phương pháp cấp và phân phối nhãn này được gọi làkhai báo nhãn điều khiển độc lập, với cách phân phối nhãn phía sau tự nguyện :

 Việc cấp nhãn trong các bộ định tuyến được thực hiện mà không quan tâm tớiviệc bộ định tuyến đã nhận nhãn cho cùng prefix từ bộ định tuyến kế cận haychưa Vì vậy việc cấp nhãn này trong các bộ định tuyến được gọi là điều khiểnđộc lập(independent control)

 Phương pháp phân phối này là tự nguyện(unsolicited) bởi vì LSR khai báo nhãn

và quảng bá sự ánh xạ tới các bộ định tuyến hàng xóm phía sau nó(từ đích tớinguồn) không quan tâm tới việc các LSR khác cần nhãn hay không Một LSR chỉkhai báo một nhãn cho một prefix IP và phân phối nó cho router phía sau nó (từđích tới nguồn) khi được yêu cầu

 Phương pháp phân phối này là downstream(từ phía sau ra phía trước) khi LSRkhai báo một nhãn mà các LSR khác(Các LSR phía sau) có thể sử dụng chochuyển tiếp các gói tin đã được gán nhãn và quảng bá sự ánh xạ nhãn này tới các

bộ định tuyến liền kề Việc khởi tạo cấu trúc chuyển mạch thẻ cũng bao gồm cả

sự cung cấp cho LSR phía sau nhưng cả việc triển khai bổ sung chuyển mạch thẻhiện tại và cấu trúc MPLS không cần kiểu này cho phương pháp phân phối nhãn Tất cả sự kết hợp nhãn được quảng bá ngay lập tức đến các bộ định tuyến khác thông quacác phiên TDP Các bộ định tuyến thông báo sự kết hợp IP prefix-to-label của nó tới tất cả các

bộ định tuyến kề cận mà không quan tâm đó là upstream hay downstream Thậm chí sự kết hợpnày cũng được gửi tới cho bộ định tuyến tiếp theo vì thế sẽ không có split-horizon trong quátrình xử lý TDP hay LDP

Các LSR nhận bảng ánh xạ prefix-to-label, lưu chúng trong bảng cơ sở thông tin nhãn(LIB) và sử dụng chúng trong cơ sở thông tin chuyển tiếp nhãn (LFIB) nếu bảng ánh xạ nhậnđược từ router phía trước, chính là router tiếp theo Phương pháp lưu giữ này được gọi là kiểughi nhớ tự do (liberal retention mode) trái ngược với kiểu ghi nhớ bảo thủ (conservative retentionmode), tức là các LSR chỉ giữ lại các nhãn được khai báo cho một prefix bởi các bộ định tuyếnphía trước hiện tại của nó, nơi mà LSR chỉ lưu giữ các nhãn được khai báo tới một prefix bởicác router phía trước

Một bộ định tuyến có thể nhận được nhiều sự kết hợp TDP từ các bộ định tuyến kề cận, nhưng chỉ sử dụng một vài trong số đó để chuyển tiếp các bảng như sau :

 Sự kết hợp nhãn từ bộ định tuyến tiếp theo được xem xét cho phù hợp với đầu vàoFIB Nếu bộ định tuyến không nhận sự kết hợp nhãn từ bộ định tuyến kế tiếp thìđầu vào FIB xác nhận các gói tin đến đích mà không được gán nhãn

 Nếu bộ định tuyến nhận một sự kết hợp nhãn từ bộ định tuyến kế tiếp, thì nhãnhiện tại ở bộ định tuyến và nhãn tiếp theo ở bộ định tuyến kế tiếp được lưu lạitrong LFIB Nếu bộ định tuyến kế tiếp không khai báo nhãn phù hợp với prefixthì gói tin không được gán nhãn

2 2 3 Hội tụ trong mạng MPLS ở chế độ Frame-mode

Một trong những yếu tố quan trọng trong việc thiết kế mạng MPLS chính là thời gian hội

tụ của mạng Một số ứng dụng của MPLS (ví dụ như :MPLS/VPN hay thiết kế BGP dựa trênMPLS) sẽ không hoạt động chính xác trừ khi một gói tin được gán nhãn được gửi qua tất cả cácđường dẫn từ đầu vào LSR biên đến LSR biên đầu ra Trong các ứng dụng này thời gian hội tụ

có thể tăng lên bởi do trễ truyền

Trong mạng MPLS ở chế độ Frame-mode, sử dụng kiểu lưu giữ tự do (liberal retentionmode) kết hợp với điều khiển nhãn độc lập(independent label control) và phân phối nhãn luồngxuống tự nguyện(unsolicited downstream label distribution) sẽ làm giảm thiểu thời gian hội tụTDP/LDP Mọi bộ định tuyến sử dụng kiểu lưu giữ tự do luôn có nhãn khai báo cho một prefixđưa ra từ tất cả các bộ định tuyến hàng xóm sử dụng TDP/LDP, vì vậy nó luôn luôn tìm thấy mộtnhãn đi ra ngoài trong bảng định tuyến phù hợp mà không cần hỏi bộ định tuyến kế tiếp cho việckhai báo nhãn

2 3 Xử lý ở bộ định tuyến cuối cùng (Penultimate Hop Popping)

Ở LSR biên ở đầu ra trong mạg MPLS thì phải tiến hành hai tra cứu: Một là gói tin nhậnđược từ một MPLS kề cận, hai là đích đến cho một subnet bên ngoài mạng MPLS Nó phải kiểmtra nhãn trong tiêu đề ngăn xếp nhãn và thực hiện kiểm tra để nhận biết rằng nhãn đã được đẩyvào và dưới sự kiểm soát của gói tin IP

Hình 2 5: Hai quá trình tra cứu ở bộ định tuyến cuối New York

Việc thực hiện hai quá trình tra cứu ở router New York có thể làm giảm hiệu suất củanode mạng Hơn nữa trong môi trường mà MPLS và chuyển mạch IP được thực hiện bởi phần

cứng thì tra cứu hai lần làm tăng độ phức tạp của việc triển khai các thiết bị phần cứng lên rấtnhiều Để giải quyết vấn đề này người ta sử dụng Penultimate Hop Popping(PHP)

Phương pháp này chỉ được áp dụng trực tiếp cho những subnet(mạng con) kết nối trựctiếp hoặc tập hợp các đường dẫn (aggregate routes) Trong trường hợp là giao diện là kết nối trựctiếp, thì việc thực hiện tra cứu lớp 3 là cần thiết để có được các thông tin chính xác cho việc gửimột gói tin đến đích được kết nối trực tiếp Nếu prefix là một sự tập hợp thì việc tra cứu ở lớp 3cũng cần thiết để tìm ra đường đi cụ thể sau đó được sử dụng để gói tin đi đến đích chính xác.Trong các trường hợp còn lại, thì thông tin đi ra ngoài của gói tin lớp 2 có trong LFIB và vì vậyviệc tra cứu lớp 3 là không cần thiết

Với phương pháp này, LSR biên có thể yêu cầu một nhãn từ router phía sau kề cận với

nó

Hình 2 6: Penultimate Hop Popping trong mạng MPLS

Ở Hình 2 6 router Washington lấy nhãn từ gói tin và gửi gói tin IP đơn thuần tới routerNew York Sau đó router New York thực hiện việc tra cứu lớp 3 và chuyển tiếp gói tin tới đíchcuối cùng

Tóm lại chế độ hoạt động khung xuất hiện khi sử dụng MLS trong môi trường các bộ địnhtuyến thuần nhất định tuyến các gói tin IP điểm-điểm Các gói tin gán nhãn được chuyển tiếptrên cơ sở khung lớp 2

Quá trình chuyển tiếp môt gói tin IP qua mạng MPLS thực hiện thông qua một số bướcsau:

 LSR biên lối vào nhận gói tin IP, phân loại gói vào nhóm chuyển tiếp tươngđương FEC và gán nhãn cho gói với ngăn xếp nhãn tương ứng FEC đã được xácđịnh Nếu định tuyến một địa chỉ đích(unicast), FEC sẽ tương ứng với mạng conđích và việc phân loại gói tin sẽ được thực hiện bằng cách tra cứu bảng định tuyếnlớp 3 truyền thống

 LSR lõi nhận gói tin đã được gán nhãn và sử dụng bảng chuyển tiếp nhãn để thayđổi nhãn nội vùng trong gói đến với nhãn ngoài vùng tương ứng cùng với vùngFEC(trong trường hợp này là mạng con IP)

 Khi LSR biên lối ra của vùng FEC này nhận được gói có nhãn, nó loại bỏ nhãn vàthực hiện việc chuyển tiếp gói tin IP theo bảng định tuyến lớp 3 truyền thống

Chương 3: Hoạt động của MPLS ở chế độ Cell-mode

Trong chương 2 chúng ta đã tìm hiểu cách MPLS hoạt động giữa thiết bị chuyển mạch lớp

3 (router) ở chế độ Frame-mode Các bộ định tuyến trao đổi các gói tin IP đơn thuần (cho cácgiao thức điều khiển) cũng như các gói tin IP được gán nhãn qua cùng một link liên kết Các bộđịnh tuyến cũng thực hiện chuyển mạch nhãn bằng cách xác định tiêu đề nhãn ở trước mỗi góitin IP

Khi thực hiện triển khai MPLS qua công nghệ ATM cần phải giải quyết một số khó khăn sau:

 Không có cơ chế trao đổi các gói tin IP một cách trực tiếp giữa 2 node MPLS kềnhau qua giao diện ATM Tất cả các dữ liệu trao đổi qua giao diện ATM phảiđược thực hiện qua kênh ảo(virtual circuit – VC)

 Chuyển mạch ATM không thể thực hiện việc kiểm tra nhãn hay tra cứu ở lớp 3.Khả năng duy nhất của một chuyển mạch ATM là chuyển đổi VC đầu vào thành

VC đầu ra của giao diện ra

Công nghệ MPLS đã đưa ra một số các giải pháp để đảm bảo việc thực hiện triển khaiMPLS qua ATM:

 Các gói tin IP trong vùng điều khiển không thể trao đổi một cách trực tiếp quagiao diện ATM Một VC điều khiển phải được thiết lập giữa các node MPLS kềnhau để có thể trao đổi các gói tin trong vùng điều khiển

 Chuyển mạch ATM không thể thực hiện việc tra cứu nhãn Khi đó nhãn trên cùngtrong ngăn xếp nhãn phải được chuyển đổi sang giá trị VPI/VCI

Chúng ta nhắc đến một số khái niệm được dùng trong việc triển khai MPLS qua môitrường ATM

• Giao diện ATM được điều khiển chuyển mạch nhãn (Label Switching Controlled ATMinterface – LC-ATM interface) là một giao diện trên router hoặc trên chuyển mạch ATM

mà trong đó giá trị VPI/VCI được khai báo thông qua các giao thức điều khiển MPLS(TDP hoặc LDP)

• ATM-LSR là một chuyển mạch ATM chạy các giao thức MPLS trong miền điều khiển

và thực hiện chuyển tiếp MPLS giữa các giao diện LC-ATM trong miền dữ liệu bằng cácchuyển mạch tế bào ATM truyền thống

• Frame-based LSR là một LSR thực hiện việc chuyển tiếp các frame giữa các giao diện.Một ví dụ điển hình của một Frame-based LSR đó chính là router Một Frame-based LSR

có thể có nhiều giao diện LC-ATM, nhưng nó chỉ thực hiện chuyển mạch nhãn

Frame-based trên ngăn xếp nhãn mà không thực hiện chuyển mạch tế bào giống như một LSR

ATM-• ATM-LSR domain là một nhóm các ATM-LSR được kết nối với nhau qua giao diện ATM

LC-• ATM LSR biên là một Frame-based LSR với ít nhất một giao diện LC-ATM

Hình 3 1: Mô hình triển khai ATM trong mạng

3 1 Sự kết nối trong vùng điều khiển qua giao diện LC-ATM

Hình 3 2: Trao đổi thông tin giữa các LSR kề cậnCấu trúc của mạng MPLS yêu cầu vùng điều khiển của các LSR kề cận phải có sựkết nối thuần IP để trao đổi liên kết nhãn cũng như các gói điều khiển khác(ví dụ như góitin hello và gói tin update)

Trong chế độ MPLS Frame-mode thì yêu cầu này là đơn giản bởi vì các bộ địnhtuyến có thể gửi và nhận các gói tin IP cũng như các gói tin đã được gán nhãn qua bất kỳgiao diện Frame-mode nào, bất kể đó là mạng LAN hay WAN Tuy nhiên các chuyểnmạch ATM không có khả năng này

Có hai cách để đảm bảo cho sự kết nối các gói tin thuần IP giữa các ATM-LSR, đólà:

 Thông qua một kết nối bên ngoài ví dụ như sự kết nối Ethernet giữa cácchuyển mạch

 Thông qua một mạch ảo (VC) kiểm soát bên trong tương tự như cách màcác giao thức ATM Forum thực hiện (User-Network Interface – UNI hoặcIntergrated Local Management Interface – ILMI ):

Hình 3 3: Cơ chế thiết lập kênh ảo điều khiển MPLS

3 2 Sự chuyển tiếp gói tin đã được gán nhãn qua miền ATM-LSR

Việc chuyển tiếp một gói tin được gán nhãn qua miền ATM-LSR được thực hiện qua babước sau:

 ATM LSR biên lối vào nhận một gói tin đã được gán nhãn hoặc chưa, thực hiệnviệc kiểm tra trên Cơ sở thông tin chuyển tiếp (FIB) hoặc Cơ sở thông tin chuyểntiếp nhãn (LFIB), tìm kiếm một giá trị VPI/VCI đầu ra, giá trị này sẽ được nó sửdụng giống như là nhãn lối ra Các gói tin có nhãn được chia nhỏ thành các tế bàoATM và được gửi tới ATM-LSR tiếp theo Giá trị VPI/VCI tìm thấy trong quátrình kiểm tra nhãn được đặt vào tiêu đề tế bào ATM của từng tế bào

Chú ý:Kể từ đây cho đến khi gói tin có nhãn ra khỏi miền ATM-LSR, việc kiểmtra nhãn chỉ thực hiện dựa trên các giá trị VPI/VCI mà không phải là tiêu đề nhãnMPLS Tuy nhiên, tiêu đề MPLS vẫn tồn tại trong gói tin gán nhãn bởi vì nó cần

ATM LSR

biên(router)

ATM LSRbiên(router)

ATM-LSRVùng đkMPLS trongchuyển mạchATM

Vùng dữ liệuATM

Ma trậnchuyểnmạchATM

ATM-LSRVùng đkMPLS trongchuyển mạchATM

Vùng dữ liệuATM

Ma trậnchuyểnmạchATMMiền điều

khiển

MPLS

Miền điềukhiển MPLS

thiết để lưu giữ các trường tiêu đề thêm vào, ví dụ như ngăn xếp đáy, thời gian sống(Time-to-live TTL)

 Các ATM-LSR tế bào chuyển mạch dựa trên giá trị VPI/VCI trong tiêu đề tế bàoATM theo cơ chế chuyển mạch tế bào truyền thống, và cơ chế phân phối và phân

bổ nhãn này phải phù hợp với việc thiết lập sự chuyển đổi giá trị VPI/VCI nộivùng và ngoại vùng là chính xác

 ATM LSR biên ở đầu ra sắp xếp lại các tế bào trở thành gói tin được gán nhãn,thực hiện việc kiểm tra nhãn và chuyển tiếp chúng cho LSR tiếp theo Việc kiểmtra dựa trên giá trị VPI/VCI của các tế bào đến mà không dựa trên nhãn trên cùngcủa ngăn xếp trong tiêu đề nhãn MPLS Đó là bởi vì các ATM-LSR giữa cácmiền biên của miền LSR chỉ thay đổi giá trị VPI/VCI chứ không thay đổi cácnhãn bên trong các tế bào ATM

Chúng ta nêu ra sự khác nhau chính giữa chuyển mạch nhãn Frame-based và chuyển mạchnhãn Cell-based:

 Việc kiểm tra trong chuyển tiếp nhãn ở chế độ khung (Frame-based) được thựchiện dựa trên nhãn trên cùng của ngăn xếp nhãn trong tiêu đề nhãn MPLS Trongchuyển tiếp tế bào (Cell-based), việc kiểm tra lại được thực hiện dựa trên các giátrị VPI/VCI trong các tiêu đề tế bào ATM

 Cơ chế chuyển mạch trong chuyển mạch tế bào là chuyển mạch tế bào ATMtruyền thống dựa trên các giá trị VPI/VCI trong các tiêu đề tế bào Ngăn xếp nhãnhoàn toàn bị bỏ qua bởi các ATM-LSR

 Bởi vì nhãn trên cùng trong ngăn xếp nhãn không được sử dụng bởi ATM-LSRbiên đầu ra, nên nó được đặt về 0 bởi ATM LSR biên đầu vào trước khi các góitin có nhãn được chia nhỏ thành các tế bào ATM

3 3 Phân phối và phân bổ nhãn qua miền ATM-LSR

Phân phối và phân bổ nhãn qua miền ATM-LSR có thể sử dụng cách thức giống như trongmiền MPLS ở chế độ hoạt động khung Tuy nhiên, nếu triển khai như vậy sẽ dẫn đến một loạtcác hạn chế bởi mỗi loại nhãn được gán qua một giao diện LC-ATM sẽ phù hợp với một ATM

VC Mỗi nhãn có duy nhất một giá trị VPI/VCI và mỗi giá trị VPI/VCI xác định một ATM VCđộc lập

Do số lượng các kênh ảo ATM được hỗ trợ qua giao diện ATM là nhỏ nên cần hạn chế sốlượng VC phân bổ qua giao diện LC-ATM ở mức thấp nhất Để thực hiện được điều đó, các LSRphía sau sẽ đảm nhận trách nhiệm yêu cầu phân bổ và phân phối nhãn qua giao diện LC-ATM.LSR phía sau cần nhãn để gửi gói đến node tiếp theo phải yêu cầu nhãn từ LSR phía trước nó.Thông thường các nhãn được yêu cầu dựa trên nội dung bảng định tuyến mà không dựa vàoluồng dữ liệu, điều đó đòi hỏi nhãn cho mỗi đích trong phạm vi của node kế tiếp qua giao diệnLC-ATM

LSR phía trước có thể đơn giản phân bổ nhãn và trả lời yêu cầu cho LSR phía sau với bảntin trả lời tương ứng Trong một số trường hợp, LSR phía trước có thể phải có khả năng kiểm trađịa chỉ lớp 3 (nếu nó không còn nhãn phía trước yêu cầu cho đích) Đối với chuyển mạch ATM,

yêu cầu như vậy sẽ không được trả lời bởi chỉ khi nào nó có nhãn được phân bổ cho đích phíatrước thì nó mới trả lời yêu cầu Nếu ATM-LSR không có nhãn phía trước đáp ứng yêu cầu củaLSR phía sau thì nó sẽ yêu cầu nhãn từ LSR phía trước nó và chỉ trả lời khi đã nhận được nhãn

từ LSR phía trước nó

Việc phân phối và phân bổ nhãn qua miền ATM-LSR có các đặc điểm sau:

 Việc cấp nhãn trong các thiết bị có khả năng kiểm tra lớp 3(router) được thực hiện

mà không quan tâm tới việc router đã nhận nhãn cho cùng prefix (same prefix)trong router kế tiếp hay chưa Vì thế việc cấp nhãn trong các router được gọi làđiều khiển độc lập

 Cấp nhãn trong các thiết bị mà không có khả năng kiểm tra lớp 3 (chuyển mạchATM) sẽ được thực hiện nếu một nhãn phía trước phù hợp đã cấp Vì thế cấpnhãn trong chuyển mạch ATM được gọi là điều khiển thứ tự (ordered control)

 Phương pháp phân phối qua giao diện LC-ATM là downstream on demand bởi vìmột LSR khai báo nhãn qua LC-ATM chỉ khi nhãn này xác định được yêu cầubởi LSR phía sau

Hình 3 4: Cấp nhãn trong miền ATM-LSRXem mô hình miêu tả phân phối và cấp nhãn Đích là X, đích này có thể đến thông quarouter New York POP trong mạng Các bước phân phối và cấp nhãn như sau:

 Router San Jose cần một nhãn để đến đích X Bảng định tuyến của nó chỉ ra rằngđích này đến được thông qua một giao diện LC-ATM, vì thế nó yêu cầu một nhãn

từ ATM-LSR phía trước

 San Francisco ATM-LSR là một chuyển mạch ATM truyền thống hoạt động theothứ tự ở mode điều khiển, vì thế nó yêu cầu một nhãn từ chuyển mạch ATMWashington

 Tương tự như thế, chuyển mạch ATM Washington yêu cầu một nhãn từ routerNew York

 Router New York hoạt động trong mode điều khiển động lập và ngay lập tức cóthể cấp một nhãn cho yêu cầu đó Nếu router New York đã có một nhãn phía

trước cho đích X, nó sẽ được nhập vào bảng ánh xạ giữa cặp VPI/VCI đã cấp vớinhãn phía trước trong bảng Cơ sở thông tin chuyển tiếp nhãn (LFIB) Ngược lại,

nó kết hợp một hoạt động pop với cặp VPI/VCI đã được cấp Cặp VPI/VCI nàyđược gửi trở lại cho chuyển mạch Washington ATM trong một gói tin trả lờiTDP/LDP

 Sau khi nhận được nhãn từ LSR phía trước, chuyển mạch Washington ATM cấpmột nhãn cho LSR phía sau và nhập sự ánh xạ giữa cặp VPI/VCI mới được cấpvới cặp VPI/VCI mà nó nhận được từ router New York trong ma trận chuyểnmạch ATM của nó Giá trị cặp VPI/VCI mới này (1/241) được gửi lại cho chuyểnmạch ATM San Francisco trong một gói tin trả lời TDP/LDP

 Chuyển mạch ATM San Francisco thực hiện các hoạt động tương tự, cấp giá trịVPI/VCI khác (1/85) và gửi cặp này giống như là nhãn để đến đích X cho routerSan Jose

 Sau khi nhận một gói tin trả lời yêu cầu cấp nhãn, router San Jose có thể nhập giátrị VPI/VCI nhận được từ chuyển mạch San Francisco vào Cơ sở thông tinchuyển tiếp (FIB) và Cơ sở thông tin chuyển tiếp nhãn (LFIB)

Hợp nhất VC

Dựa trên các quy tắc phân phối và cấp nhãn ở các phần trước, chúng ta phải cân nhắc để tối

ưu việc sử dụng nhãn qua miền ATM-LSR Ví dụ, nếu một ATM-LSR đã nhận một nhãn để đếnmột đích nào đó từ hàng xóm phía trước (next hop) thì nó cũng có thể tái sử dụng nhãn đó khi cómột LSR phía trước hỏi nhãn để đến cùng đích này Hình dưới đây hai router bên trái sẽ đượccung cấp cùng một nhãn để đến đích 171.68 0.0/16

Hình 3 5: Tối ưu hóa khả năng của cấp nhãn ATM

Tuy nhiên, nếu các tế bào đến đồng thời cùng một lúc từ nhiều nguồn khác nhau thì việc sửdụng chung một giá trị VC cho cùng một đích thì dẫn tới không có khả năng phân biệt gói nàothuộc luồng vào nào và các LSR phía trước sẽ không có khả năng tái tạo lại tế bào Vấn đề nàyđược gọi là xen kẽ tế bào Để tránh trường hợp này, ATM-LSR phải yêu cầu LSR phía trước nónhãn mới mỗi khi LSR phía sau nó đòi hỏi nhãn đến bất kỳ đích nào, kể cả nó đã nhận đượcnhãn cho chính đích đó

Hình 3 6: Luồng các tế bào với việc khai báo nhãn cho cùng một đích

Với một sự thay đổi nhỏ, một số chuyển mạch ATM có thể đảm bảo rằng hai luồng tế bàocùng chiếm một VC sẽ không bao giờ xen kẽ nhau Các chuyển mạch sẽ lưu các tế bào ATMtrong vùng đệm cho đến khi nó nhận được một tế bào có bit kết thúc khung được đặt trong tiêu

đề tế bào ATM Sau đó toàn bộ các tế bào này được truyền qua kênh VC Như vậy bộ đệm trongcác tổng đài này phải tăng thêm và một vấn đề nảy sinh là độ trễ qua chuyển mạch sẽ tăng lên.Quá trình gửi liên tiếp các tế bào ra một kênh ảo đơn VC được gọi là hợp nhất kênh ảo (VCmerg) và nó cho phép các ATM-LSR có thể sử dụng cùng một nhãn cho các gói tin đến từ nhiềuLSR phía sau khác nhau cho cùng một đích đến Chức năng của sự hợp nhất nhãn đã giảm đáng

kể việc cấp nhãn qua miền ATM-LSR

Phần 2: Ứng dụng mạng riêng ảo VPN trên mạng MPLS

Mạng riêng ảo VPN (Virtual Private Network) là một trong những ứng dụng rất quan trọngtrong mạng MPLS Các công ty, doanh nghiệp đặc biệt các công ty đa quốc gia có nhu cầu rấtlớn về loại hình dịch vụ này Với VPN họ hoàn toàn có thể sử dụng các dịch vụ viễn thông,truyền số liệu nội bộ với chi phí thấp, an ninh bảo đảm Nhờ có cơ chế bảo mật và cung cấp lớpdịch vụ (QoS) theo yêu cầu mà MPLS là một công nghệ rất phù hợp cho mạng riêng ảo VPN Ởphần này chúng ta sẽ tìm hiểu về mô hình mạng riêng ảo trên mạng MPLS Đây là một ứngdụng rất quan trọng đáp ứng các yêu cầu của các mạng riêng sử dụng hạ tầng cơ sở thông tinquốc gia với những yêu cầu khác nhau về độ an toàn, bảo mật và chất lượng dịch vụ An ninhmạng không chỉ quan trọng đối với các nhà cung cấp dịch vụ ISP mà còn có ý nghĩa quyết địnhđối với các cơ quan chính phủ và các doanh nghiệp Các giải pháp cho hệ thống WAN như sửdụng đường dây thuê riêng, Frame-relay không có sự mềm dẻo linh hoạt về mặt kết nối, mở rộngmạng cũng như an toàn thông tin, hơn nữa chi phí lại cao Các giải pháp về tường lửa cũng chỉ

đảm bảo chống lại được các cuộc tấn công từ phía ngoài vào trong mạng tại điểm cửa ngõ vàomạng mà thôi, nguy cơ bị tấn công là rất cao Do đó khi đưa ra giải pháp an ninh bảo mật toàndiện cho một hệ thống mạng không thể không kể đến giải pháp mạng riêng ảo VPN

Chương 4: Tổng quan về công nghệ mạng riêng ảo VPN

4 1 Giới thiệu về mạng riêng ảo (Virtual Private Network – VPN )

Mạng riêng ảo ( Virtual Private Network) được định nghĩa là mạng mà khách hàng

có thể kết nối nhiều vị trí được triển khai trên trên một nền tảng cơ sở hạ tầng chia sẻ vớicùng một mức độ truy cập (same access) hoặc chính sách bảo mật (security policies) Mạng riêng ảo hoạt động trên nên giao thức IP đang ngày càng trở nên phổ biến.Công nghệ này cho phép tạo ra một mạng riêng thông qua cơ sở hạ tầng chung của nhàcung cấp dịch vụ Internet (ISP) Các kỹ thuật đảm bảo an ninh khác nhau đã được ápdụng để bảo vệ thông tin của người sử dụng khi trao đổi trong một môi trường chia sẻnhư Internet

“Mạng riêng ảo VPN là một môi trương thông tin ở đó việc truy cập được kiểm soát

và chỉ cho phép thực hiện kết nối thuộc phạm vi đã được xác định trước VPN được xâydựng thông qua việc chia sẻ các phương tiện, môi trường truyền thông chung Việc cungcấp các dịch vụ cho mạng riêng được thực hiện thông qua các phương tiện, môi trườngnày”

Một cách miêu tả đơn giản hơn là:

“Mạng riêng ảo VPN là một mạng riêng được xây dựng trên cơ sở hạ tầng củamạng chung”, ví dụ như mạng Internet

4 2 Sự phát triển của VPN

Ban đầu các mạng máy tính được triển khai với hai công nghệ chính: leased-linescho các kết nối lâu dài và dial-up lines cho các kết nối không liên tục, chỉ khi có yêu cầu

Hình 4 1: Mạng máy tính điển hình cách đây 15 năm

Ban đầu mạng máy tính được triển khai cho khách hàng với tính bảo mật khá tốt, nhưnggiá cả lại khá cao bởi hai lý do sau:

 Lưu lượng trao đổi giữa hai vùng trong mạng thay đổi theo từng thời điểm trongngày, từng ngày trong tháng, thậm chí là theo mùa (ví dụ, lưu lượng trong đợt có

sự kiện quan trọng tăng lên đáng kể)

 Người sử dụng đầu cuối luôn luôn yêu cầu được đáp ứng nhanh, kết quả là yêucầu băng thông cao giữa các site, nhưng băng thông thuê đó chỉ được sử dụngtrong một khoảng thời gian khi các users ở trạng thái active

Hai lý do trên đã thúc đẩy các nhà cung cấp dịch vụ phát triển và triển khai một công nghệcung cấp cho khách hàng với chất lượng dịch vụ tương đương với đường lised lines Công nghệmạng riêng ảo đầu tiên dựa trên các công nghệ như X 25 và Frame-relay, sau này có SMDS vàATM

Hình 4 2: Mạng Frame-relay đặc trưngGiải pháp VPN bao gồm các yếu tố sau:

 Nhà cung cấp dịch vụ là một tổ chức sở hữu cơ sở hạ tầng (Các thiết bị và môitrường truyền) cung cấp đường leased line cho khách hàng Theo kiểu này thì nhàcung cấp dịch vụ giới thiệu tới khách hang một Dịch vụ mạng riêng ảo (VirtualPrivate Network Service)

 Khách hàng kết nối tới nhà cung cấp dịch vụ qua thiết bị CPE (CustomerPremises Equipment) CPE thường là một thiết bị cung cấp kết nối đầu cuối, cóthể là một bridge hoặc một router Thiết bị CPE đôi lúc được gọi là thiết bịKhách hàng biên (Customer Edge)

 Thiết bị CPE được kết nối qua môi trường truyền (thường là leased line, nhưngkhông thể là kết nối dial-up) tới thiết bị của nhà cung cấp dịch vụ, có thể là X 25,Frame-relay hoặc chuyển mạch ATM, hoặc thậm chí là router Thiết bị của nhàcung cấp dịch vụ biên này đôi khi được gọi là thiết bị Cung cấp dịch vụ biên(Provider Edge)

 Nhà cung cấp dịch vụ thường có thêm các thiết bị trong mạng lõi (cũng được gọi

là network) Các thiết bị này được gọi là thiết bị P (devices) ví dụ như: switches hoặc P-router

P- Một mạng liên tục nào đấy của khách hàng được gọi là site Một site có thể kếtnối tới P-network thông qua một hoặc nhiều được truyền, sử dụng một hoặc nhiềuthiết bị CPE hoặc PE

 Nhà cung cấp dịch vụ có thể tính tiền thông qua hoặc là tỉ lệ cố định cho dịch vụVPN, thường dựa trên băng thông cung cấp cho khách hàng, hoặc là tỉ lệ sử dụng,thường dựa vào dung lượng của dữ liệu được trao đổi hoặc thời gian trao đổi dữliệu

4 3 Phân loại VPN

Có 3 loại mạng riêng ảo, đó là:

 Intranet VPN: VPN kết nối hai mạng với nhau (site-to-site) Được sử dụng để kếtnối các văn phòng, chi nhánh trong một công ty Với loại này thì người dùng nội

bộ được tin cậy hơn nên sẽ có mức độ bảo mật thấp hơn, nghĩa là sẽ được truycập vào nhiều nguồn tài nguyên mạng hơn

 Extranet VPN: Được sử dụng khi có nhu cầu trao đổi thông tin giữa mạng củacông ty với mạng của các đối tác bên ngoài Với loại mô hình này đòi hỏi cácchính sách bảo mật phải tốt hơn so với intranet để hạn chế việc truy cập vào cácnguồn tài nguyên của công ty

Hình 4 3: Mô hình mạng Extranet

 Remote acces VPN (VPN truy cập từ xa): Được dùng cho những người làm việc

di động, cần phải truy cập an toàn với mạng tới mạng riêng của công ty từ bất kỳ

vị trí địa lý nào thông qua một môi trường chia sẻ (như mạng điện thoại côngcộng) Một số văn phòng nhỏ cũng có thể sử dụng kiểu truy cập này để nối vớimạng riêng của công ty mình

Thực tế, người dùng từ xa sẽ kết nối tới nhà cung cấp dịch vụ Internet (ISP) vàISP sẽ thiết lập kết nối tới mạng riêng của công ty Sau khi đã tạo được kết nối giữahai máy tính của người dùng ở xa với mạng riêng của công ty, một đường hầm sẽđược thiết lập giữa hai đầu cuối và dữ liệu được trao đổi qua đường hầm đó

4 4 Chức năng của VPN

VPN có các chức năng cơ bản sau:

 Sự tin cậy: Người gửi có thể mã hóa các gói dữ liệu trước khi chúng được truyềnqua mạng Bằng cách này thì người khác không thể truy cập thông tin mà khôngđược sự cho phép Nếu có lấy được thì cũng không đọc được

 Tính toàn vẹn: Người nhận có thể kiểm tra rằng dữ liệu đã được truyền qua mạngInternet mà không có sự thay đổi nào

 Xác thực nguồn gốc: Người nhận có thể xác thực nguồn gốc của gói dữ liệu, đảmbảo và xác thực nguồn thông tin

4 5 Đường hầm và mã hóa

Chức năng của VPN đó là cung cấp sự bảo mật bằng cách mã hóa qua một đường hầm Đườnghầm (Tunnel) cung cấp các kết nối logic, điểm tới điểm qua mạng IP không hướng kết nối Điềunày giúp cho việc sử dụng các ưu điểm, các tính năng bảo mật Các giải pháp đường hầm choVPN là sử dụng mã hóa để bảo vệ dữ liệu không bị xem trộm bởi bất kỳ ai không được phép và

để thực hiện đóng gói đa giao thức nếu cần thiết Mã hóa (encryption) dùng để đảm bảo dữ liệukhông đọc được với bất kỳ ai, nhưng có thể đọc được bởi người nhận Khi mà có nhiều thông tinlưu thông trên mạng thì sự cần thiết đối với việc mã hóa thông tin càng trở nên quan trọng Mãhóa sẽ biến đổi nội dung tin thành dạng vô nghĩa trong dạng mật mã của nó Tại người nhận sẽ

sử dụng chức năng giải mã được cung cấp để giải mã nội dung của thông điệp

 PPTP(Point-to-Point Tunneling Protocol) được PPTP Forum phát triển Giaothức này hỗ trợ mã hóa 40 bit và 128 bit, dùng bất kỳ cơ chế thẩm định quyềntruy cập nào được PPP hỗ trợ

 L2TP là dự án kết hợp của Cisco L2F và Microsoft PPTP Kết hợp các tính năngcủa cả PPTP và L2F, L2TP cũng hỗ trợ đầy đủ IPSec L2TP có thể được sử dụnglàm giao thức Tunneling cho mạng VPN point-to-point (Intranet VPN và ExtranetVPN) và VPN truy cập từ xa ( Remote Access VPN) Trên thực tế, L2TP có thểtạo ra một tunnel giữa máy khách và router, NAS và router (NAS - NetworkAccess Server – Là thiết bị quản lý RAS (Remote Access Server) cho phép kháchhàng thực hiện cuộc gọi, thực hiện quá trình khởi tạo sự xác nhận và chuyển tiếpcuộc gọi (qua L2F hoặc L2TP) tới gateway của khách hàng) và giữa router vớirouter So với PPTP thì L2TP có nhiều đặc tính mạnh và an toàn hơn

 L2TP được sử dụng để tạo ra một môi trường độc lập, mạng quay số riêng ảoVPDN ( Virtual Private Dial Network) L2TP cho phép người dùng yêu cầu mộtchính sách bảo mật tổng thể qua bất kỳ một tuyến VPN hay VPDN nào giống như

L2TP sử dụng PPP để thiết lập kết nối vật lý Khi PPP thiết lập kết nối xong, đầu tiênL2TP sẽ xác định xem máy phục vụ mạng tại phía công ty có nhận ra người sử dụng đầu cuốihay không và có sẵn sàng phục vụ như là một điểm đầu cuối của đường hầm hay không Nếuđường hầm có thể được tạo ra L2TP sẽ thực hiện vai trò đóng gói các gói tin để truyền đi

Khi L2TP tạo ra các đường hầm giữa bộ tập trung truy cập mạng của ISP và máy phục vụmạng phía công ty, nó có thể gán một hoặc nhiều phiên làm việc trong một đường hầm L2TPtạo ra một số nhận dạng cuộc gọi (call ID) và chèn Call ID này vào phần đầu của L2TP trongmỗi một gói tin để chỉ ra gói tin đó thuộc phiên làm việc nào

L2TP cho phép giảm lưu lượng mạng và cho phép các máy phục vụ điều khiển việc tắcnghẽn đường truyền bằng cách thực hiện cơ chế điều khiển luồng giữa máy phục vụ truy cậpmạng của ISP , còn được gọi là bộ tập trung truy cập L2TP (L2TP Access Connector – LAC), vàmáy phục vụ mạng phía công ty, còn được gọi là máy phục vụ mạng L2TP (L2TP NetworkServer – LNS) Các bản tin điều khiển được sử dụng để xác định tỷ lệ đường truyền và các thông

số bộ đệm để điều khiển luồng các gói tin PPP của một phiên làm việc trong một đường hầm

4 6 2 Giao thức đóng gói định tuyến chung GRE

Trong VPN loại này, giao thức đóng gói định tuyến chung GRE cung cấp cơ cấu đóng góigiao thức gói tin (Passenger Protocol) để truyền đi trên giao thức truyền tải (Carrier Protocol)

Nó bao gồm thông tin về về loại gói tin mà bạn đang mã hóa và thông tin về kết nối giữa máychủ và máy khách Giao thức này đóng gói IP, CLNP và bất kỳ các gói dữ liệu giao thức khác

vào bên trong các đường hầm IP Với GRE, một router Cisco ở mỗi điểm sẽ đóng gói các gói dữliệu của một giao thức cụ thể vào trong một tiêu đề IP, tạo ra một đường kết nối ảo point-to-pointtới các router Cisco ở các địa điểm khác trong một đám mây mạng IP, tại đó tiêu đề IP được gỡ

bỏ

Bằng cách kết nối các mạng con đa giao thức trong một môi trường đường trục (backbone)đơn giản, đường hầm IP cho phép mở rộng mạng qua một môi trường xương sống đơn giao thức.GRE không cung cấp sự mã hóa và có thể được giám sát bằng một công cụ phân tích giaothức

4 6 3 Giao thức bảo mật IP (IP Security Protocol)

Giao thức bảo mật IPSec cung cấp những tính năng bảo mật cao cấp như các thuật toán mãhóa tốt hơn, quá trình thẩm định quyền đăng nhập toàn diện hơn IPSec hoạt động tốt trên cả hailoại mạng VPN là VPN truy cập từ xa và VPN kết nối point-to-point (Intranet VPN và ExtranetVPN) Tất nhiên, nó phải được hỗ trợ cả hai giao diện Tunnel

IPSec có hai cơ chế mã hóa là Tunnel và Transport Tunnel mã hóa tiêu đề và kích thướccủa mỗi gói tin, còn Transport chỉ mã hóa kích thước Chỉ những hệ thống nào hỗ trợ giao thứcIPSec mới có thể tận dụng được giao thức này Ngoài ra, tất cả các thiết bị phải sử dụng một mãkhóa chung và các tường lửa trên mỗi hệ thống phải có các thiết lập bảo mật giống nhau IPSec

có thể mã hóa dữ liệu giữa nhiều thiết bị khác nhau như router với router, PC với router, PC vớimáy chủ hoặc giữa các firewall với nhau

IPSec cung cấp các dịch vụ bảo mật bằng cách sử dụng IKE (Internet Key Exchange) đểđiều khiển sự thỏa thuận của các giao thức và các thuật toán trên cơ sở các chính sách bảo mậtcục bộ và để tạo ra sự mã hóa và các khóa xác nhận được sử dụng bởi IPSec

IPSec hoạt động ở lớp 3, vì vậy nó chỉ truyền được gói tin IP Trong khi L2TP hoạt động ởlớp 2 (trong mô hình 7 lớp) nên có thể truyền các gói của nhiều giao thứ khác nhau như IP, IPXhoặc NETBEUI Giao thức L2TP có thể được hỗ trợ bởi giao thức IPSec để tăng cường tính bảomật khi truyền qua mạng

Tiếp theo ta sẽ tìm hiểu kỹ hơn về IPSec

IPSec là giao thức hoạt động ở lớp 3, đặt một nhóm các giao thức và các công nghệ như

AH (Authentication Header – AH ), ESP (Encapsulating Security Payload), IKE (Internet KeyExchange), DES (Data Encryption Standard), AES (Advanced Encryption Standard) và các kỷthuật khác vào trong hệ thống để đảm bảo cung cấp một phương pháp xác thực tin cậy và an toàncho gói tin IP IPSec được dùng cho cả IPv4 và IPv6 Là một tiêu chuẩn mở, IPSec cho phéphoạt động được với các thiết bị của nhiều nhà sản xuất khác nhau và được sử dụng với nhiều loạiVPN khác nhau

Mặc dù IPSec được triển khai chủ yếu cho sự mở rộng WAN trong môi trường công cộngchia sẻ, tuy nhiên giao thức này có thể được sử dụng cho việc mã hóa và đảm bảo an ninh trongLAN, mạng campus hoặc thậm chí là Intranet VPN Theo IETF RFC 2401, IPSec được thiết kế

để cung cấp khả năng có thể hoạt động liên kết, chất lượng cao cho IPv4 và IPv6 Các dịch vụ về