tìm hiểu về mpls vpn và cài đặt thực nghiệm

tìm hiểu về mpls vpn và cài đặt thực nghiệm

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT TP HỒ CHÍ MINH

KHOA CÔNG NGHỆ THÔNG TIN

KHÓA LUẬN TỐT NGHIỆP

ĐẠI HỌC SƯ PHẠM KỸ THUẬT TP.HỒ CHÍ MINH

KHOA CÔNG NGHỆ THÔNG TIN

Họ tên SV: Lê Diên Tâm MSSV:05110119

Chuyên ngành: Mạng máy tính và viễn thông

Tên đề tài: Tìm hiểu về MPLS VPN và cài đặt thực nghiệm

Nội dung thực hiện:

Lý thuyết:

Giới thiệu về công nghệ VPN

Tìm hiểu về công nghệ chuyển mạch nhãn đa giao thức - MPLS: khái niệm, lợi ích,

và cách hoạt động của MPLS

Tìm hiểu về MPLS VPN: các thành phần, cách hoạt động

Thực hành:

Cấu hình MPLS VPN trên sản phẩm của cisco

Thời gian thực hiện: 10/09/09 – 31/12/09

Chữ ký của SV: Chữ ký của SV:

TP.HCM, Ngày… tháng… Năm 2010

TRƯỞNG KHOA CNTT GIẢNG VIÊN HƯỚNG DẪN (Ký và ghi rõ họ tên) (Ký và ghi rõ họ tên)

NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN

Tp Hồ Chí Minh, ngày … tháng … năm 2010

Giáo viên hướng dẫn

KS Huỳnh Nguyên Chính

NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN

Tp Hồ Chí Minh, ngày … tháng … năm 2010

Giáo viên phản biện

ThS Đinh Công Đoan

NHẬN XÉT CỦA HỘI ĐỒNG PHẢN BIỆN

Tp Hồ Chí Minh, ngày … tháng … năm 2010

Hội đồng phản biện

LỜI CẢM ƠN

Nhóm em xin chân thành cám ơn thầy Huỳnh Nguyên Chính đã hướng dẫn

nhóm thực hiện đề tài Thầy đã nhắc nhở và theo sát hướng dẫn trong quá trình thực

hiện đề tài Thầy đã cung cấp các tài liệu và giải đáp các thắc mắc, các sai sót của

nhóm Xin cám ơn thầy đã nhiệt tình giúp đỡ trong quá trình nhóm thực hành Xin

chân thành cảm ơn thầy

Xin cảm ơn các nhóm khác đã giúp đỡ nhóm trong quá trình thực hiện đề tài,

các bạn đã nhận xét, đánh giá góp ý rất nhiều, bên cạnh đó các bạn còn giúp đỡ tài

liệu tham khảo và động viên nhóm trong quá trình thực hiện

Chúng em cũng xin chân thành gửi lời cảm ơn đến tất cả những thầy cô trong

Khoa Công Nghệ Thông Tin đã giúp đỡ và đóng góp ý kiến cho chúng em trong

suốt quá trình thực hiện đề tài

Xin chân thành cảm ơn!

Nhóm thực hiện

MỤC LỤC

NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN I

NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN II

NHẬN XÉT CỦA HỘI ĐỒNG PHẢN BIỆN III

LỜI CẢM ƠN IV

DANH MỤC HÌNH MINH HỌA VIII

DANH SÁCH TỪ VIẾT TẮT XI

PHẦN MỞ ĐẦU - 1 -

1 Tính cấp thiết của đề tài - 2 -

2 Mục tiêu của đề tài - 3 -

3 Đối tượng nghiên cứu - 3 -

4 Phương pháp nghiên cứu - 3 -

5 Phạm vi nghiên cứu - 3 -

6 Ý nghĩa thực tiễn của đề tài - 3 -

PHẦN NỘI DUNG - 4 -

CHƯƠNG 1 GIỚI THIỆU VỀ CÔNG NGHỆ VPN - 5 -

1.1 VPN là gì? - 5 -

1.2 Phân loại VPN - 6 -

1.2.1 VPN cho các nhà doanh nghiệp - 6 -

1.2.1.1 Remote access VPN - 6 -

1.2.1.2 Site–to–site VPN - 7 -

1.2.2 VPN đối với các nhà cung cấp dịch vụ - 8 -

1.2.2.1 Mô hình overlay VPN - 8 -

1.2.2.2 Mô hình Peer-to-peer VPN - 9 -

1.3 Tổng kết chương - 11 -

CHƯƠNG 2 CHUYỂN MẠCH NHÃN ĐA GIAO THỨC – MPLS - 12 -

2.1 Sơ lược về công nghệ IP và công nghệ ATM - 12 -

2.1.1 Công nghệ IP - 12 -

2.1.2 Công nghệ ATM - 12 -

2.2 Khái niệm cơ bản về MPLS - 14 -

2.2.1 Lợi ích của MPLS - 14 -

2.2.2 Một số ứng dụng của MPLS - 15 -

2.3 Các thành phần trong MPLS - 16 -

2.3.1 Nhãn - 16 -

2.3.2 Ngăn xếp nhãn - 17 -

2.3.3 Lớp chuyển tiếp tương đương FEC - 18 -

2.3.4 Đường chuyển mạch nhãn LSP - 18 -

2.3.5 Cơ sở dữ liệu nhãn LIB - 19 -

2.3.6 Topo mạng MPLS - 19 -

2.3.7 Thành phần cơ bản của MPLS - 20 -

2.3.7.1 Thiết bị LSR - 20 -

2.3.7.2 Thiết bị LER - 20 -

2.4 Giao thức phân phối nhãn LDP - 20 -

2.4.1 Quá trình khám phá láng giềng LSR - 21 -

2.4.2 Các kiểu phân phối nhãn - 22 -

2.5 Cấu trúc MPLS - 23 -

2.5.1 Mặt phẳng điều khiển - 25 -

2.5.2 Mặt phẳng dữ liệu - 26 -

2.5.3 Các thành phần bên trong mặt phẳng điều khiển và mặt phẳng dữ liệu- 26 - 2.6 Các giao thức định tuyến - 28 -

2.6.1 Giao thức định tuyến OSPF - 28 -

2.6.2 Giao thức định tuyến EIGRP - 29 -

2.6.3 Giao thức định tuyến BGP - 29 -

2.7 Phương thức hoạt động của MPLS - 30 -

2.8 Tổng kết chương - 37 -

CHƯƠNG 3 MPLS VPN - 38 -

3.1 MPLS VPN là gì? - 38 -

3.2 Lợi ích của MPLS VPN - 39 -

3.3 Các thành phần trong MPLS VPN - 40 -

3.3.1 Virtual Routing and Forwarding Table (VRF) - 40 -

3.3.2 Multiprotocol BGP (MP-BGP) - 41 -

3.3.3 Route Distinguisher (RD) - 41 -

3.3.4 Route Targets (RT) - 43 -

3.4 Cách hoạt động MPLS VPN - 44 -

3.5 Hoạt động của mặt phẳng điều khiển MPLS VPN - 45 -

3.6 Hoạt động của mặt phẳng dữ liệu MPLS VPN - 47 -

3.7 So sánh VPN truyền thống và MPLS VPN - 48 -

3.7.1 VPN truyền thống - 48 -

3.7.2 MPLS VPN - 50 -

3.8 Tổng kết chương - 51 -

CHƯƠNG 4 THỰC NGHIỆM - 52 -

4.1 Cấu hình - 53 -

4.2 Thông tin định tuyến - 63 -

4.3 Kiểm tra - 66 -

PHẦN KẾT LUẬN - 71 -

TÀI LIỆU THAM KHẢO - 74 -

DANH MỤC HÌNH MINH HỌA

Hình 1.1 Mô hình remote access VPN - 6 -

Hình 1.2 Mô hình Site-to-site VPN - 7 -

Hình 1.3 Mô hình overlay VPN - 8 -

Hình 1.4 Mô hình peer-to-peer VPN - 9 -

Hình 1.5 Mô hình shared-router và dedicated-router - 11 -

Hình 2.1 Mô hình chuyển tiếp gói tin trong IP - 12 -

Hình 2.2 Mô hình ATM - 13 -

Hình 2.3 Khái niệm về MPLS - 14 -

Hình 2.4 Cấu trúc mào đầu MPLS - 16 -

Hình 2.5 Nhãn MPLS - 16 -

Hình 2.6 Nhãn của stack - 18 -

Hình 2.7 Topo mạng MPLS - 19 -

Hình 2.8 Quá trình khám phá láng giềng bằng LDP - 22 -

Hình 2.9 Quá trình trao đổi thông tin nhãn trong LDP - 22 -

Hình 2.10 Mặt phẳng điều khiển và mặt phẳng dữ liệu - 24 -

Hình 2.11 Các modul điều khiển MPLS - 25 -

Hình 2.12 Các thành phần MPLS trong mặt phẳng điều khiển và mặt phẳng dữ liệu - 28 -

Hình 2.13 Định tuyến, chuyển mạch, chuyển tiếp - 31 -

Hình 2.14 Mạng MPLS - 32 -

Hình 2.15 Quá trình xây dựng bảng routing table - 33 -

Hình 2.16 Quá trình gán nhãn của router B - 33 -

Hình 2.17 Quá trình phân phối nhãn của router B - 34 -

Hình 2.18 Quá trình tạo bảng LIB - 34 -

Hình 2.19 Quá trình phân phối nhãn của router C - 35 -

Hình 2.20 Quá trình tạo bảng LFIB - 35 -

Hình 2.21 Quá trình kiểm gán nhãn tại ingress LSR - 36 -

Hình 2.22 Quá trình hoán đổi nhãn - 36 -

Hình 2.23 Quá trình tháo nhãn tại egress LSR - 37 -

Hình 3.1 Mô hình MPLS VPN - 38 -

Hình 3.2 Bảng VRF - 40 -

Hình 3.3 Giá trị RD - 41 -

Hình 3.4 Quá trình gán RD - 42 -

Hình 3.5 Quá trình tháo RD - 42 -

Hình 3.6 Hoạt động của MPLS lớp 3 - 44 -

Hình 3.7 Hoạt động của MPLS lớp 2 - 45 -

Hình 3.8 Mặt phẳng điều khiển MPLS VPN - 45 -

Hình 3.9 Mặt phẳng dữ liệu MPLS VPN - 47 -

Hình 3.10 Mô hình VPN truyền thống - 48 -

Hình 3.11 MPLS VPN - 50 -

Hình 4.1 Mô hình thực nghiệm MPLS VPN - 52 -

Hình 4.2 Thông tin định tuyến của A1 - 63 -

Hình 4.3 Thông tin định tuyến của A2 - 63 -

Hình 4.4 Thông tin định tuyến của B1 - 64 -

Hình 4.5 Thông tin định tuyến của B2 - 64 -

Hình 4.6 Thông tin định tuyến của PE01 - 65 -

Hình 4.7 Thông tin định tuyến của PE02 - 65 -

Hình 4.8 Thông tin định tuyến của P - 66 -

Hình 4.9 show mpls ldp bindings PE01 - 66 -

Hình 4.10 show mpls ldp bindings P - 67 -

Hình 4.11 show mpls ldp bindings PE02 - 67 -

Hình 4.12 bảng LFIB trên PE01 - 67 -

Hình 4.13 bảng LFIB trên P - 68 -

Hình 4.14 bảng LFIB trên PE02 - 68 -

Hình 4.15 bảng định tuyến vrf A1 trên PE01 - 68 -

Hình 4.16 bảng định tuyến vrf A2 trên PE02 - 69 -

Hình 4.17 bảng định tuyến vrf B1 trên PE01 - 69 -

Hình 4.18 bảng định tuyến vrf B2 trên PE02 - 70 -

Hình 4.19 A1 ping A2 - 70 -

Hình 4.20 B1 ping B2 - 70 -

Hình 4.21 A1 ping B2 - 70 -

DANH SÁCH TỪ VIẾT TẮT

Từ viết tắt Từ tiếng Anh

AS Autonomous system

ATM Asynchronous Transfer Mode

BGP Border Gateway Protocol

B-ISDN Broadband Integrated Services Digital Network

CE customer edge

CEF Cisco Express Forwarding

CIDR Classless Interdomain Routing

CLP Cell Loss Priority

CPE Customer Premise Equipment

CSR Cell switch router

DLCI data link connection identifier

DoS Denial of Service

eBGP External Border Gateway Protocol

EGP Exterior Gateway Protocol

EIGRP Enhanced Interior Gateway Routing Protocol

FEC Fowarding Equivalent Class

FIB Forwarding Information Base

FR Frame Relay

GFC Generic Flow Control

HDLC High Level Data Link Control

HEC Header error check

iBGP Internal Border Gateway Protocol

ICMP Internet Control Message Protocol

IGP Interior Gateway Protocol

IP Internet Protocol

IPSec Internet protocol security

IPv4 Internet protocol v4

ISDN Integrated Services Digital Network

ISP Internet Service Providers

LDP Label Distribute Protocol

LERs Label Edge Router

LFIB Label Forwarding Information Base

LIB Label Information Base

LSP Label Switched Path

LSRs Label Switch Router

MED Media Endpoint Discovery

MP-BGP Multiprotocol BGP

MPLS Multiprotocol Label Switching

MTU Maximum Transmission Unit

NBMA Non-Broadcast Multiple Access

NGN Next Generation Network

OSI Open Systems Interconnection

OSPF Open Shortest Path First

PE provider edge

PPP Point to Point Protocol

PT Payload Type

PVC permanent virtual circuit

QoS Quality of service

RD Route Distinguisher

RIB Routing Information Base

RT Route Targets

SP Service Provider

SDN Software Defined Networks

SVC Switch virtual circuit

TCP Transport Control Protocol

TTL Time To Live

UDP User Datagrame Protocol

VC Virtual channel

VCI Virtual Channel Identifier

VLSM Variable Length Subnet Mask

VPI Virtual Path Identifier

VPDN Virtual private dial-up network

VPN Virtual Private Network

VRF Virtual Routing and Forwarding Table

WAN Wide Area Network

PHẦN MỞ ĐẦU

A

1 Tính cấp thiết của đề tài

Hiện nay với tốc độ phát triển chóng mặt của Internet và lợi ích to lớn do việc

áp dụng công nghệ thông tin vào mọi lĩnh vực, đặc biệt là trong lĩnh vực văn phòng, quản lí… thì mạng riêng ảo dường như là thứ không thể thiếu đối với các công ty

Từ nhu cầu truy cập dữ liệu của công ty từ xa, đến việc tạo mối quan hệ với khách hàng, giúp họ có thể khai thác một phần nguồn tài nguyên của mình mà vẫn đảm bảo tính bảo mật cần thiết cho thông tin

VPN truyền thống dựa trên công nghệ ATM, Frame Relay và IP gặp không ít nhươ ̣c điểm như khả năng quản lý, tính bảo mật, chất lượng dịch vụ Hâ ̣u quả là có thể mất lưu lươ ̣ng, mất kết nối, thâ ̣m chí giảm đă ̣c tính của ma ̣ng Ngoài ra còn phải kể đến các chi ph í không nhỏ dành cho việc thuê dịch vụ viễn thông để kết nối

MPLS VPN giải quyết được những hạn chế của các mạng VPN truyền thống dựa trên công nghệ ATM, Frame Relay và IP như tiết kiệm thời gian, giảm chi phí lắp đặt và có độ bảo mật cao cho doanh nghiệp Do vậy việc tìm hiểu và ứng dụng VPN trên nền MPLS đươ ̣c xem là v ấn đề cấp thiết để giúp doanh nghiệp có thể dễ dàng tiếp cận với công nghệ mới này và từ đó có thể ứng dụng vào việc phát triển của doanh nghiệp mình cùng với sự đi lên của ngành mạng viễn thông quốc tế

2 Mục tiêu của đề tài

Mục tiêu của đề tài là:

 Tìm hiểu về MPLS VPN và áp dụng MPLS VPN để cài đặt thực nghiệm

 Giúp cho người đọc có những khái niệm cơ bản về MPLS và từ đó có thể xây dựng một mạng MPLS VPN đơn giản

3 Đối tượng nghiên cứu

Tìm hiểu và triển khai MPLS VPN

4 Phương pháp nghiên cứu

Khi thực hiện đề tài này, nhóm nghiên cứu đã dùng các phương pháp sau:

 Phương pháp phân tích tài liệu: dùng để tìm hiểu thông tin và ý nghĩa của các khái niệm liên quan đến MPLS và VPN Thông qua phương tiện là Internet để tìm tài liệu phục vụ cho đề tài

 Phương pháp thực nghiệm: dựa trên mô hình triển khai thực nghiệm, nhóm đã thực hành cấu hình MPLS VPN Qua đó bổ sung kiến thức lý thuyết cho từng phần

5 Phạm vi nghiên cứu

Do tính chất của đề tài và điều kiện thực tế nên nhóm nghiên cứu chỉ tiến hành nghiên cứu các vấn đề liên quan đến VPN trong MPLS và triển khai trên

mô hình thực nghiệm

6 Ý nghĩa thực tiễn của đề tài

Việc tìm hiểu về MPLS VPN giúp cho các nhà cung cấp dịch vụ có thể triển khai và ứng dụng trong thực tế đồng thời khắc phục được những nhược điểm của các mạng VPN truyền thống

PHẦN NỘI DUNG

B

CHƯƠNG 1 GIỚI THIỆU VỀ CÔNG NGHỆ VPN

1.1 VPN là gì?

VPN là công nghệ cho phép kết nối các thành phần của một mạng riêng (private network) thông qua hạ tầng mạng công cộng (Internet) VPN hoạt động dựa trên kỹ thuật tunneling: gói tin trước khi được chuyển đi trên VPN sẽ được

mã hóa và được đặt bên trong một gói tin có thể chuyển đi được trên mạng công cộng Gói tin được truyền đi đến đầu bên kia của kết nối VPN Tại điểm đến bên kia của kết nối VPN, gói tin đã bị mã hóa sẽ được “lấy ra” từ trong gói tin của mạng công cộng và được giải mã

Các giai đoạn phát triển của VPN:

 Thế hệ VPN thứ nhất do AT&T phát triển có tên là SDN

 Thế hệ thứ 2 là ISND và X25

 Thế hệ thứ 3 là Frame relay và ATM

 Và thế hệ hiện nay, thế hệ thứ 4 là VPN trên nền mạng IP

 Thế hệ tiếp theo sẽ là VPN trên nền mạng MPLS

VPN gồm các vùng sau:

 Mạng khách hàng (Customer network): gồm các router tại các site khách hàng khác nhau Các router kết nối các site cá nhân với mạng của nhà cung cấp được gọi là các router biên phía khách hàng CE

 Mạng nhà cung cấp (Provider network): được dùng để cung cấp các kết nối point-to-point qua hạ tầng mạng của nhà cung cấp dịch vụ Các thiết

bị của nhà cung cấp dịch vụ mà nối trực tiếp với CE router được gọi là router biên phía nhà cung cấp PE Mạng của nhà cung cấp còn có các thiết bị dùng để chuyển tiếp dữ liệu trong mạng trục (SP backbone) được gọi là các router nhà cung cấp (P- provider)

1.2 Phân loại VPN

Phân loại VPN bao gồm:

 VPN cho các nhà doanh nghiệp

 VPN đối với các nhà cung cấp dịch vụ

1.2.1 VPN cho các nhà doanh nghiệp

1.2.1.1 Remote access VPN

VPN truy cập từ xa hay mạng riêng ảo quay số - VPDN đuợc triển khai, thiết kế cho những khách hàng riêng lẻ ở xa như những khách hàng đi đường hay những khách hàng truy cập vô tuyến Trước đây, các

tổ chức, tập đoàn hỗ trợ cho những khách hàng từ xa theo những hệ thống quay số Đây không phải là một giải pháp kinh tế, đặc biệt khi một người gọi lại theo đường truyền quốc tế Với sự ra đời của VPN truy cập từ xa, một khách hàng di động gọi điện nội hạt cho nhà cung cấp dịch vụ Internet (ISP) để truy cập vào mạng tập đoàn của họ chỉ với một máy tính cá nhân được kết nối Internet cho dù họ đang ở bất kỳ đâu VPN truy cập từ xa là sự mở rộng những mạng quay số truyền thống Trong hệ thống này, phần mềm PC cung cấp một kết nối an toàn, như một đường hầm cho tổ chức Bởi vì những người sử dụng chỉ thực hiện các cuộc gọi nội hạt nên chi phí giảm

Hình 1.1 Mô hình remote access VPN

1.2.1.2 Site–to–site VPN

VPN site-to-site được triển khai cho các kết nối giữa các vùng khác nhau của một tập đoàn hay tổ chức Nói cách khác mạng ở một địa điểm, vị trí được nối kết với mạng ở một vị trí khác sử dụng một VPN Truớc đây, một kết nối giữa các vị trí này là kênh thuê riêng hay Frame relay Tuy nhiên, ngày nay hầu hết các tổ chức, đoàn thể, tập đoàn đều

sử dụng Internet, với việc sử dụng truy cập Internet, VPN site-to-site có thể thay thế kênh thuê riêng truyền thống và Frame relay VPN site-to-site là sự mở rộng và kế thừa có chọn lọc mạng WAN Hai ví dụ sử dụng VPN site-to-site là VPN Intranet và VPN Extranet VPN Intranet

có thể xem là những kết nối giữa các vị trí trong cùng một tổ chức, người dùng truy cập các vị trí này ít bị hạn chế hơn so với VPN Extranet VPN Extranet có thể xem như những kết nối giữa một tổ chức

và đối tác kinh doanh của nó, người dùng truy cập giữa các vị trí này được các bên quản lý chặt chẽ tại các vị trí của mình

Hình 1.2 Mô hình Site-to-site VPN

1.2.2 VPN đối với các nhà cung cấp dịch vụ

Dựa trên sự tham gia của nhà cung cấp dịch vụ trong việc định tuyến cho khách hàng, VPN có thể chia thành hai loại mô hình:

là mô hình Overlay

Nếu mạch ảo là cố định, sẵn sàng cho khách hàng sử dụng mọi lúc thì đƣợc gọi là mạch ảo cố định PVC Nếu mạch ảo đƣợc thiết lập theo yêu cầu (on-demand) thì đƣợc gọi là mạch ảo chuyển đổi SVC

Hạn chế chính của mô hình Overlay là các mạch ảo của các site khách hàng kết nối dạng full mesh Nếu có N site khách hàng thì tổng

số lƣợng mạch ảo cần thiết N(N-1)/2

Overlay VPN được thực thi bởi SP để cung cấp các kết nối layer 1 (physical) hay mạch chuyển vận lớp 2 (Data link – dạng dữ liệu frame hoặc cell) giữa các site khách hàng bằng cách sử dụng các thiết bị Frame relay hay ATM Switch Do đó, SP không thể nhận biết được việc định tuyến ở khách hàng

Overlay VPN còn thực thi các dịch vụ qua layer 3 với các giao thức tạo đường hầm như GRE, IPSec… Tuy nhiên, dù trong trường hợp nào thì mạng của nhà cung cấp vẫn trong suốt với khách hàng, và các giao thức định tuyến chạy trực tiếp giữa các router của khách hàng

1.2.2.2 Mô hình Peer-to-peer VPN

Hình 1.4 Mô hình peer-to-peer VPN

Mô hình peer-to-peer khắc phục những nhược điểm của mô hình Overlay và cung cấp cho khách hàng cơ chế vận chuyển tối ưu qua SP backbone, vì nhà cung cấp dịch vụ biết mô hình mạng khách hàng và do

đó có thể thiết lập định tuyến tối ưu cho các định tuyến của họ

Nhà cung cấp dịch vụ tham gia vào việc định tuyến của khách hàng Thông tin định tuyến của khách hàng được quảng bá qua mạng của nhà cung cấp dịch vụ Mạng của nhà cung cấp dịch vụ xác định đường đi tối

ưu từ một site khách hàng đến một site khác

Việc phát hiện các thông tin định tuyến riêng của khách hàng bằng cách thực hiện lọc gói (packet) tại các router kết nối với mạng khách hàng

Peer-to-peer VPN chia làm 2 loại:

 Shared-router

Router dùng chung, tức là khách hàng VPN chia sẽ cùng router biên mạng nhà cung cấp PE Ở phương pháp này, nhiều khách hàng có thể kết nối đến cùng router PE

Trên router PE phải cấu hình access-list cho mỗi interface PE-CE để đảm bảo chắc chắn sự cách ly giữa các khách hàng VPN, để ngăn chặn VPN của khách hàng này thực hiện các tấn công từ chối dịch vụ DoS vào VPN của khách hàng khác Nhà cung cấp dịch vụ chia mỗi phần trong không gian địa chỉ của nó cho khách hàng và quản lý việc lọc gói tin trên Router PE

Hình 1.5 Mô hình shared-router và dedicated-router Nhƣợc điểm của mô hình peer-to-peer:

 Không gian địa chỉ các khách hàng không đƣợc trùng nhau

 Địa chỉ khách hàng do nhà cung cấp kiểm soát

CHƯƠNG 2 CHUYỂN MẠCH NHÃN ĐA GIAO THỨC – MPLS

2.1 Sơ lược về công nghệ IP và công nghệ ATM

2.1.1 Công nghệ IP

IP là thành phần chính của kiến trúc của mạng Internet Trong kiến trúc

này, IP đóng vai trò lớp 3 và nó định nghĩa cơ cấu đánh số, cơ cấu chuyển

tin, cơ cấu định tuyến và các chức năng điều khiển ở mức thấp (ICMP) Gói

tin IP gồm địa chỉ của bên nhận, địa chỉ là một số duy nhất trong toàn mạng

và mang đầy đủ thông tin cần cho việc chuyển gói tin tới đích

Ưu điểm nổi bật của giao thức TCP/IP là khả năng định tuyến và truyền

gói tin một cách hết sức mềm dẻo, linh hoạt Nhưng IP không đảm bảo chất

lượng dịch vụ và tốc độ truyền tin theo yêu cầu

Hình 2.1 Mô hình chuyển tiếp gói tin trong IP

2.1.2 Công nghệ ATM

ATM là một kỹ thuật truyền tin tốc độ cao ATM nhận thông tin ở

nhiều dạng khác nhau như thoại, số liệu, video và cắt ra thành nhiều phần

nhỏ gọi là tế bào (cell) Các tế bào này sau đó được truyền qua các kết nối

ảo VC Vì ATM có thể hỗ trợ thoại, số liệu và video với chất lượng dịch vụ

trên nhiều công nghệ băng rộng khác nhau nên nó được coi là công nghệ

chuyển mạch hàng đầu

Công nghệ ATM có thế mạnh ưu việt về tốc độ truyền tin cao, đảm bảo thời gian thực và chất lượng dịch vụ theo yêu cầu định trước Nhưng ATM cũng có nhược điểm là tốn băng thông ( do chia gói tin thành các gói nhỏ

53 byte), lãng phí đường truyền, kích thước gói tin nhỏ bị hạn chế tác dụng khi tốc độ truyền vật lý tăng nhiều

Hình 2.2 Mô hình ATM

Tóm lại: Bên cạnh những ưu điểm của công nghệ IP và công nghệ ATM

còn có những nhược điểm của nó Chính vì vậy công nghệ chuyển mạch nhãn

đa giao thức (MPLS) được đề xuất để tải các gói tin trên các kênh ảo và khắc phục được các vấn đề mà mạng ngày nay đang phải đối mặt, đó là tốc độ , khả năng mở rộng cấp độ mạng, quản lý chất lượng, quản lý băng thông dựa trên đường trục và có thể hoạt động với các mạng Frame relay và chế độ truyền tải không đồng bộ (ATM) hiện nay để đáp ứng các nhu cầu dịch vụ của người sử dụng mạng Công nghệ MPLS kết hợp những ưu điểm của IP (độ mềm dẻo, khả năng mở rộng) và của ATM (tốc độ cao, QoS, điều khiển luồng)

2.2 Khái niệm cơ bản về MPLS

Công nghệ Chuyển mạch nhãn đa giao thức - MPLS là kết quả phát triển của nhiều công nghệ chuyển mạch IP (IP switching) sử dụng cơ chế hoán đổi nhãn như của ATM để tăng tốc độ truyền gói tin mà không cần thay đổi các giao thức định tuyến của IP

Ý tưởng khi đưa ra MPLS là: “Định tuyến ở biên, chuyển mạch ở lõi”

Hình 2.3 Khái niệm về MPLS

2.2.1 Lợi ích của MPLS

MPLS là phương pháp cải tiến cho việc chuyển tiếp các gói tin IP trên mạng bằng cách thêm vào nhãn (label) MPLS kết hợp các ưu điểm của kỹ thuật chuyển mạch (switching) của lớp 2 và kỹ thuật định tuyến (routing) lớp 3 Do sử dụng nhãn để quyết định chặng tiếp theo trong mạng nên router

ít làm việc hơn và hoạt động gần giống như switch

MPLS hỗ trợ mọi giao thức lớp 2, triển khai hiệu quả các dịch vụ IP trên một mạng chuyển mạch IP MPLS hỗ trợ việc tạo ra các tuyến khác nhau giữa nguồn và đích trên một đường trục Internet Bằng việc tích hợp MPLS vào kiến trúc mạng, các ISP có thể giảm chi phí, tăng lợi nhuận, cung cấp nhiều hiệu quả khác nhau và đạt được hiệu quả cạnh tranh cao

Khả năng mở rộng đơn giản

Tăng chất lượng mạng, có thể triển khai các chức năng định tuyến mà các công nghệ trước không thể thực hiện được như định tuyến hiện (explicit routing), điều khiển lặp

Tích hợp giữa IP và ATM cho phép tận dụng toàn bộ các thiết bị hiện tại trên mạng

Tách biệt đơn vị điều khiển với đơn vị chuyển mạch cho phép MPLS hỗ trợ đồng thời MPLS và B-ISDN Việc bổ sung các chức năng mới sau khi triển khai mạng MPLS chỉ cần thay đổi phần mềm điều khiển

 MPLS Traggic Engineer: Cung cấp khả năng thiết lập một hoặc nhiều đường đi để điều khiển lưu lượng mạng và các đặc trưng thực

thi cho một loại lưu lượng

 MPLS QoS (Quality of service): Dùng QoS các nhà cung cấp dịch

vụ có thể cung cấp nhiều loại dịch vụ với sự đảm bảo tối đa về QoS

cho khách hàng

2.3 Các thành phần trong MPLS

2.3.1 Nhãn

Nhãn là một thực thể có độ dài ngắn, cố định và không có cấu trúc bên trong Nhãn không trực tiếp mã hoá thông tin của mào đầu lớp mạng như địa chỉ lớp mạng Nhãn được gán vào một gói tin cụ thể sẽ đại diện cho một FEC mà gói tin đó được ấn định

Dạng của nhãn phụ thuộc vào phương tiện truyền mà gói tin được đóng gói Ví dụ các gói ATM (tế bào) sử dụng giá trị VPI/VCI như nhãn, Frame relay sử dụng DLCI làm nhãn Đối với các phương tiện gốc không có cấu trúc nhãn, một đoạn đệm được chèn thêm để sử dụng cho nhãn Khuôn dạng đoạn đệm 4 byte có cấu trúc như sau:

Hình 2.4 Cấu trúc mào đầu MPLS MPLS định nghĩa một tiêu đề có độ dài 32 bit và được tạo nên tại LSR vào Nó phải được đặt ngay sau tiêu đề lớp 2 bất kì và trước một tiêu đề lớp

3, ở đây là IP và được sử dụng bởi LSR lối vào để xác định một FEC, lớp này sẽ được xét lại trong vấn đề tạo nhãn Sau đó các nhãn được xử lí bởi LSR chuyển tiếp

Hình 2.5 Nhãn MPLS

IP

Đệm MPLS

Mào đầu lớp

2

Nhãn (20) COS(3) S(1) TTL(8)

Khuôn dạng và tiêu đề MPLS được chỉ ra trong hình 2.4 Nó bao gồm các trường sau:

 Nhãn: Giá trị 20 bit, giá trị này chứa nhãn MPLS

 EXP (3 bit): dành cho thực nghiệm, có thể dùng các bit EXP tương

tự như các bit ưu tiên

 S: bit ngăn xếp, sử dụng để xắp xếp đa nhãn

 TTL: Thời gian sống, 8 bit, đặt ra một giới hạn mà các gói MPLS có thể đi qua

Đối với các khung PPP hay Ethernet giá trị nhận dạng giao thức P-ID (hoặc Ethertype) được chèn thêm vào mào đầu khung tương ứng để thông báo khung là MPLS unicast hay multicast

2.3.2 Ngăn xếp nhãn

Là kỹ thuật sử dụng trong việc đóng gói IP Nó cho phép một gói có thể mang nhiều hơn một nhãn Nó được cung cấp bởi việc đưa vào một nhãn mới (mức 2) bên trên nhãn đã tồn tại (mức 1), gói được chuyển tiếp qua mạng dựa trên cơ sở các nhãn ở mức 2, sau khi qua mạng này thì nhãn mức

2 bị loại ra và việc chuyển tiếp này hoạt động dựa trên các nhãn mức 1

Nhãn trên cùng (top) đứng sau header lớp 2, còn nhãn cuối (bottom) đứng trước header lớp 3

Tại mỗi hop router chỉ xử lý nhãn trên cùng của stack

Chuyển mạch nhãn được thiết kế để co dãn các mạng lớn và MPLS hỗ trợ chuyển mạch nhãn với hoạt động phân cấp, hoạt động phân cấp này dựa trên khả năng của MPLS có thể mang nhiều hơn một nhãn trong gói Ngăn xếp nhãn cho phép thiết kế các LSR trao đổi thông tin với nhau và hành động này giống như việc tạo đường viền node để tạo ra một miền mạng rộng lớn và các LSR khác Có thể nói rằng các LSR này là các node bên trong một miền và không liên quan đến đường viền node Việc xử lí một gói nhãn được hoàn thành độc lập với từng mức của sự phân cấp

Chú ý rằng trong stack nhãn thì nhãn cuối luôn có giá trị S là 1, các nhãn còn lại S là 0

Hình 2.6 Nhãn của stack

2.3.3 Lớp chuyển tiếp tương đương FEC

Là một nhóm các gói IP:

 Có cùng một đường đi trên mạng MPLS

 Có cùng xử lý giống nhau tại bất kỳ LSR nào

Trong định tuyến truyền thống, một gói được gán tới một FEC tại mỗi hop Còn trong MPLS chỉ gán một lần tại LSR ngõ vào Trong MPLS các gói tin đến với các prefix khác nhau có thể gộp chung một FEC, bởi vì quá trình chuyển tiếp gói trong miền MPLS chỉ căn cứ vào LSR ngõ vào để gán tới FEC cho việc xác định LSP, còn các LSR còn lại dựa vào nhãn để chuyển gói Với định tuyến IP, gói được chuyển dựa vào IP nên tại mỗi hop gói đều được gán tới một FEC để xác định đường dẫn

2.3.4 Đường chuyển mạch nhãn LSP

Là tuyến tạo ra từ đầu vào đến đầu ra của mạng MPLS dùng để chuyển tiếp gói của một FEC nào đó sử dụng cơ chế chuyển đổi nhãn (label-swapping forwarding)

2.3.5 Cơ sở dữ liệu nhãn LIB

Là bảng kết nối trong LSR có chứa các giá trị nhãn/FEC được gán vào cổng ra cũng như thông tin về đóng gói phương tiện truyền

2.3.6 Topo mạng MPLS

Miền MPLS (MPLS domain) là một “tập kế tiếp các nút hoạt động định

tuyến và chuyển tiếp MPLS” Miền MPLS có thể chia thành Lõi MPLS

(MPLS Core) và Biên MPLS (MPLS Edge)

Hình 2.7 Topo mạng MPLS

Khi một gói tin IP đi qua miền MPLS, nó đi theo một tuyến được xác định phụ thuộc vào FEC mà nó được ấn định khi đi vào miền Tuyến này gọi là Đường chuyển mạch nhãn LSP LSP chỉ một chiều, tức là cần hai LSP cho một truyền thông song công

Các nút có khả năng chạy giao thức MPLS và chuyển tiếp các gói tin gốc IP được gọi là bộ định tuyến chuyển mạch nhãn LSR

 LSR lối vào (Ingress LSR) xử lý lưu lượng đi vào miền MPLS

 LSR chuyển tiếp (Transit LSR) xử lý lưu lượng bên trong miền MPLS

 LSR lối ra (Egress LSR) xử lý lưu lượng rời khỏi miền MPLS

 LSR biên (Edge LSR) thường được sử dụng như là tên chung cho cả LSR lối vào và LSR lối ra

2.3.7 Thành phần cơ bản của MPLS

Các thiết bị tham gia trong một mạng MPLS có thể được phân loại thành các bộ định tuyến biên nhãn LER và các bộ định tuyến chuyển mạch nhãn LSR

2.3.7.1 Thiết bị LSR

Thành phần quan trọng nhất của mạng MPLS là thiết bị định tuyến chuyển mạch nhãn LSR Thiết bị này thực hiện chức năng chuyển tiếp gói tin trong phạm vi mạng MPLS bằng thủ tục phân phối nhãn

2.3.7.2 Thiết bị LER

LER là một thiết bị hoạt động tại biên của mạng truy nhập và mạng MPLS Các LER hỗ trợ các cổng được kết nối tới các mạng không giống nhau (như Frame Relay, ATM, và Ethernet ) và chuyển tiếp lưu lượng này vào mạng MPLS sau khi thiết lập LSP, bằng việc sử dụng các giao thức báo hiệu nhãn tại lối vào và phân bổ lưu lượng trở lại mạng truy nhập tại lối ra LER đóng vai trò quan trọng trong việc chỉ định và huỷ nhãn, khi lưu lượng vào trong hay ra khỏi mạng MPLS LER là nơi xảy ra việc gán nhãn cho các gói tin trước khi vào mạng MPLS

Các thiết bị biên khác với các thiết bị lõi ở chỗ là: ngoài việc phải chuyển tiếp lưu lượng nó còn phải thực hiện việc giao tiếp với các mạng khác

2.4 Giao thức phân phối nhãn LDP

Giao thức phân phối nhãn LDP là giao thức để trao đổi thông tin nhãn giữa các LSR

Cung cấp kỹ thuật giúp cho các LSR có kết nối trực tiếp nhận ra nhau

và thiết lập liên kết cơ chế khám phá (discovery mechanism)

 Bản tin Notification: được sử dụng để thông báo lỗi

Thiết lập kết nối TCP để trao đổi các bản tin (ngoại trừ bản tin Discovery)

Các bản tin là tập hợp những thành phần có cấu trúc < type, length, value>

2.4.1 Quá trình khám phá láng giềng LSR

Giao thức này hoạt động trên kết nối UDP và có thể được xem là giai đoạn nhận biết nhau của hai LSR trước khi chúng thiết lập kết nối TCP Một LSR sẽ quảng bá bản tin hello tới tất cả LSR kết nối trực tiếp với nó trên một cổng UDP mặc định theo một chu kỳ nhất định Tất cả các LSR đều lắng nghe bản tin hello này trên cổng UDP Nhờ đó LSR biết được địa chỉ của tất cả các LSR kết nối trực tiếp với nó Sau khi biết được địa chỉ của một LSR nào đó, một kết nối TCP sẽ được thiết lập giữa hai LSR này Ngay

cả khi không kết nối trực tiếp với nhau thì LSR vẫn có thể gửi định kỳ bản tin hello đến cổng UDP mặc định của một địa chỉ IP xác định Và LSR nhận cũng có thể gửi lại bản tin hello cho LSR gửi để thiết lập kết nối TCP

Hình 2.8 Quá trình khám phá láng giềng bằng LDP

2.4.2 Các kiểu phân phối nhãn

Trong một miền MPLS, một nhãn gán tới một địa chỉ đích được phân phối tới các láng giềng ngược dòng sau khi thiết lập session Việc kết nối giữa mạng cụ thể với nhãn cục bộ và một nhãn trạm kế (nhận từ router xuôi dòng) được lưu trữ trong LFIB và LIB MPLS dùng các phương thức phân phối nhãn như sau:

 Phân phối nhãn theo yêu cầu

 Phân phối nhãn không theo yêu cầu

Hình 2.9 Quá trình trao đổi thông tin nhãn trong LDP

2.5 Cấu trúc MPLS

Có hai cơ chế hoạt động trong MPLS là:

Cơ chế Frame Mode

Cơ chế này được sử dụng với các mạng IP thông thường, trong cơ chế này nhãn của MPLS là nhãn thực sự được thiết kế và gán cho các gói tin, trong mặt phẳng điều khiển sẽ đảm nhiệm vai trò gán nhãn và phân phối nhãn cho các định tuyến giữa các router chạy MPLS, và trong cơ chế này các router sẽ kết nối trực tiếp với nhau qua 1 giao diện Frame mode như là PPP, các router sẽ sử dụng địa chỉ IP thuần túy để trao đổi thông tin cho nhau như là: thông tin về nhãn và bảng định tuyến routing table

Còn với mạng ATM hay Frame relay chúng không có các kết nối trực tiếp giữa các interface, nghĩa là không thể dùng địa chỉ IP thuần túy để trao đổi thông tin cho nhau, vì vậy ta phải thiết lập các kênh ảo giữa chúng (PVC)

Cơ chế cell mode

Thuật ngữ này dùng khi có một mạng gồm các ATM LSR dùng MPLS trong mặt phẳng điều khiển để trao đổi thông tin VPI/VCI thay vì dùng báo hiệu ATM Trong kiểu tế bào, nhãn là trường VPI/VCI của tế bào Sau khi trao đổi nhãn trong mặt phẳng điều khiển, ở mặt phẳng chuyển tiếp, router ngõ vào (ingress router) phân tách gói thành các tế bào ATM, dùng giá trị VCI/CPI tương ứng đã trao đổi trong mặt phẳng điều khiển và truyền tế bào đi Các ATM LSR ở phía trong hoạt động như chuyển mạch ATM chúng chuyển tiếp một tế bào dựa trên VPI/VCI vào và thông tin cổng ra tương ứng Cuối cùng, router ngõ ra (egress router) sắp xếp lại các tế bào thành một gói

 CLP : chức năng chỉ thị ƣu tiên huỷ bỏ tế bào

 HEC : kiểm tra lỗi tiêu đề

MPLS chia thành 2 mặt phẳng: mặt phẳng điều khiển MPLS ( Control plane )

và mặt phẳng chuyển tiếp MPLS hay còn gọi là mặt phẳng dữ liệu (Data plane)

Hình 2.10 Mặt phẳng điều khiển và mặt phẳng dữ liệu