Và công ty đăng ký sử dụng dịch vụ mạng riêng ảo với nhà cung cấp được gọi là khách hàng VPN Customer.Như vậy khi sử dụng mạng riêng ảo, một công ty có thể có được một mạng riêng liên kế
Trang 1C H f ƠNG 6 : MẠNG RIÊIVG Ả o
Trong chuofng này ta tìm hiểu cách thức mà MPLS hỗ trợ cho việc xây dựng một mạng riêng ảo (Virtual Private Networks) Thật ra có nhiều giải pháp dùng MPLS xây dựng mạng riêng ảo và tất cả các giải pháp này chi có một điểm chung duy nhất là sử dụng kỹ thuật chuyển mạch nhãn MPLS ở đây chúng ta chì xém xét một giải pháp có tên gọi BGP/MPLS VPN Từ tên gọi cho thấy mô hình mạng riêng ảo này là sự kết hợp hai kỹ thuật BGP và MPLS Chúng ta tìm hiểu các thành phần liên quan, bao gồm cả mặt chất lưọfng dịch vụ và bảo mật Có hai lý do cho việc lựa chọn giao thức định tuyến BGP:
• Số lượng đường định tuyến trong một VPN sẽ rất lớn và BGP là giao thức định tuyến duy nhất có thể phục vụ cho một số lượng lớn đường định tuyến
• BGP, EIGRP, IS-IS là những giao thức định tuyến duy nhất có thể hoạt động với nhiều hình thức địa chi khác nhau Tuy nhiên, IS-IS và EIGRP không có khả năng phục vụ một số lượng đường định tuyến lớn như giao thức BGP Ngoài ra, BGP con được thiết kế thực hiện trao đổi thông tin giữa những bộ định tuyến không kết nổi trực tiếp với nhau
Tuy nhiên phần trình bày dưói đây không đề cập chi tiết tất cả những thành phần, chẳng hạn như bộ phận Quản lý dịch vụ VPN (VPN Service Management) là một thành phần quan ừọng nhưng không đề cập đến ở đây
6.1 N H Ư T H É NÀO LÀ M Ạ N G R IÊN G Ảo - VPN?
Hiện nay một công ty có thể có rất nhiều chi nhánh ở những vùng khác nhau Vì thế cần có một mạng để kết nối tất cả các máy tính ở những chi nhánh này Mạng riêng ở đây có nghĩa là mạng chi thuộc quyền sử dụng cùa riêng công ty này cũng như việc định tuyến, cách đánh địa chi trong mạng hoàn toàn độc lập với các mạng khác Mạng “ảo” ờ đây có nghĩa là
cơ sở hạ tầng mạng không phải thuộc riêng về một công ty, nó được sử dụng chung với những công ty khác và hạ tầng mạng này thuộc quyền sờ hữu của một nhà cung cấp, được gọi là nhà cung cấp dịch vụ mạng riêng ảo (VPN Service Provider) Và công ty đăng ký sử dụng dịch vụ mạng riêng ảo với nhà cung cấp được gọi là khách hàng (VPN Customer).Như vậy khi sử dụng mạng riêng ảo, một công ty có thể có được một mạng riêng liên kết tất cả các chi nhánh ở những địa điểm cách xa nhau, được gọi là những khu vực (site ) của m ột VPN, m à không tốn chi phí cho một cơ sờ hạ tầng mạng
Hai mô hình mạng VPN chính là: mô hình VPN chồng lấp (overlay VPN) và VPN ngang cấp (peer-to-peer VPN)
Tiếp theo chúng ta sẽ xem xét đến hai mô hình mạng riêng ảo này
Trang 2174 Chuyển mạch nhãn đa giao thức MPLS
6.2 M Ô H ÌN H CH ÒNG LÁP
Vào thời điểm hiện tại, kỹ thuật thông dụng nhất để cung cấp dịch vụ mạng riêng ảo VPN đều dựa vào mô hình mạng chồng lấp (overlay model) Trong mô hình mạng này, mỗi khu vực (site ) có một bộ định tuyến (router) kết nối điểm-đifcĩi vód các bộ định tuyến của những khu vực khác trong cùng một mạng riêng ảo Tuy nhiên một khu vực có thể có nhiều
h ơn’một bộ định tuyến, các bộ định tuyến này liên kết vói tất cả những khu vực còn lại hay chỉ liên kết với một số khu vực Kỹ thuật được sử dụng để cung cấp những liên kết điểm- điểm này có thể là những đưÒTig kênh thuê riêng (leased lines), Frame Relay hoặc ATM Tat
cả các bộ định tuyến và những liên kết điểm-điểm kết nối các bọ định tuyến họp thành một đường trục (backbone) ảo Như vậy đưÒTig trục ảo chính là cơ sở hạ tầng cung cấp liên kết giữa các khu vực
Mô hình mạng chồng lấp có thể thấy rõ qua ví dụ sau
tự như vậy, R b 2 kết nối với R bi và Rb - Những kết nối ATM hoặc Frame Relay được cung
Trang 3cấp bời nhà cung cấp dịch vụ mạng riêng ảo Hình elip ờ giữa tượng trưng cho mạng lõi của nhà cung cấp M ạng VPN B cũng có ba khu vực riêng biệt: khu vực 1, khu vực 2 và khu vực
3 Nhưng khu vực 1 có không phải một mà hai bộ định tuyến (router): R'bi và R^BI- Hai bộ định tuyến này đều kết nối với Rb2 và Rb3- Như hình vẽ ta thấy, Rb2 và Rb3 muốn thông tin với nhau đều phải thông qua R'bi hoặc R ^I- Việc sử dụng hai bộ định tuyến (router) ở khu vực là do; nếu chỉ sử dụng một bộ định tuyến thì khi bộ định tuyến này xảy ra sự cố VPN này sẽ hoàn toàn bị tê liệt, các khu vực trong mạng không thể liên lạc được với nhau Chú ý rằng, trong ví dụ này, cách đánh địa chỉ ở VPN A và VPN B hoàn toàn giống nhau nhưng giao thức định tuyến IP sử dụng thì khác nhau Ví dụ VPN A sử dụng giao thức OSPF còn VPN B sử dụng giao thức RIP
Mặc dù mạng riêng ảo VPN hiện nay vẫn chủ yếu được xây dựng trên mô hình chồng lấp (overlay) nhưng giải pháp này đã hạn chế rất nhiều việc triển khai dịch vụ VPN trên quy
mô lớn Có nhiều nguyên nhân dẫn đến nhược điểm này
Nguyên nhân thứ nhất là do yêu cầu được đặt ra cho mỗi khách hàng muốn sử dụng dịch vụ VPN phải tự xây dựng một đưòmg trục (backbone) ảo cho sự hoạt động của mạng Yêu cầu này đòi hỏi một sự hiểu biết nhất định về định tuyến IP, dẫn đến có ít công ty có thể đăng ký sử dụng loại hình mạng riêng ảo Thêm vào đó, yêu cầu chất lượng dịch vụ được kỹ thuật ATM và Frame Relay cung cấp nên các thông số lìày thuộc về sự xử lý của lóp 2 Trong khi đó chất lượng dịch vụ dành cho lưu lượng được quyẹt định bởi các bộ định tuyến đường trục (backbone router) hoạt động dưói sự kiểm soát của các khách hàng VPN (VPN customer) Vì thế yêu cầu phải có quá trình ánh xạ chất lượng dịch vụ ở lớp IP sang chất lượng dịch vụ của mạng Frame Relay và ATM
Để giải quyết vấn đề này những nhà cung cấp dịch vụ mạng riêng ảo giới thiệu một dịch vụ mới có tên “managed router” Trong đó nhà cung cấp dịch vụ sẽ xây dựng và đưa vào hoạt động một đưÒTig trục (backbone) ảo cho mỗi khách hàng Tuy nhiên nếu như số lượng khách hàng lên đến 100.000 thì nhà cung cấp dịch vụ phải xây dựng và đưa vào hoạt động 100.000 đưcmg ttục (backbone) ảo khác nhau Điều này đòi hỏi rất nhiều sự đầu tư từ nhà cung cấp dịch vụ vì sự xây dựng và đưa vào hoạt động một VPN không phải là một công việc đơn giản
Tuy nhiên không có khả năng phục vụ một số lượng lón khách hàng không phải là nhược điểm duy nhất của mô hình này Nhược điểm thứ hai tưoTig tự như nhược điểm của
mô hình mạng tích hợp IP/ATM overlay đã được trình bày ở Chương 1 Khi một VPN có hình thức kết nổi như VPN A, nếu sổ lượng khu vực của VPN này quá lớn, từ 1000 ư ở lên,
số lượng đường kết nối trong mạng sẽ rất phức tạp
M ột vấn đề nữa của mô hình mạng này là số lượng cấu hình phải thay đổi khi thêm vào VPN một khu vực mới Đúng vậy, khi mở rộng quy mô mạng, những khu vực mới phải thiết lập kết nối với tất cả những khu vực còn lai trong mạng
M ột biển thể khác của mô hình mạng chồng lấp (overlay) là mô hình mạng trong đó các nhà cung cấp dịch vụ triển khai các bộ định tuyến có khả năng hoạt động như những bộ định tuyến ảo Trong trường họp này, một bộ định tuyến hoạt động như một tập họp các bộ định tuyến ảo M ột bộ định tuyến ảo có chức năiig tương đương một bộ định tuyến bình thường, ngoại trừ việc nó có thể chia sẻ CPU, băng thông, bộ nhớ với những bộ định tuyến
ảo khác M ột bộ định tuyến ảo kết nối điểm-điểm vói các bộ định tuyến ảo khác Mỗi khu
Trang 4vực sẽ có một bộ định tuyến kết nối với một bộ định tuyến ảo xác định Vì thể trong trưÒTig hợp này, đưòtig ttục ảo bao gồm những bộ định tuyến ảo và các đưÒTig liên kết giữa chúng.Việc sử dụng bộ định tuyến ảo sẽ giảm số lượng các thiết bị vật lý mà một nhà cung cấp dịch vụ phải quản lý Lý do của ưu điểm này là do một bộ định tuyến có thể hoạt động như nhiều bộ định tuyến ảo, ừong khi đó một bộ định tuyến ảo lại phục vụ cho một VPN xác định Tuy nhiên sử dụng bộ định tuyến ảo vẫn không khắc phục được những hạn chế của mô hình chồng lấp mà chúng ta đã đề cập ở tìrên Cũng không có gì ngạc nhiên bởi vì thật ra sử dụng những bộ định tuyến ảo vẫn không làm thay đổi cấu hình mạng Đó chỉ là sự thay thế những bộ định tuyến vật lý bằng những bộ định tuyến ảo mà thôi.
Ngoài hình thức sử dụng đường leased line Frame Relay, ATM có thể sử dụng GRE
và IPSec để liên kết các bộ định tuyến Tuy nhiên cả hai loại này đều chỉ thực hiện kết nối điểm-điểm giữa các router và không thay đổi cấu hình mạng Vì thế, VPN này sẽ thừa hưởng tất cả những nhược điểm của mô hình chồng lấp đồng thời cũng sinh ra m ột số vấn
đề cần phải giải quyết khác
Khi sử dụng đường hầm GRE để gửi gói dữ liệu đến một địa chỉ EP là điểm kết cuối đường hầm, có thể xảy ra hiện tượng các gói dữ liệu được đưa vào VPN và được gửi đi bởi bất kỳ bộ định tuyến nào, không chỉ là router tại đầu đưÒTig hầm Giải pháp cho vấn đề này
là sử dụng các bộ lọc gói nhưng cấu hình sẽ phức tạp
Giải pháp thứ hai là sử dụng đường hầm IPSec Với IPSec, đầu kết cuối của đường hầm có thể nhận thực người gửi, vì thế chỉ có những gói dữ liệu thật sự do đầu gửi tạo ra mới được nhận và các gói dữ liệu khác sẽ bị loại bỏ M ột điều cần lưu ý là việc sử dụng đường hầm IPSec là phương tiện kết nối các router được quản lý bởi các nhà cung cấp dịch
vụ thật sự không mang lại sự bảo mật dữ liệu cho các khách hàng Nguyên nhân là do các nhà cung cấp dịch vụ là ngưòd kiểm soát khoá IPSec (IPSec key)
về mặt chất lượng dịch vụ, đường hầm GRE và IPSec hỗ trợ tốt nhất cho mô hình dịch vụ phân biệt (Differentiated Services) Tuy nhiên không khẳng định được rằng cung cấp chất lưọng dịch vụ bằng mô hình này thật sự không thích hợp với những khách hàng khi
họ đã quen sự hỗ trợ chất lượng dịch vụ bằng kỹ thuật Frame Relay, ATM hay các đường leased line
M ột điểm mới của việc sử dụng đường hầm GRE và IPSec là khả năng kết nối VPN vào mạng Internet Tuy nhiên theo tạp chí W ữed Magazine, tháng 2.1998: “Ý txrờng xây dựng một mạng riêng trên cơ sở hạ tầng Inttenet bằng cách tạo ra đưòmg hầm hay mã hoá thật sự sẽ tốn ít chi phí hơn Tuy nhiên hoạt động của nó giống như thể bạn ấn bông gòii vào tai tại quảng trưòmg Times và giả vờ như không có ai ở xung quanh”
Nói tóm tại, mô hình chồng lấp rất hạn chế việc triển khai dịch vụ dịch vụ mạng riêng
ảo ttên quy mô lớn
Trang 5Chưomg 6: M ạng riêng ảo 177
yêu cầu khách hàng phải hiểu biết nhiều về định tuyến IP, đồng thòi hỗ ttợ nhiều loại hình VPN khác nhau, từ VPN có quy mô nhỏ chỉ có vài khu vực đến những VPN quy mô lớn có đến hàng trăm, thậm chí hàng ngàn khu vực Mô hình này cũng nhằm giữ chi phí cung cấp dịch vụ VPN ờ mức thấp
Những kỹ thuật chính của mô hình này:
• Phân bố ràng buộc thông tin định tuyến (Constrained Distribution o f routing information)
• Bảng đa chuyển tiếp (Multiple Forwarding Tables)
• Sử dụng hình thức địa chi mới VPN-IP
• MPLS
Trong những phần sau chúng ta sẽ tìm hiểu về những kỹ thuật này, kết họp với nhau tạo nên một giải pháp cho việc xây dựng mạng riêng ảo đáp ứng được những mục tiêu đã được đề cập ở trên
Trên hình 6.2 là mô hình n g a n j cấp (peer-to-peer model) Đám mây ở giữa tưọng trưng cho tập hợp của một hay nhiều nhà cung cấp dịch vụ
Nhimg trước tiên chúng ta nên tìm hiểu về một số khái niệm mới:
• Customer Edge (CE) router: đây là bộ định tuyến kết nối một khu vực trong VPN vào
hạ tầng cuả nhà cung cấp dịch vụ
• Provider Edge (PE) router: bộ định tuyển thuộc mạng lõi của nhiều nhà cung cấp dịch
vụ kết nối với bộ định tuyến CE (CE router)
• Provider (P) router: bộ định tuyến nằm trong mạng lõi cùa nhà cung cấp dịch vụ
H ình 6.2: M ô hình mạng BG P/M PLS VPN [1 ].
VPN A/Sỉte 2
VPN B/Site 1
VPN A/Site 3
Trang 6Trên hình vẽ cho thấy, mạng VPN A có ba khu vực, mỗi khu vực có một bộ định tuyến CE (CE router) Trong khi đó, ờ khu vực 1 cùa VPN B có hai bộ định tuyển CE, khu vực 2 và khu vực 3 mỗi khu vực có một bộ định tuyến CE Trong mạng lõi cùa nhà cung cấp dịch vụ, một bộ định tuyến PE có thể kết nối với các bộ định tuyến CE thuộc những VPN khác nhau Hơn nữa, các VPN khác nhau có thể sử dụng địa chi giống nhau Như ứong ví dụ toên, PE2 kết nối vód CE'bi, CEa2, CEb2- Thêm vào đó cả khu vực 2 của VPN A
và khu vực 3 của VPN B đều có chung địa chi EP 10.2/16 cho tất cả những vị trí ừong khu vực Không chỉ thế một khu vực có thể kết nối với nhiều hơn một bộ định tuyến PE Ví dụ khu vực 1 cuả VPN B kết nối với PEi và PE2 Mô hình mạng như hình 6.2 được gọi là mô hình ngang £ấp (peer-to-peer model) bởi vì, đứng trên quan điểm về định tuyến, bộ định tuyến của khách hàng chỉ kết nối trực tiếp vói bộ định tuyến PE của nhà cung cấp Trái lại với mô hình chồng lấp, các bộ định tuyến của khách hàng kết nối trực tiếp với nhau thông qua kỹ thuật lớp 2 hoặc đường hầm IP được cung cấp bởi nhà cung cấp dịch vụ
6.4 PHÂN BỐ RÀNG BUỘC THÔNG TIN ĐỊNH TUYẾN
Phân bố ràng buộc thông tin định tuyến là kỹ thuật được sử dụng để điều khiển sự kết nối giữa các khu vực trong một VPN Đây là một kỹ thuật khá cũ đã được sử dụng rộng rãi trong Internet từ những năm cuối thập niên 80 của thế kỷ 20 Khả năng điều khiển được kết nối là do sự kết nối và sự lưu thông dữ liệu được điều khiển bởi các bảng định tuyển lưu trữ trong bộ định tuyến và nội dung của các bảng định tuyến được kiểm soát bời việc ràng buộc lưu lượng của thông tin định tuyến Để hiểu được cách thức sử dụng kỹ thuật này trong BGP/MPLS VPN trước tiền chúng ta tìm hiểu năm bước của quá trình phân phối thông tin định tuyến:
• Bước 1: Thông tin định tuyến đi từ một bộ định tuyến CE đến một bộ định tuyến PE
có kết nối trực tiếp với nó Có nhiều lựa chọn để thực hiện công việc này như giao thức RIP, OSPF, BGP
• Bước 2: Tại bộ định tuyến igress PE, thông tin được nhập vào giao thức BGP của nhà cung cấp
• Bước 3: Thông tin này được phân bổ đến các bộ định tuyến PE trong mạng của nhà cung cấp dịch vụ, sử dụng BGP
• Bước 4: Bước này hoàn toàn trái ngược với bước 2 Tại bộ định tuyến egress PE, thông tin định tuyến được tách ra từ BGP
• Bước 5: Bước này hoàn toàn trái ngược với bước 1 Bộ định tuyến PE gửi thông tin định tuyển đến bộ định tuyến CE và có nhiều giao thức để thực hiện công việc này như R IP,O SPF
Để thực hiện phân bố ràng buộc thông tin định tuyến, người ta sử dụng kỹ thuật lọc thông tin định tuyén dựa vào đặc tính BGP Community Đặc tính này được xem như một nhận dạng dành cho tuyến định tuyến đó Tại bước 2, bộ định tuyến igress PE ấn định đặc tính BGP Community thích hợp cho tuyến định tuyến trước khi đưa thông tin vào BGP Tại bước 4, bộ định tuyến egressPE sử dụng đặc tính Community của tuyến để kiểm soát việc tácíi thông tin định tuyến từ BGP
Chú ý rằng, một bộ định tuyến igress PE có thể dùng chỉ một đặc tính Community cho bộ định tuyển CE kết nối trực tiếp với nó, đồng thời bộ định tuyến igress PE này cũng
Trang 7có thể ấn định nhiều đặc tính Community Kỹ thuật này cho phép sự liên kết các khu vực trong một VPN linh động hơn Điều này cho phép các nhà cung cấp dịch vụ sử dụng chỉ một
kỹ thuật chung hỗ trợ cho khách hàng các chính sách liên vùng khác nhau
Như vậy kỹ thuật phân bố ràng buộc thông tin định tuyến được thực hiện ở bước hai
và bước bốn Hon nữa hai bước này được nhà cung cấp dịch vụ xử lý Vì thế không yêu cầu khách hàng có hiểu biết sâu về định tuyển vẫn được cung cấp dịch vụ mạng riêng ảo VPN.Chúng ta tiếp tục sử dụng hình ảnh đã được trình bày ở phần trước Trong ví dụ này, chúng ta theo dõi quá trình thông !in định tuyến đi từ khu vực 1 đến khu'vực 3 của VPN A Đầu tiên là bước 1, giao thức RIP đưa thông tin định tuyến của địa chỉ 10.1/16 từ bộ định tuyến CE của khu vực 1, CEai, đến bộ định tuyến PE kết nối với nó, PE] ở bước 2, bộ định tuyến igress PE, cũng chính là PEi ấn định đặc tính BGP Community thích hợp cho tuyến định tuyến này và chuyển thông tin vào giao thức BGP của nhà cung cấp Tại bước 3, thông tin này sẽ di chuyển tới các bộ định tuyến PE khác bằng giao thức BGP Bước 4, căn cứ vào đặc tính Community, bộ định tuyến egress PE, PE3, tiến hành tách thông tin định tuyến ra khỏi BGP Bước 5, thông tin định tuyến được các giao thức định tuyến như RIP, OSPF, IS
Thứ hai, để thêm vắo một khu vực mới, mở rộng VPN, nhà cung cấp dịch vụ chỉ cần cấu hình lại cho bộ định tuyến PE kết nối vói bộ định tuyến CẸ cùa khu vực mới này Vì vậy, khối lượng cấu hình thay đổi cần được xử lý trong một VPN không phụ thuộc vào số lượng khu vực có trong VPN đó Trong khi đó, ờ mô hình chồng lấp, khi thêm vào một khu vực mới, các khu vực khác phải cập nhật thông tin này và thiết lập kết nối vói khu vực này.Cuối cùng, một bộ định tuyến PE chi phải lưu trữ thông tin định tuyến thuộc về những VPN mà các khu vực của nó kết nối trực tiếp với bộ định tuyến PE này Như trên hình vẽ, PE] chỉ cần lưu giữ những đường định tuyến của VPN A và VPN B, còn riêngnhững VPN khác, bộ định tuyến P Eị không cần lưu giữ bất cứ thông tin gì
M ột vấn đề nảy sinh khi sử dụng đặc tính Community là ờ mỗi nhà cung cấp dịch vụ chỉ có thể có nhiều nhất 2 '^ giá trị này Bởi vì mỗi đặc tính này có chiều dài 32 bit, trong đó
16 bits sử dụng cho chỉ số AS (Autonomous System) và 16 bit còn lại được mỗi bộ địiứ] tuyến sử dụng độc lập M ỗi VPN cần ít nhất một giá trị Community, diếu nàv dần dên một nhà cung cấp dịch vụ chỉ có thể phục vụ tối đa 2'® khách hàng Dê khắc phụ^ han chế này, người ta đưa ra một khái niệm mới có tên là BGP Extended Community, cho phép mỗi
bộ định tuyến PE sử dụng toàn 32 bit Vì thế mỗi nhà cung cấp dịch vụ có thể hỗ trợ đen 2^^ đặc tính Conununity khác nhau
Trang 86.5 BẢNG ĐA CHUYỂN TIẾP
Chức năng phân bố ràng buộc thông tin định tuyến thật sự cần thiết cho việc điều khiển kết nối nhưng chưa đầy đủ Chúng ta biết rằng một bộ định tuyến PE có thể kết nối với nhiều khu vực thuộc các VPN khác nhau Nếu như bộ định tuyến chỉ có một bảng định tuyến chứa tất cả đưòng định tuyến trong các VPN này, dẫn đến việc không thể định tuyến đúng cho các gói dữ liệu nên có thể xảy ra hiện tượng gói dữ liệu bị chuyển từ VPN này sang VPN khác, đặc biệt là khi cách đánh địa chi giống nhau
Vì thế, yêu cầu đặt ra là các bộ định tuyến PE phải có không chỉ một mà nhiều bảng định tuyến Bộ định tuyến PE sẽ giữ một bảng định tuyến cho mỗi VPN nếu VPN có một hay nhiều khu vực kết nối với bộ định tuyến PE này
Khi nhận được gói dữ liệu, bộ định tuyến PE sẽ định tuyến cho gói dữ liệu bằng bảng định tuyến tương ứng Do đó bộ định tuyến PE cần phải xác định được VPN của gói Thông dụng nhất, bộ định tuyến PE sẽ căn cứ vào cổng mà gói dữ liệu đến ữên bộ định tuyến PE.Mỗi bảng định tuyến trên một bộ định tuyến PE được xây dựng nên từ hai nguồn thông tin Thứ nhất, các tuyến định tuyến mà bộ định tuyến PE nhận được từ những bộ định tuyến CE kết nối với bộ định tuyến PE Nguồn thông tin thứ hai được bộ định tuyến PE nhận được từ các bộ định tuyến PE khác trong mạng Như đã đề cập ở phần ü'uác, mỗi thông tin định tuyến mà các bộ định tuyến PE nhận được từ những bộ định tuyển PE khác đều được ấn định một đặc tính BGP Community Dựa vào đặc tính này bộ định tuyến PE xác định được thông tin thuộc VPN nào Hãy cùng xem xét một ví dụ trình bày phương thức xây dựng VPN Truờng hợp đơn giản nhất là mô hình một VPN có sự kết nối các khu vực tương tự như VPN A Trong trường hợp này, VPN chỉ được ấn định đặc tính BGP Community Cciosed- Như vậy các bộ định tuyến PE kết nối với những khu vực của VPN sẽ đưa thông tin định tuyến nhận được từ các khu vực này vào BGP với đặc tính được dùng Qiosed- Tương tự, với bảng định tuyến của VPN đó, bộ định tuyến PE sẽ nhập vào những thông tin định tuyến có đặc tính Cciosed-
Trong trường hợp các khu vực có sự két nổi giống như VPN B: các khu vực ừong VPN muốn liên lạc với nhau cần phải thông qua một khu vực trung gian Hình thức này được gọi là “hub-and-spokes”, trong đó, ví dụ như trongVPN B, khu vực 1 đóng vai trò hub
và khu vựq 2, khu vực 3 đóng vai trò spokes.Vì thế VPN này cần phải có hai giá ư ị đặc tính khác nhau: Chub dành cho hub, Cspokes dành cho spokes D o đó bộ định tuyến PE liên kết với khu vực spokes của VPN sẽ ấn định đặc tính Cspokes cho thông tin định tuyến nhận được từ những bộ định tuyến CE này và chỉ nhận từ BGP những thông tin định tuyến có đặc tính Chub- Riêng bộ định tuyến PE kết nổi với khu vực hub thì ngược lại, đưa vào BGP thông tin định tuyến có đặc tính Chub và nhận về thông tin có đặc tính Cspokes-
6.6 ĐỊA C H Ỉ V PN -IP
Như đã đề cập ở ưên, mô hình VPN mà ta tìm hiểu làBGP/MPLS VPN.Giao thức BGP mà các bộ định tuyến ưong mạng lõi của nhà cung cấp dịch vụ sử dụng để trao đổi và xây dựng thông tin định tuyến cho mỗi VPN Giao thức BGP sử dụng địa chì IP, thế nhưng cách đánh địa chi cuả các VPN độc lập với nhau dẫn đến trường họp các VPN có cách đánh địa chi giống nhau Vì thế, cần phải có một giải pháp cho vấn đề sử dụng giao thức BGP trong một môi trường mà địa chì IP không phải là độc nhất Rõ ràng chúng ta cần một hình thúc địa chỉ mới thay thế cho địa chỉ IP và địa chi này phải là duy nhất Hình thức địa chỉ
Trang 9mới này đưỢc gọi là địa chỉ VPN-EP Địa chỉ VPN-IP có cấu trúc gồm một thành phần cóchiều dài cố định 64 bit, được gọi là bộ phân biệt tuyến (Route Distinguisher) và thành phầnđịa chỉ IP M ỗi nhà cung cấp dịch vụ có thành phần bộ phân biệt tuyến (RouteDistinguisher) riêng biẹt Thành phần này có cấu trúc như trong hình 6.3.
h ìn h 6.3: c ấ u Uiíc cùn thành phấn bộ phân biệt tuyến.
Loại (1) (2*8 bit)
Chỉ số AS (2) (2*8 bit)
Chỉ số AN (3) (4*8 bit)
Vùng (2) chứa chỉ số AS (Atonomous system) của nhà cung cấp dịch vụ Và nhà cung cấp dịch vụ ấn định cho mỗi VPN một chỉ số có tên gọi là AN (Assigment Number) Vì trong phạm vi một mạng của nhà cung cấp dịch vụ, các VPN không sử dụng chung chỉ số
AN (Assigment Number) và chỉ số ASN (Autonomous System Number) là duy nhất trên toàn cầu, do đó mỗi VPN sẽ có một thành phần bộ phân biệt tuyến riêng biệt
Đứng trên cái nhìn về P G P , việc định tuyến theo địa chỉ VPN-EP không khác với sự định tuyến bằng địa chỉ IP Nhưng có một điểm quan trọng cần phải nói đến, giao thức BGP hoàn toàn không biết đển cấu trúc địa chỉ VPN-IP cũng như cấu trúc của thành phần bộ phân biệt tuyến, khi so sánh hai địa chỉ VPN-IP, BGP hoàn toàn bỏ qua cấu trúc này, sử dụng BGP Route Reflector, BGP Refresh để định tuyến với địa chi VPN-IP như định tuyến với địa chi IP thông thường
Việc sử dụng địa chỉ IP hoàn toàn do nhà cung cấp dịch vụ VPN quyết định Các khách hàng VPN không biết gì về hình thức địa chi này Quá ttình chuyển đổi từ địa chì VPN-IP sang địa chỉ IP được tiến hành tại bộ định tuyến PE Bộ định tuyển PE sẽ lưu giữ thành phần
bộ phân biệt tuyến (Route Distinguisher) của các VPN kết nối trực tiếp vói nó Như vậy, khi
bộ định tuyến PE nhận đượp thông tin định tuyến từ một bộ định tuyến CE, nó sẽ xác nhận VPN của bộ định tuyến CE này đồng thời trước khi đưa thông tin này vào giao thức BGP, nó
sẽ chuyển đổi từ địa chỉ IP sang địa chl VPN-EP Tương tự, khi nhận được thông tin định tuyến, bộ định tuyển PE sẽ thực hiện chuyển đổi từ địa chi VPN-IP sang địa chỉ IP
Đến đây, chúng ta sẽ có sự so sánh về vai trò của địa chỉ VPN-BP và đặc tính BGP Community Có hai vấn đề cần đề cập đến v ấ n đề thứ nhất là bằng cách nào hoạt động với những địa chi không phải là duy nhất ttong phạm vi toàn cầu Giải pháp cho vấn đề này là địa chỉ VPN-EP với thành phần bộ phân biệt tuyến Vì vậy thành phần này được sử dụng để phân biệt địa chỉ IP Tuy nhiên thành phần naỳ không được sử dụng để kết nổi có ràng buộc,
nó không sử dụng để lọc thông tin định tuyến, v ấ n đề thứ hai là kết nối có ràng buộc Giải pháp là chức năng phân phối ràng buộc thông tin định tuyến được thực hiện bằng cách lọc thông tin định tuyến dựa vào đặc tính BGP Community Đặc tính này, trái lại, không sử dụng để phân biệt địa chỉ BP
Chú ý rằng, những V PN khác nhau thì thành phần bộ phân biệt tuyển sử dụng phải khác nhau, thế nhumg một V PN có thể sử dụng nhiều bộ phân biệt tuyến (ví dụ của trường hợp này là hình thức đa nhà cung cấp dịch vu) Tương tự, đặc tính BGP Community của hai VPN bất kỳ cũng không được giống nhau nhưng một VPN có thể có nhiều đặc tính này (trường hợp VPN có hình thức hub-and-spoke) Như vậy, nói chung, cả hai thành phần bộ phân biệt tuyến và BGP Community đều không thể xác nhận một VPN
Trang 10Cũng cần biết thêm rằng, địa chỉ VPN-IP chỉ được sử dụng trong các giao thức định tuyến, nó không có trong tiêu đề cùa gói IP Vì thế, địa chỉ không được sử dụng để chuyển gói MPLS là kỹ thuật thực hiện việc chuyển gói trong mạng.
6.7 M PLS
Như đã đề cập ở trên, tiến trình xây dựng thông tin định tuyến hoàn toàn chỉ sử dụng đến địa chỉ VPN-IP, trong khi địa chỉ này không có trong tiêu đề của gói IP Vậy căn cứ vào đâu để di chuyển gói đi trong mạng?
Giải pháp cho vấn đề này là MPLS MPLS sẽ chuyển gói dữ liệu IP trên những tuyến định tuyến được xây dựng dựa trên địa chỉ VPN-IP MPLS có khả năng này bỏi vì MPLS tách rời ứiông tin được sử dụng để chuyển gói, đó là nhãn, vói thông tin chứa ttong tiêu đề của gói EP Và chúng ta cũng biết rằng địa chỉ VPN-IP chỉ do nhà cung cấp dịch vụ biết nên cũng chỉ có nhà cung cấp dịch vụ sử dụng đến MPLS
Như vậy, rõ ràng bộ định tuyến PE đóng vai trò một edge LSR Có thể là igress LSR hoặc egress LSR Có nghĩa là bộ định tuyến PE chuyển gói dữ liệu từ không có nhãn sang
có nhãn và ngược lại
Khi bộ định tuyến PE nhận được gói dữ liệu từ bộ định tuyến CE, căn cứ vào cổng vào của gói dữ liệu, bộ định tuyến PE sẽ xác định VPN của bộ định tuyến CE này, cũng có nghĩa là xác nhận được bảng định tuyến, còn được gọi là LIB (label information base) Bộ định tuyến PE dựa vào thông tin trên tiêu đề IP, chẳng hạn như địa chì đích, tiến hành dò tìm trên bảng FIB, xác định và gắn một nhãn tương ứng vào gói dữ liệu
Để nâng cao khả năng mở rộng, chúng ta sử dụng chức năng định tuyến phân cấp Để thực hiện chức năng này, chúng ta sử dụng hai mức nhãn Mức nhãn thứ nhất được sử dụng
để chuyển gói dữ liệu trên LSP từ igress LSR đến egress LSR Mức nhãn thứ hai được xác định bời giao thức LDP hoặc giao thức RSVP, CR-LDP nếu như nhà cung cấp dịch vụ muốn thực hiện kỹ thuật lưu lượng (traffic engineering) M ức nhãn thứ hai được bộ định tuyến PE ngõ ra sử dụng xác định VPN của gói dữ liệu và được ấn định thông qua BGP cùng với địa chi VPN-IP Để hiểu rõ hơn, chúng ta cùng xem xét ví dụ được trình bày trong hình 6.4
Hình 6.4 cho thấy hai khu vực khác nhau của một VPN, bộ định tuyến CE của khu vực 1 được ký hiệu CEi, bộ định tuyến CE của khu vực 2 là CE2 C ả hai bộ định tuyến PE PEi và PE2 đều lưu giữ thành phần bộ phân biệt tuyến của VPN cũng như đặc tính BGP Community, cổ n g vào của dữ liệu từ CEi đến PEi cho phép xác định LIB của VPN CEi gửi dữ liệu đến PE] với địa chỉ đích là 10.1.1/24, PEi xác định bảng định tuyến dành cho gói
dữ liệu và bắt đầu tiến hành tìm kiếm trên bảng này Sau khi tìm kiếm, PEi gắn vào gói dữ liệu hai nhãn và gửi đến bộ định tuyến P] Bộ định tuyến Pi dựa vào nhãn thứ nhất xác định
bộ định tuyến P2 là nút mạng kế tiếp nhận gói dữ liệu Tại đây bộ định tuyến P2 là penultimate hop trên LSP kết nối PEi và PE2, sẽ gỡ mức nhãn thứ nhất ra khỏi gói dữ liệu và chuyển đến PEa- PE2 nhận được gói dữ liệu chi có m ột mức nhãn, nhãn này được PE2
chuyển đến các bộ định tuyến PE khác bằng giao thức BGP, và căn cứ vào nhãn này PE2 sẽ gửi gói dữ liệu đếnỉ>ộ định tuyến CE2 là nút mạng có địa chỉ đích 10.1.1/24
Sử dụng chức năng định tuyến phân cấp đã giảm thiểu được lượng thông tin lun giữ ở mỗi bộ định tuyến p Lấy ví dụ một nhà cung cấp dịch vụ mạng riêng ảo VPN có tất cả 200
Trang 11Chương 6: M ạng riêng ảo 183
bộ định tuyến trong mạng lõi, bao gồm cả bộ định tuyến PE và bộ định tuyến p, với số lượng mạng riêng ảo VPN là 10.000 và mỗi VPN có trung bình 100 tuyến định tuyến Như
vậy nếu không sử dụng định tuyến phân cấp, số lưọng đưÒTig định tuyến mà bộ định tuyến p
phải lưu giữ thông tin ’ên uến 10.000*100 = 10^ Vói chức năng định tuyến phân cấp, số lượng ấy chỉ còn là 200
cố hoặc cấu hình không chính xác
Làm thế nào thực hiện được mục tiêu này? Đầu tiên chúng ta biết rằng các nhà cung cấp dịch vụ sử dụng kỹ thuật chuyển mạch nhãn không phải là định tuyến IP trước đây Vì thế sự chuyển gói dữ liệu đi trong mạng không dựa vào địa chỉ IP trền tiêu đề Hơn nữa, tất
cả LSP đều bắt đầu và kết thúc tại các bộ định tuyến PE, chúng không bắt đầu cũng như không kết thúc tại các bộ định tuyến p trong mạng lõi của nhà cung cấp dịch vụ Tại mỗi bộ
Trang 12định tuyến PE, các LSP gắn liền với những bảng định tuyến xác định cũng như các bảng định tuyến liên hệ với các giao diện trên bộ định tuyến PE và các giao diện thì liên hệ với các VPN.
Do đó, khi một bộ định tuyến PE gửi đến bộ định tuyến CE nào đó dữ liệu, gói dữ liệu này có thể đến từ một bộ định tuyến CE khác hoặc một bộ định tuyến PE nào đó Trong trường hợp đầu tiên, cả hai bộ định tuyến CE gửi và nhận phải cùng thuộc một VPN và sử dụng chung bảng định tuyến trên bộ định tuyến CE ở trường hợp sau, LSP của gói dữ liệu liên hệ với một bảng định tuyến xác định và bảng định tuyến này được xây dựng cho VPN Như vậy, gói dữ liệu phải đến bộ định tuyến igress PE trên giao diện liên kết với VPN Rõ ràng việc đưa một gói dữ liệu vàp VPN hoàn toàn được thực hiện thông qua giao diện trên bộ định tuyến PE kết nối với VPN ấy Vì thế các gói dữ liệu không đi lạc vào các VPN khác
Trước khi tìm hiểu đến những kỹ thuật mà BGP/MPLS VPN sử dụng để hỗ trợ chất lượng dịch vụ, ta xem xét đến hai mô hình chất lượng dịch vụ trong VPN: mô hình đườhg ống “pipe” và mô hình hose
6.7.2.L M ô h ìn h Pipe
Với mô hình đầu tiên, nhà cung cấp dịch vụ mạng riêng ảo VPN cung cấp chất lượng dịch vụ cho luồng lim lượng khi đi từ bộ định tuyến CE này đến bộ định tuyến CE khác cùng thuộc một VPN Trong trường hợp này sẽ có một đường ống “pipe” kết nối hai bộ định tuyến này và bất cứ luru lượng nào đi vào được đường hầm cũng nhận được sự đảm bảo chất lượng dịch vụ V í dụ đưÒTig hầm này đảm bảo băng thông kết nối giữa hai bộ định tuyển
CE Và quyết định lưu lượng nào được sử dụng đưòmg hầm hoàn toàn thuộc về bộ định tuyến PE ở đầu đường hầm
Hình thức này khá giống với mô hình chất lượng dịch vụ mà các mạng VPN dựa ưên FrameRelay (Frame Relay- based VPN) và VPN dựa ttên ATM (ATM-based VPN) cung cấp Điểm khác nhau chủ yếu là các kết nối Frame Relay và ATM là các kết nối song hướng, trong khi đó mô hình đường hầm là kết nối đơn hướng Đặc điểm này cùa mô hình đường hầm xuất phát từ sự bất đối xứng trong việc truyền dữ liệu, khi số lưgmg dữ liệu đi từ khu vực này sang khu vực khác có thể khác với số lượng dữ liệu đi theo hướng ngược lại.Hình 6.5 là một ví dụ của mô hình đường hầm “pipe”, trong đó nhà cung cấp dịch vụ cung cấp cho VPN A một đường hầm băng thông 7 Mb/s cho dữ liệu đi từ khu vực 1 đến
Trang 13Chương 6: M ạng riêng ảo 185
khu vực 3, hay có thể nói đi từ CEai đến CEa3 và một đưÒTig hầm băng thông 10 Mb/s từ CEa3 đến CEa2- Như vậy từ một bộ định tuyến CE có thể xuất phát hoTi một đưcmg hầm.Tuy nhiên mô hình này có nhược điểm Nó yêu cầu khách hàng phân biệt được số lượng dữ liệu di chuyển giữa các khu vực Đôi khi thông tin này không được cập nhật hay không thể sử dụng được
H ình 6.5: M ô hình QoS pipe [2].
VPN A/Site 2
10 Mb/s từ CEa3 đến CEa2
10;^/16
VPN A/Site 1
VPN A/Site 3 VPN B/Site 3
Ố 7.2.2 MÔ h ìn h Hose
Trong mô hình này, nhà cung cấp chất lưọmg dịch vụ hỗ trợ cho mỗi khách hàng một
số mức chất lượng dịch vụ nhất định cho lưu lượng dữ liệu thuộc mạng riêng ảo VPN
M ô hình Hose sử dụng hai tham số: Tốc độ ữaing bình lối vào ICR (Igress Coramiteed Rate) và Tốc độ trung bình lối ra ECR (Egress Committed Rate) ICR là tổng số lưu lượng mà m ột bộ định tuyến CE gửi đến các bộ định tuyến CE khác Còn ECR là tổng
số lưu lượng mà một bộ định tuyến CE nhận được từ các bộ định tuyến CE khác Đặc biệt, với mỗi bộ định tuyến CE, không yêu cầu giá trị ICR phải bằng với gía trị ECR Dưới đây là hình ảnh ví dụ về mô hình Hose
Trong mô hình này, nhà cung cấp dịch vụ mạng riêng ảo VPN đảm bảo băng thông cho tất cả lưu lượng xuất phát từ CEb2 là 15Mb/s, ICR =15Mb/s, và không tính đến nơi nhận luồng lưu lượng là CEbi hay CEb2- Tương tự lưu lượng mà C E b3 gửi đến các bộ định tuyến
CE khác trong VPN đều được cung cấp băng thông là 7Mb/s, ICR=7Mb/s Và như ta ứiấy trên hình 6.6, lưu lượng mà CEb2 nhận được từ các bộ định tuyến CE khác trong VPN sẽ được cung cấp băng thông là 15Mb/s, ECR=15Mb/s
Trang 14186 Chuyển mạch nhãn đa giao thức M PLS
H ình 6.6: Mô hình QoS hose [2],
Như vậy mô hình hose rất giống với mô hình dịch vỊự phân biệt (Differentiated Service) đã đề cập đến ưong chưooig 4 “Chất lượng dịch vụ” Miô hình Hose cung cấp nhiều lớp dịch vụ và mỗi lởp khấc nhau ờ những thông số, ví dụ dịch này có thể có ti lệ mất gói
dữ liệu thấp hơn dịch vụ khác Tuy nhiên nếu ứng dụng yêu cầu chất lượng dịch vụ chính xác, ví dụ như băng thông đảm bảo, thì mô hình pipe thích hợp hoti Mô hình pipe giống với
mô hình “Dịch vụ tích hợp “ cũng đã được đề cập ờ chương 4 “Chất lượng dịch vụ”
Cả hai mô hình này đều không loại trừ lẫn nhau Vì thế một nhà cung cấp dịch vụ có thể hỗ txợ cả hai mô hình này cho một khách hàng sử dụng dịch vụ VPN và khách hàng sẽ quyết định mô hình cũng như lớp dịch vụ COS dành cho lưu lượmg,
Để hỗ ữợ mô hình pipe, chúng ta sử dụng những LSP có bãng thông đảm bảo, đã được đề cập ở phần “Định tuyến ràng buộc” thuộc chương 5 Những LSP này xuất phát cũng như kết thúc tại các bộ định tuyến PE và có băng thông đảm bào Với hai bộ định tuyến PE bất kỳ, mỗi bộ định tuyến PE kết nối với nhiều bộ định tuyển CE và giữa chúng có nhiều đường hầm nên thay yì xây dựng cho một đường hầm một LSP, chúng ta sử dụng một LSP cho tất cả các đưòmg hầm
Trở lại hình 6.5, để xây dựng một đường hầm từ C E a3đến CEai thuộc VPN A và một đường hầm từ C E b3 đến C E \i thuộc VPN B, người ta xây dựng một LSP băng thông đảm bảo từ PE3 đến PEi và băng thông cùa LSP này bằng tổng băng thông của hai đường hầm
Sử dụng chỉ một LSP phục vụ cho nhiều đường hầm giữa hai bộ định tuyến PE giúp cho mô hình này có thể triển khai rộng rãi, Vì số lượng các LSP đảm bào băng thông mà nhà cung
Trang 15cấp dịch vụ xây dụng bị giới hạn bời số bộ định tuyến PE trong mạng lõi, thay vì phụ thuộc
vào số lư ợ n g đ ư ờ ng hầm phải cung cấp cho khách hàng.
Nhà cung cấp dịch vụ sẽ sử dụng dịch vụ phân biệt (Differentiated Services) để hỗ trợ cho mô hình hose Ngoài ra nhà cung cấp dịch vụ có thể sử dụng chức năng quản lý lưu ỉưọfng MPLS để nâng cao hiệu suất sử dụng tài nguyên mạng
Bộ định tuyến PE sẽ thựG hiện công việc xác định lớp dịch vụ COS cho lưu lượng căn
cứ vào các yếu tố: giao diện lưu lượng tới trên bộ định tuyến PE, địa chỉ IP đích và địa chi
IP nguồn, IP Precedence, chỉ số cổng TCP
Mặc dù khách hàng sẽ ký với nhà cung cấp dịch vụ một hợp đồng yêu cầu được cung cấp lóp dịch vụ cho lưu lượng Tuy nhiên vẫn có trường hợp lưu lưọTig khách hàng gửi đến vượt quá ngưõTig cho phép Vì thế nhà cung cấp dịch vụ sẽ có những biện pháp kiểm soát tại
bộ định tuyến igress PE Nếu lưu lượng vượt ra ngoài phạm vi cam kết, nhà cung cấp dịch
vụ sẽ có hai hướng xử lý: một là hủy bỏ lưu lượng này ngay tại bộ định tuyển igress PE hoặc vẫn gửi đi nhưng lưu lượng bị đánh dấu là không họp lệ Với sự lựa chọn cách xử lý thứ hai, cả hai luồng lưu lưọTig họp lệ và không hợp lệ sẽ cùng di chuyển trên LSP Nhưng khi trong mạng xảy ra xung đột, lưu lượng không họp lệ sẽ bị mất
6.7.3 K h ả năng m ở rộng
Qua những gì đã trình bày ờ trên, bộ định tuyến CE chỉ lưu giữ thông tin định tuyến với bộ định tuyến PE mà nó trực tiếp kết nối Như vậy số lượng thông tin lưu giữ không phụ thuộc vào số lượng khu vực của VPN, do đó số lượng khu vực trong một VPN có thể lên đển con số hàng trăm, hàng ngàn Đồng thời khi thêm vào một khu vực không phải thiết lập kết nối khu vực mới với tất cả các khu vực còn lại
Ngoài ra, với việc sử dụng chức năng định tuyến phân cấp MPLS cho phép giảm thiểu sổ lượng thông tin định tuyến lưu giữ trong p router, p router chi ]ưu giữ thông tin liên quan đến LSP liên kết hai bộ định tuyến PE bất kỳ được xây dựng bằng các giao thức LDP (Label Disữibution Protocol), RSVP (Resoure Reservation Protocol)
Thứ hai, một bộ định tuyến PE chỉ lưu giữ thông tin định tuyến liên quan đến những mạng riêng ảo VPN có các khu vực kết nối trực tiếp với nó Nếu như số lượng thông tin định tuyến lưu giữ txở nên quá lớn, chúng ta thêm vào một bộ định tuyến PE mới và chuyển một số VPN từ bộ định tuyến này sang bộ định tuyến mới
Như vậy không có thành phần nào trong mạng lõi cùa nhà cung cấpl dịch vụ phải lưu giữ thông tin định tuyến của tất cả mạng riêng ảo VPN Vì thế khả năng triển khai trên một quy mô lớn không bị hạn chế
6.8 T Ó M TẮT
M ột đặc điểm cơ bản của mô hình BGP/MPLS VPN là không có sự ràng buộc trong
kế hoạch đánh địa chỉ cho mạng riêng ảo VPN Các VPN có thể sử dụng bất cứ hình thức địa chỉ nào, ví dụ địa chi riêng, địa chỉ DP
Vấn đề bảo mật có thể so sánh với mô hình VPN dựa trên Frame Relay và VPN dựa trên ATM
Trang 16Hơn nữa, về lĩiứi vực cung cấp chất lượng dịch vụ, nhà cung cấp dịch vụ có thể hỗ trợ cho khách hàng nhiều lớp dịch vụ COS với hai mô hình chính là pipe và hose Bộ định tuyến PE sẽ quyết định, lớp dịch vụ dành cho lini lượng.
Ngoài ra, mô hình này có thể triển khai trên quy mô lớn với số lưọfng khu vực trong mỗi mạng riêng ảo VPN lên đến hàng trăm hàng ngàn Mô hình này cho phép một nhà cung cấp dịch vụ sử dụng chung hạ tầng mạng cung cấp dịch vụ VPN và dịch vụ Internet
Vì liên kết giữa bộ định tuyến CE và bộ định tuyến PE là liên kết IP cũng như nhà cung cấp dịch vụ sẽ sử dụng kỹ thuật chuyển mạch nhãn MPLS nên kỹ thuật lớp liên kết dữ liệu có thể là Frame Relay, ATM, leased lines, DSL .đ ể kết nối bộ định tuyến CE với bộ định tuyến PE và bộ định tuyến PE với bộ định tuyến p
Điều quan trọng của mô hình này là không yêu cầu khách hàng VPN phải có hiểu biết nhiều về mạng Khách hàng không phải xây dựng và đưa vào hoạt động đưòmg trục (backbone) ảo của riêng nó Vì vậy mô hình này có thể phục vụ cho nhiều khách hàng hơn
Trang 17CHƯƠNG 7: XÂY DtjfNG MẠ]VG ĐƯỜNG TRỊIC M PLS
M ạng MPLS có thể được xây dựng bởi nhiều cách, sử dụng sự kết hợp của các LSR
và các ATM MPLS LSR Những nghiên cứu thiết kế cho mạng MPLS được mô tả như sau:7.1 M Ạ N G M P L S T R Ê N G Ó I
H inh 7.1: Mạng M PLS trên gói [3].
Khách hàng A Khách hàng B
Frame Relay, ATM,
PVP, kênh thuê riêng,
Trang 18190 Chuyển mạch nhãn đa giao thức MPLS
Trong hình 7.1 cho thấy một mạng MPLS gói sử dụng đưÒTig trục là bộ định tuyến Những liên kết giữa các bộ định tuyến p, các PE đến p, và PE đến bộ định tuyến CE có thể
là kết họp bất kỳ các kỹ thuật lớp 2 Tiêu đề MPLS được mang trong một tiêu đề thêm vào trong trường họp tiêu đề của lóp 2 không hỗ trợ nhãn và trong trường V P W C I trong trưÒTig họp của ATM Backbone MPLS không cần phải được kết thông hoàn toàn Tuy nhiên đối với IGP (Interior Gateway Protocol) (OSPF hay IS-IS) thì cần có kết nối hoàn toàn Những
bộ định tuyến PE hoạt động như điểm truy cập PoP (point of presence) và có thể được đặt tại các thiết bị hay trung tâm dữ liệu của các nhà cung cấp dịch vụ Thiết kế mạng MPLS trên gói theo cùng quy tắc với thiết ké cho mạng định tuyến IP chuẩn
Khách hàng A Khách hàng D Khách hàng A Khách hàng c
M ạng MPLS sử dụng LSR ATM trong lõi và kết hợp các bộ định tuyến ATM hay các LSR ATM khác (thực hiện chức năng LSR ở rìa hay PE) tại các điểm truy cập Những sự kết hợp khác nhau được trình bày trong hình 7.2 Các LSR ATM lõi sử dụng những kênh
Trang 19Chương 7: Xây dựng mạng đường trục MPLS 191
nhãn ảo (Label Virtual Circuit LVC) để giao tiếp với các LSR lõi khác và các bộ định tuyến
PE ATM FKần điều khiển chuyển mạch nhãn (Label Switch Controller LSC) tại PoP-1 của nhà cung cấp dịch vụ có thể có chức năng như là một LSR ờ rìa Điều này làm giảm yêu cầu cho các bộ định tuyến PE ATM riêng rẽ cần được đặt cùng với LSR ATM lõi
Lưu lượng tại PoP-2 của nhà cung cấp dịch vụ từ khách hàng B và c có thể được tổng hợp tại giao diện của một thiết bị giao tiếp X và được truyền trên các PVC ATM đến LSR ATM gần nhất, trong trưòng họp này là PE3 Mạng MPLS ATM vói các LSR ở rìa cho gói
có thể sử dụng các thiết bị giao tiếp như X nếu có truy nhập yêu cầu qua một thiết bị mà không hỗ trợ dịch vụ MPLS Lưu lưọng của khách hàng được mang qua thiết bị truy cập đến LSR ở rìa Giữa thiết bị truy cập và LSR ở rìa có các đưÒTig liên kết logic khác nhau cho mỗi khách hàng, nó có thể là Frame Relay hay PVC ATM hay một liên kết ppp
7.3 MẠNG M PLS TR ÊN H Ỏ N H Ợ P GIỮA ATM VÀ GÓI
Frame Relay
hoặc tập trung
song song
trên gói |Khách hàng B Frame Relay ATM, PVP, kênh thuê riêng
FE, GE hoặc bất kỳ liên kết lớp 2 nào
Trang 20192 Chuyển mạch nhãn đa giao thức MPLS
Mạng hỗn hợp sử dụng một sự kết họp của LSR ATM, LSR ATM ờ rìa và LSR trên gói ở rìa Điều này có thể kết hợp mạng MPLS trên ATM và mạng MPLS trên gói với các LSR ATM ở lõi Các LSR ờ rìa nằm trên lóp phân bố và các LSR trên gói nằm trên phần mạch còn lại của lớp truy cập M ột ví dụ về mạng hỗn họp được chỉ ra trong hình 7.3 Trong một mạng như vậy, một vài liên kết có thể chạy MPLS trên gói và phần khác có thể chạy MPLS trên ATM Thiết bị để giao tiếp giữa MPLS trên gói và MPLS ứên ATM có ứiể là cùng các LSR ở rìa ATM
7.4 T ÍC H H Ợ P M PLS VÀO M Ạ N G ATM
Nhiều nhà cung cấp dịch vụ hiện tại hoạt động trên mạng đưÒTig trục ATM và cung cấp các dịch vụ ATM và Frame Relay cho các khách hàng của họ Hầu hết khách hàng chạy ứng dụng IP trên nền ATM hay Frame Relay nhờ vào các nhà cung cấp dịch vụ Nhưng cấu trúc này đã cho thấy có nhiều yếu điểm của IP truyền thống trên mạng ATM, chủ yếu là giảm các bộ định tuyến ngang cấp trong vấn đề phát triển, và hiệu quả băng thông thấp (như
ta đã thảo luận ở các phần trước)
Mạng MPLS là một thay thể xuất sắc Chúng cho phép phát triển tối ưu và băng thông hiệu quả với khả năng quản lý lưu lượng và QoS MPLS có thể được triển khai vào mạng ATM truyền thống một cách từ tìr, khởi đầu bằng một cặp ATM LSR trong mạng MPLS có thể được triển khai qua các chuyển mạch (switch) không có hỗ ù-ợ MPLS bằng việc sử dụng kết nối VP qua các chuyển mạch ATM truyền thống Những kết nối V P này
còn gọi là những đường hầm VP (tunnels VP) bởi vì chúng cho phép MPLS tạo một đường
hầm qua xuyên các chuyển mạch ATM Những đường hầm VP làm cho tích hợp hoàn toàn MPLS dễ dàng, mặc dù nó vẫn có những bất lợi
Những bước sau để tích hợp MPLS vào mạng ATM:
H ình 7.4: Bước tích hợp m ột 13].
LSR rìa
Trang 21ChưoTig 7: Xây dựng mạng đường trục MPLS 193
• Bước 1: Cấu hình và cài đặt LSR ATM ở rìa nền bộ định tuyến sử dụng PVP hay PVC qua mạng backbone ATM Những PVP và PVC này phải được cấu hình trên các chuyển mạch ATM sử dụng phương pháp cấu hình PCP Một kế hoạch tích họp linh động khỏi đầu cho sự đưa MPLS vào một mạng ATM được trình bày trong hình 7.4 Hỉnh 7.4 chỉ ra vị trí khởi đầu với các bộ định tuyến được nối bởi các PVP qua một đám mây ATM Nhưng tại thòd điểm này vẫn có những yếu điểm của mạng IP- over- ATM Nhưng nó có thể hỗ ừợ các dịch vụ MPLS
• Bước 2: Đưa các LSR ATM vào mạng lõi, như ttong hình 7.5 Có thể chuyển đổi các chuyển mạch ATM ùiiyền thống thành LSR ATM bằng cách gắn thêm phần điều khiển chuyển mạch lứiãn LSC (Label Switch Conừoller) và cấu hìiih tài nguyên cho phần MPLS Những LSR ATM vẫn có ứiể hỗ trợ các dịch vụ ATM truyền thống Do đó cần cẩn thận làm việc với các khách hàng đang sừ dụng PVP hay PVC ATM Ngoài ra phải
để dành các VCI từ 2 đến 15 cho LVC sử dụng, số lượng PVP cho mỗi LSR ở ria có thể được giảm tới một (hoặc hai nếu có bảo vệ), và có thể là 0 nếu LSR ờ rìa nối trực tiếp vói LSR ATM, lúc này LSR ở rìa có thể được cấu hình với LVCi Các LSR ATM
có tìiể được nối đến các chuyển mạch ATM tì^yền thống bằng nhiều cách khác nhau
LSR rìa
Trang 22• Bước 3: Thực hiện chuyên đổi các chuyển mạch ATM ùaiyền thống trong rìa của mạng thành LSR ATM, như trong hình 7.6 cần phải cẩn thận để không phải làm gián đoạn các dịch vụ của các khách hàng ATM hay Frame Relay ttong quá ttình trung gian.
H ình 7.7: Bước tích hợp bốn [3].
L S R rìa A T M - - - - L S R rìa A T M
• Bước 4: Chuyển đổi tất cả các chuyển mạch ATM còn lại trong lõi thành LSR ATM làm mạng trở thành hoàn toàn MPLS ATM như trong hình 7.7 Sử dụng PVP không cần thiết, thay thể bằng LVC, được sử dụng trong lõi và giữa lõi với LSR ở rìa
7.4.1 Những vấn đề cần quan tâm kM chọn thiết bị LSR ATM ở rìa
Có bốn vấn đề cần quan tâm:
• Các kiểu dịch vụ có thể được hỗ trợ: là các dịch vụ DP, ATM hay kết hợp cả hai
• Các kiểu truy cập khác nhau và những giao thức liên quan: các card đường dây phải
sử dụng một kỹ thuật và giao thức để giao tiếp với phần lớn bộ định tuyến CE như nối tiếp, nối tiếp/Frame Relay, ISDN tới E l/T l, 10 Mb/s Ethernet, Fast Ethernet, Gigabit Ethernet, HSSI, nối tiếp tốc độ cao, ATM, gói trên SONET/SDH
• Số lượng đường dây và sự tổng họp của chúng: cần lựa chọn thiết bị phù họp với số lượng đường dây hiện tại và tương lai
• Yêu cầu cho việc dự trữ và độ tin cậy: các yêu cầu ữong việc lựa chọn LSR ở rìa là khả năng dự phòng nóng (standby hot), thêm và bớt card online (không tắt máy), hỗ
ư ợ nhiều trang người dùng
7.4.2 Những yêu cầu trong lựa chọn LSR ATM
• Hỗ trợ các kiểu khác nhàu của đường trung kế
• Số lượng các trung kế có ứiể hỗ trợ
• Số lượng kết nối hỗ ttợ
• Yêu cầu cho dự trữ và tÌB cậy
Trang 237.5 XÂY DựN G MẠNG MPLS
Thiết kế mạng M PLS phải được hoàn thành trước khi cài đặt mạng để đảm bảo mạng hoạt động tối ưu và tin cậy Những bước cần thiết sau cần phải tính toán trong khi xây dựng mạng
• Thiết kế PoP
• Tính kích thước liên kết đường trục MPLS
• Thiết kế định tuyến lófp 3
• T ín h L V C M P L S
7.5.1 Thiết kế điểm truy cập PoP
Thiết kế PoP (point of presence) bat buộc phải bao gồm sự lựa chọn kiểu truy nhập đường dây và thiết bị cho mạng
Vị trí của PoP được xác định chủ yếu bỏi lưu lượng người dùng và vị trí của các trung tâm dân cư M ột kế hoạch tính toán hợp lý phải được thực hiện trước khi thiết kế PoP Kế hoạch này phải làm những ước tính chính xác cho sự phát triển của lưu lượng trong tương lai dựa vào các khách hàng hiện tại
7.5.2 T hiết kế P oP củ a m ộ t LSR ATM đơn ở rìa
Một thiết kế PoP của LSR ATM ở rìa như ttong hình 7.8, được sử dụng nếu node có thể hỗ trợ số lượng và kiểu đưÒTig dây được yêu cầu bởi bộ định tuyến CE của khách hàng tại vị trí PoP M ột LSR ở rìa đơn khá nhạy với vấn đề phát triển Điều này có thể tránh nếu LSR ATM ờ rìa được cùng đặt với LSR ATM và các LSR ở rìa thêm vào có thể gắn vào các cổng ATM của LSR ATM lõi
H ình 7.8: M ột LSR ATM ở rìa [3].
Router CE
7.5.3 Thiết kế PoP cho các LSR ở rìa và LSR ATM
Neu các đưòfng dây đa truy cập được hỗ trợ tại một PoP, PoP có thể yêu cầu nhiều hơn một LSR ở rìa tại đó Tương ứng, các kiểu của LSR ở rìa khác nhau có thể được yêu cầu bởi vì có nhiều kiểu truy cập khác nhau được hỗ trợ Phải chú ý là cùng đặt một LSR ATM ở vị trí có nhiều LSR ở rìa trong PoP cấu trúc này được chỉ ra trong hình 7.9
Trang 24196 Chuyển mạch nhãn đa giao thức MPLS
Trong hình 7.9 LSR ATM chuyển mạch các lưu lượng giữa các LSR ở rìa khác nhau trong PoP Nó còn có thể tập trung lưu lưọng từ PoP này vào một tập đơn các đường liên kết MPLS ATM Và vấn đề phát triển định tuyến được cải thiện bỏi vì chỉ một giao thức định tuyến ngang cấp được yêu cầu từ LSR ATM đến các điểm khác ưong mạng MPLS Nếu không có LSR ATM, nhiều giao thức định tuyến ngang cấp phân tách sẽ được yêu cẩu bởi tất cả các LSR ở rìa Việc giảm các cặp đưÒTig liên kết giữa LSK ờ rìa và LSR ATM phụ thuộc vào yêu cầu về độ tin cậy
Trang 25Các bộ tập trung truy cập có thể được sử dụng cùng với các LSR ờ rìa và một LSR ATM được dùng để tập trung lưu lượng người dùng và đặt lên LSR ở rìa Một ví dụ của kiểu này được chỉ ra ưong hình 7.10 Lưu lưọng IP từ bộ tập trung ttny cập được mang trong các PVP ATM đến LSR ở rìa, lưu lượng này được mang qua LSR ATM Trong hình, LSR P E l phài có ít nhất hai giao diện ATM, một cho các PVP truy cập từ bộ tập trung và một cho lư'.' lirợtig MPLS ATM.
Chú ý là LSR ATM có thể hoạt động như là một LSR ở rìa đồng thời hoạt động như một LSR Tuy nhiên điều này không đưọc khuyến cáo cho các nhà cung cấp dịch vụ
Số lượng LSR ở rìa ứong PoP phụ thuộc vào tổng số lượng đưòng dây ữuy cập và tổng băng thông của các đường truy cập, được tính từ mức sử dụng trung bình
7.5.5 Thiết kế PoP của một LSR
Một site PoP LSR thường thực hiện chức năng chuyển mạch ATM để kết cuối với các khách hàng sử dụng bộ định tuyến ATM CE Các khu vực (site) như vậy bao gồm một LSR ATM đơn, như trong hình 7.11, hay là hai ữong trưòng hợp dự phòng Bộ định tuyến ATM
CE có thể kết cuối trực tiếp vào LSR sử dụng một mạch TDM hay được chuyển mạch qua một PVC ATM dự txữ
H ình 7.11: PoP cùa một LSR [3].
7.6 ĐỊNH HÌNH LIÊN KÉT ĐƯỜNG TRỤC MPLS
Những bước sau đây liên quan đến việc định hình liên kết đường trục MPLS:
• Bước 1: Thiết kế điểm truy cập PoP
• Bước 2: ư ớ c tính lưu lượng từ mỗi điểm PoP
• Bước 3: ư ớ c tính ma trận lưu lượng đơn hướng
• Bước 4: ư ớ c tính ma trận lưu lưọTig song hướng
• Bước 5: Thiết kế cấu hình backbone trung kế
• Bước 6: ư ớ c tính băng thông kết nối
• Bước 7: Gán dung lượng kết nối
• Bước 8: Điều chỉnh dự phòng
Trang 26198 Chuyển mạch nhãn đa giao thức MPLS
• Bước 9: Lựa chọn những thiết bị thích hợp
7.6.1 Thiết kế điểm truy cập
Bước đầu tiên của việc thiết kế mạng MPLS là lựa chọn kích thước, kiểu, và layout của PoP dựa vào những mô tả ở phần trước
Những PoP ở rìa như ttong hình 7.12 được chọn dựa vào những liên kết khách hàng được ước tính
H ình 7.12: Tổng băng thông-các đường dây truy cập [3],
LSR rìa
LSR ATM
500Mb/s
400Mb/s
7.6.2 ư ớc tính lưu lượng từ mỗi PoP
H ình 7.13: Băng thông cấc đường dây truy cập đã được điều chỉnh [3]
LSR rìa
LSR ATM
300Mb/s
240Mb/s
Trang 27ChưoTig 7: Xây dựng mạng đưÒTig trục MPLS 199
Tổng băng thông của tất cả đường dây truy cập của khách hàng phải được xem xét, và ước tính tổng lưu lưọTig được gửi từ các khách hàng của mỗi PoP có thể được tính Một lưu lượng đỉnh được tính trước có thể được sử dụng, như là tốc độ trong phút bận nhất của ngày.Điều này đảm bảo kích thước vừa đủ Một ước tính lớn nhất có thể là tổng băng thông của đường đây ứuy cập tại PoP, như trong hình 7.12 Tuy nhiên sẽ họp lý hơn nếu lấy ước tính thấp hơn niột ít, như là 60% tông băng thông ước tính như ưong hình 7.13
7.6.3 ư ớ c tính ma trận lưu lượng đơn hướng
Bước này ước tính các lưu lượng tù PoP này đến PoP khác dựa vào các yếu tố khác nhau, bao gồm sự phân bố dân số, băng thông đường dây truy cập có điều chỉnh cho mỗi PoP M ột yếu tố khác là sự có mặt của các ứng dụng như Web server trong trường hợp nhà cung cấp dịch vụ cũng là một ASP Những thủ tục chính xác khác nhau ừong mỗi mạng Ví
dụ đối với lưu lượng kinh doanh IP, bước xấp xỉ hợp lý cho mạng có thể là 33% của lưu lượng đến Chicago, 22% lưu lượng đến Washington, 13% đến Seattle, 15% đến San Diego,
và 17% đến Miami Một nhà cung cấp dịch vụ tồn tại có thể đã có ước tính cho từng phần lưu lượng ưong khu vực của nó Dựa vào phần trăm phân bố lưu lượng ước tính và tổng lun lượng PoP từ bước 2, một ma trận lưu lượng có thể được ước tính Ma ưận liru lượng cho ví
dụ này được chi ra trong bảng 7.1
B ảng 7.1: Ma trận phân bổ lưu lượng đơn hướng [3]
ĐỈch— ^ C hicago W ashington Miami San Diego Seanie Phân bố
7.6.4 ư ớ c tính ma trận lưu lượng song hướng
Trong mạng IP, lưu lưọng từ node A đến node B thường đi chung một tuyến Nhưng
sẽ khác ừong hướng ngược lại, như lưu lượng từ node B đến node A Mặc dù các giao thức định tuyến và sự tính toán lưu lượng có thể vượt qua điều này, nhưng ta giả sử điều này xảy
ra, chủ yếu ở các mạng nhỏ Với sự giả sử này, sẽ dễ dàng hơn sử dụng lưu lượng song hướng hơn là lưu lượng đơn hưóng trong mạng
Luồng lưu lượng song hưóng cho mạng ví dụ được đưa ra trong bảng 7.2 Băng thông lưu lưọfng song huớng giữa Washington và Chicago, ví dụ, là 250 Mb/s, khi băng thông đơn
Trang 28200 Chuyển-mạch nhãn đa giao thức MPLS
hướng lớn nhất từ Washington đến Chicago là 175Mb/s và băng thông từ Chicago đến Washington đến 250Mb/s
Bảng 7.2: Ma trận phân bố lưu lượng song hướng [3]
W ashington N/A
50 N/A N/A 30
Miami 125 75
20
N/A N/A
Seattle 60 N/A 20 35 40
7.6.5 Thiết kế cấu hình trung kế đưòng trục
Cấu hình trung kế đưònng trục nền phụ thuộc vào các nhân tố sau:
• Vị trí node từ cấu hình địa lý Bao gồm cả các cáp quang hiện hữu và sự có mặt của các điểm phân bố trung tâm như là một NAP (Network Access Point) Trong ví dụ này, các server NAP ở Chicago như là một điểm phân bố và tổng hợp cho các đường cáp quang trung kế đường dài
• Các thiết bị an toàn với tính chất môi trưòfng và diện tính được yêu cầu để xây dựng các node LSR ATM Những thiết bị đó có thể được mờ rộng trong vật lý để tạo thành LSR ở rìa, và các kệ thêm vào cho sự phát triển của mạng
• Việc dự phòng cấp mạng được ửiực hiện bởi có nhiều đường dẫn cho mỗi đích Điều này đảm bảo tất cả các node có đường truyền thay thế cho nhau
• Những đường trung kế quang phải được dự phòng hoàn toàn từ cáp quang lớp 1 và module card/node tương ứng
Cấu hình lớp mạng trong ví dụ này được trình bày ttong hình 7.14, nhiều thay đổi khác có thế chấp nhận, cấu hình này gồm một cấu hình dạng vòng Thiết kế khá tốt cho dự phòng lớp mạng, đảm bảo có ít nhất hai đường dẫn giữa một cặp node Không cần thiết phải
có đường dự phòng ừung kế vì nó có thể định tuyến lại LVC MPLS Trong mạng ATM truyền thống hưọng kết nối, định tuyến lại là phucfng án cuối cùng, chỉ được sử dụng khi tất
cả các cơ chẹ dự phòng khác thất bại Bởi vì nó sẽ lăm dừng các lưu lượng khách hàng trong nhiều giây hay phút, ưong khi các mạch đang được định tuyến lại Trong mạng IP, định tuyến lại không là vấn đề nghiêm ưọng, bởi vì luồng gói tin có thể được chuyển mạch từ kết nối này đến kết nối khác ngay khi các giao thức định tuyến được sử dụng M ạng MPLS nằm
giữa hai trạng thái này Định tuyến lại trong mạng MPLS sẽ thực hiện được nếu dồn v c
được sử dụng, vì dồn v c sẽ làm giảm số lượng v c được sử dụng trong mạng, và do đó nó làm giảm những yêu cầu thay đổi trong kết nối khi định tuvến lại xảy ra
Hầu hết các đường trung kế ưong ví dụ này không cần dự phòng vì vấn đề kinh tế, chỉ
có một cặp dự phòng từ Chicago đến Washington vì tuyến này tải lưu lượng nhiều nhất
Trang 29Chương 7: Xây dựng mạng đường trục MPLS 201
H ình 7.14: Thiết kế mạng [3].
Seattle
^ LSR rìa
LSR ATM
7.6.6 ư ớ c tính băng thông kết nối
Băng thông kêt nôi trong mạng có thê được tính dựa vào ma trận phân bo lưu lượng song hướng trong bảng 7.2 Giả sử rằng các giao thức định tuyến EP lớp 3 hoạt động trên các kết nối có bàng thông tưcmg đương sẽ chọn tuyến ngắn nhất trừ khi có sự can thiệp của quản trị Điều này sẽ giúp cân bằng tải của lun lượng khi có hai hay nhiều đường dẫn tương đương Quá ttình tính các luồng kết nối cho lưu lượng trong bảng 7.2 được chi ra trong hình 7.15
H ìn h 7.15: Tính toán băng thông liên kết mạng [3].
Seattle
75+(65/2) [107.5Mb/s] 0 C 3
Miami LSR rìa
LSR ATM
M ột ví dụ, băng thông yêu cầu giữa San Diego và Chicago là 100 Mb/s, băng thông yêu cầu giữa San Diego và Washington là 65Mb/s Tuy nhiên, có hai đường dẫn cùng giá từ
Trang 30202 Chuyển mạch nhãn đa giao thức MPLS
San Diego đến Washington là San Diego-Chicago- Washington và San Diego-Miami- Washington Tải cân bằng qua cả hai đường trên là 65/2 Mb/s cho mỗi đường
7.6.7 Gán dung lượng kết nối
Băng thông lưu lượng được tính ttong bước 6 có thể được gán cho các kết nối trong mạng Nó bao gồm lựa chọn kích thước tiêu chuẩn của kết nổi lớn hơn luồng kết nối ước tính ờ trước Hình 7.15 cũng chi ra số liệu này
7.6.8 Điều chỉnh dự phòng
Mạng dựa vào định tuyến lại lớp 3 trong trưòmg hợp kết nối bị hư, vì ở đây không sử dụng các đường trung kế dự phòng cho tất cả các liên kết Do đó sẽ tốt hcm nếu ta điều chỉnh các băng thông kết nối cao hơn để đảm bảo rằng đủ băng thông cần thiét ttên đường thay thế khi có sự cố về kết nối
Ví dụ, nếu liên kết giữa San Diego và Seattle hư, thì kết nối 0C 3 giữa San Diego và Chicago sẽ là 132,5+45, hay là 177,5 Mb/s rõ ràng vượt qua tốc độ của 0 C 3 là 155 Mb/s
Do đó một liên kết 0 C 1 2 hay là nhiều liên kết 0 C 3 được sử dụng cho kết nối này
Phân bố cuối cùng của băng thông kết nối được đưa ra trong hình 7.16
H ình 7.16: Băng thông liên kết có tính đến dự phòng [3]
Miami LSR ria
Trang 31Chưong 7: Xây dựng mạng đường trục MPLS 203
MPLS hoàn toàn giống như thiết kể định tuyến BP cho mạng IP truyền thống Mạng có thể được mô tả bằng cấu hình logic, và cấu hình định tuyến cũng từ cấu hình này mà ra
Bằng cách xem xét cấu hình định tuyển, chúng ta có thể chia mạng 'ra thành các khu vực, thiết kế tuyến tổng quát, rồi cứ như vậy cho đến hết
M ột thiết kế logic trình diễn mạng như nó được xem bời các giao thức định tuyển IP
M ột ví dụ của thiết kế logic một mạng trong hình 7.17 được chỉ ra trong hình 7.18 Các
chuyển mạch PVC lớp 2 và các chức năng chuyển mạch PVC rõ ràng trong suốt với định
tuyến IP Nếu một PVC nối một khu vực (site) của khách hàng với một bộ định tuyến, thì PVC là một kết nối trực tiếp từ cách nhìn của định tuyến IP Một bộ điều khiển chuyển mạch nhãn và một chuyển mạch tạo thành một điểm định tuyến đoTi
Trang 32N hữ ng vẩn đề trong thiết k ế định tuyển lớp 3 M P LS
Những bước sau mô tả chi tiết những thủ tục thiết kế định tuyến lớp 3 MPLS:
• Giao thức IGP được sử dụng trong đường trục MPLS nên là các giao thức định tuyến trạng tìiái liên kết như OSPF hay IS-IS EIGRP có thể được sử dụng nhưng nó không
hỗ trợ quản lý lun lượng MPLS, vì nó là giao thức vector khoảng cách hồn hợp IGRP hay RIP có thể làm việc với MPLS nhưng nó không làm việc với MPLS TE do đó nó không được khuyến cáo sử dụng
• Sử dụng những kết nối IP không đánh số bất cứ khi nào có thể Nổ làm giảm số IP đích mà LSR phải nhớ và do đó làm giảm số LVC được dùng trong mạng
• Tổng hợp tuyến được yêu cầu trong một mạng LSR ATM, nó phải được thực hiện trên một LSR ATM ở rìa M ột LSR ATM có thể được sử dụng trong một ABR (Area Border Router) OSPF hay IS-IS chi khi nào không có sự tổng hợp nào được thực hiện tại ABR Điều này là bởi LSR ATM không thể xử lý các địa chỉ IP
• Nếu mạng MPLS cần ngang cấp với một hệ thống tự ừị khác AS (Autonomous System), một LSR ATM ở rìa có thể được cấu hình như là một Router Boundary Autonomous System BGP4 Nhưng một LSR ATM thì không thể
• Quàn lý 1UTJ lượng MPLS làm việc ừong đưÒTig trục phải có một khu vực OSPF hay IS-IS đơn Quản lý lưu lượng MPLS/ĐỊnh tuyến có để dành tài nguyên - TE/RRR (Traffic Engineering/Routing with Resource Reservation ) có thể không được sử dụng trong các mạng đa miền
• Hiện thời không thể sử dụng MPLS TE/RRR trong mạng có ABR là LSR ATM
• Tổng hợp không thể được thực hiện trong một mạng VPN MPLS vì trong một mạng MPLS ho trợ VPN có the có nhiều khu vực OSPF hay IS-IS
7.8 ĐỊNH HÌNH LVC MPLS
Một chuyển mạch ATM chỉ có thể hỗ trợ một số liíợng các v c tích cực Nhiều dịch
vụ ATM như MPLS, PNNI» và tuyến định sẵn (Autoroute) chia sẻ những tài nguyên của các kết nối ttong một mạng IP+ATM Do đó một số lượng v c cần thiết phải được để dành trong sử dụng LVC trong mỗi kết nối v ấ n đề thiết kế ờ đây là xem xét số lưọ-ng LVC yêu cầu Mà số lượng LVC yêu cầu phụ thuộc vào số đích IP ưong mạng, sự liên hệ giữa đích IP
và LVC, dồn v c và những tuyến được lựa chọn bời định tuyến IP
7.8.1 Tiền tố địa chỉ đích
Những bước sau đây mô tả những chi tiết liên quan đến việc định hình LV C MPLS:
• Số lượng của LVC được sử dụng trong một khu vực xác định trong mạng phụ thuộc vào số các tiền tố đích IP trong khu vực đó
• Địa chi lặp vòng của tất cả các LSR ờ rìa và LSR ATM trong mạng là một tiền tố đích
• Tiền tố địa chi mạng con (subnet) của bất kỳ kết nối điểm đến điểm có đánh số nào, hay của bất kỳ mạng con khác là một tiền tố địa chỉ Điều này nhấn mạnh yêu cầu dùng các liên kết không đánh số trong mạng MPLS
• Các địa chi được tổng hợp thành một địa chỉ đcm tại một LSR ABR ở rìa hay ASBR thì được tính là một tiền tố đích
Trang 33Chương 7: Xây dựng mạng đưÒTig trục MPLS 205
• Bất kỳ tiền tố địa chỉ khác được quảng bá trong khu vực đều phải được tính
Chú ý tiền tố địa chi đích của khách hàng VPN không được quàng bá vào lõi của mạng và do đó không được tính vào LVC, đây là một đặc điểm để phát triển VPN MPLS
Trang 34yêu cầu tới 4 LVC cho mỗi tiền tố đích Những yêu cầu cho luồng LVC chạy qua mạng phụ thuộc vào các đưòng dẫn được lựa chọn bỏi định tuyến IP Nếu dồn v c không được sừ dụng, thì sẽ có nhiều LVC cho mỗi liên kết như ưong hình 7.19.
Với dồn v c , các LVC tới mỗi đích được dồn tại mỗi LSR ATM Có nghĩa là trên mỗi kết nối, có ít nhất một LVC cho mỗi đích trong miền Dồn v c được chỉ ra trong hình 7.20 Nếu CoS MPLS được sử dụng, số lưọTig các lóp nhân với số lưọTig các đích để có số lượng của LVC
7.8.3 T hiết kế tín h to á n cho LSR ử rìa [3]
Đối với các LSR ATM ở rìa, số lượng LVC được sử dụng trên mỗi kết nổi tùy thuộc vào có sử dụng dồn v c trong mạng hay không
Công thức 1
Nếu d là số các tiền tố đích được biết trong miền, và c là số lượng của CoS được sử
dụng trong mạng, và dồn v c được sử dụng, thì số lượng của LVC được sử dụng trên mỗi kết nối là
l<= cả
Công thức 2
Nếu dồn v c không được sử dụng trong mạng, thì có 3 tham số phải xét đến:
• Số lưựng của LSC trong miền
• Số Iưọng của LSR ở rìa ữong miền
• Số lượng các đích mà có thể đến trực tiếp thông qua LSR ở rìa
Nếu d là số các tiền tố đích được biết trong miền, và c là số lượng của CoS được sử dụng trong mạng, và de là số lượng tiền tố các đích mà có thể đến được qua một LSR ATM
ở rìa xác định (thường thì nó bằng 1), yà tổng số lượng các LSR ATM ờ rìa và LSC trong
miền là n thì số lượng cùa LVC được sử dụng ừên mỗi kết nối là
l <= cịd-de) + (c)(n)(de)
Công thức 3
Một công thức đơn giản được dùng ữong các trường hợp khi thỏa tất cả các điều kiện sau:
• Dồn v c không được sử dụng
• Có một tiền tố đích trên mỗi LSR ờ rìa hay LSC
• Tất cả các kết nối đều không đánh số
• Không có tiền tố đích nào từ bên ngoài miền
Những điều kiện trên thường được áp dụng trong lõi của mạng MPLS có hỗ trợ VPN, nhưng không sử dụng dồn v c
Số lượng LVC trên mỗi kết nối trên LSR ATM ở rìa trong trường hợp này là:
ỉ < = 2cn
H ướng dẫn công thức: công thức 1 đến 3.
Một txong 3 phương trình trên được sử dụng để kiểm tra xem có đủ số lượng các LVC cần thiết trên thiết bị, như được chỉ ra trong bảng 7.3
Trang 35Chương 7: Xây dựng mạng đường trục MPLS 207
Bảng 7 3 : Giới hạn LVC LSR ở rìa [3].
LSR ờ rìa Mạng có sử dụng dồn vc. Số lượng các vc hoạt động
được hỗ trợ trên mỗi liên kết. Công thức 1 Mạng không sử dụng dôn vc Có
mỗi tiền tố đích trên mỗi LSR hay LSR ờ rìa, tất cả kết nối đều không đánh số và không có bộ định tuyến bên ngoài miền.
Mạng không sử dụng dồn vc Các trường hựp khác được áp dụng.
được hỗ trợ trên mỗi liên kết.
Số lượng các vc hoạrđộng được hỗ trợ trên mỗi liên kết.
Công thức 3
7.8.4 Thiết kế tính toán cho LSR ATM vói dồn v c
Có dồn v c , các LVC tới đích được dồn vào tại mỗi LSR ATM Có nghĩa là có nhiều nhất một LVC cho mỗi đích trên mỗi kết nối Nếu CoS MPLS được sử dụng, số lượng của lớp nhân với số lượng của LVC
M ột vấn đề quan ữọng trong những chuyển mạch mà hỗ trợ dồn v c là số lượng của
LVC được dồn trong chuyển mạch m Nó phụ thuộc vào số lưọTig của kết nối trong chuyển mạch k Giới hạn là:
m < cd{k-\)
H ướng dẫn công thức: công thức 4 đến 5.
Những công thức ttên được sử dụng để kiểm tra xem có đủ số lưọTig các LVC cần thiết ừên thiết bị, như được chi ra trong bảng 7.4
B ảng 7.4: Giới hạn LVC khỉ dồn v c trong LSR ATM [3].
Khi không dồn v c , có nhiều v c trên mỗi đích, như trong hình 7.19 Nếu tổng sổ
lượng của LSR ATM ở rìa và LSC trong miền là n, thì có thể có đến c(n-l) LVC cho mỗi
đích trên mỗi kết nối
Trang 36208 Chuyển mạch nhãn đa giao thức MPLS
Số lượng LVC được sử dụng U’en mỗi kết nối là:
l < cd(n-ì)
Công thức 7
Một giói hạn chặt hơn được áp dụng ưong các txường họp xác định, khi mà không dồn VC; có một tiền tố đích cho mỗi LSR ở rìa hay LSC, tất cả kết nối không đánh số, và không có tiền tố địa chi từ ngoài Tĩiiền Các điều kiện thường được áp dụng txong lõi mạng MPLS có hỗ trợ VPN nhưng không dồn v c số lưọng của LVC được sử dụng trong trường hợp này là:
l< = c{n '^/2 )
H ướng dẫn công thức: công thức 6 đến 7.
Nhữnig công thức ttên được sử dụng để kiểm tra xem có đủ số lượng các LVC cần thiết trên thiết bị, như được chì ra trong bảng 7.5
Bảng 7.5: Giới hạn LVC khị không dồn v c trong LSR ATM [3]
LSR ATM có
dồn vc
Mạng không sử dụng dồn vc Có mỗi tiền tố đích trên mỗi LSR hay LSR ờ rìa, tất cả kết nối đều không đánh số và không có bộ định tuyến bên ngoài miền.
Số lượng các vc
hoạt động được hỗ trợ trên mỗi liên kết.
Công thức 6
Trang 37CHƯƠNG 8 : MẠKG QUAWG, GMPLS VÀ MPẰS
Mạng quang được xem là mạng thế hệ sau Chuyển mạch nhãn và MPLS được xem là thành phần chủ yếu của mạng truyền dẫn quang Ta sẽ nói về bước sóng quang, mối liên hệ giữa các nút chuyển mạch quang và MPLS, một số vấn đề liên mạng giữa MPLS và mạng quang, và nói về GMPLS
8.1 W DM VÀ M Ạ N G QUANG
Ghép kênh theo bước sóng WDM tưoTig tự như ghép kênh phân tần số FDM Trong mạng W DM , mỗi kênh là một bước sóng Mỗi kênh hoạt động tại một tần số hay bước sóng
X khác nhau (tốc độ càng cao thì bước sóng càng ngắn) Các bước sóng trong sợi quang
được phân cách bởi các dải phổ không được dùng để chúng tách biệt với nhau và không gây can nhiễu lẫn nhau Sự phân cách kênh này được thể hiện bằng khoảng cách giữa các kênh như ừong hình 8.1
H ình 8.1: Ghép kênh theo bước sóng.
L iên hệ giữa các tác vụ q uang và M PLS
M ặt phẳng dữ liệu cùa LSR trao đổi nhãn để chuyển một gói tin được gắn nhãn từ một cổng ngõ vào đến một cổng ngõ ra Còn mặt phẳng dữ liệu của chuyển mạch quang dùng ma trận chuyển mạch để kết nối con đưòng chuyển mạch quang (OSP) từ một cống ngõ vào đến một cổng ngõ ra OSP mờ rộng từ giao tiếp ngõ ra của một nút đến giao tiếp ngõ vào của giao tiếp kế cận Dữ liệu của các ứng dụng người dùng ở tầng trên có thể được gửi đến mặt phang dữ liệu hay mặt phang điều khiển cùa tầng MPLS và đến tầng truyền dẫn
và sau đó được chuyển theo thứ tự ngược lại ở phía nút nhận
Trang 38210 Chuyển mạch nhãn đa giao thức MPLS
Ta biết các router LSR thực hiện hoạt động chuyển mạch nhãn trước hết bằng cách thiết lập mối liên hệ giữa cổng vào và nhãn vào với cổng ra và nhãn ra Tương tự như vậy, chuyển mạch quang thiết lập liên hệ giữa cổng vào và kênh quang vào (bước sóng hay sợi quang) với cổng ra và kênh quang ra Trong chuyển mạch quang, bộ điều khiển cấu hình cho cơ cấu kết nối bên trong (gọi là bảng nối chéo OSP hay WFIB) để thiết lập liên hệ giữa MPLS và các kênh quang
Trong khi mặt phang điều khiển MPLS gồm hoạt động phát hiện tài nguyên, quản lí kết nối và liên kết nhãn thì mặt phang điều khiển của nút quang phát hiện, phân phối và bảo trì thông tin trạng ứiái liên quan đến OSP dưới các luật và chính sách về kỹ thuật lưu lưcmg liên mạng quang
Điểm khác biệt giữa router chuyển mạch nhãn và các chuyển mạch quang là với LSR, thông tin chuyển tiếp được gắn thêm vào gói dữ liệu, với chuyển mạch quang, thông tin chuyển tiếp được suy ra từ bước sóng hay sợi quang Lưu ý là nhãn được dùng cho bảng nối chéo LSR, bước sóng được dùng cho bảng nối chéo OSP
8.2 CHUYÊN M Ạ C H LAM BDA ĐA G IA O TH Ứ C
H ình 8.2: Chuyển mạch Lambda đa giao thức.
MPLS - ► MPLS Quang - ► Quang
Khung làm việc để liên mạng giữa mạng quang và MPLS là MPẰS MPLS và mạrtg quang đều có cơ chế điều khiển (mặt phẳng quản lí) để quản lí lưu lượng người dùng
Mặt phẳng điều khiển quang thiết lập các kênh quang (bước sóng), cách thức mã hoá quang phù hợp với hiện thực quang và tốc độ truyền (biưs), các tuỳ chọn bảo vệ chuyển mạch Lưu ý các kênh được gọi là đưòmg chuyển mạch quang (Optical Switch Path_OSP) hay là vết quang (Optical Trail)
8.2.1 Ánh xạ giữa chuyển mạch nhãn đa giao thức và bước sóng quang
Vấn đề mấu chốt của liên mạng MPLS và mạng quang là ánh xạ (tương quan) một giá trị nhãn MPLS với bước sóng quang Trong hình 8,3, thông tin từ LFD3 (do mặt phẳng điều khiển IP) được dùng để ánh xạ nhãn vào một bước sóng ưong OSP Kế đến, nút sẽ dùng một giao thức điều khiển như GMPLS hay LMP để thông báo đến các nút láng giềng về việc ánh
xạ một nhãn cụ thể sang một bước sóng cụ thể Sau đó nút quang không cần quaii tâm đến việc xử lí các nhãn MPLS Như trong hình 8.4, chuyển mạch quang chi liên quan đến việc chuyển mạch (thực tế là phản xạ) các bước sóng từ một giao tiếp ngõ vào đến m ột giao tiếp ngõ ra Đây là một ví dụ của mặt phẳng dữ liệu quang là một thiết bị 0 / 0 / 0 (tín hiệu vào là
Trang 39Trong hình 8.4, Ằ2 đi vào từ giao tiếp 1 và được chuyển mạch sang giao tiếp 3
Những bước sóng khác thì được nối chéo sang giao tiếp 2 Chuyển mạch lúc này không xét
Trang 40đến nhãn và tải người dùng Neu phải kiểm tra nhãn, chuyển mạch phải thực hiện tác vụ
O /E/0, tức chuyển tín hiệu thành điện để xử lí tiêu đề nhãn
Một cách lí tưỏng việc ánh xạ nhãn - bước sóng xảy ra tại rìa mạng quang Trong hình 8.4, tại nút ngõ vào (LSR/OXC), nhãn MPLS được ánh xạvói bước sóng thích họp, tức một kênh quang sẽ đi vào và đi ra mạng quang để đi đến người dùng đích Nút chuyển vận (transit OXC) được cấu hình để xử lí được bước sóng và thực hiện định tuyến Nhãn MPLS
có thể được hay không được kiểm tra tại các nút quá giang Trong ví dụ này, ta giả sử tải người dùng được gửi qua mạng trong một LSP có ràng buộc được định nghĩa trước từ LSR/OXC ngõ vào đến LSR/OXC ngõ ra Do đó, không cần biết về các nhãn MPLS khi mọi nút đều biết mối liên hệ của bước sóng ứng với nhãn và đích cuối cùng
Một LSP rõ ràng được định nghĩa tại nút ban đầu hay bời một giao thức điều khiển như OSPF (khám phá, thiết lập con đường qua mạng) Tuy nhiên con đường này một khi đã được xác định và thiết lập, nó rất bền vững trừ khi có vấn đề xảy ra tại một nút hay tại một vết quang (optical trail) LSP và OSP rõ ràng có những nét tương đồng, nó đều là quan hệ một hướng và ngang hàng LSR định nghĩa trước cung cấp một con đưòfng chuyển tiếp gói (luồng trung kế) giữa LSR ngõ vào và LSR ngõ ra OSP cũng cung cấp một kênh quang giữa hai điểm cuối để vận chuyển lưu lưọ-ng người dùng Tải được mang bời LSP và OSP đều trong suốt đối với những nút trung gian dọc theo con đường đó Cả LSP và OSP đều có thể được cấu hình để quy định hiệu suất và các yêu cầu bảo vệ
8.2.2 Lỗi của các kết nối quang
Trong trưÒTig họp sợi quang hay nút quang bị hỏng, cần phải có một phương pháp để tìm ra một tuyến dự phòng Trong mạng MPẰS, phải có một sự sắp xếp chặt chẽ giữa mặt phẳng điều khiển quang và nhãn nếu chúng khác nhau về các chương ứình xử lí Ví dụ nếu như một kết nối ứong mạng quang bị hỏng, mặt phẳng điều khiển quang phải có khả năng thông báo cho mặt phẳng điều khiển MPẰS để các LSR hàng xóm có thể nhận được thông báo về các sự cố này Sự phối hợp này có thể được thêm vào bời tầng liên kết dữ liệu thiết
kế đặc biệt cho mục đích này
Xem xét mặt phẳng điều khiển MPLS và chuyển mạch quang
IETF đề nghị dùng kỹ thuật lưu lượng và mặt phẳng điều khiển MPLS trong một chuyển mạch quang Các thành phần trong mô hình mặt phẳng điều khiển kỹ thuật lưu lượng MPLS gồm các module sau:
• Khám phá tài nguyên: thương lượng và dự phòng băng thông
• Phân phối thông tin ttạng thái: phân phổi các thông tin thích hợp liên quan đến thông tin trạng thái của mạng bao gồm topo và thông tin về các tài nguyên hiện có Trong ngữ cành của MPLS, việc phân phối được thực hiện bởi các giao thức ừạng thái liên kct định tuyến nội IP mang các thông tin cộng thêm trong bản quảng cáo ứạng thái liên kết
• Chọn đưòng; chọn ra một tuyến thích họp để định tuyến rõ ràng, việc này được thực hiện bởi định tuyến ràng buộc
• Quào lí đường: quản lí việc phân p l^ i nhãn, sắp xếp và bảo ừì và thu hồi đưÒTig đi
![Bảng 7.2: Ma trận phân bố lưu lượng song hướng [3] - Ebook chuyển mạch nhãn đa giao thức MPLS phần 2 TS trần công hùng](https://123doc.top/img.php?url=https%3A%2F%2F123docz.com%2Fimage%2Fdoc_normal.png)