2.3 Các thành phần của MPLS 2.3.1 Các thiết bị trong mạng MPLS tham gia trong việc thiết lập các đường dẫn chuyển mạch nhãn LSP bằngviệc sử dụng giao thức báo hiệu nhãn thích ứng và t
Trang 1
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
KHOA CÔNG NGHỆ THÔNG TIN
ĐỀ TÀI : TÌM HIỂU VỀ GIAO THỨC MPLSL3VPN
Sinh viên thực tập : Lưu Văn Khuyến
Trang 2LỜI NÓI ĐẦU
Ngày nay, cùng với sự phát triển nhanh chóng của khoa học kỹ thuật, Công nghệ
thông tin đã góp phần quan trọng vào sự phát triển kinh tế thế giới
Các tổ chức, doanh nghiệp có nhiều chi nhánh, các công ty đa quốc gia trong quá trình hoạt động luôn phải trao đổi thông tin với khách hàng, đối tác, nhân viên của
họ Chính vì vậy đòi hỏi phải luôn nắm bắt được thông tin mới nhất, chính xác
nhất, đồng thời phải đảm bảo độ tin cậy cao giữa các chi nhánh của mình trên khắp thế giới, cũng như với các đối tác và khách hàng.Với các tổ chức này, việc truyền
thông dữ liệu một cách an toàn với chi phí thấp, giảm nhẹ các công việc quản lý
hoạt động của mạng luôn được đặt ra, và VPN là một giải pháp hiệu quả VPN đã
và đang là thị trường phát triển rất mạnh
VPN được định nghĩa là mạng kết nối các site khách hàng đảm bảo an ninh
trên cơ sở hạ tầng mạng chung cùng với các chính sách điều khiển truy nhập và đảm bảo an ninh như một mạng riêng Đã có rất nhiều phương án triển khai VPN như:
X.25, ATM, Frame Relay, leased line…Tuy nhiên khi thực hiện các giải pháp này
thì chi phí rất lớn để mua sắm các thiết bị, chi phí cho vận hành, duy trì, quản lý rất lớn và do doanh nghiệp phải gánh chịu trong khi các nhà cung cấp dịch vụ chỉ đảm bảo về một kênh riêng cho số liệu và không chắc chắn về vấn đề an ninh của kênh
riêng MPLS cho phép triển khai các VPN có khả năng mở rộng và cơ sở xây dựng
các dịch vụ giá trị gia tăng vượt trội so với các VPN truyền thống
Trang 3Mục Lục
Phần A : Giới thiệu về đơn vị thực tập 5
I Chức năng 5
II Tổ chức 5
III. Các lĩnh vực hoạt động 5
Phần B : Nội dung thực tập 5
I. Phần giới thiệu chung 5
1 Tên đề tài 5
2 Mục tiêu 5
3 Nội dung 5
4 Kết quả cần đạt 6
II Tổng quan về giao thức MPLS 7
II.1Khái niệm 7
II.2Đặc điểm của MPLS 7
II.3Các thành phần của MPLS 8
2.3.1 Các thiết bị trong mạng MPLS 8
2.3.2 Đường chuyển mạch nhãn 9
II.4Hoạt động của MPLS 9
II.5Kết luận 12
III Đặc điểm và nguyên tắc hoạt động của MPLSL3VPN……… 12
3.1 Mô hình MPLS L3VPN 12
3.2 Nguyên tắc hoạt động của MPLS VPN ……… 13
3.2.1 Kiến trúc của router biên PE trong mạng MPLS/VPN ………… 14
3.2.2 Truyền thông tin định tuyến dọc mạng nhà cung cấp ……… 15
3.2.3 Bảng định tuyến và chuyển tiếp VPN ……… 16
3.2.4 Phân phối route VPN thông qua BGP ……… 17
3.2.5 Chuyển tiếp gói tin trong mạng MPLS VPN……… 18
3.2.6 Kết luận ……… 19
IV Cấu hình………… ……… …… 20
Trang 44.1 Command config……….…… 21
4.2 Cài đặt thực tế……… ….… 28
4.2.1 Topology trên GNS3……….… 28
4.2.2 Tập lệnh cấu hình đang chạy trong bộ nhớ……… …… 28
4.2.3 Bảng định tuyến……….… … 34
4.2.4 Test mạng (ping)……… …… 38
V. Kết luận……….38
Mục lục hình ảnh Hình A : Sơ đồ tổ chức CDIT……… 5
Hình 2.1 xử lý gói……… 10
Hình 2.2 Hoạt động của mạng MPLS……… 11
Hình 3.1 Mô hình MPLS L3VPN……… … 13
Hình 3.2 Đường đi từ Site 1 đến Site 2……… … 14
Hình 3.3 Kiến trúc của router biên PE……… 15
Hình 3.4 Mô tả các bảng định tuyến ảo trong PE……… 17
Hình 3.5 Quá trình chuyển tiếp gói tin trong mạng MPLS VPN……… …… 19
Hình 4.1 Topology MPLS L3VPN……… 20
Hình 4.2 Mô hình MPLSL3VPN trên môi trường GNS3 giả định… … 29
Trang 5
Nắm rõ về giao thức MPLS L3VPN cũng như cách cấu hình trên GNS3
Cách trình bình nội dung gọn gàng theo form mà cô giáo hướng dẫn
m ng máy ạng máy tính nói chung và giao
th c MPLS ức MPLS nói riêng
2 Tìm Hiểu :
Đặc điểm và nguyên tắc hoạt
động của MPLS
Từ ngày 4/7 đến ngày 10/7 Hiểu được Đặc
điểm và nguyên tắc hoạt động của
Hiểu đượcĐặcđiểm vànguyêntắc hoạt độngcủaMPLSL3VPN
4 Tìm hiểu :
Cấu hình và troubleshoot
MPLS L3VPN
Từ ngày 18/7 đến ngày 24/7
Hiểu được Cấu
hình và troubleshoot MPLS
L3VPN
5 Cấu Hình Trên GNS3 Từ ngày 25/7 đến
4/8 Cấu hình thành công
trên GNS3
Trang 66 Tổng kết Từ ngày 5/8 đến
ngày 9/8
Tổng kết báo cáo
4 Kết quả cần đạt
Nắm bắt được những kiến thức cơ bản như: khái niệm, đặc điểm, nguyên tắc hoạt động của MPLS VPN và MPLS L3VPN Cấu hình thành công trên GNS3
II. Tổng quan về giao thức MPLS
2.1 Khái niệm
MPLS là một giải pháp chuyển mạch IP và được chuẩn hoá bởi IETF
MPLS là viết tắt của cụm từ: chuyển mạch nhãn đa giao thức (MultiprotocolLabel Switching)
Gọi là chuyển mạch nhãn vì: Sử dụng cơ chế hoán đổi nhãn làm kỹ thuật
chuyển tiếp ở lớp bên dưới (lớp 2)
Gọi là đa giao thức vì: MPLS có thể hỗ trợ nhiều giao thức lớp mạng (lớp 3),
không chỉ riêng IP
2.2 Đặc điểm MPLS
đặt ở header của gói được sử dụng để truy nhập bảng chuyển tiếp tại router,nghĩa là nhãn được sử dụng để tìm kiếm trong bảng Việc tìm kiếm này chỉyêu cầu một lần truy nhập tới bảng, khác với truy nhập bảng định tuyếntruyền thống việc tìm kiếm có thể cần hàng ngàn lần truy nhập Kết quả là lưulượng người sử dụng trong gói được gửi qua mạng nhanh hơn nhiều so vớichuyển tiếp IP truyền thống
tin qua nhiều node trong mạng để chuyển tới đích của nó Tại từng node, địachỉ đích trong gói phải được kiểm tra và so sánh với danh sách địa chỉ đíchkhả dụng trong bảng định tuyến của node, do đó trễ và biến thiên trễ phụthuộc vào số lượng gói và khoảng thời gian mà bảng tìm kiếm phải xử lýtrong khoảng thời gian xác định Kết quả là tại node cuối cùng, Jitter là tổngcộng tất cả các biến thiên độ trễ gại mỗi node giữa bên gửi và bên thu Vớigói là thoại thì cuộc thoại bị mất đi tính liên tục Do chuyển mạch nhãn hiệuquả hơn, lưu lượng người dùng được gửi qua mạng nhanh hơn và ít Jitter hơn
so với định tuyến IP truyền thống
Trang 7 Khả năng mở rộng mạng: Chuyển mạch nhãn cung cấp các giải pháp cho sự
phát triển nhanh chóng và xây dựng các mạng lớn bằng việc cho phép mộtlượng lớn các địa chỉ IP được kết hợp với một hay vài nhãn Giải pháp nàygiảm đáng kể kích cỡ bảng địa chỉ và cho phép router hỗ trợ nhiều người sửdụng hơn
tiếp gói chỉ dựa vào nhãn Do tách biệt giữa điều khiển và chuyển tiếp nên kỹthuật điều khiển dù phức tạp cũng không ảnh hưởng đến hiệu quả của dònglưu lượng người sử dụng Cụ thể là, sau khi ràng buộc nhãn được thực hiện,các hoạt động chuyển mạch nhãn để chuyển tiếp lưu lượng là đơn giản, có thểđược thực hiện bằng phần mềm, bằng mạch tích hợp chuyên dụng hay bằngcác bộ xử lý đặc biệt
nguyên mạng để thực hiện các công cụ điều khiển trong việc thiết lập cácđường đi chuyển mạch nhãn cho lưu lượng người sử dụng
liên mạng được điều khiển tốt hơn Nó cung cấp một công cụ để bố trí cácnode và liên kết lưu lượng phù hợp hơn, thuận lợi hơn, cũng như đưa ra phânlớp chính xác các phân lớp lưu lượng (dựa trên các yêu cầu về QoS) khácnhau của dịch vụ
2.3 Các thành phần của MPLS
2.3.1 Các thiết bị trong mạng MPLS
tham gia trong việc thiết lập các đường dẫn chuyển mạch nhãn (LSP) bằngviệc sử dụng giao thức báo hiệu nhãn thích ứng và thực hiện chuyển mạch tốc
độ cao lưu lượng số liệu dựa trên các đường dẫn được thiết lập
Các LER hỗ trợ đa cổng được kểt nối tới các mạng không giống nhau (chẳnghạn FR, ATM và Ethernet) LER đóng vai trò quan trọng trong việc chỉ định vàhuỷ bỏ nhãn, khi lưu lượng vào trong hay đi ra khỏi mạng MPLS Sau đó, tại lốivào nó thực hiện việc chuyển tiếp lưu lượng vào mạng MPLS sau khi đã thiếtlập LSP nhờ các giao thức báo hiệu nhãn và phân bổ lưu lượng trở lại mạng truynhập tại lối ra
2.3.2 Đường chuyển mạch nhãn
điểm bắt đầu dán nhãn đến điểm nhãn bị loại bỏ khỏi gói tin Các LSP đượcthiết lập trước khi truyền dữ liệu
chuỗi liên tiếp các đoạn LSP giữa hai node kề nhau Các đặc trưng của đường
Trang 8hầm LSP, chẳng hạn như phân bổ băng tần, được xác định bởi sự thoả thuậngiữa các node, nhưng sau khi đã thoả thuận, node lối vào (bắt đầu của LSP)xác định dòng lưu lượng bằng việc chọn lựa nhãn của nó Khi lưu lượng đượcgửi qua đường hầm, các node trung gian không kiểm tra nội dung của tiêu đề
mà chỉ kiểm tra nhãn Do đó, phần lưu lượng còn lại được xuyên hầm quaLSP mà không phải kiểm tra Tại cuối đường hầm LSP, node lối ra loại bỏnhãn và chuyển lưu lượng IP tới node IP
Các đường hầm LSP có thể sử dụng để thực hiện các chính sách kỹ thuật lưulượng liên quan tới việc tối ưu hiệu năng mạng Chẳng hạn, các đường hầmLSP có thể được di chuyển tự động hay thủ công ra khỏi vùng mạng bị lỗi,tắc nghẽn, hay là node mạng bị nghẽn cổ chai Ngoài ra, nhiều đường hầmLSP song song có thể được thiết lập giữa hai node, và lưu lượng giữa hainode đó có thể được chuyển vào trong các đường hầm này theo các chínhsách cục bộ
Trong mạng MPLS các LSP được thiết lập bằng một trong ba cách đó là:Định tuyến từng chặng, định tuyến hiện (ER) và định tuyến cưỡng bức (CR) Một số khái niệm liên quan tới đường chuyển mạch nhãn là đường lên vàđường xuống
Một router đường lên có tính chất tương đối so với một router khác, nghĩa là
nó gần nguồn hơn router được nói đến đó dọc theo đường dẫn chuyển mạchnhãn
đích Một router đường xuống có tính chất tương đối so với một router khác,nghĩa là nó gần đích hơn router được nói đến đó dọc theo đường dẫn chuyểnmạch nhãn
2.4 Hoạt động của MPLS
Khi một gói tin vào mạng MPLS: LSR lối vào kiểm tra nhiều trường trong tiêu
đề của gói để xác định xem gói thuộc FEC nào:
Nếu chưa có một ràng buộc nhãn/FEC thì: gói được phân loại gói tin vàotrong các FEC, sau đó nhãn được ánh xạ vào trong FEC Nhiệm vụ ấn định vàphân bổ các ràng buộc FEC/nhãn cho các LSR do LDP đảm nhiệm.Khi LDPhoàn thành nhiệm vụ , một LSP được xây dựng từ lối vào đến lối ra
Nếu đã có một ràng buộc nhãn/FEC thì: LSR lối vào gán nhãn cho gói và
định hướng gói tới giao diện đầu ra tương ứng
Sau đó gói được hoán đổi nhãn qua mạng cho đến khi nó đến LSR đầu ra.Lúc này nhãn được loại bỏ và gói được xử lý tại lớp 3
Trang 9Hình 2.1 xử lý gói
Như vậy, với một gói dữ liệu để đi qua một miền MPLS, cần phải thực hiện các bước sau:
Tạo và phân bổ nhãn
Tạo bảng tại mỗi router
Tạo các đường dẫn chuyển mạch nhãn (LSP)
Chèn/tìm kiếm bảng nhãn
Chuyển tiếp gói
Phân tích cụ thể các bước như sau:
Tạo & phân bổ nhãn
Trước khi lưu lượng bắt đầu, các router quyết định để ràng buộc một nhãn vớimột FEC xác định và xây dựng bảng của chúng.Trong LDP, các router đường xuốngkhởi tạo sự phân bổ các nhãn và ràng buộc nhãn/FEC.Ngoài ra, các đặc tính liênquan đến lưu lượng và khả năng MPLS được thoả thuận bằng việc sử dụng LDP
Mặt phẳng
Chuyển mạch
Mặt phẳng
chuyển tiếp
Lựa chọn cổng ra
Phát gói đầu ra
Nhận gói đầu vào
Các cổng đầu vào Các cổng đầu ra
Trang 10Tại phía nhận các ràng buộc nhãn, mỗi LSR tạo các lối vào trong cơ sở thông tinnhãn (LIB : Label Information Base) Nội dung của bảng sẽ xác định ánh xạ giữamột nhãn và một FEC Ánh xạ giữa cổng vào và bảng nhãn đầu vào tới cổng ra vàbảng nhãn đầu ra Các lối vào được cập nhật bất cứ khi nào sự tái đàm phán về ràngbuộc nhãn xảy ra
Tạo đường dẫn chuyển mạch nhãn
Như được biểu diễn bằng đường ngắt quãng trong hình 2.4, các LSP được tạo ởphương ngược lại với sự tạo các lối vào trong các LIB
Chèn/tìm kiếm bảng nhãn
Router đầu tiên sử dụng bảng trong LIB để tìm chặng kế tiếp và yêu cầu mộtnhãn cho FEC xác định Các router lần lượt sử dụng nhãn để tìm chặng kế tiếp Mỗilần gói chạm tới LSR lối ra (LER4), nhãn được xoá bỏ và gói được cung cấp chođích
Chuyển tiếp gói
LER1 có thể không có nhãn nào cho gói này khi đó là lần đầu tiên xảy ra yêu cầunày Trong một mạng IP, nó sẽ tìm sự phù hợp địa chỉ dài nhất để tìm chặng kế tiếp.Cho LSR1 là chặng kế tiếp của LER1 LER1 sẽ khởi tạo một yêu cầu nhãn chuyểntới LSR1 Yêu cầu này sẽ phát thông qua mạng Mỗi router trung gian sẽ nhận mộtnhãn từ router phía sau nó bắt đầu từ LER2 và đi lên trên cho đến LER1 LSP đượcthiết lập bằng cách sử dụng LDP hay bất kì giao thức báo hiệu nào khác Nếu kĩthuật lưu lượng được yêu cầu, CR-LDP sẽ được sử dụng trong việc quyết định thiếtlập đường dẫn thực sự để chắc chắn yêu cầu QoS/CoS được tuân thủ LER1 sẽ chènnhãn và chuyển tiếp gói tới LSR 1 Mỗi LSR lần lượt, nghĩa là LSR2 và LSR3, sẽ
Trang 11kiểm tra nhãn với các gói nhận được, thay thế nó với các nhãn đầu ra và chuyển tiếp
nó Khi gói tới LER4, nó sẽ xoá bỏ nhãn bởi vì gói sẽ rời khỏi miền MPLS và đượcphân phát tới đích
2.5 Kết luận
Như vậy, trong chương này chúng ta đã tìm hiểu về công nghệ MPLS, các khái niệm và hoạt động cơ bản của công nghệ này Có thể thấy rằng, công nghệ MPLS
được thiết kế ban đầu chỉ nhằm mục đích tăng hiệu năng của chuyển mạch lớp 3,
nhưng sau đó những lợi ích mà MPLS đem lại còn hơn cả mục đích ban đầu thiết kế.MPLS được dùng rất hữu hiệu cho các mạng đa dịch vụ, tích hợp các mạng kế thừa,
kỹ thuật lưu lượng, bảo vệ path/link, hỗ trợ QoS và CoS, tăng cường khả năng mở
rộng của IP và đặc biệt là các ứng dụng trong mạng riêng ảo MPLS có thể hỗ trợ
cung cấp mạng riêng ảo ở cả lớp 2 và lớp 3 Để sang chương sau ta có thể tìm hiểu
về các mô hình hoạt động cũng như nguyên lý hoạt động của MPLS L3VPN
III Đặc điểm và nguyên tắc hoạt động của MPLS L3VPN
3.1 Mô hình MPLS L3VPN
Kiến trúc mạng riêng ảo L3VPN chia thành hai lớp, tương ứng với các lớp 3 và 2
của mô hình OSI L3VPN dựa trên RFC 2547 bits, mở rộng một số đặc tính cơ bản của giao thức cổng biên BGP (Border Gateway Protocol) và tập trung vào hướng đa giao thức của BGP nhằm phân bổ các thông tin định tuyến qua mạng lõi của nhà
cung cấp dịch vụ như là chuyển tiếp các lưu lượng VPN qua mạng lõi
Trong kiến trúc L3VPN, các bộ định tuyến khách hàng và nhà cung cấp được coi như là các phần tử ngang hàng Bộ định tuyến biên khách hàng CE cung cấp thông
tin định tuyến tới bộ định tuyến biên nhà cung cấp PE PE lưu các thông tin định
tuyến trong bảng định tuyến và chuyển tiếp ảo VRF Mỗi khoản mục của VRF tươngứng với một mạng khách hàng và hoàn toàn biệt lập với các mạng khách hàng khác.Người sử dụng VPN chỉ được phép truy nhập các site hoặc máy chủ trong cùng một mạng riêng này Bộ định tuyến PE còn hỗ trợ các bảng định tuyến thông thường
nhằm chuyển tiếp lưu lượng của khách hàng qua mạng công cộng Một cấu hình
mạng L3VPN dựa trên MPLS như hình dưới đây :
Gói IP Gói IP
Nhãn VRF Nhãn LSF
Gói IP
Trang 12
Hình 3.1 Mô hình MPLS L3VPN
Mô hình MPLS L3VPN các gói tin IP qua miền MPLS được gắn hai loại nhãn, bao gồm nhãn MPLS chỉ dẫn các đường chuyển mạch nhãn LSP để chuyển tiếp các gói tin qua miền MPLS Nhãn VRF chỉ được xử lý tại thiết bị định tuyến PE nối với bộ định tuyến khách hàng
Mô hình L3VPN có ưu điểm là không gian địa chỉ khách hàng được quản lý bởi nhà khai thác, và do vậy đơn giản hoá việc triển khai kết nối với nhà cung cấp Ngoài ra, L3VPN còn cung cấp khả năng định tuyến động để phân phối các thông tin định
tuyến tới các bộ đinh tuyến VPN Tuy nhiên, L3VPN chỉ hỗ trợ các lưu lượng IP
hoặc lưu lượng đóng gói vào gói tin IP Đồng thời, việc tồn tại hai bảng định tuyến tại các thiết bị mạng cũng là một vấn đề cần giải quyết trong điều hành và ảnh
hưởng tới khả năng mở rộng các hệ thống thiết bị
3.2 Nguyên tắc hoạt động của MPLS VPN
Dựa trên ứng dụng của công nghệ MPLS các gói tin IP sẽ được nhãn hóa và được
chuyển tiếp trong mạng của nhà cung cấp dịch vụ bằng các nhãn trên gói tin và mỗi mạng riêng ảo VPN cho một khách hàng được xây dựng một cách hợp lý và hiệu
quả Hơn nữa, các router P lúc này không cần phải có bảng định tuyến cho mỗi
khách hàng hay BGP cũng không cần phải được sử dụng trên các router này Tất cả vấn đề này được giải quyết bởi MPLS và quá trình thực hiện cũng chỉ diễn ra chủ
yếu trên các router PE Khi sử dụng MPLS, chỉ cần router PE có khả năng nhận biết các tuyến VPN và quá trình định tuyến chỉ thật sự diễn ra trên các router này, các
PE
P CE
VPN A CE
Bảng VRF VPN A
Mạng MPLS cung cấp dịch vụ Bảng VRF VPN B
Bảng VRF VPN A Bảng định tuyến
Bảng định tuyến
Trang 13router P chỉ làm nhiệm vụ chuyển tiếp trung gian gói tin đến đích Giải pháp MPLS VPN thực sự rất hữu ích và hiệu quả
Hình 3.2 Đường đi từ Site 1 đến Site 2
Một số khái niệm trong MPLS VPN
Router PE (Provider Edge router): router cung cấp dịch vụ biên, được sử dụng đểtạo kết nối trực tiếp với các router CE của khách hàng tại lớp 3
Router P (Provider router): router cung cấp dịch vụ Router của nhà cung cấp dịch
vụ nhưng không tạo kết nối trực tiếp với khách hàng
Trong mạng MPLS VPN, cả router P và PE đều chạy MPLS Điều này có nghĩa
là chúng phải có khả năng phân phối nhãn và chuyển tiếp gói tin nhãn
Router CE (Customer Edge): router biên khách hàng, được sử dụng để tạo kết nốivới router PE của nhà cung cấp dịch vụ Vì router này tương tác với router PE tại lớp
3 nên cần phải có một giao thức định tuyến chạy giữa chúng mà không cần phảichạy MPLS Đối với một site của khách hàng, thông thường chỉ cần có 1 router CE
và 1 router PE peer với nó (chỉ đúng trong mô hình mạng riêng ảo ngang hàng to-peer) Nếu router CE được kết nối multihomed, nó có thể có nhiều router PE peer
peer-3.2.1 Kiến trúc của router biên PE trong mạng MPLS/VPN
Mỗi khách hàng đăng kí một bảng định tuyến độc lập nhau (bảng định tuyến ảo)
tương ứng như một router ảo trong mô hình VPN ngang cấp
Trang 14Hình 3.3 Kiến trúc của router biên PE
Định tuyến dọc mạng của nhà cung cấp được thực hiện bởi tiến trình định tuyến khác sử dụng bảng định tuyến toàn cục (global), tương đương như intra-POP-P-
router trong mô hình VPN ngang cấp
3.2.2 Truyền thông tin định tuyến dọc mạng nhà cung cấp
Khi bảng định tuyến ảo đảm bảo sự cách ly giữa các khách hàng, dữ liệu từ
các bảng định tuyến này vẫn cần được trao đổi giữa các Router PE để dữ liệu có thể truyền giữa các site gắn vào các Router PE khác nhau Do đó chúng ta cần phải có
Khách hàng
A,Site 1
Bảng định tuyến khách hàng A
Bảng định tuyến ảo
Định tuyến toàn cục
Bảng định tuyến toàn cục
Bảng định tuyến ảo
Trang 15một giao thức định tuyến sẽ vận chuyển tất cả các router của khách hàng dọc mạng nhà cung cấp trong khi vẫn duy trì được không gian địa chỉ độc lập giữa khách hàng với nhau
Một giải pháp được đưa ra là chạy giao thức định tuyến riêng cho mỗi khách hàng Các router PE có thể được kết nối thông qua các đường hầm điểm – điểm (và giao thức định tuyến cho mỗi khách hàng sẽ chạy giữa các router PE) hoặc là router
P có thể tham gia vào quá trình định tuyến của khách hàng Giải pháp này, mặc dù
thực hiện đơn giản nhưng lại không thích hợp trong môi trường khách hàng, vì nó
không có khả năng mở rộng và phải đối mặt với nhiều vấn đề khi có yêu cầu hỗ trợ VPN chồng lấn (overlapping VPN):
Router PE phải chạy một số lượng lớn các giao thức định tuyến
Router P phải mang tất cả các router của khách hàng
Sau đó, một giải pháp tốt hơn được đưa ra là chỉ triển khai một giao thức địnhtuyến có thể trao đổi tất cả các router của khách hàng dọc mạng nhà cung cấp Rõ
ràng giải pháp này tốt hơn giải pháp trước nhưng router P vẫn phải tham gia vào
định tuyến khách hàng, do đó nó vẫn không giải quyết được vấn đề mở rộng
3.2.3 Bảng định tuyến và chuyển tiếp VPN
Mỗi router PE có một cơ chế VRF riêng cho một mạng VPN Quan sát ví dụ sau
để thấy rằng router PE lưu giữ bảng định tuyến IP tổng thể (global IP routing tabel),nhưng cũng có một bảng định tuyến VRF cho một VPN được kết nối tới router PE
Hình 3.4 Mô tả các bảng định tuyến ảo trong PE
Trang 16Vì quá trình định tuyến là tách biệt cho mỗi mạng riêng ảo VPN của khách hàngtrên một router PE, nên mỗi mạng VPN phải có bảng định tuyến của riêng nó Bảngđịnh tuyến riêng biệt này gọi là bảng định tuyến VRF Các interface trên router PEnối đến router CE có thể chỉ thuộc vào một VRF Vì thế, tất cả các gói tin IP nhậnđược trên một interface VRF không thật sự xác định được là nó có thuộc vào VRF
đó hay không Vì mỗi VPN có một bảng định tuyến riêng biệt nên các router PEcũng sẽ có một bảng CEF riêng biệt được dùng để chuyển tiếp các gói tin trong mộtVPN Bảng này gọi là bảng chuyển tiếp VRF CEF được rút ra từ bảng định tuyếnVRF
Bảng định tuyến VRF thật sự không quá khác biệt so với bảng định tuyến thôngthường, chỉ khác ở chỗ chúng chỉ được sử dụng cho một số site của một VPN vàhoàn toàn tách biệt với các bảng định tuyến khác (bảng định tuyến tổng thể hay bảngđịnh tuyến mặc định)
Các khái niệm metric, khoảng cách, next-hop, không thay đổi Vì VRF đượcxây dựng kết hợp với các interface, nên chỉ những gói tin IP đi vào router PE thôngqua các interface VRF mới được thực hiện chuyển tiếp dựa trên bảng VRF CEF
3.2.4 Phân phối route VPN thông qua BGP
Với việc triển khai một giao thức định tuyến là BGP để trao đổi tất cả các
route của khách hàng giữa các router PE, một vấn đề được đặt ra là: làm thế nào mà BGP có thể truyền nhiều prefix xác định thuộc về các khách hàng khác nhau giữa
các Router PE?
Như ta đã biết BGP, trong dạng chuẩn của nó, chỉ có thể thực hiện được đối
với các route IPv4 Trong MPLS/VPN, vì mỗi VPN phải có khả năng sử dụng (mặc
dù điều này không cần thiết) các IP prefix giống nhau như các VPN khác (ngay cả
khi chúng không liên lạc với nhau) BPG sử dụng địa chỉ IPv4 chọn một đường đi
giữa tất cả các đường có thể đi đến đích (gồm có network và mask) Do đó,
MP-BGP không thể làm việc đúng nếu khách hàng sử dụng cùng không gian địa chỉ
Chỉ có một giải pháp để giải quyết vấn đề này là mở rộng ip prefix khách
hàng với một prefix duy nhất sẽ làm cho địa chỉ của khách hàng trở nên duy nhất
ngay cả khi có sự trùng lắp địa chỉ Hơn nữa ta phải đảm bảo rằng chính sách được
sử dụng để quyết định route nào trong số các router được BGP sử dụng chỉ có thể có
ở trong bảng VRF mà nó phải thuộc về
Việc truyền router của khách hàng dọc mạng MPLS/VPN sẽ được thực hiện như
sau:
Router CE gửi cập nhật định tuyến IPv4 đến Router PE
Router PE sau đó thêm vào Router Distinguisher 64 bit vào cập nhật địnhtuyến IPv4 mà nó đã nhận đó, kết quả là tạo ra địa chỉ VPNv4 96 bit duynhất
Trang 17 Địa chỉ VPNv4 này được truyền đi thông qua phiên MP-IBGP đến cácRouter PE khác
Router PE nhận sẽ loại bỏ Router Distinguisher từ địa chỉ VPNv4 tạothành địa chỉ IPv4 như ban đầu mà CE đầu xa đã gửi
Địa chỉ IPv4 này được chuyển tiếp đến router CE khác trong bản cập nhậtđịnh tuyến IPv4
3.2.5 Chuyển tiếp gói tin trong mạng MPLS VPN
Làm thế nào để router ePE biết gói tin thuộc vào VRF nào? Thông tin này khôngnằm trong header gói tin IP và nó cũng không thể nhận được từ nhãn, vì nó được sửdụng duy nhất để chuyển tiếp gói tin qua mạng cung cấp dịch vụ Giải pháp cho vấn
đề này là thêm vào một nhãn khác trong ngăn xếp nhãn MPLS Nhãn này chỉ địnhgói tin đó thuộc vào VRF nào Vì thế, tất cả các gói tin khách hàng được chuyển tiếpvới hai nhãn: nhãn IGP làm nhãn đỉnh và nhãn VPN làm nhãn đáy Nhãn VPN phảiđược thêm vào tại router iPE để chỉ cho router ePE biết gói tin đó thuộc vào VRFnào Vậy thì làm thế nào router ePE báo hiệu cho router iPE biết nhãn nào được sửdụng cho tiền tố VRF cụ thể nào đó? Vì MP-BGP được sử dụng để quảng cáo tiền tốvpnv4 nên nó cũng được sử dụng để báo hiệu nhãn VPN (còn gọi là nhãn BGP)được sử dụng kết hợp với tiền tố vpnv4 đó
Trong thực tế cách thức sử dụng một nhãn VPN để chỉ ra gói tin thuộc vào VRFnào là không thực sự chính xác Điều này có thể đúng trong một số trường hợp,nhưng sai trong hầu hết các trường hợp Một nhãn VPN thường chỉ ra next-hop màgói tin phải được thực hiện chuyển tiếp đến để gởi đến router PE Vì thế, trong hầuhết các trường hợp, mục đích chính của nhãn VPN là chỉ ra router CE nào đó lànext-hop của gói tin
Lưu lượng VRF-to-VRF trong mạng MPLS VPN có hai nhãn Nhãn đỉnh là nhãnIGP được phân phối bởi LDP hay RSVP (cho TE) giữa tất cả các router P và PE quatừng hop (hop by hop) Nhãn đáy là nhãn VPN được quảng cáo bởi MP-iBGP từ PEđến PE Các router P sử dụng nhãn IGP để chuyển tiếp gói tin đến chính xác routerePE Router ePE sử dụng nhãn VPN để chuyển tiếp gói IP đến chính xác router CE
Trang 18Hình 3.5 Quá trình chuyển tiếp gói tin trong mạng MPLS VPN
3.2.6 Kết luận
Như vậy ta đã thấy được một ứng dụng của MPLS là dịch vụ mạng riêng ảo
MPLS-VPN Trong chương này đã trình bày những thành phần cơ bản của một
mạng MPLS-VPN, mô hình lớp 3 và đặc biệt là nguyên lý hoạt động MPLS VPN Việc cấu hình trên thiết bị giả lập GNS3 sẽ trình bày vào phần sau
Trang 19IV Cấu hình trên GNS3
bảo tính riêng tư của khách hàng
- Trong bài lab này, ta sẽ cấu hình cho toàn mô hình bao gồm phía khách hàng vànhà cung cấp dịch vụ Trong đó:
• R1-CE và R5-CE là 2 router của cùng 1 khách hàng A (Customer A)
• R6-CE và R7-CE là 2 router của cùng 1 khách hàng B (Customer B)