Tìm hiểu về dịch vụ vpn lớp ba chạy trên nền mpls

Tìm hiểu về dịch vụ vpn lớp ba chạy trên nền mpls

MỤC LỤC

MỤC LỤC 1

3

DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT 4

TRONG ĐỒ ÁN 4

DANH MỤC CÁC HÌNH VẼ SỬ DỤNG TRONG ĐỒ ÁN 8

MỞ ĐẦU 10

.12

12

Chương 1 13

1.1 Giới thiệu chuyển mạch nhãn đa giao thức 13

1.1.1 Cấu trúc nhãn MPLS 15

1.1.2 Ngăn xếp nhãn (Label Stack) 15

1.1.3 Bộ định tuyến chuyển mạch nhãn (LSR-Lable Switch Router) 16

1.1.4 Lớp chuyển tiếp tương đương (FEC-Forward Equivalence Class) 17

1.1.5 Cơ sở thông tin nhãn (LIB-Label Information Base) 17

1.1.6 Cơ sở thông tin chuyển tiếp nhãn (LFIB- Label Forwarding Information Base) 18

1.1.7 Tuyến chuyển mạch nhãn (LSP - Lable Switching Path) 18

1.2 Hoạt động của MPLS 18

1.2.1 Phân phối nhãn 18

1.2.2 Tải MPLS (MPLS Payload) 19

1.3 Các phương thức chuyển tiếp nhãn 19

1.3.1 Các hoạt động cơ bản 19

1.3.2 Tra cứu IP và nhãn 20

1.4 Một số hoạt động khác 24

1.4.1 Phân tải cho gói tin nhãn 24

1.4.2 Nhãn không xác định (Null label) 25

1.5 Giao thức phân phối nhãn 27

1.5.1 Sơ lược về LDP 27

1.5.2 Cơ chế hoạt động của LDP 29

1.5.2.1 Tìm kiếm các LSR đang chạy giao thức LDP 29

1.5.2.2 LDP ID 31

1.5.2.3 Thiết lập LDP ID 31

1.5.2.4 Phiên LDP 33

1.5.2.5 Quảng bá bản đồ nhãn 34

Hình 1.16 LSR upstream và LSR downstream 35

Chương 2 38

TÌM HIỂU VỀ MẠNG MPLS VPN 38

2.1 Hạn chế của mạng VPN truyền thống 38

2.2 MPLS VPN 42

2.2.2 Route Distinguisher (RD) 44

2.2.3 Route Targets (RT) 46

2.2.4 Address Families 50

2.3 Hoạt động của mặt phẳng điều khiển MPLS VPN 51

2.4 Hoạt động của mặt phẳng dữ liệu 54

2.5 Hoạt động của MPLS/ VPN 55

2.5.1 Quá trình trao đổi thông tin định tuyến trong MPLS VPN 55

2.5.2 Quá trình gửi bản tin định tuyến của VPN 56

2.6 Ưu điểm của MPLS VPN 59

Chương 3 61

VẤN ĐỀ BẢO MẬT TRONG MẠNG MPLS VPN 61

3.1 Tổng quan về bảo mật trong MPLS VPN 61

3.1.1 Tổng quan về vấn đề an ninh mạng 61

3.1.2 Mô hình tham chiếu bảo mật trong mạng MPLS VPN 64

3.2 Các mô hình có nguy cơ bị tấn công 67

3.2.1 Xâm nhập từ bên trong một VPN 69

3.2.2 Tấn công từ chối dịch vụ một VPN 71

3.2.3 Các mối đe dọa chống lại một site Extranet 72

3.2.4 Các mối đe dọa chống lại mạng lõi 73

3.2.4.1 Xâm nhâp 74

3.2.4.2 Tấn công từ chối dịch vụ (DoS) 75

3.2.4.3 Mối đe dọa đến từ bên trong mạng lõi 75

3.3 Một vài khuyến nghị trong bảo mật 77

3.3.1 Bảo mật trên các Router 77

3.3.2 Sử dụng IPSec mã hóa dữ liệu đường truyền 78

3.3.3 Vị trí triển khai IPSec trong mạng 79

3.3.4 CE-CE IPSec 80

3.3.5 PE-PE IPSec 81

KẾT LUẬN 84

TÀI LIỆU THAM KHẢO 85

DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT

TRONG ĐỒ ÁN

ACL Access Control List Danh sách điều khiển truy cập

AES Advanced Encryption

AH Authentication Header Tiêu đề xác thực

DLCI Data Link Connection

Identifier

Nhận dạng kết nối lớp kênh dữ liệu

EGP External Gateway Protocol Giao thức định tuyến liên miền

FEC Forwarding Equivalence

GRE Generic Routing

Encapsulation

Giao thức đóng gói định tuyến chung

HDLC High-level Data Link

IP Internet Protocol Giao thức Internet

IPSec Internet Protocol Security Giao thức an ninh InternetISP Internet Service Provider Nhà cung cấp dịch vụ InternetL2F Layer hai Forwarding Giao thức chuyển tiếp lớp 2

L2TP Layer hai Tunneling

Protocol Giao thức đường hầm lớp 2LAN Local Area Network Mạng cục bộ

LDP Label Distribution Protocol Giao thức phân bổ nhãn

LER Label Edge Router Bộ định tuyến chuyển mạch

LIB Label Information Base Cơ sở thông tin nhãn

LSP Label Switching Path Đường chuyển mạch nhãn

LSR Label Switching Router Bộ định tuyến chuyển mạch

NOC Network Operations Center Trung tâm vận hành mạng

OSPF Open Shortest Path First Giao thức đường đi ngắn nhất

PVC Permanent Virtual Circuit Kênh ảo cố định

QoS Quality of Service Chất lượng dịch vụ

RD Route Distinguisher Thuộc tính phân biệt tuyến

RSVP Resource Reservation

Protocol

Giao thức dành trước tài nguyên

SP Service Provider Nhà cung cấp dịch vụ

TCP Transmission Control

Protocol

Giao thức điều khiển truyền dẫn

TDP Tag Distribution Protocol Giao thức phân phối thẻ

UDP User Datagram Protocol Giao thức lược đồ dữ liệu

VCI Virtual Circuit Identifier Nhận dạng kênh ảo

VPI Virtual Path Identifier Nhận dạng đường ảo

VPLS Virtual Private LAN

VPN Virtual Private Network Mạng riêng ảo

VR Virtual Router Bộ định tuyến ảo

VRF VPN Routing and

Forwarding

Bảng định tuyến và chuyển tiếp VPN

WAN Wide Area Network Mạng diện rộng

DANH MỤC CÁC HÌNH VẼ SỬ DỤNG TRONG ĐỒ ÁN

MỤC LỤC 1

3

DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT 4

TRONG ĐỒ ÁN 4

DANH MỤC CÁC HÌNH VẼ SỬ DỤNG TRONG ĐỒ ÁN 8

MỞ ĐẦU 10

.12

12

Chương 1 13

1.1 Giới thiệu chuyển mạch nhãn đa giao thức 13

1.1.1 Cấu trúc nhãn MPLS 15

1.1.2 Ngăn xếp nhãn (Label Stack) 15

1.1.3 Bộ định tuyến chuyển mạch nhãn (LSR-Lable Switch Router) 16

1.1.4 Lớp chuyển tiếp tương đương (FEC-Forward Equivalence Class) 17

1.1.5 Cơ sở thông tin nhãn (LIB-Label Information Base) 17

1.1.6 Cơ sở thông tin chuyển tiếp nhãn (LFIB- Label Forwarding Information Base) 18

1.1.7 Tuyến chuyển mạch nhãn (LSP - Lable Switching Path) 18

1.2 Hoạt động của MPLS 18

1.2.1 Phân phối nhãn 18

1.2.2 Tải MPLS (MPLS Payload) 19

1.3 Các phương thức chuyển tiếp nhãn 19

1.3.1 Các hoạt động cơ bản 19

1.3.2 Tra cứu IP và nhãn 20

1.4 Một số hoạt động khác 24

1.4.1 Phân tải cho gói tin nhãn 24

1.4.2 Nhãn không xác định (Null label) 25

1.5 Giao thức phân phối nhãn 27

1.5.1 Sơ lược về LDP 27

1.5.2 Cơ chế hoạt động của LDP 29

Hình 1.16 LSR upstream và LSR downstream 35

Chương 2 38

TÌM HIỂU VỀ MẠNG MPLS VPN 38

2.1 Hạn chế của mạng VPN truyền thống 38

2.2 MPLS VPN 42

2.2.2 Route Distinguisher (RD) 44

2.2.3 Route Targets (RT) 46

2.2.4 Address Families 50

2.3 Hoạt động của mặt phẳng điều khiển MPLS VPN 51

2.4 Hoạt động của mặt phẳng dữ liệu 54

2.5 Hoạt động của MPLS/ VPN 55

2.5.1 Quá trình trao đổi thông tin định tuyến trong MPLS VPN 55

2.5.2 Quá trình gửi bản tin định tuyến của VPN 56

2.6 Ưu điểm của MPLS VPN 59

Chương 3 61

VẤN ĐỀ BẢO MẬT TRONG MẠNG MPLS VPN 61

3.1 Tổng quan về bảo mật trong MPLS VPN 61

3.1.1 Tổng quan về vấn đề an ninh mạng 61

3.1.2 Mô hình tham chiếu bảo mật trong mạng MPLS VPN 64

3.2 Các mô hình có nguy cơ bị tấn công 67

3.2.1 Xâm nhập từ bên trong một VPN 69

3.2.2 Tấn công từ chối dịch vụ một VPN 71

3.2.3 Các mối đe dọa chống lại một site Extranet 72

3.2.4 Các mối đe dọa chống lại mạng lõi 73

3.3 Một vài khuyến nghị trong bảo mật 77

3.3.1 Bảo mật trên các Router 77

3.3.2 Sử dụng IPSec mã hóa dữ liệu đường truyền 78

3.3.3 Vị trí triển khai IPSec trong mạng 79

3.3.4 CE-CE IPSec 80

3.3.5 PE-PE IPSec 81

KẾT LUẬN 84

TÀI LIỆU THAM KHẢO 85

MỞ ĐẦU

Nhiều năm trở lại đây, công nghệ đã có những bước phát triển lớn

Đi đôi với việc áp dụng các thành tựu khoa học vào các lĩnh vực mang lại cho các doanh nghiệp nhiều lợi nhuận thì vấn đề an ninh mạng đã và đang

là điều mà các tổ chức doanh nghiệp hết sức quan tâm Trong nhiều trường hợp vấn đề bảo vệ dữ liệu mang tính sống còn đối với một doanh nghiệp Việc trao đổi dữ liệu đối với một doanh nghiệp diễn ra liên tục và với hạ tầng mạng cũ thì khả năng dữ liệu quan trong bị đánh cắp là rất lớn Đứng trước nhu cầu cấp thiết đó, một công nghệ mới được triển khai cho phép các chi nhánh của doanh nghiệp ở khắp mọi nơi có thể trao đổi thông tin với nhau trong một môi trường có tính bảo mật cao Đó chính là

dịch vụ mạng riêng ảo (Virtual Private Network - VPN) chạy trên nền công nghệ mới MPLS.

Mạng riêng ảo VPN là một trong những ứng dụng rất quan trọng trong mạng MPLS Các công ty, doanh nghiệp đặc biệt các công ty đa quốc gia có nhu cầu rất lớn về loại hình dịch vụ này Với VPN họ hoàn toàn có thể sử dụng các dịch vụ viễn thông, truyền số liệu nội bộ với chi phí thấp, an ninh bảo đảm Đây là một ứng dụng rất quan trọng đáp ứng các yêu cầu của các mạng riêng sử dụng hạ tầng cơ sở thông tin quốc gia với những yêu cầu khác nhau về độ an toàn, bảo mật và chất lượng dịch vụ

Đồ án “Tìm hiểu về dịch vụ VPN lớp ba chạy trên nền MPLS”

nhằm mục đích tìm hiểu về công nghệ MPLS, cũng như dịch vụ VPN lớp

ba được triển khai trên nền tảng MPLS, cuối cùng đưa ra một số mô hình

có khả năng bị tấn công và một vài khuyến nghị về bảo mật Đồ án được trình bày qua ba chương:

• Chương 1: Tìm hiểu về công nghệ chuyển mạch nhãn đa giao thức, một số khái niệm cơ bản, cách thức hoạt động của các giao thức trao đổi bản tin cũng như thiết lập nên một mạng chuyển mạch nhãn

• Chương 2: Tìm hiểu về dịch vụ VPN lớp ba chạy trên nền MPLS, các khái niệm và cách thức hoạt động của dịch vụ VPN, ưu điểm của dịch vụ VPN chạy trên nền công nghệ MPLS

• Chương 3: Khái quát các nguy cơ về an ninh mạng, các mô hình có khả năng bị tấn công và một vài khuyến nghị về bảo mật cho khách hàng khi đăng kí dịch vụ VPN để đảm bảo an toàn cao nhất cho dữ liệu

Trong quá trình nghiên cứu và thực hiện đề tài em đã nhận được sự

chỉ bảo và giúp đỡ tận tình của thầy Nguyễn Đào Trường Em xin gửi lời cảm ơn chân thành tới thầy Nguyễn Đào Trường đã trực tiếp hướng dẫn

em hoàn thành đồ án này Em cũng xin cảm ơn tất cả các thầy cô giáo

trong trường Học Viện Kỹ Thuật Mật Mã đã dạy dỗ và chỉ bảo em trong những năm học đã qua.

Em xin chân thành cảm ơn!

Hà nội, ngày 17 tháng 06 năm 2010 Sinh viên

Chương 1

TÌM HIỂU CÔNG NGHỆ MPLS

1.1 Giới thiệu chuyển mạch nhãn đa giao thức.

Chuyển mạch nhãn đa giao thức (Multiprotocol Label Switching - MPLS) là một công nghệ kết hợp giữa lợi ích của chuyển mạch gói dựa trên chuyển mạch lớp hai với định tuyến lớp 3 Tương tự như các mạng lớp hai (Frame relay hay Asynchronous Transfer Mode - ATM), MPLS là một phương pháp cải tiến việc chuyển tiếp gói trên mạng bằng cách gán nhãn cho các gói IP, tế bào ATM hoặc frame lớp 2 Cơ chế chuyển tiếp qua mạng như thế được gọi là đổi nhãn (label swapping), trong đó các đơn vị dữ liệu (ví dụ như gói hoặc tế bào) mang một nhãn ngắn có chiều dài cố định để tại các node các gói được xử lý và chuyển tiếp

Sự khác nhau cơ bản giữa MPLS và các công nghệ WAN truyền thống chính là cách mà các nhãn được gán và khả năng mang một ngăn xếp của các nhãn (Stack of Labels) cho một gói tin Khái niệm ngăn xếp nhãn cho phép chúng ta có nhiều ứng dụng mới ví dụ như Điều khiển lưu lượng (Traffic Engineering), Mạng riêng ảo (Virtual Private Network – VPN)…

Chuyển tiếp các gói trong MPLS hoàn toàn tương phản với môi trường không kết nối hiện có, nơi mà các gói tin được phân tích trên từng hop một (Router), đấy chính là quá trình kiểm tra tiêu đề lớp 3, và một quyết định forward gói tin được tiến hành dựa trên thuật toán định tuyến ở lớp mạng

Cấu trúc của một nút MPLS bao gồm hai mặt thành phần: thành phần chuyển tiếp (hay còn được gọi là mặt phẳng dữ liệu) và thành phần điều khiển (còn được gọi là mặt phẳng điều khiển) Thành phần chuyển tiếp sử dụng một cơ sở dữ liệu chuyển tiếp nhãn để chuyển tiếp dữ liệu

dựa trên các nhãn đi kèm với gói tin Thành phần điều khiển chịu trách nhiệm tạo và duy trì các thông tin chuyển tiếp nhãn (còn được gọi là bindings) giữa nhóm các chuyển mạch nhãn với nhau

Tất cả các nút MPLS phải chạy một hoặc nhiều giao thức định tuyến IP (hoặc dựa trên định tuyến tĩnh) để có thể trao đổi thông tin định tuyến với các nút MPLS khác trên mạng Theo đó, mỗi một nút MPLS (bao gồm cả chuyển mạch ATM) là một Router trên mặt phẳng điều khiển

Hình 1.1 Cấu trúc cơ bản của một nút MPLS

Tương tự như các Router truyền thống, các giao thức định tuyến IP

sẽ dùng để xây dựng nên bảng định tuyến Bảng định tuyến IP được sử dụng để chuyển tiếp gói tin

Tại một nút MPLS, bảng định tuyến được sử dụng để xác định việc trao đổi thông tin nhãn chuyển tiếp, nơi mà các nút MPLS kề cận với nó trao đổi các nhãn cho các mạng con (subnets) cụ thể được chứa trong bảng định tuyến

Các quá trình điều khiển định tuyến MPLS IP (MPLS IP Routing Control) sử dụng các nhãn để trao đổi với các nút MPLS cạnh nó để tạo ra

bảng chuyển tiếp nhãn (Label Forwarding Table), bảng này là vùng cơ sở

dữ liệu được sử dụng để chuyển tiếp các gói được gán nhãn qua mạng MPLS

• Bit 24-31: TTL (Time to Live - thời gian sống của một gói tin) Trường TTL này có cùng chức năng với TTL của gói tin IP Mỗi lần đi qua một Router, giá trị của nó sẽ giảm đi một Chức năng chính của nó là chống gói tin bị định tuyến lặp trong mạng Nếu

có lặp (Loop) mạng xảy ra và không có trường TTL, gói tin sẽ tồn tại trong mạng mãi mãi TTL trở về 0, gói tin bị hủy

1.1.2 Ngăn xếp nhãn (Label Stack)

Để chuyển gói tin trong mạng MPLS, Router có thể cần nhiều hơn một nhãn Do vậy, người ta thiết kế ra ngăn xếp để chồng các nhãn lên nhau Nhãn đầu tiên trong ngăn xếp được gọi là nhãn đỉnh (Top Label), còn nhãn cuối được gọi là nhãn đáy (Bottom Label) Số lượng nhãn nằm giữa hai nhãn này là không giới hạn

Hình 1.4 Vị trí nhãn MPLS

1.1.3 Bộ định tuyến chuyển mạch nhãn (LSR-Lable Switch Router)

Là thiết bị chuyển mạch hay thiết bị định tuyến sử dụng trong mạng MPLS để chuyển các gói tin bằng thủ tục phân phối nhãn Có một số loại LSR như LSR, LSR-ATM…

Có ba loại LSR trong mạng MPLS:

• Ingress LSR- LSR ngõ vào: Gói tin đi vào mạng MPLS thông quamộtRouter ngõ vào, là ingress LSR Router này có nhiệm vụ gắn nhãn đầu vào cho các gói tin IP

• Egress LSR- LSR ngõ ra: Gói tin sẽ đi ra khỏi mạng MPLS từ Router này Router này có nhiệm vụ bóc các nhãn của gói tin và chuyển gói tin đi dựa vào bảng định tuyến IP

• Intermediate LSR- LSR lõi: Các Router này có nhiệm vụ chuyển mạch các gói tin đã đính nhãn chạy trong mạng MPLS đến LSR đầu ra

1.1.4 Lớp chuyển tiếp tương đương (FEC-Forward Equivalence Class)

FEC là một nhóm các gói, nhóm các gói này chia sẻ cùng yêu cầu trong sự chuyển tiếp chúng qua mạng Tất cả các gói trong một nhóm như vậy được cung cấp cùng cách chọn đường tới đích Khác với chuyển tiếp

IP truyền thống, trong MPLS việc gán một gói cụ thể vào một FEC cụ thể chỉ được thực hiện một lần khi các gói vào trong mạng MPLS không ra quyết định chuyển tiếp với mỗi datagram lớp ba mà sử dụng khái niệm FEC FEC phụ thuộc vào một số các yếu tố, ít nhất là phụ thuộc vào địa chỉ IP và có thể là phụ thuộc cả vào kiểu lưu lượng trong datagram (thoại,

dữ liệu, fax…) Sau đó dựa trên FEC, nhãn được thoả thuận giữa các LSR lân cận từ lối vào tới lối ra trong một vùng định tuyến Mỗi LSR xây dựng một bảng để xác định xem một gói phải được chuyển tiếp như thế nào Bảng này được gọi là cơ sở thông tin nhãn (LIB: Label Information Base),

nó là tổ hợp các ràng buộc FEC với nhãn (FEC-to-label) Và nhãn lại được sử dụng để chuyển tiếp lưu lượng qua mạng

1.1.5 Cơ sở thông tin nhãn (LIB-Label Information Base)

Là bảng kết nối trong LSR có chứa giá trị nhãn FEC được gán vào cổng ra cũng như thông tin về đóng gói dữ liệu truyền tin để xác định phương thức một gói tin được chuyển tiếp

1.1.6 Cơ sở thông tin chuyển tiếp nhãn (LFIB- Label Forwarding Information Base)

LFIB là một tập con của LIB Khi một gói tin có nhãn đi vào Router, nó sẽ tra cứu trong bảng này để xác định đầu ra và nhãn mới cho gói tin

1.1.7 Tuyến chuyển mạch nhãn (LSP - Lable Switching Path)

Là tuyến tạo ra từ đầu vào đến đầu ra của mạng MPLS dùng để chuyển tiếp gói của một FEC nào đó sử dụng cơ chế hoán đổi nhãn Các tuyến chuyển mạch nhãn chứa một chuỗi các nhãn tại tất cả các nút dọc theo tuyến từ nguồn tới đích LSP được thiết lập trước khi truyền dữ liệu hoặc trong khi xác định luồng dữ liệu nào đó Các nhãn được phân phối bằng các giao thức như LDP, RSVP Mỗi gói dữ liệu được đóng gói lại và mang các nhãn trong suốt thời gian di chuyển từ nguồn tới đích Chuyển mạch dữ liệu tốc độ cao hoàn toàn có thể thực hiện dựa theo phương pháp này, vì các nhãn có độ dài cố định được chèn vào phần đầu của gói tin hoặc tế bào và có thể được sử dụng bởi phần cứng để chuyển mạch nhanh các gói giữa các liên kết

Với việc thay đổi nhãn trong các quá trình chuyển tiếp gói tin, các Router buộc phải nhận biết được nhãn của gói tin đến, cũng như biết gán

nhãn nào để gói tin có thể chuyển tiếp được đến đích Vì vậy khi một nhãn được đưa vào gói tin nó cần phải có một giao thức phân phối Ở đây

sẽ có hai con đường để lựa chọn: phát triển một giao thức phân phối nhãn hoặc tận dụng giao thức lớp 3

LDP là giao thức phân phối nhãn của MPLS Giao thức này hoạt động đồng bộ với bảng định tuyến Có hai loại nhãn đặc trưng trong LDP

là local và remote Với thông tin nhãn đã thu thập được, Router tra cứu và kết hợp với bảng RIB (Routing Table) và LIB (Label Information Base)

để đưa ra bảng LFIB (Label Forwarding Information Base) LFIB là bảng quyết định cho việc xác định tuyến và xây dựng các gói tin nhãn

1.2.2 Tải MPLS (MPLS Payload)

Việc xác định tải MPLS là rất quan trọng đối với các Router biên Khi biết được loại tải chúng mới có thể xác định gói tin sẽ được đưa vào FEC nào, gán nhãn thế nào và cần chuyển tiếp chúng đi đâu cũng như QoS đối với gói tin đó Tuy nhiên, trái ngược với các Router biên, các Router không cần quan tâm đến việc gói tin đến chúng là gói tin gì vì thực chất chúng chỉ cần soi vào nhãn trên cùng và thực hiện việc thay thế nhãn rồi chuyển tiếp gói tin

1.3 Các phương thức chuyển tiếp nhãn

Hình 1.5 Phương thức chuyển tiếp nhãn

• Swap là quá trình thay thế một nhãn cũ bằng một nhãn mới (16 được thay bằng 34)

• Push là quá trình thêm vào gói tin một nhãn mới (nhãn 55 được thêm mới)

• Pop là quá trình bóc tách một nhãn trên cùng

Việc xác định khi một gói tin đến được Swap, Push hay Pop phụ thuộc vào các con Router LSR Khi một LSR nhận được một gói tin chứa nhãn, nó sẽ đọc hai mươi bit đầu trong phần header của nhãn, sau đó sẽ nhìn vào bảng LFIB và tìm kiếm giá trị nhãn tương ứng trong cột nhãn cục bộ để quyết định gói tin sẽ được Swap, Push hay Pop

1.3.2 Tra cứu IP và nhãn

Khi một Router nhận một gói tin, nó cần phải xác định đấy là gói tin IP hay gói tin nhãn, từ đó xác định việc đóng gói gói tin như thế nào cho phù hợp Nếu gói tin đến là gói tin IP, nó sẽ thực hiện quá trình IP Lookup Trong Cisco IOS (Internet Operating System), điều đó có nghĩa

là gói tin IP đó sẽ được tra cứu trong bảng CEF (Cisco Express Forwarding) Với một quá trình tương tự nếu gói tin đến là gói tin nhãn

thì quá trình tra cứu sẽ diễn ra trong bảng LFIB Router sẽ nhận biết việc gói tin tới là gói tin IP hay nhãn thông qua việc đọc trường giao thức trong header của khung Dù gói tin được chuyển tiếp dựa vào bảng CEF hay LFIB thì khi rời các Router gói tin đó hoàn toàn có khả năng là gói tin chứa nhãn hoặc không chứa nhãn

Hình 1.7 IP sang nhãn

Hình 1.7 thể hiện trường hợp IP-to-Label LSR nhận được một gói tin với địa chỉ đích là 10.200.254.4/32, nó sẽ đẩy ra cổng Et0/0/0 (Ethernet0/0/0) sau khi đã gán thêm nhãn 18 vào gói tin Điểm đến của gói tin (next hop) có địa chỉ 10.200.200.2 Trong Cisco IOS, chỉ có chuyển mạch CEF là mode duy nhất có hỗ trợ việc sử dụng nhãn để chuyển tiếp gói tin Các loại chuyển mạch IP khác như fast switching chẳng hạn không thể làm được điều đó vì bộ nhớ trong mode này không lưu giữ các thông tin về nhãn Và do việc mode chuyển mạch CEF là mode duy nhất được hỗ trợ để kết nối với mạng MPLS nên khi kích hoạt MPLS trên một Router, nhất thiết phải khởi tạo mode chuyển mạch CEF.

Đối với gói tin đến là gói tin nhãn, hình 1.8 cho thấy việc bảng LFIB sẽ được sử dụng

Hình 1.8 Thông tin bảng LFIB

Nhãn cục bộ (Local Label hoặc Local Tag) là nhãn được các Router LSR đăng ký và phân phối tới các LSR khác Nhìn trong hình trên ta có thể thấy, giả sử gói tin đến mang nhãn 17, nó sẽ được thay thế bởi nhãn

16 và chuyển tiếp ra cổng Et0/0/0 với next hop là 10.200.200.2 Quá trình này như đã biết được gọi là Swap Trong trường hợp gói tin đến chứa nhãn 18, phương thức Pop hoạt động và nhãn trên cùng sẽ được bóc tách sau đó chuyển tiếp ra cổng Et0/0/0 dưới dạng gói tin là gói tin nhãn hoặc

IP Nếu LSR nhận được gói tin mang nhãn 16, nó sẽ loại bỏ hết toàn bộ nhãn mà gói tin đang chứa và chuyển tiếp gói tin ra dưới dạng gói tin IP

vì đầu ra (Outgoing Label(tag)) là không nhãn (Untagged) Đây là một ví

dụ cho trường hợp Label-to-IP Ngoài Pop và Swap còn có phương thức Push Dưới đây là một ví dụ về cách thức hoạt động của Push.

Hình 1.9 Ví dụ về hoạt động của Push

Trong hình 1.9 ta có thể thấy gói tin đi đến mang nhãn 23, và mặc

dù nhìn trong outgoing thì nhãn là 16 nhưng đây không phải là quá trình Swap Trong Tag Stack{20 16} có thể thấy trước khi mang nhãn 16 thì nhãn 23 được Swap bằng nhãn 20, sau đó LSR chèn thêm một nhãn 16 vào nữa Quá trình này chính là Push

“Aggregate” cũng có thể xuất hiện trong list của outgoing tag Việc xuất hiện từ này đồng nghĩa với việc các LSR tổng hợp cần phải loại bỏ nhãn của gói tin đến và sử dụng IP Lookup để quyết định tuyến cụ thể cho việc chuyển tiếp gói tin IP

Như vậy có thể thấy rằng:

• Pop: Là quá trình bóc tách nhãn trên cùng Gói tin sau khi được bóc tách và chuyển tiếp có thể là gói tin IP hoặc gói tin nhãn

• Swap: Là quá trình nhãn trên cùng được thay thế bởi một nhãn khác

• Push: Là quá trình mà sau khi đã thực hiện việc thay thế nhãn (Swapped), một nhãn mới sẽ được thêm vào (pushed) bên trên nhãn thay thế

• Untagged/No label: Chồng nhãn được bóc tách và gói tin chuyển tiếp là gói tin không nhãn.

• Aggregate: Quá trình này sẽ bóc tách toàn bộ nhãn, sau đó tra cứu và xác định tuyến đi cụ thể cho gói tin

1.4 Một số hoạt động khác

1.4.1 Phân tải cho gói tin nhãn

Nếu quá trình định tuyến cho thấy có những con đường với giá bằng nhau đến cùng một đích, hệ điều hành Cisco sẽ thực hiện việc cân bằng tải cho các gói tin chứa nhãn

Hình 1.10 Ví dụ về cách phân tải gói tin

Trong hình trên có thể thấy với việc nhận một nhãn 17 hoặc 18, gói tin đi ra sẽ có nhãn như nhau Đây chính là cân bằng tải, mặc dù vậy không phải cứ cân bằng tải là các nhãn đầu ra (Outgoing Label) sẽ giống nhau Trong nhiều trường hợp cũng xảy ra sự khác biệt Chúng thực sự giống nhau khi mà giữa hai Router là một cặp kết nối và liên kết giữa chúng cùng được xây dựng trên một không gian nhãn Nếu tồn tại nhiều next-hop LSRs thì outgoing label chúng sử dụng thường là khác nhau trên mỗi tuyến, bởi vì các next-hop LSRs đăng ký nhãn một cách độc lập với nhau

Đối với MPLS chạy trên nền IPv4, ngoài gói tin chứa nhãn thì những gói tin không chứa nhãn vẫn có thể được định tuyến đến mạng đích Điều đó xẩy ra trong một số trường hợp, nguyên nhân do tại một liên kết nào đó mà MPLS không được kích hoạt Lúc này gói tin sẽ là gói tin không nhãn, Router sẽ xem xét tra cứu trong bảng định tuyến IP và quyết định chuyển tiếp về mạng đích Mặc dù vậy đối với MPLS VPN,

các Router P không lưu trữ bảng định tuyến VPN vì thế đối với gói tin không nhãn chúng không thể tìm kiếm được đích đến Tải MPLS là khung tầng 2, nếu gói tin bị mất nhãn, các Router P cũng không thể xác định được tuyến đích để chuyển tiếp vì bản thân Router P không lưu trữ thông tin về định tuyến lớp 2 Việc sử dụng cân bằng tải cho các gói tin IP và nhãn không được thực hiện trên các con Router P, việc này hoàn toàn được đảm trách bởi các Router biên LSRs Vì thế các Router P không thể chuyển tiếp gói tin không nhãn trong đại đa số trường hợp.

1.4.2 Nhãn không xác định (Null label)

Mạng MPLS được hoạt động nhờ nhãn, vì thế trong trường hợp bình thường, các gói tin đến hoàn toàn được xác định nhãn và chuyển tiếp đến chặng kế tiếp Mặc dù vậy, đôi khi xảy ra lỗi trên đường truyền và xuất hiện các nhãn không mong muốn, các nhãn này không tồn tại trong bảng lưu trữ mà các Router có Khi sự việc này xảy ra, đối với các LSRs

nó có thể cố gắng loại bỏ nhãn và tìm kiếm tuyến để chuyển tiếp gói tin hoặc là hủy gói tin Mặc dù vậy việc cố gắng xác định tuyến là không cần thiết, lúc này các Router sẽ thực hiện việc hủy gói tin Vì vậy đối với một gói tin đến mà nhãn trên cùng không được xác định, các Router sẽ thực hiện việc hủy bỏ gói tin ngay

1.4.3 Đăng ký nhãn

Mỗi một Router được phép đăng ký nhãn độc lập và số nhãn có thể đăng ký là rất lớn (các giá trị từ 16 đến 220 -1) Tuy nhiên, với bất kỳ một Router nào thì các nhãn mang giá trị từ 0 đến 15 không được sử dụng trong các trường hợp chuyển tiếp thông thường các gói tin Các nhãn này

có những chức năng đặc biệt, dùng để xác định rõ một chức năng nào đó của Router Ví dụ với nhãn 3, đây được gọi là nhãn NULL ngầm định (Implicit NULL Label), nhãn 0 là nhãn NULL tường minh (Explicit NULL Label)

Một Router biên khi đăng ký nhãn implicit NULL label với giá trị là

3, điều này cho biết Router đó không muốn đăng ký nhãn cho FEC Nhãn

này được sử dụng khi tại Router biên không muốn tra cứu hai lần trong LFIB và CEF Nếu một gói tin đến Router và đi ra là một mạng đích của khách hàng với gói tin IP thì nếu gói tin nó nhận vẫn là gói tin chứa nhãn, chúng phải thực hiện việc kiểm tra trong bảng LFIB, sau đó lại phải nhìn vào bảng định tuyến IP để xác định giao diện đầu ra Như vậy rất mất thời gian, vì thế khi các Router này đăng ký nhãn Implicit NULL thì trước khi gói tin đến nó, Router trước đã phải bóc tách nhãn và chuyển tiếp cho Router biên lúc này là gói tin không chứa nhãn Nhiệm vụ khi này của Router biên chỉ là rọi vào bảng định tuyến IP để xác định đường ra cho gói tin mà thôi

Tuy nhiên ưu điểm của nhãn số ba cũng chính là nhược điểm của

nó Trong một mạng thì người ta quan tâm rất nhiều đến vấn đề QoS, việc này được xác định và xử lý thông qua trường EXP trong nhãn MPLS, như vậy nếu dùng nhãn số ba thì trước khi đến Router biên, mọi thông tin về nhãn đã không còn nữa Điều này gây khó khăn trong việc quản lý chất lượng mạng Vì thế một nhãn mới là nhãn số 0 (Explicit NULL label) được đưa vào khắc phục nhược điểm của nhãn số 3 Với nhãn số 0, trước khi chuyển tiếp gói tin đến Router biên, các Router lân cận không loại bỏ nhãn mà sẽ thay thế nhãn cũ bằng một nhãn mới là nhãn số 0, các trường của nhãn 0 hoàn toàn trống ngoại trừ trường EXP vẫn giữ nguyên giá trị của nhãn trước nó Đến con Router biên khi nhận thấy trong header của gói tin chứa nhãn 0, nó chỉ tìm thông tin ở trường EXP mà không cần quan tâm đến các trường khác Ngoài hai nhãn đặc biệt mang giá trị 0 và

ba thì còn một số nhãn khác mang tính chất cảnh báo hoặc báo hiệu

Ngoài trường EXP, TTL cũng là một trường có ý nghĩa quan trọng Ứng dụng của nó tương tự như trong mạng IP thông thường đó là để chống lặp Trong mạng MPLS, mỗi gói tin đi qua một LSR thì trường TTL sẽ giảm đi một Khi trường TTL giảm đến 0 thì gói tin sẽ bị hủy Nếu gói tin là IP thì các Router P sẽ xây dựng các bản tin báo hiệu ICMP trên tuyến đường mà nó chuyển tiếp Lý do tạo bản tin ICMP là trong một vài trường hợp khi trường TTL giảm đến 0, Router sẽ hủy gói tin, Router

P sẽ dùng gói tin ICMP này xác định con đường mà nó đã đi và gửi bản tin báo hiệu rằng gói tin đã bị hủy cho các Router ở cuối tuyến biết là gói tin không đến được nó do TTL bằng 0 Mặc dù vậy các Router P chỉ xây dựng các bản tin ICMP khi tải là gói tin IP, nếu tải không phải là gói tin

IP thì chúng không tạo ICMP và hủy gói tin trong mọi trường hợp Như vậy nếu không phải là gói tin IP thì các Router đích không biết đc là có hay không có gói tin gửi đến chúng trong trường hợp trường TTL đạt giá trị 0

1.5 Giao thức phân phối nhãn

1.5.1 Sơ lược về LDP

MPLS sử dụng các gói tin được gắn nhãn để truyền dữ liệu, các LSR thực hiện cơ chế hoán đổi nhãn để truyền các gói tin đi Điều đó có nghĩa là trong mọi trường hợp cần phải có sự phân phối nhãn Chúng ta có hai cách để đạt được mục đích đó: tạo nhãn dựa trên các loại giao thức định tuyến có sẵn hoặc là phát triển một giao thức mới để thực hiện công việc đó Nếu sử dụng các loại giao thức định tuyến nội Interior Gateway Protocol (IGP) như Open Shortest Path First (OSPF), Intermediate System-to-Intermediate System (IS-IS), Enhanced Interior Gateway Routing Protocol (EIGRP), và Routing Information Protocol (RIP) để chuyển nhãn, ta phải xây dựng việc phân bổ nhãn đối với từng IGP riêng biệt, điều đó hết sức phức tạp vì trong hệ thống mạng hiện tại, các loại giao thức trên đều rất phổ biến và đan xen với nhau Nếu xây dựng một loại giao thức mới, ta có thể tạo ra một định tuyến độc lập có khả năng làm việc với bất kì một IGP nào Điều đó khả thi hơn rất nhiều Vì lí do

đó mà giao thức phân phối nhãn (Label Distribution Protocol) ra đời Nó chuyển các nhãn trong mạng MPLS bằng cách gắn các nhãn này vào một lớp chuyển mạch tương đương (Forwarding Equivalence Classes) Có một ngoại lệ là giao thức định tuyến ngoại BGP (Border Gateway Protocol)

Vì BGP là một loại định tuyến đa giao thức, do đó nó có nhiều năng lực hơn và cần ít công sức xử lý hơn để truyền nhãn Lý do thứ hai khi chọn BGP để truyền thông tin nhãn vì thực tế BGP là giao thức duy nhất quảng

bá các tiền tố (Prefix) giữa các hệ thống tự trị AS (Autonomous Systems)

Vì vậy, nó là giao thức đáng tin cậy hoạt động giữa các công ty khác nhau

Do vậy, các nhãn gắn cho tất cả các tiền tố IGP trong bảng định tuyến được phân phối bởi LDP và tất cả các nhãn gắn với các BGP Router trong bảng định tuyến được phân phối bởi giao thức BGP Điều này giải thích sự cần thiết phải có cơ sở thông tin nhãn LIB, cơ sở thông tin chuyển tiếp nhãn LFIB và cách tạo ra chúng

Để các gói tin chạy trên đường chuyển mạch nhãn LSP trong mạng MPLS, tất cả các LSR phải chạy giao thức phân phối nhãn và trao đổi nhãn với nhau Khi tất cả các LSR đã có nhãn cho các FEC cụ thể , gói tin

có thể được chuyển tiếp trên các đường chuyển mạch nhãn (LSP) chạy thông qua các LSR Các hoạt động đối với nhãn (Swap, Pop, Push) trên các LSR đều dựa vào bảng LFIB Bảng LFIB là một tập con của bảng LIB LIB là một bảng bao gồm các nhãn nhận được từ các thông tin của LDP, Resource Reservation Protocol (RSVP), MP-BGP, hoặc là việc gắn nhãn cục bộ

RSVP chỉ dùng cho Kĩ thuật lưu lượng MPLS (MPLS Traffic Engineering), MP-BGP chỉ dùng trong việc phân phối nhãn cho các tuyến ngoại (BGP Routes), còn LDP sử dụng trong việc phân phối nhãn cho các tuyến nội vùng Do đó tất cả các LSR kết nối trực tiếp đều phải khởi tạo mối quan hệ LDP ngang hàng hoặc là phiên LDP giữa chúng

LDP ngang hàng trao đổi các bản tin ánh xạ nhãn thông qua các phiên LDP Các nhãn được ánh xạ đều gắn với một FEC nhất định FEC là một nhóm các gói tin được gắn vào một LSP nhất định và được truyền đi trong mạng MPLS thông qua LSP đó

LDP có bốn chức năng chính:

• Tìm kiếm các LSR đang chạy giao thức LDP

• Khởi tạo và duy trì phiên

• Quảng bá bản đồ nhãn

• Quản lý phương tiện thông báo.

Khi hai LSR kết nối trực tiếp và chạy giao thức LDP, chúng có thể nhận ra nhau bằng cách gửi nhận bản tin Hello Bước thứ hai, chúng khởi tạo phiên làm việc thông qua kết nối TCP Thông qua kết nối TCP này, LDP sẽ quảng bá bản tin ánh xạ nhãn giữa hai LDP ngang hàng Các bản tin ánh xạ nhãn được dùng trong việc quảng bá, thay đổi hoặc hủy nhãn LDP cung cấp các phương tiện thông báo cho các LDP hàng xóm một vài thông điệp chỉ dẫn hoặc là thông điệp lỗi bằng cách gửi đi các bản tin thông báo

1.5.2 Cơ chế hoạt động của LDP

Hình 1.11 Mô hình dùng để tìm hiểu hoạt động của LDP 1.5.2.1 Tìm kiếm các LSR đang chạy giao thức LDP

Các LSR chạy LDP sẽ gửi các bản tin hello LDP trên tất cả các đường link đã khởi động LDP Bản tin hello LDP là một loại bản tin được gửi tới tất cả các Router trên cùng một subnet bằng địa chỉ multicast 224.0.0.2

LSR nhận được bản tin này sẽ biết được sự tồn tại của một Router LDP hàng xóm trên interface mà nó nhận được bản tin

Bản tin Hello chứa một thành phần là “Hold time” Nếu không nhận được bản tin Hello phản hồi từ LSR trên interface mà nó gửi bản tin Hello

đi trước khi thời gian Hold time kết thúc, nó sẽ loại bỏ LSR đó ra khỏi bảng danh sách hàng xóm LDP của nó

Để xem các thông tin truyền và nhận Hello, hold time và Hello interval (khoảng thời gian Hello) sử dụng câu lệnh: show mpls ldp discovery [detail] Nếu có sự trao đổi bản tin Hello thì tồn tại một LDP hàng xóm tại interface đó

Hinh 1.12 Các thông tin truyền nhận LDP

Câu lệnh show mpls interfaces cho phép ta nhanh chóng thấy được interface nào đang chạy giao thức LDP:

1.13 Thông tin các giao diện hoạt động LDP 1.5.2.2 LDP ID

Mỗi một LSR đều có một mã số nhận dạng, gọi là LDP ID LDP ID gồm 6 byte, bốn byte nhận dạng LSR đó và hai byte nhận dạng loại không gian nhãn mà LSR sử dụng Có hai loại là per-platform Label Space và Per-interface Label Space

• Per-platform Label Space: hai byte cuối bằng 0 , không gian nhãn (Label Space) thuộc loại per-platform Label Space, có nghĩa là các interface sẽ sử dụng chung một giá trị nhãn

• Per-interface Label Space: hai byte cuối khác 0, không gian nhãn

thuộc loại Per-interface Label Space, mỗi interface sẽ mang một giá trị nhãn riêng

Trong trường hợp Per-interface Label Space, LDP đa nhận dạng sẽ

được sử dụng, với định dạng: bốn byte đầu mang cùng giá trị, nhưng hai byte cuối sẽ mang các giá trị khác nhau, chỉ ra các không gian nhãn khác

nhau

1.5.2.3 Thiết lập LDP ID

Với bốn byte đầu của trường LDP ID là một trong những địa chỉ IP của LSR đó Nếu tồn tại cổng loopback, địa chỉ IP cao nhất của giao diện loopback sẽ được sử dụng làm LDP ID Nếu không có cổng loopback, địa chỉ IP cao nhất của các interface thực sẽ được sử dụng thay thế

Trong hình 1.12, LDP ID cục bộ của Router là 10.200.254.2:0 vì 10.200.254.2 là địa chỉ IP cao nhất trong tất cả các cổng loopback, và :0

có nghĩa Router này dùng không gian nhãn per-platform Ta có thể thay

đổi LDP ID bằng cách dùng câu lệnh: mpls ldp Router-id interface [force] Nếu dùng thêm từ khóa [force] LDP ID sẽ đổi ngay lập tức Nếu không dùng từ này, LDP ID sẽ được thay đổi vào lần kế tiếp khi cần thiết phải lựa chọn lại LDP ID Điều này xảy ra khi interface đó nhận thấy LDP

ID hiện tại đang ở trạng thái tắt

Trong Cisco IOS, MPLS LDP ID cần thiết phải có mặt trong bảng định tuyến của các Router LDP hàng xóm Nếu không có LDP ID,các phiên LDP sẽ không thể thực hiện được Do đó, địa chỉ IP được chọn làm LDP ID của Router phải có trong giao thức định tuyến của LSR

Trong hình 1.14, tuyến đường đến địa chỉ 10.200.254.3 không có trong bảng định tuyến của Router London Kết quả là LSR London không thể thiết lập mối quan hệ/ phiên LDP với LSR Rome, với LDP ID của Rome chính là 10.200.254.3

Hình 1.14 Thông tin chi tiết về các LDP

1.5.2.4 Phiên LDP

Xem xét quá khởi tạo và duy trì phiên LDP Nếu hai LSR nhận ra nhau bằng bản tin LDP Hello, chúng sẽ cố gắng khởi tạo phiên LDP với nhau Một LSR thử mở kết nối TCP cổng 646 đến LSR còn lại Nếu kết nối TCP được thiết lập, hai LSR sẽ đàm phán các thông số của phiên LDP bằng cách trao đổi các bản tin khởi tạo LDP Các thông số này bao gồm các giá trị sau:

• Giá trị bộ định thời gian (timer)

• Phương thức phân phối nhãn

• Phạm vi VPI/VCI cho LC- ATM (label controlled ATM)

• Phạm vi DLCI cho LC-FR (Label controlled Frame relay)

Sau khi phiên LDP đã được thiết lập, phiên sẽ được duy trì nhờ nhận được các gói tin LDP hoặc các bản tin keepalive định kì Mỗi khi LSR nhận được gói tin LDP hoặc bản tin keepalive, bộ định thời gian keepalive của LSR bắt đầu đếm lại từ đầu Bộ định thời gian keepalive (keepalive timer) hoặc là thời gian giữ liên lạc (hold time có giá trị mặc định là 180 giây Giá trị này có thể cấu hình lại bằng lệnh mpls ldp holdtime

Đối với số lượng phiên LDP Khi không gian nhãn loại per-platform

là loại không gian nhãn duy nhất được sử dụng giữa một cặp LSR, thì chỉ cần duy nhất một phiên LDP Chỉ cần một bộ nhãn trao đổi giữa hai LSR, không quan trọng có bao nhiêu kết nối giữa chúng Về cơ bản, các interface có thể dùng chung cùng bộ nhãn khi loại không gian nhãn per-platform được sử dụng Vì các nhãn này đều chung một không gian nhãn,

do đó chúng dùng được cho tất cả các đường kết nối Interface thuộc kiểu không gian per-platform khi chúng là các interface dạng frame-mode (kiểu khung) Interface không thuộc loại interface kiểu khung như LC-ATM interface sẽ sử dụng loại không gian nhãn per-interface(không gian nhãn riêng cho mỗi một interface riêng) Với không gian nhãn per-

interface, mỗi nhãn chỉ thuộc về duy nhất một interface Do đó đối với mỗi interface, thì tương ứng sẽ có một phiên LDP tồn tại giữa hai LSR.

Hình 1.15 Ví dụ về phiên LDP 1.5.2.5 Quảng bá bản đồ nhãn

Quảng bá nhãn là mục đích chính của giao thức LDP

Có ba mode khác nhau mà mỗi LSR có thể thực hiện: quảng bá, duy trì nhãn, và điều khiển LSP Với mỗi một mode có hai lựa chọn, do đó có tổng cộng sáu mode:

• Quảng bá: Tự nguyện xuôi dòng(Unsolicited Downstream -UD)

và yêu cầu xuôi dòng (Downstream-on-Demand – DoD)

• Duy trì nhãn: Duy trì nhãn tự do (Liberal Label Retention -LLR)

và duy trì nhãn thường xuyên (Conservative Label Retention - CLR)

• Điều khiển LSP: Điều khiển LSP độc lập (Independent LSP Control) và điều khiển LSP theo lệnh (Ordered LSP Control)

Tất cả các nhãn quảng bá đều được lưu giữ trong bảng LIB (label information base) Một LDP Router có thể nhận được nhiều nhãn khác nhau đối với mỗi prefix cụ thể Tuy nhiên, chỉ có duy nhất một LDP ngang hàng là LSR downstream (LSR trạm kế tiếp- LSR xuôi dòng) cho

một prefix cụ thể Tất nhiên, nếu cơ chế cân bằng tải được khởi động, khả năng sẽ có nhiều LSR xuôi dòng.

Thuật ngữ LSR downstream và LSR upstream được dùng phụ thuộc vào chiều của luồng lưu lượng đang xét

Hình 1.16 LSR upstream và LSR downstream

Các LSR tìm LSR xuôi dòng của nó bằng cách tìm kiếm trạm liền

kề cho một prefix cụ thể trong bảng định tuyến Chỉ có duy nhất một nhãn trong tất cả các nhãn quảng bá được sử dụng làm nhãn ra trong bảng LFIB cho một prefix cụ thể

Mỗi LSR gán một nhãn cục bộ cho từng IGP prefix trong bảng định tuyến Các nhãn cục bộ này được lưu trữ trong bảng LIB của Router Mỗi nhãn và prefix tương ứng đó sẽ được quảng bá tới tất cả các LDP ngang hàng Các nhãn liên kết đó được gọi là nhãn gắn kết từ xa (remote binding) đối với các LSR nhận được các nhãn đó, các nhãn này cũng nằm trong bảng LIB

Ví dụ của bảng LIB:

Hình 1.17 Ví dụ về thông tin trong LIB

Trong hình trên:

Đối với prefix 10.200.210.0/24, 10.200.211.0/24: Router London kết nối trực tiếp đến các prefix này do đó chúng gắn một nhãn imp-null để chỉ việc không cần phải tạo ra một nhãn mới để đến các mạng đó

Mạng 10.200.254.1/32 không kết nối trực tiếp đến Router London, muốn đến mạng này, cần thiết phải dùng một nhãn, ở đây nó được gắn nhãn 24

Chúng ta có thể thấy trong bảng có các remote binding ví dụ như:Lib entry: 10.200.211.0/24

Remote binding: lsr: 10.200.254.5:0, label: 18

Ý nghĩa của dòng này là: với LSR khác (remote) (ở đây là

10.200.254.5:0) muốn đến mạng 10.200.211.0/24, cần dùng nhãn số 18.

Hình 1.18 Mối quan hệ giữa các bảng LIB,RIB và LFIB

Các thông số được lưu giữ trong bảng LFIB được xác định từ các thông số nằm trong các bảng LIB, RIB

Bảng RIB được xây dựng từ các giao thức tầng ba mà mạng đã chạy sẵn, như OSPF, EIGRP, IS – IS Bảng này xác định các giá trị như các địa chỉ mạng đích và cổng ra tương ứng, next-hop IP đối với mạng đó

Bảng LIB dựa vào LDP để xây dựng sơ đồ nhãn cho riêng nó

Bảng LIB cho ta thông tin về nhãn cục bộ cho một prefix, nhưng không cung cấp thông tin về nhãn đầu ra Nhãn đầu ra có thể tìm được thông qua bảng RIB, bảng LIB và địa chỉ các LDP ngang hàng

Ví dụ cụ thể: LSR London:

Trong bảng RIB:

Đối với mạng 10.200.254.4/32 Để đến mạng này, Router London cần đi qua next-hop Router tiếp theo có IP là 10.200.211.2 bằng cổng POS5/0/0

Từ địa chỉ IP đó, tìm trong các LDP peer của London, ta tìm được LDP ID của next hop đó là 10.200.254.3:0

Trong bảng LIB:

Với prefix 10.200.254.4/32, LSR London gán cho nó một nhãn cục

bộ là 20 (local binding), có ba remote binding đối với prefix này từ ba LSR 10.200.254.1:0, 10.200.254.3:0, 10.200.254.5:0

Đối chiếu từ giá trị LDP ID trong LDP Peers lúc nãy (10.200.254.3:0), ta tìm được giá trị nhãn remote binding tương ứng bằng

18 Từ các thông số đó, LSR London xây dựng được đường đi từ nó đến prefix 10.200.254.1/32

Hình 1.19 Tra cứu bảng LFIB

Bảng LFIB bao gồm một số thông tin cần thiết để chuyển mạch gói tin như: Local label, Outgoing label, Prefix, Outgoing interface

cho các mạng VPN này như: GRE, PPTP, L2TP, và IPSec Chúng đều dựa trên hoạt động tạo đường truyền dẫn riêng và sử dụng các thuật toán mã hóa dữ liệu Bài viết này chỉ tập trung nghiên cứu giao thức IPSec vì hiện nay nó được sử dụng rộng rãi cho các mạng VPN và các giao thức trên đều có những hạn chế so với IPSec.

Xét một ví dụ đơn giản về một đường hầm IPSec giữa hai site trong mạng VPN Site A nối với site B thông qua mạng của nhà cung cấp dịch

vụ hoặc mạng Internet công cộng sử dụng giao thức IPSec với mã hóa 3DES

Hình 2.1 Kết nối giữa máy tính A và máy tính B trong mạng VPN

Hạn chế đầu tiên và cũng là dễ nhận thấy nhất ở IPSec đó là làm giảm hiệu năng của mạng Khi xét đường đi của một gói tin được gửi từ máy tính A trong mạng A đến máy tính B trong mạng B Gói tin từ máy tính A sẽ được gửi đến CPE (Customer Premise Equipment) A CPE-A sẽ kiểm tra gói tin xem liệu nó có cần thiết phải chuyển đến CPEB hay không Trong một môi trường mạng không có VPN thì gói tin sẽ được truyền ngay đến CPE-B Tuy nhiên, với giao thức IPSec, CPE-A phải thực hiện một số thao tác trước khi gửi gói tin đi Đầu tiên, gói tin được mã hóa, sau đó đóng gói vào các gói IP, hoạt động này tiêu tốn thời gian và gây trễ cho gói tin Tiếp theo gói tin sẽ được đưa vào trong mạng của nhà cung cấp dịch vụ Lúc này, nếu gói tin mới được tạo thành có kích thước lớn hơn kích thước tối đa cho phép truyền (MTU-Maximum Transmission Unit) trên bất cứ một liên kết nào giữa CPE-A và CPE-B thì gói tin sẽ cần phải được phân mảnh thành hai hay nhiều gói tin nhỏ hơn Điều này chỉ

xảy ra trong trường hợp bit DF (Don't Fragment) không được thiết lập, còn trong trường hợp bit DF được thiết lập thì gói tin sẽ bị mất và một bản tin ICMP (Internet Control Message Protocol) sẽ được gửi lại phía phát Khi gói tin đến được CPE-B, nó sẽ được mở gói và giải mã, hai hoạt động này tiếp tục làm trễ gói tin trong mạng Cuối cùng, CPE-B sẽ chuyển tiếp gói tin đến máy tính B.

Thời gian trễ trong mạng sẽ phụ thuộc vào độ phức tạp và tốc độ xử

lý của các CPE Các thiết bị CPE chất lượng thấp thường phải thực hiện hầu hết các chức năng IPSec bằng phần mềm khiến trễ trong mạng lớn Các thiết bị CPE với khả năng thực hiện các chức năng IPSec bằng phần cứng có thể tăng tốc độ xử lý gói tin lên rất nhiều nhưng chi phí cho các thiết bị này là rất đắt Điều này dẫn đến chi phí triển khai một mạng IPSec VPN là rất tốn kém

Từ ví dụ trên, ta dễ dàng nhận thấy các mạng IPSec VPN là mạng lớp trên của mạng IP và sự trao đổi thông tin trong mạng được thực hiện bằng cách thiết lập các đường hầm giữa các site Điều này sẽ tạo nên những cấu hình mạng không tối ưu Để rõ hơn về vấn đề này, ta sẽ xét hai cấu hình mạng, cấu hình hình sao và cấu hình mạng lưới (full mesh)

Cấu hình mạng hình sao bao gồm một site trung tâm (hub) được nối với rất các site ở xa (spoke) khác Trong cấu hình này, CPE của site trung tâm thường là một thiết bị rất đắt tiền và phụ thuộc vào số lượng spoke cần kết nối đến Và mỗi một spoke này sẽ thiết lập một đường hầm IPSec (IPSec tunnel) đến site trung tâm Cấu hình mạng này không phù hợp cho truyền thông giữa các site nhánh (spoke) với nhau vì gói tin từ spoke này đến spoke kia phải đi qua site trung tâm và tại site trung tâm này sẽ lặp lại các tác vụ như đóng mở gói tin, xác định đường chuyển tiếp, mã hóa và giải mã đối với mỗi gói tin đi qua nó Có nghĩa là mỗi gói tin sẽ phải đi qua hai đường hầm IPSec dẫn đến trễ xử lý cho mỗi gói tin sẽ tăng gấp đôi so với trường hợp hai spoke có thể trao đổi thông tin trực tiếp với nhau