Nghiên cứu và triển khai công nghệ MPLS VPN cho công ty chứng khoán tràng an

Tổng đài IP của Ipsilon về bản chất là một ma trận chuyểnmạch ATM được điều khiển bởi khối xử lý sử dụng công nghệ IP.Chuyển mạch nhãn đa giao thức MPLS là kết quả của quá trình phát tri

LỜI CẢM ƠN

Để hoàn thành đồ án tốt nghiệp em đã nhận được sự hướng dẫn, giúp đỡ

và chỉ bảo tận tình của quý thầy cô trường Đại học Công Nghệ Thông Tin &Truyền Thông - Đại Học Thái Nguyên Lời đầu tiên em xin bày tỏ lòng biết ơn

sâu sắc đến thầy giáo ThS Lê Tuấn Anh - Bộ môn Mạng & Truyền Thông - Đại

học Công Nghệ Thông Tin và Truyền Thông Người đã tận tình hướng dẫn vàgiúp đỡ em hoàn thành đồ án tốt nghiệp này

Em xin chân thành cảm ơn sự chỉ dẫn tận tâm của tất cả những giảng viên

đã trực tiếp giảng dạy chúng em trong suốt thời gian học tập vừa qua đặc biệt sựquan tâm giúp đỡ tận tình của quý thầy cô đang công tác tại bộ môn Mạng &Truyền Thông

Nhân dịp này em xin gửi lời cảm ơn chân thành tới gia đình, bạn bè,những người thân đã động viên và giúp đỡ em rất nhiều trong quá trình hoànthành đồ án tốt nghiệp

Mặc dù đã cố gắng hoàn thiện đề tài bằng tất cả sự nhiệt tình và năng lựccủa mình, tuy nhiên không thể tránh khỏi những thiếu sót, rất mong nhận được sựđóng góp quý báu của thầy cô và các bạn!

Thái Nguyên, tháng 6 năm 2012

Sinh Viên

Bùi Đức Thắng

LỜI CAM ĐOAN

Để hoàn thành đồ án tốt nghiệp đúng thời gian quy định và đáp ứng đượcyêu cầu đề ra, bản thân em cố gắng nghiên cứu, học tập và làm việc nghiêm túctrong thời gian tương đối dài

Trong quá trình làm đồ án, em có tham khảo một số tài liệu trong phần

“TÀI LIỆU THAM KHẢO”, và hoàn thành đồ án dưới sự hướng dẫn chỉ bảo và

sự giúp đỡ nhiệt tình của thầy giáo ThS Lê Tuấn Anh - Bộ môn Mạng &

Truyền Thông - Đại học Công Nghệ Thông Tin và Truyền Thông - Đại học TháiNguyên

Em xin cam đoan những lời khai trên là đúng, mọi thông tin sai lệch emxin hoàn toàn chịu trách nhiệm trước nhà trường

Thái Nguyên, tháng 6 năm 2012

Sinh viên

Bùi Đức Thắng

MỤC LỤC

DANH MỤC TỪ VIẾT TẮT

MPLS Multi Protocol Label Switching

ATM Asynchronous Transfer Mode

IP Internet Protocol

VPN Virtual Private Network

IETF Internet Engineering Task Force

TCP Transmission Control Protocol

ISP Internet Service Provider

B-ISDN Broadband Intergrated Services Digital NetworkRFC Request for Comments

RTFM Real Time Flow Measuarement

FEC Forward Error Correction

BGP Border Gateway Protocol

EIGRP Enhanced Interior Getway Routing ProtocolVRF Virtual Routing Fowarding

LFIB Label Forwarding Information Based

ASN Autonomous System Number

LSR Label Switching Router

LỜI NÓI ĐẦU

Cùng với sự phát triển của đất nước, những năm gần đây các ngành côngnghiệp đều phát triển mạnh mẽ, và ngành công nghiệp viễn thông cũng không làngoại lệ Số người sử dụng các dịch vụ mạng tăng đáng kế, theo dự đoán con sốnày đang tăng theo hàm mũ Ngày càng có nhiều các dịch vụ mới và chất lượngdịch vụ cũng được yêu cầu cao hơn Đứng trước tình hình này, các vấn đề vềmạng bắt đầu bộc lộ, các nhà cung cấp mạng và các nhà cung cấp dịch vụ cũng

đã có nhiều nỗ lực để nâng cấp cũng như xây dựng hạ tầng mạng mới Nhiềucông nghệ mạng và công nghệ chuyển mạch đã được phát triển, trong số đóchúng ta phải kể đến công nghệ chuyển mạch nhãn (MPLS là tiêu chuẩn).MPLS-VPN cũng đang được nghiên cứu áp dụng ở nhiều công ty và rất nhiềunước trên thế giới MPLS-VPN đang là nền tảng của điện toán đám mây (CloudComputing)

Đứng trước sự phát triển nhanh chóng của công nghệ chuyển mạch nhãn

đa giao thức MPLS, việc tìm hiểu các vấn đề về công nghệ MPLS là vấn đề quantrọng đối với sinh viên Nhận thức được điều đó, đồ án tốt nghiệp “Nghiên cứu

và triển khai công nghệ MPLS-VPN cho cho công ty chứng khoán Tràng An”giới thiệu về quá trình phát triển dịch vụ cũng như công nghệ mạng dẫn tớiMPLS, tìm hiểu các vấn đề kỹ thuật của công nghệ, và ứng dụng của công nghệMPLS-VPN để tư vấn thiết kế hệ thống mạng VPN cho công ty chứng khoánTràng An Bố cục của đồ án gồm 3 chương

Chương I: Tổng quan về MPLS

Chương II: Công nghệ MPLS-VPN

Chương III: Khảo sát phân tích thiết kế và xây dựng chương trình môphỏng

Công nghệ MPLS-VPN là công nghệ tương đối mới mẻ, việc tìm hiểu vềcác vấn đề của công nghệ MPLS-VPN đòi hỏi phải có kiển thức sâu rộng, và lâudài Do vậy đồ án không tránh khỏi những sai sót Rất mong nhận được sự phêbình, góp ý của các thầy cô giáo và các bạn

CHƯƠNG 1 TỔNG QUAN VỀ MPLS

MPLS (Multi Protocol Label Switching) kết hợp đặc tính tốc độ và hiệusuất của các mạng chuyển gói với đặc tính linh hoạt các mạng chuyển mạchnhằm cung cấp giải pháp tốt nhất cho việc tích hợp voice, video và dữ liệu.Giống như các mạng chuyển mạch, MPLS thiết lập con đường kết nối điểm đếnđiểm trước khi truyền tải thông tin, và các con đường này được chọn dựa vào yêucầu của ứng dụng Mặt khác, giống như các mạng gói, các ứng dụng và ngườidùng có thể chia sẻ chung một kết nối Các ứng dụng MPLS có thể thay đổi rấtrộng, từ mạng phân phát dữ liệu đơn giản tới các mạng nâng cao với khả năngđảm bảo phân phát dữ liệu có kèm thông tin dành cho con đường phụ

Một công nghệ mới MPLS đã xuất hiện và hứa hẹn những năng lực hỗ trợrất lớn của MegaWAN cho các doanh nghiệp Các doanh nghiệp, tổ chức được

đề cập ở đây có thể là bất kỳ một tổ chức nào, tập đoàn kinh tế, cơ quan chínhphủ, hay hệ thống giáo dục Một phương thức tiếp cận đáp ứng được các yêu cầutrên được biết đến hiện nay là công nghệ chuyển mạch nhãn MPLS Các nhàcung cấp dịch vụ đang triển khai MPLS trên khắp mạng đường trục với sự quantâm đặc biệt bởi khả năng vượt trội trong cung cấp dịch vụ chất lượng cao quamạng IP, bởi tính đơn giản, hiệu quả và quan trọng nhất là khả năng triển khaiVPN Công nghệ chuyển mạch nhãn đa giao thức là một trong nhưng công nghệtiên tiến được một số hãng nổi tiếng chuyên về viễn thông đầu tư, nghiên cứu vàđưa ra được nhưng tiêu chuẩn quốc tế

Năm 1994 hãng Toshiba cho đưa ra thiết bị thiết bị định tuyến chuyển đổi

tế bào (CSR) là tổng đài ATM đầu tiên được điều khiển bằng giao thức IP thay

cho báo hiệu ATM Tổng đài IP của Ipsilon về bản chất là một ma trận chuyểnmạch ATM được điều khiển bởi khối xử lý sử dụng công nghệ IP.

Chuyển mạch nhãn đa giao thức MPLS là kết quả của quá trình phát triểnnhiều giải pháp chuyển mạch IP, đây là công nghệ chuyển mạch được đưa ra bởiIETF và đã nhận được các quan tâm đặc biệt từ các nhà cung cấp dịch vụ InternetISP MPLS cho phép các ISP hợp nhất các mạng sử dụng các công nghệ khácnhau vào trong một mạng duy nhất, và đặc biệt quan trọng là cho các nhà ISP đạtđược việc điều khiển lưu lượng một cách chính xác tại lớp IP MPLS sử dụngđịnh tuyến cưỡng bức để xác định các đường mà luồng lưu lượng sẽ đi ngang qua

đó và xác định đích tới của các gói chuyển mạch nhãn sử dụng các đường cácđường được xác định trước đó

Bằng cách sử dụng các giao thức điều khiển và định tuyến Internet, MPLScung cấp chuyển mạch hướng kết nối ảo qua các tuyến Internet bằng cách sửdụng các nhãn và trao đổi nhãn MPLS bao gồm việc thực hiện các đườngchuyển mạch nhãn LSP, nó cũng cung cấp các thủ tục và các giao thức cần thiết

để phân phối các nhãn giữa các chuyển mạch và các bộ định tuyến

Nghiên cứu MPLS đang được thực hiện dưới sự bảo trợ của nhóm làmviệc MPLS trong IETF MPLS vẫn là một sự phát triển tương đối mới, nó mớichỉ được tiêu chuẩn hoá theo Internet vào đầu năm 2001 Sử dụng MPLS để traođổi khe thời gian TDM, chuyển mạch không gian và các bước sóng quang lànhững phát triển mới nhất Các nỗ lực này được gọi là GMPLS (GeneralizedMPLS)

Nhóm làm việc MPLS đưa ra các danh sách với 8 bước yêu cầu để xácđịnh MPLS, đó là:

- MPLS phải làm việc với hầu hết các công nghệ liên kết dữ liệu

- MPLS phải thích ứng với các giao thức định tuyến lớp mạng và cáccông nghệ Internet có liên quan khác

- MPLS cần hoạt động một cách độc lập với các giao thức định tuyến

- MPLS phải hỗ trợ mọi khả năng chuyển tiếp của bất kỳ nhãn chotrước nào

- MPLS phải hỗ trợ vận hành quản lý và bảo dưỡng (OA&M)

- MPLS cần xác định và ngăn chặn chuyển tiếp vòng

- MPLS cần hoạt động trong mạng phân cấp.

- MPLS phải có tính kế thừa

Các yêu cầu này chính là các nỗ lực phát triển cần tập trung Liên quan tớicác yêu cầu này, nhóm làm việc cũng đưa ra 8 mục tiêu chính mà MPLS cần đạtđược:

- Chỉ rõ các giao thức được tiêu chuẩn hoá nhằm duy trì và phân phốinhãn để hỗ trợ định tuyến dựa vào đích unicast mà việc chuyển tiếp được thựchiện bằng cách trao đổi nhãn (Định tuyến unicast chỉ ra một cách chính xác mộtgiao diện, định tuyến dựa vào đích ngụ ý là định tuyến dựa vào địa chỉ đích cuốicùng của gói tin)

- Chỉ rõ các giao thức được tiêu chuẩn hoá nhằm duy trì và phân phốinhãn để hỗ trợ định tuyến dựa vào đích multicast mà việc chuyển tiếp được thựchiện bằng cách trao đổi nhãn

- Chỉ rõ các giao thức được tiêu chuẩn hoá nhằm duy trì và phân phốinhãn để hỗ trợ phân cấp định tuyến mà việc chuyển tiếp được thực hiện bằngcách trao đổi nhãn

- Chỉ rõ các giao thức được tiêu chuẩn hoá nhằm duy trì và phân phốinhãn để hỗ trợ các đường riêng dựa vào trao đổi nhãn Các đường này có thểkhác so với các đường đã được tính toán trong định tuyến IP thông thường Cácđường riêng rất quan trọng trong các ứng dụng TE

- Chỉ ra các thủ tục được tiêu chuẩn hoá để mang thông tin về nhãn quacác công nghệ lớp 2

- Chỉ ra một phương pháp tiêu chuẩn nhằm hoạt động cùng với ATM ởmặt phẳng điều khiển và mặt phẳng người dùng

- Phải hỗ trợ cho các công nghệ QoS

- Chỉ ra các giao thức tiêu chuẩn cho phép các host sử dụng MPLS

1.2 Phương thức hoạt động của MPLS

Chuyển mạch nhãn đa giao thức MPLS là kết quả của quá trình phát triểnnhiều giải pháp chuyển mạch IP, được chuẩn hoá bởi IETF Tên gọi của nó bắtnguồn từ thực tế đó là hoán đổi nhãn được sử dụng như là kỹ thuật chuyển tiếpnằm ở bên dưới Sự sử dụng từ “đa giao thức” trong tên của nó có nghĩa là nó có

thể hỗ trợ nhiều giao thức lớp mạng, không chỉ riêng IP Ngoài ra các nhà cungcấp mạng có thể cấu hình và chạy MPLS trên các công nghệ lớp 2 khác nhau nhưPPP, Fram Relay, ATM Bất kể kỹ thuật ATM từng được coi là nền tảng củamạng số đa dịch vụ băng rộng (B-ISDN), hay là IP đạt thành công lớn trên thịtrường hiện nay, đều tồn tại nhược điểm khó khắc phục được Sự xuất hiện củaMPLS - kỹ thuật chuyển mạch nhãn đa giao thức đã giúp chúng ta có được sựchọn lựa tốt đẹp cho cấu trúc mạng thông tin tương lai Phương pháp này đãdung hợp một cách hữu hiệu năng lực điều khiển lưu lượng của thiết bị chuyểnmạch với tính linh hoạt của bộ định tuyến Hiện nay, càng có nhiều người tintưởng một cách chắc chắn rằng MPLS sẽ là phương án lý tưởng cho mạng đườngtrục trong tương lai.

Mạng MPLS có khả năng chuyển các gói tin tại lớp 3 bằng việc sử dụng

xử lý từng gói và chuyển tiếp gói tin tại lớp 2 sử dụng cơ chế hoán đổi nhãn.MPLS dựa trên mô hình ngang cấp, vì vậy mỗi một thiết bị MPLS chạy một giaothức định tuyến IP, trao đổi thông tin định tuyến với các thiết bị lân cận, và chỉduy trì một không gian cấu hình mạng và một không gian địa chỉ

MPLS chia tách chức năng bộ định tuyến IP thành hai phần riêng biệt:

- Chức năng chuyển gói tin

- Chức năng điều khiển

Phần chức năng chuyển gói tin: Với nhiệm vụ gửi gói tin giữa các bộ địnhtuyến, sử dụng cơ chế hoán đổi nhãn tương tự như ATM Trong MPLS, nhãn làmột số có độ dài cố định và không phụ thuộc vào lớp mạng Kỹ thuật hoán đổinhãn về bản chất là việc tìm nhãn của một gói tin trong một bảng các nhãn để xácđịnh tuyến của gói và tìm nhãn mới của nó Hay nói cách khác kỹ thuật hoán đổinhãn là việc tìm chặng kế tiếp của gói tin trong một bảng chuyển tiếp nhãn, sau

đó thay thế giá trị nhãn của gói rồi chuyển ra cổng ra của bộ định tuyến Việc nàyđơn giản hơn nhiều so với việc xử lý gói tin thông thường và do vậy cải tiến khảnăng của thiết bị Các bộ định tuyến sử dụng thiết bị này gọi là bộ định tuyếnchuyển mạch nhãn LSR

Phần chức năng điều khiển của MPLS: Bao gồm các giao thức định tuyến

gán nhãn để chuyển thông tin định tuyến thành các bảng định tuyến cho việcchuyển mạch nhãn MPLS có thể hoạt động được với các giao thức định tuyếnInternet khác như OSPF và BGP Do MPLS hỗ trợ việc điều khiển lưu lượng vàcho phép thiết lập tuyến cố định, việc đảm bảo chất lượng dịch vụ của các tuyến

là hoàn toàn khả thi Đây là một điểm vượt trội của MPLS so với các định tuyến

cổ điển

Khi một gói tin vào mạng MPLS, các bộ định tuyến chuyển mạch nhãnkhông thực hiện chuyển tiếp theo từng gói mà thực hiện phân loại gói tin vàotrong các lớp tương đương chuyển tiếp FEC, sau đó các nhãn được ánh xạ vàotrong các FEC Một giao thức phân bổ nhãn LDP được xác định và chức năngcủa nó là để ấn định và phân bổ các ràng buộc FEC/nhãn cho các bộ định tuyếnchuyển mạch nhãn LSR Khi LDP hoàn thành nhiệm vụ của nó, một đường dẫnchuyển mạch nhãn LSP được xây dựng từ lối vào tới lối ra Khi các gói vàomạng, LSR lối vào kiểm tra nhiều trường trong tiêu đề gói để xác định xem góithuộc về FEC nào Nếu đã có một ràng buộc nhãn/FEC thì LSR lối vào gắn nhãncho gói và định hướng nó tới giao diện đầu ra tương ứng Sau đó gói được hoánđổi nhãn qua mạng cho đến khi nó đến LSR lối ra, lúc đó nhãn bị loại bỏ và góiđược xử lý tại lớp 3 Hiệu năng đạt được ở đây là nhờ việc đưa quá trình xử lýlớp 3 tới biên của mạng và chỉ thực hiện 1 lần tại đó thay cho việc xử lý tại từngnode trung gian như của IP Tại các node trung gian việc xử lý chỉ là tìm sự phùhợp giữa nhãn trong gói và thực thể tương ứng trong bảng kết nối LSR và sau đóhoán đổi nhãn - quá trình này thực hiện bằng phần cứng

Ngoài ra MPLS còn có cơ chế chuyển tuyến (Fast rerouting) Do MPLS làcông nghệ chuyển mạch hướng kết nối, khả năng bị ảnh hưởng bởi lỗi đườngtruyền thường cao hơn các công nghệ khác Trong khi đó, các dịch vụ tích hợp

mà MPLS phải hỗ trợ lại yêu cầu dung lượng cao Do vậy, khả năng phục hồi củaMPLS đảm bảo khả năng cung cấp dịch vụ của mạng không phụ thuộc vào cơcấu khôi phục lỗi của lớp vật lý bên dưới

Bên cạnh độ tin cậy, công nghệ MPLS cũng khiến cho việc quản lý mạngđược dễ dàng hơn Do MPLS quản lý việc chuyển tin theo các luồng thông tin,

các gói tin thuộc một FEC có thể được xác định bởi một giá trị của nhãn Do vậy,trong miền MPLS, các thiết bị đo lưu lượng mạng có thể dựa trên nhãn để phânloại các gói tin Lưu lượng đi qua các tuyến chuyển mạch nhãn LSP được giámsát một cách dễ dàng dùng RTFM (Real Time Flow Measurement) Bằng cáchgiám sát lưu lượng tại các LSR, nghẽn lưu lượng sẽ được phát hiện và vị trí xảy

ra nghẽn lưu lượng có thể được xác định nhanh chóng Tuy nhiên, giám sát lưulượng theo phương pháp này không đưa ra được toàn bộ thông tin về chất lượngdịch vụ (ví dụ như trễ từ điểm đầu đến điểm cuối của miền MPLS)

Tóm lại, MPLS là một công nghệ chuyển mạch IP có nhiều triển vọng.Với tính chất cơ cấu định tuyến của mình, MPLS có khả năng nâng cao chấtlượng dịch vụ của mạng IP truyền thống Bên cạnh đó, thông lượng của mạng sẽđược cải thiện một cách rõ rệt Tuy nhiên, độ tin cậy là một vấn đề thực tiễn cóthể khiến việc triển khai MPLS trên mạng Internet bị chậm lại

MPLS là kỹ thuật chuyển tiếp và trao đổi nhãn, nhưng có kết hợp trao đổinhãn với định tuyến lớp mạng Việc trao đổi nhãn nghĩa là thay đổi giá trị nhãntrong mào đầu gói khi gói di chuyển từ một nút tới nút khác

Ý tưởng này của MPLS cải thiện hoạt động của định tuyến lớp mạng và

độ đáp ứng của lớp mạng Một mục đích hơn nữa là cung cấp độ linh hoạt lớnhơn trong việc phân phối dịch vụ định tuyến (bởi việc cho phép thêm vào cácdịch vụ định tuyến mới mà không thay đổi mô hình chuyển tiếp) MPLS khôngtạo ra một quyết định chuyển tiếp với mỗi dữ liệu đồ lớp 3 nhưng dùng một kháiniệm là lớp tương đương chức năng (FEC) Một FEC được kết hợp với một lớp

dữ liệu đồ, lớp này phụ thuộc vào một số nhân tố như địa chỉ đích và loại lưulượng trong dữ liệu đồ (voice, data, fax…) Dựa vào FEC, một nhãn khi ấy sẽthương lượng với các LSR lân cận nhau từ lối vào đến lối ra của miền địnhtuyến Nhãn cũng được dùng để chuyển lưu lượng qua mạng

Thêm vào đó, MPLS không yêu cầu một giao thức phân phối nhãn riêngbiệt (chấp nhận việc dùng của các giá trị nhãn giữa các LSR cạnh nhau) Cácgiao thức đó là RSVP, BGP, LDP Trong đó LDP được chú ý nhất ngay từ khi nó

được thiết kế để cho mạng MPLS, các giao thức còn lại cũng là các phương thứctốt cho việc phân bổ nhãn.

MPLS là công nghệ chuyển mạch cho phép các nhà cung cấp dịch vụ hợpnhất các mạng sử dụng các công nghệ khác nhau vào trong một mạng duy nhất

để phân phát gói tin từ nguồn tới đích một cách hiệu quả và có thể điều khiểnđược MPLS sử dụng các đường chuyển mạch nhãn LSP để chuyển tiếp ở lớp 2

mà đã được thiết lập báo hiệu bởi các giao thức định tuyến lớp 3 Tìm hiểu rõ vềchuyển tiếp, chuyển mạch và định tuyến là các vấn đề quan trọng để hiểu MPLShoạt động như thế nào, do vậy cần phải xem xét kĩ các khái niệm này

Mỗi bộ định tuyến đều có chức năng chuyển gói tin từ nguồn tới đíchbằng cách thu hoặc nhận, chuyển mạch và chuyển tiếp nó tới thiết bị mạng kháccho tới khi nó tới được đích cuối cùng

Hình 1.1 sau đây mô tả mô hình chung Mặt bằng điều khiển quản lý tậpcác tuyến mà một gói có thể sử dụng, trong mô hình này một gói đi vào thiết bịmạng qua giao diện đầu vào, được xử lý bởi một thiết bị mà nó chỉ xử lý thôngtin về gói để đưa ra quyết định logic Quyết định logic này có thông tin đượccung cấp từ mặt bằng điều khiển chứa các tuyến, cho các thông tin về gói đượccập nhật tới thiết bị khác để chuyển tiếp gói thông qua giao diện đầu ra để tớiđích của gói tin đó

Đây là mô hình đơn giản nhất trong các công nghệ mạng, nhưng nó là sựbắt đầu cho sự thảo luận về MPLS được thực hiện như thế nào Các công nghệMPLS đưa ra mô hình mới cho việc định tuyến, chuyển mạch và chuyển tiếp đểchuyển các gói tin trong mạng Internet

Hình 1.1 Định tuyến, chuyển mạch, chuyển tiếp

MPLS chủ yếu làm việc với các giao thức lớp 2 và lớp 3, và cũng hoạtđộng trong nhiều kiểu thiết bị mạng khác “Công nghệ lớp 2.5” là một khía cạnhkhác, thường được dùng để mô tả MPLS

Hình 1.2 Lớp chèn MPLS

Mô hình này ban đầu xuất hiện như là một mô hình không đồng nhất vớiOSI, mô hình này chỉ ra rằng MPLS không phải là một lớp mới riêng, mà nó làmột phần ảo của mặt phẳng điều khiển ở dưới lớp mạng với mặt phẳng chuyểntiếp ở đỉnh của lớp liên kết dữ liệu MPLS không phải là một giao thức tầngmạng mới bởi vì nó không có khả năng tự định tuyến hoặc có sơ đồ địa chỉ, màyêu cầu phải có trong giao thức lớp 3 MPLS sử dụng các giao thức định tuyến

không phải là một giao thức tầng liên kết dữ liệu bởi vì nó được thiết kế để hoạtđộng trong nhiều công nghệ liên kết dữ liệu phổ biến mà cung cấp yêu cầu chứcnăng và địa chỉ lớp.

1.3 Mô hình chuyển mạch nhãn

Mô hình chuyển mạch nhãn là cơ chế chủ yếu được triển khai trong mặtphẳng chuyển tiếp dữ liệu từ nguồn tới đích Mạng MPLS chủ yếu dựa vào môhình ATM, Frame Relay và kĩ thuật nhãn, các nhãn được gán cho mỗi gói khichúng vào mạng, được trao đổi nhãn khi chúng qua mạng và sau đó được chuyểntới cổng đầu ra của mạng Hình 1.3 chỉ ra mô hình trao đổi nhãn Trong mộtmạng có một cổng vào, một nút trung gian được gọi là nút chuyển tiếp, và mộtcổng ra Tập hợp các nút tham gia vào quá trình trao đổi nhãn được gọi là miền traođổi nhãn

Chú ý rằng các giá trị của nhãn có thể được gán và phân bố trước khi bất

cứ quá trình trao đổi nhãn của dữ liệu xảy ra hoặc các nhãn có thể được tạo ra khi

các gói thuộc về một luồng đặc biệt Hai kiểu gán nhãn được gọi là “control

driven” và “traffic driven” Sau khi vùng chuyển mạch nhãn được cấu hình để xử

lý lưu lượng gói được chuyển tiếp bởi trao đổi nhãn, tất cả các gói được xử lýtheo cùng một cách đơn giản và trực tiếp

Hình 1.3 Mô hình chuyển mạch nhãn

Một nhãn ngắn, chiều dài cố định được mang trong tiêu đề của gói Nhãnnhận dạng đường chuyển tiếp nào mà một gói sẽ đi qua, dựa vào tập các tham sốđầu vào (địa chỉ đích, tiền tố, QoS…) Quá trình xử lý ở đầu vào xác định bất cứmột giá trị nhãn của gói tới dựa vào thông tin về gói để ánh xạ nó tới đườngchuyển tiếp của nó Nút ở cổng đầu vào gán giá trị nhãn ban đầu cho mỗi gói sau

đó gửi nó vào trong mạng Các nhãn chỉ có ý nghĩa cục bộ và giá trị thực tế củamột nhãn chỉ được hiểu giữa hai nút thông tin với nhau Sau khi một nhãn đượcthêm vào bởi nút cổng và được trao đổi ở nút chuyển tiếp dựa vào bảng nhãn đãđược cấu hình của nó tới khi nào gói tới được đích Chú ý rằng bảng nhãn - LabelTable hướng dẫn gói qua LSP đã được thiết lập trước khi gói bắt đầu hành trình.

Do đó, các đường nhãn tương đương với một kênh ảo (VC) Các đường nhãnluôn luôn không đồng nhất Nếu muốn lưu lượng gói đi theo hướng ngược lại củacùng một tuyến thì phải thiết lập hai đường nhãn

Trao đổi nhãn có nhiều ưu điểm so với định tuyến “từng chặng” đã đượctriển khai trong mạng IP thông thường Nó đơn giản và hiệu quả hơn Việc phântích gói chỉ được thực hiện ở nút cổng Trao đổi nhãn trong vùng trao đổi nhãnnhanh hơn bởi vì việc hoạt động đơn giản là nhận ra nhãn và ánh xạ nó vào giátrị nhãn tiếp theo Nút đầu ra nhận ra rằng gói đã đến biên sau đó nó thực hiênxoá nhãn và chuyển tiếp gói tin dựa vào các thông tin khác như là header ở tầngmạng, và đưa vào vùng đích Trao đổi nhãn là quá trình chủ yếu của MPLS và nóthể hiện nhiều khái niệm cần thiết để hiểu công nghệ này hoàn chỉnh hơn và đểbiết tại sao MPLS không chỉ là sự trao đổi nhãn

đó được ấn định

Thường thì một gói tin được ấn định cho một FEC (hoàn toàn hoặc mộtphần) dựa trên địa chỉ đích lớp mạng của nó Tuy nhiên nhãn không bao giờ là

mã hoá của địa chỉ đó

Dạng của nhãn phụ thuộc vào phương tiện truyền mà gói tin được đónggói Ví dụ các gói ATM (tế bào) sử dụng giá trị VPI/VCI như nhãn, FR sử dụngDLCI làm nhãn Đối với các phương tiện gốc không có cấu trúc nhãn, một đoạn

đệm được chèn thêm để sử dụng cho nhãn Khuôn dạng đoạn đệm 4 byte có cấutrúc như sau:

Hình 1.4 Định dạng cấu trúc nhãn

MPLS định nghĩa một tiêu đề có độ dài 32 bit và được tạo nên tại LSRvào Nó phải được đặt ngay sau tiêu đề lớp 2 bất kì và trước một tiêu đề lớp 3, ởđây là IP và được sử dụng bởi LSR lối vào để xác định một FEC, lớp này sẽ đượcxét lại trong vấn đề tạo nhãn Sau đó các nhãn được sử lí bởi LSR chuyển tiếp

Khuôn dạng và tiêu đề MPLS bao gồm các trường sau:

Nhãn: Giá trị 20 bit, giá trị này chứa nhãn MPLS

S: bit ngăn xếp, sử dụng để xắp xếp đa nhãn

TTL: Thời gian sống, 8bit, đặt ra một giới hạn mà các gói MPLS có thể điqua

Đối với các khung PPP hay Ethernet giá trị nhận dạng giao thức P-ID(hoặc Ethertype) được chèn thêm vào mào đầu khung tương ứng để thông báokhung là MPLS unicast hay multicast

• Ngăn xếp nhãn

Một tập hợp có thứ tự các nhãn gắn theo gói để truyền tải thông tin vềnhiều FEC mà gói nằm trong đó để nói về các LSP tương ứng mà gói sẽ đi qua.Ngăn xếp nhãn cho phép MPLS hỗ trợ định tuyến phân cấp (một nhãn cho EGP

và một nhãn cho IGP) và tổ chức đa LSP trong một trung kế LSP

Chuyển mạch nhãn được thiết kế để co dãn các mạng lớn và MPLS hỗ trợchuyển mạch nhãn với hoạt động phân cấp, hoạt động phân cấp này dựa trên khả

năng của MPLS có thể mang nhiều hơn một nhãn trong gói Ngăn xếp nhãn chophép thiết kế các LSR trao đổi thông tin với nhau và hành động này giống nhưviệc tạo đường viền node để tạo ra một miền mạng rộng lớn và các LSR khác Cóthể nói rằng các LSR này là các node bên trong một miền và không liên quan đếnđường viền node Sự xử lí một gói nhãn được hoàn thành độc lập với từng mứccủa sự phân cấp.

• LSR Bộ định tuyến chuyển mạch nhãn

Là thiết bị (Bộ định tuyến hay Switch) sử dụng trong mạng MPLS đểchuyển các gói tin bằng thủ tục phân phối nhãn Có một số loại LSR cơ bản sau:LSR biên, ATM-LSR, ATM-LSR biên

• FEC Lớp chuyển tiếp tương đương

Là khái niệm được dùng để chỉ một nhóm các gói được đối xử như nhauqua mạng MPLS ngay cả khi có sự khác biệt giữa các gói tin này thể hiện trongmào đầu lớp mạng

Thuật ngữ FEC được sử dụng trong hoạt động chuyển mạch nhãn FECđược dùng để miêu tả sự kết hợp của các gói riêng biệt với một địa chỉ đíchthường là điểm nhận lưu lượng cuối cùng chẳng hạn như một tổng đài host FECcũng có thể liên kết một giá trị FEC với một địa chỉ đích và một lớp lưu lượng.Lớp lưu lượng được liên kết với một chỉ số cổng đích

Tại sao phải dùng FEC? Thứ nhất, nó cho phép nhóm các gói vào các lớp

Từ nhóm này, giá trị FEC trong một gói có thể được dùng để thiết lập độ ưu tiêncho việc xử lý các gói FEC cũng có thể được dùng để hỗ trợ hiệu quả hoạt độngQoS Ví dụ, FEC có thể liên kết với độ ưu tiên cao, lưu lượng thoại thời gianthực, lưu lượng nhóm mới ưu tiên thấp…

Sự kết hợp một FEC với một gói được thực hiện bởi việc dùng một nhãn

để định danh một FEC đặc trưng Với các lớp dịch vụ khác nhau, phải dùng cácFEC khác nhau và các nhãn liên kết khác nhau Đối với lưu lượng Internet, cácđịnh danh sử dụng là các tham số ứng cử cho việc thiết lập một FEC Trong mộtvài hệ thống, chỉ địa chỉ đích IP được sử dụng

FEC là một sự biểu diễn của nhóm các gói, các nhóm này chia sẻ cùngyêu cầu trong sự vận chuyển của chúng Tất cả các gói trong một nhóm như vậyđược cung cấp cùng một cách chọn đường tới đích Ngược với chuyển tiếp IPtruyền thống, trong MPLS việc gán một gói cụ thể vào một FEC cụ thể đượcthực hiện chỉ một lần khi các gói vào trong mạng Các FEC dựa trên các yêu cầudịch vụ đối với một tập các gói cho trước hay đơn giản chỉ là đối với địa chỉ chotrước Mỗi LSR xây dựng một bảng để xác định xem gói được chuyển tiếp nhưthế nào Bảng này được gọi là bảng thông tin nhãn cơ bản LIB, nó là tổ hợp ràngbuộc FEC với nhãn (FEC-to-label).

• Bảng chuyển mạch chuyển tiếp nhãn

Label Switching Forwarding Table, là bảng chuyển tiếp nhãn có chứathông tin về nhãn đầu vào, nhãn đầu ra, giao diện đầu ra và địa chỉ điểm tiếptheo

• Đường chuyển mạch nhãn LSP

Là tuyến tạo ra từ đầu vào đến đầu ra của mạng MPLS dùng để chuyểntiếp gói của một FEC nào đó sử dụng cơ chế chuyển đổi nhãn (label swappingforwarding)

Đường đi qua một mạng chuyển mạch nhãn được quyết định bởi mộttrong hai cách Thứ nhất, các giao thức định tuyến truyền thống (như OSPF hayBGP) được sử dụng để phát hiện các địa chỉ IP Thông tin này, từ nút tiếp theođến địa chỉ là tương đương với một nhãn, một đường chuyển mạch nhãn mềmdẻo Thứ hai, LSP có thể được thiết lập dựa trên ý tưởng của định tuyến cưỡngbức Cách này có thể dùng một giao thức định tuyến để hỗ trợ việc thiết lập LSPnhưng LSP cũng bị cưỡng bức bởi một số nhân tố khác như sự cần thiết phảicung cấp một mức độ QoS tốt Thực vậy, lưu lượng nhạy cảm với thời gian thực

là thử thách đầu tiên của định tuyến cưỡng bức

• Cơ sở dữ liệu nhãn LIB

Là bảng kết nối trong LSR có chứa các giá trị nhãn/FEC được gán vàocổng ra cũng như thông tin về đóng gói phương tiện truyền

• Gói tin dán nhãn

Một gói tin dán nhãn là một gói tin mà nhãn được mã hoá Trong một vàitrường hợp, nhãn nằm trong phần đầu của gói tin dành riêng cho mục đích dánnhãn Trong các trường hợp khác, nhãn có thể được đặt chung trong phần đầu lớpmạng và lớp liên kết dữ liệu có thể là ở đây có trường có thể dùng được cho mụcđích dãn nhãn Công nghệ mã hoá được sử dụng phải phù hợp với cả thực thể mãhoá nhãn và thực thể giải mã nhãn.

• Ấn định phân phối nhãn

Trong mạng MPLS, quyết định để kết hợp một nhãn L cụ thể với mộtFEC F cụ thể là do LSR phía trước thực hiện LSR phía trước sau khi kết hợp sẽthông báo với LSR phía sau về kết hợp đó Do vậy các nhãn được LSR phíatrước ấn định và kết hợp nhãn được phân phối theo hướng từ LSR phía trước tớiLSR phía sau

LSR là 1 thiết bị định tuyến tốc độ cao trong lõi của 1 mạng MPLS, nótham gia trong việc thiết lập các đường dẫn chuyển mạch nhãn LSP bằng việc sửdụng giao thức báo hiệu nhãn thích ứng và thực hiện chuyển mạch tốc độ cao lưulượng số liệu dựa trên các đường dẫn được thiết lập

Căn cứ vào vị trí và chức năng của LSR có thể phân thành các loại chínhsau đây:

LSR biên: nằm ở biên của mạng MPLS LSR tiếp nhận hay gửi đi cácthông tin từ hay đến mạng khác (IP, Frame Relay…) LSR biên gán hay loại bỏnhãn cho các gói thông tin đến hoặc đi khỏi mạng MPLS Các LSR có thể làIngress Bộ định tuyến (Bộ định tuyến lối vào) hay Egress Bộ định tuyến (bộ địnhtuyến lối ra)

ATM-LSR: là các tổng đài ATM có thể thực hiện chức năng như LSR.Các ATM-LSR thực hiện chức năng định tuyến gói IP và gán nhãn trong mảngđiều khiển và chuyển tiếp số liệu trên cơ chế chuyển mạch tế bào ATM trongmảng số liệu Như vậy các tổng đài chuyển mạch ATM truyền thống có thể nângcấp phần mềm để thực hiện chức năng của LSR

Hình 1.5 Cấu trúc hoạt động khung trong mạng MPLS

• Thiết bị LER - Bộ định tuyến biên nhãn

LER là một thiết bị hoạt động tại biên của mạng truy nhập và mạngMPLS Các LER hỗ trợ các cổng được kết nối tới các mạng không giống nhau(như FR, ATM, và Ethernet) và chuyển tiếp lưu lượng này vào mạng MPLS saukhi thiết lập LSP, bằng việc sử dụng các giao thức báo hiệu nhãn tại lối vào vàphân bổ lưu lượng trở lại mạng truy nhập tại lối ra LER đóng vai trò quan trọngtrong việc chỉ định và huỷ nhãn, khi lưu lượng vào trong hay ra khỏi mạngMPLS LER là nơi xảy ra việc gán nhãn cho các gói tin trước khi vào mạngMPLS

Ngoài ra khi MPLS được xếp chồng trên ATM, các chuyển mạch ATMđược điều khiển bởi mặt phẳng điều khiển MPLS, và lúc đó các chuyển mạchATM được gọi là các ATM-LSR Tương ứng chúng ta có 2 loại thiết bị là ATM-LSR hoạt động trong lõi, và ATM-LSR biên hoạt động ở biên mạng hay còn gọi

là ATM-LER

Các thiết bị biên khác với các thiết bị lõi ở chỗ là: ngoài việc phải chuyểntiếp lưu lượng nó còn phải thực hiện việc giao tiếp với các mạng khác đó là chỉđịnh hay loại bỏ nhãn.

1.5 Các công dụng của MPLS

MPLS là phương pháp cải tiến cho việc chuyển tiếp các gói tin IP trênmạng bằng cách thêm vào nhãn (lable) MPLS kết hợp các yêu điểm của kĩ thuậtchuyển mạch (switching) của lớp 2 và kĩ thuật định tuyến (routing) lớp 3 Do sửdụng nhãn để quyết định chặng tiếp theo trong mạng nên router ít làm việc hơn

và hoặt động gần giống như switch

MPLS hỗ trợ mọi giao thức lớp 2, triển khai hiệu quả các dịch vụ IP trênmột mạng chuyển mạch IP MPLS hỗ trợ việc chuyển giao các tuyến đường khácnhau giữa nguồn và đích trên cùng một đường trục Internet Bằng việc tích hợpMPLS vào kiến trúc mạng, các ISP có thể cung cấp các giải pháp chuẩn để thựchiện những mục đích sau:

Cải thiện chức năng chuyển tiếp gói tin trong mạng: MPLS tăng cường vàđơn giản hóa chuyển tiếp tin qua router MPLS tăng cường chức năng mạng bởi

vì nó cho phép chuyển mạch ở tốc độ đường dây

Hỗ trợ QoS và CoS với các dịch vụ khác nhau: MPLS sử dụng thiết lậptuyến có điều khiển lưu lượng và giúp đạt được các mức dịch vụ đảm bảo

Hỗ trợ sự linh hoạt của mạng: MPLS có thể được sử dụng để tránh vấn đềchồng phủ N kết hợp với mạng lưới IP-ATM

Tích hợp IP và ATM vào mạng: MPLS cung cấp cầu nối giữa mạng truycập IP và lõi ATM MPLS có thể sử dụng lại các chuyển mạch router có sẵn củaATM do đó kết hợp có hiệu quả hai mạng riêng biệt

Xây dựng khả năng vận hành liên mạng: MPLS là một giải pháp chuẩn

mà có thể đạt được sự hòa hợp giữa mạng IP và ATM MPLS làm cho IP dễ dàngtích hợp qua SONET tích hợp chuyển mạch quang MPLS giúp xây dựng cácmạng VPN mềm dẻo với khả năng điều khiển lưu lượng

CHƯƠNG 2 CÔNG NGHỆ MPLS-VPN

2.1 Tổng quan VPN

Mạng riêng ảo VPN là khái niệm đã có từ lâu, xuất phát từ nhu cầu củacác doanh nghiệp và tổ chức muốn tạo một đường truyền xuyên suốt và bảo mậtgiữa các chi nhánh của mình trên một cơ sở hạ tầng chung MPLS VPN có thểcoi là mô hình VPN ưu việt nhất so với trước đây Chương này giới thiệu tổngquan về VPN, phân tích các mô hình VPN và sự ra đời của MPLS VPN Phầnnày cũng đi sâu vào tìm hiểu các kỹ thuật trong việc triển khai MPLS VPN saocho đạt hiệu quả cao nhất trong triển khai đồng thời cũng hạn chế thấp nhấtnhững phí tổn

2.1.1 Giới thiệu chung VPN

VPN ra đời cho phép các nhà cung cấp dịch vụ triển khai những kết nốipoint-to-point giữa các nhà cung cấp dịch vụ trên một hạ tầng vật lý chung Mộtkhách hàng sử dụng VPN sẽ bao gồm các vùng riêng biệt chịu sự điều khiển củakhách hàng gọi là site khách hàng Các site này liên kết với nhau bởi mạng củanhà cung cấp dịch vụ Trước đây trong mạng truyền thống, mô hình VPN đơngiản nhất là nhà cung cấp dịch vụ sẽ kết nối các site khách hàng theo một đườngpoint-to-point dành riêng cho khách hàng đó Khi số site của khách hàng tănglên, số kêt nối sẽ tăng đồng nghĩa với việc tốn kém chi phí triển khai rất nhiều

Mô hình này được coi là không hiệu quả nhưng lại là nền tảng cho các công nghệVPN sau này Frame Realy và ATM là những công nghệ đầu tiên thực hiện VPN

có hiệu quả Mỗi công nghệ chứa đựng những kỹ thuật và thiết bị riêng cho giảipháp VPN Nhìn chung, một mạng VPN tổng quát luôn bao gồm các vùng sau:

Mạng khách hàng: Gồm các router tại nhiều site khách hàng, các routernày liên kết các site khách hàng riêng lẻ đến mạng của nhà cung cấp dịch vụ gọi

là router biên khách hàng (router CE)

Mạng của nhà cung cấp dịch vụ: được sử dụng bởi nhà cung cấp để chophép các link point-to-point dành riêng kết nối nhau trên một cơ sở hạ tầngchung của nhà cung cấp dịch vụ Trong mạng của nhà cung ấp dịch vụ, routerbiên provide edge (PE) thì kết nối với router biên của khách hàng Mạng này còn

chứa các thiết bị chuyển phát dữ liệu trong mạng xương sống gọi là routerProvider (P)

2.1.2 Các mô hình VPN

• Overlay VPN

Mô hình chồng lấn VPN ra đời rất sớm và được triển khai dưới nhiềucông nghệ khác nhau Lúc đầu VPN được xây dựng bằng cách sử dụng cácđường thuê riêng để cung cấp và kết nối giữa các người dùng ở các vị trí khácnhau Người dùng sử dụng dịch vụ kênh thuê riêng của nhà cung cấp dịch vụ.Các đường thuê riêng này được thiết lập giữa các site của người dùng cần kếtnối Đường này là đường dùng riêng cho người dùng khi có nhu cầu sử dụng

Frame Relay được xem như là một công nghệ VPN được đua ra trongnhững năm 1990, vì nó có thể đáp ứng kết nối cho người dùng như dịch vụ thuêkênh riêng (leased line), ở đây người dùng không được cung cấp các đường dànhriêng cho mỗi người dùng, người dùng sử dụng một đường chung nhưng đượcchỉ định các mạch ảo Các mạch ảo này sẽ đảm bảo lưu lượng cho mỗi ngườidùng là riêng biệt

Cung cấp mạch ảo cho người dùng nghĩa là nhà cung cấp dịch vụ đã xâydựng một đường hầm riêng cho dữ liệu người dùng đi qua mạng dùng chung củanhà cung cấp dịch vụ Sau này công nghệ ATM ra đời, về cơ bản ATM cũng hoạtđộng giống như Frame Relay nhưng đáp ứng tốc độ truyền dẫn cao hơn

Người dùng thiết lập việc kết nối giữa các thiết bị đầu phía người dùng

CE với nhau qua kênh ảo Giao thức định tuyến chạy trực tiếp giữa các Routerngười dùng thiết lập mối quan hệ cận kề và trao đổi thông tin định tuyến vớinhau Nhà cung cấp dịch vụ không thể biết đến thông tin định tuyến của ngườidùng trao đổi Nhiệm vụ của nhà cung cấp dịch vụ trong mô hình này chỉ là đảmbảo truyền dữ liệu điểm - điểm giữa các site của người dùng

VPN chồng lấn còn được triển khai dưới dạng đường hầm (Tunneling).Việc triển khai thành công các công nghệ gắn với IP nên một vài nhà cung cấpdịch vụ bắt đầu triển khai VPN qua IP Nếu người dùng nào muốn xây dựngmạng riêng của họ qua mạng công cộng thì có thể dùng giải pháp này là hợp lý

nhất vì chi phí thấp Bên cạnh lý do kinh tế, mô hình đường hầm còn đáp ứngcho người dùng việc bảo mật dữ liệu và thông tin trên đường truyền Hai côngnghệ VPN đường hầm phổ biến là IPSec và Gói định tuyến chung (GRE)

Các nhà cung cấp dịch vụ cam kết về QoS trong mô hình overlay VPNthường là cam kết về băng thông trên một mạch ảo (VC), giá trị này được gọi làtốc độ thông tin ràng buộc (CIR) Băng thông có thể sử dụng được tối đa trênmột kênh ảo đó, giá trị này được gọi là tốc độ thông tin tối đa (PIR) Việc camkết này được thực hiện thông qua các thống kê tự nhiên của dịch vụ lớp 2 nhưnglại phụ thuộc vào chiến lược của nhà cung cấp Điều này có nghĩa là tốc độ camkết không thật sự được bảo đảm mặc dù nhà cung cấp có thể đảm bảo tốc độ lớnnhất Cam kết về băng thông cũng chỉ là cam kết về hai điểm trong mạng ngườidùng Nếu không có ma trận lưu lượng đầy đủ cho tất cả các lớp lưu lượng thìthật khó có thể thực hiện cam kết này cho người dùng trong mô hình overlay Đểlàm được việc này bằng cách tạo ra nhiều kết nối, như trong công nghệ chuyểnmạch khung Frame Relay hay chuyển mạch không đồng bộ ATM là có các mạch

ảo cố định (PVC) giữa các site người dùng Tuy nhiên, kết nối mạng lưới rộng thìchỉ làm tăng thêm chi phí của mạng Nên để cam kết theo lời hứa của mình thìviệc tính toán lưu lượng đường truyền phải cẩn thận, và chính xác nhất

Hình 2.1 Mô hình VPN chồng lấn

Một số ưu điểm của VPN chồng lấn:

Đó là mô hình dễ thực hiện, nhìn theo quan điểm của người dùng và của

cả nhà cung cấp dịch vụ

Nhà cung cấp dịch vụ không tham gia vào định tuyến người dùng trongmạng VPN chồng lấn Nhiệm vụ của họ là vận chuyển dữ liệu điểm - điểm giữacác site của người dùng, việc đánh dấu điểm tham chiếu giữa nhà cung cấp dịch

vụ và người dùng sẽ quản lý dễ dàng hơn

Hạn chế của mô hình VPN chồng lấn:

VPN thích hợp trong các mạng không cần độ dự phòng với ít site trungtâm và nhiều site ở đầu xa, nhưng lại khó quản lý nếu như cần nhiều cấu hình nútkhác nhau

Việc cung cấp càng nhiều mạch ảo đòi hỏi phải có sự hiểu biết sâu sắc vềloại lưu lượng giữa hai site với nhau mà điều này thường không thật sự thíchhợp

Khi thực hiện mô hình này với các công nghệ lớp 2 thì chỉ tạo ra một lớpmới không cần thiết đối với các nhà cung cấp hầu hết chỉ dựa trên IP, dẫn đến sựphải có sự đầu tư lớn trong việc này

• Peer-to-peer VPN

Với những nhược điểm của VPN chồng lấn thì việc đưa ra mô hình VPNngang cấp để khắc phục những nhược điểm đó và chuẩn hoá việc truyền dữ liệuqua mạng đường trục Với mô hình này các nhà cung cấp dịch vụ sẽ tham gia vàohoạt động định tuyến của người dùng Tức là Router biên mạng nhà cung cấp(Provider Edge - PE) thực hiện trao đổi thông tin định tuyến trực tiếp với Router

CE của người dùng

Vùng ở giữa bao gồm tập hợp một hay nhiều nhà cung cấp dịch vụ VPN.Xung quanh là các site tạo nên các kết nối mạng VPN Trong hình này thể hiệnhai mạng VPN là A và B Mỗi site của VPN A kết nối với nhà cung cấp dịch vụVPN thông qua một bộ định tuyến biên khách hàng (CE) Mỗi site có thể có mộthay nhiều bộ định tuyến CE ví dụ như site 1 trong VPN B có hai CE là CE1

B1 và

CE2

B1 còn site 3 trong VPN B chỉ có 1 CE đó là CEB3 Hình vẽ còn thể hiện cácđích có thể truy nhập đến trong mỗi site Về phía nhà sử dụng dịch vụ, mỗi bộđịnh tuyến CE được kết nối đến một bộ định tuyến biên nhà cung cấp dịch vụ(PE)

Hình 2.2 Mô hình VPN ngang cấp

Lưu ý cùng một bộ định tuyến PE có thể kết nối các site thuộc nhiều VPNkhác nhau, hơn nữa các site này có thể sử dụng cùng địa chỉ IP cho các đíchtrong các site (địa chỉ IP phải là duy nhất trong một VPN, tuy nhiên nó khôngnhất thiết phải là duy nhất trong nhiều VPN) Ví dụ như PE2 được kết nối tới cácsite thuộc VPN A (site 2) và VPN B (site 2) Hơn nữa cả hai site này đều sử dụngcùng một miền địa chỉ là 192.168.2.12 cho các đích bên trong chúng Một site cóthể được kết nối tới một hoặc nhiều bộ định tuyến PE, như site 1 của VPN Bđược kết nối tới PE1 và PE2

Bộ định tuyến loại thứ 3 được thể hiện trên hình là bộ định tuyến nhà cungcấp dịch vụ (P) Các bộ định tuyến loại này không kết nối các site của ngườidùng Việc cung cấp băng thông cũng đơn giản hơn bởi vì người dùng chỉ phảiquan tâm đến băng thông đầu vào và ra ở mỗi site mà không cần quan tâm đếntoàn bộ lưu lượng từ site này đến site kia như trong mô hình VPN chồng lấn Khảnăng mở rộng trong mô hình VPN ngang hàng dễ dàng hơn vì nhà cung cấp dịch

vụ chỉ cần thêm vào một site và thay đổi cấu hình trên bộ định tuyến PE Trong

mô hình VPN chồng lấn, nhà cung cấp dịch vụ phải tham gia vào toàn bộ tập hợpcác kênh ảo từ site này đến site khác của site của VPN người dùng Nhà cung cấpdịch vụ có thể triển khai hai hiệu ứng dụng VPN ngang hàng là chia sẽ bộ địnhtuyến dành riêng cho mỗi kênh thuê bao

Mô hình VPN ngang cấp đã giải quyết được các hạn chế của VPN chồnglấn: Việc định tuyến đơn giản hơn khi Router người dùng chỉ trao đổi thông tin

định tuyến với một hoặc một vài Router PE Trong khi ở mô hình chồng lấnVPN, số lượng Router láng giềng có thể phát triển với số lượng lớn

Định tuyến giữa các site người dùng luôn luôn được tối ưu vì nhà cungcấp dịch vụ biết Topology mạng người dùng và do đó có thể thiết lập định tuyếntối ưu cho các Route của họ

Nhà cung cấp dịch vụ triển khai hai ứng dụng khác sử dụng VPN ngangcấp: Phương pháp chia sẻ Router: Router dùng chung, tức là người dùng VPNchia sẽ cùng Router biên mạng nhà cung cấp Ở phương pháp này, nhiều ngườidùng có thể kết nối đến cùng Router PE

Hình 2.3 Mô hình VPN ngang cấp dùng Router chung

Phương pháp chia sẽ bộ định tuyến:

Trong mạng VPN các người dùng sử dụng và cùng chia sẽ một bộ địnhtuyến biên mạng nhà cung cấp PE Ở phương pháp này, nhiều người dùng có thểkết nối đến cùng một bộ định tuyến PE Do đó, trên bộ định tuyến này phải cấuhình một dang sách truy cập mạng (Access List) cho mỗi giao diện PE-CE đểđảm bảo chắc chắn sự cách ly giữa các người dùng VPN Đồng thời ngăn chặnVPN của người dùng này thực hiện các tấn công từ chối dịch vụ DoS (Denial ofServerce) vào VPN của người dùng khác Nhà cung cấp dịch vụ chia các phầntrong không gian địa chỉ của nó cho người dùng và quản lý việc chọn lọc gói tin

trên bộ định tuyến PE Nên việc các nhà cung cấp dịch vụ phải quan tâm và đầu

tư vào vấn để bảo mất dữ liệu của mỗi người dùng

Phương pháp sử dụng bộ định tuyến dành riêng là phương pháp mà mỗingười dùng VPN có bộ định tuyến PE riêng biệt dành riêng Trong phương phápnày, người dùng VPN chỉ truy cập đến các bộ định tuyến trong bảng định tuyến

PE dành riêng mà không ảnh hưởng đến các bộ định tuyến khác trong mạng Mỗi

bộ định tuyến sử dụng một giao thức định tuyến riêng để tạo ra bảng định tuyếncho mỗi VPN Các bảng định tuyến này được tạo ra riêng biệt khác nhau để có sựphân biệt giữa các VPN

Phương pháp dùng chung bộ định tuyến rất khó duy trì vì nó cần phải códải truy nhập dài và phức tạp trên mỗi giao diện của bộ định tuyến Còn trongphương pháp này dùng bộ định tuyến riêng, mặc dù không phức tạp về cấu hình

và dễ duy trì, nhưng nhà cung cấp dịch vụ phải đầu tư lớn để có thể hoạt động tốt

hệ thống của mình và phục vụ tốt nhu cầu của người dùng

Nhưng hạn chế của mô hình VPN ngang hàng là nhà cung cấp dịch vụphải đáp ứng được định tuyến người dùng cho đúng và bảo đảm việc hội tụ củamạng người dùng khi có lỗi liên kết Ngoài ra bộ định tuyến PE của nhà cung cấpdịch vụ phải mang tất cả các tuyến của người dùng

2.2.1 VPN truy nhập từ xa

Những thành phần chính trong mô hình VPN truy nhập từ xa:

Máy chủ của hệ thống truy nhập từ xa (RAS) được đặt tại trung tâm cónhiệm vụ xác nhận và chứng nhận các yêu cầu gửi tới Nó chịu trách nhiệm điềuhành toàn bộ hệ thống thông tin và dữ liệu nhận và gửi qua mạng này

Kết nối nhanh chóng thuận tiện đến trung tâm để lấy dữ liệu một cáchnhanh chóng nhằm giảm được một phần chi phí khi người dùng ở xa trung tâmmáy chủ

Hỗ trợ nhân viên kĩ thuật một phần trong việc cấu hình, bảo trì hệ thống

và quản lý bộ xử lý trung tâm Và hỗ trợ truy cập từ xa bởi người dùng

Khi triển khai VPN truy nhập từ xa, những người dùng truy nhập từ xahoặc các văn phòng đại diện chỉ cần kết nội nội bộ đến nhà cung cấp dịch vụ ISPhoặc ISP’s POP và kết nối đến tài nguyên thông qua mạng Internet Hệ thốngVPN truy nhập từ xa có mô hình dưới đây

Hình 2.4 Mô hình VPN truy nhập từ xa

2.2.2 VPN cục bộ

VPN cục bộ (Intranet VPN) là một dạng cấu hình của VPN điểm tới điểm,

được sử dụng để bảo mật các kết nối giữa các điểm khác nhau của một công ty.VPN liên kết trụ sở chính, các văn phòng, chi nhánh trên một cơ sở hạ tầng

phép tất cả các địa điểm có thể truy nhập an toàn các nguồn dữ liệu được phéptrong toàn bộ mạng công ty.

Hình 2.5 Kiến trúc VPN cục bộ

VPN cục bộ được sử dụng để kết nối đến các chi nhánh văn phòng của tổchức đến nhóm mạng sử dụng Router biên Theo mô hình này sẽ rất tốn kém dophải sử dụng 2 Router để thiết lập được mạng, hơn thế nữa việc triển khai, bảo trì

và quản lý mạng đường trục sẽ rất tốn kém còn tùy thuộc vào lượng lưu thôngtrên mạng đi trên nó và phạm vi địa lý của toàn bộ mạng cục bộ

Ðể giải quyết vấn đề trên, mạng WAN backbone được thay thế bởi các kếtnối Internet với chi phí thấp, điều này có thể một lượng chi phí đáng kể của việctriển khai mạng cục bộ, xem hình bên dưới:

2.2.3 VPN mở rộng

VPN mở rộng (Extranet VPN) được cấu hình như một VPN điểm tớiđiểm, cung cấp đường hầm bảo mật giữa các người dùng, nhà cung cấp và đối tácthông qua hạ tầng mạng công cộng Kiểu VPN này sử dụng các kết nối luônđược bảo mật và không bị cô lập với mạng bên ngoài như các trường hợp VPNcục bộ hay truy nhập từ xa

VPN mở rộng cung cấp khả năng điều khiển truy nhập tới những nguồntài nguyên mạng cần thiết để mở rộng tới những đối tượng người dùng Có sựkhác nhau giữa VPN cục bộ và VPN mở rộng là sự truy nhập mạng được côngnhận ở một trong hai đầu cuối của VPN

Hình 2.6 Mô hình VPN mở rộng

Mạng mở rộng truyền thống rất tốn kém do có nhiều đoạn mạng riêng biệttrên mạng nội bộ kết hợp lại với nhau để tạo ra một mạng mở rộng Ðiều này làmcho khó triển khai và quản lý do có nhiều mạng, đồng thời cũng khó khăn cho cánhân trong công việc bảo trì và quản trị Thêm nữa là mạng mở rộng sẽ dễ mởrộng do điều này sẽ làm rối toàn bộ mạng cục bộ và có thể ảnh hưởng đến các kếtnối bên ngoài mạng Sẽ có những khó khăn có xẩy ra khi kết nối một mạng nội

bộ vào một mạng mở rộng Triển khai và thiết kế một mạng mở rộng có thể làmột điều khó của các nhà thiết kế và quản trị mạng

2.3 Tổng Quan MPLS VPN

2.3.1 Mô hình hệ thống cung cấp dịch vụ MPLS-VPN

MPLS-VPN là một dạng đầy đủ của mô hình ngang cấp MPLS-VPNBackbone và các site người dùng trao đổi thông tin định tuyến lớp 3 và dữ liệuđược chuyển tiếp giữa các site người dùng sử dụng MPLS-VPN Domain giốngnhư VPN truyền thống, gồm mạng của người dùng và mạng của nhà cung cấp

Mô hình MPLS-VPN giống với mô hình Router PE dành riêng trong các dạngthực thi VPN ngang cấp VPN Tuy nhiên vì phải triển khai các Router PE khácnhau cho từng người dùng, lưu lượng người dùng được tách riêng trên cùngRouter PE nhằm cung cấp khả năng kết nối vào mạng của nhà cung cấp cho

VPN là những tập hợp nhiều site chia sẽ cùng thông tin định tuyến chung.Mỗi site có thể thuộc nhiều hoặc hơn một VPN khác nhau, nếu nó nắm giữ cáctuyến từ mỗi VPN riêng Điều này cung cấp khả năng xây dựng các VPN nội bộ,

mở rộng cũng như các VPN truy nhập từ xa Các site của VPN thuộc về mộtcông ty thì VPN đó được gọi là VPN cục bộ, còn nếu các site của VPN thuộc vềnhững công ty khác thì được gọi là VPN mở rộng Một mô hình hệ thống cungcấp dịch vụ MPLS-VPN được minh hoạ như hình dưới đây

Hình 2.7 Hệ thống cung cấp dịch vụ MPLS-VPN

Những thành phần cơ bản trong công nghệ MPLS-VPN bao gồm:

Mạng lõi IP-MPLS được quản lý bởi nhà cung cấp dịch vụ

Bộ định tuyến lõi của mạng nhà cung cấp

Bộ định tuyến của mạng cung cấp thông tin định tuyến của người dùng vàthực hiện đáp ứng dịch vụ cho người dùng từ phía nhà cung cấp dịch vụ

Bộ định tuyến biên của các hệ thống tự trị độc lập AS, thực hiện vai tròkết nối với các hệ thống tự trị độc lập khác Những hệ thống tự trị độc lập này cóthể có cùng hoặc khác nhau nhà điều hành

Mạng người dùng, là mạng để truy cập tới mạng lõi

Bộ định tuyến người dùng, đóng vai trò là cầu nối giữa mạng người dùng

và mạng nhà cung cấp Những bộ định tuyến này có thể được quản trị bởi ngườidùng hoặc nhà cung cấp dịch vụ

2.3.2 Mô hình bộ định tuyến biên nhà cung cấp dịch vụ

Thành phần quan trọng khi triển khai MPS-VPN là các thiết bị định tuyếnbiên PE trong MPLS-VPN có cấu trúc giống như kiến trúc VPN ngang hàngdùng chung bộ định tuyến chia sẽ, chỉ có sự khác biệt là toàn bộ mọi thứ đượctập trung trong thiết bị vật lý được mô tả dưới đây:

Hình 2.8 Mô hình Bộ định tuyến PE

Theo mô hình trên mỗi người dùng đăng kí một bảng định tuyến độc lậpgọi là bảng định tuyến ảo, tương ứng với một bộ định tuyến ảo như trong môhình VPN ngang hàng Mỗi bộ định tuyến ảo cho phép nhiều site của người dùngcùng kết nối tới nó Việc định tuyến qua mạng của nhà cung cấp dịch vụ đượcthể hiện bởi một tiến trình định tuyến khác, sử dụng bảng định tuyến toàn cục

2.3.3 Mô hình bảng định tuyến và chuyển tiếp ảo

Sự kết hợp giữa bảng định tuyến và bảng chuyển tiếp VPN tạo thành mộtbảng định tuyến chuyển tiếp ảo VRF (Vitual Routing and Forwarding) Mỗi VPNđều có bảng định tuyến và chuyển tiếp riêng của nó trong bộ định tuyến PE, vàmỗi bộ định tuyến PE duy trì một hoặc nhiều bảng VRF Mỗi site mà có bộ địnhtuyến PE nối vào đó sẽ liên kết với một trong các bảng này Địa chỉ đích IP củamột gói tin chỉ được kiểm tra trong bảng VRF mà nó thuộc về nếu gói tin nàyđến trực tiếp từ site tương đương với bảng VRF đó Mỗi VRF đơn giản chỉ là

một tập hợp các tuyến thích hợp cho mỗi site nào đó Kết nối đến bộ định tuyến

PE Các tuyến này có thể thuộc về một hoặc nhiều VPN

Nếu một site thuộc về nhiều VPN, bảng chuyển tiếp tương ứng với site đó

có thể có nhiều tuyến liên quan đến VPN mà nó phụ thuộc PE chỉ duy trì mộtbảng VPF cho một site Các site khác nhau có thể chia sẻ cùng một bảng VPFnếu sử dụng tập hợp các tuyến một cách chính xác như trong bảng VRF đó Nếutất cả các site có thông tin định tuyến giống nhau thường ở cùng một VPN, thìchúng sẽ được phép liên lạc trực tiếp với nhau, và nếu kết nối đến cùng một bộđịnh tuyến PE thì chúng sẽ đặt vào cùng một bảng VRF chung

Bộ định tuyến PE nhận được gói tin từ một site nối trực tiếp với nó, nhưngđịa chỉ đích của gói tin không có trong tất cả các thực thể của bảng chuyển tiếptương ứng với site đó Nếu nhà cung cấp dịch vụ không cung cấp khả năng truynhập Internet cho site đó thì gói tin sẽ bị loại bỏ vì không thể phân phối được đếnđích Nhưng nếu nhà cung cấp dịch vụ có hỗ trợ truy nhập Internet cho site đó thìlúc này địa chỉ đích của gói tin sẽ được tìm kiếm trong bảng định tuyến toàn cục

Do đó bất kì bộ định tuyến PE nào trong mạng MPLS-VPN cũng đều có nhiềubảng định tuyến trên mỗi VRF và một bảng định tuyến toàn cục Bảng định tuyếnnày được sử dụng để tìm các bộ định tuyến khác trong mạng nhà cung cấp dịch

vụ cũng như các đích thuộc về mạng bên ngoài như Internet

Nói tóm lại VRF được sử dụng cho một site VPN hoặc cho nhiều site kếtnối đến cùng một bộ định tuyến PE miễn sao là nhưng site này chia sẽ chính xáccác yêu cầu kết nối giống nhau Do đó cấu trúc của bảng định tuyến của bảngVRF bao gồm:

+ Bảng định tuyến IP

+ Bảng chuyển tiếp

+ Tập hợp các quy tắc và các tham số giao thức định tuyến

2.4 Các mô hình MPLS-VPN

2.4.1 Mô hình mạng riêng ảo tầng 2 (L2VPN)

Mô hình mạng riêng ảo lớp 2 được phát triển và hoàn thiện và đang đượcchuẩn hoá và đang được dần hoàn thiện L2VPN hướng tới việc triển khai cácđường hầm qua mạng MPLS để thực hiện các kiểu lưu lượng khác nhau

Trong chuẩn xây dựng L2VPN có hai dạng cơ bản là:

Điểm tới điểm: là công nghệ thiết lập đường dẫn chuyển mạch ảo quamạng công cộng trên nền tảng công nghệ MPLS

Điểm tới đa điểm: Được triển khai và cấu hình mắt lưới và phân cấp

Mô hình L2VPN đa điểm dự trên nguyên tắc mạng LAN ảo và công nghệtruy nhập Ethernet đã được triển khai rộng rãi Giải pháp này cho phép chúngliên kết các mạng Ethernet qua cơ sở hạ tầng MPLS trên cở sở nhận dạng lớp 2,

vì vậy nên có thể giảm được độ phức tạp của bảng định tuyến ở lớp 3 Trong môhình này các bộ định tuyến biên người dùng và bộ định tuyến biên nhà cung cấpdịch vụ không nhất thiết phải coi là ngang hàng Thay vào đó chỉ cần kết nối lớp

2 giữa các bộ định tuyến này Bộ định tuyến biên nhà cung cấp dịch vụ chuyểnmạch các luồng lưu lượng vào trong các đường hầm đã được cấu hình trước tớicác bộ định tuyến biên nhà cung cấp dịch vụ khác

Hình 2.9 Mô hình mạng MPLS L2VPN

Mạng riêng ảo tầng 2 có khả năng tìm kiếm qua mặt dữ liệu bằng địa chỉhọc được từ bộ định lân cận L2VPN sử dụng ngăn xếp nhãn tương tự như trongcác giao thức khác Nhãn trong MPLS bên ngoài được sử dụng để xác địnhđường dẫn cho lưu lượng qua miền MPLS, còn nhãn kênh ảo nhận dạng cácmạng LAN ảo, VPN hoặc kết nối tại các điểm cuối Trong trường hợp nhãn tuỳchọn sử dụng để điều khiển đóng các kết nối lớp 2 được đặt trong cùng ngăn xếp

L2VPN có ưu điểm quan trọng là cho phép các giao thức lớp cao đượctruyền trong suốt với MPLS Nó có thể hoạt động trên hầu hết các công nghệ lớp

2 như ATM, Ethernet và mở rộng ra các khả năng thích hợp các mạng phi kết nối

IP với các mạng định hướng kết nối Ngoài ra trong giải pháp này người ta sửdụng được đầu cuối không cần phải cấu hình định tuyến cho các bộ định tuyếnbiên người dùng

Một cấu hình đầy đủ cho các LSP phải được sử dụng để kết nối các VPNtrong mạng Mạng riêng ảo lớp 2 không có khả năng tự động định tuyến giữa cácsite Nên tuỳ thuộc vào cấu hình mạng MPLS và nhu cầu thực tế mà có thể lựachọn một trong nhưng mô hình trên để thực hiện

2.4.2 Mô hình mạng riêng ảo lớp ba (L3VPN)

Cấu tạo của mô hình mạng riêng ảo lớp ba (L3VPN) được chia thành hailớp, tương ứng với các lớp 3 và lớp 2 của mô hình OSI L3VPN dựa trên RFC

2547 bit, mở rộng một số đặc tính cần thiết của giao thức cổng biên BGP và tậptrung vào hướng đa giao thức của BGP nhằm chia sẽ thông tin định tuyến quamạng lõi của nhà cung cấp dịch vụ cũng như là chuyển tiếp các lưu lượng VPNqua lõi

Trong mô hình L3VPN, các bộ định tuyến người dùng và của nhà cungcấp dịch vụ được coi là ngang hàng Bộ định tuyến biên người dùng gửi thông tinđịnh tuyến tới bộ định tuyến và chuyển tiếp ảo VRF Người dùng VPN chỉ đượcphép truy nhập tới các site hoặc máy chủ trong cùng một mạng riêng này Bộđịnh tuyến biên nhà cung cấp dịch vụ còn hỗ trợ các bảng định tuyến thôngthường nhằm chuyển lưu lượng thông tin của người dùng qua mạng công cộng.Dưới đây là kiến trúc của mô hình mạng riêng ảo lớp 3 trên nền tảng MPLS

Các gói tin IP qua miền MPLS được gắn hai loại nhãn đó là nhãn MPLSchỉ đường dẫn chuyển mạch nhãn LSP và nhãn chỉ thị định tuyến chuyển mạch

ảo VRF Ngăn xếp nhãn được tạo lập để xử lý LSP để chuyển các gói tin quaMPLS Nhãn VRF chỉ được xử lý tại thiết bị định tuyến biên nhà cung cấp dịch

vụ PE nối với bộ định tuyến người dùng

Hình 2.10 Mô hình mạng riêng ảo tầng 3 (L3VPN)

Kiến trúc mạng riêng ảo lớp 3 có những ưu điểm là vùng địa chỉ ngườidùng được quản lý bởi các nhà khai thác, do đó nó cho phép đơn giản hoá việctriển khai kết nối với nhà cung cấp dịch vụ L3VPN còn cung cấp khả năng địnhtuyến động phân phối các thông tin định tuyến tới các bộ định tuyến VPN Tuynhiên L3VPN chỉ hỗ trợ các lưu lượng IP hoặc lưu lượng đóng gói vào gói tin IP.Việc tồn tại hai bảng định tuyến tại các thiết bị biên mạng cũng là một vấn đềphức tạp trong việc khả năng mở rộng hệ thống thiết bị

2.5 Hoạt động của MPLS-VPN

2.5.1 Truyền tải gói tin định tuyến

Các bộ định tuyến PE cần phải trao đổi thông tin trong các bảng địnhtuyến ảo để đảm bảo việc định tuyến dữ liệu giữa các site người dùng kết nối vớinhững bộ định tuyến này Giao thức định tuyến để truyền thông tin của tất cả cáctuyến người dùng dọc theo mạng nhà cung cấp dịch vụ mà vẫn duy trì đượckhông gian địa chỉ độc lập giữa các người dùng với nhau

Một biện pháp được đưa ra dự trên cơ sở sử dụng giao thức định tuyếnriêng cho mỗi người dùng Các bộ định tuyến PE có thể kết nối thông qua cácđường hầm điểm tới điểm, hoặc là bộ định tuyến P của nhà cung cấp dịch vụ cóthể tham gia vào quá trình định tuyến của người dùng Những khó khăn này liênquan đến việc các bộ định tuyến PE phải xử lý một số lượng giao thực địnhtuyến, còn bộ định tuyến P thì phải lưu thông tin của tất cả các tuyến người dùng

Giải pháp khác dựa trên việc triển khai một giao thức định tuyến để traođổi thông tin của tất cả các tuyến người dùng dọc theo mạng nhà cung cấp dịch

vụ Giải pháp này nhiều ưu điểm hơn nhưng bộ định tuyến P vẫn tham gia vào bộđịnh tuyến người dùng, do đó vẫn không giải quyết được vấn đề mở rộng

Giải pháp tối ưu hơn là việc truyền gói tin định tuyến người dùng sẽ domột giao thức riêng định tuyến giữa các bộ định tuyến PE thực hiện, còn các bộđịnh tuyến P không tham gia vào quá trình định tuyến này Giải pháp này manglại hiệu quả cao vì nó có khả năng mở rộng do số lượng giao thức định tuyếngiữa các bộ định tuyến PE không tăng khi tăng số lượng người dùng, đồng thời

bộ định tuyến P cũng không mang thông tin về các tuyến người dùng khi sốlượng người dùng quá lớn, giao thức định tuyến được lựa chọn để sử dụng làBGP vì giao thức này có thể hổ trợ số lượng lớn các định tuyến BGP được thiếtlập để trao đổi thông tin định tuyến giữa các bộ định tuyến không kết nối trựctiếp, và hỗ trợ việc lưu giữ thông tin định tuyến tại các thiết bị biên mà không cầnphải trao đổi với các bộ định tuyến lõi của mạng nhà cung cấp dich vụ

2.5.2 Địa chỉ VPN-IP trong mạng riêng ảo

Khi sử dụng giao thức BGP để định tuyến để chuyển tải gói tin ngườidùng qua Router biên nhà cung cấp dịch vụ phải truyền nhiều thông tin xác địnhkhác nhau qua nó Giao thức định tuyến BGP đã sử dụng và đua vào địa chỉ IP đểxác định đích đến của gói tin, mỗi người dùng phải có một không gian địa chỉriêng để BGP có thể định tuyến đúng hướng cho gói tin Để có tài nguyên địa chỉrộng lớn tránh khỏi sự trùng lặp địa chỉ thì việc mở rộng địa chỉ IP là một việclàm bắt buộc khi mô hình mạng được mở rộng Vấn đề được khắc phục khi mởrộng mô hình mạng khi người dùng tăng lên là mỗi bộ định tuyến sẽ được BGP

sử dụng duy nhất trong bảng định tuyến ảo VRF Việc mở rộng tiền tố địa chỉ đãĐưa ra một khái niệm địa chỉ VPN-IP, địa chỉ này chính là sự nối ghép địa chỉ IPcủa gói tin có độ dài là 32 bits và trường phân biệt tuyến (RD) có độ dài 64 bits.Trong trường hợp các gói tin có địa chỉ IP trùng nhau thì trường phân biệt tuyến

sẽ được có nhiệm vụ phân biệt các gói tin Trường phân biệt địa chỉ này được tạo