Giải pháp cho mạng riêng ảo sử dụng đa giao thức mpls

IPSec Internet Protocol Security Giao thức IP bảo mật ISDN Integrated Services Digital Network Mạng số liên kết đa dịch vụ ISP Internet Service Provider Nhà cung cấp dịch vụ L2TP Layer 2

BỘ GIÁO DỤC VÀ ĐÀO TẠO

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TP HCM

-

NGUYỄN QUỐC VIỆT

GIẢI PHÁP CHO MẠNG RIÊNG ẢO

SỬ DỤNG ĐA GIAO THỨC MPLS

LUẬN VĂN THẠC SĨ

Chuyên ngành: Công nghệ thông tin

Mã số ngành: 60480201

BỘ GIÁO DỤC VÀ ĐÀO TẠO

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TP HCM

-

NGUYỄN QUỐC VIỆT

GIẢI PHÁP CHO MẠNG RIÊNG ẢO

CÔNG TRÌNH ĐƯỢC HOÀN THÀNH TẠI

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TP HCM

Cán bộ hướng dẫn khoa học: TS Cao Tùng Anh

Luận văn Thạc sĩ được bảo vệ tại Trường Đại học Công nghệ TP HCM

ngày 19 tháng 11 năm 2017

Thành phần Hội đồng đánh giá Luận văn Thạc sĩ gồm:

1 TS Nguyễn Thị Thúy Loan Chủ tịch

3 TS Nguyễn Hà Giang Phản biện 2

5 TS Lê Thị Ngọc Thơ Ủy viên, Thư ký

Xác nhận của Chủ tịch Hội đồng đánh giá Luận sau khi Luận văn đã được

sửa chữa

Chủ tịch Hội đồng đánh giá LV

TS Nguyễn Thị Thúy Loan

NHIỆM VỤ LUẬN VĂN THẠC SĨ

Họ tên học viên: Nguyễn Quốc Việt Giới tính: Nam

Ngày, tháng, năm sinh: 06/07/1989 Nơi sinh: Bình Thuận

Chuyên ngành: Công nghệ thông tin MSHV: 1341860057

I- Tên đề tài:

Giải pháp cho mạng riêng ảo sử dụng đa giao thức MPLS

II- Nhiệm vụ và nội dung:

Đưa ra những cơ sở lý thuyết và hướng tiếp cận về mạng riêng ảo MPLS

VPN và các vấn đề của chất lượng dịch vụ QoS trong môi trường MPLS VPN

Từ đó sẽ tiến hành xây dựng mô hình thử nghiệm chất lượng vụ từ điểm đầu

đến điểm cuối để so sánh kết quả khi áp dụng và không áp dụng mô hình chất

lượng dịch vụ trong mạng MPLS VPN

III- Ngày giao nhiệm vụ: / /201

IV- Ngày hoàn thành nhiệm vụ: 20 / 08 /2017

V- Cán bộ hướng dẫn: TS Cao Tùng Anh

CÁN BỘ HƯỚNG DẪN KHOA QUẢN LÝ CHUYÊN NGÀNH

(Họ tên và chữ ký) (Họ tên và chữ ký)

TS Cao Tùng Anh

LỜI CAM ĐOAN

Tôi xin cam đoan đây là công trình nghiên cứu của riêng tôi Các số liệu, kết quả nêu trong Luận văn là trung thực và chưa từng được ai công bố trong bất kỳ công trình nào khác

Tôi xin cam đoan rằng mọi sự giúp đỡ cho việc thực hiện Luận văn này

đã được cảm ơn và các thông tin trích dẫn trong Luận văn đã được chỉ rõ nguồn gốc

Học viên thực hiện Luận văn

(Ký và ghi rõ họ tên)

Nguyễn Quốc Việt

LỜI CÁM ƠN

Tôi xin gởi lời cảm ơn chân thành và sâu sắc nhất đến TS Cao Tùng Anh Thầy

đã tận tình hướng dẫn tôi trong suốt thời gian thực hiện đề cương và luận văn cao học, tạo mọi điều kiện để tôi có thể hoàn thành tốt luận văn này

Tôi xin gởi lời biết ơn chân thành đến các Thầy Cô trong khoa Công nghệ thông tin trường đại học Công Nghệ Thành Phố Hồ Chí Minh Các thầy cô đã tận tình chỉ dạy, trang bị cho tôi những kiến thức quý báu trong suốt thời gian tôi học cao học tại trường

Tôi xin gởi lời cảm ơn đến gia đình, bạn bè và các đồng nghiệp nơi tôi công tác

đã động viên và tạo mọi điều kiện thuận lợi giúp tôi hoàn thành luận văn

Mặc dù đã cố gắng để có thể hoàn thành tốt nhất luận văn trong khả năng cho phép, nhưng chắc chắn luận văn sẽ không tránh khỏi những thiếu sót, kính mong nhận được sự chỉ bảo tận tình của quý Thầy Cô và các bạn

Học Viên

Nguyễn Quốc Việt

TÓM TẮT

Công nghệ MPLS được tổ chức quốc tế IETF chính thức đưa ra vào cuối năm

1997, đã phát triển nhanh chóng trên toàn cầu Công nghệ mạng riêng ảo MPLS VPN đã đưa ra một ý tưởng khác biệt hoàn toàn so với công nghệ truyền thống và

nó đang ngày càng trở nên phổ biến trong nền công nghiệp viễn thông

Các khách hàng doanh nhiệp đang dần hướng tới những nhà cung cấp dịch vụ có triển khai ứng dụng MPLS VPN QoS là một thành phần rất quan trọng trong các mạng khách hàng

Mục đích của luận văn là nghiên cứu những kiến thức về công nghệ mạng riêng

ảo MPLS VPN, các vấn đề kỹ thuật cơ bản của việc thực thi QoS trong MPLS VPN đồng thời xây dựng mô hình thử nghiệm mô hình mạng có quy mô nhỏ để kiểm nghiệm các kết quả nghiên cứu lý thuyết

ABSTRACT

MPLS technology was officially deployed by the IETF International in late

1997, then grown rapidly around the globe MPLS technology has come up with a completely different idea than traditional technology and it is more and more popular in the telecommunications industry

Business customers are increasingly turning to the providers deploying MPLS VPN QoS is a very important component in customer networks

The purpose of this thesis is to study the knowledge of MPLS VPN, the basic technical issues of implementing QoS in MPLS VPN as well as to build a small scale experimental network model to test the results of the theoretical research

MỤC LỤC

LỜI CAM ĐOAN i

LỜI CÁM ƠN ii

TÓM TẮT iii

ABSTRACT iv

MỤC LỤC v

DANH MỤC CÁC TỪ VIẾT TẮT viii

DANH MỤC HÌNH xi

MỞ ĐẦU 1

CHƯƠNG 1 TỔNG QUAN VỀ ĐỀ TÀI 2

1.1 Mục tiêu của đề tài 2

1.2 Cấu trúc đề tài 2

1.3 Các nghiên cứu liên quan 4

1.3.1 Tình hình nghiên cứu thế giới 4

1.3.2 Tình hình trong nước 4

Nhận xét 5

CHƯƠNG 2: CƠ SỞ LÝ THUYẾT 6

2.1 Công nghệ MPLS 6

2.1.1 Giới thiệu tổng quan về MPLS 6

2.1.2 Các khái niệm cơ bản trong MPLS 7

2.1.2.1 Miền MPLS 7

2.1.2.2 Lớp chuyển tiếp tương đương FEC 8

2.1.2.3 Nhãn và ngăn xếp nhãn 9

2.1.2.4 Đường chuyển mạch nhãn LSP (Label Switched Path) 9

2.1.3 Nhãn và chế độ đóng gói nhãn 10

2.1.4 Kiến trúc một nút MPLS 11

2.1.5 Giao thức phân phối nhãn 12

2.1.5.1 Hoạt động của giao thức phân phối nhãn 12

2.1.6 Phương thức hoạt động của MPLS 18

2.1.7 Ưu điểm và ứng dụng của MPLS 18

2.1.7.1 Ưu điểm của MPLS 18

2.1.7.2 Các ứng dụng của MPLS 19

2.2 Công nghệ VPN dựa trên MPLS 20

2.2.1 Khái niệm VPN 20

2.2.2 Mô hình VPN 20

2.2.3 So sánh VPN truyền thống và MPLS VPN 21

2.2.3.1 VPN truyền thống 21

2.2.3.2 MPLS VPN 22

2.2.4 Các mô hình MPLS - VPN 23

2.2.4.1 Mô hình mạng riêng ảo lớp 3 24

2.2.4.2 Mô hình mạng riêng ảo lớp 2 24

2.2.5 Kiến trúc tổng quan của MPLS-VPN 26

2.2.5.1 Virtual Routing and Forwarding Table - VRF 26

2.2.5.2 Route Distinguisher - RD 27

2.2.5.3 Route Target - RT 28

2.2.6 Định tuyến VPNv4 trong mạng MPLS-VPN 29

2.2.7 Chuyển tiếp gói tin trong mạng MPLS-VPN 30

2.2.8 Bảo mật trong MPLS-VPN 32

2.2.8.1 Tách biệt các VPN 32

2.2.8.2 Chống lại các tấn công 33

Nhận xét 35

2.3 Các mô hình đảm bảo chất lượng dịch vụ áp dụng trên nền MPLS - VPN 36

2.3.1 Chất lượng dịch vụ - QoS và các độ đo 36

2.3.2 Các mô hình đảm bảo QoS 37

2.3.2.1 Mô hình Best-Effort 37

2.3.2.2 Mô hình IntServ 37

2.3.2.3 Mô hình DiffServ 39

2.3.2.4 So sánh hai mô hình DiffServ và IntServ 41

2.3.3 Áp dụng mô hình DiffServ với gói tin IP 42

2.3.3.1 Cơ chế QoS áp dụng trên gói tin 42

2.3.3.2 Áp dụng QoS với gói tin IP 49

2.3.4 Áp dụng mô hình DiffServ cho MPLS-VPN 51

2.3.4.1 Tổng quan về QoS cho MPLS-VPN 51

2.3.4.2 DiffServ trong gói tin MPLS 51

2.3.4.3 Các mô hình đường hầm DiffServ trong MPLS 54

2.3.5 Thiết kế QoS cho MPLS-VPN 58

2.3.5.1 Một số nguyên tắc thiết kế 58

2.3.5.2 Mô hình lớp dịch vụ của nhà cung cấp dịch vụ khuyến nghị 59

2.3.5.3 Các chế độ đường hầm DiffServ trong MPLS 60

2.3.5.4 Ánh xạ lưu lượng giữa khách hàng và nhà cung cấp dịch vụ 61

Nhận xét 64

CHƯƠNG 3 HỆ THỐNG MÔ PHỎNG ĐỀ NGHỊ 65

3.1 Đặt vấn đề 65

3.2 Mô hình và kịch bản mô phỏng 65

3.3 Cấu hình cho kịch bản mô phỏng 67

3.4 Kết quả mô phỏng 68

3.4.1 Kết quả cấu hình MPLS VPN 68

3.4.2 Trước khi thực hiện QoS 74

3.4.3 Sau khi thực hiện QoS 75

KẾT LUẬN 77

TÀI LIỆU THAM KHẢO 78

DANH MỤC CÁC TỪ VIẾT TẮT

AF Assured Forwarding Chuyển tiếp đảo bảo

ATM Asynchronous Transfer Mode Phương thức truyền dẫn không đồng

bộ

AS Autonomous System Hệ thống tự trị

BGP Border Gateway Protocol Giao thức cổng đường biên

CBWFQ Class-Base Weighted Fair

CPE Customer Premisses Equipment Thiết bị nhà thuê bao

CoS Class of Service Lớp dịch vụ

DSCP Differentiated Service Code

Point

Điểm mã dịch vụ phân biệt

EF Expedited Forwarding Chuyển tiếp nhanh

ESP Encapsualating Security Payload Phương thức đóng gói bảo mật tải tin FEC Forwarding Equivalence Class Lớp chuyển tiếp tương đương

FIB Forwarding Infomation Base Cơ sở dữ liệu chuyển tiếp

GRE Generic Prouting Encapsulation Giao thức mã hóa dữ liệu

IETF Internet Engineering Task Force Tổ chức chuyên trách về kỹ thuật

Internet IGP Interior Gateway Protocol Giao thức định tuyến nội vùng

IKE Internet Key Exchange Phương thức trao đổi khóa Internet

IP Internet Protocol Giao thức liên mạng

IPSec Internet Protocol Security Giao thức IP bảo mật

ISDN Integrated Services Digital

Network

Mạng số liên kết đa dịch vụ

ISP Internet Service Provider Nhà cung cấp dịch vụ

L2TP Layer 2 Tunnel Protocol Giao thức đường hầm lớp 2

L2F Layer 2 Forwarding Giao thức chuyển tiếp lớp 2

LAN Local Area Network Mạng cục bộ

LDP Label Distribution Protocol Giao thức phân phối nhãn

LER Label Edge Router Router chuyển mạch nhãn biên LFIB Label Forwarding Information

Base

Cơ sở dữ liệu nhãn chuyển tiếp

LIB Lable Information Base Cơ sở dữ liệu nhãn

LLQ Low Latency Queueing Hàng đợi có độ trễ thấp

LSR Label Switching Router Router chuyển mạch nhãn

MPLS Multiprotocol Label Switching Chuyển mạch nhãn đa giao thức UDP User Datagram Protocol Giao thức gói dữ liệu người dùng

Giao thức đường hầm điểm điểm

QoS Quality of Service Chất lượng dịch vụ

RD Route Distinguisher Định tuyến phân biệt

RIB Routing Information Base Cơ sở thông tin định tuyến

RFC Request For Comment Tập hợp những tài liệu về kiến nghị RSVP Resource Reservation Protocol Giao thức dành riêng tài nguyên SVC Switched Virtual Circuit Kênh ảo chuyển mạch

TCP Transmission Control Protocol Giao thức điều khiển truyền dẫn

TE Tranffic Engineering Điều khiển lưu lượng

VCI/VPI Virtual Channer Indentifier

/Virtual Path Indentifier

Thông số truyền dẫn

VPN Virtual Private Network Mạng riêng ảo

VRF Virtual Routing and Forwarding Bảng định tuyến và chuyển tiếp ảo WAN Wide Area Network Mạng diện rộng

WFQ Weighted Fair Queuing Cơ chế quản lý nghẽn

DANH MỤC HÌNH

Hình 2.1 Miền MPLS 7

Hình 2.2 Upstream và Downstream LSR 8

Hình 2.3 Lớp chuyển tiếp tương đương trong mạng MPLS 8

Hình 2.4 Ngăn xếp nhãn 9

Hình 2.5 Đường chuyển mạch nhãn 10

Hình 2.6 Cấu trúc nhãn MPLS 10

Hình 2.7 Kiến trúc một nút MPLS 11

Hình 2.8 Vùng hoạt động của LDP 12

Hình 2.9 Quá trình xây dựng bảng định tuyến 16

Hình 2.10 Quá trình gán nhãn 16

Hình 2.11 Quá trình phân phối nhãn 16

Hình 2.12 Cập nhật thông tin vào bảng LIB 17

Hình 2.13 Quảng bá nhãn 17

Hình 2.14 Hoàn thành việc thiết lập LSP 17

Hình 2.15 Mô hình phân tách dựa vào VRF trong MPLS VPN 23

Hình 2.16 Mô hình MPLS Layer 3 VPN 24

Hình 2.17 Mô hình mạng riêng ảo lớp 2 25

Hình 2.18 Truyền bá tuyến trong mạng MPLS VPN 30

Hình 2.19 Mô hình nguyên lý hoạt động của mô hình IntServ 39

Hình 2.20 Hàng đợi trong router 44

Hình 2.21 Priority Queuing (PQ) 45

Hình 2.22 Tiến trình gởi gói tin của CBWFQ 46

Hình 2.23 Các trường của header IP 49

Hình 2.24 Trường ToS 49

Hình 2.25 Trường DiffServ 49

Hình 2.26 Ánh xạ giữa PHB và DSCP 50

Hình 2.27 Mức độ ưu tiên loại bỏ gói của các lớp AF 50

Hình 2.29 Quy luật thực thi QoS 1 52

Hình 2.30 Quy luật thực thi QoS 2 53

Hình 2.31 Quy luật thực thi QoS 3 53

Hình 2.32 Quy luật thực thi QoS 4 53

Hình 2.33 Quy luật thực thi QoS 5 54

Hình 2.34 Mô hình ống 56

Hình 2.35 Mô hình ống ngắn 56

Hình 2.36 Mô hình đồng nhất 57

Hình 3.1 Mô hình mô phỏng 65

Hình 3.2 Thông tin interface cấu hình MPLS 69

Hình 3.3 Thông tin trạng thái phân phối nhãn LDP 69

Hình 3.4 Thông tin MPLS router R2 70

Hình 3.5 Thông tin MPLS router R3 70

Hình 3.6 Thông tin MPLS router R4 70

Hình 3.7 Thông tin bảng định tuyến nhãn router R2 71

Hình 3.8 Thông tin bảng định tuyến nhãn router R3 71

Hình 3.9 Thông tin bảng định tuyến nhãn router R4 71

Hình 3.10 Thông tin bảng định tuyến tại router khách hàng 72

Hình 3.11 Kiểm tra kết nối từ máy tính Server 72

Hình 3.12 Kiểm tra kết nối từ máy tính Client 73

Hình 3.13 Tại máy Client tạo các luồng dữ liệu 73

Hình 3.14 Lưu lượng mạng khi chưa QoS 74

Hình 3.15 Lưu lượng mạng UDP và TCP chưa QoS 74

Hình 3.16 Chi tiết lưu lượng UDP 74

Hình 3.17 Chi tiết lưu lượng TCP 75

Hình 3.18 Lưu lượng mạng khi thực hiện QoS 75

Hình 3.19 Lưu lượng mạng UDP và TCP khi thực hiện QoS 75

Hình 3.20 Chi tiết lưu lượng UDP 76

MỞ ĐẦU

MPLS VPN (Multiprotocol Label Switching Virtual Private Network) là một lựa chọn mới cho mạng diện rộng WAN (Wide Area Network) Nó đang ngày càng được trở nên phổ biến trong nền công nghiệp viễn thông Các khách hàng doanh nghiệp đang dần hướng tới những nhà cung cấp dịch vụ có triển khai ứng dụng MPLS VPN Lý do chính cho sự thay đổi này nằm ở việc MPLS (Multiprotocol Label Switching) có khả năng cung cấp sẵn các tính năng bảo mật và các kết nối đa điểm tới đa điểm

Mạng doanh nghiệp thường có nhiều loại lưu lượng như thoại, hình và dữ liệu đi qua một hạ tầng mạng duy nhất QoS (Quality of Service) là một thành phần rất quan trọng trong mạng khách hàng Nó sẽ là cơ sở để nhà cung cấp dịch vụ và khách hàng duy trì một chất lượng dịch vụ ổn định cho các lưu lượng hình, tiếng và

dữ liệu chạy qua môi trường này

Để đạt được chất lượng dịch vụ từ điểm đầu tới điểm cuối một cách ổn định, nhà cung cấp dịch vụ và khách hàng doanh nghiệp phải làm việc với nhau một cách chặt chẽ đồng thời chia sẻ các chính sách giống nhau bởi vì nhà cung cấp dịch vụ tham gia vào định tuyến của khách hàng trong môi trường MPLS VPN

CHƯƠNG 1 TỔNG QUAN VỀ ĐỀ TÀI 1.1 Mục tiêu của đề tài

Hiện nay có khá nhiều công nghệ mạng mới ra đời nhằm mục đích truyền thông tin một cách an toàn trên internet và nỗi bật nhất chính là MPLS VPN Đề tài ngoài việc phân tích, nghiên cứu cấu trúc, cách thức hoạt động của mạng MPLS nói chung, còn đi sâu vào nghiên cứu cách thức truyền gói tin trong mạng MPLS VPN

từ địa chỉ nguồn đến địa chỉ đích ở các khu vực khác nhau một cách an toàn

Sau khi truyền được thông tin qua mạng VPN trên nền tảng MPLS một vấn đề đặt ra là phải đảm bảo chất lượng dịch vụ cho các dữ liệu truyền qua nó Đề tài này

sẽ trình bày một cách rõ ràng về các cơ chế QoS cho mạng IP (Internet Protocol) và cách thức thực thi nó trên mạng MPLS VPN như thế nào Đồng thời sẽ phân tích thử nghiệm tính năng QoS trên mạng MPLS VPN trong một mô hình mô phỏng với các thiết bị và dữ liệu gần với thực tế để người đọc có được cái nhìn trực quan cũng như kiểm nghiệm được tính đúng đắn của lý thuyết

1.2 Cấu trúc đề tài

Với mục tiêu đề tài đã được đặt ra là nghiên cứu về lý thuyết và triển khai mô hình mô phỏng hệ thống mạng MPLS VPN và thử nghiệm tính năng QoS trên hệ thống mạng này Nội dung luận văn được chia thành 3 chương với cấu trúc như sau:

Phần mở đầu: Giới thiệu về lý do chọn đề tài

Chương 1: Tổng quan về đề tài

Trong chương này, tôi sẽ giới thiệu mục tiêu của đề tài và cấu trúc luận văn Đồng thời trong chương này tôi sẽ khảo sát các phương pháp mà công trình đã đăng tải liên quan đến đề tài luận văn áp dụng, liệt kê những vấn đề còn tồn tại, qua đó giới thiệu hướng tiếp cận của đề tài luận văn

Chương 2: Cơ sở lý thuyết

Giới thiệu tổng quan công nghệ MPLS, các khái niệm cơ bản, kiến trúc chức năng và cơ chế hoạt động của MPLS

Trình bày khái niệm, các mô hình QoS, QoS trong mạng MPLS VPN; trình bày công nghệ MPLS VPN

Chương 3: Hệ thống mô phỏng đề nghị

Trong chương này, tôi trình bày về hệ thống mô phỏng MPLS VPN trên GNS3

và thực hiện cấu hình chất lượng dịch vụ QoS áp dụng mô hình thống nhất Uniform Model trong MPLS VPN

Sau khi xây dựng mô hình tôi tiến hành kiểm tra sự hoạt động của mạng MPLS VPN và so sánh chất lượng dịch vụ trước và sau khi áp dụng QoS

Phần kết luận: Trong phần này, tôi trình bày kết quả đạt được, những vấn đề còn

tồn tại và hướng phát triển trong tương lai

1.3 Các nghiên cứu liên quan

1.3.1 Tình hình nghiên cứu thế giới

Cisco MPLS Fundamentals [5]

Bài viết được thực hiện bởi tác giả Luc De Ghein Tác giả đã giải thích đầy đủ từ nhu cầu đến quá trình phát triển của công nghệ MPLS, các ứng dụng của công nghệ MPLS

MPLS and VPN Architectures, Volume II [6]

Được thực hiện bởi nhóm tác giả ByJim Guichard, Ivan Pepelnjak, Jeff Apcar Trong nghiên cứu này đã cho ta biết được làm thế nào để tích hợp mạng riêng ảo trên một hạ tầng chung Kiến trúc tổng quan của MPLS VPN Vấn đề bảo mật trong giải pháp mạng VPN

End-to-End QoS Network Design [7]

Được thực hiện bởi nhóm tác giả Tim Szgeti, Christina, Rob Barton, Kenneth Briley Jr Nghiên cứu này cho phân tích các mô hình đảm bảo QoS Các cơ chế QoS

và cách thiết kế QoS cho MPLS VPN

1.3.2 Tình hình trong nước

Công nghệ IP/MPLS và các mạng riêng ảo [1]

Được thực hiện bởi TS Nguyễn Tiến Ban trình bày về những vấn đề kỹ thuật cơ bản liên quan đến việc xây dựng, vận hành các mạng truyền thông băng rộng trên nền IP/MPLS và các giải pháp triển khai để cung cấp dịch vụ trao đổi thông tin an toàn và bảo mật cho khách hàng thông qua công nghệ mạng riêng ảo

Nâng cao chất lượng lịch vụ trong mạng MPLS [2]

Nghiên cứu được thực hiện bởi tác giải Lâm Duy Vũ trình bày về kỹ thuật điều khiển lưu lượng của MPLS, các mô hình chất lượng dịch vụ và kỹ thuật hàng đợi nhằm nâng cao chất lượng dịch vụ

Nghiên cứu này chỉ trình bài tìm hiểu hai phần trong tất cả ba phần của MPLS là

kỹ thuật lưu lượng và chất lượng dịch vụ Phần phát triển tiếp theo là mạng riêng ảo

vì cả ba phần này không thể tách rời nhau khi triển khai MPLS trong thực tế

Kỹ thuật lưu lượng trong MPLS VPN [3]

Nghiên cứu được thực hiện bởi tác giả Bùi Anh Tuấn trình bày về khái niệm cơ bản và các bước hoạt động của mạng chuyển mạch nhãn đa giao thức MPLS, kỹ thuật MPLS VPN và các hoạt động gửi gói tin qua mạng giữa các khách hàng với nhau Nghiên cứu cũng trình bày về kỹ thuật điều khiển lưu lượng giữa các bộ định tuyến trong mạng của nhà cung cấp dịch vụ nhằm nâng cao năng suất mạng

Tuy nhiên nghiên cứu này chưa trình bày về các phương pháp để tối ưu hóa điều khiển lưu lượng trong MPLS VPN

Nhận xét

Trong những năm gần đây công nghệ chuyển mạch nhãn đa giao thức MPLS đã được triển khai trên nhiều quốc gia Một trong những ứng dụng điển hình của MPLS là dịch vụ mạng riêng ảo MPLS VPN

Về cơ sở lý thuyết thì các nghiên cứu trên thế giới và trong nước đã trình bày các khái niệm cơ bản, các mô hình kỹ thuật then chốt, các giải pháp bảo mật của MPLS VPN, các mô hình đảm bảo dịch vụ áp dụng cho mạng riêng ảo trên nền MPLS Nhưng chưa có phân tích so sánh các đặc điểm nỗi bật của các giải pháp VPN, các phân tích để cho thấy những điều cần lưu ý và cách thiết kế tốt nhất để có chất lượng dịch vụ QoS tối ưu cho mạng MPLS VPN

CHƯƠNG 2: CƠ SỞ LÝ THUYẾT 2.1 Công nghệ MPLS

2.1.1 Giới thiệu tổng quan về MPLS

Ngày nay mạng máy tính đã phát triển rộng khắp, đặc biệt là mạng Internet nó đã trở thành phổ biến trên toàn thế giới Và nó đang phát triển cả về số lượng lẫn chất lượng, bên cạnh việc tăng vọt số lượng người dùng trong mạng thì việc gia tăng dịch vụ cũng là vấn đề rất lớn, trước đây nếu như ta chỉ có nhu cầu truyền dữ liệu thì bây giờ ta cần truyền cả tín hiệu thoại tín hiệu video và một số dịch vụ mở rộng khác, với mạng Internet truyền thống thì nguồn tài nguyên về băng thông và tốc độ

là hạn chế, vì vậy để thực hiện truyền tín hiệu thoại và video có chất lượng là không thể

Nhiều mạng thế hệ mới hơn đã ra đời như: Frame-Relay, ISDN (Integrated Services Digital Network), ATM (Asynchronous Tranfer Mode), chúng đã giải quyết phần nào những yêu cầu trên nhưng vẫn còn nhiều hạn chế, theo đà phát triển của công nghệ mạng MPLS đã ra đời với ý tưởng dùng nhãn để chuyển mạch nó đã giải quyết và khắc phục những hạn chế mà các mạng trước đây vẫn còn tồn tại như: tốc độ, băng thông không hữu ích, delay…

Mạng MPLS là sự kế thừa và kết hợp của routing thông minh trong mạng IP và chuyển mạch tốc độ cao trong mạng ATM, có cả routing ở layer 3 và switching ở layer 2

MPLS là cơ chế chuyển mạch nhãn do Cisco phát triển và được IETF (Internet Engineering Task Force) chuẩn hóa, hỗ trợ khả năng chuyển mạch, định tuyến luồng thông tin một cách hiệu quả

MPLS là một công nghệ kết hợp đặc điểm tốt nhất giữa định tuyến lớp ba và chuyển mạch lớp hai cho phép chuyển tải các gói rất nhanh trong mạng lõi (core) và định tuyến tốt ở mạng biên (edge) bằng cách dựa vào nhãn (label) MPLS là một phương pháp cải tiến việc chuyển tiếp gói trên mạng bằng các nhãn được gắn với

mỗi gói IP, tế bào ATM, hoặc frame lớp hai Phương pháp chuyển mạch nhãn giúp các Router và MPLS-enable ATM switch ra quyết định theo nội dung nhãn tốt hơn việc định tuyến phức tạp theo địa chỉ IP đích MPLS kết nối tính thực thi và khả năng chuyển mạch lớp hai với định tuyến lớp ba, cho phép các ISP (Internet Service Provider) cung cấp nhiều dịch vụ khác nhau mà không cần phải bỏ đi cơ sở hạ tầng sẵn có Cấu trúc MPLS có tính mềm dẻo trong bất kỳ sự phối hợp với công nghệ lớp hai nào MPLS hỗ trợ mọi giao thức lớp hai, triển khai hiệu quả các dịch vụ IP trên một mạng chuyển mạch IP MPLS hỗ trợ việc tạo ra các tuyến khác nhau giữa nguồn và đích trên một đường trục Internet Bằng việc tích hợp MPLS vào kiến trúc mạng, các ISP có thể giảm chi phí, tăng lợi nhuận, cung cấp nhiều hiệu quả khác nhau và đạt được hiệu quả cạnh tranh cao

2.1.2 Các khái niệm cơ bản trong MPLS

2.1.2.1 Miền MPLS

Miền MPLS (MPLS Domain) là một tập hợp các nút mạng thực hiện hoạt động định tuyến và chuyển tiếp MPLS Một miền MPLS thường được quản lý và điều khiển bởi một nhà quản trị (Hình 2.1) [10]

Hình 2.1 Miền MPLS

Miền MPLS được chia làm 2 phần: phần mạng lõi (core) và phần mạng biên (edge) Các nút thuộc miền MPLS được gọi là router chuyển mạch nhãn LSR (Label Switch Router) Các nút ở phần mạng lõi được gọi là transit – LSR Các LSR

ở biên được gọi là các LSR biên hay gọi tắt là LER (Label Edge Router)

Nếu một LER là nút đầu tiên trên đường đi của một gói tin khi đi qua miền MPLS thì nó được gọi là LER ngõ vào (ingress – LER), còn nếu là nút cuối cùng thì được gọi là LER ngõ ra (egress – LER) Các thuật ngữ này chỉ có ý nghĩa tương đối tùy theo chiều của luồng lưu lượng trong mạng, do đó một LER có thể vừa là LER ngõ vào, vừa là LER ngõ ra tùy theo các luồng lưu lượng đang xét

Hình 2.2 Upstream và Downstream LSR

Thuật ngữ upstream – LSR và downstream – LSR được sử dụng phụ thuộc vào chiều của luồng lưu lượng

2.1.2.2 Lớp chuyển tiếp tương đương FEC

Lớp chuyển tiếp tương đương - FEC (Forwarding Equivalence Class) là một nhóm hoặc luồng các gói được chuyển tiếp dọc theo cùng một tuyến đường và được

xử lý theo cùng một cách chuyển tiếp Tất cả các gói thuộc một FEC sẽ có nhãn giống nhau Tuy nhiên không phải tất cả các gói có nhãn giống nhau đều thuộc cùng một FEC bởi vì giá trị EXP (Experimemtal) của chúng có thể khác nhau, phương thức chuyển tiếp khác nhau và nó có thể thuộc vào một FEC khác Bộ định tuyến quyết định gói nào thuộc một FEC nào chính là LSR biên vào

Hình 2.3 Lớp chuyển tiếp tương đương trong mạng MPLS

2.1.2.3 Nhãn và ngăn xếp nhãn

Nhãn là một bộ nhận dạng ngắn, có độ dài cố định, chỉ có ý nghĩa nội bộ và được

sử dụng để xác định một FEC Nhãn được “dán” lên một gói đại diện cho một FEC

mà gói tin đó được gán vào

Một gói tin có thể được “dán chồng” nhiều nhãn, các nhãn này được chứa trong một nơi gọi là ngăn xếp nhãn (label stack) (Hình 2.4) Tại mỗi hop trong mạng chỉ

xử lý nhãn trên cùng trong ngăn xếp nhãn Chính nhãn này được LSR sử dụng để chuyển tiếp gói

Hình 2.4 Ngăn xếp nhãn

Nếu gói tin chưa có nhãn thì ngăn xếp nhãn là rỗng (độ sâu ngăn xếp là 0) Nếu ngăn xếp nhãn có chiều sâu là d thì nhãn ở đáy ngăn xếp sẽ thiết lập bit S lên bằng

1

Một entry nhãn có thể gắn thêm vào (push) hoặc lấy ra khỏi (pop) ngăn xếp nhãn

2.1.2.4 Đường chuyển mạch nhãn LSP (Label Switched Path)

Mỗi một gói tin khi tham gia mạng MPLS tại LSR vào và ra khỏi mạng MPLS tại một LSR ngõ ra Cơ chế này tạo ra Đường chuyển mạch nhãn LSP (Label Switched Path), được mô tả như là một nhóm các LSR mà các gói tin được gán nhãn phải đi qua để tới LSR ngõ ra cho một FEC cụ thể LSP này chỉ theo một hướng duy nhất, có nghĩa là một LSP khác được sử dụng để cho lưu lượng có thể trở về từ một FEC nào đó LSP là hướng kết nối (connection-oriented) bởi vì đường dẫn được tạo ra trước khi có sự vận chuyển lưu lượng Tuy nhiên, việc thiết lập kết nối này dựa trên thông tin về mô hình mạng hơn là yêu cầu về luồng lưu lượng Khi

gói tin đi qua mạng MPLS, mỗi LSR sẽ hoán đổi nhãn đi vào với một nhãn đi ra cho đến LSR cuối cùng

Hình 2.5 Đường chuyển mạch nhãn

2.1.3 Nhãn và chế độ đóng gói nhãn

Nhãn MPLS (Hình 2.6) là một sự đột phá, nó dựa trên ý tưởng VPI (Virtual Path Identifier) /VCI (Virtual Channel Identifier) của mạng ATM nhưng cao cấp hơn, gồm 32 bit

Hình 2.6 Cấu trúc nhãn MPLS

 Nhãn: trường này có độ dài 20 bit, tức là có tới 220 = 1.048.576 giá trị nhãn

 EXP (Experimental): trường này có độ dài 3 bit, dùng để ánh xạ trường ToS (Type of Service) hay DSCP (Differentiated Service Code Point) trong gói tin IP vào trường EXP để phục vụ cho mục đích QoS

 S (Stack): trường này có độ dài 1 bit, dùng để chỉ định nhãn nào ở cuối một ngăn xếp nhãn Nhãn ở cuối ngăn xếp thì trường S sẽ có giá trị bằng 1

 TTL (Time to Live): trường này có độ dài 8 bit, là bản sao của trường TTL trong IP header Giá trị trong trường này giảm tại mỗi hop để ngăn việc lặp định tuyến Trường này cũng có thể thiết lập khác với trường TTL trong IP header trong trường hợp nhà cung cấp mạng muốn che dấu cấu trúc liên kết mạng đối với thế giới bên ngoài

Label 20-bits

EXP 3-bits S

Time-To-Live (TTL) 8-bits

MPLS có thể hoạt động ở chế độ khung (Frame mode) và chế độ tế bào (Cell mode)

ra gồm các thông tin miêu tả các tuyến khả thi để tìm đến các địa chỉ prefix LER sẽ

sử dụng các thông tin này để xây dựng cơ sở thông tin chuyển tiếp FIB (Forwarding Information Base) trong mặt phẳng chuyển tiếp

Mặt phẳng điều khiển còn có chức năng báo hiệu MPLS để giao tiếp với các LSR khác bằng giao thức phân phối nhãn LDP Kết quả là một cơ sở thông tin nhãn LIB (Lable Information Base) gồm các thông tin liên quan đến các tổ hợp nhãn đã được thương lượng với các router MPLS khác được tạo ra Thành phần báo hiệu MPLS nhận thông tin từ chức năng định tuyến IP và LIB để xây dựng cơ sở thông tin

chuyển tiếp nhãn LFIB (Label Forwarding Information Base) trong mặt phẳng chuyển tiếp

Một LER có thể chuyển tiếp các gói tin IP, gắn nhãn vào gói, hoặc gỡ nhãn ra khỏi gói Trong khi đó, một transit – LSR chỉ có khả năng chuyển tiếp gói tin có nhãn, thêm hoặc bỏ bớt nhãn

2.1.5 Giao thức phân phối nhãn

Giao thức phân phối nhãn LDP (Label Distribution Protocol) được thiết kế để thiết lập và duy trì các LSP Vùng hoạt động của LDP có thể là giữa các LSR láng giềng trực tiếp hoặc gián tiếp

2.1.5.1 Hoạt động của giao thức phân phối nhãn

Để đưa gói tin qua một LSP trong một mạng MPLS, tất cả các LSR phải chạy giao thức phân phối nhãn và trao đổi thông tin nhãn với nhau Khi tất cả các LSR đều có những nhãn cho một FEC nào đó, gói tin có thể được chuyển trên một LSP bằng cách chuyển mạch nhãn trên mỗi LSR Các hoạt động trên nhãn (tráo đổi, chèn, gỡ bỏ) đều được LSR hiểu được khi nhìn vào LFIB LIB được thu thập bằng những sự ràng buộc nhãn nhận bởi LDP, RSVP (Resource Reservation Protocol), MP-BGP (Multiprotocol-Border Gateway Protocol) hoặc ràng buộc tĩnh RSVP phân phối nhãn cho MPLS Traffic Engineering và MP-BGP phân phối nhãn cho tuyến BGP, chúng ta chỉ còn lại LDP để phân phối nhãn cho các tuyến đường nội

Do đó, tất cả các LSR kết nối trực tiếp với nhau phải thiết lập mối quan hệ ngang hàng hay phiên LDP với nhau Các LDP ngang hàng trao đổi gói tin ánh xạ nhãn

qua phiên LDP này Sự ánh xạ nhãn là việc một nhãn được gán cho một FEC Giao thức phân phối nhãn LDP có 4 chức năng chính là:

 Phát hiện các LSR láng giềng

 Thiết lập và duy trì phiên làm việc

 Quảng bá ánh xạ nhãn

 Duy trì nhãn bằng thông báo

Sau đây chúng ta đi tìm hiểu sâu hơn về các chức năng của LDP

Phát hiện các LSR láng giềng:

LSR chạy LDP gửi bản tin LDP Hello trên tất cả các interface mà LDP được kích hoạt Bản tin LDP Hello là một bản tin UDP (User Datagram Protocol) được gửi cho tất cả các router trên cùng mạng con này hay nói một cách khác tới địa chỉ multicast 224.0.0.2 Cổng UDP được sử dụng cho LDP là 646 LSR nhận được bản tin LDP Hello trên cổng nào sẽ nhận ra sự có mặt của router LDP này trên cổng đó

Thiết lập duy trì phiên làm việc:

Nếu hai LSR phát hiện thấy nhau bằng LDP Hello, chúng sẽ cố gắng để thiết lập phiên LDP giữa chúng Một LSR cố gắng mở một kết nối TCP (Transmission Control Protocol) port 646 tới LSR kia Nếu kết nối TCP được thiết lập, cả hai LSR

sẽ trao đổi bản tin LDP Initialization để thống nhất về các thông số của phiên làm

việc

Nếu cả hai router thống nhất xong các tham số phiên, chúng sẽ giữ kết nối TCP với nhau Và sau khi phiên LDP được thiết lập, chúng sẽ được duy trì bằng các gói tin keepalive định kì Mỗi LDP ngang hàng nhận được gói tin 56 keepalive, thời gian để chờ trước khi gỡ bỏ LSR đó ra các danh sách đã phát hiện ở bước trước (hold time) được thiết lập lại

Quảng bá ánh xạ nhãn:

Sự quảng bá ánh xạ nhãn là mục đích chính của LDP Chúng ta có rất nhiều chế

độ làm việc khác nhau của LSR khi phân phối nhãn:

 Chế độ phân phối theo yêu cầu (Downstream on Demand- DoD): ở chế độ này, mỗi LSR yêu cầu LSR phía sau của nó thông báo về sự ánh xạ cho FEC nào đó Mỗi LSR chỉ nhận một sự ánh xạ cho một FEC từ LSR phía sau

 Chế độ phân phối nhãn không yêu cầu trước (Unsolicited Downstream-UD): Trong chế độ này, mỗi LSR phân phối ánh xạ nhãn cho những LSR láng giềng của nó mà không cần những LSR đó yêu cầu

 Chế độ duy trì nhãn tự do (Liberal Label Retention - LLR): LSR giữ tất cả những ánh xạ nhận được từ các LSR khác trong LIB Chỉ có ánh xạ của LSR xuôi dòng được dùng trong LFIB tất cả các ánh xạ từ các router khác đều không được đặt trong LFIB do đó, không phải tất cả đều được dùng để chuyển gói tin Một lợi thế của phương pháp này là định tuyến luôn động, ở bất kì thời điểm nào nó cũng có thể thay đổi ví dụ như một đường liên kết bị hỏng hoặc router bị gỡ bỏ, do đó router kế tiếp cho một FEC có thể thay đổi

Ở thời điểm đó, nhãn cho router kế tiếp mới đã có trong LIB và LFIB có thể cập nhật nhanh chóng với nhãn ra mới

 Chế độ duy trì nhãn bảo thủ (Conservative Label Retention - CLR): LSR không lưu trữ tất cả các ánh xạ từ xa trong LIB mà chỉ lưu trữ những ánh xạ

từ xa nào có liên kết với một LSR kế tiếp cho một FEC nào đó Điều này làm giảm bộ nhớ cần thiết để lưu trữ LIB

 Chế độ điều khiển độc lập (Independent LSP Control mode): LSR có thể tạo các ánh xạ cục bộ cho một FEC độc lập với các LSR khác Ở chế độ này mỗi LSR tạo ánh xạ cục bộ cho một FEC nào đó ngay sau khi nó nhận ra FEC đó

 Chế độ điều khiển theo thứ tự (Ordered LSP Control mode): Ở chế độ này LSR chỉ tạo ánh xạ cục bộ cho FEC mà nó nhận ra nó là LSR lối ra cho FEC

hoặc nếu LSR đã nhận ánh xạ nhãn từ LSR kế tiếp cho FEC đó Dù là chế độ nào của LDP, LSR đang hoạt động thì mục đích đều là ánh xạ nhãn Mỗi LSR gán một nhãn cục bộ cho mỗi tiền tố IGP trong bảng định tuyến Đây là

sự ánh xạ nhãn cục bộ Những ánh xạ cục bộ này được lưu trong LIB của router, sau đó lại được quảng bá cho tất cả các LDP ngang hàng thông qua phiên LDP và chúng sẽ trở thành ánh xạ từ xa trên những LDP ngang hàng

đó

Duy trì nhãn bằng thông báo:

Thông điệp Notification cần cho việc duy trì phiên LDP Thông điệp này báo hiệu những sự kiện quan trọng tới LDP ngang hàng Những thông điệp này có thể là lỗi không tránh được (Error Notifications) hoặc thông tin tư vấn đơn giản (Advisory Notification) Advisory Notification được dùng để gửi thông tin về phiên LDP hoặc thông điệp nhận từ LDP ngang hàng

2.1.5.2 Quá trình phân phối nhãn

Quá trình gán và phân phối nhãn gồm những bước như sau:

 Bước 1: Giao thức định tuyến (OSPF hay IS-IS, BGP…) xây dựng bảng định tuyến

 Bước 2: Các LSR gán nhãn cho mỗi tuyến trong bảng định tuyến một cách độc lập

 Bước 3: LSR lần lượt phân phối nhãn cho tất cả các router LSR láng giềng

 Bước 4: Tất cả các LSR xây dựng các bảng LIB, LFIB, FIB dựa trên các nhãn nhận được

Ví dụ sau đây sẽ minh họa quá trình phân phối nhãn trong mạng MPLS:

Đầu tiên các router sẽ dùng các giải thuật định tuyến như OSPF để tìm đường đi

cho mỗi router trong mạng Giả sử, ở đây router A muốn đến mạng X thì phải qua router B, router B chính là Next-hop của router A để đến mạng X

Hình 2.9 Quá trình xây dựng bảng định tuyến

Sau khi bảng routing table đã hình thành, các router sẽ gán nhãn cho các đích đến

mà có trong bảng routing table của nó, ví dụ ở đây router B sẽ gán nhãn bằng 25 cho mạng X, nghĩa là những nhãn vào có giá trị 25 router B sẽ chuyển nó đến mạng

X

Hình 2.10 Quá trình gán nhãn

Router B phân tán nhãn 25 cho tất cả các router LSR kế cận nó với ý nghĩa “Nếu bạn muốn đến X thì hãy gán nhãn 25 rồi gửi đến tôi”, cùng lúc đó bảng tra LIB hình thành trong router B và có entry như hình sau

Hình 2.11 Quá trình phân phối nhãn

Network X

Các router LSR nhận được nhãn được từ router láng giềng sẽ cập nhập vào bảng LIB, riêng với router biên (Edge LSRs) sẽ cập nhập vào bảng LIB và cả FIB của nó

Hình 2.12 Cập nhật thông tin vào bảng LIB

Cũng giống như B, router C sẽ gán nhãn là 47 cho Network X và sẽ quảng bá nhãn này cho các router kế cận, C không quảng bá cho router D vì D không chạy MPLS

Hình 2.13 Quảng bá nhãn

Cùng lúc đó router C hình thành 2 bảng tra LIB và LFIB có các entry như trên Sau khi nhận được quảng bá của router C, router B sẽ thêm nhãn 47 vừa nhận được vào trong bảng tra FIB và LIB đồng thời xây dựng bảng tra LFIB có các entry như (Hình 2.14), router E chỉ thêm nhãn 47 vào trong LIB và FIB

Như vậy ta đã có được đường đi từ biên router A đến mạng cần đến là mạng X, hay nói cách khác một LSP đã hoàn thành từ LER A đến mạng X

2.1.6 Phương thức hoạt động của MPLS

Khi một gói tin vào một mạng MPLS, LER ngõ vào không thực hiện việc chuyển tiếp theo từng gói mà thực hiện phân loại gói tin vào các FEC, việc phân loại có thể dựa vào thông tin gói như địa chỉ mạng đích, cổng vào hoặc interface Sau đó, nhãn được gán vào các FEC Giao thức LDP sẽ xác định và phân phối các tổ hợp FEC nhãn cho các LSR Sau khi LDP hoàn thành nhiệm vụ của nó, một đường chuyển mạch nhãn LSP được hình thành

Các LSR nhận các gói tin đã được gắn nhãn và sử dụng các bảng chuyển tiếp nhãn để trao đổi nhãn vào của gói tin với nhãn ra phù hợp với FEC

Khi gói tin đến LER ngõ ra, nó gỡ bỏ nhãn và thực hiện việc định tuyến dựa trên thông tin lớp 3 như thông thường

2.1.7 Ưu điểm và ứng dụng của MPLS

2.1.7.1 Ưu điểm của MPLS

Đơn giản hóa chức năng chuyển tiếp: MPLS sử dụng cơ chế chuyển tiếp dựa vào nhãn có độ dài cố định nên quyết định chuyển tiếp có thể xác định ngay chỉ với một lần tra cứu bảng LFIB

Khả năng mở rộng: chuyển mạch nhãn cung cấp sự tách biệt toàn diện hơn giữa định tuyến liên miền và định tuyến nội miền, điều này cải thiện khả năng mở rộng của các tiến trình định tuyến

Chuyển tiếp có phân cấp: MPLS có sự thay đổi đáng kể trong kiến trúc chuyển tiếp Sự cải tiến trong kiến trúc chuyển tiếp có tác động đáng kể đến khả năng cung cấp chuyển tiếp phân cấp Chuyển tiếp phân cấp cho phép lồng 1 LSP vào 1 LSP khác (xếp chồng nhãn hay còn gọi là điều khiển gói đa cấp) MPLS cho phép các

LSP được lồng vào nhau một cách tùy ý, cung cấp điều khiển gói đa cấp cho việc chuyển tiếp

Tính thông minh phân tán: quan điểm của MPLS là tính thông minh càng đưa ra biên thì mạng hoạt động càng tốt Lý do là những thành phần ở mạng lõi phải chịu tải rất cao Thành phần mạng lõi nên có tính thông minh thấp và năng lực chuyển tải cao MPLS phân tách hai chức năng định tuyến và chuyển mạch: các router ở biên thực hiện định tuyến và gắn nhãn cho gói tin, còn các router ở mạng lõi chỉ tập trung làm nhiệm vụ chuyển tiếp gói tin với tốc độ cao dựa vào nhãn Tính thông minh phân tán là một trong những ưu điểm lớn nhất của MPLS

2.1.7.2 Các ứng dụng của MPLS

Internet có 3 nhóm ứng dụng chính Voice, Data và Video với các yêu cầu khác nhau MPLS giúp khai thác tài nguyên mạng đạt hiệu quả cao Trong đó, có một số ứng dụng đang được triển khai trên một mạng MPLS là:

 MPLS VPN: Nhà cung cấp dịch cụ có thể tạo VPN lớp 3 dọc theo mạng đường trục cho nhiều khách hàng, chỉ dùng một cơ sở hạ tầng công cộng sẵn

có, không cần các ứng dụng mã hóa hoặc end-user

 MPLS TE (Traffic Engineering): cung cấp khả năng thiết lập một hoặc nhiều đường đi để điều khiển lưu lượng mạng và các đặc trưng thực thi cho một loại lưu lượng Kỹ thuật lưu lượng cho phép các ISP định tuyến lưu lượng theo cách họ có thể cung cấp dịch vụ tốt nhất cho khách hàng ở khía cạnh thông lượng và độ trễ MPLS TE cho phép lưu lượng được phân bố hợp lý qua toàn bộ hạ tầng mạng, tối ưu hóa hiệu suất sử dụng mạng

 MPLS QoS: dùng QoS các nhà cung cấp dịch vụ có thể cung cấp nhiều loại mức độ dịch vụ với sự đảm bảo tối đa về chất lượng dịch vụ

2.2 Công nghệ VPN dựa trên MPLS

2.2.1 Khái niệm VPN

Mạng riêng ảo VPN là một loại hình mạng được xây dựng dựa trên kiến trúc hạ tầng mạng có sẵn của các nhà cung cấp dịch vụ Mạng VPN có thể cung cấp truyền thông lớp 2 hay lớp 3 trong mô hình OSI và được sử dụng bởi các công ty có nhiều chi nhánh nằm cách xa nhau nhưng có nhu cầu kết nối với nhau Mạng riêng ảo VPN yêu cầu tất cả các chi nhánh của khách hàng phải được kết nối với nhau và hoàn toàn tách biệt với một mạng VPN khác Tuy nhiên, các mô hình mạng VPN trên nền IP có thể đáp ứng được nhiều yêu cầu hơn thế như là khả năng tạo kết nối lẫn nhau giữa các VPN (nếu có yêu cầu) hoặc kết nối VPN vào Internet

MPLS VPN có khả năng đáp ứng đầy đủ các yêu cầu này bằng cách tạo ra các mạng đường trục MPLS cho các nhà cung cấp dịch vụ mà ở đó vấn đề điều khiển (control plane) và vấn đề chuyển tiếp (forwarding plane) được tách biệt hẳn ra (điều này không thể thực hiện được bởi IP)

2.2.2 Mô hình VPN

Có hai mô hình triển khai VPN là: dựa trên khách hàng (Customer-based) và dựa trên mạng (Network-based) Mô hình dựa trên khách hàng còn được gọi là mô hình chồng lấn (overlay), trong đó VPN được cấu hình trên các thiết bị của khách hàng

và sử dụng các giao thức đường hầm xuyên qua mạng công cộng Nhà cung cấp dịch vụ sẽ bán các mạch ảo giữa các site của khách hàng như là đường kết nối thuê riêng (leased line)

Mô hình dựa trên mạng còn được gọi là mô hình ngang hàng hay ngang cấp (peer-to-peer), trong đó VPN được cấu hình trên các thiết bị của nhà cung cấp dịch

vụ và được quản lý bởi nhà cung cấp dịch vụ Nhà cung cấp dịch vụ và khách hàng trao đổi thông tin định tuyến lớp 3, sau đó nhà cung cấp sẽ sắp đặt dữ liệu từ các site khách hàng vào đường đi tối ưu nhất mà không cần có sự tham gia của khách hàng

2.2.3 So sánh VPN truyền thống và MPLS VPN

2.2.3.1 VPN truyền thống

Các mạng VPN truyền thống sử dụng các chức năng bảo mật như: tạo đường hầm (Tunneling), mã hoá dữ liệu (Encryption), … với mục đích đạt được khả năng bảo mật khi truyền dữ liệu giữa hai đầu cuối Có rất nhiều các giao thức khác nhau được sử dụng cho các mạng VPN này như: GRE (Generic Prouting Encapsulation), PPTP (Point to Point Tunneling Protocol), L2TP (Layer 2 Tunnel Protocol), và IPSec (Internet Protocol Security) Chúng đều dựa trên hoạt động tạo đường truyền dẫn riêng và sử dụng các thuật toán mã hóa dữ liệu Phổ biến nhất vẫn là IPSec, hạn chế đầu tiên và cũng là dễ nhận thấy nhất ở IPSec đó là làm giảm hiệu năng của mạng Trong một môi trường mạng không có VPN thì gói tin sẽ được truyền ngay Tuy nhiên, với giao thức IPSec, router gởi phải thực hiện một số thao tác trước khi gửi gói tin đi Đầu tiên, gói tin được mã hóa, sau đó đóng gói vào các gói IP, hoạt động này tiêu tốn thời gian và gây trễ cho gói tin Tiếp theo gói tin sẽ được đưa vào trong mạng của nhà cung cấp dịch vụ Lúc này, nếu gói tin mới được tạo thành có kích thước lớn hơn kích thước tối đa cho phép truyền (MTU-Maximum Transmission Unit) thì gói tin sẽ cần phải được phân mảnh thành hai hay nhiều gói tin nhỏ hơn Sau đó được chuyển đến đích Khi đến đích nó sẽ được mở gói và giải

mã, hai hoạt động này tiếp tục làm trễ gói tin trong mạng Thời gian trễ trong mạng

sẽ phụ thuộc vào độ phức tạp và tốc độ xử lý của các router Các thiết bị chất lượng thấp thường phải thực hiện hầu hết các chức năng IPSec bằng phần mềm khiến trễ trong mạng lớn Các thiết bị với khả năng thực hiện các chức năng IPSec bằng phần cứng có thể tăng tốc độ xử lý gói tin lên rất nhiều nhưng chi phí cho các thiết bị này

là rất đắt, điều này dẫn đến chi phí triển khai một mạng IPSec VPN là rất tốn kém Các mạng IPSec VPN là mạng lớp trên của mạng IP và sự trao đổi thông tin trong mạng được thực hiện bằng cách thiết lập các đường hầm giữa các chi nhánh, điều này sẽ tạo nên những cấu hình mạng không tối ưu

Một điểm chúng ta cần phải cân nhắc khi triển khai các mạng VPN đó là các thiết

bị phải tương thích với nhau và đều cần hỗ trợ tunneling

Khai thác và bảo dưỡng cũng là một vấn đề nữa của các mạng IPSec VPN vì mỗi một đường hầm IPSec đều phải được thiết lập bằng tay Cấu hình cho một đường hầm IPSec đơn lẻ không phải là vấn đề thế nhưng thời gian để thiết lập và duy trì một mạng VPN với nhiều site sẽ tăng lên đáng kể khi kích thước mạng được mở rộng

Vấn đề bảo mật cũng cần được quan tâm trong các mạng VPN Mỗi CPE (Customer Premisses Equipment) có thể truy nhập vào mạng Internet công cộng nhưng tin tức vẫn cần được bảo mật trong quá trình truyền giữa các site

2.2.3.2 MPLS VPN

Không giống như các mạng VPN truyền thống, các mạng MPLS VPN không sử dụng hoạt động đóng gói và mã hóa gói tin để đạt được mức độ bảo mật cao MPLS VPN sử dụng bảng chuyển tiếp và các nhãn “tags” để tạo nên tính bảo mật cho mạng VPN Kiến trúc mạng loại này sử dụng các tuyến mạng xác định để phân phối các dịch vụ VPN, và các cơ chế xử lý thông minh của MPLS VPN lúc này nằm hoàn toàn trong phần lõi của mạng

Mỗi site chỉ có thể kết hợp với một và chỉ một VRF (Virtual Routing and Forwarding) Các VRF của site khách hàng mang toàn bộ thông tin về các “tuyến”

có sẵn từ site tới VPN mà nó là thành viên Đối với mỗi VRF, thông tin sử dụng để chuyển tiếp các gói tin được lưu trong các bảng định tuyến IP và bảng CEF (Cisco Express Forwarding) Các bảng này được duy trì riêng rẽ cho từng VRF nên nó ngăn chặn được hiện tượng thông tin bị chuyển tiếp ra ngoài mạng VPN cũng như ngăn chặn các gói tin bên ngoài mạng VPN chuyển tiếp vào các router bên trong mạng VPN Đây chính là cơ chế bảo mật của MPLS VPN Bên trong mỗi một MPLS VPN, có thể kết nối bất kỳ hai điểm nào với nhau và các site có thể gửi thông tin trực tiếp cho nhau mà không cần thông qua site trung tâm (Hình 2.15)

Hình 2.15 Mô hình phân tách dựa vào VRF trong MPLS VPN

2.2.4 Các mô hình MPLS - VPN

Trước tiên tôi sẽ giới thiệu một số khái niệm trong MPLS VPN

 Router PE (Provider Edge router): router cung cấp dịch vụ biên, được sử dụng để tạo kết nối trực tiếp với các router CE của khách hàng tại lớp 3

 Router P (Provider router): router cung cấp dịch vụ Router của nhà cung cấp dịch vụ nhưng không tạo kết nối trực tiếp với khách hàng

 Trong mạng MPLS VPN, cả router P và PE đều chạy MPLS Điều này có nghĩa là chúng phải có khả năng phân phối nhãn và chuyển tiếp gói tin nhãn

 Router CE (Customer Edge): router biên khách hàng, được sử dụng để tạo kết nối với router PE của nhà cung cấp dịch vụ Vì router này tương tác với router PE tại lớp 3 nên cần phải có một giao thức định tuyến chạy giữa chúng

mà không cần phải chạy MPLS Đối với một site của khách hàng, thông thường chỉ cần có 1 router CE và 1 router PE peer với nó (chỉ đúng trong mô hình mạng riêng ảo ngang hàng peer-to-peer) Nếu router CE được kết nối multihomed, nó có thể có nhiều router PE peer

Hiện nay có hai mô hình triển khai mạng riêng ảo trên nền MPLS phổ biến là mạng riêng ảo lớp 3 (Layer 3 VPN) và mạng riêng ảo lớp 2 (Layer 2 VPN) Sau đây

2.2.4.1 Mô hình mạng riêng ảo lớp 3

Trong kiến trúc Layer 3 VPN (Hình 2.16), các bộ định tuyến khách hàng và của nhà cung cấp được coi là các phần tử ngang hàng Bộ định tuyến biên khách hàng

CE cung cấp thông tin định tuyến biên nhà cung cấp PE PE lưu các thông tin định tuyến trong bảng VRF Mỗi khoản mục của VRF tương ứng với một khách hàng và hoàn toàn biệt lập với các mạng khách hàng khác Người dùng VPN chỉ được phép truy cập tới các site hoặc máy chủ trong cùng một mạng riêng này

Hình 2.16 Mô hình MPLS Layer 3 VPN

Các gới tin IP qua miền MPLS được gắn 2 loại nhãn Bao gồm nhãn MPLS chỉ thị đường dẫn chuyển mạch nhãn LSP và nhãn chỉ thị định tuyến chuyển tiếp ảo VRF Ngăn xếp nhãn được thiết lập để chứa các nhãn trên Các bộ định tuyến P của nhà cung cấp xử lý nhãn LSP để chuyển tiếp các gói tin qua miền MPLS Nhãn VRF chỉ được xử lý tại thiết bị định tuyến biên PE nối với bộ định tuyến khách hàng

2.2.4.2 Mô hình mạng riêng ảo lớp 2

Layer 2 VPN hướng tới việc thiết lập các đường hầm qua mạng MPLS để xử lý các kiểu lưu lượng khác nhau như Ethenet, Frame Relay, ATM Có 2 dạng Layer 2 VPN cơ bản là: