Đồ án tốt nghiệp: Nghiên cứu công nghệ MPLS và ứng dụng trong VPN

IP không nhãn ở ngõ ra của routerbiên, bảng này được hình thành từbảng routing table, từ giao thức phânphối nhãn LDP và từ bảng tra LFIB.Instance Base Là bảng chứa đựng thông tin các nhã

MỤC LỤC

MỤC LỤC 1

LỜI CẢM ƠN 3

DANH MỤC CÁC HÌNH VẼ 4

DANH MỤC CÁC BẢNG BIỂU 5

DANH MỤC THUẬT NGỮ VIẾT TẮT 6

THÔNG TIN KẾT QUẢ NGHIÊN CỨU 7

LỜI MỞ ĐẦU 8

CHƯƠNG 1 CÁC KĨ THUẬT CHUYỂN MẠCH NHÃN - MPLS 10

1.1 Sơ lược về kĩ thuật chuyển mạch nhãn MPLS 10

1.1.1 Lịch sử ra đời 10

1.1.2 Định nghĩa 10

1.1.3 Các khái niệm cơ bản 11

1.1.4 Cấu trúc và các thành phần của một miền MPLS 12

1.2 Cơ chế hoạt động của MPLS và các khối bên trong router chạy MPLS 13

1.2.1 Cơ chế hoạt động trong MPLS 13

1.2.2 Cấu trúc của một router chạy MPLS 14

1.2.3 Cơ chế chuyển mạch 17

1.3 Phương thức hoạt động 18

1.3.1 Nhãn 18

1.3.2 Phân phối nhãn bằng giao thức LDP 22

1.3.3 Sự duy trì nhãn 25

1.4 Ưu điểm của kĩ thuật chuyển mạch nhãn 26

1.4.1 Hợp nhất hạ tầng, tính đa giao thức 26

1.4.2 Tính đơn giản 27

1.4.3 Tốc độ và độ trễ 27

1.4.4 Tìm kiếm đường đi linh hoạt 28

CHƯƠNG 2 CÔNG NGHỆ MPLS VPN 29

2.1 Giới thiệu về công nghệ MPLS VPN 29

2.1.1 Tổng quan về công nghệ VPN 29

2.1.2 Mô hình Site to Site VPN và Remote Access VPN 30

2.1.3 Công nghệ MPLS VPN 34

2.1.4 Lợi ích của công nghệ MPLS VPN 36

2.2 Các thành phần khối cơ bản bên trong PE 38

2.2.1 VRF – Virtual Routing and Forwarding Talbe 38

2.2.2 RD – Route Distinguisher 40

2.2.3 RT – Route Target 42

2.2.4 Giao thức MP – BGP (Multiprotocol BGP) 43

2.3 MPLS VPN hoạt động như thế nào 46

2.3.1 Truyền tải thông tin định tuyến trên MPLS domain 46

2.3.2 Phân phối các VPN route thông qua giao thức MP - BGP 47

2.3.3 Hoạt động của mặt phẳng điều khiển (Control Plane) 48

CHƯƠNG 3 TRIỂN KHAI MPLS VPN 50

3.1 Mô hình triển khai MPLS VPN 50

3.1.1 Triển khai trong thực tế ứng dụng MPLS VPN ở Việt Nam 50

3.1.2 Mô hình triển khai bài lab 51

3.2 Các bước triển khai thực hiện mô hình bài lab 52

3.2.1 Thiết kế mạng VPN 52

3.2.2 Các bước cấu hình trên các thiết bị 53

3.3 Kiểm tra kết nối, thông tin kết quả thu được từ bài lab 63

3.3.1 Kĩ thuật MPLS 63

3.3.2 Kênh VPN được thiết lập giữa các site 66

KẾT LUẬN 70

TÀI LIỆU THAM KHẢO 71

PHỤ LỤC 72

LỜI CẢM ƠN

Trên thực tế, không có sự thành công nào mà không gắn liền với những sự hỗtrợ, giúp đỡ dù ít hay nhiều, dù trực tiếp hay gián tiếp của mọi người Trong suốtthời gian từ khi bắt đầu học tập ở giảng đường đại học đến nay, em đã nhận được rấtnhiều sự quan tâm, giúp đỡ của các Thầy, gia đình và bạn bè

Em xin gửi lời cảm ơn chân thành và sự tri ân sâu sắc với các thầy cô củatrường Đại học Mỏ - Địa Chất, đặc biệt là các thầy cô bộ môn Mạng máy tính, khoaCông nghệ thông tin của nhà trường đã tạo mọi điều kiện cho em trong thời gianlàm Đồ án tốt nghiệp Đồng thời, em xin chân thành cảm ơn Cô Trần Thị Thu Thúy

đã tận tình chỉ bảo và giúp đỡ em trong quá trình học tập cũng như trong suốt thờigian em thực hiện đồ án này

Do trình độ lý luận cũng như kinh nghiệm thực tiễn của bản thân còn hạn chếnên Đồ án của em không thể tránh khỏi những thiếu sót Em rất mong nhận được ýkiến đóng góp ý kiến của Thầy, Cô để em có thể học hỏi và hoàn thiện kiến thứcđược tốt hơn

Hà Nội, ngày 19 tháng 6 năm 2014

Sinh viên thực hiệnĐồng Thị Trang

DANH MỤC CÁC HÌNH VẼ

Hình 1-1 Miền MPLS 13

Hình 1-2 Cấu trúc của một router MPLS 14

Hình 1-3 Cơ chế chuyển gói tin chiều đi trong MPLS 17

Hình 1-4 Cơ chế chuyển gói tin theo chiều về trong MPLS 18

Hình 1-5 Nhãn MPLS ở chế độ Cell – mode 21

Hình 1-6 Nhãn MPLS ở chế độ Frame Mode 21

Hình 1-7 Phân phối nhãn Downstream on demand 24

Hình 1-8 Phân phối nhãn Unsolicited downstream 24

Hình 1-9 Chế độ duy trì nhãn liberal label retention mode 25

Hình 1-10 Chế đội duy trì nhãn conservative label retention mode 25

Hình 2-1 VPN Site – to – Site 31

Hình 2-2 Remote Access VPN 32

Hình 2-3 Mô hình mạng MPLS VPN cơ bản 34

Hình 2-4 Các thành phần của MPLS VPN 35

Hình 2-5 Router PE 36

Hình 2-6 Sử dụng RD đã giải quyết được vấn đề trùng địa chỉ giữa các VPN 41

Hình 2-7 Sử dụng RT để định danh các kênh VPN 43

Hình 3-1 Mô hình triển khai 52

Hình 3-2 Bắt gói tin trên F0/1 PE1 65

Hình 3-3 Hình khởi tạo các kênh VPN trên PE1 67

Hình 3-4 Hình khởi tạo các kênh VPN trên PE2 68

DANH MỤC CÁC BẢNG BIỂU

Bảng 3-1 Phân bổ các giá trị RD, RT tương ứng cho các kênh VPN 51

Bảng 3-2 Phân bổ địa chỉ IP cho các Interface 52

Bảng 3-3 Bảng MPLS forwarding trên PE1 62

Bảng 3-4 Bảng MPLS forwarding trên PE2 62

Bảng 3-5 Bảng MPLS forwarding trên P1 62

Bảng 3-6 Bảng MPLS forwarding trên P2 63

Bảng 3-7 Bắt gói tin trên cổng F0/1 PE1 63

Bảng 3-8 Bảng định tuyến BGP cho các kênh VPN trên PE1 65

Bảng 3-9 Bảng định tuyến BGP cho các kênh VPN trên PE1 66

Bảng 3-12 Bảng định tuyến CEA-1 67

Bảng 3-13 Bảng định tuyến CEA-2 68

Bảng 3-14 Bảng định tuyến CEB-2 68

Bảng 3-15 Bảng định tuyến CEB-1 68

DANH MỤC THUẬT NGỮ VIẾT TẮT

BGP/ IGP Border Gateway Protocol / Interior Gateway Protocol

G.SHDSL Single-Pair, High-Bit-Rate Digital Subscriber

LSR Label Switch Router

MP – BGP Multiprotocol-Border Gateway Protocol

MP_UNREACH_NLR

MPLS VPN Multiprotocol Label Switching Virtual Protocol NetworkMP-REACH_NLRI Multiprotocol Reachable NLRI

NLRI Network Layer Reachability Information

TDP Cisco’s proproetary Tag Distribution Protocol

VPN Virtual Private Network

THÔNG TIN KẾT QUẢ NGHIÊN CỨU

1 Thông tin chung

Tên đề tài: Nghiên cứu công nghệ MPLS và ứng dụng trong VPNSinh viên thực hiện: Đồng Thị Trang

CHƯƠNG I - Kĩ thuật chuyển mạch nhãn MPLS

1 Tổng quan tình hình nghiên cứu thuộc lĩnh vực của đề tài

Ngày nay, với sự phát triển của ngành công nghệ thông tin và điện tử viễnthông đã đóng góp không nhỏ trong những hoạt động kinh doanh của doanh nghiệp.Không một tổ chức nào phủ nhận sự đóng góp của công nghệ trong lộ trình pháttriển kinh doanh của họ Mỗi một tổ chức đã bắt đầu ý thức nhiều hơn về việc đầu

tư vào công nghệ thông tin không chỉ ở hạ tầng mạng nội bộ LAN mà đã đi sâu hơn

về mạng diện rộng WAN để mở rộng hơn cánh cửa kinh doanh của mình ở trongnước mà vươn ra quốc tế

Với sự phát triển và đầu tư, yêu cầu về tốc độ, chi phí, dịch vụ băng thông, vàkhả năng phục vụ của các công nghệ WAN truyền thống như Frame Relay,ATM….đã không còn theo kịp với thời đại

Công nghệ MPLS đã ra đời và với những ưu điểm vợt trội mà nói mang lại,công nghệ này hiện đang được triển khai ứng dụng ở các nhà cung cấp dịch vụInternet tại Việt Nam

2 Tính cấp thiết, ý nghĩa khoa học và thực tiễn của đề tài

Giải pháp VPN truyền thống dựa trên công nghệ ATM, Frame Relay và IP gặpkhông ít nhược điểm như: khả năng quản lý, chất lượng dịch vụ Hậu quả là có thể

mất lưu lượng, mất kết nối, thậm chí giảm đặc tính của mạng Ngoài ra còn phải kểđến các chi phí không nhỏ dành cho việc thuê dịch vụ viễn thông để kết nối mạng Gần đây, Công nghệ chuyển mạch nhãn đa giao thức - MPLS được các nhàcung cấp dịch vụ Internet ở Việt Nam quan tâm đặc biệt, bởi khả năng vượt trộitrong việc cung cấp dịch vụ chất lượng cao qua mạng IP, bởi tính đơn giản, hiệuquả và quan trọng nhất là khả năng triển khai VPN.

Với ưu điểm chuyển tiếp lưu lượng nhanh, khả năng linh hoạt, đơn giản, điềukhiển phân luồng và phục vụ linh hoạt các dịch vụ định tuyến, tận dụng được đườngtruyền giúp giảm chi phí Công nghệ MPLS đang dần thay thế các công nghệ truyềnthống khác như IP và ATM

MPLS VPN giải quyết được những hạn chế của các mạng VPN truyền thốngdựa trên công nghệ ATM, Frame Relay và IP như tiết kiệm thời gian, giảm chi phílắp đặt và có độ bảo mật cao cho doanh nghiệp Do vậy việc tìm hiểu công nghệMPLS và ứng dụng MPLS VPN được xem là vấn đề cấp thiết để giúp doanh nghiệp

có thể dễ dàng tiếp cận với công nghệ mới này và từ đó có thể ứng dụng vào việcphát triển của doanh nghiệp mình cùng với sự đi lên của ngành mạng viễn thôngquốc tế

Do tính chất của đề tài và điều kiện thực tế nên phạm vi nghiên cứu chỉ tiếnhành: tập trung nghiên cứu các vấn đề liên quan đến VPN trong MPLS và triển khaitrên mô hình thực nghiệm

Với việc tìm hiểu về MPLS VPN và với hiện trạng cơ sở hạ tầng Internet ởViệt Nam hoàn toàn có thể triển khai được kĩ thuật này Em hi vọng thông qua việcnghiên cứu đề tài này không chỉ giúp bản thân bổ sung thêm những kiến thức cầnthiết cho công việc sau này, mà bên cạnh đó đây sẽ là tài liệu tham khảo giành chocác bạn sinh viên khóa sau khi lựa chọn đề tài liên quan tới các ứng dụng của kĩthuật MPLS

Hà Nội, ngày 19 tháng 6 năm 2014

Sinh viên thực hiệnĐồng Thị Trang

CHƯƠNG 1 CÁC KĨ THUẬT CHUYỂN MẠCH NHÃN - MPLS

1.1 Sơ lược về kĩ thuật chuyển mạch nhãn MPLS

1.1.1 Lịch sử ra đời

Khi mạng Internet phát triển và mở rộng, lưu lượng Internet bùng nổ Các ISP

xử lý bằng cách tăng dung lượng các kết nối và nâng cấp router nhưng vẫn khôngtránh khỏi hiện tượng nghẽn mạch Lý do là các giao thức định tuyến thường hướnglưu lượng vào cùng một số các kết nối nhất định dẫn đến kết nối này bị quá tải trongkhi một số tài nguyên khác không được sử dụng Đây là tình trạng phân bố tảikhông đồng đều và sử dụng lãng phí tài nguyên mạng Internet

Những năm 90, các ISP đã phát triển mạng của họ theo mô hình chồng lớp(overlay) bằng cách đưa ra giao thức IP over ATM Tuy nhiên, IP và ATM là haicông nghệ hoàn toàn khác nhau, được thiết kế cho những môi trường mạng khácnhau, khác nhau về giao thức, cách đánh địa chỉ, định tuyến, báo hiệu, phân bổ tàinguyên Và họ càng nhận ra nhược điểm của mô hình này khi mở rộng mạng, đó là

sự phức tạp khi phải duy trì hoạt động của hai hệ thống thiết bị

Sự bùng nổ của mạng Internet dẫn tới xu hướng hội tụ các mạng viễn thôngkhác như mạng thoại, truyền hình dựa trên Internet, và lúc này giao thức IP trởthành giao thức chủ đạo trong lĩnh vực mạng Điều mà các ISP cần là thiết kế và sửdụng các router chuyên dụng, dung lượng chuyển tải lớn, hỗ trợ các giải pháp tíchhợp, chuyển mạch đa lớp cho mạng trục Internet Nhu cầu cấp thiết trong bối cảnhnày là phải ra đời một công nghệ lai có khả năng kết hợp những đặc điểm tốt củachuyển mạch kênh ATM và chuyển mạch gói IP Và công nghệ MPSL ra đời nhằmđáp ứng nhu cầu của thị trường, mang lại những lợi ích thiết thực, đánh dấu mộtbước phát triển mới của mạng Internet trước xu thế tích hợp công nghệ thông tin vàviễn thông trong thời kì mới

1.1.2 Định nghĩa

Có nhiều cách miêu tả khác nhau về công nghệ MPLS, tuy nhiên, nhìn chungchuyển mạch nhãn đa giao thức (MPLS - Multiprotocol Label Switching) là mộtcông nghệ lai kết hợp những đặc điểm tốt nhất giữa định tuyến lớp 3 và chuyển

mạch lớp 2 Nó cho phép chuyển tải các gói tin rất nhanh trong mạng lõi (core) vàđịnh tuyến tốt ở các mạng biên (edge) bằng cách dựa vào nhãn (label).

Mỗi gói tin IP bao gồm cả IPv4 và IPv6 hoặc cả những khung Frame lớp 2 khi

đi vào miền MPLS sẽ được gán nhãn và truyền đi trong môi trường mạng Bằngcách này gói tin có thể chuyển mạch nhanh hơn và có thể kết hợp được đa tầngmạng hợp nhất

1.1.3 Các khái niệm cơ bản

Label Label Định danh gói tin, chứa thông tin

chuyển mạch

LER Label Edge Router Là các LSR ở biên mạng MPLS trong

MPLS domain, gồm có LER vào(Ingress LER) và LER ra (EgressLER)

LSR Label Switch Router Là bộ định tuyến có hỗ trợ MPLS,

bao gồm các giao thức điều khiểnMPLS, các giao thức định tuyến lớpmạng và cách thức xử lý nhãn MPLS

Base

Mỗi LSR sẽ xây dựng một bảng LIB

để xác định một gói được chuyển tiếpnhư thế nào Bảng này chứa các thôngtin về nhãn vào – ra, giao diện (cổng)vào – ra

LSP Label Switch Path Là đường đi xuất phát từ một LSR và

kết thúc tại một LSR khác Tất cả cácgói tin có cùng giá trị nhãn sẽ đi trêncùng một LSP

từ gói tin IP không nhãn thành gói tin

IP không nhãn ở ngõ ra của routerbiên, bảng này được hình thành từbảng routing table, từ giao thức phânphối nhãn LDP và từ bảng tra LFIB.

Instance Base

Là bảng chứa đựng thông tin các nhãnđến các mạng đích, một gói tin cónhãn khi đi vào một router nó sẽ sửdụng bảng tra LFIB để tìm ra nexthop, “ngõ ra” của gói tin này có thể làgói tin có nhãn cũng có thể là gói tinkhông nhãn

Class

Tập hợp các gói vào mà có cùng mộtnhãn ra Tất cả các packet thuộc vềmột FEC và đi từ một node nào đó sẽxuôi theo cùng một path

Trong MPLS việc gán nhãn nhất địnhcho một FEC nhất định chỉ được thựchiện một lần khi gói đi vào miềnMPLS Và khi đó, khi packet đượcgán vào một FEC, thì việc phân tíchpacket header sẽ không cần thiết ởcác router theo sau, mà giờ đây việcforwarding sẽ do label dẫn dắt

1.1.4 Cấu trúc và các thành phần của một miền MPLS

Mạng MPLS bao gồm nhiều “node” có chức năng định tuyến và chuyển tiếpđược kết nối Mỗi node tương ứng với một thiết bị LSR ( Lable Switching Router).Mạng MPLS có thể được chia thành hai miền là miền lõi MPLS( MPLS core) vàmiền biên MPLS (MPLS Edge) Tương ứng với mỗi miền sẽ có thiết bị làm côngviệc tương đương

Hình 1-1 Miền MPLS

1.2 Cơ chế hoạt động của MPLS và các khối bên trong router chạy MPLS

1.2.1 Cơ chế hoạt động trong MPLS

Có hai cơ chế hoạt đông trong MPLS là: Cơ chế Frame Mode và Cell Mode

Cơ chế Frame Mode

Cơ chế này được sử dụng với các mạng IP thông thường, trong cơ chế này nhãncủa MPLS là nhãn thực sự được thiết kế và gán cho các gói tin Tại Control Plane sẽđảm nhiệm vai trò gán nhãn và phân phối nhãn cho các route giữa các router chạyMPLS Trong cơ chế này các router sẽ kết nối trực tiếp với nhau qua 1 giao diệnFrame mode như là PPP, các router sẽ sử dụng địa chỉ IP thuần túy để trao đổithông tin cho nhau như là: Thông tin về nhãn và bảng định tuyến routing table Cònvới mạng ATM hay Frame-relay chúng không có các kết nối trực tiếp giữa cácinterface, nghĩa là không thể dùng địa chỉ IP thuần để trao đổi thông tin cho nhau, vìvậy ta phải thiết lập các kênh ảo giữa chúng (PVC - permanent virtual circuit) Đây là thuật ngữ khi chuyển tiếp một gói với nhãn gắn trước tiêu đề lớp 3 Mộtnhãn được mã hóa với 20Bit, nghĩa là có thể có 2020 giá trị nhãn khác nhau Mộtgói có nhiều nhãn gọi là chồng nhãn (Label Stack) Ở mỗi chặng trong mạng chỉ cómột nhãn bên ngoài được xem xét Các kỹ thuật lớp 2 như Ethernet, Token Ring,FDDI, PPP không có trường nào phù hợp trong header của frame có thể mang nhãn

Vì vậy, stack nhãn sẽ được chứa trong shim header Shim header được chèn vàogiữa header lớp liên kết và header lớp mạng

Cơ chế cell mode

Thuật ngữ này dùng khi có một mạng gồm các ATM LSR dùng MPLS trongmặt phẳng điều khiển để trao đổi thông tin VPI/VCI thay vì dùng báo hiệu ATM.Trong kiểu tế bào, nhãn là trường VPI/VCI của tế bào Sau khi trao đổi nhãn trongmặt phẳng điều khiển, ở mặt phẳng chuyển tiếp, router ngõ vào (ingress router)phân tách gói thành các tế bào ATM, dùng giá trị VCI/CPI tương ứng đã trao đổitrong mặt phẳng điều khiển và truyền tế bào đi Các ATM LSR ở phía trong hoạtđộng như chuyển mạch ATM – chúng chuyển tiếp một tế bào dựa trên VPI/VCIvào và thông tin cổng ra tương ứng Cuối cùng, router ngõ ra (egress router) sắp xếplại các tế bào thành một gói.

1.2.2 Cấu trúc của một router chạy MPLS

Gồm hai khối: Control Plane và Data Plane

Hình 1-2 Cấu trúc của một router MPLS

Khối điều khiển (Control Plane) - Là nơi trao đổi thông tin định tuyến vànhãn.

Mặt phẳng điều khiển MPLS chịu trách nhiệm tạo ra và lưu trữ thông tin vềnhãn trong bảng LIB Tất cả các node MPLS cần được chạy một giao thức địnhtuyến IP để trao đổi thông tin định tuyến đến các node MPLS khác trong mạng Cácnode MPLS enable ATM sẽ dùng một bộ điều khiển nhãn (LSC–Label SwitchController) như router 7200, 7500 hoặc dùng một modul xử lý tuyến (RMP – RouteProcessor Module)

Giao thức định tuyến Link-State như: OSPF và IS-IS là các giao thức được lựachọn làm giao thức định tuyến tại miền MPLS vì chúng cung cấp cho mỗi nodeMPLS thông tin của toàn miền Trong các bộ định tuyến thông thường, bảng địnhtuyến IP dùng để xây dựng bộ lưu trữ chuyển mạch nhanh (Fast switching cache)hoặc FIB (dùng bởi CEF - Cisco Express Forwarding) Với MPLS, bảng định tuyến

IP cung cấp thông tin của mạng đích và subnet prefix Các giao thức định tuyếnlink-state gửi thông tin định tuyến (flood) cho toàn miền Còn thông tin liên kếtnhãn sẽ được phân phối giữa các router nối trực tiếp với nhau bằng cách sử dụnggiao thức phân phối LDP (Label Distribution Protocol) hoặc TDP (Ciscoproproetary Tag Distribution protocol)

Các nhãn được trao đổi giữa các nút MPLS kế cận để xây dựng nên bảngLFIB MPLS dùng một mẫu chuyển tiếp dựa trên sự hoán đổi nhãn để kết nối vớicác modul điều khiển khác nhau Mỗi modul điều khiển chịu trách nhiệm đánh dấu

và phân phối một tập các nhãn cũng như lưu trữ các thông tin điều khiển có liênquan khác Các giao thức IGP (Interior Gateway Potocols) được dùng để xác nhậnkhả năng đến được của tuyến

Sau khi giao thức định tuyến quyết định được tuyến đường đi tốt nhất sẽ lưuthông tin này vào trong bảng RIB Đồng thời, giao thức phân phối nhãn cũng tựđộng trao đổi thông tin để phát sinh ra các nhãn tương ứng cho mỗi route Thông tinnày được lưu trong bảng FIB

Khối dữ liệu - Chuyển tiếp gói tin dựa trên label

Mặt phẳng chuyển tiếp sử dụng một cơ sở thông tin chuyển tiếp nhãn (LFIB Label Forwarding Information Base) để chuyển tiếp các gói Mỗi nút MPLS có haibảng liên quan đến việc chuyển tiếp là: cơ sở thông tin nhãn (FIB - Forwarding

-Information Base) và LFIB FIB chứa tất cả các nhãn được nút MPLS cục bộ đánhdấu và ánh xạ của các nhãn này đến các nhãn được nhận từ láng giềng (MPLSneighbor) của nó Hay đây chính là nơi được bảng RIP từ khối Control Plane liêntụp update thông tin xuống Và bảng LFIB cũng vậy, thông tin liên tục được cậpnhật từ bảng LIB.

Giả sử gói tin nhận được, sau khi tra cứu thông tin trong bản LFIB chúng nhận

ra có hai giá trị nhãn được gán tương ứng với thông tin về gói tin này Lúc đó, việcquyết định để gói tin được “dán” giá trị nhãn nào sẽ được dựa trên thông tin do bảngFIB cung cấp Tùy theo việc sử dụng giao thức định tuyến nào được triển khai trêncác router mà bảng FIB sẽ đưa ra quyết định mà nó cho là tối ưu nhất

Các thành phần Control Plane và Data Plane của MPLS

Cisco Express Forwarding (CEF) là nền tảng cho MPLS và hoạt động trên cácrouter của Cisco Do đó, CEF là điều kiện tiên quyết trong thực thi MPLS trên mọithiết bị của Cisco ngoại trừcác ATM switch chỉ hỗ trợ chức năng của mặt phẳngchuyển tiếp dữ liệu

CEF là một cơ chế chuyển mạch thuộc sở hữu của Cisco nhằm làm tăng tínhđơn giản và khả năng chuyển tiếp gói IP CEF tránh việc viết lại overhead của cachetrong môi trường lõi IP bằng cách sử dụng một cơ sở thông tin chuyển tiếp (FIB –Forwarding Information Base) để quyết định chuyển mạch Nó phản ánh toàn bộnội dung của bảng định tuyến IP (IP routing table), ánh xạ1-1 giữa FIB vàbảng định tuyến Khi router sử dụng CEF, nó duy trì tối thiểu 1 FIB, chứa một ánh

xạ các mạng đích trong bảng định tuyến với các trạm kế tiếp (next-hop adjacencies)tương ứng FIB ởtrong mặt phẳng dữ liệu, nơi router thực hiện cơ chế chuyển tiếp

và xử lý các gói tin Trên router còn duy trì hai cấu trúc khác là cơ sở thông tin nhãn(LIB – Label Information Base) và cơ sở thông tin chuyển tiếp nhãn (LFIB –LabelForwarding Information Base) Giao thức phân phối sử dụng giữa các láng giềngMPLS có nhiệm vụtạo ra các chỉ mục (entry) trong hai bảng này LIB thuộc mặt phẳng điều khiển và được giao thức phân phối nhãn sử dụng khi địa chỉ mạng đíchtrong bảng định tuyến được ánh xạ với nhãn nhận được từ router xuôi dòng LFIBthuộc mặt phẳng dữ liệu và chứa nhãn cục bộ (local label) đến nhãn trạm kế ánh xạvới giao tiếp ngõ ra (outgoing interface), được dùng để chuyển tiếp các gói đượcgán nhãn Như vậy, thông tin về các mạng đến được do các giao thức định tuyếncung cấp dùng để xây dựng bảng định tuyến (RIB - Routing Information Base) RIB

cung cấp thông tin cho FIB LIB được tạo nên dựa vào giao thức phân phối nhãn và

từ LIB kết hợp với FIB tạo ra LFIB

- Gói tin đi từ R1 đến R5:

- R1 nhận được gói tin: nó sử dụng giao thức LDP để tự động phát sinh ranhãn 19 gán tương ứng với địa chỉ IP đích là 127.0.0.0/15 – rồi chuyển tớiR2, R4

- R2, R4 nhận được gói tin có địa chỉ IP đích 127.0.0.0/15: phát sinh tươngứng các nhãn 20 và 21 – rồi đẩy gói tin tới Router kế sau

- R3 nhận được và phát sinh nhãn 22 cho gói tin nhận được từ R2, tiếp tục đẩygói tin tới R5

- Tất cả thông tin nhãn cho mạng 127.0.0.0/15 được các router: R1, R2, R3,R4 lưu ở trong bảng LIB và LFIB

- R5 nhận được gói tin và tháo nhãn, chuyển ra bên ngoài

- Trên R5 lúc này bao gồm 2 thông tin về tuyến đường có địa chỉ 127.0.0.0/15

là nhãn số 21 (nhận được từ R4) và nhãn số 22 (nhận được từ R3) lưu thôngtin này vào trong bảng LIB

Gói tin đi từ R5 về R1:

- IP nguồn 127.0.0/15

- IP đích 10.0.0.0/8

Hình 1-4 Cơ chế chuyển gói tin theo chiều về trong MPLS

- Do thông tin lưu trong bảng LIB ở R5 về tuyến đường đi từ R5 về R1 gồm 2nhãn: số 21(qua R4) và số 22 (qua R5) Nên để chọn được tuyến đường đi tối

ưu nhất cho quá trình chuyển gói tin Router R5 sẽ thực hiện tham chiếuthông tin từ bảng định tuyến

- Giả sử ở miền MPLS dùng giao thức định tuyến OSPF Như vậy theo kết nốiphía trên, gói tin sẽ được gán nhãn 22 chuyển qua R3

- Tới R3, gói tin được dán nhãn số 20 và chuyển tới R2

- Gói tin đi tới R2 được dán lại nhãn số 19 và chuyển tới R1

- Tại R1 thực hiện việc gỡ nhãn và chuyển ra ngoài

là tự định nghĩa chồng nhãn (Label Stack)

Nhãn là giá trị có chiều dài cố định dùng để nhận diện một FEC nào đó Nhãnđược “dán ” lên một gói để báo cho LSR biết gói này cần đi đâu Giá trị nhãn được

sử dụng làm cơ sở cho quyết định switching và được lưu bảng chuyển tiếp Nhãn

của gói tin đi ra là nhãn “ngõ ra”, tương tự cho nhãn của gói tin đi vào là nhãn “ngõvào” Một gói tin có thể có cả nhãn ngõ ra và ngõ vào, có thể có nhãn ngõ vào màkhông có nhãn ngõ ra hoặc là ngược lại Thường thường, một gói tin có thể có nhiềunhãn được gọi là chồng nhãn (lable stack) Các nhãn trong chồng nhãn được tổ chứctheo kiểu chồng nhãn LIFO (last-in, first-out) Một gói tin không có gắn nhãn đượcxem là có chiều sâu chồng nhãn bằng 0 Chiều sâu d của chồng nhãn tương ứng vớitrình từ của nhãn trong chồng nhãn <1,2,3 ,d-1,d> với nhãn 1 ở đáy chồng nhãn

và nhãn d ở đỉnh của chồng nhãn Tại mỗi hop trong mạng, chúng chỉ xử lý nhãnhiện hành trên đỉnh stack Chính nhãn này sẽ được LSR sử dụng để chuyển tiếp gói.Công thức để gán nhãn gói tin là:

Network Layer Packet + MPLS Label StackKhông gian nhãn (Label Space): có hai loại Một là, các giao tiếp dùng chunggiá trị nhãn (per-platform label space) Hai là, mỗi giao tiếp mang giá trị nhãn riêng,(Per-interface Label Space) Bộ định tuyến chuyển nhãn (LSR – Label SwitchRouter): ra quyết định chặng kế tiếp dựa trên nội dung của nhãn, các LSP làm việc

ít và hoạt động gần như Switch

Đường chuyển nhãn (LSP – Label Switch Path): như đã được đề cập ở phíatrên, LSP dùng để xác định đường đi của gói tin MPLS Gồm hai loại: Hop by hopsignal LSP - xác định đường đi khả thi nhất theo kiểu best effort và Explicit routesignal LSP - xác định đường đi từ nút gốc

Sự kết hợp giữa FEC và nhãn được gọi là ánh xạ nhãn - FEC MPLS đượcthiết kế để sử dụng ở bất kì môi trường và hình thức đóng gói lớp 2 nào, hầu hết cáchình thức đóng gói lớp 2 là dựa trên frame, và MPLS chỉ đơn giản thêm vào nhãn

32 bit giữa mào đầu lớp 2 và lớp 3, gọi là shim header Phương thức đóng gói nàygọi là Frame-mode MPLS

ATM là một trường hợp đặc biệt sử dụng cell có chiều dài cố định Do đónhãn không thể được thêm vào trong mỗi cell MPLS sử dụng các giá trị VPI/VCItrong mào đầu ATM để làm nhãn Phương thức đóng gói này được gọi là Cell-modeMPLS

Nhãn MPLS là một sự đột phá, nó dựa trên ý tưởng VPI/VCI của mạng ATMnhưng cao cấp hơn, gồm 32 bit

Định dạng nhãn được miêu trả dưới đây:

LABEL EXP S TTL

Trong đó:

Label: Trường này gồm 20 bit, như vậy chúng ta sẽ có hơn 1 tỷ nhãn khác

nhau sử dụng, đây chính là phần quan trọng nhất trong nhãn MPLS nó dùng đểchuyển tiếp gói tin trong mạng

Nhãn có giá trị: từ 0 đến 220-1

Từ 0 – 15: dành riêng cho các chức năng không sử dụng

Nhãn được phép sử dụng là từ 16 tới 220-1 Trong đó trên các thiết bị Cisco giátrị nhãn được cấp là từ 16 đến 100.000

EXP (Experimental): Trường này gồm 3 bit, nó dùng để mapping với trường

ToS hoặc DSCP trong gói tin tới để thực hiện QoS

S (Bottom of Stack): Chỉ có 1 bit, khi một gói tin đi qua một tunnel, nó sẽ có

nhiều hơn 1 nhãn gắn vào, khi đó ta sẽ một stack nhãn, bit S này có phải nhãn cuốicùng của chồng nhãn (Label stack) chưa Nếu bit này được bật lên có nghĩa đây lànhãn cuối cùng của chồng nhãn nếu ở đáy thì S=1, ngược lại S=0 dung để chỉ rarằng nhãn này có nằm đáy Stack không,

TTL (Time – to –Live): Trường này như trường TTL trong IP header, khi

chuyển tiếp gói tin nếu như router không tìm thấy destination mà tiếp tục chạy trongmạng thì sẽ xảy ra loop làm nghẽn mạng (congestion) TTL dùng để khắc phục điềunày, giá trị ban đầu của nó là 255, mỗi khi đi qua một router thì giá trị này sẽ giảm

đi 1, nếu như giá trị này đã giảm về 0 mà gói tin vẫn chưa tới đích sẽ bị drop Khigói tin đến router biên thì trường TTL trong IP header sẽ giảm đi một và copy quatrường TTL trong nhãn MPLS, giá trị này sẽ giảm dần khi đi qua mạng MPLS, khi

ra khỏi mang MPLS thì trường nay lại được copy qua trường TTL trong IP header,nếu giá trị là 0 thì gói sẽ bị rớt (drop)

Nhãn MPLS ở chế độ Cell- mode

Hình 1-5 Nhãn MPLS ở chế độ Cell – modeNhãn MPLS ở chế độ Frame mode

Hình 1-6 Nhãn MPLS ở chế độ Frame ModeCác loại nhãn đặc biệt:

- Untagged: gói MPLS đến được chuyển thành một gói IP và chuyển tiếp đếnđích

- Nhãn Implicit-null hay POP: Nhãn này được gán khi nhãn trên (top label)của gói MPLS đến bị bóc ra và gói MPLS hay IP được chuyển tiếp tới trạm kế xuôidòng Giá trị của nhãn này là 3 (trường nhãn 20 bit) Nhãn này được dùng trongmạng MPLS cho những trạm kế cuối

- Nhãn Explicit-null: Chỉ mang giá trị EXP, giá trị nhãn bằng 0, được gán đểgiữ giá trị EXP cho nhãn trên (top label) của gói đến Nhãn trên được hoán đổi vớigiá trị 0 và chuyển tiếp như một gói MPLS tới trạm kế xuôi dòng Nhãn này sửdụng khi thực hiện QoS với MPLS trong mô hình Pipe Mode

- Nhãn Aggregate: với nhãn này, khi gói MPLS đến nó bị bóc tất cả nhãntrong chồng nhãn ra để trở thành một gói IP và thực hiện tra cứu trong FIB để xácđịnh giao tiếp ngõ ra cho nó

1.3.2 Phân phối nhãn bằng giao thức LDP

Giao thức phân phối nhãn được nhóm nghiên cứu MPLS của IETF xây dựng

và ban hành dưới tên RFC 3036 Phiên bản mới nhất được công bố năm 2001 đưa ranhững định nghĩa và nguyên tắc hoạt động của giao thức LDP

Một kết nối TCP được thiết lập giữa các LSR đồng cấp để đảm bảo các bản tinLDP được truyền một cách trung thực theo đúng thứ tự Các bản tin LDP có thểxuất phát từ trong bất cứ một LSR nào (điều khiển đường chuyển mạch nhãn LSPđộc lập) hoặc từ LSR biên (điều khiển LSP theo lệnh) và chuyển từ LSR phía trướcđến LSR liền kề Việc trao đổi các bản tin LDP có thể được khởi phát bởi sự xuấthiện của luồng số liệu đặc biệt, bản tin lập dự trữ RSVP hay cập nhật thông tin địnhtuyến Khi một cặp LSR đã trao đổi bản tin LDP cho một FEC nhất định thì mộtđường chuyển mạch LSP từ đầu vào đến đầu ra được thiết lập sau khi mối LSRghép nhãn đầu vào với nhãn đầu ra tương ứng trong LIB của nó

LDP có thể hoạt động giữa các LSR kết nối trực tiếp hay không được kết nốitrực tiếp Các LSR sử dụng LDP để hoán đổi thông tin ràng buộc FEC và nhãn đượcgọi là các thực thể đồng cấp LDP; chúng hoán đổi thông tin này bằng việc xây dựngcác phiên LDP

Các loại bản tin LDP

LDP định nghĩa 4 loại bản tin đó là: Bản tin thăm dò, Bản tin phiên, Bản tinphát hành, Bản tin thông báo Bốn loại bản tin này cũng nói lên chức năng mà nóthực hiện Đa số các bản tin LDP chạy trên giao thức TCP để đảm bảo độ tin cậycủa các bản tin (ngoại trừ bản tin thăm dò)

Bản tin thăm dò (Discovery): dùng để thông báo và duy trì sự có mặt của 1

LSR trong mạng Theo định kỳ, LSR gửi bản tin Hello qua cổng UDP với địa chỉmulticast của tất cả các router trên mạng con

Bản tin phiên (Session): dùng để thiết lập, duy trì, và xoá các phiên giữa các

LSR Hoạt động này yêu cầu gửi các bản tin Initialization trên TCP Sau khi hoạtđộng này hoàn thành các LSR trở thành các đối tượng ngang cấp LDP

Bản tin phát hành (Advertisement): dùng để tạo, thay đổi và xoá các ràng

buộc nhãn với các FEC Những bản tin này cũng mang trên TCP Một LSR có thểyêu cầu 1 ánh xạ nhãn từ LSR lân cận bất cứ khi nào nó cần Nó cũng phát hành cácánh xạ nhãn bất cứ khi nào nó muốn một đối tượng ngang cấp LDP nào đó sử dụngràng buộc nhãn

Bản tin thông báo (Notification): dùng để cung cấp các thông báo lỗi, thông

tin chẩn đoán, và thông tin trạng thái Những bản tin này cũng mang trên TCP.LDP có những tính chất sau:

- Cung cấp cơ chế nhận biết LSR cho phép các LSR ngang cấp tìm kiếm nhau vàthiết lập kết nối

- Chạy trên TCP cung cấp phương thức phân phối bản tin đáng tin cậy (ngoại trừcác bản tin DISCOVERY)

- Thiết kế cho phép khả năng mở rộng dễ dàng, sử dụng các bản tin được xác địnhnhư một tập hợp các đối tượng mã hóa TLV (kiểu, độ dài, giá trị) Mã hóa TLVnghĩa là mỗi đối tượng bao gồm một trường kiểu biểu thị về loại đối tượng chỉđịnh, một trường độ dài thông báo độ dài của đối tượng và một trường giá trị phụthuộc vào trường kiểu Hai trường đầu tiên có độ dài cố định và được đặt tại vị tríđầu tiên của đối tượng cho phép dễ dàng thực hiện việc loại bỏ kiểu đối tượng mà

nó không nhận ra Trường giá trị có một đối tượng có thể gồm nhiều đối tượng

mã hóa TLV hơn

Trong một miền MPLS, một nhãn gán tới một địa chỉ đích được phân phốitới các láng giềng ngược dòng sau khi thiết lập session Việc kết nối giữa mạng cụthể với nhãn cục bộ và một nhãn trạm kế(nhận từ router xuôi dòng) được lưu trữtrong LFIB và LIB MPLS dùng các phương thức phân phối nhãn như sau:

- Yêu cầu xuôi dòng (Downstream on demand)

Hình 1-7 Phân phối nhãn Downstream on demand

- Tự nguyện xuôi dòng (Unsolicited downstream)

Hình 1-8 Phân phối nhãn Unsolicited downstreamThủ tục phát hiện LDP láng giềng

Thủ tục phát hiện LSR lân cận của LDP chạy trên UDP và thực hiện như sau:

- Một LSR định kỳ gửi đi bản tin HELLO tới các cổng UDP đã biết trong tất

cả các bộ định tuyến trong mạng con của nhóm multicast

- Tất cả các LSR tiếp nhận bản tinh HELLO này trên cổng UDP Như vậy, tạimột thời điểm nào đó LSR sẽ biết được tất cả các LSR khác mà nó có kết nốitrực tiếp

- Khi LSR nhận biết được địa chỉ của LSR khác bằng cơ chế này thì nó sẽ thiếtlập kết nối TCP đến LSR đó

- Khi đó phiên LDP được thiết lập giữa 2 LSR Phiên LDP là phiên hai chiềunghĩa là mỗi LSR ở hai đầu kết nối đều có thể yêu cầu và gửi liên kết nhãn

Trong trường hợp các LSR không kết nối trực tiếp trong một mạng con(subnet) người ta sử dụng một cơ chế bổ sung như sau: LSR định kỳ gửi bản tinHELLO đến cổng UDP đã biết tại địa chỉ IP xác định được khai báo khi lập cấuhình Đầu nhận bản tin này có thể trả lời lại bằng bản tin HELLO khác truyền mộtchiều ngược lại đến LSR gửi và việc thiết lập các phiên LDP được thực hiện nhưtrên Thông thường trường hợp này hay được áp dụng khi giữa 2 LSR có một nhãnLSP cho điều khiển lưu lượng và nó yêu cầu phải gửi các gói có nhãn qua đườngLSP đó.

Hình 1-9 Chế độ duy trì nhãn liberal label retention modeChế độ duy trì nhãn thường xuyên (conservative label retention mode): duy trìnhãn dựa vào hồi đáp LDP hay TDP của trạm kế Nó hủy các kết nối từ LSR xuôidòng mà không phải trạm kế của đích đến chỉ định nên giảm thiểu được bộ nhớ

Hình 1-10 Chế đội duy trì nhãn conservative label retention mode

1.4 Ưu điểm của kĩ thuật chuyển mạch nhãn

1.4.1 Hợp nhất hạ tầng, tính đa giao thức

Đây là đặc điểm nổi trội nhất và cũng là ưu điểm lớn nhất của MPLS với khảnăng tương thích cực tốt Có thể vận chuyển cho nhiều giao thức khác nhau: IPv4,IPv6,

MPLS làm việc với hầu hết các công nghệ liên kết dữ liệu

MPLS là kỹ thuật chuyển tiếp và trao đổi nhãn, nhưng có kết hợp trao đổinhãn với định tuyến lớp mạng Việc trao đổi nhãn nghĩa là thay đổi giá trị nhãntrong mào đầu gói khi gói di chuyển từ một nút mạng này tới nút mạng khác Ýtưởng này của MPLS không chỉ giúp cải thiện hoạt động của định tuyến lớp mạng

và độ đáp ứng của lớp mạng Mà còn mang lại lợi ích hơn nữa là cung cấp độ linhhoạt lớn hơn trong việc phân phối dịch vụ định tuyến (cho phép thêm vào các dịch

vụ định tuyến mới mà không thay đổi mô hình chuyển tiếp)

MPLS không yêu cầu một giao thức phân phối nhãn riêng biệt

Nó chấp nhận việc dùng của các giá trị nhãn giữa các LSR cạnh nhau Cácgiao thức đó là RSVP, BGP, LDP Trong đó LDP của cisco được chú ý nhất ngay từkhi nó được thiết kế để cho mạng MPLS, các giao thức còn lại cũng là các phươngthức tốt cho việc phân bổ nhãn

Sự tích hợp cao

MPLS xác nhập tính năng của IP và ATM chứ không xếp chồng lớp IP trênATM MPLS giúp cho cơ sở hạ tầng ATM thấy được định tuyến IP và loại bỏ cácyêu cầu ánh xạ giữa các đặc tính IP và ATM MPLS không cần địa chỉ ATM và kỹthuật định tuyến

Cung cấp khả năng mở rộng mạng

MPLS không chỉ cung cấp các dịch vụ tốc độ cao mà nó còn có thể cung cấpcho mạng khả năng mở rộng Khả năng mở rộng liên quan đến khả năng mà một hệthống, trong trường hợp chúng ta quan tâm là Internet, có khả năng điều chỉnh đểphù hợp với một lượng lớn người sử dụng đang tăng lên từng ngày Hàng ngànngười sử dụng mới và các node hỗ trợ như là router và server đang được đưa vàotrong mạng Internet mỗi ngày Chúng ta thử hình dung nhiệm vụ của router nếu nóphải theo kịp lượng người sử dụng này Chuyển mạch nhãn cung cấp các giải pháp

cho sự phát triển nhanh chóng và xây dựng các mạng lớn bằng việc cho phép mộtlượng lớn các địa chỉ IP được kết hợp với một hay vài nhãn Giải pháp này giảmđáng kể kích cỡ bảng địa chỉ và cho phép router hỗ trợ nhiều người sử dụng hơn.

1.4.2 Tính đơn giản

Một khía cạnh hấp dẫn khác của chuyển mạch nhãn đó là nó là cơ sở của giaothức chuyển tiếp, chuyển tiếp một gói dựa trên nhãn của nó Cách xác định chínhxác nhãn là vấn đề hoàn toàn khác đó là cách cơ chế điều khiển được thực thi đểtương quan giữa nhãn với lưu lượng người sử dụng riêng và không liên quan tớichuyển tiếp thực sự của lưu lượng Cơ chế điều khiển thì phức tạp nhưng không làmảnh hưởng tới hiệu quả của luồng dữ liệu người sử dụng

Nhiều phương pháp được dùng để thiết lập một liên kết nhãn với lưu lượngngười sử dụng Nhưng sau khi liên kết nhãn hoàn thành thì việc vận hành chuyểnmạch nhãn để chuyển tiếp lưu lượng là rất đơn giản Vận hành chuyển mạch nhãn

có thể thực hiện trong phần mềm, trong ASIC hoặc trong bộ xử lý chuyên môn hoá

Độ dài nhãn của MPLS là 4 byte, trong khi với công nghệ IP là 8 byte, việcnày giúp làm giảm kích thước gói tin Cho dù ngày nay công nghệ phát triển sựkhác nhau về độ dài gói tin tới tốc độ truyền mạng hầu như không còn sự khác biệt

1.4.3 Tốc độ và độ trễ

Về mặt tốc độ truyền dẫn

Việc chuyển tiếp trên kĩ thuật truyền thống là quá chậm để tải một lưu lượnglớn từ Internet Thậm chí với kỹ thuật tiên tiến, như là sử dụng bảng tìm kiếm nhanh

dữ liệu thì router vẫn phải hoạt động nhiều hơn khả năng làm việc của nó Kết quả

là mất lưu lượng, mất kết nối và vượt quá khả năng nghèo nàn của mạng IP cơ bản.Chuyển mạch nhãn trái ngược với chuyển tiếp trong IP nó cung cấp một giảipháp hiệu quả cho vấn đề này Lý do chuyển mạch nhãn nhanh hơn là bởi giá trịnhãn được đặt trong mào đầu gói và được dùng để truy cập bảng chuyển tiếp trongrouter Nhãn là danh sách trong bảng Sự tìm kiếm này chỉ yêu cầu một truy cập tớibảng, ngược lại bảng định tuyến truyền thống có thể đòi hỏi hàng ngàn tìm kiếm.Kết quả của sự vận hành hiệu quả này là lưu lượng của người sử dụng tronggói được gửi qua mạng nhanh hơn nhiều so với chuyển tiếp IP truyền thống, độ trễ

và độ đáp ứng thời gian giảm đi do sự thoả thuận giữa các người sử dụng

Về độ trễ của việc truyền dẫn

Khi đi qua các router, delay của quá trình truyền gói tin phụ thuộc vào sốlượng gói và khoảng thời gian mà bảng tìm kiếm phải xử lý trong một khoảng thờigian quy định Kết quả cuối cùng tại đích là tổng cộng tất giá trị delay tại mỗi nodemạng Nếu độ trễ lớn sẽ dẫn tới ảnh hưởng chất lượng của các gói thoại, video vìlàm cho cuộc nói chuyện thất thường, cuộc thoại bị mất đi tính liên tục Với MPLS,

độ trễ trong mạng được giữ ở mức thấp nhất do các gói tin trong mạng không phảithông qua các hoạt động đóng gói và mã hóa khi qua mỗi node mạng Vận hànhchuyển mạch nhãn hiệu quả hơn do bởi dữ liệu được gửi qua mạng nhanh hơn, ít trễhơn so với định tuyến IP truyền thống

1.4.4 Tìm kiếm đường đi linh hoạt

Định tuyến trong Internet được thực hiện bởi việc sử dụng địa chỉ IP đích(hoặc trong LAN với địa chỉ MAC đích Kĩ thuật định tuyến dựa trên địa chỉ IP là

kĩ thuật phổ biến Tuy nhiên khi MPLS ra đời, nó cho phép các tuyến xuyên quamạng để điều khiển tốt hơn Xét ví dụ minh họa sau:

Chuyển mạch nhãn cho phép các tuyến xuyên qua mạng để điều khiển tốt hơnVới giá trị nhãn khác nhau, các gói sẽ được R3 gửi tương ứng đi qua R4 và R5 đểtới R6 MPLS cung cấp một công cụ để bố trí các nút và liên kết lưu lượng phù hợp,thuận lợi hơn, cũng như đưa ra phân lớp chính xác các phân lớp lưu lượng (dựa trênQoS cần) khác nhau của dịch vụ Việc dùng chuyển mạch nhãn và sự cần thiết củaphân lớp lưu lượng là kỹ thuật lưu lượng

Nhược điểm của MPLS

- Hỗ trợ đồng thời nhiều giao thức sẽ gặp phải những vấn đề phức tạptrong kết nối

- Khó hỗ trợ QoS xuyên suốt

- Hợp nhất VC cần phải được nghiên cứu sâu hơn để giải quyết vấn đềchèn gói tin khi trùng nhãn (Interleave)

CHƯƠNG 2 CÔNG NGHỆ MPLS VPN

2.1 Giới thiệu về công nghệ MPLS VPN

2.1.1 Tổng quan về công nghệ VPN

Ngày nay, mỗi công ty đều có trụ sở phân tán ở nhiều nơi Để kết nối các máytính tại các vị trí này, công ty đó cần có một mạng thông tin Mạng đó là mạng riêngvới ý nghĩa là nó chỉ được công ty đó sử dụng Mạng đó là mạng riêng cũng với ýnghĩa là kế hoạch định tuyến và đánh địa chỉ trong mạng đó độc lập với việc địnhtuyến và đánh địa chỉ của các mạng khác Mạng đó là một mạng ảo với ý nghĩa làcác phương tiện được sử dụng để xây dựng mạng này có thể không dành riêng chocông ty đó mà có thể chia sẻ dùng chung với các công ty khác Các phương tiện cầnthiết để xây dựng mạng này được cung cấp bởi người thứ ba được gọi là nhà cungcấp dịch vụ VPN Các công ty sử dụng mạng được gọi là các khách hàng VPN.VPN có thể được sử dụng để mở rộng phạm vi của một Intranet Bởi vì,Intranet thường được sử dụng để trao đổi thông tin một cách độc quyển và ta khôngmuốn những thông tin này được truyền bá trên Internet Tuy nhiên trong nhiềutrường hợp, các văn phòng công ty trên diện rộng có nhu cầu chia sẻ thông tin vànhững người sử dụng từ xa muốn truy cập vào Intranet thông qua Internet VPN sẽcho phép kết nối vào Intranet một cách an toàn và không lo ngại bị lộ thông tin Cóthể coi kết nối loại này như là Extranet Điểm khác nhau giữa hai trường hợpIntranet và Extranet đó là câu hỏi ai là người đặt ra các chính sách của mạng VPN,trong trường hợp mạng Intranet thì đó là một công ty còn trong trường hợp mạngExtranet thì đó là một nhóm công ty Sử dụng ví dụ trên về cơ sở dữ liệu kháchhàng, rất dễ hiểu là làm thế nào mà VPN có thể mở rộng khả năng ứng dụng củaIntranet Giả sử tất cả các nhân viên bán hàng của công ty đang đi công tác hoặc làlàm việc tại nhà Họ có thể sử dụng Internet để truy cập vào các WebServer chứanhững thông tin về khách hàng VPN cung cấp kết nối đảm bảo an toàn giữa máytính của nhân viên và WebServer chứa CSDL và mã hóa dữ liệu VPN cho phép khảnăng sử dụng linh hoạt đối với bất cứ dịch vụ mạng nào được sử dụng một cách antoàn thông qua Internet

Tạo ra mạng riêng ảo yêu cầu các cơ chế cho phép một cơ sở hạ tầng chungđược chia sẻ trong khi vẫn làm cho các khách hàng tin rằng họ được đảm bảo sựriêng tư Các kỹ thuật chẳng hạn IP tunneling qua một backbone IP có thể hỗ trợ sựtách biệt về topology, nhưng IP backbone vẫn cần thiết được đảm bảo băng thôngkhả dụng xác định và độ trễ đầu cuối đến đầu cuối cho các IP tunnel khác nhau Cónhiều mô hình kết nối các Site với nhau Nó có thể là kết nối dạng mắt lưới hoặccũng có thể là kết nối hình sao qua Hub Một ví dụ khác về cấu hình kết nối giữacác Site thuộc hai hoặc nhiều nhóm là các Site trong mỗi nhóm được kết nối vớinhau dạng mắt lưới còn các Site trong các nhóm khác nhau được kết nối gián tiếpthông qua một Site cụ thể.

VPN là một cách mô phỏng mạng riêng trên một mạng công cộng nhưInternet Nó được gọi là ảo bởi vì nó phụ thuộc vào việc sử dụng các kết nối ảo, đó

là những kết nối tạm thời gồm các gói được định tuyến trên nhiều máy tính trênInternet theo một cấu trúc đặc biệt Các kết nối ảo đảm bảo an ninh được thiết lậpgiữa các máy tính, giữa các mạng, giữa mạng và máy tính Sử dụng Internet chotruy cập từ xa sẽ tiết kiệm được chi phí Ta có thể quay số ở bất cứ đâu chỉ cần tại

đó ISP có điểm truy nhập POP Nếu ISP có các điểm POP mang tính quốc gia thìđối với mạng LAN sẽ chỉ là các cuộc gọi nội hạt Một vài ISP có thể có các mở rộngquốc tế hoặc có sự thỏa thuận với các ISP khác Việc lựa chọn ISP sẽ rẻ hơn đối vớiviệc truy cập từ xa với những người sử dụng roaming

VPN được thiết lập giữa các router tại hai chi nhánh của công ty thông quaInternet Hơn nữa, VPN cho phép hợp nhất các kết nối Internet và WAN vào mộtrouter và một đường truyền, điều này giúp tiết kiệm chi phí thiết bị và hạ tầng cơ sởviễn thông

2.1.2 Mô hình Site to Site VPN và Remote Access VPN

Site to Site VPN

Sự phân biệt giữa remote access VPN và Lan to Lan VPN chỉ đơn thuần mangtính chất tượng trưng Ví dụ như các thiết bị VPN dựa trên phần cứng mới (nhưRouter cisco 3002), ở đây để phân loại được, phải áp dụng cả hai cách Bởi vìhardware-based client có thể xuất hiện nếu một thiết bị đang truy cập vào mạng.Mặc dù một mạng có thể có nhiều thiết bị VPN đang vận hành Một ví dụ khác như

là chế độ mở rộng của giải pháp VPN bằng cách dùng router 806 và 17xx

Áp dụng trong trường hợp công ty có một hoặc nhiều địa điểm ở xa, mỗi địađiểm đều đã có một mạng cục bộ LAN Khi đó họ có thể xây dựng một mạng riêng

ảo để kết nối các mạng cục bộ vào một mạng riêng thống nhất

Hình 2-11 VPN Site – to – SiteSite-to-site VPN(Lan-to-Lan VPN): được áp dụng để cài đặt mạng từ một vịtrí này kết nối tới mạng của một vị trí khác thông qua VPN Trong hoàn cảnh nàythì việc chứng thực ban đầu giữa các thiết bị mạng được giao cho người sử dụng.Nơi mà có một kết nối VPN được thiết lập giữa chúng Khi đó các thiết bị này đóngvai trò như là một gateway, và đảm bảo rằng việc lưu thông đã được dự tính trướccho các site khác Các router và Firewall tương thích với VPN, và các bộ tập trungVPN chuyên dụng đều cung cấp chức năng này

Site to site VPN là sự kết nối hai mạng riêng lẻ thông qua một đường hầm bảomật đường hầm bảo mật này có thể sử dụng các giao thức PPTP, L2TP, hoặcIPSec,mục đích của Lan-to-Lan VPN là kết nối hai mạng không có đường nối lạivới nhau, không có việc thỏa hiệp tích hợp, chứng thực, sự cẩn mật của dữ liệu.Ta

có thể thiết lập một Lan-to-Lan VPN thông qua sự kết hợp của các thiết bị: CiscoIOS security routers, PIX Firewalls, Catalyst VPN Service Modules, and AdaptiveSecurity Appliance (ASA) firewall

Kết nối Lan-to-Lan được thiết kế để tạo một kết nối mạng trực tiếp, hiệu quảbất chấp khoảng cách vật lý giữa chúng Có thể kết nối này luân chuyển thông quainternet hoặc một mạng không được tin cậy.Bạn phải đảm bảo vấn đề bảo mật bằngcách sử dụng sự mã hóa dữ liệu trên tất cả các gói dữ liệu đang luân chuyển giữacác mạng đó

Nó có thể được xem như là Intranet VPN hoặc Extranet VPN(xem xét về mặtchính sách quản lý) Nếu chúng ta xem xét dưới góc độ chứng thực nó có thể đượcxem như là một Intranet VPN, ngược lại chúng được xem như là một ExtranetVPN Tính chặt chẽ trong việc truy cập giữa các Site có thể được điều khiển bởi cảhai(Intranet và Extranet VPN) theo các site tương ứng của chúng.

Điều kiện triển khai - Để thực hiện được VPN Site - to Site cần:

Có ít nhất 02 VPN Getway(Mỗi VPN Getway có 01 IP Public) Đây là điểmtập trung xử lý khi VPN Getway phía bên kia quay số truy cập vào

Các Client kết nối vào hệ thống mạng nội bộ

Remote Access VPN

Giới thiệu

Hình 2-12 Remote Access VPN

Remote Access VPN mô tả việc các người dùng ở xa sử dụng các phần mềmVPN để truy cập vào mạng Intranet của công ty thông qua gateway hoặc VPNconcentrator (bản chất là một server) Vì lý do này, giải pháp này thường được gọi

là client/server Trong giải pháp này, người dùng thường thường sử dụng các côngnghệ WAN truyền thống để tạo lại các tunnel về mạng CO của họ

Remote Access VPNs cho phép người dùng truy cập bất cứ lúc nào bằng điệnthoại di động và các thiết bị truyền thông của nhân viên các chi nhánh kết nối đếntài nguyên mạng của tổ chức

Một hướng phát triển khác trong Remote Access VPN là dùng Wireless VPN,trong đó một nhân viên có thể truy cập về mạng của họ thông qua kết nối khôngdây Trong thiết kế này, các kết nối không dây cần phải kết nối về một trạmWireless (Wireless Terminal) và sau đó về mạng của công ty Trong cả hai trườnghợp, phần mềm Client trên máy PC đều cho phép khởi tạo các kết nối bảo mật.Một phần quan trọng của thiết kế này là việc thiết kế quá trình xác thực banđầu nhằm để đảm bảo là yêu cầu được xuất phát từ một nguồn tin cậy Thôngthường giai đoạn ban đầu này dựa trên cùng một chính sách về bảo mật của công ty.Chính sách này bao gồm: qui trình (procedure), kỹ thuật, server (such as RemoteAuthentication Dial-In User Service [RADIUS], Terminal Access Controller AccessControl System Plus [TACACS+]…)

Điều kiện triển khai

Triển khai Remote Access VPNs, những người dùng từ xa hoặc các chi nhánhvăn phòng chỉ cần cài đặt một kết nối cục bộ đến nhà cung cấp dịch vụ ISP hoặcISP’s POP và kết nối đến tài nguyên thông qua Internet Thông tin Remote AccessSetup được mô tả bởi hình vẽ sau:

Cơ chế hoạt động.

Cung cấp các truy cập từ xa đến một Intranet hay Extranet dựa trên cấu trúc hạtầng chia sẻ Access VPN, đây là kết nối user to LAN dành cho nhân viên muốn kếtnối từ xa đến mạng cục bộ công ty bằng dial-up khi công ty muốn thiết lập Remoteaccess trên quy mô rộng có thể thuê ESP (Enterprise Service Provider) và ESP này

sẽ thiết lập một NAS(Network Access Server) người dùng từ xa sẽ quy số từ 1-800

để truy cập đến NAS và dùng 1 phần mềm VPN đầu cuối để kết nối với mạng cục

bộ của của công ty

2.1.3 Công nghệ MPLS VPN.

Còn được gọi là dịch vụ Mega WAN ở một số nhà cung cấp dịch vụ lớn củaViệt Nam MPLS-VPN : Không giống như các mạng VPN truyền thống, kĩ thuậtMPLS-VPN không sử dụng hoạt động đóng gói và mã hóa gói tin để đạt được mức

độ bảo mật cao MPLS VPN sử dụng bảng chuyển tiếp và các nhãn “tags” để tạonên tính bảo mật cho mạng VPN Kiến trúc mạng loại này sử dụng các tuyến mạngxác định để phân phối các dịch vụ iVPN

Mô hình mạng MPLS VPN cơ bản

Hình 2-13 Mô hình mạng MPLS VPN cơ bảnTrong kiến trúc mạng MPLS VPN, các router PE mang thông tin định tuyếnkhách hàng và cung cấp định tuyến tối ưu cho lưu lượng giữa các site của kháchhàng Mô hình MPLS- VPN giúp cho khách hàng được phép sử dụng không gianđịa chỉ trùng lặp (overlapping address spaces) Không giống như mô hình peer-to-peer truyền thống trong việc định tuyến lưu lượng khách hàng yêu cầu nhà cung cấpphải gán địa chỉ IP riêng cho mỗi khách hàng(hoặc khách hàng phải thực hiện NAT)

để tránh trùng lặp không gian địa chỉ

Miền MPLS giống như VPN truyền thống bao gồm: mạng của khách hàng vàmạng của nhà cung cấp Mô hình MPLS VPN giống với mô hình router PE dànhriêng (dedicated PE router model) trong các dạng thực thi VPN ngang cấp peer-to-peer VPN Tuy nhiên, thay vì triển khai các router PE khác nhau cho từng kháchhàng, ở đây, lưu lượng khách hàng được tách riêng trên cùng router PE nhằm cungcấp khả năng kết các site khách hàng tới nhau

Các thành phần chính của kiến trúc MPLS-VPN

Hình 2-14 Các thành phần của MPLS VPN

Mạng khách hàng (customer network)

Thường là miền điều khiển của khách hàng gồm các thiết bị hay các router trảirộng trên nhiều site của cùng một khách hàng Các router CE - là những router trongmạng khách hàng giao tiếp với mạng của nhà cung cấp Ở hình trên, mạng kháchhàng của Customer gồm các router CE và các thiết bị trong Site1 và Site2 củaCustomer

Các router CE trong mạng khách hàng không nhận biết được các router P và

do đó kiến trúc mạng của ISP với các thiết bị dùng để chuyển tiếp dữ liệu trongmạng trục (SP backbone) là trong suốt đối với khách hàng

Mạng của nhà cung cấp (provider network)

Miền thuộc điều khiển của nhà cung cấp gồm các router biên và lõi để kết nốicác site thuộc vào các khách hàng trong một hạ tầng mạng chia sẻ Các router PE làcác router trong mạng của nhà cung cấp giao tiếp với router biên của khách hàng.Các router P là router trong lõi của mạng, giao tiếp với router lõi khác hoặc routerbiên của nhà cung cấp Trong hình trên, mạng của nhà cung cấp gồm các router PE,

P

MPLS VPN giống như mô hình mạng ngang cấp với router dành riêng Từmột router CE, chỉ cập nhật địa chỉ IPv4, dữ liệu được chuyển tiếp đến router PE.Router CE không cần bất kỳ một cấu hình riêng biệt nào cho phép nó tham gia vàomiền MPLS VPN Yêu cầu duy nhất trên CE là một giao thức định tuyến (hay địnhtuyến tĩnh(static)/tuyến ngầm định(default)) cho phép nó trao đổi thông tin địnhtuyến IPv4 với các router PE

Trong mô hình MPLS VPN, router PE thực hiện rất nhiều chức năng Trướctiên, nó phải phân tách lưu lượng khách hàng nếu có nhiều hơn một khách hàng kết

nối với nó Vì thế, mỗi khách hàng được gắn với mỗi bảng định tuyến độc lập Địnhtuyến qua SP backbone thực hiện bằng một tiến trình định tuyến trong bảng địnhtuyến toàn cục PE thực chất là một LER biên (Edge LSR) và thực hiện tất cả chứcnăng của một Edge LSR PE yêu cầu LDP cho việc gán và phân phối nhãn cũngnhư chuyển tiếp các gói được gắn nhãn Cộng thêm các chức năng của một EdgeLSR, PE thực thi một giao thức định tuyến (hay định tuyến tĩnh) với các CE trongmột bảng định tuyến ảo (Virtual routing table) và yêu cầu MP_BGP quảng bá cácmạng học được từ CE như các VPNv4 trong MP-iBGP đến các PE khác bằng nhãnVPN.

Hình 2-15 Router PERouter P - cung cấp chuyển mạch nhãn giữa các router biên của nhà cung cấp

mà không cần biết đến các tuyến VPN Router P cần chạy một IGP (OSPF hoặc IS) khi MPLS cho phép chuyển tiếp các gói được gán nhãn (mặt phẳng dữ liệu –data plane) giữa các PE IGP quảng bá các NLRI đến các P và PE để thực thi mộtMP-iBGP session giữa các PE (mặt phẳng điều khiển-control plane) Và LDP chạytrên các router P để gán và phân phối nhãn

IS-2.1.4 Lợi ích của công nghệ MPLS VPN

Chi phí triển khai

Toàn bộ thông tin định tuyến giữa các chi nhánh của khách hàng được ISPquản lý trên các PE Router thông qua các bảng VRF Đó là một trong những ưuđiểm lớn nhất của MPLS VPN, không đòi hỏi các thiết bị CPE (Customer PremiseEquipment) thông minh bởi vì toàn bộ các chức năng VPN được thực hiện ở phíatrong mạng lõi của nhà cung cấp dịch vụ Các CE không đòi hỏi chức năng VPN và

hỗ trợ IPSec, điều này có nghĩa là khách hàng không phải chi phí quá cao cho cácthiết bị CPE

Độc lập với khách hàng

MPLS VPN có cách đánh địa chỉ (gán nhãn trong mạng MPLS) hết sức linhhoạt, người dùng có thể sử dụng bất cứ dải địa chỉ nào (kể cả các địa chỉ kiểm trahoặc các địa chỉ không được đăng ký) hoặc có thể sử sụng NAT (Network AddressTranslation) Mặt khác, người dùng còn có thể sử dụng các dải địa chỉ trùng hoặcgiống nhau.

Giảm độ trễ trong chuyển tiếp gói tin

Trễ trong mạng được giữ ở mức thấp nhất vì các gói tin lưu chuyển trongmạng không phải thông qua các hoạt động như đóng gói và mã hóa Sở dĩ khôngcần chức năng mã hóa là vì MPLS VPN tạo nên một mạng riêng Phương pháp bảomật này gần giống như bảo mật trong mạng Frame Relay Ngoài ra, cơ chế chuyểnmạch dựa vào thông tin nhãn giúp MPLS VPN cải thiện tốc độ chuyển mạch vàcũng giảm độ trễ gói tin trong mạng so mới IPSec VPN truyền thống

Linh hoạt và khả năng phát triển, mở rộng

Với các dịch vụ VPN dựa trên IP, số lượng router trên mạng tăng nhanhchóng theo số lượng các VPN VPN sẽ phải chứa các bảng định tuyến ngày mộtlớn MPLS VPN sử dụng một tập các BGP (Border Gateway Protocol) ngang hànggiữa các LSR cạnh (Edge LSR), cho phép số lượng VPN không hạn chế và hỗ trợnhiều dạng VPN, dễ dàng tạo thêm các VPN hoặc site mới (chỉ cần thực hiện tạirouter của site mới)

Bên cạnh đó, việc tạo một mạng đầy đủ (full mesh) VPN, hay sâu hơn là khảkhả năng mở rộng của mạng MPLS VPN hoàn toàn đơn giản vì các MPLS VPNkhông sử dụng cơ chế tạo đường hầm Vì vậy, cấu hình mặc định cho các mạngMPLS VPN là full mesh, chỉ cần một kết nối duy nhất cho mỗi remote site trong đócác site được nối trực tiếp với PE vì vậy các site bất kỳ có thể trao đổi thông tin vớinhau trong VPN Và thậm chí, nếu site trung tâm gặp trục trặc, các site khác vẫn cóthể liên lạc với nhau

Nâng cao tính bảo mật và dễ dàng trong hoạt động quản lí

Điều quan trọng trong vấn đề bảo mật thông tin của người sử dụng mạngVPN là lưu lượng thông tin của họ phải được giữ tách biệt với các lưu lượng thôngtin của mạng VPN khác và luồng lưu lượng trên mạng lõi MPLS VPN đưa ra kháiniệm địa chỉ VPN- IPv4 hoặc VPN- IPv6 Một địa chỉ VPN-IPv4 bao gồm 8 bytephân biệt định tuyến RD (Route Distinguisher) tiếp theo sau đó là 4 byte địa chỉIPv4 (như được mô tả trong hình 1) Tương tự, một địa chỉ VPN- IPv6 bao gồm 8byte RD, tiếp theo là 16 byte địa chỉ IPv6

Bởi vì trong cấu trúc của MPLS VPN chỉ có các bộ định tuyến biên của nhàcung cấp (PE - Provider Edge) mới phải biết các tuyến VPN và nhà cung cấp, và sửdụng địa chỉ VPN- IPv4 cho các VPN, nên không gian địa chỉ là tách biệt giữa cácVPN Hơn nữa, việc sử dụng IPv4 bên trong mạng lõi, đó là các địa chỉ khác với địachỉ VPN- IPv4, nên mạng lõi cũng có không gian địa chỉ độc lập cho các VPN khácnhau Việc cung cấp này tạo ra sự khác nhau rõ ràng giữa các VPN cũng như giữacác VPN với mạng lõi.

Đồng thời, vì một VPN hoàn toàn dựa trên mạng CORE của ISP khép kín bảnthân nó đã đạt được sự an toàn thông tin do không có kết nối với mạng Internetcông cộng Nếu có nhu cầu truy nhập Internet, một tuyến sẽ được thiết lập để cungcấp khả năng truy nhập Lúc này, một firewall sẽ được sử dụng trên tuyến này đểđảm bảo một kết nối bảo mật cho toàn bộ mạng VPN Cơ chế hoạt động này rõ ràng

dễ dàng hơn nhiều cho hoạt động quản lý mạng

Hoạt động khai thác và bảo dưỡng cũng đơn giản hơn trong mạng VPN Hoạt động này chỉ cần thực hiện tại các thiết bị bên trong mạng core màkhông cần phải tiếp xúc đến các CPE Một khi một site đã được cấu hình xong, takhông cần đụng chạm đến nó nữa cho dù nếu muốn thêm một site mới vào mạng vìnhững thay đổi về cấu hình lúc này chỉ cần thực hiện tại PE mà nó nối tới

MPLS-2.2 Các thành phần khối cơ bản bên trong PE

2.2.1 VRF – Virtual Routing and Forwarding Talbe

Bảng định tuyến chuyển tiếp VPN (VRF) là sự kết hợp giữa bảng định tuyếnVPN và bảng chuyển tiếp VPN mà thành

Mỗi VPN đều có bảng định tuyến và chuyển tiếp riêng của nó trong router PE,mỗi router PE duy trì một hoặc nhiều bảng VRF Mỗi site mà có router PE gắn vào

đó sẽ liên kết với một trong các bảng này Địa chỉ IP đích của gói tin nào đó chỉđược kiểm tra trong bảng VRF mà nó thuộc về nếu gói tin đến trực tiếp từ sitetương ứng với bảng VRF đó Một VRF đơn giản chỉ là một tập hợp các route thíchhợp cho một site nào đó (hoặc một tập hợp gồm nhiều site) kết nối đến router PE.Các route này có thể thuộc về hơn một VPN

Cơ chế quảng bá bảng VRF

Có thể hình dung cơ chế quảng bá các tuyến trong bảng VRF như sau:

Giả sử có 2 router: PE1, PE2,PE3 tương ứng được nối tới CE1,CE2 và thựchiệ kết nối VPN với nhau Lúc này, để các router PE nhận được thông tin về các

route trên các router còn lại Bằng cách mỗi router PE sẽ thực hiện việc phân phốicác route mà nó học được từ khách hàng tương ứng, tới các router PE còn lại thôngqua giao thức BGP Và chỉ các router nằm trong cùng một kết VPN nhận đượcthông tin về route được BGP quảng bá.

Nếu một site thuộc vào nhiều VPN, bảng chuyển tiếp tương ứng với site đó cóthể có nhiều route liên quan đến tất cả VPN mà nó thuộc về PE chỉ duy trì mộtbảng VRF trên một site Các site khác nhau có thể chia sẽ cùng bảng VRF nếu nó sửdụng tập hợp các route một cách chính xác giống như các route trong bảng VRF đó.Nếu tất cả các site có thông tin định tuyến giống nhau (điều này thường là các site

đó cùng thuộc về tập hợp VPN) sẽ được phép liên lạc trực tiếp với nhau và nếu kếtnối đến cùng một router PE sẽ được đặt vào cùng một bảng VRF chung

Trên bất kì router PE nào trong mạng MPLS/VPN cũng đều có nhiều hơn mộtnhiều bảng VRF và có một bảng định tuyến global, bảng định tuyến này được sửdụng để tìm các router khác trong mạng nhà cung cấp dịch vụ, cũng như tìm cácđích thuộc về mạng bên ngoài (ví dụ như Internet) Bởi giả sử router PE nhận đượcgói tin từ một site gắn trực tiếp vào nó, gọi site này là siteA nhưng địa chỉ đích củagói tin không có trong tất cả các entry có trong bảng chuyển tiếp tương ứng vớisiteA Nếu nhà cung cấp dịch vụ không cung cấp truy cập Internet cho siteA thì góitin sẽ bị loại bỏ vì không thể phân phối được đến đích, nhưng nếu nhà cung cấp dịch

vụ có cung cấp truy cập Internet cho siteA thì lúc này địa chỉ đích của gói tin sẽđược tìm kiếm trong bảng định tuyến global

Vậy, VRF là một trường hợp (instance) định tuyến và chuyển tiếp có thể được

sử dụng cho một site VPN hoặc cho nhiều site kết nối đến cùng một router PE miễn

là các site này chia sẻ chính xác các yêu cầu kết nối giống nhau Do đó cấu trúc củabảng VRF có thể bao gồm :