Đáp ứng các nhu cầu thương mại Các sản phẩm dịch vụ VPN tuân theo chuẩn chung hiện nay, một phần để đảmbảo khả năng làm việc của sản phẩm nhưng có lẽ quan trọng hơn là để sản phẩm củanhi
Trang 1CHƯƠNG I : TỔNG QUAN VỀ MẠNG RIÊNG ẢO VPN1.1 Định nghĩa
Mạng riêng ảo VPN được định nghĩa là một kết nối mạng triển khai trên cơ
sở hạ tầng mạng công cộng (như mạng Internet) với các chính sách quản lý và bảomật giống như mạng cục bộ
Hình 1.1 Mô hình VPN
Các thuật ngữ dùng trong VPN như sau:
Virtual- nghĩa là kết nối là động, không được gắn cứng và tồn tại như một kết
nối khi lưu lượng mạng chuyển qua Kết nối này có thể thay đổi và thích ứng vớinhiều môi trường khác nhau và có khả năng chịu đựng những khuyết điểm củamạng Internet Khi có yêu cầu kết nối thì nó được thiết lập và duy trì bất chấp cơ sở
hạ tầng mạng giữa những điểm đầu cuối
Private- nghĩa là dữ liệu truyền luôn luôn được giữ bí mật và chỉ có thể bị truy
cập bởi những nguời sử dụng được trao quyền Điều này rất quan trọng bởi vì giaothức Internet ban đầu TCP/IP- không được thiết kế để cung cấp các mức độ bảo mật
Do đó, bảo mật sẽ được cung cấp bằng cách thêm phần mềm hay phần cứng VPN
Network- là thực thể hạ tầng mạng giữa những người sử dụng đầu cuối, những
trạm hay những node để mang dữ liệu Sử dụng tính riêng tư, công cộng, dây dẫn,
vô tuyến, Internet hay bất kỳ tài nguyên mạng dành riêng khác sẵn có để tạo nềnmạng
Mạng riêng ảo VPN không phải là khái niệm mới, chúng đã từng được sử dụngtrong các mạng điện thoại trước đây nhưng còn một số hạn chế Trong thời gian gầnđây, do sự phát triển của mạng thông minh, cơ sở hạ tầng mạng IP đã làm cho VPNthực sự có tính mới mẻ VPN cho phép thiết lập các kết nối riêng với những ngườidùng ở xa…
Trang 21.2 Chức năng và ưu nhược điểm của VPN
1.2.1 Chức năng
VPN cung cấp ba chức năng chính đó là: tính xác thực (Authentication), tínhtoàn vẹn (Integrity) và tính bảo mật (Confidentiality)
Tính xác thực : Để thiết lập một kết nối VPN thì trước hết cả hai phía phải
xác thực lẫn nhau để khẳng định rằng mình đang trao đổi thông tin với ngườimình mong muốn chứ không phải là một người khác
Tính toàn vẹn : Đảm bảo dữ liệu không bị thay đổi hay đảm bảo không có bất
kỳ sự xáo trộn nào trong quá trình truyền dẫn
Tính bảo mật : Người gửi có thể mã hoá các gói dữ liệu trước khi truyền qua
mạng công cộng và dữ liệu sẽ được giải mã ở phía thu Bằng cách làm nhưvậy, không một ai có thể truy nhập thông tin mà không được phép Thậm chínếu có lấy được thì cũng không đọc được
1.2.2 Ưu điểm
VPN mang lại lợi ích thực sự và tức thời cho các công ty Có thể dùng VPNkhông chỉ để đơn giản hoá việc thông tin giữa các nhân viên làm việc ở xa, ngườidùng lưu động, mở rộng Intranet đến từng văn phòng, chi nhánh, thậm chí triển khaiExtranet đến tận khách hàng và các đối tác chủ chốt mà còn làm giảm chi phí chocông việc trên thấp hơn nhiều so với việc mua thiết bị và đường dây cho mạngWAN riêng Những lợi ích này dù trực tiếp hay gián tiếp đều bao gồm: Tiết kiệm chiphí (cost saving), tính mềm dẻo (flexibility), khả năng mở rộng (scalability) và một
số ưu điểm khác
Tiết kiệm chi phí
Việc sử dụng một VPN sẽ giúp các công ty giảm được chi phí đầu tư và chiphí thường xuyên Tổng giá thành của việc sở hữu một mạng VPN sẽ được thu nhỏ,
do chỉ phải trả ít hơn cho việc thuê băng thông đường truyền, các thiết bị mạngđường trục và duy trì hoạt động của hệ thống Giá thành cho việc kết nối LAN-to-LAN giảm từ 20 tới 30% so với việc sử dụng đường thuê riêng truyền thống Cònđối với việc truy cập từ xa giảm từ 60 tới 80%
Bảng 1.1: Chi phí hàng tháng cho các mạng dùng đường thuê kép so với
Trang 3sử dụng để kết nối các văn phòng nhỏ, các đối tượng di động Nhà cung cấp dịch vụVPN có thể cung cấp nhiều lựa chọn cho khách hàng, có thể là kết nối modem 56kbit/s, ISDN 128 kbit/s, xDSL, T1, T3 …
Khả năng mở rộng
Do VPN được xây dựng dựa trên cơ sở hạ tầng mạng công cộng (Internet), bất
cứ ở nơi nào có mạng công cộng là đều có thể triển khai VPN Mà mạng công cộng
có mặt ở khắp mọi nơi nên khả năng mở rộng của VPN là rất linh động Một cơquan ở xa có thể kết nối một cách dễ dàng đến mạng của công ty bằng cách sử dụng
đường dây điện thoại hay DSL…Và mạng VPN dễ dàng gỡ bỏ khi có nhu cầu
Khả năng mở rộng băng thông là khi một văn phòng, chi nhánh yêu cầu băngthông lớn hơn thì nó có thể được nâng cấp dễ dàng
Trang 4 Giảm thiểu các hỗ trợ kỹ thuật
Việc chuẩn hoá trên một kiểu kết nối từ đối tượng di động đến một POP củaISP và việc chuẩn hoá các yêu cầu về bảo mật đã làm giảm thiểu nhu cầu về nguồn
hỗ trợ kỹ thuật cho mạng VPN Và ngày nay, khi mà các nhà cung cấp dịch vụ đảmnhiệm các nhiệm vụ hỗ trợ mạng nhiều hơn thì những yêu cầu hỗ trợ kỹ thuật đốivới người sử dụng ngày càng giảm
Giảm thiểu các yêu cầu về thiết bị
Bằng việc cung cấp một giải pháp đơn cho các xí nghiệp truy cập bằng quay sốtruy cập Internet, VPN yêu cầu về thiết bị ít hơn, đơn giản hơn nhiều so với việc bảotrì các modem riêng biệt, các card tương thích (adapter) cho các thiết bị đầu cuối vàcác máy chủ truy cập từ xa Một doanh nghiệp có thể thiết lập các thiết bị kháchhàng cho một môi trường đơn, như môi trường T1
Đáp ứng các nhu cầu thương mại
Các sản phẩm dịch vụ VPN tuân theo chuẩn chung hiện nay, một phần để đảmbảo khả năng làm việc của sản phẩm nhưng có lẽ quan trọng hơn là để sản phẩm củanhiều nhà cung cấp khác nhau có thể làm việc với nhau
Đối với các thiết bị và Công nghệ Viễn thông mới thì vấn đề cần quan tâm
là chuẩn hoá, khả năng quản trị, khả năng mở rộng, khả năng tích hợp mạng, tính
kế thừa, độ tin cậy và hiệu suất hoạt động, đặc biệt là khả năng thương mại củasản phẩm
1.2.3 Nhược điểm và các vấn đề cần khắc phục
Sự rủi ro an ninh
Một mạng riêng ảo thường rẻ và hiệu quả hơn so với giải pháp sử dụng kênhthuê riêng Tuy nhiên, nó cũng tiềm ẩn nhiều rủi ro an ninh khó lường trước Mặc dùhầu hết các nhà cung cấp dịch vụ quảng cáo rằng giải pháp của họ là đảm bảo antoàn, sự an toàn không bao giờ là tuyệt đối Cũng có thể làm cho mạng riêng ảo khóphá hoại hơn bằng cách bảo vệ tham số của mạng một cách thích hợp, song điều nàylại ảnh hưởng đến giá thành của dịch vụ
Độ tin cậy và sự thực thi
VPN sử dụng phương pháp mã hoá để bảo mật dữ liệu, và các hàm mật mã
phức tạp có thể dẫn đến lưu lượng tải trên các máy chủ khá nặng Nhiệm vụ củangười quản trị mạng là quản lí tải trên máy chủ bằng cách giới hạn số kết nối đồngthời để biết máy chủ nào có thể điều khiển Tuy nhiên, khi số người cố gắng kếtnối tới VPN đột nhiên tăng vọt và phá vỡ hết quá trình truyền tin, thì chính cácnhân viên quản trị này cũng không thể kết nối được vì tất cả các cổng của VPN
Trang 5đều bận Điều đó chính là động cơ thúc đẩy người quản trị tạo ra các khoá ứngdụng làm việc mà không đòi hỏi VPN Chẳng hạn thiết lập dịch vụ Proxy hoặcdịch vụ Internet Message Access Protocol để cho phép nhân viên truy nhập e-mail
từ nhà hay trên đường
1.3 Phân loại mạng và các mô hình VPN
1.3.1 Phân loại mạng VPN
Mục tiêu đặt ra đối với công nghệ mạng VPN là thoả mãn ba yêu cầu cơ bảnsau:
- Tại mọi thời điểm, các nhân viên của công ty có thể truy nhập từ xa hoặc di
động vào mạng nội bộ của công ty
- Nối liền các chi nhánh, văn phòng di động.
- Khả năng điều khiển được quyền truy nhập của khách hàng, các nhà cung
cấp dịch vụ hoặc các đối tượng bên ngoài khác
Dựa vào những yêu cầu cơ bản trên, mạng riêng ảo VPN được phân làm baloại:
- Mạng VPN truy nhập từ xa (Remote Access VPN)
vì, những VPN này có thể thiết lập bất kể thời điểm nào, từ bất cứ nơi nào có mạngInternet VPN truy nhập từ xa mở rộng mạng công ty tới những người sử dụngthông qua cơ sở hạ tầng chia sẻ chung, trong khi những chính sách mạng công tyvẫn duy trì Chúng có thể dùng để cung cấp truy nhập an toàn từ những thiết bị diđộng, những người sử dụng di động, những chi nhánh và những bạn hàng của công
ty Những kiểu VPN này được thực hiện thông qua cơ sở hạ tầng công cộng bằngcách sử dụng công nghệ ISDN, quay số, IP di động, DSL và công nghệ cáp vàthường yêu cầu một vài kiểu phần mềm client chạy trên máy tính của người sửdụng
Trang 6- Cung cấp dịch vụ kết nối giá rẻ cho những người sử dụng ở xa.
- Bởi vì các kết nối truy nhập là nội bộ nên các Modem kết nối hoạt động ởtốc độ cao hơn so với các truy nhập khoảng cách xa
- VPN cung cấp khả năng truy nhập tốt hơn đến các site của công ty bởi vìchúng hỗ trợ mức thấp nhất của dịch vụ kết nối
Mặc dù có nhiều ưu điểm nhưng mạng VPN truy nhập từ xavẫn còn những nhược điểm cố hữu đi cùng như:
- Mạng VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo QoS
- Nguy cơ bị mất dữ liệu cao Hơn nữa, nguy cơ các gói có thể bị phân phátkhông đến nơi hoặc mất gói
- Bởi vì thuật toán mã hoá phức tạp, nên tiêu đề giao thức tăng một cáchđáng kể
b) Mạng VPN cục bộ
Các VPN cục bộ được sử dụng để bảo mật các kết nối giữa các địa điểm khácnhau của một công ty Mạng VPN liên kết trụ sở chính, các văn phòng, chi nhánhtrên một cơ sở hạ tầng chung sử dụng các kết nối luôn được mã hoá bảo mật Điềunày cho phép tất cả các địa điểm có thể truy nhập an toàn các nguồn dữ liệu đượcphép trong toàn bộ mạng của công ty Những VPN này vẫn cung cấp những đặc tínhcủa mạng WAN như khả năng mở rộng, tính tin cậy và hỗ trợ cho nhiều kiểu giaothức khác nhau với chi phí thấp nhưng vẫn đảm bảo tính mềm dẻo Kiểu VPN nàythường được cấu hình như là một VPN Site- to- Site
Trang 7- Giảm được số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi xa
- Bởi vì những kết nối trung gian được thực hiện thông qua mạng Internet, nên
nó có thể dễ dàng thiết lập thêm một liên kết ngang cấp mới
- Tiết kiệm chi phí thu được từ những lợi ích đạt được bằng cách sử dụngđường ngầm VPN thông qua Internet kết hợp với công nghệ chuyển mạchtốc độ cao Ví dụ như công nghệ Frame Relay, ATM Tuy nhiên mạng cục bộdựa trên giải pháp VPN cũng có những nhược điểm đi cùng như:
- Bởi vì dữ liệu được truyền “ngầm” qua mạng công cộng – mạng Internet –cho nên vẫn còn những mối “đe dọa” về mức độ bảo mật dữ liệu và mức độchất lượng dịch vụ (QoS)
- Khả năng các gói dữ liệu bị mất trong khi truyền dẫn vẫn còn khá cao
- Trường hợp truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, vớiyêu cầu truyền dẫn tốc độ cao và đảm bảo thời gian thực là thách thức lớntrong môi trường Internet
c) Mạng VPN mở rộng
Không giống VPN cục bộ và VPN truy nhập từ xa, VPN mở rộng không bị côlập với “thế giới bên ngoài”
Trang 8Hình 1.4 Mô hình mạng VPN mở rộng
Các VPN mở rộng cung cấp một đường hầm bảo mật giữa cáckhách hàng, các nhà cung cấp và các đối tác qua một cơ sở hạtầng công cộng Kiểu VPN này sử dụng các kết nối luôn luôn đượcbảo mật và được cấu hình như một VPN Site–to– Site Sự khác nhaugiữa một VPN cục bộ và một VPN mở rộng đó là sự truy cập mạngđược công nhận ở một trong hai đầu cuối của VPN
Những ưu điểm chính của mạng VPN mở rộng:
- Chi phí cho mạng VPN mở rộng thấp hơn rất nhiều so vớimạng truyền thống
- Dễ dàng thiết lập, bảo trì và dễ dàng thay đổi đối với mạngđang hoạt động
- Vì mạng VPN mở rộng được xây dựng dựa trên mạngInternet nên có nhiều cơ hội trong việc cung cấp dịch vụ vàchọn lựa giải pháp phù hợp với các nhu cầu của mỗi công tyhơn
- Bởi vì các kết nối Internet được nhà cung cấp dịch vụInternet bảo trì, nên giảm được số lượng nhân viên kỹ thuật
hỗ trợ mạng, do vậy giảm được chi phí vận hành của toànmạng
Bên cạnh những ưu điểm ở trên giải pháp mạng VPN mở rộngcũng còn những nhược điểm đi cùng như:
- Khả năng bảo mật thông tin, mất dữ liệu trong khi truyềnqua mạng công cộng vẫn tồn tại
- Truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, vớiyêu cầu truyền dẫn tốc độ cao và đảm bảo thời gian thực, làthách thức lớn trong môi trường Internet
Trang 9- Làm tăng khả năng rủi ro đối với các mạng cục bộ của côngty.
Do đó, có thể chia VPN ra thành hai loại chính, đó là:
Customer-based VPN (còn gọi là overlay VPN): là VPN được cấu hình trêncác thiết bị của khách hàng sử dụng các giao thức đường hầm xuyên quamạng công cộng Nhà cung cấp dịch vụ sẽ bán các mạch ảo giữa các site củakhách hàng như là đường kết nối leased line
Network-based VPN (còn gọi là VPN ngang cấp): là VPN được cấu hìnhtrên các thiết bị của nhà cung cấp dịch vụ và được quản lý bởi nhà cung cấpdịch vụ Nhà cung cấp dịch vụ và khách hàng trao đổi thông tin định tuyếnlớp 3, nhà cung cấp sắp đặt dữ liệu các site khách hàng vào đường đi tối ưunhất mà không cần có sự tham gia của khách hàng
Mô hình VPN chồng lấn (overlay) có một số ưu điểm sau:
Đó là mô hình dễ thực hiện, nhìn theo quan điểm của khách hàng và của cảnhà cung cấp dịch vụ
Nhà cung cấp dịch vụ không tham gia vào định tuyến khách hàng trongmạng VPN overlay Nhiệm vụ của họ là vận chuyển dữ liệu điểm-điểm giữacác site của khách hàng, việc đánh dấu điểm tham chiếu giữa nhà cung cấpdịch vụ và khách hàng sẽ quản lý dễ dàng hơn
Hạn chế của mô hình overlay VPN:
Nó thích hợp trong các mạng không cần độ dự phòng với ít site trung tâm vànhiều site ở đầu xa, nhưng lại khó quản lý nếu như cần nhiều cầu hình mắtlưới
Việc cung cấp càng nhiều VC đòi hỏi phải có sự hiểu biết cặn kẽ về loại lưulượng giữa hai site với nhau mà điều này thường không thật sự thích hợp
Khi thực hiện mô hình này với các công nghệ lớp 2 thì chỉ tạo ra một lớpmới không cần thiết đối với các nhà cung cấp hầu hết chỉ dựa trên IP, do đólàm tăng thêm chi phí hoạt động
Trang 10 Ưu điểm của mô hình VPN ngang cấp :
VPN ngang cấp cho ta định tuyến tối ưu giữa các site khách hàng màkhông cần phải cấu hình hay thiết kế gì đặc biệt
Dễ mở rộng
Hạn chế của mô hình VPN ngang cấp :
Nhà cung cấp dịch vụ phải đáp ứng được định tuyến khách hàng cho đúng
và đảm bảo việc hội tụ của mạng khách hàng khi có lỗi liên kết
Router P của nhà cung cấp dịch vụ phải mang tất cả các router của kháchhàng
Nhà cung cấp dịch vụ cần phải biết rõ chi tiết về định tuyến IP, mà điềunày thực sự không cần thiết đối với nhà cung cấp từ xưa đến nay
CHƯƠNG II: TỔNG QUAN CÔNG NGHỆ MPLS
2.1 Khái niệm MPLS
MPLS là một giải pháp chuyển mạch IP và được chuẩn hoá bởi IETF
MPLS là viết tắt của cụm từ: chuyển mạch nhãn đa giao thức (MultiprotocolLabel Switching)
Gọi là chuyển mạch nhãn vì: Sử dụng cơ chế hoán đổi nhãn làm kỹ thuật
chuyển tiếp ở lớp bên dưới (lớp 2)
Gọi là đa giao thức vì: MPLS có thể hỗ trợ nhiều giao thức lớp mạng (lớp 3),
không chỉ riêng IP
2.2 Đặc điểm MPLS
Tốc độ và trễ: Chuyển mạch nhãn nhanh hơn nhiều bởi vì giá trị nhãn được
đặt ở header của gói được sử dụng để truy nhập bảng chuyển tiếp tại router,nghĩa là nhãn được sử dụng để tìm kiếm trong bảng Việc tìm kiếm này chỉyêu cầu một lần truy nhập tới bảng, khác với truy nhập bảng định tuyếntruyền thống việc tìm kiếm có thể cần hàng ngàn lần truy nhập Kết quả làlưu lượng người sử dụng trong gói được gửi qua mạng nhanh hơn nhiều sovới chuyển tiếp IP truyền thống
Jitter: Là sự thay đổi độ trễ của lưu lượng người sử dụng do việc chuyển gói
tin qua nhiều node trong mạng để chuyển tới đích của nó Tại từng node, địachỉ đích trong gói phải được kiểm tra và so sánh với danh sách địa chỉ đích
Trang 11khả dụng trong bảng định tuyến của node, do đó trễ và biến thiên trễ phụthuộc vào số lượng gói và khoảng thời gian mà bảng tìm kiếm phải xử lýtrong khoảng thời gian xác định Kết quả là tại node cuối cùng, Jitter là tổngcộng tất cả các biến thiên độ trễ gại mỗi node giữa bên gửi và bên thu Vớigói là thoại thì cuộc thoại bị mất đi tính liên tục Do chuyển mạch nhãn hiệuquả hơn, lưu lượng người dùng được gửi qua mạng nhanh hơn và ít Jitter hơn
so với định tuyến IP truyền thống
Khả năng mở rộng mạng: Chuyển mạch nhãn cung cấp các giải pháp cho sự
phát triển nhanh chóng và xây dựng các mạng lớn bằng việc cho phép mộtlượng lớn các địa chỉ IP được kết hợp với một hay vài nhãn Giải pháp nàygiảm đáng kể kích cỡ bảng địa chỉ và cho phép router hỗ trợ nhiều người sửdụng hơn
Tính đơn giản: Chuyển mạch nhãn là giao thức chuyển tiếp cơ bản, chuyển
tiếp gói chỉ dựa vào nhãn Do tách biệt giữa điều khiển và chuyển tiếp nên kỹthuật điều khiển dù phức tạp cũng không ảnh hưởng đến hiệu quả của dònglưu lượng người sử dụng Cụ thể là, sau khi ràng buộc nhãn được thực hiện,các hoạt động chuyển mạch nhãn để chuyển tiếp lưu lượng là đơn giản, cóthể được thực hiện bằng phần mềm, bằng mạch tích hợp chuyên dụng haybằng các bộ xử lý đặc biệt
Sử dụng tài nguyên: Các mạng chuyển mạch nhãn không cần nhiều tài
nguyên mạng để thực hiện các công cụ điều khiển trong việc thiết lập cácđường đi chuyển mạch nhãn cho lưu lượng người sử dụng
Điều khiển đường đi: Chuyển mạch nhãn cho phép các đường đi qua một
liên mạng được điều khiển tốt hơn Nó cung cấp một công cụ để bố trí cácnode và liên kết lưu lượng phù hợp hơn, thuận lợi hơn, cũng như đưa ra phânlớp chính xác các phân lớp lưu lượng (dựa trên các yêu cầu về QoS) khácnhau của dịch vụ
2.3 Các thành phần của MPLS
2.3.1 Các thiết bị trong mạng MPLS
LSR là một thiết bị định tuyến tốc độ cao trong lõi của một mạng MPLS, nó
tham gia trong việc thiết lập các đường dẫn chuyển mạch nhãn (LSP) bằng việc sửdụng giao thức báo hiệu nhãn thích ứng và thực hiện chuyển mạch tốc độ cao lưulượng số liệu dựa trên các đường dẫn được thiết lập
LER là một thiết bị hoạt động tại biên của mạng truy nhập và mạng lõi MPLS.
Các LER hỗ trợ đa cổng được kểt nối tới các mạng không giống nhau (chẳng hạn FR,ATM và Ethernet) LER đóng vai trò quan trọng trong việc chỉ định và huỷ bỏ nhãn,
Trang 12khi lưu lượng vào trong hay đi ra khỏi mạng MPLS Sau đó, tại lối vào nó thực hiệnviệc chuyển tiếp lưu lượng vào mạng MPLS sau khi đã thiết lập LSP nhờ các giao thứcbáo hiệu nhãn và phân bổ lưu lượng trở lại mạng truy nhập tại lối ra
2.3.2 Đường chuyển mạch nhãn
LSP: là một đường đi để gói tin qua mạng chuyển mạch nhãn trọn vẹn từ
điểm bắt đầu dán nhãn đến điểm nhãn bị loại bỏ khỏi gói tin Các LSP được thiết lậptrước khi truyền dữ liệu
Đường hầm LSP: LSP từ đầu tới cuối được gọi là đường hầm LSP, nó là
chuỗi liên tiếp các đoạn LSP giữa hai node kề nhau Các đặc trưng của đường hầmLSP, chẳng hạn như phân bổ băng tần, được xác định bởi sự thoả thuận giữa cácnode, nhưng sau khi đã thoả thuận, node lối vào (bắt đầu của LSP) xác định dònglưu lượng bằng việc chọn lựa nhãn của nó Khi lưu lượng được gửi qua đường hầm,các node trung gian không kiểm tra nội dung của tiêu đề mà chỉ kiểm tra nhãn Do
đó, phần lưu lượng còn lại được xuyên hầm qua LSP mà không phải kiểm tra Tạicuối đường hầm LSP, node lối ra loại bỏ nhãn và chuyển lưu lượng IP tới node IP
Các đường hầm LSP có thể sử dụng để thực hiện các chính sách kỹ thuật lưulượng liên quan tới việc tối ưu hiệu năng mạng Chẳng hạn, các đường hầm LSP cóthể được di chuyển tự động hay thủ công ra khỏi vùng mạng bị lỗi, tắc nghẽn, hay lànode mạng bị nghẽn cổ chai Ngoài ra, nhiều đường hầm LSP song song có thể đượcthiết lập giữa hai node, và lưu lượng giữa hai node đó có thể được chuyển vào trongcác đường hầm này theo các chính sách cục bộ
Trong mạng MPLS các LSP được thiết lập bằng một trong ba cách đó là:Định tuyến từng chặng, định tuyến hiện (ER) và định tuyến cưỡng bức (CR)
Một số khái niệm liên quan tới đường chuyển mạch nhãn là đường lên vàđường xuống
Đường lên (Upstream): Hướng đi dọc theo đường dẫn từ đích đến nguồn.
Một router đường lên có tính chất tương đối so với một router khác, nghĩa là nó gầnnguồn hơn router được nói đến đó dọc theo đường dẫn chuyển mạch nhãn
Đường xuống (Downstream): Hướng đi dọc theo đường dẫn từ nguồn đến
đích Một router đường xuống có tính chất tương đối so với một router khác, nghĩa
là nó gần đích hơn router được nói đến đó dọc theo đường dẫn chuyển mạch nhãn
2.3.3 Nhãn và các vấn đề liên quan
a) Nhãn, ngăn xếp nhãn, không gian nhãn
Tiêu đề MPLS: MPLS định nghĩa một tiêu đề có độ dài 32 bit, được đặt ngay
sau tiêu đề lớp 2 bất kì và trước một tiêu đề lớp 3
Trang 13 Exp (Experimental): Các bit Exp được dự trữ về mặt kỹ thuật cho sử dụng
thực tế Chẳng hạn sử dụng những bit này để chỉ thị QoS - thường là một bảnsao trực tiếp của các bit chỉ thị độ ưu tiên trong gói IP Khi các gói MPLS bịxếp hàng, có thể sử dụng các bit Exp như cách sử dụng các bit chỉ thị độ ưutiên IP
BS (Bottom of stack): Có thể có hơn một nhãn với một gói Bit này dùng để
chỉ thị cho nhãn ở cuối ngăn xếp nhãn Nhãn ở đáy của ngăn xếp nhãn có giátrị BS bằng 1 Các nhãn khác có giá trị bit BS bằng 0
TTL (Time To Live): Thông thường các bit TTL là một bản sao trực tiếp của
các bit TTL trong tiêu đề gói IP Chúng giảm giá trị đi một đơn vị khi gói điqua mỗi chặng để tránh lặp vòng vô hạn TTL cũng có thể được sử dụng khicác nhà điều hành mạng muốn dấu cấu hình mạng nằm bên dưới
Link Layer
Header
MPLS SHIM
Network Layer Header
Other Headers Layer and Data
32 bits
20 bits 3 bits 1bit 8 bits
Trang 14Ngăn xếp nhãn là một tập các nhãn có thứ tự được chỉ định cho gói Việc xử
lý các nhãn này cũng tuân theo một thứ tự
Không gian nhãn: Thuật ngữ không gian nhãn dùng để chỉ ra cách thức mà
một nhãn được kết hợp với một LSR Có hai phương pháp để phân nhãn giữa cácLSR, tương ứng với hai dạng không gian nhãn, đó là: không gian nhãn theo từnggiao diện và không gian nhãn theo từng node
Không gian nhãn theo từng giao diện: Nhãn được kết hợp với một giao diện
đặc trưng ở một LSR, ví dụ như DS3 hoặc giao diện SONET LSR sẽ dùng một giátrị giao diện để giữ dấu vết của các nhãn ở mỗi giao diện, nên nhãn có thể đượcdùng lại tại mỗi giao diện, miễn là thoả mãn điều kiện một nhãn là duy nhất trongkhông gian nhãn Và khi này định danh giao diện này trở thành một nhãn nội bộtrong LSR đối với nhãn bên ngoài được gửi đi giữa các LSR
Không gian nhãn theo từng node (theo tất cả các giao diện): Ở đây, các nhãn
đầu vào được xẻ dọc theo tất cả các giao diện tham gia vào một node Nghĩa là,node này phải chỉ định không gian nhãn dọc theo tất cả các giao diện,
Trang 15Khái niệm FEC: FEC là một nhóm các gói, nhóm các gói này chia sẻ cùng
yêu cầu trong sự chuyển tiếp chúng qua mạng Tất cả các gói trong một nhóm nhưvậy được cung cấp cùng cách chọn đường tới đích Dựa trên FEC, nhãn được thoảthuận giữa các LSR lân cận từ lối vào tới lối ra trong một vùng định tuyến MỗiLSR xây dựng một bảng để xác định xem một gói phải được chuyển tiếp như thếnào Bảng này được gọi là cơ sở thông tin nhãn (LIB: Label Information Base), nó
là tổ hợp các ràng buộc FEC với nhãn (FEC-to-label) Và nhãn lại được sử dụng đểchuyển tiếp lưu lượng qua mạng
Lý do dùng FEC: Thứ nhất, nó cho phép nhóm các gói vào các lớp Từ nhóm
này, giá trị FEC trong một gói có thể được dùng để thiết lập độ ưu tiên cho việc xử
lý các gói Thứ hai, FEC có thể được dùng để hỗ trợ hiệu quả hoạt động QoS Ví dụ,FEC có thể liên kết với độ ưu tiên cao, lưu lượng thoại thời gian thực, lưu lượngnhóm mới ưu tiên thấp…
Sự kết hợp một FEC với một gói được thực hiện bởi việc dùng một nhãn đểđịnh danh một FEC đặc trưng Với các lớp dịch vụ khác nhau, phải dùng các FECkhác nhau và các nhãn liên kết khác nhau Đối với lưu lượng Internet, các định danh
sử dụng là các tham số ứng cử cho việc thiết lập một FEC Trong một vài hệ thống,chỉ địa chỉ đích IP được sử dụng
2.4 Hoạt động của MPLS
Khi một gói tin vào mạng MPLS: LSR lối vào kiểm tra nhiều trường trongtiêu đề của gói để xác định xem gói thuộc FEC nào:
Nếu chưa có một ràng buộc nhãn/FEC thì: gói được phân loại gói tin vào
trong các FEC, sau đó nhãn được ánh xạ vào trong FEC Nhiệm vụ ấn định
và phân bổ các ràng buộc FEC/nhãn cho các LSR do LDP đảm nhiệm.KhiLDP hoàn thành nhiệm vụ , một LSP được xây dựng từ lối vào đến lối ra
Nếu đã có một ràng buộc nhãn/FEC thì: LSR lối vào gán nhãn cho gói và
định hướng gói tới giao diện đầu ra tương ứng
Sau đó gói được hoán đổi nhãn qua mạng cho đến khi nó đến LSR đầu ra.Lúc này nhãn được loại bỏ và gói được xử lý tại lớp 3
Các lớp trên
Duy trì tuyếnLựa chọn cổng ra
Trang 16Hình 2.3 Xử lý gói
Như vậy, với một gói dữ liệu để đi qua một miền MPLS, cần phải thực hiệncác bước sau:
Tạo và phân bổ nhãn
Tạo bảng tại mỗi router
Tạo các đường dẫn chuyển mạch nhãn (LSP)
Chèn/tìm kiếm bảng nhãn
Chuyển tiếp gói
Phân tích cụ thể các bước như sau:
Tạo & phân bổ nhãn
Trước khi lưu lượng bắt đầu, các router quyết định để ràng buộc một nhãnvới một FEC xác định và xây dựng bảng của chúng
Trong LDP, các router đường xuống khởi tạo sự phân bổ các nhãn và ràngbuộc nhãn/FEC
Ngoài ra, các đặc tính liên quan đến lưu lượng và khả năng MPLS được thoảthuận bằng việc sử dụng LDP
Các cổng đầu ra Nhận gói đầu vào Phát gói đầu ra
Các cổng đầu vào
Trang 17Hình 2.4 Hoạt động của mạng MPLS Tạo bảng
Tại phía nhận các ràng buộc nhãn, mỗi LSR tạo các lối vào trong cơ sở thôngtin nhãn (LIB : Label Information Base)
Nội dung của bảng sẽ xác định ánh xạ giữa một nhãn và một FEC
Ánh xạ giữa cổng vào và bảng nhãn đầu vào tới cổng ra và bảng nhãn đầu ra.Các lối vào được cập nhật bất cứ khi nào sự tái đàm phán về ràng buộc nhãnxảy ra
Tạo đường dẫn chuyển mạch nhãn
Như được biểu diễn bằng đường ngắt quãng trong hình 2.4, các LSP được tạo
ở phương ngược lại với sự tạo các lối vào trong các LIB
Chèn/tìm kiếm bảng nhãn
Router đầu tiên (LER1 trong hình 2.4) sử dụng bảng trong LIB để tìm chặng
kế tiếp và yêu cầu một nhãn cho FEC xác định
Các router lần lượt sử dụng nhãn để tìm chặng kế tiếp
Mỗi lần gói chạm tới LSR lối ra (LER4), nhãn được xoá bỏ và gói được cungcấp cho đích
Chuyển tiếp gói
LER1 có thể không có nhãn nào cho gói này khi đó là lần đầu tiên xảy rayêu cầu này Trong một mạng IP, nó sẽ tìm sự phù hợp địa chỉ dài nhất để tìm chặng
kế tiếp Cho LSR1 là chặng kế tiếp của LER1 LER1 sẽ khởi tạo một yêu cầu nhãnchuyển tới LSR1
Trang 18Yêu cầu này sẽ phát thông qua mạng Mỗi router trung gian sẽ nhận mộtnhãn từ router phía sau nó bắt đầu từ LER2 và đi lên trên cho đến LER1 LSP đượcthiết lập bằng cách sử dụng LDP hay bất kì giao thức báo hiệu nào khác Nếu kĩthuật lưu lượng được yêu cầu, CR-LDP sẽ được sử dụng trong việc quyết định thiếtlập đường dẫn thực sự để chắc chắn yêu cầu QoS/CoS được tuân thủ.
LER1 sẽ chèn nhãn và chuyển tiếp gói tới LSR 1
Mỗi LSR lần lượt, nghĩa là LSR2 và LSR3, sẽ kiểm tra nhãn với các gói nhậnđược, thay thế nó với các nhãn đầu ra và chuyển tiếp nó
Khi gói tới LER4, nó sẽ xoá bỏ nhãn bởi vì gói sẽ rời khỏi miền MPLS vàđược phân phát tới đích
2.5 Kiến trúc ngăn xếp trong MPLS
Từ việc phân tích hoạt động MPLS như trên ta có thể chia MPLS ra thànhcác thành phần cơ bản sau:
Các giao thức định tuyến (IP) lớp mạng
Chuyển tiếp biên của lớp mạng
Chuyển tiếp dựa trên nhãn mạng lõi
Lược đồ nhãn
Giao thức báo hiệu để phân bố nhãn
Kĩ thuật lưu lượng
Khả năng tương thích với các lược đồ chuyển tiếp lớp 2 khác nhau(ATM, FR, PPP: Point to Point Protocol)