IPsec có thể áp dụng cho router PE của nhà cung cấp dịch vụ nếu cần bảo mật số lượng lớn VPN kết nối vào mạng trục hoặc có thể triển khai bảo mật ngay tại router CE của khách hàng.. Mult
Trang 1MỤC LỤC
PHẦN I LÝ THUYẾT TỔNG QUAN 1
Chương 1 GIỚI THIỆU ĐỀ TÀI 1
1.1 Tổng quan về đề tài 1
1.2 Tổng quan tình hình nghiên cứu 1
1.3 Mục tiêu của đề tài 2
1.4 Bố cục của đề tài 2
1.5 Ý nghĩa của đề tài 3
Chương 2 CHUYỂN MẠCH NHÃN ĐA GIAO THỨC MPLS 4
2.1 Tổng quan 4
2.1.1 Khái niệm MPLS 4
2.1.2 Sự cải tiến của MPLS 5
2.1.3 Vị trí của MPLS trong mô hình tham chiếu OSI 5
2.1.4 Lợi ích của MPLS 7
2.2 Kiến trúc mạng MPLS 8
2.2.1 Miền MPLS 8
2.2.2 Nhãn MPLS 9
2.2.2.1 Chế độ frame 9
2.2.2.2 Chế độ cell 9
2.2.3 Ngăn xếp nhãn 10
2.2.4 Mã hóa MPLS 12
2.2.5 Đường chuyển mạch nhãn LSP 12
2.2.6 Lớp chuyển tiếp tương đương FEC 13
2.2.7 Phân phối nhãn MPLS 15
2.2.7.1 Chế độ phân phối nhãn 15
2.2.7.2 Giao thức LDP (Label Distribution Protocol) 15
2.2.8 Cấu trúc chức năng của MPLS 17
2.2.8.1 Mặt phẳng chuyển tiếp và mặt phằng điều khiển 17
2.2.8.2 Bảng LIB và LFIB 18
2.2.8.3 Quá trình chuyển tiếp nhãn 20
2.2.8.4 Gỡ bỏ nhãn áp cuối PHP (Penultimate Hop Popping) 22
2.2.8.5 Ví dụ về hoạt động chuyển tiếp 22
Chương 3 CẤU TRÚC MẠNG MPLS VPN 23
3.1 Cấu trúc mạng riêng ảo VPN (Virtual Private Network) 23
3.1.1 Giới thiệu 23
3.1.2 Phân loại 24
3.1.3 Ưu điểm của mạng VPN 25
3.1.4 Tồn tại của mạng VPN 25
Trang 23.2 Mạng MPLS VPN 26
3.2.1 Giới thiệu 26
3.2.2 Cấu trúc và thành phần mạng MPLS VPN 27
3.2.3 Mô hình định tuyến MPLS VPN 28
3.2.4 Bảng chuyển tiếp và định tuyến ảo VRF 29
3.2.5 Route Distinguisher, Route Targets, MP-BGP 30
3.2.5.1 Route Distinguisher (RD) 30
3.2.5.2 Giao thức định tuyến MP-BGP cho mạng MPLS VPN 31
3.2.5.3 Route Target (RT) 33
3.2.5.4 Họ địa chỉ (address families) 36
3.2.6 Hoạt động của mặt phẳng điều khiển MPLS VPN 37
3.2.7 Hoạt động của mặt phẳng dữ liệu MPLS VPN 39
PHẦN II: CƠ CHẾ BẢO MẬT TRONG MẠNG MPLS VPN 42
Chương 4 CÁC KIỂU TẤN CÔNG ĐỐI VỚI MẠNG MPLS VPN 42
4.1 Tấn công vào mạng riêng ảo VPN 42
4.1.1 Tấn công xâm nhập vào VPN 42
4.1.2 Tấn công từ chối dịch vụ 43
4.1.3 Tấn công thầm lặng 44
4.2 Các dạng tấn công vào MPLS VPN 45
4.2.1 Tấn công vào miền extranet 45
4.2.2 Tấn công vào mạng trục 46
4.2.3 Tấn công từ Internet 48
Chương 5 BẢO MẬT DÙNG IPSEC 50
5.1 Khái quát về IP Security 50
5.1.1 Giới thiệu về IPSec 50
5.1.2 Cấu trúc của IPSec 51
5.1.2.1 Sơ đồ hoạt động 51
5.1.2.2 Security Association 53
5.1.2.3 Chỉ số bảo mật SPI 54
5.1.3 Giao thức trao đổi khóa IKE 55
5.1.3.1 Các thành phần của IKE 55
5.1.3.2 Pha sử dụng trong IKE 56
5.1.3.3 Các chế độ IKE 56
5.1.4 Các thuật toán sử dụng khi trao đổi SA 57
5.1.4.1 Thuật toán Hash 57
5.1.4.2 Thuật toán mã hóa đối xứng và bất đối xứng 58
5.1.4.3 Thuật toán trao đổi khóa Diffie-Hellman 61
5.1.5 Giao thức ESP 64
5.1.5.1 ESP header 64
Trang 35.1.5.2 Chế độ ESP 66
5.1.6 Giao thức AH 67
5.1.6.1 AH header 67
5.1.6.2 Các chế độ AH 69
5.2 Xây dựng IPSec VPN 70
Chương 6 XÂY DỰNG CHƯƠNG TRÌNH MÔ PHỎNG 77
6.1 Dùng IPsec tăng cường bảo mật cho MPLS VPN 77
6.1.1 IPsec áp dụng cho PE-to-PE 77
6.1.2 IPSec áp dụng cho CE-to-CE 79
6.2 Xây dựng chương trình mô phỏng 79
6.2.1 Giới thiệu về chương trình 79
6.2.2 Triển khai IPSec cho PE-to-PE 80
6.2.3 Triển khai IPSec cho CE-to-CE 104
Chương 7 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 121
7.1 Kết luận 121
7.2 Hướng phát triển 121
7.3 Tồn tại trong đề tài 122
TÀI LIỆU THAM KHẢO 123
TÓM TẮT LÝ LỊCH CÁ NHÂN 125
Trang 4MỤC LỤC HÌNH
Hình 2.1: Mô hình mạng MPLS 4
Hình 2.2: MPLS và mô hình tham chiếu OSI 6
Hình 2.3: so sánh giữa chuyển tiếp IP và chuyển tiếp MPLS 6
Hình 2.4: Miền trong MPLS 8
Hình 2.5: upstream và downstream LSR 9
Hình 2.6: Cấu trúc nhãn MPLS 9
Hình 2.7: Nhãn trong chế độ cell ATM 10
Hình 2.8: Gói có nhãn trên ATM 10
Hình 2.9: Ngăn xếp nhãn 11
Hình 2.10: Ngăn xếp nhãn trong các trường hợp khác nhau 11
Hình 2.11: Gói đã gắn nhãn 12
Hình 2.12: Đường chuyển mạch nhãn LSP 12
Hình 2.13: Phân cấp LSP trong MPLS 13
Hình 2.14: Một ví dụ LSP lồng vào nhau 13
Hình 2.15: Lớp chuyển tiếp tương đương FEC trong MPLS 14
Hình 2.16: Ví dụ FEC trong MPLS chạy iBGP 14
Hình 2.17: Phân phối nhãn không cần yêu cầu 15
Hình 2.18: Phân phối nhãn theo yêu cầu 15
Hình 2.19: vùng hoạt động của LDP 16
Hình 2.20: Trao đổi thông điệp LDP 17
Hình 2.21: Cấu trúc chức năng của LER và LSR 18
Hình 2.22: Một ví dụ NHLFE 19
Hình 2.23: Mối quan hệ giữa FTN, ILM và NHLFE 20
Hình 2.24: Quá trình chuyển tiếp một gói đến một hop kế 21
Hình 2.25: Một ví dụ bên trong mặt phẳng chuyển tiếp 21
Hình 2.26: Ví dụ về hoạt động chuyển tiếp 22
Hình 3.1: Ví dụ về Layer-2 VPN 24
Hình 3.2: Các thành phần mạng Layer 3 MPLS VPN 27
Hình 3.3: Cấu trúc chức năng của router PE trong MPLS VPN 28
Hình 3.4: Tạo bảng VRF trên PE router 29
Hình 3.5: Hoạt động của RD trong mạng MPLS VPN 31
Hình 3.6: MPLS VPN với định tuyến BGP PE-CE 32
Hình 3.7: Cơ chế chống loop của BGP 33
Hình 3.8: Định dạng route target 34
Hình 3.9: Hoạt động RD và RT trong miền MPLS VPN 35
Hình 3.10: Tương tác mặt phẳng điều khiển trong MPLS VPN 38
Hình 3.11: Hoạt động của mặt phẳng điều khiển 38
Hình 3.12: Hoạt động của mặt phẳng dữ liệu MPLS VPN 40
Hình 4.1: Tấn công vào VPN 42
Trang 5Hình 4.2: Các hướng xâm phạm vào VPN 43
Hình 4.3: Các điểm tấn công DoS đối với VPN 44
Hình 4.4: Che không gian địa chỉ từ VPN 45
Hình 4.5: Mô hình bảo mật với extranet 46
Hình 4.6: Mô hình bảo mật cho nhiều nhà cung cấp MPLS VPN 46
Hình 4.7: Mô hình bảo mật khi truy xuất Internet 48
Hình 5.1: Sơ đồ IPSec 51
Hình 5.2: Gói IP được bảo vệ bởi IPSec trong chế độ transport và tunnel 53
Hình 5.3: Chế độ trong IKE 57
Hình 5.4: Thuật toán hash để bảo toàn dữ liệu 58
Hình 5.5: Sơ đồ hash MD5 58
Hình 5.6: Mã hóa đối xứng và bất đối xứng 59
Hình 5.7: Sơ đồ thuật toán DES 60
Hình 5.8: Mã hóa 3DES 60
Hình 5.9: Thuật toán RSA 61
Hình 5.10: Trao đổi khóa Diffie-Hellman 62
Hình 5.11: Quá trình trao đổi khóa Diffie-Hellman 63
Hình 5.12: ESP Header (và trailer) 64
Hình 5.13: Gói IP được ESP bảo vệ trong 2 chế độ 66
Hình 5.14: Một ví dụ mã hóa ESP 67
Hình 5.15: AH Header 68
Hình 5.16: AH trong chế độ Transport 69
Hình 5.17: AH trong chế độ tunnel 69
Hình 5.18: Các bước xây dựng IPsec VPN 70
Hình 5.19: Xử lý interesting traffic trong bước 1 70
Hình 5.20: Trao đổi IKE pha 1 71
Hình 5.21: Thiết lập chính sách IKE 72
Hình 5.22: Thương lượng IPsec SA trong IKE pha 2 73
Hình 5.23: Thiết lập IPsec transform 74
Hình 5.24: Tạo phiên trao đổi IPsec 75
Hình 5.25: Kết thúc IPsec tunnel trong bước thứ 5 76
Hình 6.1: Các điểm áp dụng IPsec trong MPLS VPN 77
Hình 6.2: IPsec từ PE-to-PE 78
Hình 6.3: Đóng gói IPsec để bảo mật PE-PE 78
Hình 6.4: IPsec áp dụng giữa các CE 79
Hình 6.5: Sơ đồ mô phỏng cho PE-PE 80
Hình 6.6: Sơ đồ mô phỏng chạy trên Dynamips 81
Hình 6.7: Giải thuật mô phỏng cho PE-PE 81
Hình 6.8: Quá trình thiết lập kết nối tại A1 95
Hình 6.9: Quá trình thiết lập kết nối tại PE1 95
Hình 6.10: Sơ đồ mô phỏng cho CE-CE 104
Trang 6Hình 6.11: Giải thuật áp dụng IPSec cho CE-CE 105
Hình 6.12: Quá trình trao đổi gói tại PE1 khi B1 gởi gói ICMP 115
Hình 6.13:Quá trình thiết lập IPsec tại A1 120
Hình 6.14: Quá trình trao đổi gói có bảo mật IPsec tại PE1 120
Trang 7CÁC THUẬT NGỮ VIẾT TẮT
LSP Label Switching Router
NHLFE Next Hop Label Forwarding Entry
MNS MPLS Network Simulator
MPLS MultiProtocol Label Switch
OSPF Open Shortest Path First
PFB Partial Forward Table
POR Point Of Repair
PIL Protection Ingress LSR
PML Protection/Path Merge LSR
PHP Penultimate Hop Poping
PSL Path Switch LSR
RIB Routing Information Block
RSVP Resource Reservation Protocol
SPF Shortest Path First
TLV Type Length Value
TTL Time-To-Live
ATM Asynchronous Transfer Mode
BGP Border Gate Protocol
CBQFQ Class-Based Weight Fair Queuing
CR-LDP Constraint-based Routed Label Distribution Protocol
CR-LSP Constraint-based Routed Label Switch Path
CSPF Constraint Shortest Path First
DiffServ Differentiated Services Model
DiffServ-TE DiffServ-Aware TE
ERB Explicit Routing Table
ERO Explicit Route Object
ER-LSP Explicit Routed Label Switched Path
Trang 8EXP Experimential
FEC Forwarding Equivalence Class
FIB Forward Information Block
FIFO First in First out
FIS Fault Indication Signal
FTN Forward Equivalence Class – to – Next Hop Label
FRS Fault Recovery Signal
IGP Interior Gateway Protocol
ILM Incoming Label Map
LER Label Egress Router
LDB Label Distribution Protocol
LFIB Label Forwarding Information Block
L-LSP Label-Only-Inferred-PSC LSP
LIB Label Information Block
IPv4 Internet Protocol version 4
IPv6 Internet Protocol version 6
MP-BGP Multi Protocol BGP
MP-eBGP Multi Protocol EBGP
RIB Routing Information Block
OSI Open System Interconnection
NRLI Network Layer Reachability Information
VPI Virtual Path Identifier
SLA Service Level Agreement
Trang 9“sâu” bảo mật Để chống lại các sâu này và ngăn e-business bị xâm phạm thì kỹ thuật bảo mật đóng vai trò rất quan trọng trong các mạng ngày nay
Trong sự phát triển bùng nổ của Internet cũng như các dịch vụ thoại, truyền hình trên Internet thì giao thức IP trở thành giao thức chủ đạo trong lĩnh vực mạng Hướng của các ISP là thiết kế và sử dụng các router chuyên dụng, dung lượng chuyển tải lớn
hỗ trợ các giải pháp tích hợp, chuyển mạch đa lớp cho mạng trục Internet Với nhu cầu cấp thiết như vậy, công nghệ MPLS ra đời trên cơ sở kết hợp những đặc điểm tốt của chuyển mạch kênh ATM và chuyển mạch gói IP Một trong những ứng dụng thực tế đang triển khai hiện nay của MPLS là mạng thế hệ mới NGN có khả năng tích hợp đa dịch vụ với dung lượng lớn Các ứng dụng của mạng MPLS là kỹ thuật lưu lượng (TE) lớp dịch vụ (CoS), mạng riêng ảo (VPN), kênh thuê riêng ảo (VLLs), và dịch vụ LAN
ảo (VPLS) Vấn đề bảo mật trong mạng trục IP/MPLS cũng hết sức quan trọng và MPLS VPN được xây dựng dựa trên nhu cầu đó MPLS VPN không những cho phép khách hàng định tuyến trao đổi thông tin với nhau thông qua nhà cung cấp mà còn cho phép nhà cung cấp dịch vụ xây dựng dịch vụ bảo mật, xác thực cho khách hàng Tuy nhiên khả năng bảo mật trong mạng MPLS VPN còn nhiều hạn chế và cần sự hỗ trợ từ nhiều phương pháp khác Nội dung của đề tài cũng là đi sâu khai thác vấn đề này
1.2 Tổng quan tình hình nghiên cứu
MPLS được ra đời do một nhóm kỹ sư của công ty Ipsilon Network Sau đó được Cisco cải thiện thành một giao thức chuyển mạch nhãn đúng nghĩa không bị giới hạn theo cách truyền của ATM Cuối cùng, tổ chức IETF (Internet Engineering Task Force)
đã đề nghị một bộ giao thức thống nhất kết hợp các tính năng của các nhà cung cấp khác nhau Vấn đề bảo mật trong mạng MPLS cũng được nghiên cứu và cải thiện không ngừng Nhóm Miercom là một trong những nhóm tiên phong trong lĩnh vực này
và đã kiểm nghiệm thực tế khả năng bảo mật của MPLS MPLS dần trở thành một công nghệ phổ biến để cung cấp dịch vụ VPN, tăng tính bảo mật cho nhà cung cấp dịch
vụ cũng như khách hàng sử dụng MPLS VPN hoàn toàn tương đương và có thể thay
Trang 10thế cho VPN lớp 2 truyền thống như ATM, Frame Relay Cấu trúc được quan tâm chủ yếu của MPLS VPN là MPLS/BGP VPN
Với tiện lợi về chi phí đầu tư, khả năng phổ biến cũng như tính bảo mật, VPN dần thay thế kênh thuê riêng, chuyển mạch truyền thống và đang được các nhà cung cấp đầu tư, cải thiện không ngừng Khả năng bảo mật của VPN có thể chia thành 2 nhóm: VPN tại thiết bị khách hàng (CPE-based VPN) và VPN tại thiết bị của nhà cung cấp dịch vụ (Network-based VPN ) Với CPE-base VPN, khách hàng có thể thiết lập các đường hầm bảo mật VPN giữa các miền của họ, có thể sử dụng giải pháp đường hầm IPsec VPN qua internet hoặc qua mạng trục riêng Giải pháp này cũng được hỗ trợ bởi dịch vụ IP VPN Tuy nhiên các dịch vụ này khó triển khai, tốn kém đối với mạng lớn hơn và giải pháp MPLS VPN với chính sách bảo mật hợp lý có thể đáp ứng được điều
đó Giải pháp này không những tận dụng tối đa khả năng dễ mở rộng của MPLS VPN cùng với các dịch vụ mới có thể tăng doanh thu như ưu tiên CoS (Class of service) hay SLAs (service-level agreements) mà vẫn đảm bảo an toàn bảo mật cho thông tin trao đổi của khách hàng
1.3 Mục tiêu của đề tài
Mục tiêu chính của đề tài là nghiên cứu sự hỗ trợ của phương pháp bảo mật IPSec
để tăng cường bảo mật cho mạng MPLS VPN Bản chất MPLS VPN là tạo đường dẫn
ảo riêng biệt cho mỗi khách hàng nên đã có khả năng bảo mật nhất định Tuy nhiên trong môi trường mạng phức tạp ngày nay cùng với nhu cầu sử dụng internet càng cao MPLS VPN có thể bị tấn công từ nhiều hướng khác nhau Do đó nghiên cứu thiết lập các chính sách bảo mật cho mạng MPLS VPN là điều không tránh khỏi So với các phương pháp khác mà nhà cung cấp đang triển khai: xây dựng tường lửa, chính sách lọc gói, quản lý địa chỉ.vv IPsec là một phương pháp đơn giản nhưng khá hiệu quả IPsec có thể áp dụng cho router PE của nhà cung cấp dịch vụ nếu cần bảo mật số lượng lớn VPN kết nối vào mạng trục hoặc có thể triển khai bảo mật ngay tại router CE của khách hàng
1.4 Bố cục của đề tài
Đề tài trình bày cơ chế hoạt động của mạng MPLS VPN và các khả năng bị tấn công của mạng này Sau đó phân tích chi tiết cơ chế bảo mật của IPsec và cách kết hợp IPsec để tăng cường bảo mật cho mạng MPLS VPN Đề tài gồm các 2 phần chính: lý thuyết tổng quan và cơ chế bảo mật trong mạng MPLS Bố cục chi tiết như sau
Phần I: Lý thuyết tổng quan
Trình bày cơ sở lý thuyết cơ bản về MPLS
Chương 1: Giới thiệu đề tài
Trình bày tổng quan, mục đích và yêu cầu của các phần được nghiên cứu trong luận văn
Trang 11Chương 2: Chuyển mạch nhãn đa giao thức MPLS
Trình bày về kiến trúc tổng quan về MPLS: các khái niệm cơ bản và cách thức hoạt động của giao thức MPLS
Chương 3: Cấu trúc mạng MPLS VPN
Trình bày chi tiết về các thành phần của MPLS VPN, mặt phẳng điều khiển, mặt phẳng dữ liệu cũng như cách thức chuyển tiếp gói khi qua mạng MPLS VPN
Phần II: Cơ chế bảo mật trong mạng MPLS VPN
Phần này là phần chính của đề tài sẽ trình bày các lỗ hổng bảo mật trong MPLS VPN và cơ chế xây dựng IPsec để bảo mật nó
Chương 4: Các kiểu tấn công đối với mạng MPLS VPN
Trình bày các khả năng tấn công xâm nhập vào mạng MPLS VPN và đề nghị các giải pháp ngăn chặn
Chương 5: Bảo mật dùng IPsec
Trình bày chi tiết các thành phần của IPsec, cách thức mã hóa và các chế độ hoạt động của IPsec Sau cùng là các bước xây dựng IPsec VPN
Chương 6: Xây dựng chương trình mô phỏng
Dùng chương trình Dynamips để mô phỏng hoạt động của IPsec cho hai trường hợp: áp dụng cho kết nối PE-to-PE và kết nối CE-to-CE
Chương 7: Kết luận và hướng phát triển
1.5 Ý nghĩa của đề tài
Sự ra đời của MPLS là một bước đột phá về công nghệ và khả năng hỗ trợ đa dịch vụ Dựa trên một cơ sở hạ tầng chung như vậy thì vấn đề bảo mật lại càng được quan tâm và cải thiện liên tục Nội dung của đề tài cũng nhằm khai thác vấn đề này nhằm đưa ra một sự kết hợp hiệu quả giữa IPSec và MPLS VPN Sự kết hợp này không những đảm bảo những đặc tính ưu việt vốn có của MPLS VPN như khả năng
mở rộng dễ dàng, hỗ trợ đa dịch vụ,vv mà còn tạo sự xác thực, bảo mật và tính toàn vẹn khi có sự hỗ trợ của IPSec Cơ sở nghiên cứu này tạo tiền đề về cải thiện bảo mật cho các dịch vụ khác hoạt động trên mạng trục IP/MPLS như VoIP, IPTV, …
Trang 12Chương 2 CHUYỂN MẠCH NHÃN ĐA GIAO THỨC MPLS
2.1 Tổng quan
2.1.1 Khái niệm MPLS
MPLS là viết tắt của “protocol Label Switching” Thuật ngữ protocol dùng để nhấn mạnh rằng công nghệ này áp dụng cho tất cả giao thức lớp mạng không chỉ riêng IP MPLS là một phương pháp chuyển tiếp gói thông qua mạng bằng cách sử dụng thông tin chứa trong nhãn gắn vào gói IP Đây là công nghệ kết hợp tốt nhất kỹ thuật chuyển mạch lớp 2 và định tuyến lớp 3 Mục đích của MPLS là tạo ra một cấu trúc mạng có chất lượng và độ ổn định cao Trong đó bao gồm kỹ thuật lưu lượng và VPN, khả năng đưa đến chất lượng dịch vụ QoS có nhiều lớp dịch vụ CoS Công nghệ MPLS ra đời đã đáp ứng được nhu cầu của thị trường hiện tại, đánh dấu bước phát triển mới của mạng thông tin trước xu thế tích hợp công nghệ thông tin và viễn thông trong tương lai MPLS làm tăng khả năng sử dụng tài nguyên mạng một cách hiệu quả Dưới đây là một mô hình của mạng MPLS
Multi-Hình 2.1: Mô hình mạng MPLS
Trong mạng MPLS, gói tin tới được router chuyển mạch nhãn biên (Edge LSR) phân nhãn và được chuyển tiếp theo đường chuyển mạch nhãn LSP là nơi LSR quyết định chuyển tiếp nhãn dựa trên nội dung nhãn Tại mỗi hop trên đường đi, LSR đổi nhãn cũ bằng nhãn mới để hop kế tiếp biết được gói tin cần chuyển đi đâu Khi đến Edge LSR, nhãn được tháo bỏ và gói tin được chuyển đến đích theo địa chỉ thực của gói
Trang 13Quan điểm của MPLS là tính thông minh càng đưa ra biên thì mạng càng hoạt động tốt Lý do là những thành phần ở mạng lõi phải chịu tải rất cao Thành phần mạng lõi nên có độ thông minh thấp và năng lực chuyển tải cao MPLS phân tách hai chức năng định tuyến và chuyển mạch: các router ở biên thực hiện định tuyến và gắn nhãn cho gói Còn các router ở mạng lõi chỉ tập trung làm nhiệm vụ chuyển tiếp gói với tốc
độ cao dựa vào nhãn Tính thông minh được đẩy ra ngoài biên là một trong những ưu điểm lớn nhất của MPLS
2.1.2 Sự cải tiến của MPLS
Mục đích ban đầu của chuyển mạch nhãn là mang tốc độ chuyển mạch của lớp 2 đến lớp 3 Mục đích này không còn hiệu quả nữa khi chuyển mạch lớp 3 mới hơn ra đời đó là kỹ thuật dựa trên mạch kết hợp ứng dụng cụ thể (ASIC) có thể tra bảng định tuyến tại tốc độ vừa đủ cho hầu hết các loại giao tiếp
Mối quan tâm rất lớn về chuyển mạch nhãn đã cho ra đời nhóm IETF MPLS vào năm 1997 MPLS được cải tiến từ một số kỹ thuật trước đó, gồm có các phiên bản độc quyền của chuyển mạch nhãn như Cisco’s Tag Switching, IBM’s Aggregate Route-Based IP Switching (ARIS), Toshiba’s Cell-Switched Router (CSR), Ipsilon's IP Switching, và Lucent's IP Navigator
Tag Switching được Cisco phát minh và đưa vào sử dụng từ tháng 3 năm 1998 Với sự ra đời của Tag Switching, Cisco đã tham gia vào IETF để phát triển và thông qua chuẩn MPLS nên các chuẩn này đều có sự kết hợp của hầu hết các tính năng và lợi ích của Tag Switching
2.1.3 Vị trí của MPLS trong mô hình tham chiếu OSI
Trang 14Hình 2.2: MPLS và mô hình tham chiếu OSI
MPLS được xem là công nghệ lớp đệm (shim layer), vì nó nằm trên lớp 2 nhưng dưới lớp 3, vì vậy đôi khi người ta còn gọi nó là lớp 2,5 Hình 2.3 dưới đây cho thấy sự chuyển tiếp giữa 2 lớp này khi sử dụng MPLS
Hình 2.3: So sánh giữa chuyển tiếp IP và chuyển tiếp MPLS
Trang 15Nguyên lý của MPLS là tất cả các gói IP sẽ được gắn nhãn (label) và được chuyển tiếp theo một đường dẫn LSP Các router trên đường dẫn chỉ căn cứ vào nội dung của nhãn để thực hiện quyết định chuyển tiếp gói mà không cần phải kiếm tra header IP
2.1.4 Lợi ích của MPLS
Chuyển mạch nhãn cho phép các router và chuyển mạch ATM có hỗ trợ MPLS thực hiện quyết định chuyển tiếp dựa trên nội dung của nhãn, thay vì phải tra cứu bảng định tuyến phức tạp theo địa chỉ IP đích Kỹ thuật này mang đến một số lợi ích cho mạng IP như:
• VPN: dùng MPLS nhà cung cấp dịch vụ có thể tạo layer 3 VPN qua mạng
trục của họ cho nhiều khách hàng, sử dụng cấu trúc chung, không cần mã hóa hay tạo ứng dụng tại đầu cuối người sử dụng
• Kỹ thuật lưu lượng: cung cấp khả năng thiết lập một hay nhiều đường dẫn
rõ ràng để lưu lượng đi qua mạng Đồng thời có khả năng thiết lập đặc tính chất lượng cho lớp lưu lượng Nhờ đó, lưu lượng được phân bố hợp lý qua toàn bộ hạ tầng mạng, tối ưu hóa hiệu suất sử dụng mạng
• Chất lượng dịch vụ QoS: sử dụng MPLS QoS, các nhà cung cấp dịch vụ có
thể cung cấp nhiều lớp dịch vụ có bảo đảm QoS cho khách hàng VPN của họ
• Kết hợp IP và ATM: hầu như các mạng cung cấp đều dùng mô hình overlay
khi ATM được sử dụng ở lớp 2 và IP được sử dụng ở lớp 3 Cách triển khai này có khả năng dễ nâng cấp hơn Khi sử dụng MPLS, nhà khai thác có thể chuyển nhiều chức năng của mặt phẳng điều khiển ATM đến lớp 3, vì vậy làm đơn giản hóa mạng cung cấp, cách quản lý và độ phức tạp của mạng Kỹ thuật này nâng cao khả năng mở rộng và loại bỏ các phí tổn dư thừa của cell ATM khi mang lưu lượng IP
MPLS kết hợp chất lượng và khả năng của chuyển mạch lớp 2 với khả năng mở rộng định tuyến lớp 3 Điều này cho phép nhà cung cấp đáp ứng được nhu cầu rất lớn khi phát triển mạng trong khi vẫn cung cấp cơ hội cho các dịch vụ khác mà không phải
hy sinh cơ sở hạ tầng mạng sẵn có Cấu trúc MPLS linh hoạt và có thể triển khai khi cần sự kết hợp của kỹ thuật lớp 2
MPLS có thể hỗ trợ cho các giao thức lớp 3 và có thể mở rộng theo xu hướng mạng hiện nay MPLS cho phép phân phối hiệu quả dịch vụ IP qua mạng chuyển mạch ATM MPLS hỗ trợ cho việc tạo ra các định tuyến khác nhau giữa nguồn và đích trên mạng trục Internet sử dụng router thông thường Khi kết hợp MPLS vào cấu trúc mạng, nhiều nhà cung cấp dịch vụ giảm được chi phí, tăng doanh thu và sản phẩm, cung cấp các dịch vụ khác nhau, và có sự thuận lợi rất lớn về layer 3 VPN, kỹ thuật lưu lượng khi cạnh tranh với các nhà cung cấp khác
Trang 16Khi hợp nhất với chuyển mạch ATM, chuyển mạch nhãn tận dụng những thuận lợi của các tế bào ATM – chiều dài thích hợp và chuyển với tốc độ cao Trong mạng đa dịch vụ chuyển mạch nhãn cho phép chuyển mạch BPX/MGX nhằm cung cấp dịch vụ ATM, Frame Relay và IP Internet trên một mặt phẳng đơn trong mọt đường đi tốc độ cao Các mặt phẳng công cộng hỗ trợ các dịch vụ này để tiết kiệm chi phí và đơn giản hóa hoạt động cho nhà cung cấp đa dịch vụ ISP sử dụng chuyển mạch ATM lõi, chuyển mạch nhãn giúp các dòng Cisco, BPX8600, MGX8800, Router chuyển mạch
đa dịch vụ 8540 và các chuyển mạch Cisco ATM giúp quản lý mạng hiệu quả hơn xếp chồng (overlay) lớp IP trên mạng ATM Chuyển mạch nhãn tránh những rắc rối gây ra
do có nhiều router ngang hàng và hỗ trợ cấu trúc phân cấp trong một mạng của ISP
2.2 Kiến trúc mạng MPLS
2.2.1 Miền MPLS
Miền MPLS được chia thành hai phần MPLS nhân và MPLS biên MPLS nhân gồm có các node lân cận có khả năng MPLS node, trong MPLS biên có thể bao gồm các node lân cận có thể là MPLS node hoặc không là các node MPLS Các node trong miền MPLS được gọi là các router chuyển mạch nhãn LSR (Label Switch Router) Các node trong nhân được gọi là LSR chuyển tiếp,các node nằm tại biên MPLS gọi là các router biên chuyển mạch nhãn LER (Label Edge Router) Nếu LER là node đầu tiên nằm trên đường mà gói dữ liệu đi vào miền MPLS gọi là Ingress LER, còn nếu là node cuối cùng gọi là Egress LER
Hình 2.4: Miền trong MPLS
Thuật ngữ upstream-LSR và downstream-LSR cũng được sử dụng, phụ thuộc vào chiều của luồng lưu lượng Các tài liệu MPLS thường dùng ký hiệu Ru để biểu thị cho upstream-LSR và dùng ký hiệu Rd để biểu thị cho downstream-LSR
Trang 17vụ QoS
Bit 23 là chỉ nhãn cuối cùng của stack nhãn (BoS) Mặc định là 0, nếu là nhãn cuối cùng thì có giá trị 1 Stack là tập hợp các nhãn được thấy phần trên của gói Stack
có thể chỉ gồm 1 hoặc nhiều nhãn nhưng hiếm khi vượt quá 3 nhãn
Bit 24 đến 31 là 8 bit được sử dụng cho Time To Live (TTL) TTL có chức năng giống như TTL trong IP header Giá trị của nó giảm 1 khi qua mỗi hop, và nhiệm vụ chính là tránh để gói bị loop định tuyến Nếu xảy ra loop và không có TTL, gói bị loop mãi mãi Khi TTL có giá trị 0 thì gói sẽ được bỏ qua
Trang 18(ATM Adaptation Layer) đảm trách Cụ thể, AAL5 PDU sẽ được chia thành nhiều đoạn 48 byte, mỗi đoạn 48 byte này được thêm header 5 byte để tạo ra một cell ATM
Hình 2.7: Nhãn trong chế độ cell ATM
Hình 2.8: Gói có nhãn trên ATM
Khi đóng gói có nhãn MPLS trên ATM, toàn bộ stack nhãn được đặt trong AAL5 PDU Giá trị thực sự của nhãn đỉnh được đặt trong trường VPI/VCI, hoặc đặt trong trường VCI nếu 2 ATM-LSR kết nối nhau qua một đường ảo ATM (VP) Entry đỉnh stack nhãn phải chứa giá trị 0 (coi như entry “giữ chỗ”) và được bỏ qua khi nhận Lý
do các nhãn phải chứa ở cả trong AAL5 PDU và header ATM là để mở rộng độ sâu stack nhãn Khi các cell ATM đi đến cuối LSP, nó sẽ được tái hợp lại Nếu có nhiều nhãn trong stack nhãn, AAL5 PDU sẽ bị phân đoạn lần nữa và nhãn hiện hành trên đỉnh stack sẽ được đặt vào trường VPI/VCI
2.2.3 Ngăn xếp nhãn
Router có MPLS có thể cần nhiều hơn 1 nhãn ở phần trên của gói để định tuyến gói qua mạng MPLS Điều này được thực hiện bằng cách đóng gói nhãn vào một stack Nhãn đầu tiên trong stack được gọi là top label, và nhãn cuối cùng được gọi là bottom label Hình 2.7 cho thấy cấu trúc của ngăn xếp nhãn (label stack)
Giá trị thực của nhãn đỉnh chứa trong trường VCI/VPI của header các cell ATM
Trang 19Một số ứng dụng thực tế cần nhiều hơn 1 nhãn trong ngăn xếp nhãn để chuyển các gói được gắn nhãn Điển hình như MPLS VPN và AToM Cả hai đều đặt 2 nhãn trong ngăn xếp nhãn và được thấy như hình 2.10
Hình 2.9: Ngăn xếp nhãn
Hình 2.10: Ngăn xếp nhãn trong các trường hợp khác nhau
Trang 202.2.4 Mã hóa MPLS
Ngăn xếp nhãn nằm ở trước gói layer 3 nghĩa là trước header của lớp transport nhưng sau layer 2 header Chính vị trí như vậy nên ngăn xếp nhãn MPLS được gọi là shim header (đệm) Hình 2.8 cho thấy vị trí của stack nhãn khi gói đã gắn nhãn
2.2.5 Đường chuyển mạch nhãn LSP
Đường chuyển mạch nhãn LSP là một đường nối giữa router ngỏ vào và router ngỏ ra, được thiết lập bởi các nút MPLS để chuyển các gói đi xuyên qua mạng Đường dẫn của một LSP qua mạng được định nghĩa bởi sự chuyển đổi các giá trị nhãn ở các LSR dọc theo LSP bằng cách dùng thủ tục hoán đổi nhãn Khái niệm LSP tương tự như khái niệm mạch ảo (VC) trong ATM
Hình 2.12: Đường chuyển mạch nhãn LSP
Kiến trúc MPLS cho phép nâng cấp các LSP, tương tự như ATM sử dụng VPI và VCI để tạo ra phân cấp kênh ảo (VC) nằm trong đường ảo (VP) Tuy nhiên ATM chỉ
Trang 21có thể hỗ trợ 2 mức phân cấp, trong khi với MPLS thì số mức phân cấp cho phép rất lớn nhờ khả năng chứa nhiều entry nhãn trong stack nhãn Về lý thuyết, giới hạn số lượng nhãn trong stack phụ thuộc giá trị MTU (Maximum Transfer Unit) của các giao thức liên kết được dùng dọc theo một LSP
Hình 2.13: Phân cấp LSP trong MPLS
Hình 2.14 là một ví dụ về LSP lồng vào nhau Ingress LSR của LSP không nhất thiết là router đầu tiên gắn nhãn Trong hình LSP phía dưới bao gồm toàn bộ mạng MPLS LSP phía trên bắt đầu tại LSR thứ 3 và kết thúc tại LSR kế cuối Do đó gói vào LSP này đã được gắn nhãn trước đó Ingress LSR của LSP này gắn thêm một nhãn thứ
2 vào gói làm cho stack nhãn sẽ có 2 nhãn với nhãn trên cùng là của LSP lồng vào
Hình 2.14: Một ví dụ LSP lồng vào nhau
2.2.6 Lớp chuyển tiếp tương đương FEC
FEC (Forwarding Equivalence Class) là một nhóm hay một luồng gói được chuyển tiếp theo cùng một đường dẫn và được đối xử như nhau Các gói cùng FEC có nhãn giống nhau Tuy nhiên không phải tất cả các gói có cùng nhãn đều cùng FEC bởi
vì giá trị EXP có thể khác nhau nên chúng có thể thuộc một FEC khác Router quyết
Trang 22định gói nào thuộc FEC nào là ingress LSR LSR này phân loại và gán nhãn cho gói một cách định tính
Hình 2.15: Lớp chuyển tiếp tương đương FEC trong MPLS
Hình 2.16 là một ví dụ về FEC trong mạng MPLS có các edge LSR đều chạy iBGP (internal BGP) Tất cả các gói trong ingress LSR đều chỉ đến một nhóm định tuyến BGP trong bảng định tuyến – tất cả đều có địa chỉ BGP next-hop giống nhau nên thuộc cùng một FEC Điều này có nghĩa là tất cả các gói đi vào mạng MPLS được gắn nhãn tùy thuộc vào BGP next hop là gì
Hình 2.16: Ví dụ FEC trong MPLS chạy iBGP
Trang 232.2.7 Phân phối nhãn MPLS
2.2.7.1 Chế độ phân phối nhãn
MPLS cho phép hai chế độ hoạt động của các LSR để phân phối các ánh xạ nhãn
đĩ là phân phối khơng cần yêu cầu (Downstream Unsolicited) và phân phối theo yêu cầu (Downstream on Demand) Thuật ngữ downstream ở đây ngụ ý rằng phía downstream sẽ thực hiện việc gán kết nhãn và thơng báo gán kết đĩ cho phía upstream
a) Phân phối nhãn khơng cần yêu cầu
Downstream-LSR phân phối các gán kết nhãn đến upstream-LSR mà khơng cần có yêu cầu thực hiện việc kết nhãn Nếu downstream-LSR chính là hop kế đối với định tuyến IP cho một FEC cụ thể thì upstream-LSR cĩ thể sử dụng kiểu kết nhãn này để chuyển tiếp các gĩi trong FEC đĩ đến downstream-LSR
Hình 2.17: Phân phối nhãn khơng cần yêu cầu
b) Phân phối nhãn theo yêu cầu
Upstream-LSR phải yêu cầu rõ ràng một gán kết nhãn cho một FEC cụ thể thì downstream-LSR mới phân phối Trong phương thức này, downstream-router khơng nhất thiết phải là hop kế đối với định tuyến IP cho FEC đĩ, điều này rất quan trọng đối với các LSP định tuyến tường minh
Hình 2.18: Phân phối nhãn theo yêu cầu
2.2.7.2 Giao thức LDP (Label Distribution Protocol)
Ngồi các giao thức phân phối nhãn khác như TDP (Tag Distribution Protocol), RSVP (Resource Reservation Protocol), LDP được nhiều nhà cung cấp sử dụng để phân phối nhãn mới LDP được chuẩn hĩa trong RFC 3036, nĩ được thiết lập và duy trì các LSP định tuyến khơng ràng buộc (unconstraint routing) Vùng hoạt động của LDP cĩ thể là giữa các LSR láng giềng (neighbor) trực tiếp hoặc gián tiếp
Trang 24Hình 2.19: vùng hoạt động của LDP
LDP có 4 chức năng chính là phát hiện LSR láng giềng, thiết lập và duy trì phiên quảng bá nhãn (label advertisement) và thông báo (Notification) Tương ứng với các chức năng trên, có 4 lớp thông điệp LDP sau đây:
Discovery: Để trao đổi định kỳ bản tin Hello nhằm loan báo và kiểm tra một
LSR kết nối gián tiếp hoặc trực tiếp
Session: để thiết lập, thương lượng các thông số cho việc khởi tạo, duy trì và
chấm dứt các phiên ngang hàng LDP Nhóm này bao gồm bản tin Initialization, KeepAlive
Advertisement: để tạo ra, thay đổi hoặc xóa các ánh xạ FEC tới nhãn Nhóm
này bao gồm bản tin Label Mapping, Label Withdrawal, Label Release, Label Request, Label Request Abort
Notification: để truyền đạt thông tin trạng thái, lỗi hoặc cảnh báo
Các thông điệp Discovery được trao đổi trên UDP Các kiểu thông điệp còn lại đòi hỏi phân phát tin cậy nên dùng TCP Trường hợp hai LSR có kết nối lớp 2 trực tiếp thì thủ tục phát hiện neighbor trực tiếp như sau:
Một LSR định kỳ gửi đi bản tin Hello tới các cổng UDP 646 địa chỉ multicast (tất cả các router trong subnet)
Tất cả các LSR tiếp nhận bản tin Hello này trên cổng UDP Đến một thời điểm nào đó LSR sẽ biết được tất cả các LSR khác mà nó kết nối trực tiếp
Khi LSR nhận biết địa chỉ của LSR khác bằng cơ chế này thì nó sẽ thiết lập kết nối TCP đến LSR đó Khi đó phiên LDP được thiết lập giữa 2 LSR
Phiên LDP là phiên song hướng nên mỗi LSR ở hai đầu kết nối đều có thể yêu cầu và gửi liên kết nhãn
Trang 25Hình 2.20: Trao đổi thông điệp LDP
Trong trường hợp hai LSR không có kết nối lớp 2 trực tiếp (neighbor gián tiếp) thì LSR định kỳ gửi bản tin Hello đến cổng UDP đã biết tại địa chỉ IP xác định được khai báo khi lập cấu hình Đầu nhận bản tin này có thể trả lời lại bằng bản tin Hello khác và việc thiết lập các phiên LDP được thực hiện như trên
2.2.8 Cấu trúc chức năng của MPLS
2.2.8.1 Mặt phẳng chuyển tiếp và mặt phằng điều khiển
Về chức năng, MPLS có thể được chia thành 2 phần: điều khiển và chuyển tiếp Hình 2.21 minh họa mặt phẳng điều khiển và chuyển tiếp của LSR và LER Mặt phẳng điều khiển có chức năng định tuyến IP dùng để giao tiếp với các LSR, LER khác hoặc các router IP thông thường bằng các giao thức định tuyến IP Kết quả là một cơ sở thông tin định tuyến RIB (Routing Information Base) được tạo lập gồm các thông tin miêu tả các các route khả thi để tìm đến các prefix địa chỉ IP LER sẽ sử dụng các thông tin này để xây dựng cơ sở thông tin chuyển tiếp FIB (Forwarding Information Base) trong mặt phẳng chuyển tiếp LSR chỉ có chức năng chuyển tiếp gói đã gắn nhãn nên mặt phẳng chuyển tiếp chỉ có bảng LFIB
Mặt phẳng điều khiển còn có chức năng báo hiệu MPLS dùng để giao tiếp với các LSR khác bằng một giao thức phân phối nhãn Kết quả là một cơ sở thông tin nhãn LIB (Label Information Base) gồm các thông tin liên quan đến các gán kết nhãn đã được thương lượng với các router MPLS khác Thành phần báo hiệu MPLS nhận thông tin
từ chức năng định tuyến IP và LIB để xây dựng cơ sở thông tin chuyển tiếp nhãn LFIB (Label Forwarding Information Base) trong mặt phẳng chuyển tiếp Một LER có thể có thể chuyển tiếp các gói IP, gắn nhãn vào gói (label push), hoặc gỡ nhãn ra khỏi gói (label pop), trong khi đó một transit-LSR chỉ có khả năng chuyển tiếp gói có nhãn, thêm hoặc bỏ bớt nhãn
Trang 26Hình 2.21: Cấu trúc chức năng của LER và LSR
2.2.8.2 Bảng LIB và LFIB
Cơ sở chuyển tiếp nhãn LFIB là bảng được sử dụng để chuyển tiếp gói đã gắn nhãn Nó được quảng bá bằng nhãn gởi đến và đi cho LSP Nhãn đến là nhãn cục bộ từ một LSR nào đó Nhãn đi là nhãn do LSR chọn cho cổng ra từ một số nhãn sẵn có trong bảng LIB là bảng thô sơ ban đầu và thiết kế nó trong bảng LFIB Nhãn được chọn trong bảng LFIB tùy thuộc vào đường đi tốt nhất trong bảng định tuyến
Một ví dụ như IPv4-over-MPLS, nhãn được gắn với IPv4 prefix Tuy nhiên, LFIB có thể được quảng bá bằng nhãn mà LDP không phân cho nó Trong trường hợp
kỹ thuật lưu lượng MPLS, nhãn được phân bởi RSVP Trong trường hợp MPLS VPN, nhãn VPN được phân phối bởi BGP Dù trường hợp nào thì LFIB luôn được sử dụng
để chuyển tiếp nhãn đến
Trong mạng IP, quyết định chuyển tiếp gói được xác lập bằng cách thực hiện tra cứu địa chỉ đích trong bảng FIB để xác định hop kế và giao diện ra Trong mạng MPLS, mỗi LSR duy trì một bảng LFIB riêng rẽ và tách biệt với FIB Bảng LFIB có hai loại entry là ILM (Incoming label map) và FTN (FEC-to-NHLFE)
NHLFE là subentry của ILM hoặc FTN, được sử dụng để chuyển tiếp gói và chứa các thông tin như:
Trang 271 Next hop của gĩi
2 Hoạt động trên stack nhãn như:
− Thay thế nhãn trên cùng stack nhãn bằng nhãn mới
− Pop stack nhãn
− Thay thế nhãn trên cùng stack nhãn bằng nhãn mới và push một hay nhiều nhãn mới lên stack đĩ
Nĩ cũng cĩ thể chứa:
− Kiểu đĩng gĩi data link được sử dụng khi truyền gĩi
− Cách mã hĩa stack nhãn khi truyền gĩi
− Bất cứ thơng tin nào cần để sắp xếp hợp lý gĩi
Hình 2.22: Một ví dụ NHLFE
ILM ánh xạ một nhãn đến một hoặc nhiều NHLFE Nhãn trong gĩi đến sẽ dùng
để chọn ra một entry ILM cụ thể nhằm xác định NHLFE Cịn FTN ánh xạ mỗi FEC vào một hoặc nhiều NHLFE Nhờ các entry FTN, gĩi chưa cĩ nhãn được chuyển thành gĩi cĩ nhãn Cĩ thể thấy mối quan hệ này như hình 2.23
Như vậy, khi một gĩi khơng nhãn thuộc một FEC đi vào miền MPLS, LER sẽ sử dụng một entry LFIB loại FTN để chuyển gĩi khơng nhãn thành gĩi cĩ nhãn Sau đĩ, tại các transit-LSR sử dụng một entry LFIB loại ILM để hốn đổi nhãn vào bằng nhãn ra Cuối cùng, tại egress-LER sử dụng một entry LFIB loại ILM để gỡ
ingress-bỏ nhãn đến và chuyển tiếp gĩi khơng nhãn đến router kế tiếp
Trang 28Hình 2.23: Mối quan hệ giữa FTN, ILM và NHLFE
2.2.8.3 Quá trình chuyển tiếp nhãn
Các nút MPLS sử dụng giá trị nhãn trong các gói đến làm chỉ mục để tra bảng LFIB Khi tìm thấy entry tương ứng với nhãn đến, nút MPLS thay thế nhãn trong gói bằng nhãn ra và gởi gói đi qua giao diện ra để đến hop kế được đặt tả trong subentry NHLFE Nếu subentry có chỉ định hàng đợi ra, nút MPLS sẽ đặt gói trên hàng đợi đã được chỉ định Trường hợp nút MPLS duy trì một LFIB riêng cho mỗi giao diện, nó sẽ dùng LFIB của giao diện mà gói đến để tra cứu chuyển tiếp gói Quá trình chuyển tiếp như hình 2.24
Hình 2.25 là một ví dụ bên trong mặt phẳng chuyển tiếp FEC là một tập con các gói căn cứ theo một số thông tin trong header IP được dùng bởi FIB Một FEC được dùng thường dựa theo luật “longest prefix match” trên địa chỉ IP đích Ví dụ: các địa
chỉ IP so trùng 16 bit đầu có dạng “a.b.*.*” (trong đó * đại diện cho giá trị hợp lệ bất kỳ) được biểu diễn là “a.b/16” cho entry FEC đầu tiên trong bảng FIB FEC còn có thể
căn cứ bổ sung theo các trường khác trong header IP như ToS hay Diffserv FIB sử dụng FEC để xác định ra giao tiếp đi đến hop kế cho các gói IP, cách thực hiện giống như các router cổ điển Phần ILM của LFIB thao tác trên một gói có nhãn và ánh xạ một nhãn vào đến tập entry NHLFE ILM được thể hiện trong hình bởi các cột IN-IF
và IN-LBL, nhưng cũng có thể là một bảng riêng rẽ cho một giao tiếp FTN của FIB ánh xạ một FEC tới một tập hợp gồm một hoặc nhiều NHLFE Như ví dụ trong hình,
Trang 29nhãn A được gắn (push) lên các gói IP thuộc FEC “d.e/16” Lưu ý là ILM hoặc FTN có thể ánh xạ tới nhiều NHLFE, chẳng hạn dùng trong cân bằng tải
Kiểm tra nhãn của gói
Hình 2.24: Quá trình chuyển tiếp một gói đến một hop kế
Hình 2.25: Một ví dụ bên trong mặt phẳng chuyển tiếp
Trang 302.2.8.4 Gỡ bỏ nhãn áp cuối PHP (Penultimate Hop Popping)
Một tối ưu hóa quan trọng mà MPLS hỗ trợ là tránh việc tra cứu nhãn (label lookup) phải xử lý ở egress-LER trong trường hợp một gói đi trên một LSP mà yêu cầu tra cứu IP (IP lookup) tiếp ngay sau đó Ở trong hình 18, một gói đến có nhãn A được
gỡ nhãn (pop) và chuyển sang FIB để tra cứu tiếp trên header IP Để tránh việc xử lý phát sinh thêm này, MPLS định nghĩa một tiến trình gọi là gỡ nhãn ở hop áp cuối PHP (penultimate hop popping), trong đó router áp cuối trên LSP sẽ gỡ nhãn thay vì egress-LER phải làm việc đó Nhờ vậy cắt giảm được việc xử lý ở router cuối cùng trên LSP
2.2.8.5 Ví dụ về hoạt động chuyển tiếp
Hình 2.26 là một ví dụ về hoạt động chuyển tiếp được thực hiện ở mỗi nút cho 2 LSP là LSP-1 và LSP-2
Hình 2.26: Ví dụ về hoạt động chuyển tiếp
LSP-1 bắt đầu từ LER E1, tại đó có một gói IP đến với địa chỉ đích là “a.b.c.d” LER E1 kiểm tra bảng FIB của nó và xác định rằng gói này thuộc về FEC “a.b.c/24”,
nó gắn nhãn A lên gói và xuất ra trên giao tiếp số 2 Tiếp theo, LSR S1 thấy có gói gắn nhãn A đến trên giao tiếp số 1, LFIB của nó chỉ thị rằng gói sẽ xuất ra trên giao tiếp số
4 và nhãn sẽ được thay thế bằng nhãn D Gói có nhãn đi ra trên giao tiếp số 4 trên LSR S1 nối đến giao tiếp số 1 trên LSR S4 Vì LSR S4 là hop kế cuối của LSP-1 nên thao tác được chỉ thị trong LFIB của nó là gỡ nhãn (pop) và gởi gói đi ra trên giao tiếp số 4
Ở hop cuối cùng là LER E4, entry FIB thao tác trên FEC “a.b.c/24” và chuyển phát gói đến hop kế trên giao tiếp số 3 Quá trình tại LSP-2 cũng diễn ra tương tự như LSP-1
Trang 31Có 3 nhóm giao thức đường hầm nổi bật được dùng trong mạng VPN để đảm bảo
an toàn khi thực hiện trên nền VPN Bao gồm:
IP Security (IPSec): được phát triển bởi IETF, IPSec là chuẩn mở thuộc lớp
3 của mô hình OSI được sử dụng để bảo mật truyền dẫn và chứng thực user trên mạng công cộng IPSec hỗ trợ bảo mật một cách độc lập nên không cần phải bổ sung bảo mật cho từng ứng dụng riêng
Point-to-point Tunneling Protocol (PPTP): phát triển bởi Microsoft, 3COM,
và Ascend Communication, PPTP được đưa ra như là sự lựa chọn với IPSec Tuy nhiên, IPSec vẫn là giao thức đường hầm được ưu chuộng hơn PPTP hoạt động tại lớp 2 của mô hình OSI và được dùng cho bảo mật truyền dẫn của lưu thông trên nền Windows
Layer 2 Tunneling Protocol (L2TP): được phát triển bởi Cisco System, là sự kết nối Layer 2 Forwarding (L2F) và PPTP và được dùng để đóng gói khung theo giao thức Point-to-point Protocol (PPP) để gởi trên mạng X25, FR và ATM
Trang 32Hình 3.1: Ví dụ về Layer-2 VPN
3.1.2 Phân loại
Dựa trên mục đích kinh doanh thì VPN có thể chia thành 3 loại sau:
Intranet VPN : kết nối các vùng trong một tổ chức Cơ chế bảo mật không thường sử dụng trong mạng Intranet, khi tất cả các vùng đều cùng thuộc một
tổ chức
Extranet VPN: kết nối các tổ chức khác nhau Extranet thường dựa trên cơ chế bảo mật, để bảo vệ cho từng thành phần tham gia trong mạng Extranet Cơ chế bảo mật này thường là trách nhiệm của các tổ chức riêng rẽ
Access VPN- Virtual Private dial Network: cung cấp truy xuất quay số vào trong mạng khách hàng (C-network)
Dựa trên dịch vụ VPN thì có thể chia thành 2 mô hình như sau:
Overlay VPN: nhà cung cấp dịch vụ cung cấp kết nối point-to-point ảo giữa các miền khách hàng như: X.25, Frame Relay, ATM, và SMDS (Switched Multimegabit Data Service) Nhà cung cấp chỉ vận chuyển frame Layer 2 giữa các khách hàng, các lớp cao hơn do khách hàng chịu trách nhiệm
Peer-to-peer VPN: nhà cung cấp dịch vụ có tham gia định tuyến cho khách hàng, chấp nhận định tuyến từ khách hàng, chuyển các định tuyến này qua mạng trục của nhà cung cấp và cuối cùng quảng bá đến miền khách hàng khác
Trang 333.1.3 Ưu điểm của mạng VPN
VPN có những ưu điểm hơn mạng truyền thống kênh thuê riêng (leased-line), đó là:
Giảm chi phí thực hiện: chi phí cho mạng VPN thấp hơn so với giải pháp truyền thống dựa trên kết nối lease line, Frame Relay, ATM, hay ISDN
Giảm chi phí quản lý và chi phí nhân viên: nhờ giảm đáng kể chi phí đầu tư viễn thông, VPN giảm chi phí hoạt động mạng WAN Hơn nữa, các tổ chức có thể giảm toàn bộ chi phí của mạng nếu thiết bị WAN dùng cho VPN được quản lý bởi ISP
Bảo mật: vì VPN dùng công nghệ đường hầm để truyền dữ liệu trên mạng Internet công cộng, nên trao đổi dữ liệu được bảo mật ở một qui mô nào đó Ngoài ra VPN còn có các tính chất khác như mã hóa, chứng thực, bảo đảm toàn vẹn dữ liệu
Sử dụng băng thông hiệu quả: nếu dùng Internet leased line thì băng thông sẽ
bị lãng phí khi không sử dụng Với VPN sẽ tạo một đường hầm logic để truyền dữ liệu khi có yêu cầu, kết quả là băng thông mạng chỉ sử dụng khi có hoạt động kết nối Internet Do đó, tránh gây việc lãng phí băng thông
Nâng cao khả năng mở rông: VPN dựa trên nền Internet nên cho phép mạng cục bộ của tổ chức có thể mở rộng phát triển khi có nhu cầu, với chi phí thấp nhất cho thiết bị mở rộng Điều này làm cho VPN có tính mở rộng và thích nghi trong tương lai
3.1.4 Tồn tại của mạng VPN
VPN cũng tồn tại một số khuyết điểm:
Nếu VPN triển khai qua mạng Internet thì sẽ phụ thuộc nhiều vào tình trạng Internet Leased line đảm bảo băng thông đã được ghi rõ trong hợp đồng giữa nhà ISP và tổ chức nhưng lại không có gì đảm bảo khi sự thực hiện trên Internet Quá tải lưu lượng và tắt nghẽn có thể phủ nhận hiệu quả của mạng VPN
Thiếu sự hỗ trợ của các giao thức kế thừa
Mạng ngày nay cần liên lạc nhiều chiều (any-to-any) Để hỗ trợ điều này sử dụng frame relay hay giao thức đường hầm thì cần phải có cấu hình dạng kết nối đầy đủ (full mesh topology) sử dụng các công nghệ truyền thống với hàng ngàn hay chục ngàn VPN
Đối với mô hình Overlay VPN, cần có kết nối full mesh cho các VC, VC phải được cung cấp bằng tay, băng thông phải được cung cấp theo từng site-to-site Ngoài ra còn có phí tổn dành cho đóng gói như Ipsec hoặc GRE
Trang 34 Đối với mô hình Peer-to-peer VPN, nhà cung cấp tham gia vào bảng định tuyến, chịu trách nhiệm cho sự hội tụ tại khách hàng Nhà cung cấp cần phải biết chi tiết bảng định tuyến IP và các router PE phải mang tất cả các định tuyến từ tất cả khách hàng Ngoài ra không gian địa chỉ giữa các miền khách hàng cũng cần phải phân bố lại
Để có thể khắc phục một số nhược điểm của mạng VPN, mạng MPLS VPN ra đời
đã đáp ứng được các yêu cầu như nâng cao tính tỉ lệ, khả năng mở rộng, và không phụ thuộc nhiều vào mạng Internet
MPLS VPN kết hợp các tính năng tốt nhất của Overlay VPN và peer-to-peer VPN Các PE router tham gia vào bảng định tuyến tại khách hàng, đảm bảo định tuyến tối ưu giữa các vùng và dễ dàng cung cấp PE router có thể mang từng bảng định tuyến của mỗi khách hàng và khách hàng có thể sử dụng không gian địa chỉ trùng lập
3.2 Mạng MPLS VPN
3.2.1 Giới thiệu
Các dịch vụ internet có thể chia làm 3 nhóm chính: voice, data, video với các yêu cầu khác nhau Như voice yêu cầu độ trễ thấp, cho phép thất thoát dữ liệu để tăng hiệu quả Video cho phép mất mác dữ liệu ở mức chấp nhận được, mang tính thời gian thực Data yêu cầu độ bảo mật, độ chính xác cao Việc triển khai công nghệ MPLS làm tăng hiệu quả khai thác các tài nguyên mạng sao cho hữu hiệu nhất
VPN được xây dựng dựa trên MPLS có các lợi ích sau:
MPLS VPN cung cấp bề mặt triển khai nhanh chóng các dịch vụ giá trị gia tăng trên mạng IP bao gồm Intranet, Extranet, voice, multimedia, thương mại trên mạng Làm việc hầu hết với các công nghệ liên kết dữ liệu
MPLS cung cấp sự cân bằng tính riêng tư và bảo mật tại VPN lớp 2 bằng sự điều tiết sự phân phối của tuyến VPN
MPLS đưa ra sự tích hợp thông suốt với mạng nội bộ khách hàng
MPLS VPN tăng tỉ lệ bổ sung số lượng lớn VPN hiện thời
MPLS VPN cung cấp Class of Service (CoS) với việc hỗ trợ đa lớp dịch vụ trên mạng VPN
MPLS dễ dàng quản lý, dễ dàng cung cấp mạng VPN mới và thích hợp cho việc mở rộng nhanh chóng
Nhà cung cấp dịch vụ sẽ tận dụng chức năng của MPLS VPN để cung cấp dịch vụ IP, kênh thuê riêng qua mạng trục MPLS Khách hàng yêu cầu kết nối Internet công cộng có thể thiết lập xuyên qua sự truy cập bên ngoài hay định tuyến mặc định bên trong Router CPE Hơn thế nữa, nhà cung cấp dịch vụ có thể lựa chọn dịch vụ mã hóa dữ liệu cho khách hàng của họ, xuyên qua đường
Trang 35hầm với sự bảo mật dùng IPSec trên đỉnh của MPLS VPN Nội dung của đề tài cũng là đi sâu vào vấn đề này.
• Router nhà cung cấp (P-router): một router MPLS/IP được dùng cho mạng nhà cung cấp chưa có dịch vụ biên
• Router biên của nhà cung cấp (PE-router): đây là router cung cấp kèm theo cho điểm cuối VPN của khác hàng và phân phối dịch vụ
Trang 36• Router biên hệ thống tự trị (ASBR-router): router này được dùng khi có kết nối đến hệ thống tự trị kế cận mà phụ thuộc cùng một nhà khai thác hoặc khác nhà khai thác
• Mạng khách hàng (C-network): mạng kết nối với dịch vụ Layer 3 MPLS VPN
do người sử dụng quản lý
• Router biên khách hàng (CE-router): một router khách hàng cung cấp gateway giữa C-network và P-network CE-router có thể do người sử dụng quản lý (thuộc phạm vi C-network) hoặc do nhà cung cấp quản lý
3.2.3 Mô hình định tuyến MPLS VPN
Mô hình MPLS tương tự như mô hình router peer-to-peer Từ router CE, chỉ cập nhật IPv4 như dữ liệu và chuyển tiếp đến Router PE Router CE không cần bất kỳ sự cấu hình cụ thể để cho phép nó là một phần của vùng MPLS VPN Sự yêu cầu chỉ cần trên Router CE là giao thức định tuyến (hoặc static/default route) mà cho phép Router trao đổi thông tin định tuyến IPv4 với Router PE
Với MPLS VPN, Router PE sẽ thực hiện đa chức năng Đầu tiên router PE phải
có khả năng điều khiển riêng biệt lưu lượng của khách hàng nếu có nhiều hơn một khách hàng kết nối với router PE Vì vậy mỗi khách hàng được gán bảng định tuyến độc lập Định tuyến xuyên qua router backbone dùng quá trình định tuyến trong bảng định tuyến chung Router P sẽ cung cấp chuyển mạch nhãn giữa Router PE và không nhận biết được định tuyến VPN Các router CE trong mạng khách hàng sẽ không biết router P và do vậy cấu trúc của mạng SP giống như trong suốt đến thẳng khách hàng Hình 3.3 mô tả chức năng của router PE
Hình 3.3: Cấu trúc chức năng của router PE trong MPLS VPN
Router P chỉ chịu trách nhiệm chuyển mạch nhãn cho các gói Chúng không thể mang tuyến VPN và không thể tham gia định tuyến trong mạng MPLS VPN Router
PE trao đổi định tuyến IPv4 với router CE kết nối với chùng dùng giao thức định tuyến
Trang 37riêng Để cho phép tỉ lệ mạng lớn cho khách hàng VPN, BGP đa giao thức (MP-BGP) được cấu hình giữa các Router PE để mang thông tin định tuyến của khách hàng
3.2.4 Bảng chuyển tiếp và định tuyến ảo VRF
Bảng định tuyến ảo trên router PE có thể dùng cho từng khách hàng riêng biệt, vì vậy còn gọi là bảng chuyển tiếp và định tuyến ảo (Virtual Routing and Forwarding Table) Về bản chất tương tự như việc quản lý nhiều router dành riêng cho các khách hàng kết nối đến nhà cung cấp dịch vụ Chức năng của VRF tương tự như bảng định tuyến toàn cục, ngoại trừ nó chứa đựng tất cả các định tuyến gắn liền với VPN cụ thể khác với bảng định tuyến toàn cục Vì vậy VRF chứa đựng bảng chuyển tiếp CEF VRF riêng biệt tương tự bảng CEF chung, định nghĩa yêu cầu và giao thức kết nối cho mỗi nơi của khách hàng trên router PE đơn Giao tiếp (interface) là một phần của VRF và phải hỗ trợ chuyển mạch CEF Số giao tiếp mà liên kết với VRF chỉ là số interface giới hạn trên router, và một giao tiếp đơn (logical hoặc physical) có thể được kết hợp với chỉ một VRF
VRF chứa đựng bảng định tuyến IP tương tự như bảng định tuyến IP toàn cục, bảng CEF, danh sách các giao tiếp theo bảng VRF, tập hợp các nguyên tắc định nghĩa giao thức định tuyến sẽ trao đổi với router CE Thêm vào đó, VRF chứa đựng nhận dạng VPN như là thông tin thành viên VPN (thông tin RD và RT) Hình 3.4 cho thấy chức năng VRF trên router PE để tạo bảng định tuyến riêng cho khách hàng
Hình 3.4: Tạo bảng VRF trên PE router
Như hình 3.4, Cisco IOS hỗ trợ các loại giao thức định tuyến cũng như xử lý các giao thức này trên từng router Tuy nhiên, đối với một số giao thức định tuyến, như
Trang 38RIP và BGP, IOS chỉ hỗ trợ cho một loại giao thức định tuyến Vì vậy, hoạt động trên bảng VRF sử dụng các giao thức này thì hoàn toàn tách rời với các VRF khác, có thể
sử dụng cùng giao thức định tuyến PE-CE, khái niệm định tuyến được phát triển hơn Thông tin định tuyến được thiết kế để hỗ trợ bản sao riêng của cùng giao thức định tuyến VPN PE-CE Thông tin định tuyến này có thể được bổ sung như quá trình
xử lý riêng khác như trường hợp OSPF, hay nhiều trường hợp tương tự cùng giao thức định tuyến (trong BGP, RIP,…) Nếu nhiều trường hợp này được dùng, mỗi trường hợp sẽ có một nhóm tham số riêng của nó Chú ý là giao tiếp VRF có thể là logical hoặc physical, nhưng mỗi giao tiếp được phân đến chỉ một VRF
3.2.5 Route Distinguisher, Route Targets, MP-BGP, và Address Families
3.2.5.1 Route Distinguisher (RD)
Trong mô hình định tuyến MPLS VPN, PE router tạo sự riêng biệt cho các khách hàng khi sử dụng VRF Tuy nhiên, thông tin này cần được mang giữa các PE router để cho phép dữ liệu chuyển đổi giữa các miền khách hàng qua mạng trục MPLS VPN PE router phải có khả năng xử lý trùng lặp địa chỉ khi kết nối với khách hàng PE router phải học được định tuyến nào từ khách hàng nào và quảng bá thông tin này khi sử dụng mạng trục chung Điều này được thực hiện khi kết hợp với RD (route distinguisher) trên bảng định tuyến ảo trên PE router
RD là một số nhận biết 64-bit được kết hợp với địa chỉ IP tiền tố 32-bit hoặc định tuyến học được từ khách hàng, tạo thành địa chỉ 96-bit duy nhất để PE router chuyển đổi trong miền MPLS Vì vậy, RD duy nhất được cấu hình trên VRF trên PE router Địa chỉ 96-bit kết hợp (32-bit tiền tố + 64-bit RD) được gọi là địa chỉ VPNv4 (VPN version 4)
Địa chỉ VPNv4 được trao đổi giữa PE router trong mạng nhà cung cấp khi thêm đến địa chỉ IPv4 Định dạng của RD được thấy trong hình 3.5 RD có thể có 2 dạng Nếu nhà cung cấp có số AS, định dạng AS có thể được sử dụng Nếu không có số AS thì định dạng IP có thể được sử dụng Hình 3.5 cũng cho thấy cùng tiền tố IP: 172.16.10.0/24 được nhận từ 2 khách hàng khác nhau, được gắn thêm các giá trị RD khác nhau để tạo giá trị duy nhất là 1:100 và 1:101 trước khi truyền địa chỉ VPNv4 trên
PE router
Trang 39Hình 3.5: Hoạt động của RD trong mạng MPLS VPN
3.2.5.2 Giao thức định tuyến MP-BGP cho mạng MPLS VPN
Khi mạng của một công ty kết nối đến nhiếu ISP hoặc các AS khác nhau và đang dùng các kết nối này BGP còn được dùng khi chính sách định tuyến của nhà cung cấp dịch vụ và của công ty khác nhau Hoặc lưu lượng trong công ty cần phải được phân biệt với lưu lượng của ISP Mạng của hai tổ chức không thể xuất hiện như một AS Một trường hợp khác phải dùng BGP là khi mạng của ta là một ISP Nếu là một ISP, hệ thống mạng này phải cho phép các lưu lượng khác đi qua AS của mình Lúc này nó hoạt động như một vùng chuyển tiếp (transit domain)
BGP version 4 (BGP4) hiện là một chuẩn Internet thực tế cho định tuyến liên miền Trong mạng MPLS VPN, MP-BGP được sử dụng và đóng vai trò then chốt khi truyền tiền tố VPNv4 qua mạng nhà cung cấp dịch vụ Trong môi trường thông thường, mạng khách hàng thích sử dụng BGP trong mạng của họ và vì vậy dùng BGP như giao thức định tuyến PE-CE khi chuyển từ mạng không có MPLS sang mạng MPLS VPN Điều này giúp cho khách hàng thiết lập một chính sách định tuyến end-to-end đồng nhất Trong mạng MPLS VPN, thuộc tính BGP cho miền VPN được truyền xuyên qua mạng trục nhà cung cấp đến miền khác trong cùng VPN Bởi vì có một giao thức định tuyến duy nhất được sử dụng qua VPN giữa mạng trục nhà cung cấp và miền khách hàng, không có khái niệm phân phối lại định tuyến
Trang 40BGP PE-CE trong một môi trường MPLS VPN có thể được thực hiện theo 2 cách khác nhau:
• BGP PE-CE miền VPN dùng số AS duy nhất
• BGP PE-CE miền VPN dùng cùng một số AS
Hình 3.6: MPLS VPN với định tuyến BGP PE-CE
Trong mạng MPLS VPN như hình 3.6, nhà cung cấp dịch vụ MPLS VPN có kế hoạch cung cấp giao thức định tuyến BGP PE-CE cho 2 khách hàng, khách hàng A và
B CE1-A và CE2-A là những thiết bị CE phụ thuộc vào khách hàng A đặt tại miền 1
và 2 tương ứng Chúng đều là các phần của cùng VPN, VPN-A Các thiết bị CE này được kết nối đến thiết bị biên của nhà cung cấp PE1-AS1 và PE2-AS2 trong mạng nhà cung cấp dịch vụ CE1-A phụ thuộc vào AS 65001 và CE2-A phụ thuộc vào AS 65002 Đối với khách hàng B, CE1-A và CE2-A là các thiết bị CE đặt tại miền 1 và miền 2