V. Phác thảo về kiến trúc MPLS VPN

nhất không được ấn định cho các VPN. Số SPED không được giới hạn bởi bất

cứ những giới hạn về cấu hình giả tạo nào.

5.



SP sở hữu và quản lý các thực thể lớp 1 và lớp 2. Một cách chi tiết,



SP điều khiểncác tổng đài chuyển mạch và các bộ định tuyến vật lý, các đường

liên kết vật lý, các kết nối logic lớp 2 (như DLCI trong FrameRelay và VPI/VCI

trong ATM) và LSP (và cả ấn định của chúng cho các VPN cụ thể). Trong phạm

vi của VPN, SP có trách nhiệm, kết hợp và ấn định các thực thể lớp 2 cho các

VPN cụ thể.

6.



Các thực thể lớp 3 thuộc quyền quản lý của PNA. Các ví dụ về thực



thể lớp 3 bao gồm các giao diện IP, sự lựa chọn các giao thức định tuyến động

hoặc các tuyến tĩnh, và các giao diện định tuyến. Chú ý rằng mặc dù cấu hình

lớp 3 về mặt logic là đặt dưới trách nhiệm của PNA, nhưng không nhất thiết

PNA phải thi hành nó. Điều này có thể thực hiện được cho PNA để đẩy quyền

quản lý IP của các bộ định tuyến ảo tới các nhà cung cấp dịch vụ. Không chú ý

tới ai chịu trách nhiệm cho việc cấu hình và giám sát, cách tiếp cận này cung cấp

cái nhìn đầy đủ về miền định tuyến cho PNA và cho phép PNA thiết kế mạng để

đạt được mục tiêu về intranet, extranet và xử lý lưu lượng.

7.



VPN có thể được quản lý như các bộ định tuyến vật lý hơn là các



bộ định tuyến ảo được triển khai. Do đó, việc quản lý có thể được thi hành sử

dụng SNMP hoặc các phương thức tương tự khác hoặc trực tiếp tại VR console

(VRC)

8.



Các công cụ xử lý lỗi chuẩn như ‘ping’, ‘traceroute’ trong miền



định tuyến bao gồm các bộ định tuyến vật lý dành riêng. Do đó, việc giám sát và

xử lý lỗi có thể được thi hành sử dụng SNMP hoặc các phương thức tương tự,

nhưng có thể bao gồm việc sử dụng các công cụ chuẩn này. Một lần nữa, VRC

có thể được sử dụng cho mục đích này giống như bất cứ bộ định tuyến vật lý

nào.

9.



Từ khi VRC là hữu hình với người sử dụng, việc kiểm tra bảo mật



bộ định tuyến cần phải được đặt đúng vị trí để đảm bảo người sử dụng VPN

được cho phép truy cập vào các tài nguyên lớp 3 chỉ trong VPN đó và không

52



được phép truy cập vào các tài nguyên vật lý trong bộ định tuyến. Hầu hết các

bộ định tuyến đạt được điều này thông qua việc sử dụng các quan điểm về cơ sở

dữ liệu.

10.



VCR cũng luôn sẵn sàng với SP. Nếu cấu hình và giám sát bị đẩy



tới SP, SP có thể sử dụng VRC để thực hiện các nhiệm vụ này nếu nó là PNA.

11.



Các VR trong các SPED hình thành VPN trong mạng SP. Đồng



thời chúng đại diện cho miền định tuyến ảo. Chúng phát hiện các VR khác một

cách tự động bằng cách sử dụng mạng LAN mô phỏng trong mạng SP.

Mỗi VPN trong mạng SP được ấn định một và chỉ một địa chỉ multicast.

Địa chỉ này được lựa chọn từ phạm vi áp dụng quản lý và yêu cầu duy nhất là

địa chỉ multicast có thể được xắp xếp đơn nhất vào một VPN cụ thể. Điều này

có thể thực hiện tự động một cách dễ dàng trong các bộ định tuyến nhờ việc sử

dụng các chức năng đơn giản để xắp xếp chính xác một VPNID cho một địa chỉ

multicast. Địa chỉ multicast này cho phép một VR có thể nhận biết các VR khác

và được các VR khác nhận biết. Chú ý rằng địa chỉ multicast không nhất thiết

phải được cấu hình.

12.



Việc gửi chuyển tiếp dữ liệu có thể được thực hiện theo một trong



các cách sau:

•



Một LSP với các đặc tính hiệu quả nhất mà tất cả các VPN có thể



sử dụng

•



Một LSP dành riêng cho một VPN và lưu lượng được xử lý thông



qua các khách hàng VPN.

•



Một LSP cá nhân với các đặc tính khác nhau.



•



Chính sách dựa trên việc gửi chuyển tiếp trên kênh ảo L2 dành



riêng.

Lựa chọn phương pháp tốt hơn có thể được dàn xếp giữa SP và khách

hàng VPN, có thể là một phần của SLA giữa chúng. Điều này cho phép SP đưa

ra các mức dịch vụ khác nhau cho các khách hàng VPN khác nhau.



53



Tất nhiên, việc gửi chuyển tiếp hop-by-hop cũng sẵn sàng để gửi các gói

tin định tuyến và để gửi chuyển tiếp các gói tin dữ liệu người sử dụng trong các

quá trình LSP thiết lập và hỏng.

13.



Phương pháp tiếp cận này không uỷ thác các nhiệm vụ hệ thống



vận hành riêng rẽ cho mỗi giao thức định tuyến nào được chạy cho mỗi VR và

SPED cư trú. Các quá trình thực hiện cụ thể có thể đáp ứng nhu cầu của SPED

cụ thể đang được sử dụng. Bảo dưỡng các cơ sở dữ liệu định tuyến và các bảng

gửi chuyển tiếp, mỗi một cơ sở dữ liệu và bảng cho một VR, là một cách để thu

được chất lượng tốt nhất cho SPED cho trước.

VI. MPLS đóng vai trò cơ chế gửi chuyển tiếp

Chúng ta sẽ xem xét xem sử dụng BGP như thế nào để xây dựng tất cả

các bộ định tuyến, thậm chí với các địa chỉ IP không duy nhất. Tuy nhiên vấn đề

với việc sử dụng những bộ định tuyến này là khả năng thu thập thông tin được

biểu diễn không phải dưới dạng địa chỉ IP mà dưới dạng địa chỉ VPN-IP. Và ở

đây không có gì trong mào đầu IP để mang địa chỉ VPN-IP, như vậy làm thế nào

để gửi chuyển tiếp các gói tin IP dọc theo các bộ định tuyến này.

Để cung cấp việc gửi chuyển tiếp các gói tin IP dọc theo các bộ định

tuyến được biểu diễn dưới thuật ngữ địa chỉ VPN-IP, chúng ta sử dụng MPLS.

Lý do mà MPLS giúp chúng ta làm được điều này là vì nó tách riêng thông tin

sử dụng cho việc gửi chuyển tiếp tói tin với thông tin mang trong mào đầu IP.

Do vậy, chúng ta có thể kết hợp LSP với các bộ định tuyến VPN-IP và sau đó

gửi chuyển tiếp các gói tin IP dọc theo những bộ định tuyến đó sử dụng MPLS

đóng vai trò cơ chế gửi chuyển tiếp. Nhận thấy là từ khi các địa chỉ VPN-IP bị

hạn chế với nhà cung cấp dịch vụ, MPLS cũng có thể bị hạn chế đối với nhà

cung cấp dịch vụ.

Để minh hoạ việc gửi chuyển tiếp được thực hiện như thế nào, đầu tiên

xem xét một ví dụ được biểu diễn trong Hình III -1. Chú ý là theo quan điểm

MPLS thì bộ định tuyến PE chính là LSR biên. Tức là bộ định tuyến PE chuyển

các gói tin không dán nhãn thành các gói tin dán nhãn và ngược lại.



54



Khi một bộ định tuyến CE gửi một gói tin IP tới bộ định tuyến PE, bộ

định tuyến PE sử dụng cổng lối vào (giao diện mà bộ định tuyến PE nhận gói

tin) để xác định VPN mà bộ định tuyến CE trực thuộc và xác định chính xác

bảng gửi chuyển tiếp (còn gọi là cơ sở thông tin gửi chuyển tiếp hay FIB) liên

kết với VPN đó. Một khi FIB đã được xác định, bộ định tuyến PE thi hành việc

tìm kiếm địa chỉ IP bình thường trong FIB này, sử dụng địa chỉ đích trong gói

tin. Kết quả của việc tìm kiếm trong FIB là bộ định tuyến PE thêm các thông tin

nhãn phù hợp vào gói tin và gửi chuyển tiếp nó đi.

Hình III-1 Dán nhãn tại bộ định tuyến PE

Để cải thiện các tính chất mở rộng củ cách tiếp cận này, chúng ta áp dụng

hệ thống phân cấp thông tin định tuyến. Nhờ sử dụng công nghệ này,không có

bộ định tuyến P nào duy trì thông tin định tuyến VPN, điều này giảm tải định

tuyến trên các bộ định tuyến. Để thi hành hệ thống phân cấp thông tin định

tuyến, chúng ta sử dụng không chỉ một mà hai mức nhãn, ở đây nhãn mức một

kết hợp với bộ định tuyến PE lối ra, và do đó có thể gửi chuyển tiếp từ bộ định

tuyến PE lối vào tới bộ định tuyến PE lối ra. Nhãn mức hai có thể được phân

phối hoặc là qua LDP hoặc nếu nhà cung cấp dịch vụ muốn sử dụng điều khiển

lưu lượng thì có thể qua RSVP hoặc CR-LDP. Nhãn mức hai được phân phối

qua BGP cùng với các bộ định tuyến VPN-IP.

Chú ý là tuyến đường VPN-IP được phân phối qua BGP mang thuộc tính

hop tiếp theo, địa chỉ của bộ định tuyến PE khởi đầu tuyến đường, và tuyến

đường tới địa chỉ hop tiếp theo đó được cung cấp qua các thủ tục định tuyến

trong miền của nhà cung cấp. Do vậy, chúng ta có thể nhận thấy rằng đó chính

là thông tin được mang trong thuộc tính hop tiếp theo mà nó cung cấp sự móc

nối giữa thông tin định tuyến trong miền và các tuyến VPN.

Để minh hoạ xem chúng ta sử dụng hệ thống phân cấp thông tin định

tuyến MPLS như thế nào, xem xét ví dụ trong hình . Ví dụ biểu diễn hai vùng

trong một VPN, ở đây mỗi vùng đại diện bằng một bộ định tuyến CE (CE 1 và

CE2). Cả PE1 và PE2 được cấu hình với Route Distinguisher phù hợp được sử

dụng cho VPN đó, cũng như với BGP Community phù hợp được sử dụng khi

55