Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.05 MB, 74 trang )
Đồ án tốt nghiệp
8
Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
Hình 2.3: Chế độ hoạt động khung của MPLS
• LSR lõi nhận gói tin có nhãn sử dụng bảng chuyển tiếp nhãn để thay đổi nhãn nội
vùng trong gói đến với nhãn ngoài vùng tương ứng cùng với vùng FEC.
• Khi LSR biên lối ra của vùng FEC này nhận được gói có nhãn, nó loại bỏ nhãn
và thực hiện việc chuyển tiếp gói IP theo bảng định tuyến lớp 3 truyền thống.
Mào đầu nhãn MPLS
Vì rất nhiều lý do nên nhãn MPLS phải được chèn trước số liệu đánh nhãn trong
chế độ hoạt động khung. Như vậy nhãn MPLS được chèn giữa mào đầu lớp 2 và nội
dung thông tin lớp 3 của khung lớp 2 như thể hiện trong hình dưới đây:
Hình 2.4: Vị trí của nhãn MPLS trong khung lớp 2
GVHD: TS.Trần Văn Dũng
22
SVTH: Bùi Quang Huy
Đồ án tốt nghiệp
8
Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
Do nhãn MPLS được chèn vào vị trí như vậy nên Router gửi thông tin phải có
phương tiện gì đó thông báo cho Router nhận rằng gói đang được gửi đi không phải là
gói IP thuần mà là gói có nhãn. Để đơn giản chức năng này, một số dạng giao thức
mới được định nghĩa trên lớp 2 như sau:
• Trong môi trường LAN, các gói có nhãn các gói có nhãn truyền tải gói lớp 3
unicast hay multicast sử dụng giá trị 8847H và 8848H cho dạnh Ethernet.
• Trên kênh điểm - điểm sử dụng tạo dạng PPP, sử dụng giao thức điều khiển
mạng mới được gọi là MPLSCP (giao thức điều khiển MPLS). Các gói MPLS
được đánh dấu bởi giá trị 8281H trong trường giao thức PPP.
• Các gói MPLS truyền qua chuyển dịch khung DLCI giữa một cặp Router được
đánh dấu bởi nhận dạng giao thức lớp mạng SNAP của chuyển dịch khung
(NLPID), tiếp theo mào đầu SNAP với giá trị 8847H cho dạng Ethernet.
• Các gói MPLS truyền giữa một cặp Router qua kênh ảo ATM Forum được bọc
với mào đầu SNAP sử dụng giá trị cho dạng Ethernet như trong môi trường
LAN.
2.2 Các thành phần của MPLS-VPN
2.2.1 Mô hình hệ thống cung cấp dịch vụ MPLS-VPN
MPLS-VPN là một dạng đầy đủ của mô hình ngang cấp. MPLS-VPN Backbone và
các site người dùng trao đổi thông tin định tuyến lớp 3 và dữ liệu được chuyển tiếp
giữa các site người dùng sử dụng. MPLS-VPN Domain giống như VPN truyền thống,
gồm mạng của người dùng và mạng của nhà cung cấp. Mô hình MPLS-VPN giống với
mô hình Router PE dành riêng trong các dạng thực thi VPN ngang cấp VPN. Tuy
nhiên vì phải triển khai các Router PE khác nhau cho từng người dùng, lưu lượng
người dùng được tách riêng trên cùng Router PE nhằm cung cấp khả năng kết nối vào
mạng của nhà cung cấp cho nhiều người dùng.
VPN là những tập hợp nhiều site chia sẽ cùng thông tin định tuyến chung. Mỗi site
có thể thuộc nhiều hoặc hơn một VPN khác nhau, nếu nó nắm giữ các tuyến từ mỗi
VPN riêng. Điều này cung cấp khả năng xây dựng các VPN nội bộ, mở rộng cũng như
các VPN truy nhập từ xa. Các site của VPN thuộc về một công ty thì VPN đó được gọi
là VPN cục bộ, còn nếu các site của VPN thuộc về những công ty khác thì được gọi là
VPN mở rộng. Một mô hình hệ thống cung cấp dịch vụ MPLS-VPN được minh hoạ
như hình dưới đây.
GVHD: TS.Trần Văn Dũng
23
SVTH: Bùi Quang Huy
Đồ án tốt nghiệp
8
Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
Hình 2.5: Hệ thống cung cấp dịch vụ MPLS-VPN và các thành phần
Những thành phần cơ bản trong công nghệ MPLS-VPN bao gồm:
• Mạng lõi IP-MPLS được quản lý bởi nhà cung cấp dịch vụ.
• Bộ định tuyến lõi của mạng nhà cung cấp.
• Bộ định tuyến của mạng cung cấp thông tin định tuyến của người dùng và thực
hiện đáp ứng dịch vụ cho người dùng từ phía nhà cung cấp dịch vụ.
• Bộ định tuyến biên của các hệ thống tự trị độc lập AS, thực hiện vai trò kết nối
với các hệ thống tự trị độc lập khác. Những hệ thống tự trị độc lập này có thể có
cùng hoặc khác nhau nhà điều hành.
• Mạng người dùng, là mạng để truy cập tới mạng lõi.
• Bộ định tuyến người dùng, đóng vai trò là cầu nối giữa mạng người dùng và
mạng nhà cung cấp. Những bộ định tuyến này có thể được quản trị bởi người
dùng hoặc nhà cung cấp dịch vụ
2.2.2 Mô hình bộ định tuyến biên nhà cung cấp dịch vụ
Thành phần quan trọng khi triển khai MPS-VPN là các thiết bị định tuyến biên PE
trong MPLS-VPN có cấu trúc giống như kiến trúc VPN ngang hàng dùng chung bộ
định tuyến chia sẽ, chỉ có sự khác biệt là toàn bộ mọi thứ được tập trung trong thiết bị
vật lý được mô tả dưới đây:
GVHD: TS.Trần Văn Dũng
24
SVTH: Bùi Quang Huy
Đồ án tốt nghiệp
8
Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
Hình 2.6: Mô hình Bộ định tuyến PE và sơ đồ kết nối các site người dùng
Theo mô hình trên mỗi người dùng đăng kí một bảng định tuyến độc lập gọi là bảng
định tuyến ảo, tương ứng với một bộ định tuyến ảo như trong mô hình VPN ngang
hàng. Mỗi bộ định tuyến ảo cho phép nhiều site của người dùng cùng kết nối tới nó.
Việc định tuyến qua mạng của nhà cung cấp dịch vụ được thể hiện bởi một tiến trình
định tuyến khác, sử dụng bảng định tuyến toàn cục.
2.2.3 Mô hình bảng định tuyến và chuyển tiếp ảo
Sự kết hợp giữa bảng định tuyến và bảng chuyển tiếp VPN tạo thành một bảng
định tuyến chuyển tiếp ảo VRF (Vitual Routing and Forwarding). Mỗi VPN đều có
bảng định tuyến và chuyển tiếp riêng của nó trong bộ định tuyến PE, và mỗi bộ định
tuyến PE duy trì một hoặc nhiều bảng VRF. Mỗi site mà có bộ định tuyến PE nối vào
đó sẽ liên kết với một trong các bảng này. Địa chỉ đích IP của một gói tin chỉ được
kiểm tra trong bảng VRF mà nó thuộc về nếu gói tin này đến trực tiếp từ site tương
đương với bảng VRF đó. Mỗi VRF đơn giản chỉ là một tập hợp các tuyến thích hợp
cho mỗi site nào đó. Kết nối đến bộ định tuyến PE. Các tuyến này có thể thuộc về một
hoặc nhiều VPN.
Nếu một site thuộc về nhiều VPN, bảng chuyển tiếp tương ứng với site đó có thể
có nhiều tuyến liên quan đến VPN mà nó phụ thuộc. PE chỉ duy trì một bảng VPF cho
một site. Các site khác nhau có thể chia sẻ cùng một bảng VPF nếu sử dụng tập hợp
các tuyến một cách chính xác như trong bảng VRF đó. Nếu tất cả các site có thông tin
định tuyến giống nhau thường ở cùng một VPN, thì chúng sẽ được phép liên lạc trực
tiếp với nhau, và nếu kết nối đến cùng một bộ định tuyến PE thì chúng sẽ đặt vào
GVHD: TS.Trần Văn Dũng
25
SVTH: Bùi Quang Huy
Đồ án tốt nghiệp
8
Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
cùng một bảng VRF chung.
Bộ định tuyến PE nhận được gói tin từ một site nối trực tiếp với nó, nhưng địa chỉ
đích của gói tin không có trong tất cả các thực thể của bảng chuyển tiếp tương ứng với
site đó. Nếu nhà cung cấp dịch vụ không cung cấp khả năng truy nhập Internet cho
site đó thì gói tin sẽ bị loại bỏ vì không thể phân phối được đến đích. Nhưng nếu nhà
cung cấp dịch vụ có hỗ trợ truy nhập Internet cho site đó thì lúc này địa chỉ đích của
gói tin sẽ được tìm kiếm trong bảng định tuyến toàn cục. Do đó bất kì bộ định tuyến
PE nào trong mạng MPLS-VPN cũng đều có nhiều bảng định tuyến trên mỗi VRF và
một bảng định tuyến toàn cục. Bảng định tuyến này được sử dụng để tìm các bộ định
tuyến khác trong mạng nhà cung cấp dịch vụ cũng như các đích thuộc về mạng bên
ngoài như Internet.
Nói tóm lại VRF được sử dụng cho một site VPN hoặc cho nhiều site kết nối đến
cùng một bộ định tuyến PE miễn sao là nhưng site này chia sẽ chính xác các yêu cầu
kết nối giống nhau. Do đó cấu trúc của bảng định tuyến của bảng VRF bao gồm :
• Bảng định tuyến IP
• Bảng chuyển tiếp
• Tập hợp các quy tắc và các tham số giao thức định tuyến
• Danh sách các giao diện sử dụng trong VRF
2.3 Các mô hình MPLS-VPN
2.3.1 Mô hình mạng riêng ảo tầng 2 (L2VPN)
Mô hình mạng riêng ảo lớp 2 được phát triển và hoàn thiện và đang được chuẩn hoá
và đang được dần hoàn thiện. L2VPN hướng tới việc triển khai các đường hầm qua
mạng MPLS để thực hiện các kiểu lưu lượng khác nhau.
Trong chuẩn xây dựng L2VPN có hai dạng cơ bản là:
• Điểm tới điểm: là công nghệ thiết lập đường dẫn chuyển mạch ảo qua mạng công
cộng trên nền tảng công nghệ MPLS.
• Điểm tới đa điểm: Được triển khai và cấu hình mắt lưới và phân cấp.
Mô hình L2VPN đa điểm dự trên nguyên tắc mạng LAN ảo và công nghệ truy nhập
Ethernet đã được triển khai rộng rãi. Giải pháp này cho phép chúng liên kết các mạng
Ethernet qua cơ sở hạ tầng MPLS trên cở sở nhận dạng lớp 2, vì vậy nên có thể giảm
được độ phức tạp của bảng định tuyến ở lớp 3. Trong mô hình này các bộ định tuyến biên
GVHD: TS.Trần Văn Dũng
26
SVTH: Bùi Quang Huy
Đồ án tốt nghiệp
8
Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
người dùng và bộ định tuyến biên nhà cung cấp dịch vụ không nhất thiết phải coi là ngang
hàng. Thay vào đó chỉ cần kết nối lớp 2 giữa các bộ định tuyến này. Bộ định tuyến biên
nhà cung cấp dịch vụ chuyển mạch các luồng lưu lượng vào trong các đường hầm đã
được cấu hình trước tới các bộ định tuyến biên nhà cung cấp dịch vụ khác.
Hình 2.7: Mô hình mạng MPLS L2VPN
Mạng riêng ảo tầng 2 có khả năng tìm kiếm qua mặt dữ liệu bằng địa chỉ học được
từ bộ định lân cận. L2VPN sử dụng ngăn xếp nhãn tương tự như trong các giao thức
khác. Nhãn trong MPLS bên ngoài được sử dụng để xác định đường dẫn cho lưu lượng
qua miền MPLS, còn nhãn kênh ảo nhận dạng các mạng LAN ảo, VPN hoặc kết nối
tại các điểm cuối. Trong trường hợp nhãn tuỳ chọn sử dụng để điều khiển đóng các kết
nối lớp 2 được đặt trong cùng ngăn xếp sát với trường dữ liệu.
L2VPN có ưu điểm quan trọng là cho phép các giao thức lớp cao được truyền trong
suốt với MPLS. Nó có thể hoạt động trên hầu hết các công nghệ lớp 2 như ATM,
Ethernet và mở rộng ra các khả năng thích hợp các mạng phi kết nối IP với các mạng
định hướng kết nối. Ngoài ra trong giải pháp này người ta sử dụng được đầu cuối
không cần phải cấu hình định tuyến cho các bộ định tuyến biên người dùng.
Một cấu hình đầy đủ cho các LSP phải được sử dụng để kết nối các VPN trong
mạng. Mạng riêng ảo lớp 2 không có khả năng tự động định tuyến giữa các site. Nên
tuỳ thuộc vào cấu hình mạng MPLS và nhu cầu thực tế mà có thể lựa chọn một trong
nhưng mô hình trên để thực hiện.
GVHD: TS.Trần Văn Dũng
27
SVTH: Bùi Quang Huy
Đồ án tốt nghiệp
8
Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
2.3.2 Mô hình mạng riêng ảo lớp ba (L3VPN)
Cấu tạo của mô hình mạng riêng ảo lớp ba (L3VPN) được chia thành hai lớp, tương
ứng với các lớp 3 và lớp 2 của mô hình OSI. L3VPN dựa trên RFC 2547bit, mở rộng
một số đặc tính cần thiết của giao thức cổng biên BGP và tập trung vào hướng đa giao
thức của BGP nhằm chia sẽ thông tin định tuyến qua mạng lõi của nhà cung cấp dịch
vụ cũng như là chuyển tiếp các lưu lượng VPN qua lõi.
Trong mô hình L3VPN, các bộ định tuyến người dùng và của nhà cung cấp dịch vụ
được coi là ngang hàng. Bộ định tuyến biên người dùng gửi thông tin định tuyến tới bộ
định tuyến và chuyển tiếp ảo VRF. Người dùng VPN chỉ được phép truy nhập tới các
site hoặc máy chủ trong cùng một mạng riêng này. Bộ định tuyến biên nhà cung cấp
dịch vụ còn hỗ trợ các bảng định tuyến thông thường nhằm chuyển lưu lượng thông tin
của người dùng qua mạng công cộng. Dưới đây là kiến trúc của mô hình mạng riêng
ảo lớp 3 trên nền tảng MPLS.
Hình 2.8: Mô hình mạng riêng ảo tầng 3 (L3VPN)
Các gói tin IP qua miền MPLS được gắn hai loại nhãn đó là nhãn MPLS chỉ đường
dẫn chuyển mạch nhãn LSP và nhãn chỉ thị định tuyến chuyển mạch ảo VRF. Ngăn
xếp nhãn được tạo lập để xử lý LSP để chuyển các gói tin qua MPLS. Nhãn VRF chỉ
được xử lý tại thiết bị định tuyến biên nhà cung cấp dịch vụ PE nối với bộ định tuyến
người dùng.
Kiến trúc mạng riêng ảo lớp 3 có những ưu điểm là vùng địa chỉ người dùng được
quản lý bởi các nhà khai thác, do đó nó cho phép đơn giản hoá việc triển khai kết nối
với nhà cung cấp dịch vụ. L3VPN còn cung cấp khả năng định tuyến động phân phối
các thông tin định tuyến tới các bộ định tuyến VPN. Tuy nhiên L3VPN chỉ hỗ trợ các
GVHD: TS.Trần Văn Dũng
28
SVTH: Bùi Quang Huy
Đồ án tốt nghiệp
8
Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
lưu lượng IP hoặc lưu lượng đóng gói vào gói tin IP. Việc tồn tại hai bảng định tuyến
tại các thiết bị biên mạng cũng là một vấn đề phức tạp trong việc khả năng mở rộng hệ
thống thiết bị.
2.4 Hoạt động của MPLS-VPN
2.4.1 Truyền tải gói tin định tuyến
Các bộ định tuyến PE cần phải trao đổi thông tin trong các bảng định tuyến ảo để
đảm bảo việc định tuyến dữ liệu giữa các site người dùng kết nối với những bộ định
tuyến này. Giao thức định tuyến để truyền thông tin của tất cả các tuyến người dùng
dọc theo mạng nhà cung cấp dịch vụ mà vẫn duy trì được không gian địa chỉ độc lập
giữa các người dùng với nhau.
Một biện pháp được đưa ra dự trên cơ sở sử dụng giao thức định tuyến riêng cho
mỗi người dùng. Các bộ định tuyến PE có thể kết nối thông qua các đường hầm điểm
tới điểm, hoặc là bộ định tuyến P của nhà cung cấp dịch vụ có thể tham gia vào quá
trình định tuyến của người dùng. Những khó khăn này liên quan đến việc các bộ định
tuyến PE phải xử lý một số lượng giao thực định tuyến, còn bộ định tuyến P thì phải
lưu thông tin của tất cả các tuyến người dùng.
Giải pháp khác dựa trên việc triển khai một giao thức định tuyến để trao đổi thông
tin của tất cả các tuyến người dùng dọc theo mạng nhà cung cấp dịch vụ. Giải pháp
này nhiều ưu điểm hơn nhưng bộ định tuyến P vẫn tham gia vào bộ định tuyến người
dùng, do đó vẫn không giải quyết được vấn đề mở rộng.
Giải pháp tối ưu hơn là việc truyền gói tin định tuyến người dùng sẽ do một giao
thức riêng định tuyến giữa các bộ định tuyến PE thực hiện, còn các bộ định tuyến P
không tham gia vào quá trình định tuyến này. Giải pháp này mang lại hiệu quả cao vì
nó có khả năng mở rộng do số lượng giao thức định tuyến giữa các bộ định tuyến PE
không tăng khi tăng số lượng người dùng, đồng thời bộ định tuyến P cũng không
mang thông tin về các tuyến người dùng khi số lượng người dùng quá lớn, giao thức
định tuyến được lựa chọn để sử dụng là BGP vì giao thức này có thể hổ trợ số lượng
lớn các định tuyến. BGP được thiết lập để trao đổi thông tin định tuyến giữa các bộ
định tuyến không kết nối trực tiếp, và đặc điểm này hỗ trợ việc lưu giữ thông tin định
tuyến tại các thiết bị biên mà không cần phải trao đổi với các bộ định tuyến lõi của
mạng nhà cung cấp dich vụ.
2.4.2 Địa chỉ VPN-IP trong mạng riêng ảo
Khi sử dụng giao thức BGP để định tuyến để chuyển tải gói tin người dùng qua
GVHD: TS.Trần Văn Dũng
29
SVTH: Bùi Quang Huy
Đồ án tốt nghiệp
8
Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
Router biên nhà cung cấp dịch vụ phải truyền nhiều thông tin xác định khác nhau qua
nó. Giao thức định tuyến BGP đã sử dụng và đua vào địa chỉ IP để xác định đích đến
của gói tin, mỗi người dùng phải có một không gian địa chỉ riêng để BGP có thể định
tuyến đúng hướng cho gói tin. Để có tài nguyên địa chỉ rộng lớn tránh khỏi sự trùng
lắp địa chỉ thì việc mở rộng tiền tố địa chỉ IP là một việc làm bắt buộc khi mô hình
mạng được mở rộng. Vấn đề được khắc phục khi mở rộng mô hình mạng khi người
dùng tăng lên là mỗi bộ định tuyến sẽ được BGP sử dụng duy nhất trong bảng định
tuyến ảo VRF. Việc mở rộng tiền tố địa chỉ đã đua ra một khái niệm địa chỉ VPN-IP,
địa chỉ này chính là sự nối ghép địa chỉ IP của gói tin có độ dài là 32 bits và trường
phân biệt tuyến (RD) có độ dài 64 bits. Trong trường hợp các gói tin có địa chỉ IP
trùng nhau thì trường phân biệt tuyến sẽ được có nhiệm vụ phân biệt các gói tin.
Trường phân biệt địa chỉ này được tạo ra là duy nhất cho mỗi nhà cung cấp dịch vụ để
không có sự trùng lặp dẫn tới xung đột gói tin khi địa chỉ gói tin trùng nhau.
Trong trường phân biệt tuyến có các trường con bao gồm.Trường hệ số tự trị ASN
(Autonomous System number) chứa giá trị số đặc trung cho hệ thống nhà cung cấp
dịch vụ VPN. Trường số gán (Assigned Number) do mỗi nhà cung cấp dịch vụ VPN
quản lý. Nhà quản lý dịch vụ tự đặt ra giá trị cho trường số gán mạng VPN. Không
thể xẩy ra việc hai nhà cung cấp dịch vụ trùng nhau về việc đặt giá trị trường số nhãn,
vì thế hệ số tự trị cũng khác nhau, dẫn đến việc địa chỉ VPN cũng khác nhau hoàn
toàn trên tất cả các mạng. Khi sử dụng giao thức BGP trong việc quản lý VPN-IP
không khác quản lý địa chỉ IP. Giao thức BGP không thật sự hiểu được địa chỉ VPNIP nên BGP chỉ nắm rõ phần mào đầu của hai địa chỉ VPN-IP chứ không quan tâm
đến cấu trúc bên trong của địa chỉ, nên nó không cần thêm các giao thức phụ mà sử
dụng những đặc tính của chúng sẵn có. Một số đặc tính mà giao thức BGP được hỗ
trợ sẵn đó là: đặc tính cộng đồng sử dụng tuyến dự phòng. Các đặc tính này được áp
dụng trong VPN-IP cũng giống như áp dụng trong địa chỉ IP.
VPN-IP được được sử dụng giới hạn trong nhà cung cấp dịch vụ VPN và người
dùng VPN. Địa chỉ VPN-IP được gán ở bộ định tuyến biên PE, Mỗi kết nối VPN bộ
định tuyến PE được cấu hình ứng với mỗi giá trị của trường phân biệt định tuyến.
Mỗi khi bộ định tuyến biên người dùng CE gửi một gói tin trực tiếp cho PE thì PE có
nhiệm vụ xác định gói tin đó thuộc về VPN nào trước khi chuyển thông tin gói tin đó
cho BGP của nhà cung cấp dịch vụ, và chuyển địa chỉ IP gói tin thành địa chỉ VPN-IP
bằng cách sử dụng trường phân biệt tuyến có sẵn trong VPN đó. Và nó cũng làm
ngược lại đó là chuyển địa chỉ VPN-IP thành IP
GVHD: TS.Trần Văn Dũng
30
SVTH: Bùi Quang Huy
Đồ án tốt nghiệp
8
Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
Khi áp dụng địa chỉ VPN-IP thì phải hai yếu tố quan trọng đó là trường phân biệt
tuyến và đặc tính cộng đồng của giao thức BGP. Mỗi cái đảm nhiệm một nhiệm vụ
riêng trong khi áp dụng, một trong những vấn đề đặt ra khi giải quyết vấn đề trong khi
chuyển gói tin trong VPN đó là giải quyết được việc không duy nhất của địa chỉ IP
trong mạng toàn cầu. Vấn đề này thì trường phân biết tuyến đã giải quyết được làm
cho đia chỉ IP trở thành duy nhất, nhưng trường phân biệt địa chỉ không sử dụng được
vào cho định tuyến lọc. Và vấn đề quan trọng đó là làm thế nào để kết nối đúng các
điều kiện ràng buộc trong giao thức. Cái này được giải quyết dựa trên quá trình lọc
các đặc tính cộng đồng của BGP. Nhưng các đặc tính cộng đồng của giao thức BGP
không làm được cho địa chỉ IP là duy nhất. Một trường phân biết tuyến không được
sử dụng chung cho nhiều VPN khác nhau, nhưng một VPN có thể sử dụng nhiều
trường phân biệt tuyến. Đối với đặc tính cộng đồng của giao thức BGP cũng vây, một
đặc tính cộng đồng BGP chỉ có thể sử dụng được trong một VPN, còn một VPN có
thể sử dụng nhiều đặc tính cộng đồng của BGP. Nên trường phân biệt định tuyến cũng
như đặc tính cộng đồng không thể xác định được một VPN. Nguyên tắc hoạt động của
gói tin IP trong mạng VPN là khi một CE chuyển một gói tin có địa chỉ IP có độ dài là
32 bits đến một PE, PE có nhiệm vụ thêm trường phân biệt định tuyến có độ dài 64
bits vào tạo ra một địa chỉ VPN-IP có độ dài 96 bits duy nhất và truyền đi theo giao
thức mở rộng MP-IBGP đến PE khác. PE này có nhiệm vụ lọc bỏ trường phân biệt
định tuyến lấy địa chỉ IP của gói tin và chuyển đến cho CE đích để CE cập nhật địa
chỉ trong bảng định tuyến của nó.
2.4.3 Hoạt động gói tin MPLS - VPN qua các PE và CE
Trong mạng IP thông thường, các quyết định chuyển tiếp cho gói tin được thực
hiện bằng cách tìm kiếm địa chỉ trong bảng thông tin địa chỉ IP để xác định bước
truyền tiếp theo và giao diện lối ra. Tuy nhiên, trong mạng MPLS thì mỗi LSR duy trì
một cơ sở thông tin chuyển mạch nhãn (LFIB). Bảng LFIB bao gồm nhiều lối vào cho
nhiều loại như lối vào chuyển tiếp nhãn đến bước tiếp theo (NHLFE), lối vào ánh xạ
nhãn vào (ILM), lối vào ánh xạ FEC-to-NHLFE (FTN). NHLFE được sử dụng khi
chuyển tiếp gói tin có gắn nhãn. Lối vào NHLFE bao gồm nhiều trường như địa chỉ
của bước truyền tiếp theo, các hoạt động ngăn xếp nhãn, giao diện lối ra, thông tin
mào đầu lớp hai. Lối vào ILM sẽ liên kết một nhãn vào cho một hoặc nhiều lối vào
NHLFE. ILM được sử dụng khi chuyển tiếp gói tin có gắn nhãn. Nhãn của gói tin đi
vào chọn một lối vào ILM cụ thể nào đó mà nó định nghĩa NHLFE. FTN ánh xạ mỗi
FEC đến một hay nhiều NHLFE. Có nghĩa là, thông qua các lối vào FTN, gói tin
GVHD: TS.Trần Văn Dũng
31
SVTH: Bùi Quang Huy
Đồ án tốt nghiệp
8
Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
không có nhãn sẽ được gán nhãn vào.
Hoạt động chuyển tiếp nhãn của MPLS có thể được diễn tả bằng các hoạt động sau:
• Chèn nhãn: được bộ định tuyến lối vào thực hiện, nó sẽ chuyển đổi từ gói tin
không nhãn thành gói tin có gắn nhãn bằng cách chèn nhãn vào phía trước mào
đầu của gói tin. Để thực hiện được điều này, LSR lối vào đầu tiên phải ánh xạ gói
tin đến FEC cụ thể nào đó bằng cách dò tìm địa chỉ trên bảng IP FIB, sau đó so
sáng bảng LFIB để xác định nhãn lối ra, giao diện lối ra, và loại hình thức đóng
gói lớp 2 cho gói tin.
• Chuyển đổi nhãn: Các bộ định tuyến này sử dụng nhãn trên đỉnh của ngăn xếp
nhãn trong gói tin để tìm ánh xạ nhãn vào (ILM) lối vào trong LFIB. ILM lối vào
sẽ nhận diện NHLFE tương ứng, vì NHLFE cung cấp tất cả thông tin cần thiết
cho việc truyền gói tin. LSR trung gian sử dụng thông tin trong NHLFE để tìm
giao diện lối ra cho nhãn lối ra cho gói tin này. Sau đó nó chuyển đổi nhãn lối
vào thành nhãn lối ra thích hợp và gửi gói tin ra ngoài giao diện đến bước truyền
tiếp theo.
• Rút nhãn: LSR sử dụng nhãn ở đỉnh trong ngăn xếp nhãn trong gói tin để xác
định ILM lối vào và NHLFE tương ứng trong LFIB. Hoạt động ngăn xếp nhãn
cho biết gói tin này cần được truyền đi là gói tin không có gán nhãn. LSR sẽ rút
nhãn ra và chuyển đi gói tin không nhãn đến bước truyền tiếp theo. Do đó ta thấy
LSR lối ra trong mạng MPLS có thể phải thực hiện hai quá trình kiểm tra trên gói
tin mà nó nhận được từ LSR quá giang cận kề với nó. Thứ nhất, nó phải kiểm tra
nhãn trong mào đầu để quyết định xem hoạt động cần thiết đối với gói tin này,
trong trường hợp này là rút nhãn ra khỏi gói tin. Thứ hai, nó phải thực hiện kiểm
tra lớp 3 trên gói tin IP trước khi chuyển tiếp gói tin đến đích. Việc thực hiện cả
hai lần kiểm tra có thể làm giảm hoạt động của node đó.
Egress LSR có thể yêu cầu hoạt động rút nhãn từ láng giềng dòng ngược của nó
thông qua các giao thức phân phối nhãn như LDP bằng cách sử dụng các giá trị nhãn
đặc biệt gọi là nhãn có giá trị implicit-null.
Với các tuyến người dùng được truyền dọc theo mạng đường trục MPLS-VPN lưu
lượng giữa các bộ định tuyến CE và PE mặc định là lưu lượng của các gói tin IP. Bộ
định tuyến người dùng CE hỗ trợ các giao thức định tuyến IP chuẩn và không tham gia
vào MPLS-VPN. Trong trường hợp này để chuyển tiếp gói tin dọc theo mạng đường
trục MPLS-VPN, bộ định tuyến PE chỉ phải chuyển tiếp gói tin IP nhận được từ bộ
GVHD: TS.Trần Văn Dũng
32
SVTH: Bùi Quang Huy