Các hoạt động trong mảng số liệu

Đồ án tốt nghiệp

8



Xây dựng mạng riêng ảo VPN Trường T/C nghề Số



Hình 2.3: Chế độ hoạt động khung của MPLS



• LSR lõi nhận gói tin có nhãn sử dụng bảng chuyển tiếp nhãn để thay đổi nhãn nội

vùng trong gói đến với nhãn ngoài vùng tương ứng cùng với vùng FEC.

• Khi LSR biên lối ra của vùng FEC này nhận được gói có nhãn, nó loại bỏ nhãn

và thực hiện việc chuyển tiếp gói IP theo bảng định tuyến lớp 3 truyền thống.

Mào đầu nhãn MPLS

Vì rất nhiều lý do nên nhãn MPLS phải được chèn trước số liệu đánh nhãn trong

chế độ hoạt động khung. Như vậy nhãn MPLS được chèn giữa mào đầu lớp 2 và nội

dung thông tin lớp 3 của khung lớp 2 như thể hiện trong hình dưới đây:



Hình 2.4: Vị trí của nhãn MPLS trong khung lớp 2



GVHD: TS.Trần Văn Dũng



22



SVTH: Bùi Quang Huy



Đồ án tốt nghiệp

8



Xây dựng mạng riêng ảo VPN Trường T/C nghề Số



Do nhãn MPLS được chèn vào vị trí như vậy nên Router gửi thông tin phải có

phương tiện gì đó thông báo cho Router nhận rằng gói đang được gửi đi không phải là

gói IP thuần mà là gói có nhãn. Để đơn giản chức năng này, một số dạng giao thức

mới được định nghĩa trên lớp 2 như sau:

• Trong môi trường LAN, các gói có nhãn các gói có nhãn truyền tải gói lớp 3

unicast hay multicast sử dụng giá trị 8847H và 8848H cho dạnh Ethernet.

• Trên kênh điểm - điểm sử dụng tạo dạng PPP, sử dụng giao thức điều khiển

mạng mới được gọi là MPLSCP (giao thức điều khiển MPLS). Các gói MPLS

được đánh dấu bởi giá trị 8281H trong trường giao thức PPP.

• Các gói MPLS truyền qua chuyển dịch khung DLCI giữa một cặp Router được

đánh dấu bởi nhận dạng giao thức lớp mạng SNAP của chuyển dịch khung

(NLPID), tiếp theo mào đầu SNAP với giá trị 8847H cho dạng Ethernet.

• Các gói MPLS truyền giữa một cặp Router qua kênh ảo ATM Forum được bọc

với mào đầu SNAP sử dụng giá trị cho dạng Ethernet như trong môi trường

LAN.



2.2 Các thành phần của MPLS-VPN

2.2.1 Mô hình hệ thống cung cấp dịch vụ MPLS-VPN

MPLS-VPN là một dạng đầy đủ của mô hình ngang cấp. MPLS-VPN Backbone và

các site người dùng trao đổi thông tin định tuyến lớp 3 và dữ liệu được chuyển tiếp

giữa các site người dùng sử dụng. MPLS-VPN Domain giống như VPN truyền thống,

gồm mạng của người dùng và mạng của nhà cung cấp. Mô hình MPLS-VPN giống với

mô hình Router PE dành riêng trong các dạng thực thi VPN ngang cấp VPN. Tuy

nhiên vì phải triển khai các Router PE khác nhau cho từng người dùng, lưu lượng

người dùng được tách riêng trên cùng Router PE nhằm cung cấp khả năng kết nối vào

mạng của nhà cung cấp cho nhiều người dùng.

VPN là những tập hợp nhiều site chia sẽ cùng thông tin định tuyến chung. Mỗi site

có thể thuộc nhiều hoặc hơn một VPN khác nhau, nếu nó nắm giữ các tuyến từ mỗi

VPN riêng. Điều này cung cấp khả năng xây dựng các VPN nội bộ, mở rộng cũng như

các VPN truy nhập từ xa. Các site của VPN thuộc về một công ty thì VPN đó được gọi

là VPN cục bộ, còn nếu các site của VPN thuộc về những công ty khác thì được gọi là

VPN mở rộng. Một mô hình hệ thống cung cấp dịch vụ MPLS-VPN được minh hoạ

như hình dưới đây.



GVHD: TS.Trần Văn Dũng



23



SVTH: Bùi Quang Huy



Đồ án tốt nghiệp

8



Xây dựng mạng riêng ảo VPN Trường T/C nghề Số



Hình 2.5: Hệ thống cung cấp dịch vụ MPLS-VPN và các thành phần



Những thành phần cơ bản trong công nghệ MPLS-VPN bao gồm:

• Mạng lõi IP-MPLS được quản lý bởi nhà cung cấp dịch vụ.

• Bộ định tuyến lõi của mạng nhà cung cấp.

• Bộ định tuyến của mạng cung cấp thông tin định tuyến của người dùng và thực

hiện đáp ứng dịch vụ cho người dùng từ phía nhà cung cấp dịch vụ.

• Bộ định tuyến biên của các hệ thống tự trị độc lập AS, thực hiện vai trò kết nối

với các hệ thống tự trị độc lập khác. Những hệ thống tự trị độc lập này có thể có

cùng hoặc khác nhau nhà điều hành.

• Mạng người dùng, là mạng để truy cập tới mạng lõi.

• Bộ định tuyến người dùng, đóng vai trò là cầu nối giữa mạng người dùng và

mạng nhà cung cấp. Những bộ định tuyến này có thể được quản trị bởi người

dùng hoặc nhà cung cấp dịch vụ

2.2.2 Mô hình bộ định tuyến biên nhà cung cấp dịch vụ

Thành phần quan trọng khi triển khai MPS-VPN là các thiết bị định tuyến biên PE

trong MPLS-VPN có cấu trúc giống như kiến trúc VPN ngang hàng dùng chung bộ

định tuyến chia sẽ, chỉ có sự khác biệt là toàn bộ mọi thứ được tập trung trong thiết bị

vật lý được mô tả dưới đây:



GVHD: TS.Trần Văn Dũng



24



SVTH: Bùi Quang Huy



Đồ án tốt nghiệp

8



Xây dựng mạng riêng ảo VPN Trường T/C nghề Số



Hình 2.6: Mô hình Bộ định tuyến PE và sơ đồ kết nối các site người dùng



Theo mô hình trên mỗi người dùng đăng kí một bảng định tuyến độc lập gọi là bảng

định tuyến ảo, tương ứng với một bộ định tuyến ảo như trong mô hình VPN ngang

hàng. Mỗi bộ định tuyến ảo cho phép nhiều site của người dùng cùng kết nối tới nó.

Việc định tuyến qua mạng của nhà cung cấp dịch vụ được thể hiện bởi một tiến trình

định tuyến khác, sử dụng bảng định tuyến toàn cục.

2.2.3 Mô hình bảng định tuyến và chuyển tiếp ảo

Sự kết hợp giữa bảng định tuyến và bảng chuyển tiếp VPN tạo thành một bảng

định tuyến chuyển tiếp ảo VRF (Vitual Routing and Forwarding). Mỗi VPN đều có

bảng định tuyến và chuyển tiếp riêng của nó trong bộ định tuyến PE, và mỗi bộ định

tuyến PE duy trì một hoặc nhiều bảng VRF. Mỗi site mà có bộ định tuyến PE nối vào

đó sẽ liên kết với một trong các bảng này. Địa chỉ đích IP của một gói tin chỉ được

kiểm tra trong bảng VRF mà nó thuộc về nếu gói tin này đến trực tiếp từ site tương

đương với bảng VRF đó. Mỗi VRF đơn giản chỉ là một tập hợp các tuyến thích hợp

cho mỗi site nào đó. Kết nối đến bộ định tuyến PE. Các tuyến này có thể thuộc về một

hoặc nhiều VPN.

Nếu một site thuộc về nhiều VPN, bảng chuyển tiếp tương ứng với site đó có thể

có nhiều tuyến liên quan đến VPN mà nó phụ thuộc. PE chỉ duy trì một bảng VPF cho

một site. Các site khác nhau có thể chia sẻ cùng một bảng VPF nếu sử dụng tập hợp

các tuyến một cách chính xác như trong bảng VRF đó. Nếu tất cả các site có thông tin

định tuyến giống nhau thường ở cùng một VPN, thì chúng sẽ được phép liên lạc trực

tiếp với nhau, và nếu kết nối đến cùng một bộ định tuyến PE thì chúng sẽ đặt vào

GVHD: TS.Trần Văn Dũng



25



SVTH: Bùi Quang Huy



Đồ án tốt nghiệp

8



Xây dựng mạng riêng ảo VPN Trường T/C nghề Số



cùng một bảng VRF chung.

Bộ định tuyến PE nhận được gói tin từ một site nối trực tiếp với nó, nhưng địa chỉ

đích của gói tin không có trong tất cả các thực thể của bảng chuyển tiếp tương ứng với

site đó. Nếu nhà cung cấp dịch vụ không cung cấp khả năng truy nhập Internet cho

site đó thì gói tin sẽ bị loại bỏ vì không thể phân phối được đến đích. Nhưng nếu nhà

cung cấp dịch vụ có hỗ trợ truy nhập Internet cho site đó thì lúc này địa chỉ đích của

gói tin sẽ được tìm kiếm trong bảng định tuyến toàn cục. Do đó bất kì bộ định tuyến

PE nào trong mạng MPLS-VPN cũng đều có nhiều bảng định tuyến trên mỗi VRF và

một bảng định tuyến toàn cục. Bảng định tuyến này được sử dụng để tìm các bộ định

tuyến khác trong mạng nhà cung cấp dịch vụ cũng như các đích thuộc về mạng bên

ngoài như Internet.

Nói tóm lại VRF được sử dụng cho một site VPN hoặc cho nhiều site kết nối đến

cùng một bộ định tuyến PE miễn sao là nhưng site này chia sẽ chính xác các yêu cầu

kết nối giống nhau. Do đó cấu trúc của bảng định tuyến của bảng VRF bao gồm :

• Bảng định tuyến IP

• Bảng chuyển tiếp

• Tập hợp các quy tắc và các tham số giao thức định tuyến

• Danh sách các giao diện sử dụng trong VRF



2.3 Các mô hình MPLS-VPN

2.3.1 Mô hình mạng riêng ảo tầng 2 (L2VPN)

Mô hình mạng riêng ảo lớp 2 được phát triển và hoàn thiện và đang được chuẩn hoá

và đang được dần hoàn thiện. L2VPN hướng tới việc triển khai các đường hầm qua

mạng MPLS để thực hiện các kiểu lưu lượng khác nhau.

Trong chuẩn xây dựng L2VPN có hai dạng cơ bản là:

• Điểm tới điểm: là công nghệ thiết lập đường dẫn chuyển mạch ảo qua mạng công

cộng trên nền tảng công nghệ MPLS.

• Điểm tới đa điểm: Được triển khai và cấu hình mắt lưới và phân cấp.

Mô hình L2VPN đa điểm dự trên nguyên tắc mạng LAN ảo và công nghệ truy nhập

Ethernet đã được triển khai rộng rãi. Giải pháp này cho phép chúng liên kết các mạng

Ethernet qua cơ sở hạ tầng MPLS trên cở sở nhận dạng lớp 2, vì vậy nên có thể giảm

được độ phức tạp của bảng định tuyến ở lớp 3. Trong mô hình này các bộ định tuyến biên

GVHD: TS.Trần Văn Dũng



26



SVTH: Bùi Quang Huy



Đồ án tốt nghiệp

8



Xây dựng mạng riêng ảo VPN Trường T/C nghề Số



người dùng và bộ định tuyến biên nhà cung cấp dịch vụ không nhất thiết phải coi là ngang

hàng. Thay vào đó chỉ cần kết nối lớp 2 giữa các bộ định tuyến này. Bộ định tuyến biên

nhà cung cấp dịch vụ chuyển mạch các luồng lưu lượng vào trong các đường hầm đã

được cấu hình trước tới các bộ định tuyến biên nhà cung cấp dịch vụ khác.



Hình 2.7: Mô hình mạng MPLS L2VPN



Mạng riêng ảo tầng 2 có khả năng tìm kiếm qua mặt dữ liệu bằng địa chỉ học được

từ bộ định lân cận. L2VPN sử dụng ngăn xếp nhãn tương tự như trong các giao thức

khác. Nhãn trong MPLS bên ngoài được sử dụng để xác định đường dẫn cho lưu lượng

qua miền MPLS, còn nhãn kênh ảo nhận dạng các mạng LAN ảo, VPN hoặc kết nối

tại các điểm cuối. Trong trường hợp nhãn tuỳ chọn sử dụng để điều khiển đóng các kết

nối lớp 2 được đặt trong cùng ngăn xếp sát với trường dữ liệu.

L2VPN có ưu điểm quan trọng là cho phép các giao thức lớp cao được truyền trong

suốt với MPLS. Nó có thể hoạt động trên hầu hết các công nghệ lớp 2 như ATM,

Ethernet và mở rộng ra các khả năng thích hợp các mạng phi kết nối IP với các mạng

định hướng kết nối. Ngoài ra trong giải pháp này người ta sử dụng được đầu cuối

không cần phải cấu hình định tuyến cho các bộ định tuyến biên người dùng.

Một cấu hình đầy đủ cho các LSP phải được sử dụng để kết nối các VPN trong

mạng. Mạng riêng ảo lớp 2 không có khả năng tự động định tuyến giữa các site. Nên

tuỳ thuộc vào cấu hình mạng MPLS và nhu cầu thực tế mà có thể lựa chọn một trong

nhưng mô hình trên để thực hiện.



GVHD: TS.Trần Văn Dũng



27



SVTH: Bùi Quang Huy



Đồ án tốt nghiệp

8



Xây dựng mạng riêng ảo VPN Trường T/C nghề Số



2.3.2 Mô hình mạng riêng ảo lớp ba (L3VPN)

Cấu tạo của mô hình mạng riêng ảo lớp ba (L3VPN) được chia thành hai lớp, tương

ứng với các lớp 3 và lớp 2 của mô hình OSI. L3VPN dựa trên RFC 2547bit, mở rộng

một số đặc tính cần thiết của giao thức cổng biên BGP và tập trung vào hướng đa giao

thức của BGP nhằm chia sẽ thông tin định tuyến qua mạng lõi của nhà cung cấp dịch

vụ cũng như là chuyển tiếp các lưu lượng VPN qua lõi.

Trong mô hình L3VPN, các bộ định tuyến người dùng và của nhà cung cấp dịch vụ

được coi là ngang hàng. Bộ định tuyến biên người dùng gửi thông tin định tuyến tới bộ

định tuyến và chuyển tiếp ảo VRF. Người dùng VPN chỉ được phép truy nhập tới các

site hoặc máy chủ trong cùng một mạng riêng này. Bộ định tuyến biên nhà cung cấp

dịch vụ còn hỗ trợ các bảng định tuyến thông thường nhằm chuyển lưu lượng thông tin

của người dùng qua mạng công cộng. Dưới đây là kiến trúc của mô hình mạng riêng

ảo lớp 3 trên nền tảng MPLS.



Hình 2.8: Mô hình mạng riêng ảo tầng 3 (L3VPN)



Các gói tin IP qua miền MPLS được gắn hai loại nhãn đó là nhãn MPLS chỉ đường

dẫn chuyển mạch nhãn LSP và nhãn chỉ thị định tuyến chuyển mạch ảo VRF. Ngăn

xếp nhãn được tạo lập để xử lý LSP để chuyển các gói tin qua MPLS. Nhãn VRF chỉ

được xử lý tại thiết bị định tuyến biên nhà cung cấp dịch vụ PE nối với bộ định tuyến

người dùng.

Kiến trúc mạng riêng ảo lớp 3 có những ưu điểm là vùng địa chỉ người dùng được

quản lý bởi các nhà khai thác, do đó nó cho phép đơn giản hoá việc triển khai kết nối

với nhà cung cấp dịch vụ. L3VPN còn cung cấp khả năng định tuyến động phân phối

các thông tin định tuyến tới các bộ định tuyến VPN. Tuy nhiên L3VPN chỉ hỗ trợ các

GVHD: TS.Trần Văn Dũng



28



SVTH: Bùi Quang Huy



Đồ án tốt nghiệp

8



Xây dựng mạng riêng ảo VPN Trường T/C nghề Số



lưu lượng IP hoặc lưu lượng đóng gói vào gói tin IP. Việc tồn tại hai bảng định tuyến

tại các thiết bị biên mạng cũng là một vấn đề phức tạp trong việc khả năng mở rộng hệ

thống thiết bị.



2.4 Hoạt động của MPLS-VPN

2.4.1 Truyền tải gói tin định tuyến

Các bộ định tuyến PE cần phải trao đổi thông tin trong các bảng định tuyến ảo để

đảm bảo việc định tuyến dữ liệu giữa các site người dùng kết nối với những bộ định

tuyến này. Giao thức định tuyến để truyền thông tin của tất cả các tuyến người dùng

dọc theo mạng nhà cung cấp dịch vụ mà vẫn duy trì được không gian địa chỉ độc lập

giữa các người dùng với nhau.

Một biện pháp được đưa ra dự trên cơ sở sử dụng giao thức định tuyến riêng cho

mỗi người dùng. Các bộ định tuyến PE có thể kết nối thông qua các đường hầm điểm

tới điểm, hoặc là bộ định tuyến P của nhà cung cấp dịch vụ có thể tham gia vào quá

trình định tuyến của người dùng. Những khó khăn này liên quan đến việc các bộ định

tuyến PE phải xử lý một số lượng giao thực định tuyến, còn bộ định tuyến P thì phải

lưu thông tin của tất cả các tuyến người dùng.

Giải pháp khác dựa trên việc triển khai một giao thức định tuyến để trao đổi thông

tin của tất cả các tuyến người dùng dọc theo mạng nhà cung cấp dịch vụ. Giải pháp

này nhiều ưu điểm hơn nhưng bộ định tuyến P vẫn tham gia vào bộ định tuyến người

dùng, do đó vẫn không giải quyết được vấn đề mở rộng.

Giải pháp tối ưu hơn là việc truyền gói tin định tuyến người dùng sẽ do một giao

thức riêng định tuyến giữa các bộ định tuyến PE thực hiện, còn các bộ định tuyến P

không tham gia vào quá trình định tuyến này. Giải pháp này mang lại hiệu quả cao vì

nó có khả năng mở rộng do số lượng giao thức định tuyến giữa các bộ định tuyến PE

không tăng khi tăng số lượng người dùng, đồng thời bộ định tuyến P cũng không

mang thông tin về các tuyến người dùng khi số lượng người dùng quá lớn, giao thức

định tuyến được lựa chọn để sử dụng là BGP vì giao thức này có thể hổ trợ số lượng

lớn các định tuyến. BGP được thiết lập để trao đổi thông tin định tuyến giữa các bộ

định tuyến không kết nối trực tiếp, và đặc điểm này hỗ trợ việc lưu giữ thông tin định

tuyến tại các thiết bị biên mà không cần phải trao đổi với các bộ định tuyến lõi của

mạng nhà cung cấp dich vụ.

2.4.2 Địa chỉ VPN-IP trong mạng riêng ảo

Khi sử dụng giao thức BGP để định tuyến để chuyển tải gói tin người dùng qua

GVHD: TS.Trần Văn Dũng



29



SVTH: Bùi Quang Huy



Đồ án tốt nghiệp

8



Xây dựng mạng riêng ảo VPN Trường T/C nghề Số



Router biên nhà cung cấp dịch vụ phải truyền nhiều thông tin xác định khác nhau qua

nó. Giao thức định tuyến BGP đã sử dụng và đua vào địa chỉ IP để xác định đích đến

của gói tin, mỗi người dùng phải có một không gian địa chỉ riêng để BGP có thể định

tuyến đúng hướng cho gói tin. Để có tài nguyên địa chỉ rộng lớn tránh khỏi sự trùng

lắp địa chỉ thì việc mở rộng tiền tố địa chỉ IP là một việc làm bắt buộc khi mô hình

mạng được mở rộng. Vấn đề được khắc phục khi mở rộng mô hình mạng khi người

dùng tăng lên là mỗi bộ định tuyến sẽ được BGP sử dụng duy nhất trong bảng định

tuyến ảo VRF. Việc mở rộng tiền tố địa chỉ đã đua ra một khái niệm địa chỉ VPN-IP,

địa chỉ này chính là sự nối ghép địa chỉ IP của gói tin có độ dài là 32 bits và trường

phân biệt tuyến (RD) có độ dài 64 bits. Trong trường hợp các gói tin có địa chỉ IP

trùng nhau thì trường phân biệt tuyến sẽ được có nhiệm vụ phân biệt các gói tin.

Trường phân biệt địa chỉ này được tạo ra là duy nhất cho mỗi nhà cung cấp dịch vụ để

không có sự trùng lặp dẫn tới xung đột gói tin khi địa chỉ gói tin trùng nhau.

Trong trường phân biệt tuyến có các trường con bao gồm.Trường hệ số tự trị ASN

(Autonomous System number) chứa giá trị số đặc trung cho hệ thống nhà cung cấp

dịch vụ VPN. Trường số gán (Assigned Number) do mỗi nhà cung cấp dịch vụ VPN

quản lý. Nhà quản lý dịch vụ tự đặt ra giá trị cho trường số gán mạng VPN. Không

thể xẩy ra việc hai nhà cung cấp dịch vụ trùng nhau về việc đặt giá trị trường số nhãn,

vì thế hệ số tự trị cũng khác nhau, dẫn đến việc địa chỉ VPN cũng khác nhau hoàn

toàn trên tất cả các mạng. Khi sử dụng giao thức BGP trong việc quản lý VPN-IP

không khác quản lý địa chỉ IP. Giao thức BGP không thật sự hiểu được địa chỉ VPNIP nên BGP chỉ nắm rõ phần mào đầu của hai địa chỉ VPN-IP chứ không quan tâm

đến cấu trúc bên trong của địa chỉ, nên nó không cần thêm các giao thức phụ mà sử

dụng những đặc tính của chúng sẵn có. Một số đặc tính mà giao thức BGP được hỗ

trợ sẵn đó là: đặc tính cộng đồng sử dụng tuyến dự phòng. Các đặc tính này được áp

dụng trong VPN-IP cũng giống như áp dụng trong địa chỉ IP.

VPN-IP được được sử dụng giới hạn trong nhà cung cấp dịch vụ VPN và người

dùng VPN. Địa chỉ VPN-IP được gán ở bộ định tuyến biên PE, Mỗi kết nối VPN bộ

định tuyến PE được cấu hình ứng với mỗi giá trị của trường phân biệt định tuyến.

Mỗi khi bộ định tuyến biên người dùng CE gửi một gói tin trực tiếp cho PE thì PE có

nhiệm vụ xác định gói tin đó thuộc về VPN nào trước khi chuyển thông tin gói tin đó

cho BGP của nhà cung cấp dịch vụ, và chuyển địa chỉ IP gói tin thành địa chỉ VPN-IP

bằng cách sử dụng trường phân biệt tuyến có sẵn trong VPN đó. Và nó cũng làm

ngược lại đó là chuyển địa chỉ VPN-IP thành IP

GVHD: TS.Trần Văn Dũng



30



SVTH: Bùi Quang Huy



Đồ án tốt nghiệp

8



Xây dựng mạng riêng ảo VPN Trường T/C nghề Số



Khi áp dụng địa chỉ VPN-IP thì phải hai yếu tố quan trọng đó là trường phân biệt

tuyến và đặc tính cộng đồng của giao thức BGP. Mỗi cái đảm nhiệm một nhiệm vụ

riêng trong khi áp dụng, một trong những vấn đề đặt ra khi giải quyết vấn đề trong khi

chuyển gói tin trong VPN đó là giải quyết được việc không duy nhất của địa chỉ IP

trong mạng toàn cầu. Vấn đề này thì trường phân biết tuyến đã giải quyết được làm

cho đia chỉ IP trở thành duy nhất, nhưng trường phân biệt địa chỉ không sử dụng được

vào cho định tuyến lọc. Và vấn đề quan trọng đó là làm thế nào để kết nối đúng các

điều kiện ràng buộc trong giao thức. Cái này được giải quyết dựa trên quá trình lọc

các đặc tính cộng đồng của BGP. Nhưng các đặc tính cộng đồng của giao thức BGP

không làm được cho địa chỉ IP là duy nhất. Một trường phân biết tuyến không được

sử dụng chung cho nhiều VPN khác nhau, nhưng một VPN có thể sử dụng nhiều

trường phân biệt tuyến. Đối với đặc tính cộng đồng của giao thức BGP cũng vây, một

đặc tính cộng đồng BGP chỉ có thể sử dụng được trong một VPN, còn một VPN có

thể sử dụng nhiều đặc tính cộng đồng của BGP. Nên trường phân biệt định tuyến cũng

như đặc tính cộng đồng không thể xác định được một VPN. Nguyên tắc hoạt động của

gói tin IP trong mạng VPN là khi một CE chuyển một gói tin có địa chỉ IP có độ dài là

32 bits đến một PE, PE có nhiệm vụ thêm trường phân biệt định tuyến có độ dài 64

bits vào tạo ra một địa chỉ VPN-IP có độ dài 96 bits duy nhất và truyền đi theo giao

thức mở rộng MP-IBGP đến PE khác. PE này có nhiệm vụ lọc bỏ trường phân biệt

định tuyến lấy địa chỉ IP của gói tin và chuyển đến cho CE đích để CE cập nhật địa

chỉ trong bảng định tuyến của nó.

2.4.3 Hoạt động gói tin MPLS - VPN qua các PE và CE

Trong mạng IP thông thường, các quyết định chuyển tiếp cho gói tin được thực

hiện bằng cách tìm kiếm địa chỉ trong bảng thông tin địa chỉ IP để xác định bước

truyền tiếp theo và giao diện lối ra. Tuy nhiên, trong mạng MPLS thì mỗi LSR duy trì

một cơ sở thông tin chuyển mạch nhãn (LFIB). Bảng LFIB bao gồm nhiều lối vào cho

nhiều loại như lối vào chuyển tiếp nhãn đến bước tiếp theo (NHLFE), lối vào ánh xạ

nhãn vào (ILM), lối vào ánh xạ FEC-to-NHLFE (FTN). NHLFE được sử dụng khi

chuyển tiếp gói tin có gắn nhãn. Lối vào NHLFE bao gồm nhiều trường như địa chỉ

của bước truyền tiếp theo, các hoạt động ngăn xếp nhãn, giao diện lối ra, thông tin

mào đầu lớp hai. Lối vào ILM sẽ liên kết một nhãn vào cho một hoặc nhiều lối vào

NHLFE. ILM được sử dụng khi chuyển tiếp gói tin có gắn nhãn. Nhãn của gói tin đi

vào chọn một lối vào ILM cụ thể nào đó mà nó định nghĩa NHLFE. FTN ánh xạ mỗi

FEC đến một hay nhiều NHLFE. Có nghĩa là, thông qua các lối vào FTN, gói tin

GVHD: TS.Trần Văn Dũng



31



SVTH: Bùi Quang Huy



Đồ án tốt nghiệp

8



Xây dựng mạng riêng ảo VPN Trường T/C nghề Số



không có nhãn sẽ được gán nhãn vào.

Hoạt động chuyển tiếp nhãn của MPLS có thể được diễn tả bằng các hoạt động sau:

• Chèn nhãn: được bộ định tuyến lối vào thực hiện, nó sẽ chuyển đổi từ gói tin

không nhãn thành gói tin có gắn nhãn bằng cách chèn nhãn vào phía trước mào

đầu của gói tin. Để thực hiện được điều này, LSR lối vào đầu tiên phải ánh xạ gói

tin đến FEC cụ thể nào đó bằng cách dò tìm địa chỉ trên bảng IP FIB, sau đó so

sáng bảng LFIB để xác định nhãn lối ra, giao diện lối ra, và loại hình thức đóng

gói lớp 2 cho gói tin.

• Chuyển đổi nhãn: Các bộ định tuyến này sử dụng nhãn trên đỉnh của ngăn xếp

nhãn trong gói tin để tìm ánh xạ nhãn vào (ILM) lối vào trong LFIB. ILM lối vào

sẽ nhận diện NHLFE tương ứng, vì NHLFE cung cấp tất cả thông tin cần thiết

cho việc truyền gói tin. LSR trung gian sử dụng thông tin trong NHLFE để tìm

giao diện lối ra cho nhãn lối ra cho gói tin này. Sau đó nó chuyển đổi nhãn lối

vào thành nhãn lối ra thích hợp và gửi gói tin ra ngoài giao diện đến bước truyền

tiếp theo.

• Rút nhãn: LSR sử dụng nhãn ở đỉnh trong ngăn xếp nhãn trong gói tin để xác

định ILM lối vào và NHLFE tương ứng trong LFIB. Hoạt động ngăn xếp nhãn

cho biết gói tin này cần được truyền đi là gói tin không có gán nhãn. LSR sẽ rút

nhãn ra và chuyển đi gói tin không nhãn đến bước truyền tiếp theo. Do đó ta thấy

LSR lối ra trong mạng MPLS có thể phải thực hiện hai quá trình kiểm tra trên gói

tin mà nó nhận được từ LSR quá giang cận kề với nó. Thứ nhất, nó phải kiểm tra

nhãn trong mào đầu để quyết định xem hoạt động cần thiết đối với gói tin này,

trong trường hợp này là rút nhãn ra khỏi gói tin. Thứ hai, nó phải thực hiện kiểm

tra lớp 3 trên gói tin IP trước khi chuyển tiếp gói tin đến đích. Việc thực hiện cả

hai lần kiểm tra có thể làm giảm hoạt động của node đó.

Egress LSR có thể yêu cầu hoạt động rút nhãn từ láng giềng dòng ngược của nó

thông qua các giao thức phân phối nhãn như LDP bằng cách sử dụng các giá trị nhãn

đặc biệt gọi là nhãn có giá trị implicit-null.

Với các tuyến người dùng được truyền dọc theo mạng đường trục MPLS-VPN lưu

lượng giữa các bộ định tuyến CE và PE mặc định là lưu lượng của các gói tin IP. Bộ

định tuyến người dùng CE hỗ trợ các giao thức định tuyến IP chuẩn và không tham gia

vào MPLS-VPN. Trong trường hợp này để chuyển tiếp gói tin dọc theo mạng đường

trục MPLS-VPN, bộ định tuyến PE chỉ phải chuyển tiếp gói tin IP nhận được từ bộ

GVHD: TS.Trần Văn Dũng



32



SVTH: Bùi Quang Huy