Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.05 MB, 74 trang )
Đồ án tốt nghiệp
8
Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
người dùng và bộ định tuyến biên nhà cung cấp dịch vụ không nhất thiết phải coi là ngang
hàng. Thay vào đó chỉ cần kết nối lớp 2 giữa các bộ định tuyến này. Bộ định tuyến biên
nhà cung cấp dịch vụ chuyển mạch các luồng lưu lượng vào trong các đường hầm đã
được cấu hình trước tới các bộ định tuyến biên nhà cung cấp dịch vụ khác.
Hình 2.7: Mô hình mạng MPLS L2VPN
Mạng riêng ảo tầng 2 có khả năng tìm kiếm qua mặt dữ liệu bằng địa chỉ học được
từ bộ định lân cận. L2VPN sử dụng ngăn xếp nhãn tương tự như trong các giao thức
khác. Nhãn trong MPLS bên ngoài được sử dụng để xác định đường dẫn cho lưu lượng
qua miền MPLS, còn nhãn kênh ảo nhận dạng các mạng LAN ảo, VPN hoặc kết nối
tại các điểm cuối. Trong trường hợp nhãn tuỳ chọn sử dụng để điều khiển đóng các kết
nối lớp 2 được đặt trong cùng ngăn xếp sát với trường dữ liệu.
L2VPN có ưu điểm quan trọng là cho phép các giao thức lớp cao được truyền trong
suốt với MPLS. Nó có thể hoạt động trên hầu hết các công nghệ lớp 2 như ATM,
Ethernet và mở rộng ra các khả năng thích hợp các mạng phi kết nối IP với các mạng
định hướng kết nối. Ngoài ra trong giải pháp này người ta sử dụng được đầu cuối
không cần phải cấu hình định tuyến cho các bộ định tuyến biên người dùng.
Một cấu hình đầy đủ cho các LSP phải được sử dụng để kết nối các VPN trong
mạng. Mạng riêng ảo lớp 2 không có khả năng tự động định tuyến giữa các site. Nên
tuỳ thuộc vào cấu hình mạng MPLS và nhu cầu thực tế mà có thể lựa chọn một trong
nhưng mô hình trên để thực hiện.
GVHD: TS.Trần Văn Dũng
27
SVTH: Bùi Quang Huy
Đồ án tốt nghiệp
8
Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
2.3.2 Mô hình mạng riêng ảo lớp ba (L3VPN)
Cấu tạo của mô hình mạng riêng ảo lớp ba (L3VPN) được chia thành hai lớp, tương
ứng với các lớp 3 và lớp 2 của mô hình OSI. L3VPN dựa trên RFC 2547bit, mở rộng
một số đặc tính cần thiết của giao thức cổng biên BGP và tập trung vào hướng đa giao
thức của BGP nhằm chia sẽ thông tin định tuyến qua mạng lõi của nhà cung cấp dịch
vụ cũng như là chuyển tiếp các lưu lượng VPN qua lõi.
Trong mô hình L3VPN, các bộ định tuyến người dùng và của nhà cung cấp dịch vụ
được coi là ngang hàng. Bộ định tuyến biên người dùng gửi thông tin định tuyến tới bộ
định tuyến và chuyển tiếp ảo VRF. Người dùng VPN chỉ được phép truy nhập tới các
site hoặc máy chủ trong cùng một mạng riêng này. Bộ định tuyến biên nhà cung cấp
dịch vụ còn hỗ trợ các bảng định tuyến thông thường nhằm chuyển lưu lượng thông tin
của người dùng qua mạng công cộng. Dưới đây là kiến trúc của mô hình mạng riêng
ảo lớp 3 trên nền tảng MPLS.
Hình 2.8: Mô hình mạng riêng ảo tầng 3 (L3VPN)
Các gói tin IP qua miền MPLS được gắn hai loại nhãn đó là nhãn MPLS chỉ đường
dẫn chuyển mạch nhãn LSP và nhãn chỉ thị định tuyến chuyển mạch ảo VRF. Ngăn
xếp nhãn được tạo lập để xử lý LSP để chuyển các gói tin qua MPLS. Nhãn VRF chỉ
được xử lý tại thiết bị định tuyến biên nhà cung cấp dịch vụ PE nối với bộ định tuyến
người dùng.
Kiến trúc mạng riêng ảo lớp 3 có những ưu điểm là vùng địa chỉ người dùng được
quản lý bởi các nhà khai thác, do đó nó cho phép đơn giản hoá việc triển khai kết nối
với nhà cung cấp dịch vụ. L3VPN còn cung cấp khả năng định tuyến động phân phối
các thông tin định tuyến tới các bộ định tuyến VPN. Tuy nhiên L3VPN chỉ hỗ trợ các
GVHD: TS.Trần Văn Dũng
28
SVTH: Bùi Quang Huy
Đồ án tốt nghiệp
8
Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
lưu lượng IP hoặc lưu lượng đóng gói vào gói tin IP. Việc tồn tại hai bảng định tuyến
tại các thiết bị biên mạng cũng là một vấn đề phức tạp trong việc khả năng mở rộng hệ
thống thiết bị.
2.4 Hoạt động của MPLS-VPN
2.4.1 Truyền tải gói tin định tuyến
Các bộ định tuyến PE cần phải trao đổi thông tin trong các bảng định tuyến ảo để
đảm bảo việc định tuyến dữ liệu giữa các site người dùng kết nối với những bộ định
tuyến này. Giao thức định tuyến để truyền thông tin của tất cả các tuyến người dùng
dọc theo mạng nhà cung cấp dịch vụ mà vẫn duy trì được không gian địa chỉ độc lập
giữa các người dùng với nhau.
Một biện pháp được đưa ra dự trên cơ sở sử dụng giao thức định tuyến riêng cho
mỗi người dùng. Các bộ định tuyến PE có thể kết nối thông qua các đường hầm điểm
tới điểm, hoặc là bộ định tuyến P của nhà cung cấp dịch vụ có thể tham gia vào quá
trình định tuyến của người dùng. Những khó khăn này liên quan đến việc các bộ định
tuyến PE phải xử lý một số lượng giao thực định tuyến, còn bộ định tuyến P thì phải
lưu thông tin của tất cả các tuyến người dùng.
Giải pháp khác dựa trên việc triển khai một giao thức định tuyến để trao đổi thông
tin của tất cả các tuyến người dùng dọc theo mạng nhà cung cấp dịch vụ. Giải pháp
này nhiều ưu điểm hơn nhưng bộ định tuyến P vẫn tham gia vào bộ định tuyến người
dùng, do đó vẫn không giải quyết được vấn đề mở rộng.
Giải pháp tối ưu hơn là việc truyền gói tin định tuyến người dùng sẽ do một giao
thức riêng định tuyến giữa các bộ định tuyến PE thực hiện, còn các bộ định tuyến P
không tham gia vào quá trình định tuyến này. Giải pháp này mang lại hiệu quả cao vì
nó có khả năng mở rộng do số lượng giao thức định tuyến giữa các bộ định tuyến PE
không tăng khi tăng số lượng người dùng, đồng thời bộ định tuyến P cũng không
mang thông tin về các tuyến người dùng khi số lượng người dùng quá lớn, giao thức
định tuyến được lựa chọn để sử dụng là BGP vì giao thức này có thể hổ trợ số lượng
lớn các định tuyến. BGP được thiết lập để trao đổi thông tin định tuyến giữa các bộ
định tuyến không kết nối trực tiếp, và đặc điểm này hỗ trợ việc lưu giữ thông tin định
tuyến tại các thiết bị biên mà không cần phải trao đổi với các bộ định tuyến lõi của
mạng nhà cung cấp dich vụ.
2.4.2 Địa chỉ VPN-IP trong mạng riêng ảo
Khi sử dụng giao thức BGP để định tuyến để chuyển tải gói tin người dùng qua
GVHD: TS.Trần Văn Dũng
29
SVTH: Bùi Quang Huy
Đồ án tốt nghiệp
8
Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
Router biên nhà cung cấp dịch vụ phải truyền nhiều thông tin xác định khác nhau qua
nó. Giao thức định tuyến BGP đã sử dụng và đua vào địa chỉ IP để xác định đích đến
của gói tin, mỗi người dùng phải có một không gian địa chỉ riêng để BGP có thể định
tuyến đúng hướng cho gói tin. Để có tài nguyên địa chỉ rộng lớn tránh khỏi sự trùng
lắp địa chỉ thì việc mở rộng tiền tố địa chỉ IP là một việc làm bắt buộc khi mô hình
mạng được mở rộng. Vấn đề được khắc phục khi mở rộng mô hình mạng khi người
dùng tăng lên là mỗi bộ định tuyến sẽ được BGP sử dụng duy nhất trong bảng định
tuyến ảo VRF. Việc mở rộng tiền tố địa chỉ đã đua ra một khái niệm địa chỉ VPN-IP,
địa chỉ này chính là sự nối ghép địa chỉ IP của gói tin có độ dài là 32 bits và trường
phân biệt tuyến (RD) có độ dài 64 bits. Trong trường hợp các gói tin có địa chỉ IP
trùng nhau thì trường phân biệt tuyến sẽ được có nhiệm vụ phân biệt các gói tin.
Trường phân biệt địa chỉ này được tạo ra là duy nhất cho mỗi nhà cung cấp dịch vụ để
không có sự trùng lặp dẫn tới xung đột gói tin khi địa chỉ gói tin trùng nhau.
Trong trường phân biệt tuyến có các trường con bao gồm.Trường hệ số tự trị ASN
(Autonomous System number) chứa giá trị số đặc trung cho hệ thống nhà cung cấp
dịch vụ VPN. Trường số gán (Assigned Number) do mỗi nhà cung cấp dịch vụ VPN
quản lý. Nhà quản lý dịch vụ tự đặt ra giá trị cho trường số gán mạng VPN. Không
thể xẩy ra việc hai nhà cung cấp dịch vụ trùng nhau về việc đặt giá trị trường số nhãn,
vì thế hệ số tự trị cũng khác nhau, dẫn đến việc địa chỉ VPN cũng khác nhau hoàn
toàn trên tất cả các mạng. Khi sử dụng giao thức BGP trong việc quản lý VPN-IP
không khác quản lý địa chỉ IP. Giao thức BGP không thật sự hiểu được địa chỉ VPNIP nên BGP chỉ nắm rõ phần mào đầu của hai địa chỉ VPN-IP chứ không quan tâm
đến cấu trúc bên trong của địa chỉ, nên nó không cần thêm các giao thức phụ mà sử
dụng những đặc tính của chúng sẵn có. Một số đặc tính mà giao thức BGP được hỗ
trợ sẵn đó là: đặc tính cộng đồng sử dụng tuyến dự phòng. Các đặc tính này được áp
dụng trong VPN-IP cũng giống như áp dụng trong địa chỉ IP.
VPN-IP được được sử dụng giới hạn trong nhà cung cấp dịch vụ VPN và người
dùng VPN. Địa chỉ VPN-IP được gán ở bộ định tuyến biên PE, Mỗi kết nối VPN bộ
định tuyến PE được cấu hình ứng với mỗi giá trị của trường phân biệt định tuyến.
Mỗi khi bộ định tuyến biên người dùng CE gửi một gói tin trực tiếp cho PE thì PE có
nhiệm vụ xác định gói tin đó thuộc về VPN nào trước khi chuyển thông tin gói tin đó
cho BGP của nhà cung cấp dịch vụ, và chuyển địa chỉ IP gói tin thành địa chỉ VPN-IP
bằng cách sử dụng trường phân biệt tuyến có sẵn trong VPN đó. Và nó cũng làm
ngược lại đó là chuyển địa chỉ VPN-IP thành IP
GVHD: TS.Trần Văn Dũng
30
SVTH: Bùi Quang Huy