3 Các mô hình MPLS-VPN

Đồ án tốt nghiệp

8



Xây dựng mạng riêng ảo VPN Trường T/C nghề Số



người dùng và bộ định tuyến biên nhà cung cấp dịch vụ không nhất thiết phải coi là ngang

hàng. Thay vào đó chỉ cần kết nối lớp 2 giữa các bộ định tuyến này. Bộ định tuyến biên

nhà cung cấp dịch vụ chuyển mạch các luồng lưu lượng vào trong các đường hầm đã

được cấu hình trước tới các bộ định tuyến biên nhà cung cấp dịch vụ khác.



Hình 2.7: Mô hình mạng MPLS L2VPN



Mạng riêng ảo tầng 2 có khả năng tìm kiếm qua mặt dữ liệu bằng địa chỉ học được

từ bộ định lân cận. L2VPN sử dụng ngăn xếp nhãn tương tự như trong các giao thức

khác. Nhãn trong MPLS bên ngoài được sử dụng để xác định đường dẫn cho lưu lượng

qua miền MPLS, còn nhãn kênh ảo nhận dạng các mạng LAN ảo, VPN hoặc kết nối

tại các điểm cuối. Trong trường hợp nhãn tuỳ chọn sử dụng để điều khiển đóng các kết

nối lớp 2 được đặt trong cùng ngăn xếp sát với trường dữ liệu.

L2VPN có ưu điểm quan trọng là cho phép các giao thức lớp cao được truyền trong

suốt với MPLS. Nó có thể hoạt động trên hầu hết các công nghệ lớp 2 như ATM,

Ethernet và mở rộng ra các khả năng thích hợp các mạng phi kết nối IP với các mạng

định hướng kết nối. Ngoài ra trong giải pháp này người ta sử dụng được đầu cuối

không cần phải cấu hình định tuyến cho các bộ định tuyến biên người dùng.

Một cấu hình đầy đủ cho các LSP phải được sử dụng để kết nối các VPN trong

mạng. Mạng riêng ảo lớp 2 không có khả năng tự động định tuyến giữa các site. Nên

tuỳ thuộc vào cấu hình mạng MPLS và nhu cầu thực tế mà có thể lựa chọn một trong

nhưng mô hình trên để thực hiện.



GVHD: TS.Trần Văn Dũng



27



SVTH: Bùi Quang Huy



Đồ án tốt nghiệp

8



Xây dựng mạng riêng ảo VPN Trường T/C nghề Số



2.3.2 Mô hình mạng riêng ảo lớp ba (L3VPN)

Cấu tạo của mô hình mạng riêng ảo lớp ba (L3VPN) được chia thành hai lớp, tương

ứng với các lớp 3 và lớp 2 của mô hình OSI. L3VPN dựa trên RFC 2547bit, mở rộng

một số đặc tính cần thiết của giao thức cổng biên BGP và tập trung vào hướng đa giao

thức của BGP nhằm chia sẽ thông tin định tuyến qua mạng lõi của nhà cung cấp dịch

vụ cũng như là chuyển tiếp các lưu lượng VPN qua lõi.

Trong mô hình L3VPN, các bộ định tuyến người dùng và của nhà cung cấp dịch vụ

được coi là ngang hàng. Bộ định tuyến biên người dùng gửi thông tin định tuyến tới bộ

định tuyến và chuyển tiếp ảo VRF. Người dùng VPN chỉ được phép truy nhập tới các

site hoặc máy chủ trong cùng một mạng riêng này. Bộ định tuyến biên nhà cung cấp

dịch vụ còn hỗ trợ các bảng định tuyến thông thường nhằm chuyển lưu lượng thông tin

của người dùng qua mạng công cộng. Dưới đây là kiến trúc của mô hình mạng riêng

ảo lớp 3 trên nền tảng MPLS.



Hình 2.8: Mô hình mạng riêng ảo tầng 3 (L3VPN)



Các gói tin IP qua miền MPLS được gắn hai loại nhãn đó là nhãn MPLS chỉ đường

dẫn chuyển mạch nhãn LSP và nhãn chỉ thị định tuyến chuyển mạch ảo VRF. Ngăn

xếp nhãn được tạo lập để xử lý LSP để chuyển các gói tin qua MPLS. Nhãn VRF chỉ

được xử lý tại thiết bị định tuyến biên nhà cung cấp dịch vụ PE nối với bộ định tuyến

người dùng.

Kiến trúc mạng riêng ảo lớp 3 có những ưu điểm là vùng địa chỉ người dùng được

quản lý bởi các nhà khai thác, do đó nó cho phép đơn giản hoá việc triển khai kết nối

với nhà cung cấp dịch vụ. L3VPN còn cung cấp khả năng định tuyến động phân phối

các thông tin định tuyến tới các bộ định tuyến VPN. Tuy nhiên L3VPN chỉ hỗ trợ các

GVHD: TS.Trần Văn Dũng



28



SVTH: Bùi Quang Huy



Đồ án tốt nghiệp

8



Xây dựng mạng riêng ảo VPN Trường T/C nghề Số



lưu lượng IP hoặc lưu lượng đóng gói vào gói tin IP. Việc tồn tại hai bảng định tuyến

tại các thiết bị biên mạng cũng là một vấn đề phức tạp trong việc khả năng mở rộng hệ

thống thiết bị.



2.4 Hoạt động của MPLS-VPN

2.4.1 Truyền tải gói tin định tuyến

Các bộ định tuyến PE cần phải trao đổi thông tin trong các bảng định tuyến ảo để

đảm bảo việc định tuyến dữ liệu giữa các site người dùng kết nối với những bộ định

tuyến này. Giao thức định tuyến để truyền thông tin của tất cả các tuyến người dùng

dọc theo mạng nhà cung cấp dịch vụ mà vẫn duy trì được không gian địa chỉ độc lập

giữa các người dùng với nhau.

Một biện pháp được đưa ra dự trên cơ sở sử dụng giao thức định tuyến riêng cho

mỗi người dùng. Các bộ định tuyến PE có thể kết nối thông qua các đường hầm điểm

tới điểm, hoặc là bộ định tuyến P của nhà cung cấp dịch vụ có thể tham gia vào quá

trình định tuyến của người dùng. Những khó khăn này liên quan đến việc các bộ định

tuyến PE phải xử lý một số lượng giao thực định tuyến, còn bộ định tuyến P thì phải

lưu thông tin của tất cả các tuyến người dùng.

Giải pháp khác dựa trên việc triển khai một giao thức định tuyến để trao đổi thông

tin của tất cả các tuyến người dùng dọc theo mạng nhà cung cấp dịch vụ. Giải pháp

này nhiều ưu điểm hơn nhưng bộ định tuyến P vẫn tham gia vào bộ định tuyến người

dùng, do đó vẫn không giải quyết được vấn đề mở rộng.

Giải pháp tối ưu hơn là việc truyền gói tin định tuyến người dùng sẽ do một giao

thức riêng định tuyến giữa các bộ định tuyến PE thực hiện, còn các bộ định tuyến P

không tham gia vào quá trình định tuyến này. Giải pháp này mang lại hiệu quả cao vì

nó có khả năng mở rộng do số lượng giao thức định tuyến giữa các bộ định tuyến PE

không tăng khi tăng số lượng người dùng, đồng thời bộ định tuyến P cũng không

mang thông tin về các tuyến người dùng khi số lượng người dùng quá lớn, giao thức

định tuyến được lựa chọn để sử dụng là BGP vì giao thức này có thể hổ trợ số lượng

lớn các định tuyến. BGP được thiết lập để trao đổi thông tin định tuyến giữa các bộ

định tuyến không kết nối trực tiếp, và đặc điểm này hỗ trợ việc lưu giữ thông tin định

tuyến tại các thiết bị biên mà không cần phải trao đổi với các bộ định tuyến lõi của

mạng nhà cung cấp dich vụ.

2.4.2 Địa chỉ VPN-IP trong mạng riêng ảo

Khi sử dụng giao thức BGP để định tuyến để chuyển tải gói tin người dùng qua

GVHD: TS.Trần Văn Dũng



29



SVTH: Bùi Quang Huy



Đồ án tốt nghiệp

8



Xây dựng mạng riêng ảo VPN Trường T/C nghề Số



Router biên nhà cung cấp dịch vụ phải truyền nhiều thông tin xác định khác nhau qua

nó. Giao thức định tuyến BGP đã sử dụng và đua vào địa chỉ IP để xác định đích đến

của gói tin, mỗi người dùng phải có một không gian địa chỉ riêng để BGP có thể định

tuyến đúng hướng cho gói tin. Để có tài nguyên địa chỉ rộng lớn tránh khỏi sự trùng

lắp địa chỉ thì việc mở rộng tiền tố địa chỉ IP là một việc làm bắt buộc khi mô hình

mạng được mở rộng. Vấn đề được khắc phục khi mở rộng mô hình mạng khi người

dùng tăng lên là mỗi bộ định tuyến sẽ được BGP sử dụng duy nhất trong bảng định

tuyến ảo VRF. Việc mở rộng tiền tố địa chỉ đã đua ra một khái niệm địa chỉ VPN-IP,

địa chỉ này chính là sự nối ghép địa chỉ IP của gói tin có độ dài là 32 bits và trường

phân biệt tuyến (RD) có độ dài 64 bits. Trong trường hợp các gói tin có địa chỉ IP

trùng nhau thì trường phân biệt tuyến sẽ được có nhiệm vụ phân biệt các gói tin.

Trường phân biệt địa chỉ này được tạo ra là duy nhất cho mỗi nhà cung cấp dịch vụ để

không có sự trùng lặp dẫn tới xung đột gói tin khi địa chỉ gói tin trùng nhau.

Trong trường phân biệt tuyến có các trường con bao gồm.Trường hệ số tự trị ASN

(Autonomous System number) chứa giá trị số đặc trung cho hệ thống nhà cung cấp

dịch vụ VPN. Trường số gán (Assigned Number) do mỗi nhà cung cấp dịch vụ VPN

quản lý. Nhà quản lý dịch vụ tự đặt ra giá trị cho trường số gán mạng VPN. Không

thể xẩy ra việc hai nhà cung cấp dịch vụ trùng nhau về việc đặt giá trị trường số nhãn,

vì thế hệ số tự trị cũng khác nhau, dẫn đến việc địa chỉ VPN cũng khác nhau hoàn

toàn trên tất cả các mạng. Khi sử dụng giao thức BGP trong việc quản lý VPN-IP

không khác quản lý địa chỉ IP. Giao thức BGP không thật sự hiểu được địa chỉ VPNIP nên BGP chỉ nắm rõ phần mào đầu của hai địa chỉ VPN-IP chứ không quan tâm

đến cấu trúc bên trong của địa chỉ, nên nó không cần thêm các giao thức phụ mà sử

dụng những đặc tính của chúng sẵn có. Một số đặc tính mà giao thức BGP được hỗ

trợ sẵn đó là: đặc tính cộng đồng sử dụng tuyến dự phòng. Các đặc tính này được áp

dụng trong VPN-IP cũng giống như áp dụng trong địa chỉ IP.

VPN-IP được được sử dụng giới hạn trong nhà cung cấp dịch vụ VPN và người

dùng VPN. Địa chỉ VPN-IP được gán ở bộ định tuyến biên PE, Mỗi kết nối VPN bộ

định tuyến PE được cấu hình ứng với mỗi giá trị của trường phân biệt định tuyến.

Mỗi khi bộ định tuyến biên người dùng CE gửi một gói tin trực tiếp cho PE thì PE có

nhiệm vụ xác định gói tin đó thuộc về VPN nào trước khi chuyển thông tin gói tin đó

cho BGP của nhà cung cấp dịch vụ, và chuyển địa chỉ IP gói tin thành địa chỉ VPN-IP

bằng cách sử dụng trường phân biệt tuyến có sẵn trong VPN đó. Và nó cũng làm

ngược lại đó là chuyển địa chỉ VPN-IP thành IP

GVHD: TS.Trần Văn Dũng



30



SVTH: Bùi Quang Huy