4 Hoạt động của MPLS-VPN

Đồ án tốt nghiệp

8



Xây dựng mạng riêng ảo VPN Trường T/C nghề Số



Router biên nhà cung cấp dịch vụ phải truyền nhiều thông tin xác định khác nhau qua

nó. Giao thức định tuyến BGP đã sử dụng và đua vào địa chỉ IP để xác định đích đến

của gói tin, mỗi người dùng phải có một không gian địa chỉ riêng để BGP có thể định

tuyến đúng hướng cho gói tin. Để có tài nguyên địa chỉ rộng lớn tránh khỏi sự trùng

lắp địa chỉ thì việc mở rộng tiền tố địa chỉ IP là một việc làm bắt buộc khi mô hình

mạng được mở rộng. Vấn đề được khắc phục khi mở rộng mô hình mạng khi người

dùng tăng lên là mỗi bộ định tuyến sẽ được BGP sử dụng duy nhất trong bảng định

tuyến ảo VRF. Việc mở rộng tiền tố địa chỉ đã đua ra một khái niệm địa chỉ VPN-IP,

địa chỉ này chính là sự nối ghép địa chỉ IP của gói tin có độ dài là 32 bits và trường

phân biệt tuyến (RD) có độ dài 64 bits. Trong trường hợp các gói tin có địa chỉ IP

trùng nhau thì trường phân biệt tuyến sẽ được có nhiệm vụ phân biệt các gói tin.

Trường phân biệt địa chỉ này được tạo ra là duy nhất cho mỗi nhà cung cấp dịch vụ để

không có sự trùng lặp dẫn tới xung đột gói tin khi địa chỉ gói tin trùng nhau.

Trong trường phân biệt tuyến có các trường con bao gồm.Trường hệ số tự trị ASN

(Autonomous System number) chứa giá trị số đặc trung cho hệ thống nhà cung cấp

dịch vụ VPN. Trường số gán (Assigned Number) do mỗi nhà cung cấp dịch vụ VPN

quản lý. Nhà quản lý dịch vụ tự đặt ra giá trị cho trường số gán mạng VPN. Không

thể xẩy ra việc hai nhà cung cấp dịch vụ trùng nhau về việc đặt giá trị trường số nhãn,

vì thế hệ số tự trị cũng khác nhau, dẫn đến việc địa chỉ VPN cũng khác nhau hoàn

toàn trên tất cả các mạng. Khi sử dụng giao thức BGP trong việc quản lý VPN-IP

không khác quản lý địa chỉ IP. Giao thức BGP không thật sự hiểu được địa chỉ VPNIP nên BGP chỉ nắm rõ phần mào đầu của hai địa chỉ VPN-IP chứ không quan tâm

đến cấu trúc bên trong của địa chỉ, nên nó không cần thêm các giao thức phụ mà sử

dụng những đặc tính của chúng sẵn có. Một số đặc tính mà giao thức BGP được hỗ

trợ sẵn đó là: đặc tính cộng đồng sử dụng tuyến dự phòng. Các đặc tính này được áp

dụng trong VPN-IP cũng giống như áp dụng trong địa chỉ IP.

VPN-IP được được sử dụng giới hạn trong nhà cung cấp dịch vụ VPN và người

dùng VPN. Địa chỉ VPN-IP được gán ở bộ định tuyến biên PE, Mỗi kết nối VPN bộ

định tuyến PE được cấu hình ứng với mỗi giá trị của trường phân biệt định tuyến.

Mỗi khi bộ định tuyến biên người dùng CE gửi một gói tin trực tiếp cho PE thì PE có

nhiệm vụ xác định gói tin đó thuộc về VPN nào trước khi chuyển thông tin gói tin đó

cho BGP của nhà cung cấp dịch vụ, và chuyển địa chỉ IP gói tin thành địa chỉ VPN-IP

bằng cách sử dụng trường phân biệt tuyến có sẵn trong VPN đó. Và nó cũng làm

ngược lại đó là chuyển địa chỉ VPN-IP thành IP

GVHD: TS.Trần Văn Dũng



30



SVTH: Bùi Quang Huy



Đồ án tốt nghiệp

8



Xây dựng mạng riêng ảo VPN Trường T/C nghề Số



Khi áp dụng địa chỉ VPN-IP thì phải hai yếu tố quan trọng đó là trường phân biệt

tuyến và đặc tính cộng đồng của giao thức BGP. Mỗi cái đảm nhiệm một nhiệm vụ

riêng trong khi áp dụng, một trong những vấn đề đặt ra khi giải quyết vấn đề trong khi

chuyển gói tin trong VPN đó là giải quyết được việc không duy nhất của địa chỉ IP

trong mạng toàn cầu. Vấn đề này thì trường phân biết tuyến đã giải quyết được làm

cho đia chỉ IP trở thành duy nhất, nhưng trường phân biệt địa chỉ không sử dụng được

vào cho định tuyến lọc. Và vấn đề quan trọng đó là làm thế nào để kết nối đúng các

điều kiện ràng buộc trong giao thức. Cái này được giải quyết dựa trên quá trình lọc

các đặc tính cộng đồng của BGP. Nhưng các đặc tính cộng đồng của giao thức BGP

không làm được cho địa chỉ IP là duy nhất. Một trường phân biết tuyến không được

sử dụng chung cho nhiều VPN khác nhau, nhưng một VPN có thể sử dụng nhiều

trường phân biệt tuyến. Đối với đặc tính cộng đồng của giao thức BGP cũng vây, một

đặc tính cộng đồng BGP chỉ có thể sử dụng được trong một VPN, còn một VPN có

thể sử dụng nhiều đặc tính cộng đồng của BGP. Nên trường phân biệt định tuyến cũng

như đặc tính cộng đồng không thể xác định được một VPN. Nguyên tắc hoạt động của

gói tin IP trong mạng VPN là khi một CE chuyển một gói tin có địa chỉ IP có độ dài là

32 bits đến một PE, PE có nhiệm vụ thêm trường phân biệt định tuyến có độ dài 64

bits vào tạo ra một địa chỉ VPN-IP có độ dài 96 bits duy nhất và truyền đi theo giao

thức mở rộng MP-IBGP đến PE khác. PE này có nhiệm vụ lọc bỏ trường phân biệt

định tuyến lấy địa chỉ IP của gói tin và chuyển đến cho CE đích để CE cập nhật địa

chỉ trong bảng định tuyến của nó.

2.4.3 Hoạt động gói tin MPLS - VPN qua các PE và CE

Trong mạng IP thông thường, các quyết định chuyển tiếp cho gói tin được thực

hiện bằng cách tìm kiếm địa chỉ trong bảng thông tin địa chỉ IP để xác định bước

truyền tiếp theo và giao diện lối ra. Tuy nhiên, trong mạng MPLS thì mỗi LSR duy trì

một cơ sở thông tin chuyển mạch nhãn (LFIB). Bảng LFIB bao gồm nhiều lối vào cho

nhiều loại như lối vào chuyển tiếp nhãn đến bước tiếp theo (NHLFE), lối vào ánh xạ

nhãn vào (ILM), lối vào ánh xạ FEC-to-NHLFE (FTN). NHLFE được sử dụng khi

chuyển tiếp gói tin có gắn nhãn. Lối vào NHLFE bao gồm nhiều trường như địa chỉ

của bước truyền tiếp theo, các hoạt động ngăn xếp nhãn, giao diện lối ra, thông tin

mào đầu lớp hai. Lối vào ILM sẽ liên kết một nhãn vào cho một hoặc nhiều lối vào

NHLFE. ILM được sử dụng khi chuyển tiếp gói tin có gắn nhãn. Nhãn của gói tin đi

vào chọn một lối vào ILM cụ thể nào đó mà nó định nghĩa NHLFE. FTN ánh xạ mỗi

FEC đến một hay nhiều NHLFE. Có nghĩa là, thông qua các lối vào FTN, gói tin

GVHD: TS.Trần Văn Dũng



31



SVTH: Bùi Quang Huy



Đồ án tốt nghiệp

8



Xây dựng mạng riêng ảo VPN Trường T/C nghề Số



không có nhãn sẽ được gán nhãn vào.

Hoạt động chuyển tiếp nhãn của MPLS có thể được diễn tả bằng các hoạt động sau:

• Chèn nhãn: được bộ định tuyến lối vào thực hiện, nó sẽ chuyển đổi từ gói tin

không nhãn thành gói tin có gắn nhãn bằng cách chèn nhãn vào phía trước mào

đầu của gói tin. Để thực hiện được điều này, LSR lối vào đầu tiên phải ánh xạ gói

tin đến FEC cụ thể nào đó bằng cách dò tìm địa chỉ trên bảng IP FIB, sau đó so

sáng bảng LFIB để xác định nhãn lối ra, giao diện lối ra, và loại hình thức đóng

gói lớp 2 cho gói tin.

• Chuyển đổi nhãn: Các bộ định tuyến này sử dụng nhãn trên đỉnh của ngăn xếp

nhãn trong gói tin để tìm ánh xạ nhãn vào (ILM) lối vào trong LFIB. ILM lối vào

sẽ nhận diện NHLFE tương ứng, vì NHLFE cung cấp tất cả thông tin cần thiết

cho việc truyền gói tin. LSR trung gian sử dụng thông tin trong NHLFE để tìm

giao diện lối ra cho nhãn lối ra cho gói tin này. Sau đó nó chuyển đổi nhãn lối

vào thành nhãn lối ra thích hợp và gửi gói tin ra ngoài giao diện đến bước truyền

tiếp theo.

• Rút nhãn: LSR sử dụng nhãn ở đỉnh trong ngăn xếp nhãn trong gói tin để xác

định ILM lối vào và NHLFE tương ứng trong LFIB. Hoạt động ngăn xếp nhãn

cho biết gói tin này cần được truyền đi là gói tin không có gán nhãn. LSR sẽ rút

nhãn ra và chuyển đi gói tin không nhãn đến bước truyền tiếp theo. Do đó ta thấy

LSR lối ra trong mạng MPLS có thể phải thực hiện hai quá trình kiểm tra trên gói

tin mà nó nhận được từ LSR quá giang cận kề với nó. Thứ nhất, nó phải kiểm tra

nhãn trong mào đầu để quyết định xem hoạt động cần thiết đối với gói tin này,

trong trường hợp này là rút nhãn ra khỏi gói tin. Thứ hai, nó phải thực hiện kiểm

tra lớp 3 trên gói tin IP trước khi chuyển tiếp gói tin đến đích. Việc thực hiện cả

hai lần kiểm tra có thể làm giảm hoạt động của node đó.

Egress LSR có thể yêu cầu hoạt động rút nhãn từ láng giềng dòng ngược của nó

thông qua các giao thức phân phối nhãn như LDP bằng cách sử dụng các giá trị nhãn

đặc biệt gọi là nhãn có giá trị implicit-null.

Với các tuyến người dùng được truyền dọc theo mạng đường trục MPLS-VPN lưu

lượng giữa các bộ định tuyến CE và PE mặc định là lưu lượng của các gói tin IP. Bộ

định tuyến người dùng CE hỗ trợ các giao thức định tuyến IP chuẩn và không tham gia

vào MPLS-VPN. Trong trường hợp này để chuyển tiếp gói tin dọc theo mạng đường

trục MPLS-VPN, bộ định tuyến PE chỉ phải chuyển tiếp gói tin IP nhận được từ bộ

GVHD: TS.Trần Văn Dũng



32



SVTH: Bùi Quang Huy



Đồ án tốt nghiệp

8



Xây dựng mạng riêng ảo VPN Trường T/C nghề Số



định tuyến người dùng đến các bộ định tuyến PE khác. Với giải pháp này rất khó thực

hiện bởi vì bộ định tuyến P không rõ về các tuyến của người dùng và vì chỉ thế một số

yêu cầu chất lượng dịch vụ sẽ khó có khả năng đáp ứng.

Trường hợp này tốt hơn là khi sử dụng đường dẫn chuyển mạch nhãn LSP giữa các

bộ định tuyến PE để chuyển tiếp các gói tin IP theo giá trị nhãn gắn vào chúng.



Hình 2.9: Sử dụng nhãn để chuyển tiếp gói tin VPN



Trong phương pháp này, gói tin của người dùng được gắn một nhãn đăng kí cho bộ

định tuyến PE đầu ra. Các bộ định tuyến lõi không cần biết địa chỉ IP của người dùng,

và chỉ có gói tin nào được gắn nhãn sẽ được chuyển đến bộ định tuyến PE đầu ra. Các

bộ định tuyến lõi chỉ thực hiện các hoạt động chuyển tiếp và phân phối gói tin người

dùng đến bộ định tuyến PE đầu ra. Tuy nhiên tại các bộ định tuyến PE đầu ra, các gói

tin IP của người dùng không có thông tin nào về VPN hay VRF để bộ định tuyến có

thể thực hiện kiểm tra VRF, nên gói tin IP có thể bị mất đi.

Một phương pháp tối ưu hơn có thể được lựa chọn để chuyển tiếp các gói tin là sử

dụng ngăn xếp nhãn.



GVHD: TS.Trần Văn Dũng



33



SVTH: Bùi Quang Huy



Đồ án tốt nghiệp

8



Xây dựng mạng riêng ảo VPN Trường T/C nghề Số



Hình 2.10: Mô hình sử dụng ngăn xếp nhãn để chuyển tiếp gói tin VPN



Ngăn xếp nhãn MPLS được sử dụng để chỉ thị cho bộ định tuyến PE đầu ra biết

phải làm gì với gói tin VPN. Ngăn xếp nhãn bao gồm hai nhãn xếp chồng lên nhau

gọi là nhãn bên trong (Inner Label) và nhãn bên ngoài (Outer Label). Khi gói tin IP đi

vào bộ định tuyến PE đầu vào gán hai nhãn này vào gói tin IP. Nhãn trên cùng nằm

trong ngăn xếp là của đường dẫn chuyển mạch nhãn. Đảm bảo cho gói tin được truyền

qua mạng MPLS-VPN đường trục đến bộ định tuyến PE đầu ra. MPLS sử dụng nhãn

ngoài để chuyển tiếp gói tin từ bộ định tuyến PE đầu vào qua mạng lõi. Ở mỗi bộ định

tuyến P được sử dụng để chuyển tiếp gói tin, đó chính là chỉ số trong bảng chuyển

tiếp của bộ định tuyến. Các bộ định tuyến P chuyển tiếp gói tin dọc theo LSP theo

phương pháp hoán đổi nhãn và không bao giờ kiểm tra nhãn bên trong hoặc địa chỉ IP

của gói tin. Khi gói tin đến PE đầu ra, bộ định tuyến này thực hiện việc tác bỏ nhãn

ngoài rồi xử lý thông tin nhãn bên trong. Nhãn trong là nhãn được bộ định tuyến PE

đăng kí cho mỗi VRF và PE sẽ sử dụng nó để quyết định VRF nào mà gói tin thuộc về

nó. Nhãn trong quyết định CE nào gói tin sẽ được gửi đến.

Bộ định tuyến PE đầu ra thực hiện tìm kiếm trong bảng chuyển tiếp VRF sử dụng

địa chỉ IP đích của gói tin. Sau đó nó chuyển tiếp gói tin IP không nhãn đến site người

dùng thích hợp. Ngay cả nhãn bên trong được liên lạc giữa các PE trong các bản tin

cập nhật mở rộng MP-IBGP. Nhãn thứ hai trong ngăn xếp nhãn còn được sử dụng để

chỉ trực tiếp để giao diện đầu ra tới người dùng. Trong trường hợp này bộ định tuyến

PE đầu ra chỉ thực hiện kiểm tra nhãn trên gói tin VPN. Trường hợp thường được sử

dùng khi bộ định tuyến CE là bước kế tiếp của tuyến VPN và nhãn này có thể chỉ đến

một VRF đơn nhất. Bộ định tuyến PE đầu ra thức hiện kiểm tra nhãn trước để tìm

được VRF đích, sau đó mới thực hiện kiểm tra địa chỉ IP trong VRF.

2.4.4 Hoạt động gói tin VPN dọc mạng backbone MPLS

Với các Router người dùng được truyền dọc mạng Backbone MPLS-VPN, tất cả

các Router đều tham gia vào chuyển tiếp dữ liệu người dùng. Lưu lượng người dùng

giữa các Router CE và Router PE luôn luôn được gửi đi là gói tin IP, đáp ứng được

yêu cầu là Router CE chạy các giao thức định tuyến IP chuẩn và không tham gia vào

MPLS-VPN. Trong phương pháp này, để chuyển tiếp gói tin dọc mạng Backbone

MPLS-VPN, Router PE chỉ phải chuyển gói tin IP nhận được từ Router người dùng

đến các Router PE khác. Đây là giải pháp không thể thực hiện được bởi vì Router P

không có biết gì về các Router của người dùng, và do đó không thể chuyển tiếp gói tin

IP của người dùng. Phương pháp được xác định tốt hơn là sử dụng đường hầm chuyển

GVHD: TS.Trần Văn Dũng



34



SVTH: Bùi Quang Huy



Đồ án tốt nghiệp

8



Xây dựng mạng riêng ảo VPN Trường T/C nghề Số



mạch nhãn MPLS, dùng LSP giữa các Router PE.

Trong phương pháp này, gói tin IP của ngươi dùng được gán vào một nhãn được

đăng kí cho Egress Router PE. Các Router lõi không bao giờ thấy gói tin IP của người

dùng, chỉ có gói tin nào được gán nhãn sẽ được chuyển đến Egress Router PE. Các

Router lõi chỉ thực hiện các hoạt động chuyển mạch đơn giản, cuối cùng phân phối

gói tin người dùng đến Egress Router PE. Nhưng tại đây, gói tin IP của người dùng

không có thông tin nào về VPN hoặc là VRF để thực hiện kiểm tra VRF trên Egress

Router PE. Egress PE không biết VRF nào sử dụng cho hoạt động kiểm tra IP và do

đó nó sẽ đánh rơi gói tin. Chồng nhãn MPLS có thể được sử dụng để chỉ thị cho

Egress Router PE biết phải làm gì với gói tin VPN. Chồng nhãn bao gồm hai nhãn

xếp chồng lên nhau gọi là nhãn bên trong và nhãn bên ngoài. Khi sử dụng chồng

nhãn, Ingress Router PE gán nhãn vào gói tin IP với hai nhãn đó. Nhãn trên cùng của

chồng nhãn là nhãn bên ngoài, đây là nhãn cho Egress Router PE, nhãn này sẽ đảm

bảo gói tin được truyền qua mạng MPLS-VPN Backbone và đến ở Egress Router PE.

MPLS sử dụng nhãn bên ngoài để chuyển tiếp gói tin từ Ingress PE thông qua mạng

lõi MPLS. Ở mỗi Router P, MPLS loại bỏ nhãn bên ngoài từ gói tin. Nhãn này chính

là index trong bảng chuyển tiếp của Router P. Từ đó nó quyết định next-hop dọc LSP

và nhãn khác. Ở Router PE Egress, MPLS lấy nhãn bên ngoài ra, sau đó mới đến nhãn

bên trong. Nhãn bên trong quyết định CE nào gói tin sẽ gửi đến. Router P không bao

giờ kiểm tra nhãn bên trong hoặc địa chỉ đích IP của gói tin. Nhãn thứ hai trong chồng

nhãn, nhãn bên trong, là nhãn được Router PE đăng kí cho mỗi VRF. Khi một gói tin

MPLS đến ở Egress PE, Egress Router đó sử dụng nhãn phía trong để quyết định

VRF nào mà gói tin thuộc về Router CE nào. Mặc định, Egress PE thực hiện tìm kiếm

IP trong bảng chuyển tiếp của VRF sử dụng địa chỉ IP đích trong gói tin IP được đóng

gói trong gói MPLS. Egress PE sau đó chuyển tiếp gói IP đến site người dùng thích

hợp. Bản thân các nhãn bên trong được liên lạc giữa các PE trong các bản tin cập nhật

mở rộng MP-IBGP. Nhãn thứ hai trong chồng nhãn có thể chỉ trực tiếp đến Interface

ngõ ra, trong trường hợp này Egress Router PE chỉ thực hiện kiểm tra nhãn trên gói

tin VPN. Tình huống này thường được dùng khi Router CE là nút tiếp theo của VPN

Route. Và nhãn này có thể chỉ đến một VRF, Egress Router PE thực hiện kiểm tra

nhãn trước để tìm được VRF đích, sau đó mới thực hiện kiểm tra IP trong VRF.

Router P thực hiện chuyển mạch nhãn dựa trên nhãn LDP được đăng kí chuyển đến

Egress Router PE. Egress Router PE thực hiện chuyển mạch nhãn trên nhãn bên trong

chồng nhãn và sau đó, hoặc là chuyển tiếp gói tin IP đến Router CE hoặc là thực hiện

GVHD: TS.Trần Văn Dũng



35



SVTH: Bùi Quang Huy



Đồ án tốt nghiệp

8



Xây dựng mạng riêng ảo VPN Trường T/C nghề Số



kiểm tra IP trong VRF do nhãn bên trong chỉ ra. Router P cuối cùng thực hiện lấy nhãn

ở đỉnh ra khỏi chồng nhãn trên Router đứng trước Egress Router PE. Router đó là Router

P cuối cùng trong đường dẫn chuyển mạch nhãn, Router này sẽ lấy nhãn phía ngoài trong

chồng nhãn ra, Router PE nhận được gói tin chỉ còn một nhãn là nhãn Inner (nhãn VPN).

Trong hầu hết các trường hợp, một lần kiểm tra nhãn được thực hiện trên gói tin đó ở

Egress Router PE cũng đủ thông tin để chuyển gói tin đến Router CE, kết quả làm cho

quá trình kiểm tra trở nên nhanh hơn và đơn giản hơn. Còn việc kiểm tra IP đầy đủ thông

qua FIB được thực hiện chỉ một lần ở Ingress Router PE. Gói tin IP được nhận trên

Interface của Router PE. Interface này được cấu hình với VPN/ID. BGP ánh xạ nhãn đến

các Route VPN. Sau đó giao thức phân phối giao thức phân phối nhãn LSP sẽ ánh xạ đến

các Router IGP

2.4.5 Truyền nhãn trên mạng riêng ảo VPN

Nhãn Inner được đăng kí bởi Egress Router PE. Nhãn này được truyền đi giữa các

Router PE để có thể chuyển tiếp gói tin thông qua các phiên làm việc của MP-IBGP.

Do đó mỗi lần cập nhật MP-IBGP mang nhãn được đăng kí bởi Egress Router PE

cùng với địa chỉ IP với đia chỉ VPN có độ dài 96 bits (prefix VPNv4). Egress Router

PE đăng kí một nhãn đến mỗi VPN Route nhận được từ các Router CE kết nối vào nó

và đăng kí nhãn đến chức năng tóm tắt thông tin định tuyến được trong Router PE.

Nhãn này sau đó được Ingress Router PE sử dụng như là nhãn bên trong trong chồng

nhãn MPLS khi nó gãn nhãn cho các gói tin VPN. Các nhãn VPN được đăng kí bởi

Egress Router PE được quảng bá đến tất cả Router PE khác cùng với prefix VPNv4

trong các cập nhật MP-IBGP. Các Route có một nhãn ngõ vào mà không có nhãn ngõ

ra là các Route được nhận từ Router CE. Các Route mà có nhãn ngõ ra nhưng không

có nhãn ngõ vào là các Route được nhận từ Router PE khác. Ingress Router PE có hai

nhãn liên quan với Route VPN đầu xa một nhãn dành cho BGP next-hop được đăng kí

bởi Router P kế tiếp thông qua LDP và nhãn được đăng kí bởi Router PE đầu xa và

được truyền đi thông qua các cập nhật MP-IBGP. Cả hai nhãn được kết hợp trong

chồng nhãn và được đưa vào bảng VRF. Do đó nhãn bên ngoài còn được gọi là nhãn

ngõ vào.

2.4.6 Các phương pháp để Router PE giao tiếp với nhau thông qua Router CE

Để cung cấp dịch vụ VPN, Router PE cần được cấu hình để bất kì thông tin định

tuyến nào được học từ Interface người dùng VPN có thể được liên kết với một VRF

nào đó. Điều này có thể được thực hiện thông qua tiến trình giao thức định tuyến

chuẩn, tiến trình này được gọi là Routing context. Mỗi VRF sử dụng một Routing

GVHD: TS.Trần Văn Dũng



36



SVTH: Bùi Quang Huy



Đồ án tốt nghiệp

8



Xây dựng mạng riêng ảo VPN Trường T/C nghề Số



context riêng. Bất kì Route nào được học dọc Interface liên kết với một Routing

context nào đó sẽ được nhập vào bảng VRF tương ứng. Nhưng với những Route

không phải thuộc về Routing context VRF nào sẽ được đặt vào bảng định tuyến

global. Điều này cho phép sự cách ly thông tin định tuyến thành những context khác

nhau ngay cả nếu thông tin đó được học bởi cùng một tiến trình giao thức định tuyến.

Tạo ra các giao thức định tuyến thích hợp cho từng VPN một cách hiệu quả. Trong

trường hợp thiết bị CE là host hoặc là switch, địa chỉ này thường được cấu hình trên

Router PE mà thiết bị đó kết nối vào. Nhưng trong trường hợp thiết bị CE là Router,

thì có nhiều cách để Router PE có thể học được các địa chỉ từ Router CE. Router PE

chuyển những địa chỉ này thành địa chỉ VPNv4 bằng cách sử dụng phân biệt tuyến

(RD). Các Route VPNv4 phải được quảng bá dọc phiên MP-BGP đến Router PE

khác. Điều này xảy ra khi Routing context phải được cấu hình trong tiến trình BGP để

thông báo cho BGP biết Route VRF nào quảng bá. Kết nối trên CE và PE có thể thực

hiện thông qua định tuyến tĩnh hoặc định tuyến động (OSPF, EBGP, RIPv2, EIGRP)

để Router PE có thể học được các Route của người dùng và đặt vào bảng VRF tương

ứng. Mỗi Routing context của người dùng nào đó có thể chạy những giao thức định

tuyến khác nhau.



2.5 Khả năng mở rộng và các mô hình MPLS-VPN nâng cao

Để cung cấp dịch vụ mạng riêng ảo dựa trên khối kiến trúc MPLS, MPLS phải đáp

ứng đựơc yêu cầu cung cấp dịch vụ cho người dùng ở nhiều nơi khác nhau. Nó phải

có khả năng truyền thông tin định tuyến từ người dùng này dọc mạng Backbone để

quảng bá cho site người dùng khác cũng thuộc về cùng một VPN. Để đạt được điều

này thì phiên MP-IBGP phải được thiết lập giữa các Router PE. Rõ ràng đây là mô

hình Full-mesh giữa các phiên MP-IBGP.

Trong overlay VPN cũng tương tự như vậy. Nhưng mô hình Full-mesh hoàn toàn

không có khả năng mở rộng vì số lượng phiên MP-IBGP là rất lớn, và càng tăng lên

khi số lượng người dùng VPN tăng lên. Và khi có một Router mới được thêm vào

mạng Backbone của nhà cung cấp thì láng giềng BGP mới này phải thêm vào cấu

hình BGP lõi trên tất cả các Router chạy BGP đã tồn tại trước đó để duy trì mô hình

full-mesh. Đối với mạng có n Router thì kết nối trong mạng là n(n-1)/2 kết nối. Số

lượng phiên BGP phụ thuộc vào nhiều nhân tố, mà nhân tố chính là bộ nhớ trong

Router và tốc độ của CPU. Thực sự thì mô hình Full-mesh có thể vẫn được triển khai

trong những mạng có kích thước khá nhỏ vì bộ nhớ và CPU của Router có thể đáp

ứng được số lượng phiên MP-IBGP. Nhưng khi quan tâm đến vấn đề mở rộng mạng

GVHD: TS.Trần Văn Dũng



37



SVTH: Bùi Quang Huy



Đồ án tốt nghiệp

8



Xây dựng mạng riêng ảo VPN Trường T/C nghề Số



thì ta không nên sử dụng mô hình Full-mesh.

Trong MPLS-VPN sử dụng các kĩ thuật đã có sẵn trong BGP-4 để triển khai mô

hình mạng riêng ảo đảm bảo được khả năng mở rộng là sử dụng tuyến phản xạ (Route

reflector) và confederation. Tuyến phản xạ và confederation trong MPLS-VPN hoạt

động giống như trong BGP-4. Chính nhờ vào hai khả năng trên mà nhà cung cấp có

thể triển khai nhiều mô hình MPLS-VPN phức tạp. Mô hình mạng MPLS-VPN mà ta

đã thảo luận từ trước đến nay chỉ dành cho các site VPN người dùng kết nối đến cùng

một nhà cung cấp dịch vụ dọc kết nối giữa PE và CE, việc trao đổi thông tin định

tuyến dọc những liên kết này không cần có sự tham gia của MPLS, cũng như không

có sự trao đổi trực tiếp nào giữa các site người dùng. Trong trường hợp này, Router

PE duy trì toàn bộ quá trình điều khiển giữa các site với nhau thông qua sự cách ly

giữa các VPN. Trong phần sau ta đi sâu vào thảo luận các mô hình MPLS-VPN phức

tạp hơn, mô hình này cho phép trao đổi thông tin nhãn và các gói tin có gắn nhãn đến

từ các thiết bị nằm ngoài sự điều khiển của nhà cung cấp dịch vụ.

2.5.1 Hệ thống tự trị MPLS-VPN

Hệ thống tự trị (Autonomous system) là một mạng hoặc một nhóm nhiều mạng

chia sẽ cùng một chính sách và hoạt động trong một miền nhất định. AS được điều

khiển bởi nhà quản trị hệ thống. Khi dịch vụ MPLS-VPN lớp 3 đã trở nên phổ biến

hơn, lúc này nó cần phải hỗ trợ kết nối nhiều hệ tự trị khác nhau. Người dùng là

doanh nghiệp lớn thường là sử dụng mô hình AS-Multihomed, vì vị trí địa lý khác

nhau, rất khó đạt được kết nối VPN đầy đủ qua một nhà cung cấp dịch vụ. Ngay cả

nếu kết nối đó có thể đạt được thì trong mô hình mạng này cũng có thể bị chia ra

thành nhiều AS nhỏ hơn. Do đó, dịch vụ MPLS VPN lớp 3 cần phải được mở rộng ra

ngoài một AS. Cho phép một VPN đi qua nhiều mạng Backbone của nhiều nhà cung

cấp dịch vụ. Mỗi nhà cung cấp dịch vụ, quản trị mỗi AS khác nhau, có thể đáp ứng

dịch vụ MPLS-VPN cho cùng một người dùng đầu cuối. Một VPN có thể bắt đầu ở

một site người dùng và di duyển qua nhiều mạng Backbone của nhà cung cấp dịch vụ

khác nhau trước khi đến site khác của cùng người dùng đó. Đặc điểm này cho phép

nhiều AS thành lập một mạng liên tục giữa các site người dùng với của một nhà cung

cấp.

Cho phép một VPN tồn tại trong nhiều vùng khác nhau. Một nhà cung cấp dịch vụ

có thể tạo ra VPN trong nhiều vùng địa lý khác nhau. Và việc có tất cả lưu lượng

VPN chảy qua một điểm giữa các vùng cho phép điều khiển tốc độ lưu lượng mạng

tốt hơn giữa các vùng đó. Sử dụng Confederation để tối ưu IBGP meshing, đáp ứng

GVHD: TS.Trần Văn Dũng



38



SVTH: Bùi Quang Huy