Core network

nh Community attribute: cung cấp các chính sách cho một nhóm các router đi qua một AS. Là thuộc tính không bắt buộc. Hoạt động của BGP: BGP là giao thức định tuyến dạng Path-vector nên việc lựa chọn đường đi tốt nhất thông thường dựa trên một tập hợp các thuộc tính được gọi là Attribute. Do sử dụng metric khá phức tạp, BGP được xem là một trong những giao thức phức tạp. Nhiệm vụ của BGP là đảm bảo thông tin liên lạc giữa các AS, trao đổi thông tin định tuyến và cung cấp thông tin về trạm cuối cho mỗi đích đến. Trong giai đoạn đầu của phiên thiết lập quan hệ BGP, toàn bộ các thông tin routing-update sẽ được gửi. Sau đó, BGP sẽ chuyển sang cơ chế dùng trigger-update. Bất kỳ một thay đổi nào trong hệ thống mạng cũng sẽ là nguyên nhân để gửi trigger-update. So sánh giữa OSPF và BGP: OSPF BGP - Là giao thức kiểu IGP, dạng link state. - Quảng bá thông tin hiện có đến các láng giềng. - Chống loop kém. - Cân bằng tải. - Không biết được topology mạng - Gói tin đi từ nguồn đến đích mà không quan tâm đến policy - Là giao thức kiểu EGP, dạng path vector. - Quảng bá thông tin đến danh sách toàn bộ đường dẫn dến đích. - Có khả năng phát hiện loop và loại bỏ ngay lập tức. - Không cân bằng tải. - Biết được topology của mạng. - Hỗ trợ chính sách định tuyến (policy). Các dịch vụ đi kèm với router biên: DNS (Domain Name System): Định nghĩa: DNS là hệ thống tên miền được phát minh vào năm 1984 cho Internet, là hệ thống cho phép thiết lập tương ứng giữa địa chỉ IP với tên miền. Ta có thể hiểu đơn giản là DNS giống như một “Danh bạ điện thoại”, mỗi một tên tương ứng với một số điện thoại và ngược lại. Ví dụ: tên miền www.cisco.com có địa chỉ IP tương ứng là 198.133.219.25 Cách thức hoạt động: DNS phân giải các tên miền thành các địa chỉ IP tương ứng giúp tạo sự dễ dàng, thuận lợi cho người truy cập mạng. DNS sử dụng một hệ thống phân tầng gồm các DNS Server tạo cơ sở dữ liệu cho việc phân giải các tên miền thành các địa chỉ IP. DNS có khả năng yêu cầu các DNS Server khác hỗ trợ trong việc phân giải tên miền thành địa chỉ IP. DNS Server có khả năng ghi nhớ lại những tên miền vừa phân giải để dùng cho những yêu cầu phân giải lần sau. Số lượng những tên miền phân giải được lưu lại tùy thuộc vào quy mô của từng DNS. Ví dụ: mỗi một website có mọt tên và một địa chỉ IP riêng. Khi mở một trình duyệt web lên và truy nhập tên website, trình duyệt web sẽ gửi yêu cầu lên DNS Server để xin địa chỉ IP tương ứng với tên miền đó. Khi đó DNS Server sẽ dịch tên miền ra địa chỉ IP tương ứng và gửi về cho trình duyệt web. Trình duyệt web sẽ dùng địa chỉ IP mới nhận được này để truy cập đến website cần vào. Các DNS Server hỗ trợ lẫn nhau để dịch địa chỉ Ip thành tên miền và ngược lại. Cấu trúc của gói tin DNS: Một gói tin DNS có dạng: ID QR Opcode AA TC RD RA Z Rcode QDcount ANcount NScount ARcount ID (16 bits): chứa mã nhận dạng. Mã này được tạo ra bởi một chương trình để thay cho truy vấn. Gói tin hồi đáp sẽ dựa vào mã nhận dạng này để hồi đáp lại. Chính vì vậy mà truy vấn và hồi đáp có thể phù hợp với nhau. QR(1 bit): có giá trị là 0 ↔ truy vấn; 1 ↔hồi đáp. Opcode(4 bits): được thiết lập là 0 ↔ cờ hiệu truy vấn; 1 ↔ truy vấn ngược; 2 ↔ tình trạng truy vấn. AA(1bit):nếu gói tin là hồi đáp, nó sẽ đi đến một server có thẩm quyền giải quyết truy vấn. TC(1bit):cho biết gói tin có bị cắt khúc do kích thước vượt quá băng thông cho phép hay không. RD(1bit): cho biết truy vấn muốn server tiếp tục truy vấn một cách đệ quy. RA(1bit):cho biết truy vấn đệ quy có được thực thi trên router hay không. Z(1bit):là trường dự trữ, và được thiết lập là 0. Rcode(4bits): gói tin hồi đáp có thể nhận các giá trị sau: 0: không có lỗi trong quá trình truy vấn. 1: định dạng gói tin bị lỗi, server không hiểu được truy vấn. 2: Server bị trục trặc, không thực hiện hồi đáp được. 3: Tên bị lỗi. Chỉ có Server có đủ thẩm quyền mới có thể thiết lập giá trị này. 4: không thi hành, Server không thể thực hiện chức năng này. 5: Server từ chối thực thi truy vấn. QDcount:số lần truy vấn của gói tin trong một vấn đề. ANcount: số lượng tài nguyên tham gia trong phần trả lời. NScount: số lượng tài nguyên được ghi lại trong các phần có thẩm quyền của gói tin. ARcount: số lượng tài nguyên ghi lại trong phần thêm vào của gói tin. DHCP(Dynamic Host Configuration Protocol): Định nghĩa: Giao thức cấu hình động máy chủ - DHCP – là một giao thức cấu hình tự động địa chỉ IP. Máy tính được cấu hình một cách tự động vì thế sẽ giảm việc can thiệp vào hệ thống mạng. Nó cung cấp một database trung tâm để theo dõi tất cả các máy tính trong hệ thống mạng. Mục đích là để tránh trường hợp hai máy tính khác nhau lại có cùng địa chỉ IP. Nếu không có DHCP, các máy có thể cấu hình IP bằng tay, nhưng sẽ mất nhiều thời gian. Ngoài việc cung cấp địa chỉ IP, DHCP còn cung cấp thông tin cấu hình khác, như DNS. Hoạt động: Đầu tiên, DHCP Client sẽ gửi broadcast gói tin DHCP Discover chứa Mac Address và tên máy tính cho đến khi nhận được trả lời từ DHCP Server. Một DHCP Server sẽ trả lời bằng cách gửi unicast gói tin DHCP Offer chứa các thông tin về địa chỉ IP, subnet mask, default getway, DNS Server,…DHCP Client có thể nhận được nhiều DHCP Offer nếu như có nhiều DHCP Server cùng trả lời. DHCP Client gửi broadcast gói tin DHCP Request để xác định nó đã chọn địa chỉ IP và DHCP Server nào. Cuối cùng, DHCP Server sẽ gửi unicast gói tin DHCP Acknowledge cho DHCP Client để xác nhận toàn bộ quá trình. Cấu trúc của DHCP Message: NAT(Network Address Translation): Định nghĩa: NAT là một kỹ thuật chuyển đổi giữa private address và public address để giải quyết vấn đề IP shortage cũng như giúp các máy tính trong một mạng LAN có thể truy cập Internet bằng địa chỉ IP của ISP. Chức năng: NAT cho phép chia sẻ kết nối internet cho nhiều máy bên trong mạng LAN với một địa chỉ IP của mạng WAN. NAT có thể làm việc như một Firewall. NAT rất linh hoạt và sử dụng dễ dàng trong việc quản lý. Nhờ các ưu điểm trên mà NAT giúp cho các home user và các doanh nghiệp nhỏ có thể tạo kết nối với Internet một cách dễ dàng và hiệu quả cũng như tiết kiệm vốn đầu tư. Hoạt động: Static NAT: Static NAT được thiết kế để ánh xạ một địa chỉ IP này sang một địa chỉ khác, thông thường là từ một địa chỉ nội bộ sang một địa chỉ công cộng và quá trình này được cài đặt thủ công, nghĩa là địa chỉ ánh xạ và địa chỉ được ánh xạ được chỉ định rõ ràng tương ứng duy nhất. Các địa chỉ này được chứa trong bảng NAT Table. Static NAT rất hữu ích trong trường hợp những host cần phải có địa chỉ cố định để truy cập từ Internet. Những host này có thể là những public server: mail server, web server,… Dynamic NAT: khác với Static NAT, đối với Dynamic NAT, các địa chỉ IP được thay đổi liên tục mỗi lần host tạo kết nối ra ngoài. Khi đó, NAT sẽ lưu lại thông tin IP của host này trong NAT Table và khi host này không kết nối nữa thì địa chỉ IP này sẽ được sử dụng để cấp phát cho một host khác có nhu cầu kết nối ra ngoài. Vì vậy, ưu điểm của Dynamic NAT là tất cả các host đều có khả năng kết nối ra ngoài, còn Static NAT thì chỉ có những host được mapping mới có thể kết nối ra ngoài. PAT (Port Address Translation): PAT cung cấp chức năng giống như NAT nhưng PAT cho phép nhiều host có thể kết nối Internet cùng một lúc bằng cách chỉ dùng một địa chỉ IP public address (cho phép gán tới 65536 hosts cho một public address). Vì vậy, PAT được xem là NAT overload. PAT sẽ track và chuyển đổi: Source IP address, Destination IP address và TCP/UDP Source port Number. Nhờ vậy có thể phân biệt được giữa các gói tin của các host và nhiều host có thể kết nối ra ngoài cùng một thời điểm. VPN – dịch vụ mạng riêng ảo(Virtual Private Network): Định nghĩa: VPN là một công nghệ xây dựng một mạng riêng sử dụng hệ thống mạng công cộng (Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm. VPN cho phép các máy tính truyền thông với nhau thông qua một môi trường chia sẻ như mạng Internet nhưng vẫn đảm bảo được tính riêng tư và bảo mật dữ liệu. Ví dụ như nhu cầu truy cập từ xa mạng nội bộ để trao đổi dữ liệu hay sử dụng các ứng dụng ngày càng phổ biến. Thay vì dùng kết nối vật lý thật khá phức tạp(đường dây thuê bao số), dựa vào router, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa. Trước đây, để truy cập từ xa vào hệ thống mạng, người ta thường sử dụng phương thức Remote Access quay số dựa trên mạng điện thoại, gây mất thời gian và không an toàn. Để cung cấp kết nối giữa các máy tính, các gói thông tin được bao bọc bằng một header có chứa những thông tin định tuyến, cho phép dữ liệu có thể gửi từ máy truyền qua môi trường mạng chia sẻ và đến được máy nhận, ví dụ như truyền trên các đường truyền ống riêng được gọi là tunnel. Để đảm bảo tính riêng tư và bảo mật, các gói tin được mã hóa và chỉ có thể giải mã với những khóa thích hợp, ngăn ngừa trường hợp bị mất gói tin trên đường truyền. Phân loại: Có 2 loại được sử dụng phổ biến: VPN truy cập từ xa (Remote- Access) Còn được gọi là mạng Dial-up riêng ảo (VPDN),là một kết nối giữa người dùng đến mạng LAN, để đáp ứng nhu cầu liên lạc mạng riêng từ rất nhiều địa điểm ở xa. Ưu điểm của loại VPN này là cho phép các kết nối an toàn, có mật mã. Ví dụ: Một công ty muốn thiết lập một VPN lớn thì cần phải liên hệ với nhà cung cấp dịch vụ doanh nghiệp (ESP). ESP này tạo ra một máy chủ truy cập mạng NAS và cung cấp cho những người sử dụng từ xa (“văn phòng” tại gia hay nhân viên di động)một phần mềm client cho máy tính của họ. Sau đó, người sử dụng có thể gọi một số miễn phí để liên lạc với NAS và dùng phần mềm VPN client để truy cập vào mạng riêng của công ty đó. VPN điểm nối điểm (Site –to -Site): Là việc sử dụng mật mã dành riêng cho nhiều người để kết nối nhiều điểm cố định với nhau thông qua một mạng công cộng như Internet. Loại này có thể dựa trên Intranet(VPN nội bộ) hay Extranet (VPN mở rộng). Intranet: ví dụ như công ty có một vài địa điểm từ xa muốn tham gia vào một mạng riêng duy nhất, họ có thể tạo ra một VPN nội bộ (Intranet) để nối LAN với LAN. Extranet: ví dụ công ty trên có mối quan hệ mật thiết với một công ty khác (đối tác cung cấp, khách hàng,…) họ có thể xây dựng một VPN mở rộng (Extranet) kết nối LAN với LAN để nhiều tổ chức khác nhau có thể làm việc trên một môi trường chung. Router là thiết bị cung cấp tính năng truyền dẫn, bảo mật được sử dụng trong VPN. Dựa vào hệ điều hành Internet IOS của mình, Cisco đã phát triển loại router thích hợp cho mọi trường hợp, từ truy cập nhà-văn phòng cho đến các doanh nghiệp có quy mô lớn. Bảo mật : Firewall trên router: Firewall cho VPN: Tường lửa là rào chắn vững chắc giữa mạng riêng ảo VPN và Internet. Bạn có thể thiết lập các tường lửa để hạn chế số lượng cổng mở, loại gói tin và giao thức được chuyển qua. Do đó cần cài đặt Firewall thật tốt trước khi thiết lập VPN. (Cisco có sản phẩm tường lửa PIX: trao đổi Internet riêng Private Internet Exchange bao gồm một cơ chế dịch địa chỉ mạng rất mạnh, máy chủ proxy, bộ lọc gói tin, các tính năng VPN và chặn truy cập bất hợp pháp). Mỗi máy tính sẽ có một mật mã truy cập. Khi mã hóa dữ liệu và gửi nó tới một máy tính khác thì chỉ có máy đó mới giải mã được. Mật mã truy cập này được chia làm 2 loại: Mật mã riêng (Symmetric-Key Encryption): mỗi máy tính đều có một mã bí mật để mã hóa gói tin trước khi gửi tới máy tính khác trong mạng. Yêu cầu của mã riêng là bạn cần phải biết mình đang liên hệ với những máy tính nào để có thể cài mã lên đó, để máy tính của người nhận có thể giải mã được gói tin. Mật mã chung (Public-Key Encryption): kết hợp mã riêng với mã công cộng. Mã riêng này chỉ có máy gửi nhận biết, còn mã chung thì do máy gửi cấp cho bất kỳ máy nào muốn liên hệ với nó(một cách an toàn). Để giải mã một message, máy tính phải dùng mã chung được máy tính nguồn cung cấp, đồng thời cũng cần đến mã riêng của nó. Một ứng dụng rất phổ biến của mã chung này là Pretty Good Privacy (PGP), cho phép mã hóa hầu như bất cứ thứ gì. Router làm firewall: Các router của Cisco với hệ điều hành Cisco IOS có hỗ trợ chức năng làm Firewall (gọi là IOS Firewall Feature Set). IOS firewall sẽ hỗ trợ nhiều chức năng như lọc gói tin(IP Filter), Application Filter, stateful inspection, và chức năng proxy. Một stateful Firewall không chỉ kiểm tra các thông tin TCP header, UDP, port,… mà nó còn có khả năng nhớ các chi tiết, các trạng thái của các yêu cầu đó. Chức năng Stateful Firewall không chỉ kiểm tra header mà còn kiểm tra nội dung của gói tin, lên đến tận lớp application. Ví dụ, mỗi khi có một kết nối TCP/UDP được thiết lập, thông tin về trạng thái kết nối được đưa vào bảng stateful trong router. Khi hệ thống bên ngoài trả lời lại các yêu cầu, Firewall sẽ kiểm tra gói tin nhận được với bảng trạng thái đã lưu giữ để xác định gói tin đó có được phép đi vào mạng hay không. Ưu điểm của Firewall trên router so với ACLs: Hoạt động trên cả gói tin và trên kết nối. Có hiệu suất cao hơn các chức năng thông thường như ACL hay Authen proxy. Lưu trữ thông tin cho mọi phiên giao dịch trong một bảng. bảng này sẽ giúp xác định một gói tin có thuộc về một kết nối hợp lệ hay là từ một nguồn bất hợp lệ. ACL (Access Control List): ACL là một danh sách các câu lệnh được áp đặt vào các cổng của router. Danh sách này chỉ ra cho router biết loại packet nào sẽ được chấp nhận(permit) và loại packet nào sẽ bị hủy bỏ(deny). Khi một gói tin đi vào một interface của router, nó sẽ lấy thông tin trong phần header của gói tin ra để kiểm tra xem interface này có được cấu hình ACL (inbound interface) hay không. Nếu có thì gói tin sẽ được kiểm tra đối chiếu với những điều kiện trong danh sách của nó. Nếu gói tin bị ngăn chặn(deny), nó sẽ bị drop ngay lập tức. Còn nếu gói tin đó được cho phép, nó sẽ được kiểm tra trong bảng routing table để quyết định chọn interface nào để đến đích. Tiếp đó, router sẽ kiểm tra xem outbound interface có được cấu hình ACL hay không. Nếu không thì packet sẽ được gửi tới mạng đích. Còn nếu có ACL được cấu hình thì nó sẽ kiểm tra đối chiếu với những điều kiện có trong danh sách ACL đó. Quá trình lọc các packet này được thực hiện dựa vào các địa chỉ nguồn, địa chỉ đích của gói tin hoặc dựa vào chỉ số port tương ứng với các giao thức của các lớp trên. Ưu điểm của ACL: Tiết kiệm băng thông và làm tăng performance của mạng. Điều khiển lưu thông. Đảm bảo tính bảo mật cho lớp access network. Cho phép admin có thể điều khiển được sự truy cập của các users. Phân loại: có 2 loại chính: Standard ACLs: (access- list – number từ 1-99 và 1300-1999) Dựa vào địa chỉ IP nguồn (source IP address) để quyết định permit hay deny gói tin, không quan tâm đến địa chỉ đích đến cũng như các ports. Extended ACLs : (access-list-number từ 100-199 và 2000-2699) Permit hay deny một gói tin trong một giao thức cụ thể nào đó. Lọc các gói tin dựa vào một vài thuộc tính: Địa chỉ nguồn và đích, source or destination of TCP, UDP ports, port number hoặc service. Ngoài ra còn có Dynamic ACLs (Lock and Key), Reflexive ACLs, Time-based ACLs. Những chú ý khi áp dụng ACLs: Vì những câu lệnh trong ACL được trình bày theo thứ tự từ trên xuống dưới nên phải chắc chắn rằng thứ tự này là đúng. Phải đảm bảo permit/deny đúng giao thức. Phải kiểm tra việc áp dụng ACL có đúng interface và đúng hướng vào-ra hay không. Hạn chế của ACLs: Không chống được kiểu tấn công IP Spoofing. Một gói tin nào đó có thể đi qua router mà không bị ACL chặn lại. Không lọc được các gói tin bị phân mảnh (fragmented packet). Một vài dịch vụ sử dụng port động nên không thể bị lọc. Chuyển đổi giữa Ipv4 và Ipv6: Vì sao lại phải có sự chuyển đổi này? Ipv4 với 32bits địa chỉ, có thể hỗ trợ cho 4,3 tỉ kết nối Internet sắp cạn kiệt, trong khi số địa chỉ Ipv6 gấp 296 lần con số 4,3 tỉ chỉ đang phát triển. Ưu điểm của Ipv6: Tăng không gian địa chỉ lên 128 bits thay vì 32bits như Ipv4. Định tuyến hiệu quả hơn: Ipv6 được thiết kế để tạo ra cơ sở định tuyến phân cấp hiệu quả và có khả năng tập hợp lại. Do đó, các bảng định tuyến trên các router trên mạng backbone sẽ gọn hơn. Tự động cấu hình địa chỉ: Ipv6 còn hỗ trợ thêm khả năng cấp địa chỉ Ip tự động khi không có DHCP Server bằng cách sử dụng Ipv6 Prefix nhận được từ router, hay nếu trong mạng không có router thì host cũng sẽ tự động cấu hình địa chỉ link local để liên lạc với các host khác. Mở rộng dễ dàng: IPv6 có phần header mở rộng nằm ngay sau phần Ipv6 header cho phép thêm vào các chức năng mới khi yêu cầu. Hỗ trợ di động tốt hơn: Ipv6 có 4 tính năng(home address, care-of address, binding, home agent) hoàn toàn mới hỗ trợ cho thiết bị di động( Ipv4 không có). Bảo mật: Ipv6 hỗ trợ khả năng bảo mật IPSec (tích hợp bảo mật vào trong kiến trúc với 2 header: Authentication header (AH) và Encrypted Security Payload(ESP) – có thể sử dụng một trong 2 hoặc cả 2 để tăng cường chức năng bảo mật). Cơ chế chuyển đổi: Dual IP layer: cơ chế này đảm bảo một Host/router được cài đặt cả hai giao thức Ipv4 và Ipv6 ở Internet layer trong mô hình phân lớp TCP/IP(Dual Stack). Ipv6 Tunneling over Ipv4 (công nghệ đường hầm): cơ chê này thực hiện đóng gói tin Ipv6 vào một gói theo chuẩn giao thức Ipv4 để có thể chuyển gói tin qua mạng Ipv4 thuần túy. Trong trường hợp này, mạng xem như đó là một gói tin Ipv4 bình thường. Công nghệ đường hầm là một phương pháp sử dụng cơ sở hạ tầng sẵn có của mạng Ipv4 để thực hiện các kết nối Ipv6 bằng cách sử dụng các thiết bị mạng có khả năng hoạt động dual-stack tại hai điểm đầu và cuối nhất định. Các thiết bị này bọc gói tin Ipv6 trong gói tin Ipv4 và truyền tải đi trong mạng Ipv4 tại điểm đầu và gỡ bỏ gói tin Ipv4, nhận lại gói tin Ipv6 ban đầu tại điểm đích cuối đường truyền Ipv4. Chương 2 : SWITCH GIỚI THIỆU TỔNG QUAN VỀ SWITCH 1.Giới thiệu Switch layer 2 Switch là một thiết bị Lớp 2 được sử dụng để tăng băng thông và giảm nghẽn mạch. Switch có thể phân đoạn mạng LAN thành các đoạn mạng siêu nhỏ. Là một thiết bị lớp 2 nên LAN switch có thể phân nhiều miền đụng độ nhưng tất cả các Host kết nối vào Switch vẫn nằm trong cùng một miền quảng bá. Switch layer 3 Switch layer 3 là 1 loại Switch layer 2 nhưng có thêm tính năng route và routing (như 1 Router) hay chúng ta cứ mường tượng nó là 1 con router bình thường nhưng có tích hợp thêm nhiều port LAN. Switch layer 3 hoạt động nhanh hơn 1 router khi cùng thực hiện 1 công việc giống nhau như chuyển gói tin từ nguồn đến đích. Vì routers phải chuyển gói tin lên lớp 3 (network) để xem địa chỉ đích mà gói tin đến sau đó sẽ xuất ra đúng port cho nên sẽ mất nhiều thời gian và quá trình xử lý gói tin hơn so với switch layer 3. Switch layer 3 chỉ chuyển gói tin đầu tiên lên lớp 3(network) để xem địa chỉ đích và các gói tin còn lại sẽ được truyền đi ở lớp 2,cơ chế này được thong qua giao thức cut-through. So với router, switch layer 3 hoạt động nhanh hơn vì vậy thời gian trễ thấp. Switch layer 3 chuyển gói tin dựa vào địa chỉ IP,vì là hoạt động ở lớp 3 nên sẽ ngăn chặn các gói tin quảng bá, chọn đường đi tốt nhất cho gói dữ liệu và xuất ra cổng tương ứng, giúp phân luồng lưu lượng mạng… II. Vai trò của Switch : Trong mô hình phân lớp, switch có thể hoạt động ở cả 3 lớp Access, Distribution và Core. Ở mỗi lớp, switch thực hiện các chức năng khác nhau tùy theo hệ thống mạng: Ở lớp Access : Mạng LAN Mạng của nhà ISP Cung cấp kết nối vào mạng cho các thiết bị cuối như Laptops, IP phones, PCs, Printers,… Cung cấp kết nối vào mạng của nhà ISP cho các thuê bao, doanh nghiệp,… cho phép các thiết bị trong mạng nội bộ của họ kết nối vào mạng WAN hay Internet. Ở lớp Distribution : Thực hiện tập trung lưu lượng ở lớp Access (link aggregation), giúp tránh hiện tượng nút cổ chai. Kiểm soát lưu lượng với các chính sách bảo mật và định tuyến. Forward các gói tin nhận được dựa trên các virtual circurt (Frame Relay, ATM,…), các đường chuyển mạch kênh và chuyển mạch gói. Định nghĩa các vùng broadcast domains. Định tuyến giữa các VLAN. Cung cấp các đường kết nối dự phòng (sử dụng STP để chống loop) Ở lớp Core : Thực hiện chuyển tiếp với tốc độ cao, ổn định. III.Đặc tính của Switch cơ bản CSMA/CD (Carrier Sense Multiple Access / Collision Detection) Carrier Sense ( phát hiện sóng mang) Trong hệ thống truy cập CSMA/CD, tất cả các thiết bị lắng nghe trên đường truyền Ethernet trước khi được phép truyền tín hiệu. Nếu thiết bị Ethernet phát hiện có thiết bị khác đang truyền dữ liệu thì nó sẽ đợi để truyền. Khi không phát hiện giao thông trên đường truyền, thiết bị sẽ truyền thông tin. Trong khi truyền tin, thiết bị tiếp tục lắng nghe xem có xảy ra va chạm hoặc đụng độ trên mạng LAN hay không. Sau khi thông tin dữ liệu được gửi đi, thiết bị gửi trở lại chế độ lắng nghe cho lần truyền tin sau. Collision Detection(phát hiện đụng độ) Khi một thiết bị ở chế độ lắng nghe,nó có thể phát hiện khi xảy ra va chạm đụng độ trên đường truyền chia sẽ. Khi xảy ra đụng độ, những thiết bị khác ở chế độ lắng nghe, còn những thiết bị đang truyền dữ liệu nhận biết có sự gia tăng tín hiệu. Khi đụng độ được phát hiện, những thiết bị đang truyền thông tin sẽ gửi ra một tín hiệu trì hoãn. Tín hiệu trì hoãn này thông báo cho các thiết bị khác biết rằng đang có đụng độ xảy ra, vì vậy mỗi thiết bị sẽ chờ một thời hạn ngẫu nhiên được cài đặt trên từng thiết bị. sau thời hạn này, các thiết bị lại trở về trạng thái lắng nghe. Khi kết nối một thiết bị vào một port của Switch, Switch sẽ tạo một kết nối riêng biệt với trọn băng thông cho máy đó. Kết nối này là một miền đụng độ riêng. Switch xây dựng bảng chuyển mạch bằng cách học địa chỉ MAC của các host kết nối trên mỗi port của Switch. Khi 2 host kết nối vào Switch muốn liên lạc với nhau, Switch sẽ tìm trong bảng chuyển mạch của nó và thiết lập kết nối ảo giữa 2 port của 2 host đó. Kết nối này được duy trì cho đến khi phiên giao dịch kết thúc. Switch và miền quảng bá. Miềnđụng độ: Miền quảng bá: Mặc dù Switch lọc hầu hết các frames dữ liệu thông qua địa chỉ MAC nhưng chúng không lọc các frame quảng bá. một tập hợp các Switch như vậy được gọi là một broadcast domain ( miền quảng bá). Chỉ những thiết bịở lớp 3 như một router hoặc 1 mạng LAN ảo (VLAN) mới có thể ngăn chặn miền quảng bá và cả miền đụng độ Switch là thiết bị lớp 2. Khi Switch nhận 1 frame broadcast, nó sẽ chuyển tiếp gói frame đó ra mỗi port trừ port nó nhận vào. Mỗi thiết bị nhận được gói tin quảng bá nàyđều phải xử lý thông tin nằm trong đó. Điều này làm giảm hiệu suất hoạt dộng của mạng vì tốn băng thông, các thiết bị phải nhận và xử lý chúng. IV. Hoạt động của Switch 1. Chức năng của Switch Switch tập trung các kết nối và quyếtđịnh chọn đường dẫn để chuyển dữ liệu hiệu quả. Frame được chuyển mạch từ port nhận vào và đến port phát ra. mỗi port là một kết nối cung cấp toàn bộ băng thông cho host. Để chuyển frame hiệu quả giữa các port, Switch xây dựng một bảngđịa chỉ. Khi Switch nhận vào một frame, nó sẽ ghi lạiđịa chỉ MAC của máy gửi tươngứng với port mà nó frame vào. Đặcđiểm chính của Ethernet Switch: - Tách biệt giao thông trên từng segment. - Tăng nhiều hơn lượng băng thông dành riêng cho mỗiuser bằng cách tạo miềnđụng độ nhỏ hơn. 2. Cách học địa chỉ của Switch Switch là một thiết bị thông minh vì nó quyếtđịnh chuyển frame theo địa chỉ MAC. Để thực hiệnđiều này, Switch xây dựng một bảngđịa chỉ. Khi Switch bắt đầu được bật lên, Switch sẽ gửi một gói tin quảng bá cho mọi máy trạm trong segment kết nối vào nó để yêu cầu các máy nhận trả lời. Khi các máy trạm trả lời thông điệp quảng bá, Switch sẽ ghi lạiđịa chỉ của các máy vào bảngđịa chỉ của mình. Quá trình này được gọi là quá trình họcđịa chỉ. Switch học địa chỉ theo cách sau: - Đọcđịa chỉ MAC nguồn trong mỗi frame nhận được. - Ghi lại số port mà Switch học đượcđịa chỉ của thiết bị kết nối vào port nào của Switch. - Địa chỉ học được và số port tươngứng sẽ được trong bảngđịa chỉ. Switch sẽ kiểm tra địa chỉđích nằm trong frame nhận được rồi dò tìmđịa chỉđích này trong bảngđịa chỉ để tìm port tươngứng. 3.Quá trình chuyển mạch của Switch Có 3 chếđộ chuyển mạch của Switch: Fast-forward: Switch đọcđược địa chỉ của Frame là bắtđầu chuyển frame đi luôn mà không cần chờ nhận toàn bộ hết frame. Như vậy, frame được chuyểnđi trước khi nhận hết toàn bộ frame. Vì vậy, thời gian trễ thấp xuống nhưng khả năng phát hiện lỗi kém. Store and forward: switch nhận toàn bộ frame rồi mới bắtđầu chuyển frame đi. Switch đọcđịa chỉ nguồn, địa chỉđích và thực hiện lọc bỏ frame nếu cần rồi mới quyếtđịnh chuyển frame đi. thời gian Switch nhận frame sẽ gây ra thời gian trễ lớn nhưng như vậy thì Switch mớiđủ thời gian kiểm tra lỗi của frame nên khả năng phát hiện lỗi cao hơn. Fragment-free: nhận hết 64 byte đầu tiên rồi mới chuyển frame đi. Fragment-free là 1 dạng cải biên của chuyển mạch cut-through. Switch có thể đưa ra các quyết định chuyển mạch dựa vào : MAC Address, số DLCI (Frame Relay), VPI/VCI (ATM), nhãn (MPLS),… 4. Độ trễ mạng : Độ trễ là khoảng thời gian mà một frame hoặc một gói tin di chuyển từ máy nguồn đến máy đích. Những user truy cập mạng sử dụng cácứng dụng họ sẽ cảm nhận được độ trễ của mạng khi họ phải chờ nhiều thời gian để truy cập vào cơ sở dữ liệu được lưu giữ tại một trung tâm dữ liệu hoặc khi một trang web cần nhiều thời gian để load chương trình về. Có 3 dạng trễ: Đầu tiên: trễ là do thời gian cần thiết để một NIC nguồnđưa những xung điện vào đường dây và thời gian để NIC đích chuyển đổi những xung đó. Khoảng thời gian này gọi là độ trễ NIC. Thông thường khoảng 1 micro giây cho 1 NIC 10BASE-T. Thứ hai:Độ trễ do sự lan truyền thực tế của tín hiệu. Một tín hiệu cần có một khoảng thời gian lan truyền trong cáp. Thông thường, mất khoảng 0.556 micro giây/100 mét cho loại cáp CAT 5 UTP. . Cáp càng dài thì theo tốc độ thực tế dẫn truyền sẽ có độ trễ nhiều hơn nửa. Thứ ba: trễ là do mắc thêm nhiều thiết bị trên đường dẫn giữa hai thiết bị. Tùy theo từng thiết bị sẽ có độ trễ khác nhau. V. Các giao thức và cơ chế hỗ trợ Switch : Spanning Tree Protocol(STP): Các switch ở lớp Distribution và Core có vai trò quan trọng trong hệ thống mạng, yêu cầu phải luôn available 24/24. Do đó, giữa các switch này luôn có các đường dự phòng (Redundant) để đề phòng khi 1 đường kết nối bị hư thì sẽ có đường khác thay thê. Khi có nhiều đường dự phòng dễ dẫn đến hiện tượng loop và 1 số lỗi khác kèm theo như : Broadcast Storms, Duplicate Unicast Frames. Bằng cách chỉ cho 1 đường kết nối trong trạng thái forwarding còn các đường dự phòng khác ở trạng thái blocking (không forward frames) và khi đường chính bị hư thì 1 trong số các đường dự phòng sẽ chuyển sang trạng thái forwarding, STP ngăn loop và các lỗi có liên quan khi sử dụng các đường dự phòng. Chia VLAN : VLAN(hay virtual LAN) là một kỹ thuật cho phép tạo lập các mạng LAN độc lập một cách logic trên cùng một kiến trúc hạ tầng vật lý. Việc tạo lập nhiều mạng LAN ảo trong cùng một mạng cục bộ (giữa các khoa trong một trường học, giữa các cục trong một công ty,...) giúp giảm thiểu vùng quảng bá (broadcast domain) cũng như tạo thuận lợi cho việc quản lý một mạng cục bộ rộng lớn. Vlan Trunking Protocol (VTP) : VTP cho phép nhà quản lí mạng cấu hình một switch để có thể cấu hình cho các switch khác trong mạng. Switch có thể được cấu hình trong vai trò của một VTP server hay một VTP client. VTP chỉ học về normal-range VLAN (VLAN IDs 1 to 1005). Extended-range VLANs (IDs lớn hơn 1005) thì không hỗ trợ VTP. Inter VLAN : Giúp cho việc giao tiếp giữa các VLAN khác nhau sử dụng các đường trunk, các chuẩn đóng gói như 802.1q và ISL. Layer 3 Forwarding Một switch layer3 có khả năng rout transmissions giữa VLANs. thủ tục giống như giao tiếp inter-VLAN sử dụng một router riêng, ngoại trừ SVIs hoạt động như router interfaces cho việc routing dữ liệu giữa các VLAN Các cơ chế chuyển mạch Packet-switching and circuit-switching Packet-switching and circuit-switching sử dụng hai kỹ thuật khác nhau trong việc vận chuyển thông tin từ nơi này đến nơi khác trong hệ thống mạng. Circuit Switching Đặc điểm: Kết nối được dành riêng. Không chia sẽ băng thông. Đảm bảo chất lượng kết nối. Sử dụng hai kỹ thuật ghép kênh : TDM và FDM Hạn chế: Không tối ưu hóa băng thông. Packet Switching Thông tin được chia thành từ gói nhỏ (packet) Chia sẽ băng thông. Có sự tranh chấp tài nguyên Tắc nghẽn Store & Forward Hạn chế: Thời gian thực. ATM & Frame Relay Giới thiệu khái quát về ATM Thực trạng các mạng viễn thông hiện tại Tồn tại một cách riêng lẽ ( mạng Telex, mạng điện thoại công cộng (POTS), mạng truyền số liệu…) Chỉ truyền được các dịch vụ độc lập tương ứng từng mạng. Thiếu hiệu quả trong việc bảo dưỡng, vận hành cũng như sử dụng. Không thể chia sẽ tài nguyên có trong cùng một mạng không thể chia sẽ cho các mạng khác cùng sử dụng. Sự ra đời của hệ thống viễn thông mới B-ISDN ISDN là gì ? ISDN (integrated Services Digital Network) là tập hợp các giao thức nhằm kết hợp mạng điện thoại số và dịch vụ truyền dữ liệu. ISDN cho phép tất cả các thông tin thoại, data và video có thể truyền qua một đường dây thuê bao (subscriber line) với tốc độ cao và chất lượng tốt. Mạng B-ISDN (Broadband Integrated Services Digital Network) Xu hướng của các dịch vụ ngày nay và trong tương lai là các yêu cầu dịch vụ băng thông rộng đang tăng lên (HDTV, video conference…). Sự cần thiết phải tổ hợp các dịch vụ phụ thuộc lẫn nhau ở chuyển mạch kênh và chuyển mạch gói vào một mạng băng thông rộng duy nhất. Cần thiết phải đảm bảo tốc độ truyền, chất lượng dịch vụ, kinh tế… Mạng B-ISDN ra đời nhằm đáp ứng các điều kiện trên mà mạng băng thông hẹp N.ISDN không đáp ứng được. Quá trình tiến tới mạng B-ISDN hiện tại có thể xem như có 2 hướng: Từ các mạng điện thoati5 tiến tới xay dựng mạng số đa dịch vụ tích hợp ISDN rồi tiến tới B-ISDN. Từ các mạng Frame-Relay rồi mạng truyện dẫn không đồng bộ ATM để làm nền tản cho B-ISDN. Hiện nay, ở Việt Nam mới có mạng truyền số liệu chuyển mạch gói theo tiêu chuẩn X.25 đang được khai thác. Mạng truyền liệu này chỉ có thể phục vụ cho các nhu cầu truyền số liệu tốc độ thấp nhưng nó có tính an toàn cao, khắc phụ được những điểm yếu của một mạng truyền dẫn chất lượng thấp. Với công nghệ truyền dẫn như hiện nay, vấn đề nâng cấp chất lượng các đường truyền dẫn không còn quá phức tạp như trước. Vì vậy, chúng ta có thể chọn hướng phát triển là xây dụng mạng truyền số liệu theo Frame-Relay và tiến tới xây dựng mạng ATM Frame-Relay 1.1 Frame Relay là gì ? Frame Relay là một dịch vụ truyền số liệu mạng diện rộng dựa trên công nghệ chuyển mạch gói. Đây là một tiêu chuẩn của CCITT (consultative committee for international Telegraph and telephone) và ANSI (american national standard institude) định ra quá trình truyền dữ liệu qua mạng dữ liệu công cộng. Frame Relay phụ vụ cho khách hàng có nhu cầu kết nối các mạng diện rộng và sử dụng các dịch vụ với tốc độ kết nối cao mà ở các công nghệ cũ hơn như chuyển mạch kênh và chuyển mạch gói không thể tạo ra. 1.2 Đặc điểm Frame-Relay thực hiện các kỹ thuật chuyển mạch ở lớp 2 và nó chia dữ liệu thành từng đơn vị có kích thước không cố định gọi là Frame. Một số chức năng ở tầng này cũng được loại bỏ như các tham số về ACK, NAK… nhằm làm giảm độ trể mạng. Dạng gói dữ liệu Frame-Relay Trong bài viết này, chúng tôi không trình bày lại toàn bộ các tham số và các thông tinn về cấu trúc chi tiết của gói tin kiểu Frame-Relay mà chỉ tập trung và các tham số tạo ra sự khác biệt của công nghệ này để giải quyết các vấn đề quan trọng nhất trong việc xây dựng mạng truyền số liệu. Đó là các tham số liên quan đến việc xử lý tắc nghẽn và việc thiết lập các kênh logic để truyền số liệu. Tham số liên quan đến việc xử lý tắc nghẽn chính là: FECN và BECN (giải thích) Việc thiết lập các kênh logic Kênh ảo cố định PVC (Permanent Virtual Circuit) Kênh ảo chuyển mạch (Switched Virtual Circuit) Kênh ảo nối đa điểm MVC (Multicast Virtual Circuit) Công nghệ Sử dụng khe thời gian cố định Độ trể Thông lượng X.25 Không Lớn Thấp TDM Có Rất nhỏ Cao Frame-Relay Không Nhỏ Cao Kết luật ATM ATM là gì ? ATM ( Asynchronous Time Division) là phức thức truyền tin trong đó thông tin được chia thành nhiều gói nhỏ (tế bào) có chiều dài không thay đổi gọi là các tế bào tin. Vì sao ATM lại chọn phương thức truyền tin không đồng bộ ? Vì sao ATM sử dụng các tế bào có nhỏ có độ dài cố định ? Ưu điểm: Mềm dẻo và phù hợp với các dịch vụ của tương lai. Có hiệu quả trong việc sử dụng tài nguyên. Sử dụng một mạng duy nhất cho tất cả các dịch vụ Cấu trúc phân lớp trong mạng ATM Cấu trúc tế bào ATM Header (5 bytes): thông tin chứa trong Header giúp cho việc tìm đường của các ATM cell qua mạng. Payload (48 bytes): chứa data của người sử dụng và các tín hiệu điều khiển tương ứng. Phần Header của ATM có 2 dạng: Tế bào truyền trên giao diện UNI Các tế bào truyền giữa các nút mạng NNI Đặc điểm các trường trong cấu trúc tế bào Số hiệu nhận dạng kênh ảo VCI( Virtual Channel Identifier) Số hiệu nhận dạng đường ảo VPI (Virtual Path Identifier) Giải thích Chương 3 : MPLS Khái quát MPLS: MPLS là gì : MPLS là một framework do IETF đưa ra , cung cấp thiết kế hiệu quả cho việc định tuyến, chuyển tiếp, chuyển mạch cho luồng lưu lượng qua mạch. Chức năng của MPLS : Định quá trình quản lý lưu lượng luồng của các mạng khác nhau, như luồng giữa các máy, phần cứng khác nhau hoặc thậm chí luồng giữa các ứng dụng khác nhau. Duy trì sự độc lập của giao thức lớp 2 và lớp 3. Cung cấp cách thức để ánh xạ các địa chỉ IP thành các nhãn đơn giản có độ dài không đổi được sử dụng bởi các công nghệ chuyển tiếp gói và chuyển mạch gói khác nhau. Giao diện chung đối với các giao thức định tuyến như RSVP và OSFP. Hỗ trợ IP, ATM, Frame Relay. Lợi ích của MPLS : MPLS mang lại nhiều lợi ích như : Kỹ thuật lưu lượng : Cung cấp các khả năng thiết lập đường truyền mà lưu lượng sẽ truyền qua mạng và khả năng thiết lập chất lượng cho các cấp độ dịch vụ (CoS) và chất lượng dịch vụ (QoS) khác nhau. MPLS là sự phát triển chủ yếu trong các công nghệ Internet mà hỗ trợ việc bổ sung các khả năng cần thiết cho mạng IP ngày nay. Cung cấp IP dựa trên các mạng riêng ảo : Bằng việc sử dụng MPLS, các nhà cung cấp dịch vụ có thể cung cấp đường hầm IP đi qua mạng của họ mà không cần thiết mã hoá hay các ứng dụng đầu cuối-người sử dụng. Loại bỏ cấu hình đa lớp : Thông thường, phần lớn các nhà điều hành mạng cung cấp mô hình chồng lấn mà ATM được sử dụng tại lớp 2 và IP được sử dụng tại lớp 3. Bằng việc sử dụng MPLS, các nhà điều hành mạng có thể mang chức năng của mặt điều khiển ATM vào lớp 3, do đó sẽ làm đơn giản hóa mạng và việc quản lý mạng. Tuyến hiện : Một đặc điểm chính của MPLS là sự hỗ trợ của nó đối với các Các đường chuyển mạch nhãn được định tuyến sẵn hiệu quả hơn so với tuỳ chọn tuyến nguồn trong IP. Chúng cũng có thể cung cấp một vài chức năng cần thiết cho kĩ thuật lưu lượng. Hỗ trợ đa liên kết và đa giao thức : Thành phần chuyển tiếp chuyển mạch nhãn là không xác định với một lớp mạng cụ thể. Ví dụ cùng một thành phần chuyển tiếp cũng có thể được sử dụng khi đang thực hiện chuyển mạnh nhãn với IP cũng như IPX. Chuyển mạch nhãn cũng có thể hoạt động ảo trên mọi giao thức liên kết dữ liệu thông qua ATM Các thành phần trong MPLS : Các thành phần của MPLS: Khái quát phương thức hoạt động của MPLS Ở router biên của mạng, khi gói tin đi vào nó được ấn định vào một FEC một lần duy nhất. FEC mà gói tin được ấn định mã hoá thành nhãn có độ dài cố định. Nhãn được gửi theo gói tin khi gói tin đi tới Hop tiếp theo, như vậy các gói tin dán nhãn trước khi chúng được gửi chuyển tiếp. Tại các Hop phía sau, nhãn được dùng để nó xác định Hop tiếp theo và nhãn mới. Nhãn cũ được thay thế bằng một nhãn mới và gói tin được gửi tới Hop tiếp theo. Hop tiếp theo lại dùng nhãn nhận được để xác định Hop tiếp theo và nhãn mới cho gói tin nó nhận được. Cứ như vậy, gói tin lần lượt được gửi qua các router trong mạng. Tất cả công việc gửi chuyển tiếp được điều khiển bằng các nhãn. Đến router biên ở đầu ra, nhãn được gỡ bỏ và gói tin sẽ được định tuyến đi ra ngoài mạng MPLS dựa vào các thông tin về địa chỉ IP đích có trong gói tin. MPLS là chuyển mạch nhãn đa giao thức, đa giao thức ở đây có nghĩa là các công nghệ của nó có thể áp dụng trong bất cứ giao thức lớp mạng nào như IP, IPX… Các khái niệm cơ bản của mạng MPLS Nhãn (Lable): Nhãn là một thực thể có độ dài ngắn và cố định không có cấu trúc bên trong. Nhãn không trực tiếp mã hoá thông tin của mào đầu lớp mạng như địa chỉ mạng. Nhãn được gắn vào một gói tin cụ thể sẽ đại diện cho một FEC (Forwarding Equivalence Classes) mà gói tin được ấn định. Thường thì một gói tin được ấn định một FEC (hoàn toàn hoặc một phần) dựa trên địa chỉ đích lớp mạng của nó. Tuy nhiên nhãn không phải là mã hoá của địa chỉ đó. Nhãn trong dạng đơn giản nhất xác định đường đi mà gói tin có thể truyền qua. Nhãn được mang hay được đóng gói trong tiêu đề lớp 2 cùng với gói tin. Bộ định tuyến kiểm tra các gói tin qua nội dung nhãn để xác định các bước chuyển kế tiếp. Khi gói tin được gán nhãn, các chặng đường còn lại của gói tin thông qua mạng đường trục dựa trên chuyển mạch nhãn. Giá trị nhãn chỉ có ý nghĩa cục bộ nghĩa là chúng chỉ liên quan đến các bước chuyển tiếp giữa các LSR. Dạng của nhãn phụ thuộc vào phương thức truyền tin mà gói tin được đóng gói. Kiểu khung (Frame mode): Kiểu khung là thuật ngữ khi chuyển tiếp một gói nhãn gán trước tiêu đề lớp ba. Một nhãn được mã hoá với 20 bỉt, nghĩa là có thể có 2 mũ 20 giá trị khác nhau. Một gói có nhiều nhãn gọi là chồng nhãn (Lable stack). Ở mỗi chặng trong mạng chỉ có một nhãn bên ngoài được xem xét. LABLE EXP S TTL STACK LABLE=20 bits EXP (EXPERIMENTAL)=3 bits S (BOTTOM OF STACK)=1 bit TTL (TIME TO LIVE)=8 bits Trong đó: EXP: dành cho thực nghiệm. Khi các gói tin xếp hàng có thể dùng các bít này tương tự như các bit IP ưu tiên (IP Precedence) S: là bít cuối chồng . Nhãn cuối chồng bit này được thiết lập lên 1,các nhãn khác có giá trị bít này là 0. TTL: thời gian sống là bản sao của IP TTL. Giá trị của nó được giảm tại mỗi chặng để tránh lặp như IP. Thường dùng khi người điều hành mạng muốn che dấu cấu hình mạng bên dưới khi tìm đường từ mạng bên ngoài. Kiểu tế bào (Cell mode): Thuật ngữ này dùng khi có một mạng gồm các ATM LSR dùng trong mặt phẳng điều khiển để trao đổi thông tin VPI/VCI thay vì dùng báo hiệu ATM. Trong kiểu tế bào, nhãn là trường VPI/VCI của tế bào. Các ATM LSR ở phía trong hoạt động như chuyển mạch ATM-chúng chuyển tiếp một tế bào dựa trên VPI/VCI vào và thông tin cổng ra tương ứng. Cuối cùng, router cổng ra sắp xếp các tế bào thành một gói. Kiểu khung PPP hoặc Ethernet: giá trị nhận dạng giao thức P-ID (hoặc Ethernet type) được chèn vào mào đầu khung tương ứng để thông báo khung là MPLS đơn hướng hay đa hướng. Hình 1.1: Lớp liên kết dữ liệu là ATM Hình 1.2: Lớp liên kết dữ liệu Frame-relay Nhãn trong Shim-giữa lớp 2 và lớp 3 Ngăn xếp nhãn (Lable stack): Là một tập hợp thứ tự các nhãn gán theo gói để chuyển tải thông tin về nhiều FEC và về các LSP tương ứng mà gói đi qua. Ngăn xếp nhãn cho phép MPLS hỗ trợ định tuyến phân cấp (một nhãn cho EGP và một nhãn cho IGP) và tổ chức đa LSP trong một trung kế LSP. Điều này tạo điều kiện thuận lợi cho chế độ hoạt động đường hầm Bộ định tuyến chuyển mạch nhãn ( LSR-Lable Switching Router ): Là thiết bị chuyển mạch hay thiết bị định tuyến sử dụng trong mạng MPLS để chuyển các gói tin bằng thủ tục phân phối nhãn. Có một số loại LSR như LSR, LSR-ATM…. Lớp chuyển tiếp tương đương ( FEC-Forward Equivalence Class ): FEC là một nhóm các gói, nhóm các gói này chia sẻ cùng yêu cầu trong sự chuyển tiếp chúng qua mạng. Tất cả các gói trong một nhóm như vậy được cung cấp cùng cách chọn đường tới đích. Khác với chuyển tiếp IP truyền thống, trong MPLS việc gán một gói cụ thể vào một FEC cụ thể chỉ được thực hiện một lần khi các gói vào trong mạng. MPLS không ra quyết định chuyển tiếp với mỗi datagram lớp 3 mà sử dụng khái niệm FEC. FEC phụ thuộc vào một số các yếu tố, ít nhất là phụ thuộc vào địa chỉ IP và có thể là phụ thuộc cả vào kiểu lưu lượng trong datagram (thoại, dữ liệu, fax…). Sau đó dựa trên FEC, nhãn được thoả thuận giữa các LSR lân cận từ lối vào tới lối ra trong một vùng định tuyến. Cơ sở thông tin nhãn ( LIB-Lable Information Base ): Là bảng kết nối trong LSR có chứa giá trị nhãn/ FEC được gán vào cổng ra cũng như thông tin về đóng gói dữ liệu truyền tin để xác định phương thức một gói tin được chuyển tiếp. Tuyến chuyển mạch nhãn ( LSP-Lable Switching Path ): Là tuyến tạo ra từ đầu vào đến đầu ra của mạng MPLS dùng để chuyển tiếp gói của một FEC nào đó sử dụng cơ chế hoán đổi nhãn. Các tuyến chuyển mạch nhãn chứa một chuỗi các nhãn tại tất cả các nút dọc theo tuyến từ nguồn tới đích. LSP được thiết lập trước khi truyền dữ liệu hoặc trong khi xác định luồng dữ liệu nào đó. Các nhãn được phân phối bằng các giao thức như LDP, RSVP. Mỗi gói dữ liệu được đóng gói lại và mang các nhãn trong suốt thời gian di chuyển từ nguồn tới đích. Gói tin dán nhãn: Gói tin dán nhãn là gói tin mà nhãn được mã hóa trong đó. Trong một số trường hợp, nhãn nằm trong mào đầu của gói tin dành riêng cho mục đích dán nhãn. Trong các trường hợp khác, nhãn có thể được đặt chung vào trong mào đầu lớp mạng và lớp liên kết dữ liệu miễn là ở đây có thể dùng được cho mục đích dán nhãn. Ấn định và phân phối nhãn: Trong mạng MPLS, quyết định để kết hợp một nhãn L cụ thể với một FEC F cụ thể là do LSR phía trước thực hiện. LSR phía trước sau khi kết hợp sữ thông báo với LSR phía sau về sự kết hợp đó. Do vậy, các nhãn được LSR phía trước ấn định và các kết hợp nhãn được phân phối theo hướng từ LSR phía trước tới LSR phía sau. Cơ cấu báo hiệu Yêu cầu nhãn: Một LSR yêu cầu một nhãn từ dòng xuống lân cận nên nó có thể liên kết đến FEC xác định. Cơ cấu này có thể dùng để truyền đến các LSR tiếp theo cho đến LER lối ra. Đáp ứng nhãn: Để đáp ứng một yêu cầu nhãn, LSR luồng xuống sẽ gửi một nhãn đến các bộ khởi động luồng lên sử dụng cơ cấu ánh xạ nhãn. Cơ cấu báo hiệu Phần chức năng chuyển gói tin: Với nhiệm vụ gửi gói tin giữa các bộ định tuyến, sử dụng cơ chế hoán đổi nhãn tương tự như ATM. Trong MPLS, nhãn là một số có độ dài cố định và không phụ thuộc vào lớp mạng. Kỹ thuật hoán đổi nhãn về bản chất là việc tìm nhãn của một gói tin trong một bảng các nhãn để xác định tuyến của gói và tìm nhãn mới của nó. Hay nói cách khác kỹ thuật hoán đổi nhãn là việctìm chặng kế tiếp của gói tin trong một bảng chuyển tiếp nhãn, sau đó thay thế giá trị nhãn của gói rồi chuyển ra cổng ra của bộ định tuyến. Việc này đơn giản hơn nhiều so với việc xử lý gói tin thông thường và do vậy cải tiến khả năng của thiết bị. Các bộ định tuyến sử dụng thiết bị này gọi là bộ định tuyến chuyển mạch nhãn LSR. Phần chức năng điều khiển của MPLS: Bao gồm các giao thức định tuyến lớp mạng với nhiệm vụ phân phối thông tin định tuyến giữa các LSR, và thủ tục gán nhãn để chuyển thông tin định tuyến thành các bảng định tuyến cho việc chuyển mạch nhãn. MPLS có thể hoạt động được với các giao thức định tuyến Internet khác như OSPF và BGP. Do MPLS hỗ trợ việc điều khiển lưu lượng và cho phép thiết lập tuyến cố định, việc đảm bảo chất lượng dịch vụ của các tuyến là hoàn toàn khả thi. Đây là một điểm vượt trội của MPLS so với các định tuyến cổ điển. Ứng dụng cơ bản của MPLS ĐỊNH TUYẾN PHÂN CẤP Kiến trúc định tuyến được sử dụng trên Internet ngày nay là sự tập trung các miền định tuyến, khi định tuyến trong từng khu vực thì được cung cấp bởi các giao thức định tuyến trong miền (EIGRP, RIP, OSPF… ), khi định tuyến qua nhiều miền thì dung giao thức định tuyến đa miền(BGP). Trong hình trên, các router biên sẽ chạy giao thức BGP với các router biên của các miền khác, còn các router bên trong sẽ chạy các giao thức IGP để định tuyến tring miền. IBGP được tất cả các router sử dụng để truyền các thông tin định tuyến bên ngoài vào bên trong miền. Trong một mạng mà có IGP và IBGP chạy song song thì vẫn không ảnh hưởng gì cả. Để một router có thể biết được cách đến được IBGP peer của các IBGP , nó phải dựa vào IGP. Định tuyến phân cấp là chia định tuyến thành 2 thành phần trong miền và đa miền. Việc này có thuận lợi là: Tách biệt định tuyến Inter-domain và Intra-domain: Cải tiến sự ổn định do do giảm số lượng thông tin định tuyến cho các router. Giảm kích thước bảng của Interior Router: Chỉ những định tuyến IGP được lưu trữ tại các nút Interior Cải tiến mở rông BGP: Chỉ các Router biên cần chạy BGP Do giảm khối lượng bảng định tuyến nên làm tăng khả năng mở rộng của các mạng ỨNG DỤNG MPLS TRÊN NỀN ATM Chuyển mạch nhãnđa giao thức (MPLS) mở rộng khả năng của các bộ định tuyến IP và các chuyển mạch ATM trong một vài phương pháp chính: −MPLS tích hợp hoàn toànđiều khiểnđịnh tuyến IP với các chuyển mạch ATM,điều này cung cấp những hỗ trợ tự nhiên các dịch vụ IP như loại dịch vụ IP và IPđa hướng (multicast) trên chuyển mạch cũng như các bộ định tuyến ATM. −MPLS cung cấp các hỗ trợ cho khẳ năng mở rộng quy mô và sử dụng linh hoạt các dịch vụ mạng riêngảo IP trên bộ định tuyến và chuyển mạch. −MPLS cung cấp các hỗ trợ cho kỹ thuật lưu lượng IP,đó làđiều khiển mềm dẻo các luồng lưu lượng IP theo các nguồn tài nguyên trên mạng KỸ THUẬT LƯU LƯỢNG TRONG MPLS Mạng IP truyền thống xảy ra tình trạng một phần mạng bị nghẽn trong khi các phần còn lại không được tận dụng. MPLS có khả năng chỉ ra con đường tối ưu thỏa mãn ràng buộc và dự phòng tài nguyên có thể giải quyết được vấn đề này, gọi là kỹ thuật lưu lượng, giúp sử dụng tối ưu tài nguyên. Kỹ thuật lưu lượng ứng dụng các nguyên lý khoa học công nghệ để đo lường, mô hình hoá, đặc trưng hoá và điều khiển lưu lượng nhằm đạt được các mục tiêu tối ưu nhất. Một ưu điểm nữa là khả năng hồi phục nhanh, giúp giảm thiểu tỉ lệ mất gói khi xảy ra lỗi trên các liên kết hoặc các nút chuyển mạch nhãn. MẠNG RIÊNG ẢO VPN Có thể nói VPN là một trong những ứng dụng quan trọng nhất của MPLS. Kỹ thuật MPLS VPN đơn giản hóa quá trình tạo “đường hầm” trong mạng riêng ảo bằng cơ chế gán nhãn gói tin(labels) trên thiết bị do nhà mạng cung cấp. Thay vì tự thiết lập và quản trị và đầu tư những thiết bị đắt tiền, MPLS VPN sẽ giúp các doanh nghiệp giao nhiệm vụ này cho các nhà cung cấp - đơn vị có đầy đủ năng lực, thiết bị và công nghệ bảo mật tốt hơn nhiều cho mạng của doanh nghiệp. Lợi ích của MPLS VPN so với các dịch vụ VPN truyền thống: Riêng biệt và bảo mật: MPLS VPN giữ các thông tin định tuyến riêng biệt cho mỗi VPN, đảm bảo người dùng chỉ có thể liên lạc được với các địa chỉ đã được lập sẵn cho VPN của mình. Hơn nữa, trễ trong mạng được giữ ở mức thấp nhất do các gói tin không phải trải qua quá trình đóng gói và mã hóa. Độc lập với khách hàng:MPLS VPN có cách đánh địa chỉ (gán nhãn trong mạng MPLS) hết sức linh hoạt, người dùng có thể sử dụng bất cứ dải địa chỉ nào (kể cả các địa chỉ kiểm tra hoặc các địa chỉ không được đăng ký) hoặc có thể sử sụng NAT (Network Address Translation). Mặt khác, người dùng còn có thể sử dụng các dải địa chỉ trùng hoặc giống nhau. Một điểm nổi bật khác là mạng của người dùng không yêu cầu các thiết bị h trợ MPLS, các thiết bị đắt tiền như VPN Router với IP Sec hoặc bất cứ yêu cầu đặc biệt nào khác ngoài IP. Linh hoạt và khả năng phát triển:Với các dịch vụ VPN dựa trên IP, số lượng router trên mạng tăng nhanh chóng theo số lượng các VPN. VPN sẽ phải chứa các bảng định tuyến ngày một lớn. MPLS VPN sử dụng một tập các BGP (Border Gateway Protocol) ngang hàng giữa các LSR cạnh (Edge LSR), cho phép số lượng VPN không hạn chế và hỗ trợ nhiều dạng VPN, dễ dàng tạo thêm các VPN hoặc site mới (chỉ cần thực hiện tại router của site mới). MPLS tại Việt Nam : Tại Việt nam, MPLS hiện đang được xúc tiến xây dựng trong mạng truyền tải của Tổng công ty BCVT Việt nam (VNPT). Với dự án VoIP hiện đang triển khai, VNPT đã thiết lập mạng trục MPLS với 3 LSR lõi. Các LSR biên sẽ được tiếp tục đầu tư và mở rộng tại các địa điểm có nhu cầu lớn như Hải Phòng, Quảng Ninh ở phía Bắc, Đà Nẵng, Khánh Hoà... ở miền Trung, Bình Dương, Đồng Nai, Bà Rịa - Vũng Tàu... ở miền Nam.Hiện nay VNPT cung cấp dịch vụ MEGA-WAN với các loại hình dịch vụ VPN MPLS như sau.- VNPT MPLS VPN lớp 2 với đặc trưng là kết nối point – point với lớp truyền giữa là ATM, Ethernet, FR. Triển khai là các dịch vụ ADSL, G.SHDSL kéo từ mạng của VNPT tới các CE và khách hàng tự quản lý việc định tuyến. Ưu điểm của VPN lớp 2 là: không yêu cầu bất cứ một sự thay đổi nào từ phía mạng hiện có của khách hàng; Mức độ riêng tư phụ thuộc vào policy của khách hàng; Khách hàng tự quản lý việc định tuyến từ PCE – PCE; Các giao thức hỗ trợ cho cả Unicast và Multicast. Loại này phù hợp với các doanh nghiệp vừa và nhỏ, có mô hình mạng không phức tạp. Ít khả năng mở rộng và chỉ là công nghệ lớp 2 (ATM, FR, Ethernet trong suốt trên MPLS).- VNPT MPLS VPN lớp 3: Công nghệ truyền dẫn vẫn là ADSL và G.SHDSL qua các DSLAM. Topo mạng là Full-Mesh. Trong dịch vụ này VNPT sẽ quản lý việc định tuyến, còn người dùng chỉ việc phó mặc việc đó cho VNPT. VPN lớp 3 của VNPT sử dụng giao thức định tuyến tĩnh, RIPv2, OSPF, BGP. Dịch vụ này có chi phí khá thấp vì chỉ cần một thiết bị định tuyến và không cần trình độ quản lý cao, do nhà cung cấp dịch vụ đã quản lý hộ người dùng. Tuy nhiên dịch vụ này cũng có một số giới hạn đó là người dùng không có khả năng tự quản lý định tuyến được như dịch vụ Wan lớp 2. Các chính sách bảo mật như firewall hoặc mã hoá được đặt ở CPE chứ không phải ở PE, do đó người dùng phải có kiến thức về bảo mật. - Các dịch vụ an ninh, bảo đảm cho VPN: Sử dụng IPsec cho việc đảm bảo an ninh trên MPLS. Bảo mật ở cả lớp 2 và lớp 3 trong mô hình OSI. Cam kết về chất lượng các ứng dụng và kết nối toàn cầu. Người dùng tuỳ biến cấu hình bảo mật. TÀI LIỆU THAM KHẢO BruceDavie and Yakov Rekhter "MPLS Technology and Applications" Morgan Kaufmann Pulishers, Inc. 2000. Ivan Pepelnjak, Jim Guichard "MPLS and VPN Architectures" Cissco Press, 2001. Mạng riêng ảo - Nhà xuất Bưu điện Initial MPLS VPN Setup - Cisco Press Chuyển mach nhãn đa giao thức MPLS – NXB Thông tin truyền thông.