Mạng riêng ảo trên nền MPLS

nối với mạng P thông qua router CE. Hình dưới đây là mô hình cơ bản mạng MPLS-VPN: Bảng định tuyến CE CE Phiên MP-IBGP VPN site 1 PE PE Cung cấp dịch vụ mạng P VPN site 2 Hình 3.2 Mô hình mạng MPLS-VPN cơ bản Hiện nay có hai mô hình mạng riêng ảo trên nền MPLS phổ biến là mạng riêng ảo lớp 3 (L3VPN) và mạng riêng ảo lớp 2 (L2VPN). Sau đây là những đặc điểm chính của hai mô hình này. 3.1.2 Mô hình L3VPN Kiến trúc mạng riêng ảo L3VPN chia thành hai lớp, tương ứng với các lớp 3 và 2 của mô hình OSI. L3VPN dựa trên RFC 2547 bits, mở rộng một số đặc tính cơ bản của giao thức cổng biên BGP (Border Gateway Protocol) và tập trung vào hướng đa giao thức của BGP nhằm phân bổ các thông tin định tuyến qua mạng lõi của nhà cung cấp dịch vụ như là chuyển tiếp các lưu lượng VPN qua mạng lõi. Trong kiến trúc L3VPN, các bộ định tuyến khách hàng và nhà cung cấp được coi như là các phần tử ngang hàng. Bộ định tuyến biên khách hàng CE cung cấp thông tin định tuyến tới bộ định tuyến biên nhà cung cấp PE. PE lưu các thông tin định tuyến trong bảng định tuyến và chuyển tiếp ảo VRF. Mỗi khoản mục của VRF tương ứng với một mạng khách hàng và hoàn toàn biệt lập với các mạng khách hàng khác. Người sử dụng VPN chỉ được phép truy nhập các site hoặc máy chủ trong cùng một mạng riêng này. Bộ định tuyến PE còn hỗ trợ các bảng định tuyến thông thường nhằm chuyển tiếp lưu lượng của khách hàng qua mạng công cộng. Một cấu hình mạng L3VPN dựa trên MPLS như hình dưới đây. Gói IP Gói IP Nhãn VRF Nhãn LSF Gói IP VPN B PE CE P VPN A PE VPN B P P PE P CE VPN A CE Bảng VRF VPN A Mạng MPLS cung cấp dịch vụ Bảng VRF VPN B Bảng định tuyến Bảng VRF VPN A Bảng định tuyến Hình 3.3 Mô hình MPLS L3VPN Mô hình MPLS L3VPNCác gói tin IP qua miền MPLS được gắn hai loại nhãn, bao gồm nhãn MPLS chỉ dẫn các đường chuyển mạch nhãn LSP để chuyển tiếp các gói tin qua miền MPLS. Nhãn VRF chỉ được xử lý tại thiết bị định tuyến PE nối với bộ định tuyến khách hàng. Mô hình L3VPN có ưu điểm là không gian địa chỉ khách hàng được quản lý bởi nhà khai thác, và do vậy đơn giản hoá việc triển khai kết nối với nhà cung cấp. Ngoài ra, L3VPN còn cung cấp khả năng định tuyến động để phân phối các thông tin định tuyến tới các bộ đinh tuyến VPN. Tuy nhiên, L3VPN chỉ hỗ trợ các lưu lượng IP hoặc lưu lượng đóng gói vào gói tin IP. Đồng thời, việc tồn tại hai bảng định tuyến tại các thiết bị mạng cũng là một vấn đề cần giải quyết trong điều hành và ảnh hưởng tới khả năng mở rộng các hệ thống thiết bị. 3.1.3 Mô hình L2VPN Mô hình mạng riêng ảo lớp 2 được phát triển sau và các tiêu chuẩn vẫn đang trong giai đoạn hoàn thiện. Cách tiếp cận L2VPN hướng tới việc thiết lập các đường hầm qua mạng MPLS để xử lý các kiểu lưu lượng khác nhau như Ethernet, FR, ATM và PPP/HDLC. Có hai dạng L2VPN cơ bản là: Điểm tới điểm: tương tự như công nghệ ATM và FR, nhằm thiểt lập các đường dẫn chuyển mạch ảo qua mạng; Điểm tới đa điểm: hỗ trợ các cấu hình mắt lưới và phân cấp. Trong những năm gần đây dịch vụ LAN ảo dựa trên mô hình L2VPN đa điểm sử dụng công nghệ truy nhập Ethernet đã được triển khai rộng rãi. Giải pháp này cho phép liên kết các mạng Ethernet qua hạ tầng MPLS trên cơ sở nhận dạng lớp 2, vì vậy mà giảm được độ phức tạp của các bảng định tuyến lớp 3. Trong mô hình L2VPN các bộ đinh tuyến PE và CE không nhất thiết phải được coi là ngang hàng. Thay vào đó, chỉ tồn tại kết nối giữa hai bộ định tuyến này. Bộ định tuyến PE chuyển mạch các luồng lưu lượng vào trong các đường hầm đã được cấu hình trước tới các bộ định tuyến PE khác. Gói L2 Gói L2 Gói L2 Từ điều khiển Nhãn VC Nhãn LSP CE VPN B PE PE VPN A CE CE P P P CE PE P VPN B VPN A Mạng MPLS cung cấp dịch vụ Hình 3.4 Mô hình MPLS L2VPN L2VPN xác định khả năng tìm kiếm qua mặt phẳng dữ liệu bằng địa chỉ học được từ các bộ định tuyến lân cận. L2VPN sử dụng ngăn xếp nhãn tương tự như trong L3VPN. Nhãn MPLS bên ngoài được sử dụng để xác định đường dẫn cho lưu lượng qua miền MPLS, còn nhãn kênh ảo VC nhận dạng các mạng LAN ảo, VPN hoặc kết nối tại các điểm cuối. Một nhãn tuỳ chọn sử dụng để điều khiển đóng các kết nối lớp 2 được đặt trong cùng ngăn xếp sát với trường dữ liệu. L2VPN có ưu điểm quan trọng nhất là cho phép các giao thức lớp cao được truyền trong suốt đối với MPLS. Nó có thể hoạt động hầu hết công nghệ lớp 2 gồm ATM, FR, Ethernet và mở ra khả năng tích hợp các mạng phi kết nối IP với các mạng hướng kểt nối. Ngoài ra, trong giải pháp này người sử dụng đầu cuối không cần phải cấu hình định tuyến cho các bộ định tuyến khách hàng CE. Tuy nhiên, L2VPN không dễ dàng mở rộng như L3VPN. Một cấu hình đầy đủ cho các LSP phải được sử dụng để kết nối các VPN trong mạng. Hơn nữa, L2VPN không hề tự động định tuyến giữa các site. Vì vậy, tuỳ thuộc vào cấu hình mạng MPLS và nhu cầu cụ thể mà nó có thể sử dụng một trong hai mô hình nói trên. 3.2 Hoạt động của MPLS-VPN Như đã nói ở trên, MPLS/VPN là sự kết hợp các ưu điểm của cả hai mô hình overlay VPN và peer-to-peer VPN. Do đó việc lựa chọn các yếu tố cần thiết để cấu thành mạng MPLS cũng trở nên quan trong, các yếu tố đó bao gồm giao thức định tuyến, cách truyền nhãn qua mạng MPLS trong khi vẫn đảm bảo được tính chất của VPN, v.v…Ta hãy đi phân tích một số đặc điểm để cấu thành mạng MPLS/VPN. 3.2.1 Kiến trúc của router biên PE trong mạng MPLS/VPN Mỗi khách hàng đăng kí một bảng định tuyến độc lập nhau (bảng định tuyến ảo) tương ứng như một router ảo trong mô hình VPN ngang cấp. Khách hàng A,Site 1 Bảng định tuyến khách hàng A Bảng định tuyến ảo cho khách hàng A Định tuyến toàn cục Bảng định tuyến toàn cục Khách hàng A,Site 2 P-Router Khách hàng A,Site 3 Khách hàng B,Site 1 PE-Router Bảng định tuyến khách hàng B Bảng định tuyến ảo cho khách hàng B Hình 3.5 Kiến trúc của router biên PE Định tuyến dọc mạng của nhà cung cấp được thực hiện bởi tiến trình định tuyến khác sử dụng bảng định tuyến toàn cục (global), tương đương như intra-POP-P-router trong mô hình VPN ngang cấp. 3.2.2 Truyền thông tin định tuyến dọc mạng nhà cung cấp Khi bảng định tuyến ảo đảm bảo sự cách ly giữa các khách hàng, dữ liệu từ các bảng định tuyến này vẫn cần được trao đổi giữa các Router PE để dữ liệu có thể truyền giữa các site gắn vào các Router PE khác nhau. Do đó chúng ta cần phải có một giao thức định tuyến sẽ vận chuyển tất cả các router của khách hàng dọc mạng nhà cung cấp trong khi vẫn duy trì được không gian địa chỉ độc lập giữa khách hàng với nhau. Một giải pháp được đưa ra là chạy giao thức định tuyến riêng cho mỗi khách hàng. Các router PE có thể được kết nối thông qua các đường hầm điểm – điểm (và giao thức định tuyến cho mỗi khách hàng sẽ chạy giữa các router PE) hoặc là router P có thể tham gia vào quá trình định tuyến của khách hàng. Giải pháp này, mặc dù thực hiện đơn giản nhưng lại không thích hợp trong môi trường khách hàng, vì nó không có khả năng mở rộng và phải đối mặt với nhiều vấn đề khi có yêu cầu hỗ trợ VPN chồng lấn (overlapping VPN): Router PE phải chạy một số lượng lớn các giao thức định tuyến . Router P phải mang tất cả các router của khách hàng. Sau đó, một giải pháp tốt hơn được đưa ra là chỉ triển khai một giao thức định tuyến có thể trao đổi tất cả các router của khách hàng dọc mạng nhà cung cấp. Rõ ràng giải pháp này tốt hơn giải pháp trước nhưng router P vẫn phải tham gia vào định tuyến khách hàng, do đó nó vẫn không giải quyết được vấn đề mở rộng. Để hiểu rõ hơn vấn đề mở rộng khi triển khai một giao thức định tuyến trên 1 VPN, ta lấy ví dụ sau đây: Giả sử mạng backbone của nhà cung cấp dịch vụ sẽ phải cung cấp hơn 100 khách hàng VPN kết nối đến router hai router biên PE sử dụng OSPF là giao thức định tuyến. Router PE trong mạng backbone sẽ chạy hơn 100 bản copy tiến trình định tuyến OSPF độc lập nhau với mỗi bản copy gửi các gói tin hello và gói tin refreshment tuần hoàn qua mạng. Vì có thể chạy hơn một bản copy OSPF qua cùng một link, ta có thể cấu hình các subinterface trên một VPN trên link giữa PE và CE, kết quả là tạo ra mô hình mạng phức tạp. Và phải chạy 100 thuật toán SPF cũng như duy trì database topology riêng rẽ trong các router P. Giải pháp tối ưu là truyền thông tin định tuyến khách hàng sẽ do một giao thức định tuyến giữa các router PE điều hành, các router P không tham gia vào việc định tuyến này. Giải pháp này hiệu quả vì nó có khả năng mở rộng: Số lượng giao thức định tuyến giữa các router PE không tăng khi tăng số lượng khách hàng. Router P không mang các router của khách hàng. Do đó yêu cầu bây giờ là việc lựa chọn giao thức định tuyến nào sẽ chạy giữa các router PE. Khi tổng số router của khách hàng rất lớn, nên chỉ có một giao thức định tuyến mới có khả năng đảm bảo được vấn đề này là BGP. BGP được sử dụng trong mạng MPLS/VPN trên các router PE để vẫn chuyển các router của khách hàng. Giao thức BGP dùng trong mạng MPLS/VPN được gọi là Multiprotocol BGP (MP-BGP). Ta có thể tóm tắt các ưu điểm của BGP để chọn nó là giao thức dùng cho việc vận chuyển các VPN router là: VPN router trong mạng có thể tăng lên đáng kể với số lượng lớn. BGP là giao thức định tuyến có thể hỗ trợ số lượng lớn các router như vậy. BGP, EIGRP, ISIS cũng là các giao thức định tuyến mang thông tin định tuyến cho nhiều lớp địa chỉ khác nhau. Nhưng ISIS và EIGRP không có khả năng mở rộng, không mang được một số lượng lớn các router như BGP. BGP cũng được thiết kế để trao đổi thông tin định tuyến giữa các router không kết nối trực tiếp. Đặc điểm này hỗ trợ việc giữ thông tin định tuyến không cho các router P biết. 3.2.3 Bảng định tuyến và chuyển tiếp VPN Sự kết hợp giữa bảng định tuyến VPN và bảng chuyển tiếp VPN tạo thành bảng định tuyến chuyển tiếp VPN (VRF). Mỗi VPN đều có bảng định tuyến và chuyển tiếp riêng của nó trong router PE, mỗi router PE duy trì một hoặc nhiều bảng VRF. Mỗi site mà có router PE gắn vào đó sẽ liên kết với một trong các bảng này. Địa chỉ IP đích của gói tin nào đó chỉ được kiểm tra trong bảng VRF mà nó thuộc về nếu gói tin đến trực tiếp từ site tương ứng với bảng VRF đó. Một VRF đơn giản chỉ là một tập hợp các router thích hợp cho một site nào đó (hoặc một tập hợp gồm nhiều site) kết nối đến router PE. Các router này có thể thuộc về hơn một VPN. Vậy các bảng VRF được phổ biến như thế nào? Ví dụ, giả sử có 3 router PE là PE1, PE2, PE3, và 3 router CE là CE1, CE2, CE3. Giả sử PE1 tiếp nhận từ CE1 các router hợp lệ ở site CE1. PE2 và PE3 thứ tự gắn vào site CE2 và CE3. Cả ba site này đều thuộc cùng một VPN V, thì PE1 sẽ sử dụng BGP để phân phối cho PE2 và PE3 các router mà nó học được từ site CE1. PE2 và PE3 sử dụng các router này để đưa vào bảng chuyển tiếp dành cho site CE2 và CE3. Các router từ những site không thuộc vào VPN V sẽ không xuất hiện trong bảng chuyển tiếp này, có nghĩa là các gói tin từ CE3 và CE2 không thể được gửi đến những site nào không thuộc VPN V. Nếu một site thuộc vào nhiều VPN, bảng chuyển tiếp tương ứng với site đó có thể có nhiều router liên quan đến tất cả VPN mà nó thuộc về. PE chỉ duy trì một bảng VRF trên một site. Các site khác nhau có thể chia sẽ cùng bảng VRF nếu nó sử dụng tập hợp các router một cách chính xác giống như các router trong bảng VRF đó. Nếu tất cả các site có thông tin định tuyến giống nhau (điều này thường là các site đó cùng thuộc về tập hợp VPN) sẽ được phép liên lạc trực tiếp với nhau và nếu kết nối đến cùng một router PE sẽ được đặt vào cùng một bảng VRF chung. Giả sử router PE nhận được gói tin từ một site gắn trực tiếp vào nó, gọi site này là siteA nhưng địa chỉ đích của gói tin không có trong tất cả các entry có trong bảng chuyển tiếp tương ứng với siteA. Nếu nhà cung cấp dịch vụ không cung cấp truy cập Internet cho siteA thì gói tin sẽ bị loại bỏ vì không thể phân phối được đến đích, nhưng nếu nhà cung cấp dịch vụ có cung cấp truy cập Internet cho siteA thì lúc này địa chỉ đích của gói tin sẽ được tìm kiếm trong bảng định tuyến global. Do đó bất kì router PE nào trong mạng MPLS/VPN có nhiều bảng định tuyến trên mỗi VRF và một bảng định tuyến global, bảng định tuyến này được sử dụng để tìm các router khác trong mạng nhà cung cấp dịch vụ, cũng như tìm các đích thuộc về mạng bên ngoài (ví dụ như Internet). Tóm lại, VRF là một trường hợp (instance) định tuyến và chuyển tiếp có thể được sử dụng cho một site VPN hoặc cho nhiều site kết nối đến cùng một router PE miễn là các site này chia sẻ chính xác các yêu cầu kết nối giống nhau. Do đó cấu trúc của bảng VRF có thể bao gồm : Bảng định tuyến IP. Bảng chuyển tiếp. Tập hợp các quy tắc và các tham số giao thức định tuyến (gọi là routing protocol context). Danh sách các giao diện sử dụng trong VRF. 3.2.4 Phân phối route VPN thông qua BGP Với việc triển khai một giao thức định tuyến là BGP để trao đổi tất cả các route của khách hàng giữa các router PE, một vấn đề được đặt ra là: làm thế nào mà BGP có thể truyền nhiều prefix xác định thuộc về các khách hàng khác nhau giữa các Router PE? Như ta đã biết BGP, trong dạng chuẩn của nó, chỉ có thể thực hiện được đối với các route IPv4. Trong MPLS/VPN, vì mỗi VPN phải có khả năng sử dụng (mặc dù điều này không cần thiết) các IP prefix giống nhau như các VPN khác (ngay cả khi chúng không liên lạc với nhau). BPG sử dụng địa chỉ IPv4 chọn một đường đi giữa tất cả các đường có thể đi đến đích (gồm có network và mask). Do đó, MP-BGP không thể làm việc đúng nếu khách hàng sử dụng cùng không gian địa chỉ. Chỉ có một giải pháp để giải quyết vấn đề này là mở rộng ip prefix khách hàng với một prefix duy nhất sẽ làm cho địa chỉ của khách hàng trở nên duy nhất ngay cả khi có sự trùng lắp địa chỉ. Hơn nữa ta phải đảm bảo rằng chính sách được sử dụng để quyết định route nào trong số các router được BGP sử dụng chỉ có thể có ở trong bảng VRF mà nó phải thuộc về. Việc truyền router của khách hàng dọc mạng MPLS/VPN sẽ được thực hiện như sau: Router CE gửi cập nhật định tuyến IPv4 đến Router PE. Router PE sau đó thêm vào Router Distinguisher 64 bit vào cập nhật định tuyến IPv4 mà nó đã nhận đó, kết quả là tạo ra địa chỉ VPNv4 96 bit duy nhất. Địa chỉ VPNv4 này được truyền đi thông qua phiên MP-IBGP đến các Router PE khác. Router PE nhận sẽ loại bỏ Router Distinguisher từ địa chỉ VPNv4 tạo thành địa chỉ IPv4 như ban đầu mà CE đầu xa đã gửi. Địa chỉ IPv4 này được chuyển tiếp đến router CE khác trong bản cập nhật định tuyến IPv4. 3.2.5 Địa chỉ VPN-IP. Địa chỉ VPN-IP được tạo ra bằng cách ghép 2 thành phần có độ dài không đổi đó là: bộ nhận dạng tuyến và địa chỉ IP cơ sở. Yếu tố làm cho các địa chỉ mới tạo ra này là duy nhất là bộ nhận dạng tuyến. Bộ nhận dạng tuyến có cấu trúc cho phép mỗi nhà cung cấp dịch vụ VPN tự tạo ra một giá trị cho bộ nhận dạng tuyến mà không sợ một giá trị tương tự được sử dụng bởi nhà cung cấp dịch vụ khác. Theo định nghĩa, bộ nhận dạng tuyến bao gồm 3 trường hợp đó là: Loại (2 octet) Số hệ thống (2 octet) và Số ấn định (4 octet). Trong đó trường Số hệ thống sẽ chứa số hệ thống của nhà cung cấp dịch vụ VPN. Trường Số ấn định do mỗi nhà cung cấp dịch vụ mạng VPN tự quản lý. Trong hầu hết các trường hợp, nhà cung cấp dịch vụ mạng ấn định một giá trị trường Số ấn định cho một mạng VPN, tuy nhiên đôi khi có thể ấn định nhiều giá trị cho một mạng VPN. Vì không có hai mạng VPN do một nhà cung cấp dịch vụ quản lý lại sử dụng chung một Số ấn định và cũng vì Số hệ thống là duy nhất trong mạng toàn cầu nên sẽ không có hai mạng VPN nào lại có bộ nhận dạng tuyến trùng nhau. Khi mà địa chỉ IP là duy nhất trong một mạng VPN và vì không có hai mạng VPN nào lại dùng chung một bộ định dạng tuyến do đó các địa chỉ VPN-IP là duy nhất trong mạng toàn cầu. Đối với BGP thì quản lý các tuyến ứng với địa chỉ VPN-IP không khác gì việc quản lý và tuyến ứng với địa chỉ IP cơ sở vì khả năng hỗ trợ đa giao thức của BGP làm cho BGP có khả năng quản lý tuyến ứng với nhiều họ địa chỉ khác nhau. Một điểm quan trọng cần lưu ý là cấu trúc địa chỉ VPN-IP cũng như cấu trúc của bộ nhận dạng tuyến ứng với địa chỉ VPN-IP là hoàn toàn mờ đối với BGP. BGP chỉ so sánh phần mào đầu của hai địa chỉ VPN-IP chứ nó không quan tâm đến cấu trúc của chúng. Vì vậy trong ngữ cảnh này chúng ta đã không đưa thêm một cơ chế mới nào vào BGP mà chỉ sử dụng những cái sẵn có. Ví dụ các cơ chế như: sử dụng đặc tính cộng đồng của BGP, định tuyến lọc dựa trên cộng đồng, sử dụng tuyến dự phòng trong BGP … được áp dụng đối với các tuyến ứng với địa chỉ VPN-IP cũng giống như các tuyến ứng với địa chỉ IP cơ sở. Sử dụng các địa chỉ VPN-IP chỉ hoàn toàn giới hạn trong nhà cung cấp dịch vụ, các khách hàng VPN (cụ thể là các thiết bị của khách hàng) không có khái niệm gì về địa chỉ VPN-IP mà địa chỉ VPN cơ sở được thực hiện ở bộ định tuyến PE. Đối với mỗi kết nối với một VPN, bộ nhận tuyến PE được cấu hình ứng với một giá trị của bộ nhận dạng tuyến. Khi PE nhận được một tuyến từ CE kết nối trực tiếp tới nó thì nó cần xác định CE đó thuộc VPN nào trước khi chuyển thông tin về tuyến này cho BGP của nhà cung cấp dịch vụ, PE sẽ chuyển địa chỉ IP cơ sở của tuyến thành địa chỉ VPN-IP bằng cách sử dụng bộ nhận dạng tuyến đã được đặt cho VPN đó. Một cách tương tự khi PE nhập một tuyến từ BGP của nhà cung cấp dịch vụ, nó sẽ chuyển thông tin địa chỉ VPN-IP của tuyến thành thông tin địa chỉ IP cơ sở. Sau đây chúng ta so sánh vai trò của bộ nhận dạng tuyến và các đặc tính cộng đồng của BGP. Có hai vấn đề tách biệt nhau và tương ứng với hai vấn đề này có hai cơ chế riêng biệt. Thứ nhất là làm thế nào để giải quyết việc không duy nhất của địa chỉ IP trong mạng toàn cầu. Để khắc phục vấn đề này, chúng ta đưa vào sử dụng một loại địa chỉ mới đó là địa chỉ VPN-IP và sử dụng bộ nhận dạng tuyến để làm cho các địa chỉ là duy nhất trong mạng toàn cầu. Vì vậy bộ nhận dạng tuyến có vai trò làm cho địa chỉ IP trở thành duy nhất. Tuy nhiên bộ nhận dạng tuyến không thể được sử dụng cho định tuyến lọc. Thứ hai là cần giải quyết làm thế nào để kết nối cưỡng bức. Giải quyết vấn đề nhờ cách sử dụng phân phối cưỡng bức thông tin định tuyến được thực hiện dựa trên lọc các đặc tính cộng đồng của BGP. Nhưng các đặc tính cộng đồng của BGP không làm cho các địa chỉ IP trở thành duy nhất. Lưu ý rằng trong khi một bộ nhận dạng tuyến không được sử dụng chung cho các VPN khác nhau, thì một VPN lại có thể sử dụng nhiều bộ nhận dạng tuyến. Tương tự như vậy trong khi các mạng VPN không thể dùng chung một cộng đồng BGP nhưng một mạng VPN lại có thể sử dụng nhiều công đồng của BGP. Vì vậy một cách tổng quát thì bộ nhận dạng tuyến cũng như đặc tính cộng đồng không thể sử dụng để xác định một VPN. Nó phù hợp với định nghĩa mạng VPN là một tập hợp các chính sách để điều khiển kết nối và quy định chất lượng dịch vụ giữa các site. Một điểm quan trọng cần nhấn mạnh là địa chỉ VPN-IP chỉ được tải trong các giao thức đinh tuyến chứ không được tải trong phần mào đầu của gói IP. Vì vậy VPN-IP không thể được sử dụng một cách trực tiếp để định tuyến gói. Nhiệm vụ định tuyến các gói được thực hiện dựa trên MPLS sẽ được trình bày ở mục tiếp theo. 3.2.6 Chuyển tiếp gói tin VPN dọc mạng backbone MPLS Với các router khách hàng được truyền dọc mạng backbone MPLS/VPN, tất cả các router đều tham gia vào chuyển tiếp dữ liệu khách hàng. Lưu lượng khách hàng giữa các router CE và router PE luôn luôn được gửi đi là gói tin IP, đáp ứng được yêu cầu là router CE chạy các giao thức định tuyến IP chuẩn và không tham gia vào MPLS/VPN. Trong phương pháp này, để chuyển tiếp gói tin dọc mạng backbone MPLS/VPN, router PE chỉ phải chuyển gói tin IP nhận được từ router khách hàng đến các router PE khác. Rõ ràng, giải pháp này là không thể thực hiện được bởi vì router P không có biết gì về các router của khách hàng, và do đó không thể chuyển tiếp gói tin IP của khách hàng. Phương pháp khác có vẻ khả quan hơn là sử dụng đường hầm chuyển mạch nhãn MPLS (Label Switching Path – LSP) giữa các Router PE và sử dụng nhãn để quyết định sử dụng LSP nào. CE Router CE Router CE Router CE Router Egress-PE Ingress-PE P-Router P-Router IP IP L1 L3 IP L2 IP IP MPLS VPN Backbone Hình 3.6 Sử dụng nhãn LDP để truyền router VPNv4 Trong phương pháp này, gói tin IP của khách hàng được gán vào một nhãn được đăng kí cho egress router PE. Các router lõi không bao giờ thấy gói tin IP của khách hàng, chỉ có gói tin nào được gán nhãn sẽ được chuyển đến egress router PE. Các router lõi chỉ thực hiện các hoạt động chuyển mạch đơn giản, cuối cùng phân phối gói tin khách hàng đến egress router PE. Nhưng tại đây, gói tin IP của khách hàng không có thông tin nào về VPN hoặc là VRF để thực hiện kiểm tra VRF trên egress router PE. Egress router PE không biết VRF nào sử dụng cho hoạt động kiểm tra IP và do đó nó sẽ đánh rớt gói tin. Phương pháp tối ưu được lựa chọn là sử dụng ngăn xếp nhãn. CE Router CE Router P-Router Egress-PE P-Router Ingress-PE CE Router L3 IP CE Router V IP L2 V IP L1 V IP Ngăn xếp nhãn MPLS có thể được sử dụng để chỉ thị cho egress router PE biết phải làm gì với gói tin VPN. Ngăn xếp nhãn bao gồm hai nhãn xếp chồng lên nhau gọi là nhãn bên trong (inner label) và nhãn bên ngoài (outer label). IP Hình 3.7 Sử dụng ngăn xếp nhãn để truyền router VPNv4 Khi sử dụng ngăn xếp nhãn, ingress router PE gán nhãn vào gói tin IP với hai nhãn đó. Nhãn trên cùng của ngăn xếp nhãn là outer label, đây là nhãn cho egress rRouter PE (gọi là nhãn LDP), nhãn này sẽ đảm bảo gói tin được truyền qua mạng MPLS/VPN backbone và đến ở egress router PE. MPLS sử dụng outer label để chuyển tiếp gói tin từ ingress PE thông qua mạng lõi MPLS. Ở mỗi router P, MPLS loại bỏ outer label từ gói tin. Nhãn này chính là index trong bảng chuyển tiếp của router P. Từ đó nó quyết định next-hop dọc LSP và nhãn khác. Ở Router PE egress, MPLS lấy nhãn bên ngoài ra, sau đó mới đến nhãn bên trong. Nhãn bên trong (inner label) quyết định CE nào gói tin sẽ gửi đến. Router P không bao giờ kiểm tra nhãn bên trong hoặc địa chỉ đích IP của gói tin. Nhãn thứ hai trong ngăn xếp nhãn, nhãn bên trong (inner label), là nhãn được router PE đăng kí cho mỗi VRF. Khi một gói tin MPLS đến ở egress PE, egress router đó sử dụng nhãn phía trong để quyết định VRF nào mà gói tin thuộc về. Mặc định, egress PE thực hiện tìm kiếm IP trong bảng chuyển tiếp của VRF sử dụng địa chỉ IP đích trong gói tin IP được đóng gói trong gói MPLS. Egress PE sau đó chuyển tiếp gói ip (không có nhãn) đến site khách hàng thích hợp. Bản thân các nhãn bên trong được liên lạc giữa các PE trong các bản tin cập nhật mở rộng MP-iBGP. Nhãn thứ hai trong ngăn xếp nhãn có thể chỉ trực tiếp đến interface lối ra, trong trường hợp này egress router PE chỉ thực hiện kiểm tra nhãn trên gói tin VPN. Tình huống này thường được dùng khi router CE là next-hop của VPN route. Và nhãn này có thể chỉ đến 1 VRF, egress router PE thực hiện kiểm tra nhãn trước để tìm được VRF đích, sau đó mới thực hiện kiểm tra IP trong VRF. Việc kiểm tra IP được dùng khi có nhiều VPN route được tóm gọn, các VPN route chỉ đến Null interface và các route cho các giao diện VPN kết nối trực tiếp. Sử dụng ngăn xếp nhãn đã đáp ứng được các yêu cầu chuyển tiếp: Router P thực hiện chuyển mạch nhãn dựa trên nhãn LDP được đăng kí chuyển đến egress Router PE. Egress router PE thực hiện chuyển mạch nhãn trên nhãn bên trong trong ngăn xếp nhãn (nhãn này được đăng kí trước) và sau đó, hoặc là chuyển tiếp gói tin IP đến router CE hoặc là thực hiện kiểm tra IP trong VRF do nhãn bên trong (inner label) chỉ ra. Router P cuối cùng thực hiện penultimate hop popping, nghĩa là thực hiện lấy nhãn ở đỉnh ra khỏi ngăn xếp nhãn trên router (hop) đứng trước egress router PE. Router đó là router P cuối cùng trong đường dẫn chuyển mạch nhãn, router này sẽ lấy nhãn phía ngoài trong ngăn xếp nhãn ra, router PE nhận được gói tin chỉ còn một nhãn là nhãn inner (nhãn VPN). Trong hầu hết các trường hợp, một lần kiểm tra nhãn được thực hiện trên gói tin đó ở egress router PE cũng đủ thông tin để chuyển gói tin đến router CE, kết quả làm cho quá trình kiểm tra trở nên nhanh hơn và đơn giản hơn. Còn việc kiểm tra IP đầy đủ thông qua FIB được thực hiện chỉ một lần ở ingress router PE, ngay cả khi không có penultimate hop popping. Gói tin IP được nhận trên giao diện của router PE. Giao diện này được cấu hình với VPN_ID. BGP ánh xạ nhãn đến các route VPN. Sau đó giao thức phân phối nhãn LDP sẽ ánh xạ nhãn đến các route IGP. 3.2.7 Truyền nhãn VPN Như ta đã biết trong ngăn xếp nhãn, nhãn inner được đăng kí bởi egress router PE. Nhãn này được truyền đi giữa các router PE để có thể chuyển tiếp gói tin thông qua các phiên làm việc của MP – iBGP. Do đó mỗi lần cập nhật MP – iBGP mang nhãn được đăng kí bởi egress router PE cùng với prefix VPNv4 96 bit. Egress router PE đăng kí một nhãn đến mỗi VPN route nhận được từ các router CE kết nối vào nó và đăng kí nhãn đến mỗi summary router được thu gọn lại trong router PE. Nhãn này sau đó được ingress router PE sử dụng như là nhãn bên trong trong chồng nhãn MPLS khi nó gán nhãn cho các gói tin VPN. Các nhãn VPN được đăng kí bởi egress router PE được quảng bá đến tất cả router PE khác cùng với prefix VPNv4 trong các cập nhật MP – iBGP. Các route có một nhãn lối vào (input) mà không có nhãn lối ra (output) là các route được nhận từ router CE (nhãn input được local router PE đăng kí). Các route mà có nhãn lối ra (output) nhưng không có nhãn lối vào (input) là các route được nhận từ router PE khác (và nhãn lối ra được đăng kí bởi router PE đầu xa). Ví dụ: nhãn VPN cho đích 203.1.20.0 là 38 và được đăng kí bởi router PE khác (ở đây là egress router PE). Ingress router PE có hai nhãn liên quan với route VPN đầu xa – một nhãn dành cho BGP next – hop được đăng kí bởi router P kế tiếp thông qua LDP (và nhãn này được lấy từ LIB local) và nhãn được đăng kí bởi router PE đầu xa và được truyền đi thông qua các cập nhật MP – iBGP. Cả hai nhãn được kết hợp trong chồng nhãn và được đưa vào bảng VRF. Do đó nhãn bên ngoài (outer) còn được gọi là nhãn lốivào (input), còn nhãn bên trong (inner) còn được gọi là nhãn lốira (output). Ví dụ sau cho thấy rõ hơn quá trình vận chuyển dữ liệu qua mạng MPLS qua các VPN: Giả sử LSP đã được thành lập giữa PE1 và PE2. Host 1 muốn gửi dữ liệu đến Host 2. Nó gửi gói tin đến router CE1. CE1 sẽ đóng gói (encapsulate) gói tin và chuyển đến PE1. PE1 nhận gói tin từ CE1. Dựa trên interface mà gói tin đến, PE1 quyết định sử dụng bảng chuyển tiếp cho VRF A để định tuyến gói tin. PE1 kiểm tra địa chỉ đích của host 2 trong bảng chuyển tiếp của VRF A và tìm thấy: Push nhãn 16, tức là gán nhãn 16 vào gói tin. Đây là nhãn bên trong (inner label) nhận diện VRF trên router PE2. Nhãn 16 trước đó là ở PE2 và được chuyển đến PE1 thông qua phiên làm việc MP-iBGP. Push nhãn 21 và chuyển gói tin đã có nhãn đến router P1. Nhãn 21 được đặt vào sau nhãn 16, nên ta gọi các nhãn này được xếp chồng. Nhãn 21 gọi là nhãn bên ngoài (outer label) và nhãn này được thay đổi trong mỗi phân đoạn giữa hai router LSR với nhau. P1 nhận gói tin từ PE1 và pop nhãn 21. P1 kiểm tra nhãn 21 trong bảng chuyển tiếp và quyết định nó phải push nhãn 19 trong chồng nhãn, chuyển tiếp gói tin đến P2. P2 nhận gói tin từ P1 và pop nhãn 19. P2 kiểm tra nhãn 19 trong bảng chuyển tiếp và quyết định nó phải push nhãn 46 trong chồng nhãn, chuyển tiếp gói tin đến PE2. PE2 nhận gói tin từ P2, kiểm tra nhãn 46. Hình 3.8 Vận chuyển dữ liệu trong VPN qua mạng MPLS PE2 biết nó là egress router của đường chuyển mạch nhãn LSP nên nó pop nhãn 46 ra. Sau đó nó thực hiện kiểm tra nhãn tiếp theo, nhãn 16, và xác định được gói tin sẽ đi đến VRF A. Địa chỉ IP của gói tin được kiểm tra trong VRF A để xác định đích và interface lối ra cho gói tin. PE2 chuyển tiếp gói tin đến CE6. CE6 nhận gói tin IP từ PE2 và kiểm tra địa chỉ đích host 2. Tại đây việc định tuyến diễn ra dựa trên các giao thức định tuyến IGP thông thường. • Mô hình mạng trên có 2 VPN, A và B. VPNA gồm có CE1, CE5, CE6. VPNB gồm có CE2, CE3 và CE4. CE1 có lưu lượng đến đích là CE5 và CE6. Vì các site này cùng chung một VPN, nên PE1 sử dụng chung bảng chuyển tiếp là VRFA. Nhãn bên trong xác định VRF đích và nó giống nhau trong tất cả các gói tin thuộc về VPN đó, ngay cả nếu các gói tin này được chuyển đến các site khác nhau. CE2 và CE3 có lưu lượng đến đích là CE4. Vì các router này thuộc về VPN B, PE1 sử dụng bảng chuyển tiếp khác cho VPN này, VRF B. Tuy nhiên, cả hai VPN sử dụng cùng đường chuyển mạch nhãn LSP vì hai VPN đều có cùng ingress router (PE1) và egress router (PE2). 3.3 Bảo mật trong MPLS-VPN Bảo mật là một trong những yếu tố rất quan trọng đối với tất cả các giải pháp của VPN.Về khía cạnh bảo mật thì giải pháp VPN dựa trên BGP/MPLS có thể đạt được mức độ tương đương với giải pháp VPN dựa trên ATM. Bảo mật cho VPN phải đảm bảo sự cách ly về thông tin định tuyến cũng như không gian địa chỉ của mỗi VPN. Nghĩa là việc cấp địa chỉ của mỗi VPN là hoàn toàn độc lập nhau. Thông tin định tuyến từ VPN này không được phép sang VPN khác và ngược lại. Yêu cầu thứ hai là bảo mật phải đảm bảo được cấu trúc mạng lõi hoàn toàn trong suốt với khách hàng sử dụng dịch vụ. Thứ ba, bảo mật phải đảm bảo việc tránh làm giả nhãn như làm giả địa chỉ IP và chông các cuộc tấn công từ chối dịch vụ (Denial of Service) cũng như tấn công truy nhập dịch vụ (Intsuon). Để thấy rõ được việc bảo mật trong MPLS-VPN được thực hiện như thế nào, trước hết ta cần hiểu rằng MPLS-VPN cho phép sử dụng cùng không gian địa chỉ giữa các VPN nhưng vẫn đảm bảo được tính duy nhất của địa chỉ các site khách hàng nhờ vào giá trị 64 bit của trường phân biệt tuyến. Do đó, khách hàng bằng cách sử dụng MPLS-VPN không cần phải thay đổi địa chỉ hiện tại của mình. Việc định tuyến trong mạng của nhà cung cấp dịch vụ VPN được thực hiện trên chuyển mạch nhãn chú không phải dựa trên địa chỉ IP truyền thống. Hơn nữa, mỗi LSP tương ứng với một tuyến VPN-IP được bắt đầu và kết thúc tại các bộ định tuyến PE duy trì một bảng VRF riêng cho từng VPN, và VRF này chỉ phổ biến các tuyến thuộc về VPN đó. Nhờ vậy đảm bảo được sự cách ly thông tin định tuyến giữa các VPN với nhau. Đối với giải pháp MPLS-VPN, thật khó có thể tấn công trực tiếp vào VPN. Chỉ có thể tấn công vào mạng lõi MPLS, rồi từ đó tấn công vào VPN. Mạng lõi có thể tấn công theo hai cách là trực tiếp vào bộ định tuyến PE hoặc vào các cơ chế báo hiệu MPLS. Tuy nhiên, để tấn công vào mạng, trước hết cần phải biết địa chỉ IP của. Nhưng mạng lõi của MPLS hoàn toàn trong suốt với bên ngoài, do đó kẻ tấn công không thể biết được địa chỉ IP của bất kỳ bộ định tuyến nào trong mạng lõi. Chúng có thể đoán địa chỉ và gửi gói tin đến những địa chỉ này. Song trong mạng MPLS mỗi gói tin đi vào đều được coi là thuộc về không gian địa chỉ nào đó của khách hàng, do đó khó có thể tìm được các bộ định tuyến bên trong ngay cả khi đoán được địa chỉ. Có thể việc trao đổi thông tin định tuyến giữa các bộ định tuyến PE và CE sẽ là điểm yếu trong mạng MPLS-VPN, nhưng trên bộ định tuyến PE có thể dùng ACL và các phương thức xác thực của giao thức định tuyến dùng trên kết nối đó sẽ đảm bảo được vấn đề bảo mật. Việc làm giả nhãn cũng khó có thể xảy ra vì bộ định tuyến PE chỉ chấp nhận những gói tin từ bộ định tuyến CE gửi đến không có nhãn. Nếu gói tin đó là có nhãn thì nhãn đó là do PE kiểm soát và quản lý. Từ những vấn đề nêu trên, có thể thấy việc bảo mật trong MPLS-VPN được đảm bảo ở mức độ rất cao và hoàn toàn có thể so sánh ngang bằng với các giải pháp dựa trên ATM hay Frame Relay. 3.4 Kết luận chương 3 Như vậy ta đã thấy được một ứng dụng của MPLS là dịch vụ mạng riêng ảo MPLS-VPN. Trong chương này đã trình bầy những thành phần cơ bản của một mạng MPLS-VPN, các mô hình tại lớp 2 và lớp 3 và đặc biệt là nguyên lý hoạt động của, và vấn đề về bảo mật trong MPLS-VPN. Qua chương này ta cũng thấy rõ hơn việc triển khai các ưng dụng của MPLS-VPN ở lớp 2 và lớp 3 sẽ trình bầy ở chương sau. CHƯƠNG 4. ỨNG DỤNG VÀ TRIỂN KHAI CỦA MPLS-VPN 4.1 Giới thiệu chung Một trong những ứng dụng quan trọng nhất của MPLS-VPN là thiết kế mạng WAN (Wide Area Network). Không một doanh nghiệp, tổ chức thành đạt nào lại phủ nhận sự gắn bó giữa hệ thống thông tin và hiệu quả hoạt động sản xuất kinh doanh cũng như lộ trình phát triển của họ. Mỗi ngày, họ đầu tư nhiều hơn cho cả giá trị nội dung thông tin và hạ tầng mạng lưới thiết bị, dịch vụ. Hàng loạt các giải pháp mới ra đời mang lại những biến đổi lớn trong cấu trúc hạ tầng mạng riêng của các người dùng doanh nghiệp, tổ chức. Cấu trúc phổ biến hiện nay không còn xuất hiện ở dạng nội bộ LAN mà đã chuyển sang mô hình diện rộng WAN .Với WAN, các doanh nghiệp, tổ chức dần mở cánh cửa văn phòng mình vươn rộng khắp cả nước và ra ngoài biên giới, và kết nối thường trực với tất cả chi nhánh, khách hàng, nhà cung cấp, nhà phân phối đại lý. Các yêu cầu đặt ra khi thiết kế mạng WAN Chủ yếu có 4 yêu cầu chính như sau: Mạng WAN phải mềm dẻo, có khả năng đáp ứng được những thay đổi trong hoạt động kinh doanh của doanh nghiệp: Mạng WAN cần được thiết kế mềm dẻo, có khả năng thay đổi theo những thay đổi trong hoạt động kinh doanh của doanh nghiệp như mở thêm văn phòng, thay đổi nhà cung cấp nguyên liệu, thay đổi nhà phân phối, kênh bán hàng, v.v..., khi đó cấu trúc mạng và số nút mạng cũng cần được thay đổi theo. Khả năng khôi phục nhanh khi có sự cố, Khả năng này đặt ra yêu cầu gia tăng khả năng định tuyến lại lưu lượng thật nhanh chóng khi một điểm trung gian trên mạng hoặc 1 đường truyền dẫn bị đứt. Thông thường yêu cầu về thừoi gian khôi lục liên lạc trong khoảng 50 ms hay nhỏ hơn nếu như phục cho các lưu lượng thoại. Ngoài ra mạng WAN phải có khả năng mở rộng (các hệ số như tốc độ tối đa của kết nối WAN hay số lượng tối đa của các kênh ảo mà mạng đó hỗ trợ). Hội tụ hạ tầng mạng lưới (Convergence of Network Infrastructure): hợp nhất rất nhiều loại công nghệ (như ATM, Frame Relay), các giao thức (như IP, IPX, SNA) và các kiểu lưu lượng (như data, voice, và video) vào cùng một hạ tầng mạng duy nhất khi ấy chi phí hỗ trợ hạ tầng mạng sẽ giảm đáng kể so với hỗ trợ nhiều mạng lưới như trước. Cách ly lưu lượng (Traffic Isolation) nhằm hai mục đích: tăng tính bảo mật (chỉ truy cập được vào luồng lưu lượng của mình) và tính ổn định (các hoạt động của một thực thể chỉ ảnh hưởng đến thực thể đó) . 4.2 Ứng dụng của MPLS-VPN Đối với các doanh nghiệp, tổ chức, loại hình mạng riêng ảo trên mạng diện rộng đang là nhu cầu bức thiết nhất và thể hiện lợi ích rõ ràng với hoạt động của các đối tượng này. Để một công ty đạt được các mục tiêu kinh doanh, hạ tầng mạng riêng phải được tỏa rộng theo mọi hướng. Mạng MPLS có khả năng hỗ trợ hàng nghìn mạng riêng ảo chỉ trên một hạ tầng vật lý duy nhất nhờ đặc điểm phân chia nhiệm vụ đã giảm bớt yêu cầu kết nối ngang hàng hoàn toàn đầu- cuối qua mạng. Xét về khả năng hỗ trợ VPN, các hạ tầng mạng riêng ảo truyền thống dựa trên các công nghệ cũ như leased line, X25, ATM không thể đáp ứng được thực trạng đa dạng về yêu cầu, đa dạng về chất lượng dịch vụ của hàng loạt các đối tượng khách hàng như hiện nay. Đây sẽ là lý do khiến các nhà cung cấp dịch vụ này phải chuyển hướng sang một mô hình cung cấp khác hiệu quả hơn. Sự đa dạng của cả yêu cầu và chất lượng có thể minh họa theo 3 nhóm đối tượng có những yêu cầu rất khác nhau như sau:  •VPN truy cập từ xa ( Remote Access VPN): cung cấp truy cập tin cậy cho những người dùng từ xa như các nhân viên di động, các nhân viên ở xa và các văn phòng chi nhánh thuộc mạng lưới của DN. • VPN nội bộ (Intranet VPN): cho phép các văn phòng chi nhánh được liên kết một cách bảo mật đến trụ sở chính của DN. • VPN mở rộng (Extranet VPN): cho phép các khách hàng và các đối tác có thể truy cập một cách bảo mật đến Intranet của DN.Do đó, giải pháp đưa ra là phải xây dựng một mạng mềm dẻo và đa dịch vụ. Mạng này phải tích hợp được các dịch vụ của intranet, extranet, Internet và hỗ trợ cho mô hình vpn đa dịch vụ. Sự xuất hiện của MPLS đã đưa ra được một giải pháp như thế và sẽ là sự lựa chọn ưu tiên của các nhà cung cấp. Mô hình thực tế ứng dụng MPLS-VPN Dưới đây là hai ví dụ triển khai mạng riêng ảo dựa trên MPLS. Ví dụ thứ nhất, một tổ chức tài chính vận hành một mạng riêng kết nối một số các đơn vị trực thuộc, tất cả những đơn vị này đều yêu cầu một kết nối riêng về trung tâm nhưng thỉnh thoảng mới thực hiện kết nối. Các đơn vị trực thuộc này lại có nhu cầu kết nối rất khác nhau, có đơn vị chỉ yêu cầu dịch vụ email được hiệu quả nhất trong khi những đơn vị khác lại cần truy cập rất lớn và có các ứng dụng tương tác cần thời gian thực như là các cuộc gọi VOIP. Giải pháp cho loại này là một mạng MPLS sử dụng công nghệ VPN/MPLS lớp 3 Ở ví dụ thứ hai, một doanh nghiệp sở hữu và vận hành một mạng riêng để phục vụ cho các khối phòng ban hay văn phòng ở xa kết nối tới một số ứng dụng quan trọng. Doanh nghiệp này muốn nâng cấp sự hỗ trợ dần lên theo cách sau: • Phân tách logic các lưu lượng phòng ban- Thông qua mô hình mạng nội bộ ảo VLANs chia tách lưu lượng này trên hạ tầng mạng LAN và họ muốn duy trì sự chia tách này trên mạng WAN với tính bảo mật cao. • Triển khai VOIP tới tất cả các phòng ban chức năng và chi nhánh. • Truy nhập vào các ứng dụng tương tác thời gian thực – trong trường hợp này, thường là dạng mô hình trung tâm phân phối cuộc gọi cần có các tham số về thời gian đáp ứng và hiệu năng cao. Giải pháp đưa ra là triển khai mô hình MPLS theo công nghệ VPN/MPLS lớp 3. Các lưu lượng thoại và dữ liệu trong mạng LAN ảo sẽ được dẫn tới các VRF tại các bộ định tuyến văn phòng chi nhánh và khi ấy chuyển tải thông qua mạng WAN đến các vị trí ở xa khác. Để đáp ứng cho nhu cầu bảo mật, giải pháp này có thể sử dụng IPSec. Ngoài ra, định tuyến nội bộ có thể được cấu hình để mà nếu có một trong số các liên kết chính bị đứt, tất cả lưu lượng có thể được định tuyến lại trong 50 ms đến các tuyến thay thế khác để đảm bảo liên tục các phiên cho tất cả người dùng. Hình 4.1 Các kết nối văn phòng ở xa và các phòng ban bộ phận  4.3 Triển khai MPLS-VPN của VNPT tại Việt Nam Tại Việt nam, MPLS hiện đang được xúc tiến xây dựng trong mạng truyền tải của Tập đoàn BCVT Việt nam (VNPT). Với dự án VoIP hiện đang triển khai, VNPT đã thiết lập mạng trục MPLS với 3 LSR lõi. Các LSR biên sẽ được tiếp tục đầu tư và mở rộng tại các địa điểm có nhu cầu lớn như Hải Phòng, Quảng Ninh,… ở phía Bắc, Đà Nẵng, Khánh Hoà... ở miền Trung, Bình Dương, Đồng Nai, Bà Rịa - Vũng Tàu... ở miền Nam. Lợi ích của dịch vụ Cho phép kết nối các mạng máy tính của các công ty, doanh nghiệp với nhau thành một mạng riêng ảo trên các khoảng cách địa lý khác nhau. Chi phí thấp. Đây là giải pháp kết nối thông tin mới với chi phí thấp hơn nhiều so với các công nghệ trước đây như Leaseline, FrameRelay. Như Ngân hàng Kỹ thương Việt Nam (Techcombank) chuyển từ dịch vụ thuê kênh trực tiếp (leased-line) sang dùng đường truyền MegaWAN trên toàn bộ hệ thống của Techcombank, ước tính mỗi năm Techcombank tiết kiệm được khoảng 400 triệu đồng riêng chi phí thuê đường truyền. Tính linh hoạt và ổn định cao theo các yêu cầu riêng biệt của khách hàng. MegaWAN còn mang lại cho khách hàng: Khai thác hiệu quả và mềm dẻo. Có khả năng triển khai cung cấp dịch vụ nhanh chóng và thuận tiện. Tầm với mở rộng, Nội tỉnh, Liên tỉnh, Quốc tế. Khả năng tương thích cao. Dịch vụ đa dạng: ADSL, ADSL2+, SHDSL. Tốc độ đa dạng, nx64K. Cho phép vừa sử dụng MRA vừa truy cập Internet trên cùng một đường dây thuê bao (nếu có nhu cầu). Hoạt động rất ổn định. Hiện nay VNPT cung cấp dịch vụ MEGA-WAN với các loại hình dịch vụ VPN MPLS như sau. VNPT MPLS VPN lớp 2: Với đặc trưng là kết nối point – point với lớp truyền giữa là ATM, Ethernet, FR. Triển khai là các dịch vụ ADSL, G.SHDSL kéo từ mạng của VNPT tới các CE và khách hàng tự quản lý việc định tuyến.Ưu điểm của VPN lớp 2 là: không yêu cầu bất cứ một sự thay đổi nào từ phía mạng hiện có của khách hàng; Mức độ riêng tư phụ thuộc vào policy của khách hàng; Khách hàng tự quản lý việc định tuyến từ PCE – PCE; Các giao thức hỗ trợ cho cả Unicast và Multicast. Loại này phù hợp với các doanh nghiệp vừa và nhỏ, có mô hình mạng không phức tạp. Ít khả năng mở rộng và chỉ là công nghệ lớp 2 (ATM, FR, Ethernet trong suốt trên MPLS). VNPT MPLS VPN lớp 3: Công nghệ truyền dẫn vẫn là ADSL và G.SHDSL qua các DSLAM. Topo mạng là Full-Mesh. Trong dịch vụ này VNPT sẽ quản lý việc định tuyến, còn người dùng chỉ việc phó mặc việc đó cho VNPT. VPN lớp 3 của VNPT sử dụng giao thức định tuyến tĩnh, RIPv2, OSPF, BGP. Dịch vụ này có chi phí khá thấp vì chỉ cần một thiết bị định tuyến và không cần trình độ quản lý cao, do nhà cung cấp dịch vụ đã quản lý hộ người dùng. Tuy nhiên dịch vụ này cũng có một số giới hạn đó là người dùng không có khả năng tự quản lý định tuyến được như dịch vụ Wan lớp 2. Các chính sách bảo mật như firewall hoặc mã hoá được đặt ở CPE chứ không phải ở PE, do đó người dùng phải có kiến thức về bảo mật. VNPT MPLS L2 VPN Chi nhánh-3 Site 3 Chi nhánh-1 Site1 Chi nhánh-2 Site2 Cấu hình điểm-điểm đường trục là Hà Nội, Đà Nẵng và Hồ chí Minh sử dụng đóng gói ATM. Mạng DSLAM cung cấp kết nối truy nhập xDSL CE–1 PE 1 CE–2 PE 3 PE 2 CE–3 Hình 4.2 VNPT MPLS-VPN lớp 2 Trung tâm Site-0 VNPT MPLS L3 VPN Chi nhánh-2 Site2 Chi nhánh-1 Site1 Chi nhánh-3 Site 3 CE–0 CE–1 CE–2 CE–3 PE 3 PE 0 PE 1 PE 2 Mô hình Full-Mesh cho 4 node truy nhập xDSL G.SHDSL ADSL Hình 4.3 VNPT MPLS lớp 3 MegaWAN do VNPT triên khai: Mô hình thực tế do VNPT cung cấp: Hình 4.4 Mô hình mạng MegaWAN thực tế do VNPT cung cấp Các loại hình dịch vụ MegaWAN do VNPT cung cấp: Dịch vụ MegaWAN nội tỉnh Hiện nay dịch vụ MegaWAN nội tỉnh đã được 64 bưu điện tỉnh, thành phố trên toàn quốc cung cấp. Hình 4.5 Mô hình MegaWAN nội tỉnh của Hà Nội Dịch vụ MegaWAN liên tỉnh Hình 4.6 Mô hình MeaWAN liên tỉnh của Hà Nội Dịch vụ MegaWAN quốc tế Giá cước dịch vụ MegaWAN Cước đấu nối hoà mạng Bảng 4.1. Cước đấu nối hoà mạng Loại cổng Cước đấu nối hoà mạng cổng (1)(đồng/lần/cổng) Cước đấu nối hoà mạng phân đoạn kênh (2)(đồng/lần/ kênh) Trên đường điện thoại có sẵn Lắp đường không số Lắp đặt MegaWAN cùng với dịch vụ điện thoại CĐ Dưới 512 Kb/s Từ 512 Kb/s đến 2Mb/s ADSL 300.000 600.000 600.000đ + cước hoà mạng điện thoại CĐ 150.000 500.000 SHDSL không đáp ứng 1.000.000 Không đáp ứng 150.000 500.000 * Cước dịch vụ MegaWan tốc độ trên 2Mb/s trên địa bàn Thành phố Hà Nội: Cước đấu nối hòa mạng: 5.000.000đồng/ kênh-lần/ điểm truy cập Cước chuyển đổi tốc độ đường lên (up link): 2.500.000đồng/kênh-lần Cước dịch chuyển địa điểm trên địa bàn Hà Nội: Thu bằng 50% cước đấu nối hòa mạng kênh đường lên Những mức cước trên không bao gồm thiết bị kết nối mạng CPE phía khách hàng Đối với những khách hàng lớn, khách hàng đặc biệt theo quy định chăm sóc khách hàng hiện hành: Giảm 20% cước đấu nối hoàn mạng Đối với những khách hàng lắp đặt một lần từ 03 kênh trở lên: Giảm 20% cước đấu nối hòa mạng Cước thuê hàng tháng: Cước thuê cổng được xác định theo tốc độ cổng (FE hoặc GE) - Tốc độ FE: Mức cước 337.000 đồng/ cổng/ tháng - Tốc độ GE: Mức cước 673.000 đồng/ cổng/ tháng Bảng 4.2. Cước thuê kênh đường lên dịch vụ MegaWAN tốc độ trên 2Mb/s nội hạt Tốc độ (Mb/s) Cước đường lên (up-link). Đơn vị tính: đồng/tháng 1 1,005,000 2 1,704,000 3 2,130,000 4 2,556,000 5 3,408,000 6 3,976,000 7 4,544,000 8 5,112,000 9 5,540,000 10 5,964,000 20 10,224,000 30 13,064,000 40 15,904,000 50 18,744,000 60 21,130,000 70 23,516,000 80 25,902,000 90 28,288,000 100 30,672,000 Cước thuê kênh hàng tháng Bảng 4.3. Cước thuê kênh hàng tháng Cước thuê cổng MegaWAN Đơn vị tính: đồng /cổng/tháng Loại cổng ADSL 181,181 Loại cổng SHDSL 272,272 Bảng 4.4. Thuê kênh đường lên Cước thuê phân đoạn kênh đường lên(up-link) MegaWAN nội hạt Đơn vị tính nghin đồng/cổng/tháng Tốc độ (Kb/s) Cước đường lên( up-link) Tốc độ (Kb/s) Cước đường lên( up-link) Tốc độ (Kb/s) Cước đường lên( up-link) Tốc độ (Kb/s) Cước đường lên(up-link) 64 183 576 915 1088 1438 1600 1881 128 303 640 970 1152 1584 1664 1921 192 406 704 979 1216 1627 1728 1962 256 525 768 1033 1280 1670 1792 2002 320 601 832 1098 1344 1713 1856 2043 384 676 896 1162 1408 1755 1920 2083 448 768 960 1226 1472 1792 1984 2124 512 860 1024 1291 1544/1536 1841 2048 2164 * Cước thuê kênh hàng tháng = 4.3 + 4.4 Cước biến động dịch vụ Bảng 4.5. Cước biến động dịch vụ Chuyển đổi tốc độ cổng Đơn vị tính: đồng/lần/cổng Chuyển đổi tốc độ cổng ADSL sang SHDSL 400.000 Chuyển đổi tốc độ cổng SHDSL sang ADSL Không thu cước Chuyển đổi tốc độ kênh lên Đơn vị tính: đồng/lần/kênh đường Nâng tốc độ kênh từ =512Kb/s 400.000 Nâng hoặc hạ tốc độ kênh từ 64Kb/s đến dưới 512Kb/s; hạ tốc độ kênh từ 512Kb/s xuống <512 Kb/s 100.000 Thu cước trong thời gian tạm ngừng dịch vụ Tính theo tháng Tạm ngưng tối thiểu là 1 tháng, tối đa là 3 tháng, dưới 30 ngày làm tròn tháng 30% cước thuê bao tháng Cước truy nhập Internet tốc độ cao Bảng 4.6. Cước truy nhập Internet tốc độ 2MB/S từ mạng MegaWAN Cước truy nhập Internet tốc độ 2MB/S từ mạng MegaWAN Đơn vị tính: đồng/tháng/đường truy nhập Cước đấu nối hoà mạng và cước thuê bao Không thu cước Cước truy nhập Internet thực tế ( tổng cước không vượt quá 727.273 đồng)hạ tốc độ kênh từ 512Kb/s xuống <512 Kb/s Áp dụng như mức cước Mega VNN hiện hànhđối với tốc độ 2M bps/ 640 Kbps. Cước các dịch vụ liên quan Bảng 4.7. Cước các dịch vụ liên quan Loại chuyển đổi từ dịch vụ khác sang dịch vụ MegaWAN Loại cổng Cước đấu nối hoà mạng cổng khi chuyển đổi (*) Cước đấu nối hoà mạng phân đoạn kênh khi chuyển đổi (**) Chuyển đổi từ dịch vụ kênh thuê riêng sang dịch vụ MegaWAN ADSL 50% cước đấu nối mới mục I.1 100 % cước đấu nối mới mục 1 SHDSL 100 % cước đấu nối mới mục 1 Chuyển dịch từ dịch vụ Mega VNN (đường không số) sang MegaWAN ADSL Không thu cước 100 % cước đấu nối mới mục 1 SHDSL Cước đấu nối hoà mạng MegaWAN (cổng SHDSL) trừ cước hoà mạng dịch vụ MegaVNN 100 % cước đấu nối mới mục 1 Chuyển đổi từ dịch vụ MegaVNN(có điện thoại CĐ) sang MegaWAN ADSL Không thu cước 100 % cước đấu nối mới mục 1 SHDSL Không đáp ứng Không đáp ứng Cước đấu nối hoà mạng khi chuyển đổi dịch vụ = Cước tại mục 4.7(*) + Cước tại mục 4.7(**) Cước chuyển dịch vụ MegaWAN Bảng 4.8. Cước chuyển dịch MegaWAN Cước chuyển dịch MegaWAN Đơn vị tính: đồng/cổng/lần Loại chuyển dịch Cước chuyển dịch đến địa chỉ mới không có cáp Cước chuyển dịch đến địa chỉ mới có cáp Cổng ADSL Cổng SHDSL Cổng ADSL Cổng SHDSL Chuyển dịch MegaWAN sử dụng đường không số 300.000đ 500.000đ 150.000đ Không đáp ứng Chuyển dịch MegaWAN cùng với dịch vụ điện thoại CĐ 300.000đ 500.000đ Không đáp ứng Không đáp ứng Chuyển dịch MegaWAN không chuyển dịch điện thoại CĐ dùng chung đôi cáp 300.000đ 500.000đ 150.000đ Không đáp ứng Cước thuê ngắn ngày của dịch vụ MegaWAN Cước đấu nối hoà mạng thu như bình thường . Cước thuê cổng và thuê kênh (tổng cước thuê ngày không lớn hơn cước thuê tháng Bảng 4.9. Cước thuê cổng và thuê kênh 02 ngày đầu tiên 1/10 cước thuê cổng và thuê kênh tháng Từ ngày thứ 3 đến ngày thứ 10 1/20 cước thuê cổng và thuê kênh tháng Từ ngày thứ 11 trở đi 1/25 cước thuê cổng và thuê kênh tháng 4.4 Kết luận chương 4 Như vậy, với mạng MPLS-VPN các doanh nghiệp, tổ chức hoàn toàn có thể đạt được các mục tiêu của mình như: điều khiển nhiều hơn trên hạ tầng mạng, có được dịch vụ hiệu năng và độ tin cậy tốt hơn, cung cấp đa lớp dịch vụ tới người sử dụng, mở rộng an toàn, đảm bảo hiệu năng đáp ứng theo yêu cầu của ứng dụng, hỗ trợ hội tụ đa công nghệ và đa kiểu lưu lượng trên cùng một mạng đơn, đặc biệt khi các doanh nghiệp khi ứng dụng mạng MPLS-VPN vào việc truyền tải thông tin sẽ tiết kiệm được rất nhiều chi phí một vấn đề mà không một doanh nghiệp nào không quan tâm. Tuy nhiên, các đơn vị này khi chọn lựa nhà cung cấp phần cứng cần phải cẩn thận và phải căn cứ trên nhiều góc độ và tiêu chí đánh giá khác nhau. Ví dụ có thể căn cứ các tài liệu đánh giá hiệu năng sản phẩm của các đơn vụ truyền thông, bức tranh phát triển của nhà cung cấp đó cả về chiều rộng và chiều sâu. Nhờ ưu điểm vượt trội của chất lượng dịch vụ qua mạng IP và là phương án triển khai VPN mới khắc phục được nhiều vấn đề mà các công nghệ ra đời trước nó chưa giải quyết được. KẾT LUẬN Sau một thời gian tìm hiểu em đã hoàn thành đồ án với nội dung đã đạt được: Nắm được cơ bản về mạng riêng ảo, các khái niệm những ưu nhược điểm, các mô hình cũng như phân loại mạng riêng ảo. Hiểu được công nghệ chuyển mạch nhãn đa giao thức MPLS, một công nghệ đang được áp dụng rộng rãi. Nắm bắt được các thành phần cơ bản của MPLS và hoạt đông. Tìm hiểu được mô hình mạng MPLS-VPN, mô hình MPLS-VPN lớp 2 và lớp 3 ,hoạt động của MPLS-VPN. Tìm hiểu được những lọi ích mà mạng riêng ảo trên nền công nghệ MPLS mang lại. Qua đó tìm hiểu ứng dụng của MPLS-VPN cho việc thiết lập mạng diện rộng WAN cho các doanh nghiệp và mô hình thực tế ứng dụng MPLS-VPN của VNPT tại Việt Nam. Mặc dù đã cố gắng nhưng do thời gian và trình độ có hạn nên đồ án này khó tránh khỏi những thiếu sót, e chưa tìm hiểu được vấn đề bảo mật trong MPLS-VPN, triển khai thực tế đến các doanh nghiệp. Em rất mong nhận được ý kiến đóng góp của thầy cô và bạn bè để em có thể bổ sung và hoàn thiện đồ án này. Một lần nữa, em xin gửi lời cảm ơn chân thành đến các thầy cô giáo trong bộ môn Mạng Viễn thông và các thầy cô giáo trong Học viện Bưu chính Viễn thông, đặc biệt là cô giáo Th.S Dương Thị Thanh Tú đã tận tình dạy dỗ và giúp đỡ em trong quá trình học tập cũng như làm đồ án này. Em xin chân thành cảm ơn! Sinh viên: Nguyễn Minh Tuấn TÀI LIỆU THAM KHẢO [1] Implementing Cisco MPLS, Vol. 1. Cisco Press, 2004. [2] Implementing Cisco MPLS, Vol. 2. Cisco Press, 2004. [3] Ivan Pepelnjak. MPLS and VPN Architectures, Vol. 2. Cisco press, 2003. [4] TS. Nguyễn Tiến Ban, Th.S Hoàng Trọng Minh. Mạng Riêng Ảo VPN, 2007, Học viện CNBCVT. [5] TS. Phùng Văn Vận, KS. Đỗ Mạnh Quyết, “Công nghệ chuyển mạch nhãn đa giao thức MPLS”, Nhà xuất bản Bưu Điện, 2003. [6] [7] [8] [9]