Tweet
1. Cơ chế truyền thông tin của khách hàng theo mạng MPLS-VPN:
Bộ định tuyến CE gửi cập nhật định tuyến IP đến bộ định tuyến PE. Bộ định tuyến PE sau đó thêm trường phân biệt tuyến (64bit) vào trường địa chỉ IP (32bit) mà nó đã nhận, kết quả là tạo ra địa chỉ VPN-IP 96 bit duy nhất. Địa chỉ VPN-IP này được truyền đi thông qua phiên MP-BGP đến các bộ định tuyến PE khác. Bộ định tuyến PE nhận sẽ loại bỏ trường phân biệt tuyến từ địa chỉ VPN-IP để tạo thành IP như ban đầu mà CE đầu xa đã gửi. Địa chỉ IP này được chuyển tiếp đến bộ định tuyến CE khác trong bản cập nhật định tuyến IP. Địa chỉ VPN-IP chỉ được xử lý trong các giao thức định tuyến chứ không được tải trong phần mào đầu của gói IP. Vì vậy VPN-IP không thể sử dụng một cách trực tiếp để chuyển gói. Nhiệm vụ chuyển tiếp các gói được thực hiện dựa trên MPLS.
Để hiểu rõ hơn cơ chế hoạt động của quá trình chuyển tiếp các gói VPN ta xem Hình . Trong ví dụ PE1 là bộ định tuyến đầu vào, còn PE2 là bộ định tuyến đầu ra. Bộ định tuyến PE đầu vào có hai nhãn liên quan tới tuyến VPN đầu xa. Một nhãn dành cho BGP next-hop, được đăng kí bởi bộ định tuyến P kế tiếp thông qua giao thức phấn bố nhãn LDP và được lấy tứ LIB cục bộ. Còn nhãn thứ hai được đăng ký bởi bộ định tuyến PE đầu ra và được truyền đi thông qua các cập nhật MP-iBGP. Cả hai nhãn này được kết hợp trong ngăn xếp nhãn và đưa vào bảng VRF.
Giả sử đường dẫn chuyển mạch nhãn LSP đã được thiết lập giữa PE1 và PE2, và host1 muốn gửi dữ liệu đến host 2. Host 1 gửi gói tin đến bộ định tuyến CE1. CE1 sẽ đóng gói gói tin và chuyển đến PE1. PE1 nhận gói tin, và dựa trên giao diện mà gói tin đến, nó quyết định sử dụng bảng chuyển tiếp của VRF A để định tuyến gói tin. PE1 kiểm tra địa chỉ đích của host 2 trong bảng chuyển tiếp của VRF A và tìm thấy có địa chỉ trong đó. PE1 dán nhãn 16 vào gói tin. Đây là nhãn bên trong để nhận diện VRF trên bộ định tuyến PE2. Nhãn 16 trước đó đã được chuyển từ PE2 đến PE1 thông qua phiên làm việc MP-iBGP.
Tiếp theo, PE1 dán thêm nhãn 21 vào gói tin và chuyển gói đã dán nhãn đến bộ định tuyến P1. Nhãn 21 được đặt vào trong ngăn xếp sau nhãn 16. Như vậy, nhãn 21 là nhãn bên ngoài và sẽ được thay đổi sau mỗi phân đoạn giữa hai bộ định tuyến LSR với nhau. P1 nhận gói tin từ PE1 và lấy nhãn 21 ra để kiểm tra trong bảng chuyển tiếp. Nó quyết định dán nhãn 19 thay cho nhãn 21 rồi chuyển tiếp gói tin đến P2. P2 nhận gói tin và lấy nhãn 19 ra để kiểm tra trong bảng chuyển tiếp. Kết quả kiểm tra chỉ thị rằng nó phải dán nhãn 46 thay cho nhãn 19 rồi chuyển tiếp gói tin đến PE2.
PE2 nhận gói tin từ P2, kiểm tra nhãn 46. PE2 được nhận biết là bộ định tuyến đầu ra của đường chuyển mạch nhãn LSP nên nó giải phóng nhãn 46. Sau đó nó kiểm tra nhãn tiếp theo là 16 và xác định được gói tin sẽ đi đến VRF A. Địa chỉ IP của gói tin được kiểm tra trong VRF A để xác định đích và giao diện đầu ra cho gói tin. PE2 chuyển tiếp gói tin đến CE6. CE6 nhận gói tin IP từ PE2 và kiểm tra địa chỉ đích host2. Tại đây việc định tuyến được thực hiện dựa trên các giao thức định tuyến IGP thông thường. Mô hình hệ thống trên có hai mạng riêng ảo là VPN A và VPN B. VPN A bao gồm có CE1, CE5 và CE6. VPN B bao gồm có CE2, CE3 và CE4. CE1 có lưu lượng đến đích là CE5 và CE6. Vì các site này cùng chung một VPN, nên PE1 sử dụng chung bảng chuyển tiếp là VRF A. Nhãn bên trong xác định VRF đích và nó giống nhau trong tất cả các gói tin thuộc vể VPN đó, ngay cả nếu các gói tin này được chuyển đến các site khác nhau. CE2 và CE3 có lưu lượng đến đích là CE4. Vì các bộ định tuyến này thuộc về VPN B, PE1 sử dụng bảng chuyển tiếp khác cho VPN này là VRF B. Tuy nhiên, cả hai VPN sử dụng cùng một đường chuyển mạch nhãn LSP vì chúng đều có cùng bộ định tuyến vào PE1 và bộ định tuyến ra PE2.
2. Hoạt động của mặt phẳng dữ liệu MPLS VPN:
Hình sau mô tả các buớc trong chuyển tiếp dữ liệu khách hàng của mặt phẳng dữ liệu từ một site khách hàng CE2-A tới CE1-A trong hạ tầng mạng của SP.
Khi dữ liệu được chuyển tiếp tới một mạng cụ thể dọc theo mạng VPN qua lõi MPLS, chỉ có nhãn trên (top lable) trong chồng nhãn bị hoán đổi (swap) khi gói đi qua backbone. Nhãn VPN vẫn giữ nguyên và được bóc ra khi đến router PE ngõ ra (egress)/xuôi dòng(downstream). Mạng gắn với một giao tiếp ngõ ra thuộc vào một VRF cụ thể trên router phụ thuộc vào giá trị của nhãn VPN. Sau đây là những buớc trong việc chuyển tiếp của mặt phẳng dữ liệu minh họa cho hình trên: CE2-A tạo ra một gói dữ liệu với địa chỉ nguồn 172.16.20.1 và đích là 172.16.10.1. PE2-AS1 nhận gói dữ liệu, thêm vào nhãn VPN V1 và nhãn LDP L2 rồi chuyển tiếp gói đến P2-AS1. P2-AS1 nhận gói dữ liệu và chuyển đổi (swap) nhãn LDP L2 thành L1. P1-AS1 nhận gói dữ liệu và bóc (pop) nhãn trên (top label) ra vì nó nhận một ánh xạ nhãn cho 10.10.10.101/32 từ PE1-AS1. Kết quả, gói được gán nhãn (nhãn VPN la V1) được chuyển tiếp đến PE1-AS1. PE1-AS1 bóc nhãn VPN V1 ra và chuyển tiếp gói dữ liệu dến CE1-A nơi có địa chỉ mạng 172.16.10.0 được định vị.
3. Các phương thức để Router PE học các Router từ Router CE:
Để cung cấp dịch vụ VPN, router PE cần được cấu hình để bất kì thông tin định tuyến nào được học từ interface khách hàng VPN có thể được liên kết với một VRF nào đó. Điều này có thể được thực hiện thông qua tiến trình giao thức định tuyến chuẩn, tiến trình này được gọi là routing context. Mỗi VRF sử dụng một routing context riêng. Bất kì route nào được học dọc interface liên kết với một routing context nào đó sẽ được nhập vào bảng VRF tương ứng. Nhưng với những route không phải thuộc về routing context VRF nào sẽ được đặt vào bảng định tuyến global. Điều này cho phép sự cách ly thông tin định tuyến thành những context khác nhau ngay cả nếu thông tin đó được học bởi cùng một tiến trình giao thức định tuyến. Tạo ra các giao thức định tuyến thích hợp cho từng VPN (VPN-aware routing protocol) một cách hiệu quả. Trong trường hợp thiết bị CE là host hoặc là switch, địa chỉ này thường được cấu hình trên router PE mà thiết bị đó kết nối vào. Nhưng trong trường hợp thiết bị CE là router, thì có nhiều cách để router PE có thể học được các địa chỉ từ router CE. Router PE chuyển những địa chỉ này thành địa chỉ VPNv4 bằng cách sử dụng RD. Các route VPNv4 phải được quảng bá dọc phiên MP-BGP đến router PE khác. Điều này xảy ra khi routing context phải được cấu hình trong tiến trình BGP để thông báo cho BGP biết route VRF nào quảng bá. Kết nối trên CE và PE có thể thực hiện thông qua định tuyến tĩnh hoặc định tuyến động (OSPF, EBGP, RIPv2, EIGRP) để router PE có thể học được các route của khách hàng và đặt vào bảng VRF tương ứng. Mỗi routing context của khách hàng nào đó có thể chạy những giao thức định tuyến khác nhau.
4. Bảo mật trong MPLS-VPN:
Bảo mật đóng vai trò rất quan trọng đối với tất cả các giải pháp mạng VPN. Cần phải đáp ứng được 3 yêu cầu cơ bản sau:
Thứ 1: phải đảm bảo tính riêng biệt về thông tin định tuyến của mỗi VPN nghĩ là việc cấp địa chỉ của mỗi VPN là hoàn toàn độc lập nhau.
Thứ 2: phải đảm bảo được cấu trúc mạng lõi hoàn toàn trong suốt với khách hàng sử dụng dịch vụ.
Thứ 3: đảm bảo việc không làm giả nhãn và chống lại tấn công từ chối dịch vụ và tấn công truy cập dịch vụ.
Việc định tuyến trong mạng của nhà cung cấp dịch vụ VPN được thực hiện trên chuyển mạch nhãn chứ không phải dựa trên địa chỉ IP truyền thống. Hơn nữa, mỗi LSP tương ứng với một tuyến VPN-IP được bắt đầu và kết thúc tại các bộ định tuyến PE chứ không bắt đầu và kết thúc ở một điểm trung gian nào trong mạng của nhà cung cấp. Do đó mạng lõi bên trong hoàn toàn trong suốt đối với khác hàng. Mỗi bộ định tuyến PE duy trì một bảng VRF riêng cho từng VPN, và VRF này chỉ phổ biến các tuyến thuộc về VPN đó. Nhờ vậy đảm bảo được sự cách ly thông tin định tuyến giữa các VPN với nhau.
Việc trao đổi thông tin định tuyến giữa các bộ định tuyến PE và CE sẽ là điểm yếu trong mạng MPLS-VPN, nhưng trên bộ định tuyến PE có thể dùng ACL và các phương pháp xác thực của giao thức định tuyến dùng trên kết nối đó sẽ đảm bảo được vấn đề bảo mật. Việc làm giả nhãn cũng khó có thể xảy ra vì bộ định tuyến PE chỉ chấp nhận những gói tin từ bộ định tuyến CE gửi đến không có nhãn. Nếu gói tin là có nhãn thì nhãn đó do PE kiểm soát và quản lý.
Từ những vấn đề nêu trên, có thể thấy việc bảo mật trong MPLS-VPN được bảo đảm ở mức độ rất cao và hoàn toàn có thể so sánh ngang bằng với việc bảo mật trong các giải pháp dựa trên ATM hay Frame Relay.
5. Chất lượng dịch vụ (Qos – Quality of Service) trong MPLS-VPN:
QoS luôn là một vấn đề được quan tâm hàng đầu đối với nhà khai thác và quản trị mạng. Các cơ chế QoS được sử dụng phải đủ mềm dẻo để đáp ứng những yêu cầu khác nhau của khách hàng VPN. QoS được kích hoạt trên tất cả các thiết bị Router, Gateway, Switch trên toàn mạng để đảm bảo QoS từ đầu cuối đến đầu cuối (end-to-end).
Bộ định tuyến CE gửi cập nhật định tuyến IP đến bộ định tuyến PE. Bộ định tuyến PE sau đó thêm trường phân biệt tuyến (64bit) vào trường địa chỉ IP (32bit) mà nó đã nhận, kết quả là tạo ra địa chỉ VPN-IP 96 bit duy nhất. Địa chỉ VPN-IP này được truyền đi thông qua phiên MP-BGP đến các bộ định tuyến PE khác. Bộ định tuyến PE nhận sẽ loại bỏ trường phân biệt tuyến từ địa chỉ VPN-IP để tạo thành IP như ban đầu mà CE đầu xa đã gửi. Địa chỉ IP này được chuyển tiếp đến bộ định tuyến CE khác trong bản cập nhật định tuyến IP. Địa chỉ VPN-IP chỉ được xử lý trong các giao thức định tuyến chứ không được tải trong phần mào đầu của gói IP. Vì vậy VPN-IP không thể sử dụng một cách trực tiếp để chuyển gói. Nhiệm vụ chuyển tiếp các gói được thực hiện dựa trên MPLS.
Chuyển tiếp dữ liệu qua mạng MPLS
Để hiểu rõ hơn cơ chế hoạt động của quá trình chuyển tiếp các gói VPN ta xem Hình . Trong ví dụ PE1 là bộ định tuyến đầu vào, còn PE2 là bộ định tuyến đầu ra. Bộ định tuyến PE đầu vào có hai nhãn liên quan tới tuyến VPN đầu xa. Một nhãn dành cho BGP next-hop, được đăng kí bởi bộ định tuyến P kế tiếp thông qua giao thức phấn bố nhãn LDP và được lấy tứ LIB cục bộ. Còn nhãn thứ hai được đăng ký bởi bộ định tuyến PE đầu ra và được truyền đi thông qua các cập nhật MP-iBGP. Cả hai nhãn này được kết hợp trong ngăn xếp nhãn và đưa vào bảng VRF.
Giả sử đường dẫn chuyển mạch nhãn LSP đã được thiết lập giữa PE1 và PE2, và host1 muốn gửi dữ liệu đến host 2. Host 1 gửi gói tin đến bộ định tuyến CE1. CE1 sẽ đóng gói gói tin và chuyển đến PE1. PE1 nhận gói tin, và dựa trên giao diện mà gói tin đến, nó quyết định sử dụng bảng chuyển tiếp của VRF A để định tuyến gói tin. PE1 kiểm tra địa chỉ đích của host 2 trong bảng chuyển tiếp của VRF A và tìm thấy có địa chỉ trong đó. PE1 dán nhãn 16 vào gói tin. Đây là nhãn bên trong để nhận diện VRF trên bộ định tuyến PE2. Nhãn 16 trước đó đã được chuyển từ PE2 đến PE1 thông qua phiên làm việc MP-iBGP.
Tiếp theo, PE1 dán thêm nhãn 21 vào gói tin và chuyển gói đã dán nhãn đến bộ định tuyến P1. Nhãn 21 được đặt vào trong ngăn xếp sau nhãn 16. Như vậy, nhãn 21 là nhãn bên ngoài và sẽ được thay đổi sau mỗi phân đoạn giữa hai bộ định tuyến LSR với nhau. P1 nhận gói tin từ PE1 và lấy nhãn 21 ra để kiểm tra trong bảng chuyển tiếp. Nó quyết định dán nhãn 19 thay cho nhãn 21 rồi chuyển tiếp gói tin đến P2. P2 nhận gói tin và lấy nhãn 19 ra để kiểm tra trong bảng chuyển tiếp. Kết quả kiểm tra chỉ thị rằng nó phải dán nhãn 46 thay cho nhãn 19 rồi chuyển tiếp gói tin đến PE2.
PE2 nhận gói tin từ P2, kiểm tra nhãn 46. PE2 được nhận biết là bộ định tuyến đầu ra của đường chuyển mạch nhãn LSP nên nó giải phóng nhãn 46. Sau đó nó kiểm tra nhãn tiếp theo là 16 và xác định được gói tin sẽ đi đến VRF A. Địa chỉ IP của gói tin được kiểm tra trong VRF A để xác định đích và giao diện đầu ra cho gói tin. PE2 chuyển tiếp gói tin đến CE6. CE6 nhận gói tin IP từ PE2 và kiểm tra địa chỉ đích host2. Tại đây việc định tuyến được thực hiện dựa trên các giao thức định tuyến IGP thông thường. Mô hình hệ thống trên có hai mạng riêng ảo là VPN A và VPN B. VPN A bao gồm có CE1, CE5 và CE6. VPN B bao gồm có CE2, CE3 và CE4. CE1 có lưu lượng đến đích là CE5 và CE6. Vì các site này cùng chung một VPN, nên PE1 sử dụng chung bảng chuyển tiếp là VRF A. Nhãn bên trong xác định VRF đích và nó giống nhau trong tất cả các gói tin thuộc vể VPN đó, ngay cả nếu các gói tin này được chuyển đến các site khác nhau. CE2 và CE3 có lưu lượng đến đích là CE4. Vì các bộ định tuyến này thuộc về VPN B, PE1 sử dụng bảng chuyển tiếp khác cho VPN này là VRF B. Tuy nhiên, cả hai VPN sử dụng cùng một đường chuyển mạch nhãn LSP vì chúng đều có cùng bộ định tuyến vào PE1 và bộ định tuyến ra PE2.
2. Hoạt động của mặt phẳng dữ liệu MPLS VPN:
Hình sau mô tả các buớc trong chuyển tiếp dữ liệu khách hàng của mặt phẳng dữ liệu từ một site khách hàng CE2-A tới CE1-A trong hạ tầng mạng của SP.
Hoạt động của mặt phẳng dữ liệu MPLS VPN
Khi dữ liệu được chuyển tiếp tới một mạng cụ thể dọc theo mạng VPN qua lõi MPLS, chỉ có nhãn trên (top lable) trong chồng nhãn bị hoán đổi (swap) khi gói đi qua backbone. Nhãn VPN vẫn giữ nguyên và được bóc ra khi đến router PE ngõ ra (egress)/xuôi dòng(downstream). Mạng gắn với một giao tiếp ngõ ra thuộc vào một VRF cụ thể trên router phụ thuộc vào giá trị của nhãn VPN. Sau đây là những buớc trong việc chuyển tiếp của mặt phẳng dữ liệu minh họa cho hình trên: CE2-A tạo ra một gói dữ liệu với địa chỉ nguồn 172.16.20.1 và đích là 172.16.10.1. PE2-AS1 nhận gói dữ liệu, thêm vào nhãn VPN V1 và nhãn LDP L2 rồi chuyển tiếp gói đến P2-AS1. P2-AS1 nhận gói dữ liệu và chuyển đổi (swap) nhãn LDP L2 thành L1. P1-AS1 nhận gói dữ liệu và bóc (pop) nhãn trên (top label) ra vì nó nhận một ánh xạ nhãn cho 10.10.10.101/32 từ PE1-AS1. Kết quả, gói được gán nhãn (nhãn VPN la V1) được chuyển tiếp đến PE1-AS1. PE1-AS1 bóc nhãn VPN V1 ra và chuyển tiếp gói dữ liệu dến CE1-A nơi có địa chỉ mạng 172.16.10.0 được định vị.
3. Các phương thức để Router PE học các Router từ Router CE:
Để cung cấp dịch vụ VPN, router PE cần được cấu hình để bất kì thông tin định tuyến nào được học từ interface khách hàng VPN có thể được liên kết với một VRF nào đó. Điều này có thể được thực hiện thông qua tiến trình giao thức định tuyến chuẩn, tiến trình này được gọi là routing context. Mỗi VRF sử dụng một routing context riêng. Bất kì route nào được học dọc interface liên kết với một routing context nào đó sẽ được nhập vào bảng VRF tương ứng. Nhưng với những route không phải thuộc về routing context VRF nào sẽ được đặt vào bảng định tuyến global. Điều này cho phép sự cách ly thông tin định tuyến thành những context khác nhau ngay cả nếu thông tin đó được học bởi cùng một tiến trình giao thức định tuyến. Tạo ra các giao thức định tuyến thích hợp cho từng VPN (VPN-aware routing protocol) một cách hiệu quả. Trong trường hợp thiết bị CE là host hoặc là switch, địa chỉ này thường được cấu hình trên router PE mà thiết bị đó kết nối vào. Nhưng trong trường hợp thiết bị CE là router, thì có nhiều cách để router PE có thể học được các địa chỉ từ router CE. Router PE chuyển những địa chỉ này thành địa chỉ VPNv4 bằng cách sử dụng RD. Các route VPNv4 phải được quảng bá dọc phiên MP-BGP đến router PE khác. Điều này xảy ra khi routing context phải được cấu hình trong tiến trình BGP để thông báo cho BGP biết route VRF nào quảng bá. Kết nối trên CE và PE có thể thực hiện thông qua định tuyến tĩnh hoặc định tuyến động (OSPF, EBGP, RIPv2, EIGRP) để router PE có thể học được các route của khách hàng và đặt vào bảng VRF tương ứng. Mỗi routing context của khách hàng nào đó có thể chạy những giao thức định tuyến khác nhau.
4. Bảo mật trong MPLS-VPN:
Bảo mật đóng vai trò rất quan trọng đối với tất cả các giải pháp mạng VPN. Cần phải đáp ứng được 3 yêu cầu cơ bản sau:
Thứ 1: phải đảm bảo tính riêng biệt về thông tin định tuyến của mỗi VPN nghĩ là việc cấp địa chỉ của mỗi VPN là hoàn toàn độc lập nhau.
Thứ 2: phải đảm bảo được cấu trúc mạng lõi hoàn toàn trong suốt với khách hàng sử dụng dịch vụ.
Thứ 3: đảm bảo việc không làm giả nhãn và chống lại tấn công từ chối dịch vụ và tấn công truy cập dịch vụ.
Việc định tuyến trong mạng của nhà cung cấp dịch vụ VPN được thực hiện trên chuyển mạch nhãn chứ không phải dựa trên địa chỉ IP truyền thống. Hơn nữa, mỗi LSP tương ứng với một tuyến VPN-IP được bắt đầu và kết thúc tại các bộ định tuyến PE chứ không bắt đầu và kết thúc ở một điểm trung gian nào trong mạng của nhà cung cấp. Do đó mạng lõi bên trong hoàn toàn trong suốt đối với khác hàng. Mỗi bộ định tuyến PE duy trì một bảng VRF riêng cho từng VPN, và VRF này chỉ phổ biến các tuyến thuộc về VPN đó. Nhờ vậy đảm bảo được sự cách ly thông tin định tuyến giữa các VPN với nhau.
Việc trao đổi thông tin định tuyến giữa các bộ định tuyến PE và CE sẽ là điểm yếu trong mạng MPLS-VPN, nhưng trên bộ định tuyến PE có thể dùng ACL và các phương pháp xác thực của giao thức định tuyến dùng trên kết nối đó sẽ đảm bảo được vấn đề bảo mật. Việc làm giả nhãn cũng khó có thể xảy ra vì bộ định tuyến PE chỉ chấp nhận những gói tin từ bộ định tuyến CE gửi đến không có nhãn. Nếu gói tin là có nhãn thì nhãn đó do PE kiểm soát và quản lý.
Từ những vấn đề nêu trên, có thể thấy việc bảo mật trong MPLS-VPN được bảo đảm ở mức độ rất cao và hoàn toàn có thể so sánh ngang bằng với việc bảo mật trong các giải pháp dựa trên ATM hay Frame Relay.
5. Chất lượng dịch vụ (Qos – Quality of Service) trong MPLS-VPN:
QoS luôn là một vấn đề được quan tâm hàng đầu đối với nhà khai thác và quản trị mạng. Các cơ chế QoS được sử dụng phải đủ mềm dẻo để đáp ứng những yêu cầu khác nhau của khách hàng VPN. QoS được kích hoạt trên tất cả các thiết bị Router, Gateway, Switch trên toàn mạng để đảm bảo QoS từ đầu cuối đến đầu cuối (end-to-end).