Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Kiến trúc và các khái niệm trong MPLS VPN (VRF,RD,RT...)

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Kiến trúc và các khái niệm trong MPLS VPN (VRF,RD,RT...)

    2.3.Kiến trúc và các khái niệm trong MPLS VPN.


    Để thực hiện MPLS VPN, chúng ta cần một số kiến trúc cơ sở trên các router PE. Các kiến trúc đó như sau: VRF, route disinguisher (RD), route targets (RT), sự vận
    chuyển tuyến qua MP-BGP và chuyển tiếp gói được gán nhãn.

    2.3.1. Chuyển tiếp định tuyến ảo VRF (Virtual Routing Forwarding).

    Chuyển tiếp định tuyến ảo (VRF) là ví dụ về định tuyến và chuyển tiếp VPN. Mỗi VPN được kết hợp với một bảng định tuyến - chuyển tiếp VPN (VRF) riêng biệt. VRF cung cấp các thông tin về mối quan hệ trong VPN của một site khách hàng khi được nối với PE router. Bảng VRF bao gồm thông tin bảng định tuyến IP (IP routing table), bảng CEF (Cisco Express Forwarding), các giao diện của bảng định tuyến; các quy tắc, các tham số của giao thức định tuyến... Mỗi site chỉ có thể kết hợp với một và chỉ một VRF. Các VRF của site khách hàng mang toàn bộ thông tin về các “tuyến” có sẵn từ site tới VPN mà nó là thành viên. Trong hình 2.6 ta thấy router PE bao gồm một bảng định tuyến IP chung, và một bảng đinh tuyến VRF cho mỗi VPN kết nối đến PE.

    Bởi vì việc định tuyến sẽ được tách rời riêng lẻ cho mỗi khách hàng VPN trên một router PE, mỗi VPN sẽ có một bảng định tuyến riêng của riêng mình. Bảng định tuyến riêng này được gọi là bảng định tuyến VRF. Giao diện trên router PE hướng về phía router CE là thuộc của một VRF. Như vậy, tất cả các gói IP thu được trên giao diện VRF được phân biệt rõ là thuộc về VRF đó. Bởi vì có một bảng định tuyến riêng trên mỗi VPN, có bảng định tuyến CEF riêng trên mỗi VPN để chuyển tiếp những gói này trên router PE. Đó chính là bảng VRF CEF. Đối với bảng định tuyến chung và bảng CEF chung, bảng VRF CEF được lấy từ bảng định tuyến VRF.Chúng ta có thể tạo ra VRF trên router PE với lệnh ip vrf. Bạn sử dụng lệnh ip vrf forwarding để gán những giao diện PE-CE trên router PE cho VRF. Bạn có thể gán một giao diện cho một VRF, nhưng cũng có thể gán những giao diện riêng cho các VRF giống nhau. Router PE sau đó tự động tạo ra bảng định tuyến VRF và bảng CEF.
    Bảng định tuyến VRF không khác với bảng định tuyến chính trong Cisco IOS, hơn nữa nó được sử dụng cho thiết bị site VPN và nó được tách biệt hoàn toàn từ tất cả các bảng định tuyến khác.

    Chú ý: Trong cisco IOS, CEF chỉ là phương pháp chuyển mạch áp dụng cho các gói IP chuyển tiếp từ giao diện VRF. Như vậy, CEF phải có khả năng bao trùm tất cả các router PE và tất cả các giao diện VRF.

    2.3.2. Route distinguishers.

    VPN prefixes được truyền qua mạng MPLS VPN bằng giao thức BGP (MP-BGP). Điều khó khăn là khi BGP vận chuyển IPv4 prefixes qua mạng nhà cung cấp dịch vụ, chúng phải là duy nhất. Nếu như khách hàng có địa chỉ trùng lắp, việc định tuyến sẽ bị sai. Để giải quyết vấn đề này, khái niệm RDs (route distinguishers) được trình bày để cấu tạo IP prefixes duy nhất. Khái niệm cơ sở là mỗi prefix từ mỗi khách hàng thu nhận định danh duy nhất (RD) để phân biệt prefix giống nhau từ những khách hàng khác nhau. Prefix bắt nguồn từ sự kết hợp của IPv4 prefix và RD gọi là VPNv4 prefix. MP-BGP cần để vận chuyển những VPNv4 prefix này giữa các router PE.
    RD là một trường 64 bít sử dụng để tạo nên những VRF prefix duy nhất khi MP- BGP vận chuyển chúng. RD không biểu thị ra mà VRF prefix biểu thị điều đó. Chức năng của RD không phải là định danh VPN, bởi vì cấu trúc VPN phức tạp hơn nếu yêu cầu nhiều hơn một RD trên mỗi VPN. Mỗi VRF instance trên router PE phải có một RD gán đến nó. Giá trị 64-bit này có hai thể thức (formats): ASN: nn or IP-address:nn, trong đó nn là hằng số.
    Thông thường nhất sử dụng thể thức ASN:nn,trong đó ASN stands for autonomous system number. Thông thường, nhà cung cấp dịch vụ sử dụng ASN:nn, trong đó ASN là số hệ thống tự trị mà IANA (internetassigned numbers authority ) gán đến nhà cung cấp dịch vụ và nn là số nhà cung cấp dịch vụ duy nhất gán đến VRF. RD phải được sử dụng để nhận diện các tuyến VPN. Điều này là cần thiết bởi vì các tuyến IPv4 từ mỗi khách hàng có thể bị trùng lắp với các tuyến IPv4 từ khách hàng khác. Sự kết hợp của RD với IPv4 prefix cung cấp một VPNv4 prefix, với chiều dài là 96-bit. Trong đó có 32-bit IPv4 kết hợp 64-bit RD. Nếu bạn có địa chỉ IPv4 prefix là 10.1.1.0/24 và RD là 1:1 thì VPNv4 prefix có địa chỉ 1:1:10.1.1.0/24.Một khách hàng có thể sử dụng các RD khác nhau cho tuyến IPv4 giống nhau. Khi mà một site VPN được kết nối đến hai router PE, các tuyến từ site VPN có được hai RD khác nhau, phụ thuộc vào router PE thu nhận các tuyến. Mỗi tuyến IPv4 sẽ có được 2 RD khác nhau gán vào và có hai tuyến VPNv4 khác nhau hoàn toàn. Điều này cho phép BGP xem chúng như những tuyến khác nhau và áp dụng chính sách khác nhau cho các tuyến.

    2.3.3. Route Targets.
    Nếu RDs được sử dụng để nhận biết VPN, thì sự truyền thông tin giữa các site của những VPN khác nhau sẽ không rõ ràng. Một site công ty A sẽ không có khả năng nói chuyện với site của công ty B bởi vì các RD không phù hợp. Khái niệm có những site của công ty A có khả năng nói chuyện với những site của công ty B được gọi là mạng nội bộ mở rộng VPN (extranet VPN). Trường hợp sự truyền thông tin giữa các site của công ty giống nhau,VPN giống nhau được gọi là mạng nội bộ (intranet). Sự truyền thông tin giữa các site được điều khiển bởi MPLS VPN khác gọi là RTs. Một RT là BGP mở rộng để nhận biết những tuyến nào được nhập vào VRF từ
    MP-BGP. Việc xuất khẩu (Exporting) một RT nghĩa là một tuyến VPNv4 được xuất khẩu đó (Exproted VPNv4 route) thu nhận BGP truyền thống được mở rộng-đây là RT-như cấu hình dưới đây ip vrf trên router PE, khi tuyến được phân phối lại từ bảng định tuyến VRF thành MP-BGP. Việc nhập khẩu (Importing) một RT có nghĩa là thu nhận một tuyến VPNv4 từ MP-BGP được kiểm tra cho phù hợp với sự mở rộng-đây là route target-with the ones in the configuration. Nếu kết quả là phù hợp, thì prefix được đặt vào bảng định tuyến VRF là một tuyến IPv4. Nếu không phù hợp thì prefix sẽ loại ra.
    Câu lệnh để cấu hình RTs cho một VRF là route-target { import | export | both }route-target-ext-community.
    Từ khóa both cho biết cả import và export.
    Hình 2.7 mô tả RTs điều khiển những tuyến nào được nhập vào VRF từ những router PE ở xa và những RT nào mà các tuyến VPNv4 được xuất khẩu hướng về phía các router PE ở xa. Nhiều hơn một RT gắn vào tuyến VPNv4. Để VRF cho phép nhập khẩu vào thì chỉ một RT từ tuyến VPNv4 cần được phù hợp với cấu hình của các RT xuất khẩu.

    Khi cấu hình một VRF với những site cá nhân thuộc một VPN, không phải truyền đến site thuộc VPN khác, bạn cần cấu hình một RT để nhập khẩu và xuất khẩu trên tất cả các router PE với site thuộc VRF. Đây là trường hợp của intranet. Khi bạn có những site thuộc một VPN mà cần để truyền tới những site từ VPN khác (trường hợp của extranet), dành cho một đường để cấu hình RTs chính xác.

    Site A và site B từ VRF cust-one có khả năng liên lạc với các mỗi thành phần khác. Tương tự đối với site A và site B của VRF cust-two. RT mà VPN cust-one sử dụng là 1:1. RT mà VPN cust-two sử dụng là 1:2. Site A của VRF cust-one cần để nói chuyện với site A của VRF cust-two. Đây hoàn toàn có thể và được xác định rõ bằng cấu hình RTs cho phù hợp. RT 100:1 là được nhập khẩu và xuất khẩu cho site A của VRF cust- one cust-two trên PE1 và PE2 để đạt được điều này. Đây gọi là extranet. Hình 2.9 mô tả mạng giống như trong hình 2.8 nhưng với RTs.
    Lâm Văn Tú
    Email :
    cntt08520610@gmail.com
    Viet Professionals Co. Ltd. (VnPro)
    149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
    Tel: (08) 35124257 (5 lines)
    Fax (08) 35124314
    Tập tành bước đi....



  • #2
    Em đang nghiên cứu cái phần nay, cám ơn bài viết của anh

    Comment

    Working...
    X