Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Khái niệm và các thành phần của kiến trúc MPLS – VPN

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Khái niệm và các thành phần của kiến trúc MPLS – VPN

    1. Khái niệm MPLS – VPN
    MPLS-VPN được coi là sự kết hợp các ưu điểm của cả hai mô hình Overlay và peer – to – peer VPN. Việc thiết lập các mạng riêng ảo trên nền MPLS cho phép đảm bảo định tuyến tối ưu giữa các site khách hàng, phân biệt địa chỉ khách hàng thông qua nhận dạng định tuyến và hỗ trợ xây dựng các mô hình VPN phức tạp trên cơ sở đích định tuyến

    2. Các thành phần chính của kiến trúc MPLS – VPN
    Để thực hiện được mô hình MPLS-VPN, ta cần xây dựng một số khối cơ bản trên PE. Những khối này là: VRF, RD – Route Distinguisher (bộ phân biệt tuyến), RT – Route Targets (tuyến đích), sự ánh xạ tuyến qua MP-BGP và chuyển tiếp gói được gắn nhãn.

    2.1. Bảng định tuyến ảo và chuyển tiếp ảo VRF – Virtual Routing and Forwarding Table
    Khách hàng được phân biệt trên router PE bằng các bảng định tuyến ảo còn được gọi là VRF. Chức năng của VRF giống như một bản định tuyến toàn cục chứa mọi chi tiết liên quan đến một VPN cụ thể. VRF cũng chứa một bảng chuyển tiếp CEF cho VRF riêng tương ứng với bảng CEF toàn cục xác định các yêu cầu kết nối và các giao thức cho mỗi site khách hàng kết nối trên một router PE. Giao tiếp tham gia vào VRF phải hỗ trợ chuyển mạch CEF.Một VRF có thể gồm hoặc nhiều giao tiếp trên một router. VRF chứa một bảng định tuyến IP tương ứng với bảng định tuyến IP toàn cục, một bảng CEF, liệt kê các giao tiếp tham gia vào VRF, và một tập hợp các nguyên tắc xác định giao thức định tuyến trao đổi với các router CE.VRF còn chứa các định danh VPN (VPN identifier) như thông tin thành viên VPN (RD và RT). Hình sau cho thấy chức năng của VRF trên một router PE thực hiện tách tuyến khách hàng.

    Chức năng của VRF

    Trong mô hình MPLS VPN, router PE phân biệt các khách hàng bằng VRF. Tuy nhiên, thông tin này cần được mang theo giữa các router PE để cho phép truyền dữ liệu giữa các site khách hàng qua MPLS VPN backbone. Router PE phải có khả năng thực thi các tiến trình cho phép các mạng khách hàng kết nối vào có không gian địa chỉ trùng lắp. Router PE học các tuyến này từ các mạng khách hàng và quảng bá thông tin này bằng mạng trục chia sẻ của nhà cung cấp. Điều này thực hiện bằng việc kết hợp với RD trong bảng định tuyến ảo trên một router PE.

    2.2. Bộ phận biệt tuyến RD – Route Distinguisher
    Là một định danh 64-bit duy nhất, thêm vào trước 32-bit địa chỉ tuyến được học từ router CE tạo thành địa chỉ 96-bit duy nhất có thể được chuyển vận giữa các router PE trong miền MPLS. Do đó chỉ duy nhất một RD được cấu hình cho một VRF trên router PE. Địa chỉ 96 bit cuối cùng (tổng hợp của 32-bit địa chỉ khách hàng và 64-bit RD) được gọi là một địa chỉ VPNv4. Địa chỉ VPNv4 trao đổi giữa các router PE trong mạng nhà cung cấp. RD có thể có hai định dạng: dạng địa chỉ IP hoặc chỉ số AS. Giá trị 64 bit có thể có hai định dạng: ASN:nn hoặc IP-address:nn (ở đây nn là một số). Trong đó định dạng ASN:nn được sử dụng nhiều hơn (ở đây ASN viết tắt của số hệ thống tự trị – autonomous system number). RD được sử dụng để tránh trường hợp tuyến IPv4 của một khách hàng trùng với tuyến IPv4 của khách hàng khác. Nếu tiền tố IPv4 10.1.1.0/24 và RD 1:1, tiền tố vpnv4 sẽ là 1:1:10.1.1.0/24.

    Một khách hàng có thể sử dụng các RD khác nhau cho cùng một tuyến IPv4. Khi một VPN site được kết nối tới hai PE, tuyến từ VPN có thể có hai RD khác nhau, phụ thuộc vào PE nào mà tuyến nhận được. Mỗi tuyến IPv4 có thể có 2 RD khác nhau và có hai tuyến vpnv4 hoàn toàn khác nhau. Điều này cho phép BGP nhìn thấy chúng như là các tuyến khác nhau và áp dụng một chính sách khác nhau cho mỗi tuyến. Hình bên dưới cho thấy hai khách hàng có địa chỉ mạng giống nhau, 172.16.10.0/24, được phân biệt nhờ vào các giá trị RD khác nhau, 1:100 và 1:101, ưu tiên quảng bá địa chỉ VPNv4 trên router PE.

    Ví dụ về RD

    2.3. Tuyến đích RT – Route targets
    Nếu RD chỉ được sử dụng cho riêng một VPN, việc giao tiếp giữa các site của các VPN khác nhau trở nên khó giải quyết. Một site của công ty A không có khả năng trao đổi kết nối với một site của Công ty B bởi vì RD không nối với nhau (không khớp nhau). Khái niệm nhiều site của Công ty A có khả năng kết nối trao đổi với nhiều Site của Công ty B được gọi là extranet VPN. Và việc kết nối trao đổi giữa các site trong cùng Công ty A được gọi là Intranet VPN. Việc giao tiếp giữa các site được điều khiển bởi một chức năng khác của MPLS VPN gọi là RT – route target. RT là một thuộc tính mở rộng của BGP, nó chỉ ra những tuyến nào nên được nhập từ MP-BGP trong VRF. RT được thực thi bởi các thuộc tính mở rộng BGP sử dụng 16 bit cao của BGP ecxtended community (64 bit) mã hóa với một giá trị tương ứng với thành viên VPN của site cụ thể. Khi một tuyến VPN học từ một CE chèn vào VPNv4 BGP, một danh sách các thuộc tính community mở rộng cho VPN router target được kết hợp với nó.

    Khi thực thi các cấu trúc mạng VPN phức tạp (như: extranet VPN, Internet access VPNs, network management VPN,…) sử dụng công nghệ MPLS VPN thì RT giữ vai trò nòng cốt. Một địa chỉ mạng có thể được kết hợp với một hoặc nhiều export RT khi quảng bá qua mạng MPLS VPN. Như vậy, RT có thể kết hợp với nhiều site thành viên của hiều VPN. RT là cấu hình bắt buộc trong một MPLS VPN cho mọi VRF trên một router, giá trị RT có thể được dùng để thực thi trên cấu trúc mạng VPN phức tạp, trong đó một site có thể tham gia vào nhiều VPN.

    MPLS-VPN giống như mô hình mạng ngang cấp với router dành riêng. Từ một router CE, chỉ cập nhật IPv4, dữ liệu được chuyển tiếp đến router PE. CE không cần bất kỳ một cấu hình riêng biệt nào cho phép nó tham gia vào miền MPLS VPN. Yêu cầu duy nhất trên CE là một giao thức định tuyến (hay tuyến tĩnh(static)/tuyến ngầm định (default)) cho phép nó trao đổi thông tin định tuyến IPv4 với các router PE. Trong mô hình MPLS VPN, router PE thực hiện rất nhiều chức năng. Trước tiên nó phải phân tách lưu lượng khách hàng nếu có nhiều hơn một khách hàng kết nối tới nó. Vì thế, mỗi khách hàng được gắn với một bảng định tuyến độc lập. Định tuyến qua SP backbone thực hiện bằng một tiến trình định tuyến trong bảng định tuyến toàn cục. Router P cung cấp chuyển mạch nhãn giữa các router biên của nhà cung cấp và không biết đến các tuyến VPN. Các router CE trong mạng khách hangkhông nhận biết được các router P và do đó cấu trúc mạng nội bộ của mạng SP trong suốt đối với khách hàng. Hình sau mô tả chức năng của router PE.

    Chức năng của router PE

    Lê Sơn Hà – VnPro
    Phạm Thanh Đông Khê
    Email: dongkhe@vnpro.org
    Hãy share hoặc like nếu thông tin hữu ích!
    ---------------------------------------------------------------------------------------------------------------------------------------------------
    Trung Tâm Tin Học VnPro
    149/1D Ung Văn Khiêm, P.25, Q.Bình Thạnh, Tp.HCM
    Tel: (08) 35124257 (5 lines)
    Fax: (08) 35124314

    Home Page: http://www.vnpro.vn
    Forum: http://www.vnpro.org
    Twitter: https://twitter.com/VnVnpro
    LinkedIn: https://www.linkedin.com/in/VnPro
    - Chuyên đào tạo quản trị mạng và hạ tầng Internet
    - Phát hành sách chuyên môn
    - Tư vấn và tuyển dụng nhân sự IT
    - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

    Videos: http://www.dancisco.com
    Blog: http://www.vnpro.org/blog
    FB: http://facebook.com/VnPro
Working...
X