TỔNG QUAN VỀ MPLS VPN –

Dương Trạng

7 tháng trước

Tổng quan về VPN

VPN được giới thiệu để cho phép nhà cung cấp dịch vụ sử dụng cơ sở hạ tầng công cộng có sẵn để thiết lập kết nối point-to-point giữa các site khách hàng. Mạng khách hàng thực hiện với bất kỳ công nghệ VPN nào sẽ nằm trong vùng điều khiển của khách hàng được gọi là các site khách hàng, các site này được kết nối với nhau thông qua mạng của nhà cung cấp dịch vụ (SP). Trong các mạng dựa trên bộ định tuyến truyền thống, các site khách hàng được kết nối với nhau bằng các kết nối point-to-point chuyên dụng. Chi phí triển khai phụ thuộc vào số lượng site khách hàng. Các site kết nối theo kiểu full mesh sẽ làm gia tăng chi phí một cách đáng kể. Frame Relay và ATM là các công nghệ phổ biến để triển khai VPN, bao gồm các thành phần của một giải pháp VPN.

Nhìn chung, VPN bao gồm các vùng sau:

Mạng khách hàng – bao gồm các router tại các site khách hàng. Các router kết nối các site khách hàng với mạng của nhà cung cấp, được gọi là các router biên phía khách hàng (CE).
Mạng nhà cung cấp – dùng để cung cấp kết nối point-to-point thông qua hạ tầng mạng của nhà cung cấp dịch vụ. Các thiết bị của nhà cung cấp kết nối trực tiếp với router biên phía khách hàng, được gọi là router biên phía nhà cung cấp (PE). Mạng của nhà cung cấp còn có các router nhà cung cấp (P) để chuyển tiếp dữ liệu trong mạng trục. VPN có thể được chia thành hai loại mô hình: Overlay và Peer-to-peer, tùy thuộc vào mức độ tham gia của nhà cung cấp dịch vụ trong việc định tuyến cho khách hàng.

Khi Frame Relay và ATM cung cấp mạng riêng cho khách hàng, nhà cung cấp không thể tham gia vào việc định tuyến khách hàng. Các nhà cung cấp dịch vụ chỉ vận chuyển dữ liệu qua kết nối point-to-point ảo. Như vậy, nhà cung cấp chỉ cung cấp kết nối ảo tại lớp 2; đó là mô hình Overlay. Nếu mạch ảo là cố định, sẵn sàng cho khách hàng sử dụng mọi lúc, được gọi là mạch ảo cố định (PVC). Nếu mạch ảo được thiết lập theo yêu cầu, được gọi là mạch ảo chuyển đổi (SVC). Hạn chế chính của mô hình Overlay là các mạch ảo của các site khách hàng kết nối theo kiểu full mesh. Nếu có N site khách hàng, tổng số lượng mạch ảo cần thiết cho việc định tuyến là N(N-1)/2.

Ban đầu, Overlay VPN được thực hiện bởi nhà cung cấp dịch vụ để cung cấp kết nối lớp 1 hoặc lớp 2 giữa các site khách hàng bằng cách sử dụng các thiết bị Frame Relay hoặc ATM switch làm router biên phía nhà cung cấp (PE). Do đó, nhà cung cấp dịch vụ không thể nhận biết việc định tuyến ở phía khách hàng. Sau đó, Overlay VPN thực hiện các dịch vụ qua IP với các giao thức định đường như L2TP, GRE và IPSec. Dù trong trường hợp nào, mạng của nhà cung cấp vẫn duy trì trong suốt đối với khách hàng và các giao thức định tuyến chạy trực tiếp giữa các router khách hàng.

Mô hình ngang cấp (peer-to-peer) được phát triển để khắc phục nhược điểm của mô hình Overlay và cung cấp cho khách hàng cơ chế vận chuyển tối ưu qua mạng lõi nhà cung cấp. Vì vậy, nhà cung cấp có thể tham gia vào việc định tuyến của khách hàng. Trong mô hình peer-to-peer, thông tin định tuyến được trao đổi giữa các router khách hàng và các router nhà cung cấp dịch vụ, dữ liệu của khách hàng được vận chuyển qua mạng lõi của nhà cung cấp. Thông tin định tuyến của khách hàng được mang giữa các router trong mạng nhà cung cấp và mạng khách hàng. Mô hình này không cần tạo ra mạch ảo. Các router khách hàng trao đổi các tuyến với router nhà cung cấp trong miền MPLS VPN. Địa chỉ IP của khách hàng do nhà cung cấp quản lý. Quá trình này được coi như một việc triển khai PE peer-to-peer chia sẻ.

Hình sau mô tả việc triển khai mô hình peer-to-peer.

Kiến trúc và thuật ngữ trong MPLS VPN

Trong kiến trúc mạng MPLS VPN, các router biên mang thông tin định tuyến khách hàng, cung cấp định tuyến tối ưu cho lưu lượng giữa các site của khách hàng. Kiến trúc MPLS VPN cũng cho phép khách hàng sử dụng không gian địa chỉ trùng lắp, không như mô hình peer-to-peer truyền thống trong việc định tuyến lưu lượng khách hàng yêu cầu mỗi khách hàng phải có một địa chỉ IP riêng (hoặc thực hiện NAT) để tránh trùng lắp không gian địa chỉ. MPLS VPN là một dạng thực hiện đầy đủ của mô hình peer-to-peer; MPLS VPN backbone và các site khách hàng trao đổi thông tin định tuyến lớp 3, và dữ liệu được chuyển tiếp giữa các site khách hàng sử dụng MPLS-enable IP backbone của nhà cung cấp dịch vụ. Miền MPLS VPN bao gồm mạng của khách hàng và mạng của nhà cung cấp. Mô hình MPLS VPN tương tự như mô hình router PE dành riêng trong dạng thực hiện MPLS VPN peer-to-peer. Tuy nhiên, thay vì triển khai các router PE khác nhau cho từng khách hàng, lưu lượng khách hàng được tách riêng trên cùng một router PE để cung cấp kết nối vào mạng của nhà cung cấp cho nhiều khách hàng. Các thành phần của MPLS VPN được trình bày trong hình sau:

Các thành phần chính của kiến trúc MPLS VPN:

Mạng khách hàng – thường là miền điều khiển của khách hàng gồm các thiết bị hoặc router trải rộng trên nhiều site của cùng một khách hàng. Các router CE – là các router trong mạng khách hàng giao tiếp với mạng của nhà cung cấp. Trong hình trên, mạng khách hàng của Khách hàng A gồm các router CE1-A, CE2-A và các thiết bị trong Site 1 và Site 2 của Khách hàng A. Các router CE của Khách hàng A là CE1-A và CE2-A, và router CE của Khách hàng B là CE1-B và CE2-B.

Mạng của nhà cung cấp – miền thuộc điều khiển của nhà cung cấp gồm các router biên và lõi để kết nối các site khách hàng trong một hạ tầng mạng chia sẻ. Các router PE – là các router trong mạng của nhà cung cấp giao tiếp với router biên của khách hàng. Các router P – router trong lõi của mạng, giao tiếp với các router lõi khác hoặc router biên của nhà cung cấp. Trong hình trên, mạng của nhà cung cấp gồm các router PE1, PE2, P1, P2, P3 và P4. PE1 và PE2 là router biên của nhà cung cấp trong miền MPLS VPN cho khách hàng A và B. Router P1, P2, P3 và P4 là các router nhà cung cấp.

Mô hình định tuyến MPLS VPN

MPLS VPN giống như mô hình mạng ngang cấp với router dành riêng. Từ một router CE, chỉ cần cập nhật IPv4, dữ liệu được chuyển tiếp đến router PE. Router CE không cần cấu hình riêng biệt để tham gia vào miền MPLS VPN. Yêu cầu duy nhất đối với CE là sử dụng một giao thức định tuyến (tĩnh hoặc mặc định) để trao đổi thông tin định tuyến IPv4 với router PE. Trong mô hình MPLS VPN, router PE thực hiện nhiều chức năng. Trước tiên, nó phân tách lưu lượng khách hàng nếu có nhiều khách hàng kết nối với nó. Vì vậy, mỗi khách hàng được gắn với một bảng định tuyến riêng. Định tuyến qua mạng lõi nhà cung cấp được thực hiện bởi một quy trình định tuyến trong bảng định tuyến toàn cầu.

Router P cung cấp chuyển mạch nhãn giữa router biên của nhà cung cấp và không biết đến các tuyến VPN. Router CE trong mạng khách hàng không nhận biết các router P, do đó cấu trúc mạng nội bộ của mạng nhà cung cấp trong suốt đối với khách hàng. Hình sau mô tả chức năng của router PE.