Tweet
Tác giả: SVTT
Lê Văn Tuấn Cường
Hoàng Xuân Trung
Phần VI:http://vnpro.org/forum/showthread.ph...ution-Protocol
1. VPN
a) Giới thiệu chung
Trong phần này chúng ta sẽ tìm hiểu MPLS h trợ mạng riêng ảo VPN như thế nào. Có nhiều cách để tiếp cận để xây dựng mạng VPN sử dụng MPLS và tất cả các giải pháp này đều sử dụng MPLS. Tuy nhiên chúng ta không thể nào đi sâu vào tất cả các cách tiếp cận, ở đây chúng ta sẽ đi sâu vào một cách tiếp cận cụ thể thay vì trình bày tổng quan về tất cả các cách tiếp cận. Trong phần này các khái niệm cơ bản có liên quan đến MPLS VPN sẽ dần được làm sáng tỏ.
Chúng ta bắt đầu bằng khái niệm VPN là một khái niệm được sử dụng nhiều trong phần này. Tiếp theo chúng ta sẽ xem xét lại các giải pháp VPN truyền thống dựa trên các công nghệ Frame Relay, ATM và đường ngầm IP; các vấn đề gì không thể giải quyết được trong các giải pháp này. Sau đó chúng ta sẽ đi vào giải pháp VPN dựa trên MPLS – BGP/MPLS VPN. Như thể hiện trong tên gọi, giải pháp này là sự kết hợp của hai công nghệ đó là BGP và MPLS. Chúng ta cũng xem xét đến các khía cạnh bảo mật và chất lượng dịch vụ của giải pháp.
b) Khái niệm mạng riêng ảo
Chúng ta hãy xét một công ty có trụ sở phân tán ở nhiều nơi. Để kết nối các máy tính tại các vị trí này, công ty đó cần có một mạng thông tin. Mạng đó là mạng riêng với ý nghĩa là nó chỉ được công ty đó sử dụng. Mạng đó độc lập với việc định tuyến và đánh địa chỉ của các mạng khác. Mạng đó là một mạng ảo với ý nghĩa là các phương tiêng được sử dụng để xây dựng mạng này có thể không dành riêng cho công ty đó mà có thể chia sẻ dùng chung với các công ty khác. Các phương tiện cần thiết để xây dựng mạng này được cung cấp bởi người thứ ba được gọi là nhà cung cấp dịch vụ VPN. Các công ty sử dụng mạng được gọi là các khách hàng VPN. Có thể nói một cách nôm na rằng VPN là tập hợp gồm nhiều Site có thể trao đổi thông tin với nhau. Chính xác hơn, VPN được định nghĩa là tập hợp các chính sách quản lý quy định cả về kết nối cũng như chất lượng dịch vụ giữa các Site. Câu hỏi đặt ra là ai sẽ là người đặt ra các chính sách quy định các khách hàng của mạng VPN. Có rất nhiều lựa chọn trả lời cho câu hỏi này tùy thuộc vào việc ai triển khai các chính sách và công nghệ được sử dụng.
Có nhiều mô hình kết nối các Site với nhau. Nó có thể là kết nối dạng mắt lưới hoặc cũng có thể là kết nối hình sao qua Hub. Một ví dụ khác về cấu hình kết nối giữa các Site thuộc hai hoặc nhiều nhóm là các Site trong m i nhóm được kết nối với nhau dạng mắt lưới còn các Site trong các nhóm khác nhau được kết nối gián tiếp thông qua một Site cụ thể.
Trong định nghĩa mạng VPN cho phép một site có thể thuộc về một hay nhiều VPN. Ví dụ như một Site có thể thuộc một mạng VPN tương ứng với một mạng Intranet, tuy nhiên nó có thể thuộc về một mạng VPN khác tương ứng với một mạng Extranet. Vì vậy mạng VPN có thể chồng lấn lên nhau. Cuối cùng một VPN không nhất thiết phải giới hạn trong một nhà cung cấp dịch vụ VPN, mà các phương tiện cần thiết để cấu thành một mạng VPN có thể được cung cấp bởi một nhóm các nhà cung cấp dịch vụ VPN.
c) Các bộ định tuyến ảo (VRF) trong MPLS VPN
Một VRF là một tập các chức năng, cả tĩnh và động trong thiết bị định tuyến, nó cung cấp các dịch vụ định tuyến và gửi chuyển tiếp giống các bộ định tuyến vật lý.
Một VRF không nhất thiết là một tiến trình hệ thống vận hành riêng rẽ (mặc dầu nó có
thể là nh- vậy). Một VRF giống nh- bản sao vật lý của nó, là một thành phần trong một miền định tuyến. Các bộ định tuyến khác trong miền này có thể là các bộ định tuyến vật lý hay ảo. Với giả thiết VRF kết nối vào một miền định tuyến xác định và bộ định tuyến vật lý có thể hỗ trợ nhiều bộ định tuyến ảo, sẽ xảy ra hiện t-ợng một bộ định tuyến vật lý hỗ trợ nhiều miền định tuyến. Từ quan điểm của khách hàng VPN, đòi hỏi một VRF phải t-ơng đ-ơng với một bộ định tuyến vật lý. Nói cách khác, với rất ít ngoại lệ , bộ định tuyến ảo nên thiết kế cho nhiều mục đích (cấu hình, quản lý, giám sát, xử lý sự cố) giống như các bộ định tuyếnvật lý. Động cơ chính đằng sau những đòi hỏi này là để tránh việc nâng cấp hoặc cấu hình lại những cơ sở đã được cài đặt của các bộ định tuyến và để tránh phải đào tạo lại các nhà quản lý mạng.
Các đặc tính mà VRF cần có là:
Tất cả các VPN đều có miền định tuyến độc lập logic. Điều này tăng cừờng khả năng của SP cho phép cung cấp dịch vụ bộ định tuyến ảo hoàn toàn mềm dẻo mà nó cóthể phục vụ các khách hàng của SP mà không cần đòi hỏi các bộ định tuyến vật lý cho VPN. Điều này có nghĩa là các đầu t- vào phần cứng của SP là các bộ định tuyến vàcác liên kết giữa chúng mà chúng có thể đ-ợc các khách hàng sử dụng lại.
d) Các yêu cầu đối với cấu trỳc MPLS VPN
Mạng cung cấp dịch vụ phải hoạt động với một số mô hình định tuyến multicastcho tất cả các nút sẽ có các kết nối VPN và cho các nút phải gửi chuyển tiếp các gói tin multicast cho việc phát hiện bộ VRF. Không tồn tại một giao thức định tuyếnmulticast riêng mặc định. Một SP có thể chạy MOSPF hoặc DVMRP hoặc các giao thức định tuyến khác.
e) Các mặt hạn chế của cỏc mạng VPN peer-to-peer truyền thống
Việc triển khai MPLS trước kia của tất cả cỏc mạng VPN peer-to-peer đều sở hữu một mặt hạn chế chung. Cỏc khỏch hàng phải dùng chung không gian địa chỉ toàn cầu,hoặc sử dụng địa chỉ IP public của riờng họ hoặc dựa vào các địa chỉ IP được cấp phát bởi nhà cung cấp. Trong cả hai trường hợp, việc kết nối một khỏch hàng mới đến một dịch vụ VPN peer-to-peer thường yêu cầu đánh số lại địa chỉ IP bên trong mạng khách hàng (C-network) – một thao tỏc hầu hết các khách hàng đều bất đắc dĩ phải thực hiện.Các mạng VPN peer-to-peer dựa trờn cỏc bộ lọc gúi tin cũng chịu cỏc chi phí vận hành cao kết hợp với sự xuống cấp trong việc bảo trỡ và hiệu suất của cỏc bộ lọc gói tin bởi do việc khú sử dụng của bộ lọc gói tin.Các mạng VPN peer-to-peer được triển khai với cỏc bộ định tuyến PE đến mỗi khách hàng sẽ dễ dàng hơn trong việc bảo trìg và có thể cung cấp hiệu suất định tuyến tối ưu, nhưng chúng thường tốn kém hơn bởi với mỗi khách hàng sẽ yêu cầu một bộ định tuyến chuyên dụng trong mỗii điểm hiện diện (POP). Vì vậy, phương pháp tiếp cận này thường được sử dụng nếu nhà cung cấp dịch vụ chỉ có một số lượng nhỏ các khỏch hàng lớn.
Lê Văn Tuấn Cường
Hoàng Xuân Trung
Phần VI:http://vnpro.org/forum/showthread.ph...ution-Protocol
1. VPN
a) Giới thiệu chung
Trong phần này chúng ta sẽ tìm hiểu MPLS h trợ mạng riêng ảo VPN như thế nào. Có nhiều cách để tiếp cận để xây dựng mạng VPN sử dụng MPLS và tất cả các giải pháp này đều sử dụng MPLS. Tuy nhiên chúng ta không thể nào đi sâu vào tất cả các cách tiếp cận, ở đây chúng ta sẽ đi sâu vào một cách tiếp cận cụ thể thay vì trình bày tổng quan về tất cả các cách tiếp cận. Trong phần này các khái niệm cơ bản có liên quan đến MPLS VPN sẽ dần được làm sáng tỏ.
Chúng ta bắt đầu bằng khái niệm VPN là một khái niệm được sử dụng nhiều trong phần này. Tiếp theo chúng ta sẽ xem xét lại các giải pháp VPN truyền thống dựa trên các công nghệ Frame Relay, ATM và đường ngầm IP; các vấn đề gì không thể giải quyết được trong các giải pháp này. Sau đó chúng ta sẽ đi vào giải pháp VPN dựa trên MPLS – BGP/MPLS VPN. Như thể hiện trong tên gọi, giải pháp này là sự kết hợp của hai công nghệ đó là BGP và MPLS. Chúng ta cũng xem xét đến các khía cạnh bảo mật và chất lượng dịch vụ của giải pháp.
b) Khái niệm mạng riêng ảo
Chúng ta hãy xét một công ty có trụ sở phân tán ở nhiều nơi. Để kết nối các máy tính tại các vị trí này, công ty đó cần có một mạng thông tin. Mạng đó là mạng riêng với ý nghĩa là nó chỉ được công ty đó sử dụng. Mạng đó độc lập với việc định tuyến và đánh địa chỉ của các mạng khác. Mạng đó là một mạng ảo với ý nghĩa là các phương tiêng được sử dụng để xây dựng mạng này có thể không dành riêng cho công ty đó mà có thể chia sẻ dùng chung với các công ty khác. Các phương tiện cần thiết để xây dựng mạng này được cung cấp bởi người thứ ba được gọi là nhà cung cấp dịch vụ VPN. Các công ty sử dụng mạng được gọi là các khách hàng VPN. Có thể nói một cách nôm na rằng VPN là tập hợp gồm nhiều Site có thể trao đổi thông tin với nhau. Chính xác hơn, VPN được định nghĩa là tập hợp các chính sách quản lý quy định cả về kết nối cũng như chất lượng dịch vụ giữa các Site. Câu hỏi đặt ra là ai sẽ là người đặt ra các chính sách quy định các khách hàng của mạng VPN. Có rất nhiều lựa chọn trả lời cho câu hỏi này tùy thuộc vào việc ai triển khai các chính sách và công nghệ được sử dụng.
Có nhiều mô hình kết nối các Site với nhau. Nó có thể là kết nối dạng mắt lưới hoặc cũng có thể là kết nối hình sao qua Hub. Một ví dụ khác về cấu hình kết nối giữa các Site thuộc hai hoặc nhiều nhóm là các Site trong m i nhóm được kết nối với nhau dạng mắt lưới còn các Site trong các nhóm khác nhau được kết nối gián tiếp thông qua một Site cụ thể.
Trong định nghĩa mạng VPN cho phép một site có thể thuộc về một hay nhiều VPN. Ví dụ như một Site có thể thuộc một mạng VPN tương ứng với một mạng Intranet, tuy nhiên nó có thể thuộc về một mạng VPN khác tương ứng với một mạng Extranet. Vì vậy mạng VPN có thể chồng lấn lên nhau. Cuối cùng một VPN không nhất thiết phải giới hạn trong một nhà cung cấp dịch vụ VPN, mà các phương tiện cần thiết để cấu thành một mạng VPN có thể được cung cấp bởi một nhóm các nhà cung cấp dịch vụ VPN.
c) Các bộ định tuyến ảo (VRF) trong MPLS VPN
Một VRF là một tập các chức năng, cả tĩnh và động trong thiết bị định tuyến, nó cung cấp các dịch vụ định tuyến và gửi chuyển tiếp giống các bộ định tuyến vật lý.
Một VRF không nhất thiết là một tiến trình hệ thống vận hành riêng rẽ (mặc dầu nó có
thể là nh- vậy). Một VRF giống nh- bản sao vật lý của nó, là một thành phần trong một miền định tuyến. Các bộ định tuyến khác trong miền này có thể là các bộ định tuyến vật lý hay ảo. Với giả thiết VRF kết nối vào một miền định tuyến xác định và bộ định tuyến vật lý có thể hỗ trợ nhiều bộ định tuyến ảo, sẽ xảy ra hiện t-ợng một bộ định tuyến vật lý hỗ trợ nhiều miền định tuyến. Từ quan điểm của khách hàng VPN, đòi hỏi một VRF phải t-ơng đ-ơng với một bộ định tuyến vật lý. Nói cách khác, với rất ít ngoại lệ , bộ định tuyến ảo nên thiết kế cho nhiều mục đích (cấu hình, quản lý, giám sát, xử lý sự cố) giống như các bộ định tuyếnvật lý. Động cơ chính đằng sau những đòi hỏi này là để tránh việc nâng cấp hoặc cấu hình lại những cơ sở đã được cài đặt của các bộ định tuyến và để tránh phải đào tạo lại các nhà quản lý mạng.
Các đặc tính mà VRF cần có là:
- Cấu hình của bất cứ sự kết hợp giữa các giao thức định tuyến.
- Giám sát mạng
- Xử lý sự cố
Tất cả các VPN đều có miền định tuyến độc lập logic. Điều này tăng cừờng khả năng của SP cho phép cung cấp dịch vụ bộ định tuyến ảo hoàn toàn mềm dẻo mà nó cóthể phục vụ các khách hàng của SP mà không cần đòi hỏi các bộ định tuyến vật lý cho VPN. Điều này có nghĩa là các đầu t- vào phần cứng của SP là các bộ định tuyến vàcác liên kết giữa chúng mà chúng có thể đ-ợc các khách hàng sử dụng lại.
d) Các yêu cầu đối với cấu trỳc MPLS VPN
Mạng cung cấp dịch vụ phải hoạt động với một số mô hình định tuyến multicastcho tất cả các nút sẽ có các kết nối VPN và cho các nút phải gửi chuyển tiếp các gói tin multicast cho việc phát hiện bộ VRF. Không tồn tại một giao thức định tuyếnmulticast riêng mặc định. Một SP có thể chạy MOSPF hoặc DVMRP hoặc các giao thức định tuyến khác.
e) Các mặt hạn chế của cỏc mạng VPN peer-to-peer truyền thống
Việc triển khai MPLS trước kia của tất cả cỏc mạng VPN peer-to-peer đều sở hữu một mặt hạn chế chung. Cỏc khỏch hàng phải dùng chung không gian địa chỉ toàn cầu,hoặc sử dụng địa chỉ IP public của riờng họ hoặc dựa vào các địa chỉ IP được cấp phát bởi nhà cung cấp. Trong cả hai trường hợp, việc kết nối một khỏch hàng mới đến một dịch vụ VPN peer-to-peer thường yêu cầu đánh số lại địa chỉ IP bên trong mạng khách hàng (C-network) – một thao tỏc hầu hết các khách hàng đều bất đắc dĩ phải thực hiện.Các mạng VPN peer-to-peer dựa trờn cỏc bộ lọc gúi tin cũng chịu cỏc chi phí vận hành cao kết hợp với sự xuống cấp trong việc bảo trỡ và hiệu suất của cỏc bộ lọc gói tin bởi do việc khú sử dụng của bộ lọc gói tin.Các mạng VPN peer-to-peer được triển khai với cỏc bộ định tuyến PE đến mỗi khách hàng sẽ dễ dàng hơn trong việc bảo trìg và có thể cung cấp hiệu suất định tuyến tối ưu, nhưng chúng thường tốn kém hơn bởi với mỗi khách hàng sẽ yêu cầu một bộ định tuyến chuyên dụng trong mỗii điểm hiện diện (POP). Vì vậy, phương pháp tiếp cận này thường được sử dụng nếu nhà cung cấp dịch vụ chỉ có một số lượng nhỏ các khỏch hàng lớn.