Tweet
Tác giả: SVTT
Lê Văn Tuấn Cường
Hoàng Xuân Trung
Phần VII:http://vnpro.org/forum/showthread.ph...%95ng-quan-VPN
1. Kiến trúc MPLS VPN
Kiến trúc MPLS đề xuất các nhà cung cấp dịch vụ một kiến trúc VPN peer-to-peer được kết kết hợp từ các tính năng tốt nhất của các mạng VPN peer-to-peer với các mạng VPN overlay (hỗ trợ cho khả năng chồng lấp các không gian địa chỉ khách).
Bản kê này sẽ mô tả các đặc tính này:
Thuật ngữ MPLS VPN sẽ phân chia toàn bộ mạng thành một bộ phận kiểm tra khách hàng (C-network) và một bộ phận kiểm tra nhà cung cấp (P-network). Các thành phần kề nhau của C-network được gọi là các site và được liên kết với P-network thông qua các bộ định tuyến CE. Các bộ định tuyến PE được kết nối đến các bộ định tuyến PE, nó phục vụ như những thiết bị biên của P-network. Các thiết bị lõi trong P-network, các bộ định tuyến nhà cung cấp (P-routers – Trong việc triển khai MPLS VPN, P-router là LSR), cung cấp đường truyền đi qua mạng xương sống của nhà cung cấp và không mang theo các tuyến đường khách hàng.
I. Cấu trúc của bộ định tuyến PE trong một mạng MPLS VPN
Cấu trúc của một bộ định tuyến PE trong một mạng MPLS VPN rất giống với cấu trúc của một POP với các bộ định tuyến PE dành riêng cho khách hàng được sử dụng trong mô hình VPN peer-to-peer có sử dụng bộ định tuyến chuyên dụng. Sự khác biệt duy nhất đó là cấu trúc tổng thể được hội tụ vào trong một thiết bị vật lý đối với bộ định tuyến PE trong một mạng MPLS VPN. M i khách hàng được được cung cấp một bảng định tuyến độc lập (bảng định tuyến ảo hoặc VRF) tương ứng với bộ định tuyến PE chuyên dụng cho khách hàng trong mộ hình peer-to-peer truyền thống. Việc định tuyến đi qua mạng xương sống của nhà cung cấp được thực thi bằng một tiến trình định tuyến khác sử dụng bảng định tuyến IP toàn cầu tương ứng với bộ định tuyến P intra-POP trong mô hình mạng peer-to-peer truyền thống.
II. Các phƣơng pháp lan truyền thông tin định tuyến đi qua P-network
Lê Văn Tuấn Cường
Hoàng Xuân Trung
Phần VII:http://vnpro.org/forum/showthread.ph...%95ng-quan-VPN
1. Kiến trúc MPLS VPN
Kiến trúc MPLS đề xuất các nhà cung cấp dịch vụ một kiến trúc VPN peer-to-peer được kết kết hợp từ các tính năng tốt nhất của các mạng VPN peer-to-peer với các mạng VPN overlay (hỗ trợ cho khả năng chồng lấp các không gian địa chỉ khách).
Bản kê này sẽ mô tả các đặc tính này:
- Các bộ định tuyến PE tham gia trong việc định tuyến theo khách hàng, bảo đảm định tuyến tối ưu giữa các site khách hàng và cung cấp dễ dàng.
- Các bộ định tuyến PE vận chuyển một VRF riêng biệt cho mỗi khách hàng, dẫnđến sự cô lập hoàn hảo giữa các khách hàng.Khách hàng có thể sử dụng các địa chỉ trùng lặp.
Thuật ngữ MPLS VPN sẽ phân chia toàn bộ mạng thành một bộ phận kiểm tra khách hàng (C-network) và một bộ phận kiểm tra nhà cung cấp (P-network). Các thành phần kề nhau của C-network được gọi là các site và được liên kết với P-network thông qua các bộ định tuyến CE. Các bộ định tuyến PE được kết nối đến các bộ định tuyến PE, nó phục vụ như những thiết bị biên của P-network. Các thiết bị lõi trong P-network, các bộ định tuyến nhà cung cấp (P-routers – Trong việc triển khai MPLS VPN, P-router là LSR), cung cấp đường truyền đi qua mạng xương sống của nhà cung cấp và không mang theo các tuyến đường khách hàng.
I. Cấu trúc của bộ định tuyến PE trong một mạng MPLS VPN
II. Các phƣơng pháp lan truyền thông tin định tuyến đi qua P-network
Mặc dù các bảng định tuyến ảo cung cấp sự tách biệt giữa các khách hàng, dữ liệu từ các bảng định tuyến nãy vẫn cần được trao đổi giữa các bộ định tuyến PE để cho phép truyền tải dữ liệu giữa các site đã được kết nối đến các bộ định tuyến PE khác nhau. Do đó, một giao thức định tuyến là rất cần thiết để vận chuyển tất cả các đường đi của khách hàng đi qua P-network, trong khi vẫn duy trì tính độc lập của các không gian địa chỉ cá nhân của khách hàng.
Một giải pháp rõ ràng, được thực hiện bởi các nhà cung cấp VPN khác nhau, là chạy một giao thức định tuyến riêng biệt cho m i khách hàng. Ở đây có hai triển khai phổ biến mà yêu cầu một giao thức định tuyến cho m i khách hàng sẽ chạy giữa các bộ định tuyến PE.
1. Các P-router sẽ tham gia vào việc định tuyến của khách hàng và chuyển tiếp thông tin định tuyến của khách hàng giữa các bộ định tuyến PE.
2. Các bộ định tuyến PE sẽ được kết nối thông qua các đường hầm point-to-point, ví dụ IP Security (IPsec), bằng cách này sẽ làm ẩn đi thông tin định tuyến của khách hàng từ P-routers.
Giao thức định tuyến riêng biệt cho m i khách hàng rất đơn giản để triển khai (và thường được sử dụng bởi một số khách hàng), nhưng lại thích hợp trong các môi trường của nhà cung cấp dịch vụ bởi vì nó đơn giản không theo tỷ lệ. Các vấn đề khó khăn cụ thể như sau:
Một giải pháp rõ ràng, được thực hiện bởi các nhà cung cấp VPN khác nhau, là chạy một giao thức định tuyến riêng biệt cho m i khách hàng. Ở đây có hai triển khai phổ biến mà yêu cầu một giao thức định tuyến cho m i khách hàng sẽ chạy giữa các bộ định tuyến PE.
1. Các P-router sẽ tham gia vào việc định tuyến của khách hàng và chuyển tiếp thông tin định tuyến của khách hàng giữa các bộ định tuyến PE.
2. Các bộ định tuyến PE sẽ được kết nối thông qua các đường hầm point-to-point, ví dụ IP Security (IPsec), bằng cách này sẽ làm ẩn đi thông tin định tuyến của khách hàng từ P-routers.
Giao thức định tuyến riêng biệt cho m i khách hàng rất đơn giản để triển khai (và thường được sử dụng bởi một số khách hàng), nhưng lại thích hợp trong các môi trường của nhà cung cấp dịch vụ bởi vì nó đơn giản không theo tỷ lệ. Các vấn đề khó khăn cụ thể như sau:
- Các bộ định tuyến PE phải chạy một số lượng lớn các giao thức định tuyến.
- Các P-router phải mang theo tất cả các tuyến đường của khách hàng.
Một cách tiếp cận tốt hơn đến các vấn đề khó khăn trong việc lan truyền định tuyến là triển khai một giao thức định tuyến mà có thể trao đổi tất cả các tuyến đường của khách hàng đi qua P-network. Mặc dù cách tiếp cận này tốt hơn cách tiếp cận trước, các P-router vẫn mắc phải những rắc rối, phức tập trong việc định tuyến của khách hàng, do đó, đề xuất vẫn sẽ giữ lại một số kết quả thu được của cách tiếp cận trước.
Giải pháp tốt nhất cho kết quả lan truyền định tuyến của khách hàng là chạy một giao thức định tuyến đơn lẻ giữa các bộ định tuyến mà sẽ trao đổi tất các tuyến đường của khách hàng mà không mắc các tình trạng rắc rối, phức tập của các P-router. Giải pháp này có tiến triển. Một số lợi ích của cách tiếp cận này như sau:
- Số lượng các giao thức định tuyến chạy giữa các bộ định tuyến PE không tăng thêm với một số lượng khách hàng càng tăng.
- Các P-router không mang theo các tuyến đường của khách hàng.
Giải quyết tiếp theo cho việc thiết kế được thực hiện là lựa chọn giao thức định tuyến chạy giữa các bộ định tuyến PE. Nếu tổng số lượng tuyến đường của khách hàng được dự tính là rất lớn, thì chỉ có một giao thức well-known duy nhất có khả năng được yêu cầu là Border Gateway Protocol (BGP). Thực vậy, BGP được sử dụng trong kiến trúc MPLS VPN để vận chuyển các tuyến đường của khách hàng trực tiếp giữa các bộ định tuyến PE.
Kiến trúc MPLS VPN khác với các giải pháp VPN peer-to-peer truyền thống trong một phương pháp quan trọng: các mạng MPLS VPN hỗ trợ khả năng trùng lặp không gian địa chỉ của khách hàng.
Trong việc triển khai một giao thức định tuyến đơn lẻ (BGP) trao đổi tất cá các tuyến đường của khách hàng giữa các bộ định tuyến PE, một vấn đề quan trọng được đặt ra: Làm thế nào BGP có thể lan truyền nhiều tiền tố giống nhau, thuộc về các khách hàng khác nhau, giữa các bộ định tuyến PE?
Giải pháp duy nhất cho vấn đề khó giải quyết này là mở rộng các tiền tố IP của khách hàng bằng một tiền tố duy nhất sẽ thực thi chúng duy nhất dù là chúng đã được bao phủ trước đó. Tiền tố 64 bit được gọi là RD được sử dụng trong các mạng MPLS VPN để chuyển đổi các địa chỉ khách hàng 32 bit không phải duy nhất thành các địa chỉ 96 bit duy nhất mà có có thể được vận chuyển giữa các bộ định tuyến PE.
Trong việc triển khai một giao thức định tuyến đơn lẻ (BGP) trao đổi tất cá các tuyến đường của khách hàng giữa các bộ định tuyến PE, một vấn đề quan trọng được đặt ra: Làm thế nào BGP có thể lan truyền nhiều tiền tố giống nhau, thuộc về các khách hàng khác nhau, giữa các bộ định tuyến PE?
Giải pháp duy nhất cho vấn đề khó giải quyết này là mở rộng các tiền tố IP của khách hàng bằng một tiền tố duy nhất sẽ thực thi chúng duy nhất dù là chúng đã được bao phủ trước đó. Tiền tố 64 bit được gọi là RD được sử dụng trong các mạng MPLS VPN để chuyển đổi các địa chỉ khách hàng 32 bit không phải duy nhất thành các địa chỉ 96 bit duy nhất mà có có thể được vận chuyển giữa các bộ định tuyến PE.