Tweet
Sinh viên thực hiện: NGUYỄN THANH LỊCH
Link bài trước:http://vnpro.org/forum/showthread.php/49901-Mpls_vpn-định-tuyến-và-báo-hiệu-trong-mpls
3.1 Tổng quan về VPN
VPN là công nghệ cho phép kết nối các thành phần của một mạng riêng (private network) thông qua hạ tầng mạng công cộng (Internet). VPN hoạt động dựa trên kỹ thuật tunneling: gói tin trước khi được chuyển đi trên VPN sẽ được mã hóa và được đặt bên trong một gói tin có thể chuyển đi được trên mạng công cộng. Gói tin được truyền đi đến đầu bên kia của kết nối VPN. Tại điểm đến bên kia của kết nối VPN, gói tin đã bị mã hóa sẽ được “lấy ra” từ trong gói tin của mạng công cộng và được giải mã.
3.1.1 Mô hình Overlay
Hình 3.1: Mô hình overlay VPN
Khi Frame relay và ATM cung cấp cho khách hàng các mạng riêng, nhà cung cấp không thể tham gia vào việc định tuyến khách hàng. Các nhà cung cấp dịch vụ chỉ vận chuyển dữ liệu qua các kết nối ảo. Như vậy, nhà cung cấp chỉ cung cấp cho khách hàng kết nối ảo tại lớp 2. Đó là mô hình Overlay.
Nếu mạch ảo là cố định, sẵn sàng cho khách hàng sử dụng mọi lúc thì được gọi là mạch ảo cố định PVC. Nếu mạch ảo được thiết lập theo yêu cầu (on-demand) thì được gọi là mạch ảo chuyển đổi SVC.
Hạn chế chính của mô hình Overlay là các mạch ảo của các site khách hàng kết nối dạng full mesh. Nếu có N site khách hàng thì tổng số lượng mạch ảo cần thiết N(N-1)/2.
Overlay VPN được thực thi bởi SP để cung cấp các kết nối layer 1 (physical) hay mạch chuyển vận lớp 2 (Data link – dạng dữ liệu frame hoặc cell) giữa các site khách hàng bằng cách sử dụng các thiết bị Frame relay hay ATM Switch. Do đó, SP không thể nhận biết được việc định tuyến ở khách hàng.
Overlay VPN còn thực thi các dịch vụ qua layer 3 với các giao thức tạo đường hầm như GRE, IPSec… Tuy nhiên, dù trong trường hợp nào thì mạng của nhà cung cấp vẫn trong suốt với khách hàng, và các giao thức định tuyến chạy trực tiếp giữa các router của khách hàng.
3.1.2 Mô hình peer-to-peer
Hình 3.2: Mô hình peer-to-peer VPN
Mô hình peer-to-peer khắc phục những nhược điểm của mô hình Overlay và cung cấp cho khách hàng cơ chế vận chuyển tối ưu qua SP backbone, vì nhà cung cấp dịch vụ biết mô hình mạng khách hàng và do đó có thể thiết lập định tuyến tối ưu cho các định tuyến của họ.
Nhà cung cấp dịch vụ tham gia vào việc định tuyến của khách hàng. Thông tin định tuyến của khách hàng được quảng bá qua mạng của nhà cung cấp dịch vụ. Mạng của nhà cung cấp dịch vụ xác định đường đi tối ưu từ một site khách hàng đến một site khác.
Việc phát hiện các thông tin định tuyến riêng của khách hàng bằng cách thực hiện lọc gói (packet) tại các router kết nối với mạng khách hàng.
Peer-to-peer VPN chia làm 2 loại:
Router dùng chung, tức là khách hàng VPN chia sẽ cùng router biên mạng nhà cung cấp PE. Ở phương pháp này, nhiều khách hàng có thể kết nối đến cùng router PE.
Trên router PE phải cấu hình access-list cho mỗi interface PE-CE để đảm bảo chắc chắn sự cách ly giữa các khách hàng VPN, để ngăn chặn VPN của khách hàng này thực hiện các tấn công từ chối dịch vụ DoS vào VPN của khách hàng khác. Nhà cung cấp dịch vụ chia mỗi phần trong không gian địa chỉ của nó cho khách hàng và quản lý việc lọc gói tin trên Router PE.
Là phương pháp mà khách hàng VPN có router PE dành riêng. Trong phương pháp này, mỗi khách hàng VPN phải có router PE dành riêng và do đó chỉ truy cập đến các định tuyến trong bảng định tuyến của router PE đó. Mô hình Dedicated-router sử dụng các giao thức định tuyến để tạo ra bảng định tuyến trên một VPN trên Router PE. Bảng định tuyến chỉ có các định tuyến được quảng bá bởi khách hàng VPN kết nối đến chúng, kết quả là tạo ra sự cách ly giữa các VPN.
3.2 Mô hình định tuyến MPLS-VPN
3.2.1 Bảng định tuyến và chuyển tiếp ảo-VRF (Virtual Routing and Forwarding table)
Khách hàng được phân biệt trên router PE bằng các bảng định tuyến ảo (virtual routing tables) hoặc các instance, còn được gọi là VRF (virtual routing and forwarding tables/instances).
Chức năng của VRF giống như một bản định tuyến toàn cục, ngoại trừ việc nó chứa mọi tuyến liên quan đến một VPN cụ thể.
VRF chứa một bảng định tuyến IP tương ứng với bảng định tuyến IP toàn cục, một bảng CEF, liệt kê các cổng giao tiếp tham gia vào VRF, và một tập hợp các nguyên tắc xác định giao thức định tuyến trao đổi với các router CE (routing protocol contexts). VRF còn chứa các định danh VPN (VPN identifier) như thông tin thành viên VPN (RD và RT).
Hình 3.4: Bảng VRF
3.2.2 Route Distinguisher, Route Targets, MP-BGP, và Address Families
Trong mô hình định tuyến MPLS VPN, router PE tạo ra sự cô lập giữa các khách hàng cách sử dụng các bảng định tuyến và chuyển tiếp ảo VRF. Tuy nhiên, các route của khách hàng trong quá trình được vận chuyển qua mạng backbone có thể bị chồng lấp (overlapping) với nhau khi các khách hàng sử dụng cùng không gian địa chỉ. RD giúp tạo nên sự duy nhất giữa các route VPN và tránh việc overlapping address xảy ra.
Một prefix 64 bits được gọi là Route Distinguisher được sử dụng trong MPLS VPN để biến đổi địa chỉ IPv4 32 bits là không duy nhất thành một địa chỉ 96 bits là địa chỉ mang tính duy nhất cho mỗi VRF. Địa chỉ 96 bits này sẽ được truyền giữa các router PE và được gọi là địa chỉ VPNv4. Mục đích của RD là tạo ra sự duy nhất cho các route IPv4. Hình vẽ bên dưới mô tả địa chỉ VPNv4.
Hình 3.5: Địa chỉ VPNv4
Route targets (RT) là những định danh dùng trong miền MPLS VPN khi triển khai MPLS VPN nhằm xác định thành viên VPN của các tuyến được học từ các site cụ thể. RT được thực thi bởi các BGP community mở rộng sử dụng 16 bit cao của BGP extended community (64 bit) mã hóa với một giá trị tương ứng với thành viên VPN của site cụ thể. Khi một tuyến VPN học từ một CE chèn vào VPNv4 BGP, một danh sách các thuộc tính community mở rộng cho VPN router target được kết hợp với nó.
Khi thực thi các cấu trúc mạng VPN phức tạp (như: extranet VPN, Internet access VPNs, network management VPN,…) sử dụng công nghệ MPLS VPN thì RT giữ vai trò nòng cốt. Một địa chỉ mạng có thể được kết hợp với một hoặc nhiều export RT khi quảng bá qua mạng MPLS VPN. Như vậy, RT có thể kết hợp với nhiều site thành viên của nhiều VPN.
Multiprotocol BGP (MP-BGP)
MP-BGP chạy giữa các router biên nhà cung cấp để trao đổi thông tin các tuyến VPNv4. MP-BGP là mở rộng của giao thức BGP hiện tại. Địa chỉ VPNv4 khách hàng là một địa chỉ 12 byte, kết hợp của địa chỉ IPv4 và RD. 8 byte đầu là RD; 4 byte tiếp theo là địa chỉ IPv4.
Một phiên làm việc MP-BGP giữa các PE trong một BGP AS được gọi là MP-iBGP session và kèm theo các nguyên tắc thực thi của iBGP liên quan đến thuộc tính của BGP (BGP attributes). Nếu VPN mở rộng ra khỏi phạm vi một AS, các VPNv4 sẽ trao đổi giữa các AS tại biên bằng MP-eBGP session.
Họ địa chỉ (Address family) là một khái niệm quan trọng trong hoạt động của MP-BGP cho phép chuyển vận các tuyến VPNv4 với các thuộc tính community mở rộng. Theo RFC 2283 “Multiprotocol Extensions for BGP-4”, BGPv4 chỉ có khả năng mang thông tin định tuyến thuộc vào IPv4. BGP-4 có thể mang thông tin của nhiều giao thức lớp mạng. BGP-4 hỗ trợ định tuyến cho nhiều giao thức lớp mạng, BGP-4 phải đăng ký (account) một giao thức lớp mạng cụ thể liên quan đế một trạm kế (next hop) như NLRI (network layer reachability information).
Router P cần chạy một IGP (OSPF hoặc IS-IS) khi MPLS cho phép chuyển tiếp các gói được gán nhãn (mặt phẳng dữ liệu – data plane) giữa các PE. IGP quảng bá các NLRI đến các P và PE để thực thi một MP-iBGP session giữa các PE (mặt phẳng điều khiển – control plane). LDP chạy trên các router P để gán và phân phối nhãn.
3.2.3 Hoạt động của mặt phẳng điều khiển MPLS VPN
Mặt phẳng điều khiển trong MPLS VPN chứa mọi thông tin định tuyến lớp 3 và các tiến trình trao đổi thông tin của các IP prefix được gán và phân phối nhãn bằng LDP.
Hình 3.7: Mặt phẳng điều khiển MPLS VPN
Các bước hoạt động của mặt phẳng điều khiển MPLS VPN: Mỗi router PE quảng cáo địa chỉ loopback của nó: PE1 quảng cáo 1.1.1.1/32 và PE2 quảng cáo 2.2.2.2/32. LDP dùng để phân phối thông tin gắn nhãn giữa các router chạy MPLS. Trên mỗi router PE, LFIB chứa một nhãn gắn với địa chỉ loopback của router PE khác. Khi PE1 chuyển tiếp gói từ 2.2.2.2 trên PE2, nó sẽ gắn thêm nhãn 20 cho gói và khi PE2 chuyển tiếp một gói từ 1.1.1.1, nó sẽ đặt nhãn 10 cho gói. Định tuyến và chuyển tiếp VPN được tạo trên PE1 và PE2, gọi là VPNA. PE1 dùng giao tiếp S0/0 trong VPN này và PE2 dùng giao tiếp S0/1. OSPF chạy giữa các PE1và CE1; PE2 và CE2. Khi PE1 nhận tuyến đường tới mạng 10.1.1.0 từ CE1, router đặt nó trong bảng định tuyến của VPNA. Lúc này, nó gán nhãn (5) cho prefix. Khi PE2 nhận tuyến đường tới mạng 10.1.2.0 từ CE2, nó đặt vào bảng định tuyến của VPNA. Lúc này nhãn (6) được gán cho prefix. PE1 sau đó gởi cập nhật MP-iBGP đa giao thức tới PE2 quảng cáo mạng 10.1.1.0. Cập nhật cũng chứa nhãn (5) mà PE1 gắn cho prefix 10.1.1.0, và PE2 gắn thêm vào bất kỳ gói nào tới mạng 10.1.1.0 trước khi nó chuyển tiếp gói. Khi PE1 quảng cáo tuyến, nó đặt địa chỉ BGP chặng kế là 1.1.1.1/32, là địa chỉ loopback của nó. PE2 sau đó gởi cập nhật iBGP đa giao thức cho PE1 quảng cáo mạng 10.1.2.0. Cập nhật cũng chứa nhãn (6), mà PE2 gán cho prefix 10.1.2.0 và PE1 phải gắn thêm vào các gói tới mạng 10.1.2.0 trước khi chuyển tiếp nó. Khi PE2 quảng cáo tuyến đường, nó đặt địa chỉ BGP chặng kế là 2.2.2.2/32 là địa chỉ loopback của nó. PE1 đưa prefix 10.1.2.0 vào bảng định tuyến của VPNA và PE2 đưa prefix 10.1.1.0 vào bảng định tuyến của VPNA.
3.3 Những giao thức định tuyến PE-CE.
3.3.1 Định tuyến tĩnh.
Định tuyến tĩnh là dạng định tuyến đơn giản nhất để cấu hình. Tuy nhiên, nhưng nó lại tỏ ra kém hiệu quả khi chúng ta cần cấu hình nhiều tuyến tĩnh (static routes). Để cung cấp cho các VRF, các tuyến tĩnh đã tạo ra VRF aware mà chúng có thể được cấu hình trên router PE cho lưu lượng tuyến trong các VRF. Tuyến tĩnh (static route) gắn vào VRF cust-one và tuyến được đặt vào trong bảng định tuyến mà được liên kết với VRF cust-one.
Để đảm bảo là tuyến tĩnh được học trên các router PE như là một tuyến VPNv4, chúng ta phải phân phối các tuyến tĩnh vào BGP dưới địa chỉ family cho VRF đặc biệt.
3.3.2 RIPv2.
RIP (Routing information Protocol) là một giao thức định tuyến miền trong được sử dụng cho các hệ thống tự trị. Giao thức thông tin định tuyến thuộc loại giao thức định tuyến khoảng cách véctơ, giao thức sử dụng giá trị để đo lường đó là số bước nhảy (hop count) trong đường đi từ nguồn đến đích. Mỗi bước đi trong đường đi từ nguồn đến đích được coi như có giá trị là 1 hop count. Khi một bộ định tuyến nhận được 1 bản tin cập nhật định tuyến cho các gói tin thì nó sẽ cộng 1 vào giá trị đo lường (hop count) đồng thời cập nhật vào bảng định tuyến.
-Định tuyến không theo lớp địa chỉ.
-Có gửi thông tin về mặt nạ mạng con trong thông tin định tuyến.
RIP chỉ thích hợp với mạng nhỏ, yêu cầu thấp do RIP không hiểu được các cấu hình netmask, khả năng nhận thực kém ( thiếu trường địa chỉ nguồn, chỉ có trường địa chỉ đích), không có phần địa chỉ Multicast. Các nhược điểm trên được khắc phục với RIPv2.
RIP phiên bản 2 (RIPv2) đã cải tiến một số chi tiết kỹ thuật của RIP đầu tiên, nhưng nó vẫn bị hạn chế giao thức định tuyến. Một số cải tiến như sau:
- Bao gồm mạng cấp dưới với những tiền tố (prefixes).
- Bao gồm địa chỉ kế tiếp next-hop.
- Bao gồm route tag.
- Quyền thẩm định (tùy ý).
- Trong Cisco IOS, RIPv2 được ứng dụng như là giao thức định tuyến PE-CE, nhưng RIP phiên bản 1 thì không.
3.3.3 OSPF (Open Shortest Path First ):
OSPF là một giao thức định tuyến trên kết nối PE-CE. Để vận chuyển tuyến khách hàng từ PE đến PE, OSPF được phân phối lại thành iBGP và vice versa trên các router PE. Bên dưới cái này là cái mà tất cả các tuyến OSPF trở thành các tuyến phía ngoài trên router PE ở xa khi các tuyến được phân phối lại trở thành OSPF. Kết quả là tất cả các tuyến OSPF truyền qua mạng trục MPLS VPN sẽ thuận tiện hơn so với các tuyến không truyền qua mạng trục mà được gửi qua kết nối intersite (backdoor link) từ một site OSPF đến site khác.
3.3.4 EIGRP ( Enhanced IGRP ):
EIGRP router lưu trữ các thông tin về đường đi và cấu trúc mạng trên RAM, nhờ đó chúng đáp ứng nhanh chóng theo sự thay đổi. Giống như OSPF, EIGRP cũng lưu những thông tin này thành từng bảng và từng cơ sở dữ liệu khác nhau.
EIGRP lưu các con đường mà nó học được theo một cách đặc biệt. Mỗi con đường có trạng thái riêng và có đánh dấu để cung cấp thêm nhiều thông tin hữu dụng khác.
EIGRP có ba loại bảng sau:
-Bảng láng giềng (Neighbor table)
-Bảng cấu trúc mạng ( Topology table).
-Bảng định tuyến (Routing table).
Link bài trước:http://vnpro.org/forum/showthread.php/49901-Mpls_vpn-định-tuyến-và-báo-hiệu-trong-mpls
CHƯƠNG III : MPLS-VPN
3.1 Tổng quan về VPN
VPN là công nghệ cho phép kết nối các thành phần của một mạng riêng (private network) thông qua hạ tầng mạng công cộng (Internet). VPN hoạt động dựa trên kỹ thuật tunneling: gói tin trước khi được chuyển đi trên VPN sẽ được mã hóa và được đặt bên trong một gói tin có thể chuyển đi được trên mạng công cộng. Gói tin được truyền đi đến đầu bên kia của kết nối VPN. Tại điểm đến bên kia của kết nối VPN, gói tin đã bị mã hóa sẽ được “lấy ra” từ trong gói tin của mạng công cộng và được giải mã.
3.1.1 Mô hình Overlay
Hình 3.1: Mô hình overlay VPN
Nếu mạch ảo là cố định, sẵn sàng cho khách hàng sử dụng mọi lúc thì được gọi là mạch ảo cố định PVC. Nếu mạch ảo được thiết lập theo yêu cầu (on-demand) thì được gọi là mạch ảo chuyển đổi SVC.
Hạn chế chính của mô hình Overlay là các mạch ảo của các site khách hàng kết nối dạng full mesh. Nếu có N site khách hàng thì tổng số lượng mạch ảo cần thiết N(N-1)/2.
Overlay VPN được thực thi bởi SP để cung cấp các kết nối layer 1 (physical) hay mạch chuyển vận lớp 2 (Data link – dạng dữ liệu frame hoặc cell) giữa các site khách hàng bằng cách sử dụng các thiết bị Frame relay hay ATM Switch. Do đó, SP không thể nhận biết được việc định tuyến ở khách hàng.
Overlay VPN còn thực thi các dịch vụ qua layer 3 với các giao thức tạo đường hầm như GRE, IPSec… Tuy nhiên, dù trong trường hợp nào thì mạng của nhà cung cấp vẫn trong suốt với khách hàng, và các giao thức định tuyến chạy trực tiếp giữa các router của khách hàng.
3.1.2 Mô hình peer-to-peer
Hình 3.2: Mô hình peer-to-peer VPN
Nhà cung cấp dịch vụ tham gia vào việc định tuyến của khách hàng. Thông tin định tuyến của khách hàng được quảng bá qua mạng của nhà cung cấp dịch vụ. Mạng của nhà cung cấp dịch vụ xác định đường đi tối ưu từ một site khách hàng đến một site khác.
Việc phát hiện các thông tin định tuyến riêng của khách hàng bằng cách thực hiện lọc gói (packet) tại các router kết nối với mạng khách hàng.
Peer-to-peer VPN chia làm 2 loại:
- Shared-router
Router dùng chung, tức là khách hàng VPN chia sẽ cùng router biên mạng nhà cung cấp PE. Ở phương pháp này, nhiều khách hàng có thể kết nối đến cùng router PE.
Trên router PE phải cấu hình access-list cho mỗi interface PE-CE để đảm bảo chắc chắn sự cách ly giữa các khách hàng VPN, để ngăn chặn VPN của khách hàng này thực hiện các tấn công từ chối dịch vụ DoS vào VPN của khách hàng khác. Nhà cung cấp dịch vụ chia mỗi phần trong không gian địa chỉ của nó cho khách hàng và quản lý việc lọc gói tin trên Router PE.
- Dedicated-router
Là phương pháp mà khách hàng VPN có router PE dành riêng. Trong phương pháp này, mỗi khách hàng VPN phải có router PE dành riêng và do đó chỉ truy cập đến các định tuyến trong bảng định tuyến của router PE đó. Mô hình Dedicated-router sử dụng các giao thức định tuyến để tạo ra bảng định tuyến trên một VPN trên Router PE. Bảng định tuyến chỉ có các định tuyến được quảng bá bởi khách hàng VPN kết nối đến chúng, kết quả là tạo ra sự cách ly giữa các VPN.
3.2 Mô hình định tuyến MPLS-VPN
3.2.1 Bảng định tuyến và chuyển tiếp ảo-VRF (Virtual Routing and Forwarding table)
Khách hàng được phân biệt trên router PE bằng các bảng định tuyến ảo (virtual routing tables) hoặc các instance, còn được gọi là VRF (virtual routing and forwarding tables/instances).
Chức năng của VRF giống như một bản định tuyến toàn cục, ngoại trừ việc nó chứa mọi tuyến liên quan đến một VPN cụ thể.
VRF chứa một bảng định tuyến IP tương ứng với bảng định tuyến IP toàn cục, một bảng CEF, liệt kê các cổng giao tiếp tham gia vào VRF, và một tập hợp các nguyên tắc xác định giao thức định tuyến trao đổi với các router CE (routing protocol contexts). VRF còn chứa các định danh VPN (VPN identifier) như thông tin thành viên VPN (RD và RT).
Hình 3.4: Bảng VRF
- Route Distinguisher
Trong mô hình định tuyến MPLS VPN, router PE tạo ra sự cô lập giữa các khách hàng cách sử dụng các bảng định tuyến và chuyển tiếp ảo VRF. Tuy nhiên, các route của khách hàng trong quá trình được vận chuyển qua mạng backbone có thể bị chồng lấp (overlapping) với nhau khi các khách hàng sử dụng cùng không gian địa chỉ. RD giúp tạo nên sự duy nhất giữa các route VPN và tránh việc overlapping address xảy ra.
Một prefix 64 bits được gọi là Route Distinguisher được sử dụng trong MPLS VPN để biến đổi địa chỉ IPv4 32 bits là không duy nhất thành một địa chỉ 96 bits là địa chỉ mang tính duy nhất cho mỗi VRF. Địa chỉ 96 bits này sẽ được truyền giữa các router PE và được gọi là địa chỉ VPNv4. Mục đích của RD là tạo ra sự duy nhất cho các route IPv4. Hình vẽ bên dưới mô tả địa chỉ VPNv4.
Hình 3.5: Địa chỉ VPNv4
- Route Target
Route targets (RT) là những định danh dùng trong miền MPLS VPN khi triển khai MPLS VPN nhằm xác định thành viên VPN của các tuyến được học từ các site cụ thể. RT được thực thi bởi các BGP community mở rộng sử dụng 16 bit cao của BGP extended community (64 bit) mã hóa với một giá trị tương ứng với thành viên VPN của site cụ thể. Khi một tuyến VPN học từ một CE chèn vào VPNv4 BGP, một danh sách các thuộc tính community mở rộng cho VPN router target được kết hợp với nó.
- RT được kèm theo định tuyến được gọi là export RT và được cấu hình riêng biệt cho mỗi VRF tại router PE. Export RT dùng để xác định thành viên VPN và được kết hợp với mỗi VRF. Export RT được nối thêm vào địa chỉ khách hàng khi chuyển thành địa chỉ VPNv4 bởi PE và quảng bá trong các cập nhật MP-BGP.
- Import RT kết hợp với mỗi VRF và xác định các tuyến VPNv4 được thêm vào VRF cho khách hàng cụ thể. Định dạng của RT giống như giá trị RD.
Khi thực thi các cấu trúc mạng VPN phức tạp (như: extranet VPN, Internet access VPNs, network management VPN,…) sử dụng công nghệ MPLS VPN thì RT giữ vai trò nòng cốt. Một địa chỉ mạng có thể được kết hợp với một hoặc nhiều export RT khi quảng bá qua mạng MPLS VPN. Như vậy, RT có thể kết hợp với nhiều site thành viên của nhiều VPN.
Multiprotocol BGP (MP-BGP)
MP-BGP chạy giữa các router biên nhà cung cấp để trao đổi thông tin các tuyến VPNv4. MP-BGP là mở rộng của giao thức BGP hiện tại. Địa chỉ VPNv4 khách hàng là một địa chỉ 12 byte, kết hợp của địa chỉ IPv4 và RD. 8 byte đầu là RD; 4 byte tiếp theo là địa chỉ IPv4.
Một phiên làm việc MP-BGP giữa các PE trong một BGP AS được gọi là MP-iBGP session và kèm theo các nguyên tắc thực thi của iBGP liên quan đến thuộc tính của BGP (BGP attributes). Nếu VPN mở rộng ra khỏi phạm vi một AS, các VPNv4 sẽ trao đổi giữa các AS tại biên bằng MP-eBGP session.
- Address familys
Họ địa chỉ (Address family) là một khái niệm quan trọng trong hoạt động của MP-BGP cho phép chuyển vận các tuyến VPNv4 với các thuộc tính community mở rộng. Theo RFC 2283 “Multiprotocol Extensions for BGP-4”, BGPv4 chỉ có khả năng mang thông tin định tuyến thuộc vào IPv4. BGP-4 có thể mang thông tin của nhiều giao thức lớp mạng. BGP-4 hỗ trợ định tuyến cho nhiều giao thức lớp mạng, BGP-4 phải đăng ký (account) một giao thức lớp mạng cụ thể liên quan đế một trạm kế (next hop) như NLRI (network layer reachability information).
Router P cần chạy một IGP (OSPF hoặc IS-IS) khi MPLS cho phép chuyển tiếp các gói được gán nhãn (mặt phẳng dữ liệu – data plane) giữa các PE. IGP quảng bá các NLRI đến các P và PE để thực thi một MP-iBGP session giữa các PE (mặt phẳng điều khiển – control plane). LDP chạy trên các router P để gán và phân phối nhãn.
3.2.3 Hoạt động của mặt phẳng điều khiển MPLS VPN
Mặt phẳng điều khiển trong MPLS VPN chứa mọi thông tin định tuyến lớp 3 và các tiến trình trao đổi thông tin của các IP prefix được gán và phân phối nhãn bằng LDP.
Hình 3.7: Mặt phẳng điều khiển MPLS VPN
3.3 Những giao thức định tuyến PE-CE.
3.3.1 Định tuyến tĩnh.
Định tuyến tĩnh là dạng định tuyến đơn giản nhất để cấu hình. Tuy nhiên, nhưng nó lại tỏ ra kém hiệu quả khi chúng ta cần cấu hình nhiều tuyến tĩnh (static routes). Để cung cấp cho các VRF, các tuyến tĩnh đã tạo ra VRF aware mà chúng có thể được cấu hình trên router PE cho lưu lượng tuyến trong các VRF. Tuyến tĩnh (static route) gắn vào VRF cust-one và tuyến được đặt vào trong bảng định tuyến mà được liên kết với VRF cust-one.
Để đảm bảo là tuyến tĩnh được học trên các router PE như là một tuyến VPNv4, chúng ta phải phân phối các tuyến tĩnh vào BGP dưới địa chỉ family cho VRF đặc biệt.
3.3.2 RIPv2.
RIP (Routing information Protocol) là một giao thức định tuyến miền trong được sử dụng cho các hệ thống tự trị. Giao thức thông tin định tuyến thuộc loại giao thức định tuyến khoảng cách véctơ, giao thức sử dụng giá trị để đo lường đó là số bước nhảy (hop count) trong đường đi từ nguồn đến đích. Mỗi bước đi trong đường đi từ nguồn đến đích được coi như có giá trị là 1 hop count. Khi một bộ định tuyến nhận được 1 bản tin cập nhật định tuyến cho các gói tin thì nó sẽ cộng 1 vào giá trị đo lường (hop count) đồng thời cập nhật vào bảng định tuyến.
-Định tuyến không theo lớp địa chỉ.
-Có gửi thông tin về mặt nạ mạng con trong thông tin định tuyến.
RIP chỉ thích hợp với mạng nhỏ, yêu cầu thấp do RIP không hiểu được các cấu hình netmask, khả năng nhận thực kém ( thiếu trường địa chỉ nguồn, chỉ có trường địa chỉ đích), không có phần địa chỉ Multicast. Các nhược điểm trên được khắc phục với RIPv2.
RIP phiên bản 2 (RIPv2) đã cải tiến một số chi tiết kỹ thuật của RIP đầu tiên, nhưng nó vẫn bị hạn chế giao thức định tuyến. Một số cải tiến như sau:
- Bao gồm mạng cấp dưới với những tiền tố (prefixes).
- Bao gồm địa chỉ kế tiếp next-hop.
- Bao gồm route tag.
- Quyền thẩm định (tùy ý).
- Trong Cisco IOS, RIPv2 được ứng dụng như là giao thức định tuyến PE-CE, nhưng RIP phiên bản 1 thì không.
3.3.3 OSPF (Open Shortest Path First ):
OSPF là một giao thức định tuyến trên kết nối PE-CE. Để vận chuyển tuyến khách hàng từ PE đến PE, OSPF được phân phối lại thành iBGP và vice versa trên các router PE. Bên dưới cái này là cái mà tất cả các tuyến OSPF trở thành các tuyến phía ngoài trên router PE ở xa khi các tuyến được phân phối lại trở thành OSPF. Kết quả là tất cả các tuyến OSPF truyền qua mạng trục MPLS VPN sẽ thuận tiện hơn so với các tuyến không truyền qua mạng trục mà được gửi qua kết nối intersite (backdoor link) từ một site OSPF đến site khác.
3.3.4 EIGRP ( Enhanced IGRP ):
EIGRP router lưu trữ các thông tin về đường đi và cấu trúc mạng trên RAM, nhờ đó chúng đáp ứng nhanh chóng theo sự thay đổi. Giống như OSPF, EIGRP cũng lưu những thông tin này thành từng bảng và từng cơ sở dữ liệu khác nhau.
EIGRP lưu các con đường mà nó học được theo một cách đặc biệt. Mỗi con đường có trạng thái riêng và có đánh dấu để cung cấp thêm nhiều thông tin hữu dụng khác.
EIGRP có ba loại bảng sau:
-Bảng láng giềng (Neighbor table)
-Bảng cấu trúc mạng ( Topology table).
-Bảng định tuyến (Routing table).