MPLS-VPN.

Bạn đang xem: Mpls vpn là gì

Không giống như các mạng VPN truyền thống, các mạng MPLS VPN không sử dụng hoạt động đóng gói và mã hóa gói tin để đạt được mức độ bảo mật cao. MPLSVPN sử dụng bảng chuyển tiếp và các nhãn “tags” để tạo nên tính bảo mật cho mạng VPN. Kiến trúc mạng loại này sử dụng các tuyến mạng xác định để phân phối các dịch vụ VPN, và các cơ chế xử lý thông minh của MPLS VPN lúc này nằm hoàn toàn trong phần lõi của mạng.Trước tiên, ta hãy xem xét một số thuật ngữ được dùng trong mạng MPLS VPN.Thiết bị CPE trong MPLS-VPN chính là các CE (Customer Edge) router và các CE router này được nối với mạng của nhà cung cấp dịch vụ thông qua các PE (ProviderEdge) router. Một mạng VPN sẽ bao gồm một nhóm các CE router kết nối với các PE router của nhà cung cấp dịch vụ. Tuy nhiên, chỉ những PE router mới có khái niệm về VPN, còn các CE router thì không “nhận thấy” những gì đang diễn ra bên trong mạng của nhà cung cấp dịch vụ và sẽ coi như chúng đang được kết nối với nhau thông qua một mạng riêng.Mỗi VPN được kết hợp với một bảng định tuyến – chuyển tiếp VPN (VRF) riêng biệt. VRF cung cấp các thông tin về mối quan hệ trong VPN của một site khách hàngkhi được nối với PE router. Bảng VRF bao gồm thông tin bảng định tuyến IP (IP routing table), bảng CEF (Cisco Express Forwarding), các giao diện của bảng địnhtuyến; các quy tắc, các tham số của giao thức định tuyến… Mỗi site chỉ có thể kết hợp với một và chỉ một VRF. Các VRF của site khách hàng mang toàn bộ thông tin về các “tuyến” có sẵn từ site tới VPN mà nó là thành viên.Đối với mỗi VRF, thông tin sử dụng để chuyển tiếp các gói tin được lưu trong các bảng định tuyến IP và bảng CEF. Các bảng này được duy trì riêng rẽ cho từng VRFnên nó ngăn chặn được hiện tượng thông tin bị chuyển tiếp ra ngoài mạng VPN cũng như ngăn chặn các gói tin bên ngoài mạng VPN chuyển tiếp vào các router bên trong mạng VPN. đây chính là cơ chế bảo mật của MPLS VPN. Bên trong mỗi một MPLS VPN, có thể kết nối bất kỳ hai điểm nào với nhau và các site có thể gửi thông tin trực tiếp cho nhau mà không cần thông qua site trung tâm.Tham số phân biệt tuyến RD (Route Distinguisher) giúp nhận biết các địa chỉ IP thuộc VPN riêng biệt nào. Xét mô hình mạng như hình 2.3, có 3 VPN khác nhau vàđược xác định bởi các RD: 10, 20 và 30. Một mạng MPLS có thể hỗ trợ hàng trăm đến hàng nghìn VPN. Phần bên trong của kiến trúc mạng MPLS VPN được kết cấu bởi các thiết bị của nhà cung cấp. Những thiết bị này hình thành mạng lõi (core) MPLS và không được nối trực tiếp đến các CE router. Các chức năng VPN của một mạng MPLS-VPN sẽ được thực hiện bởi các PE router bao quanh mạng lõi này. Cả P router và PE router đều là các bộ định tuyến chuyển mạch nhãn LSR (Label Switch Router) trong mạng MPLS. Các site khách hàng có thể được kết nối với các PE router bằng nhiều cách khác nhau như T1, Frame Relay, DSL, ATM, v.v…

*

Trong một mạng MPLS VPN, site phía khách hàng sẽ sử dụng IP thông thường mà không cần biết đến MPLS, IPSec hay bất cứ một chức năng VPN đặc biệt nào.Tại các PE router, một cặp VRF và RD sẽ tương ứng với mỗi liên kết đến site của khách hàng (customer site). Liên kết này có thể là một liên kết vật lý T1, Frame Relay hay ATM VC, DSL… Giá trị RD sẽ hoàn toàn “ẩn” và sẽ không được cấu hình tại các thiết bị của khách hàng. Một trong những ưu điểm lớn nhất của các MPLS VPN là không đòi hỏi các thiết bị CPE thông minh bởi vì toàn bộ các chức năng VPN được thực hiện ở phía trong mạng lõi của nhà cung cấp dịch vụ và hoàn toàn “trong suốt” đối với các CPE. Các CPE không đòi hỏi chức năng VPN và hỗ trợ IPSec. điều này có nghĩa là khách hàng không phải chi phí quá cao cho các thiết bị CPE.Trễ trong mạng được giữ ở mức thấp nhất vì các gói tin lưu chuyển trong mạng không phải thông qua các hoạt động như đóng gói và mã hóa. Sở dĩ không cần chứcnăng mã hóa là vì MPLS VPN tạo nên một mạng riêng. Phương pháp bảo mật này gần giống như bảo mật trong mạng Frame Relay. Thậm chí trễ trong MPLS VPN còn thấp hơn là trong mạng MPLS IP sử dụng chuyển mạch nhãn Việc tạo một mạng đầy đủ (full mesh) VPN là hoàn toàn đơn giản vì các MPLS VPN không sử dụng cơ chế tạo đường hầm. Vì vậy, cấu hình mặc định cho các mạng MPLS VPN là full mesh, trong đó các site được nối trực tiếp với PE vì vậy các site bất kỳ có thể trao đổi thông tin với nhau trong VPN. Và thậm chí, nếu site trung tâm gặp trục trặc, các spoke site vẫn có thể liên lạc với nhau.Hoạt động khai thác và bảo dưỡng cũng đơn giản hơn trong mạng MPLS-VPN. Hoạt động này chỉ cần thực hiện tại các thiết bị bên trong mạng core mà không cầnphải tiếp xúc đến các CPE. Một khi một site đã được cấu hình xong, ta không cần đụng chạm đến nó nữa cho dù nếu muốn thêm một site mới vào mạng vì những thayđổi về cấu hình lúc này chỉ cần thực hiện tại PE mà nó nối tới.Vấn đề bảo mật thậm chí còn đơn giản hơn nhiều khi triển khai trong các mạng MPLS VPN vì một VPN khép kín bản thân nó đã đạt được sự an toàn thông tin do không có kết nối với mạng Internet công cộng. Nếu có nhu cầu truy nhập Internet, một tuyến sẽ được thiết lập để cung cấp khả năng truy nhập. Lúc này, một firewall sẽ được sử dụng trên tuyến này để đảm bảo một kết nối bảo mật cho toàn bộ mạng VPN. Cơ chế hoạt động này rõ ràng dễ dàng hơn nhiều cho hoạt động quản lý mạng vì chỉ cần duy trì các chính sách bảo mật cho một firewall duy nhất mà vẫn đảm bảo an toàn cho toàn bộ VPN Một ưu điểm nữa của các mạng MPLS VPN là chỉ cần một kết nối duy nhất cho mỗi remote site. So sánh với mạng Frame Relay truyền thống có 1 nút trung tâm và 10 remote site (mỗi một remote site sẽ cần một Frame Relay PVC) thì tại nút trung tâm (hub) sẽ cần 10 PVCs. Trong khi bên trong một mạng MPLS VPN chỉ cần duy nhất một PVC tại vị trí hub trung tâm nên chi phí mạng sẽ giảm đáng kể.2.2. Mô hình MPLS VPN.

Xem thêm: Kinh Tế đối Ngoại Là Gì, Kinh Tế đối Ngoại

Hình 2.4 là lược đồ tổng quan của mô hình MPLS VPN. Khách hàng sử dụng cơ sở hạ tầng công cộng của nhà cung cấp dịch vụ.

*

Trong đó router PE là router biên của nhà cung cấp (provider edge). Nó kết nối trực tiếp với router biên khách hàng CE (customer edge) tại lớp 3. Router P là router lõi của nhà cung cấp không kết nối trực tiếp với các router của khách hàng. Trong thực thi của MPLS VPN, cả router P và router PE đều chạy MPLS. Có nghĩa là chúng phải thực hiện phân phối nhãn giữa chúng và chuyển tiếp các gói đã được ghi nhãn. Router CE của khách hàng thực hiện kết nối trực tiếp với router PE của nhà cung cấp dịch vụ tại lớp 3. Router C khách hàng không kết nối trực tiếp đến router PE. Router CE không cần chạy MPLS. Các router CE và router PE tác động qua lại tại lớp 3, do đó chúng phải chạy một giao thức định tuyến (định tuyến tĩnh) giữa chúng. Router PE có một phần nằm lộ rabên ngoài mạng như router CE. Nếu như router CE được liên kết mạng, thì nó ngang cấp với nhiều router PE. Đối với mô hình overlay, router CE không ngang cấp với bất kỳ router CE từ các site khác qua mạng của nhà cung cấp dịch vụ. Mô hình peer-to- peer được bắt nguồn từ thực tế là CE và PE ngang cấp nhau tại lớp 3.Từ P trong mạng riêng ảo (VPN) có nghĩa là riêng. Như vậy các khách hàng của nhà cung cấp dịch vụ được cấp cho một sơ đồ địa chỉ IP của riêng mình. Điều này cónghĩa là họ sử dụng địa chỉ IP đã đăng ký nhưng cũng là địa chỉ IP riêng (see RFC 1918) hoặc địa chỉ IP chẳn mà đã được sử dụng bởi các khách hàng khác có kết nối tới nhà cung cấp dịch vụ đó. (gọi là địa chỉ IP trùng lắp). Nếu các gói được chuyển tiếp như các gói IP trong mạng của nhà cung cấp dịch vụ thì sẽ gây ra những vấn đề lớn,bởi vì các router P sẽ bị rối, không thể thực hiện công việc của mình. Nếu như sơ đồ địa chỉ trùng lắp và riêng không được cho phép, khi ấy mỗi khách hàng phải sử dụng một vùng không gian địa chỉ riêng. Trong trường hợp đó, các gói tin được chuyển tiếp bằng cách nhìn vào địa chỉ IP nơi đi đến trên mỗi router trong mạng của nhà cung cấp dịch vụ. Như vậy các router P và PE phải có bảng định tuyến đầy đủ của mỗi khách hàng. Bảng định tuyến này lớn. Chỉ có một giao thức định tuyến có khả năng vận chuyển được một số lớn các tuyến đó là giao thức cổng biên BGP (border gateway protocol). Tất cả các router P và PE phải chạy giao thức BGP nội (iBGP: internal BGP) giữa chúng. Tuy nhiên nó không phải là sơ đồ VPN, vì nó không riêng cho các khách hàng.Một giải pháp khác mà mỗi router P và router PE có một bảng định tuyến riêng cho mỗi khách hàng. Những quá trình khác nhau của một giao thức định tuyến (oneprocess per VPN) được chạy trên tất cả các router để phân phối các tuyến VPN. Một quá trình định tuyến qua VPN trên mỗi router P là không thay đổi. Mỗi chu kỳ VPN được cộng thêm vào mạng, quá trình định tuyến mới phải được công thêm một router P. Vả lại, nếu một gói IP đi vào router P, thì router P đưa ra quyết định chuyển tiếp gói như thế nào? Nếu gói là một gói IP, thì điều này không thể. Bạn phải thêm vào một trường phụ để đánh dấu gói IP. Những router P sau đó chuyển tiếp các gói IP bằng cách xem trường phụ này và địa chỉ IP nơi được gửi tới. Mặt khác, tất cả các router P phải biết các trường phụ này. Một giải pháp khác là những router P hoàn toàn không biết về VPNs. Nên router P giảm bớt gánh nặng về thông tin định tuyến cho các tuyến VPNs. MPLS là giải pháp của vấn đề đó. Những gói IP của khách hàng được gán nhãn trong mạng của nhà cung cấp dịch vụ để dành được VPN riêng cho mỗi khách hàng. Vả lại, router P không cần đến bảng định tuyến của các khách hàng mà nó sử dụng hai nhãn MPLS. Vì vậy, BGP không cần thiết trên các router P. Những tuyến VPN chỉ được biết trên router PE. Như vậy, sự hiện diện của VPN chỉ có mặt trên các router biên của mạng MPLS VPN.Hình 2.5 mô tả mô hình MPLS VPN: Những gói chuyển mạch nhãn trong mạng của nhà cung cấp dịch vụ và các router PE mà có thể nhìn thấy VPN.

Xem thêm: Macroeconomics Là Gì – Nghĩa Của Từ Macroeconomics

*

gmail.com Viet Professionals Co. Ltd. (thienmaonline.vn)149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCMTel: (08) 35124257 (5 lines)Fax (08) 35124314Tập tành bước đi….
PrevioustemplateNext
vBulletin Default Theme

Chuyên mục: Hỏi Đáp