VPLS và BGP MPLS VPN

Trần Quốc Khánh

VNPT Hải Dương

Abstract

Trong nhiều năm, hệ thống mạng truyền tải hoạt động trên các công nghệ mạng truyền thống TDM,
Frame Relay và ATM. Tuy nhiên, sự phát triển nhanh chóng của các dịch vụ yêu cầu băng thông
mạng nhiều hơn, vượt quá khả năng phục vụ của các công nghệ truyền thống. Hệ thống mạng truyền
tải mới, băng thông cực mạnh dựa trên công nghệ Ethernet, IP và MPLS phục vụ đa dịch vụ, đặc
biệt đáp ứng nhu cầu kết nối mạng nội bộ các doanh nghiệp, thay thế các kiểu kết nối truyền thống
băng thông hạn hẹp, chi phí giá thành cao. Với IP/MPLS, dịch vụ mạng riêng ảo (VPN) là giải pháp
kết nối mạng linh hoạt, chi phí thấp, hỗ trợ đa dịch vụ. Bài viết phân tích 2 loại dịch vụ VPN trên
nền MPLS: BGP MPLS VPN – VPN lớp 3 và VPLS – VPN lớp 2, so sánh các ưu nhược điểm trên
quan điểm nhà cung cấp dịch vụ và khách hàng.

1. Giới thiệu về công nghệ MPLS và dịch vụ VPN MPLS

Mạng truyền tải đóng vai trò vô cùng quan trọng trong mô hình mạng của mỗi nhà cung cấp dịch vụ
- ISP. Với nhu cầu gia tăng nhanh băng thông đường trục, mạng truyền tải được thiết kế theo hướng
đẩy phần phức tạp như định tuyến về lớp biên, phần mạng lõi chỉ xử lý đơn giản như chuyển mạch
để tăng khả năng đáp ứng của mạng lõi. Công nghệ MPLS được thiết kế cho mô hình này với ưu
điểm hơn so với định tuyến gói tin thuần túy – chuyển tiếp nhãn thay vì đọc gói tin IP và lựa chọn
đường định tuyến trước khi chuyển tiếp gói tin. MPLS là kết hợp của kiểu chuyển mạch ATM lớp 2
trên mạng chuyển mạch IP lớp 3. Nó cho phép một mạch ảo hoặc đường hầm được tạo trên mạng
sương sống IP và dữ liệu có thể được chuyển mạch đơn giản và nhanh chóng qua đường hầm mà
không cần phân tích các gói tin riêng hoặc tính toán định tuyến đến các nút mạng khác. MPLS cũng
hỗ trợ chất lượng dịch vụ, kỹ thuật lưu lượng và tính sẵn sàng của mạng ATM với khả năng mở
rộng, tính đa điểm của mạng IP.

Cấu trúc của mạng MPLS gồm các bộ định tuyến biên (router PE) giao tiếp với thiết bị tại mạng
khách hàng (CE) và các bộ định tuyến trung tâm (Router P) chuyển tiếp các gói tin MPLS trong
mạng. PE có 2 giao diện: giao diện giao tiếp với mạng MPLS và giao diện giao tiếp với mạng IP. PE
sử dụng bảng chuyển tiếp nhãn lựa chọn đường dẫn chuyển mạch nhãn (LSP) đến các router P và
định tuyến các gói tin IP trên cơ sở thông tin thiết bị CE.. Việc phân phối và trao đổi nhãn sử dụng
giao thức phân phối nhãn (LDP). Các giao thức định tuyến trong mạng IP được bổ sung kỹ thuật lưu
lượng trong mạng MPLS như RSVP-TE, OSPF-TE, ISIS-TE.
 Hình 1 – Mô hình mạng MPLS

Một trong các dịch vụ được phát triển trên nền mạng MPLS là dịch vụ VPN. Trên khía cạnh nhà
cung cấp dịch vụ, dịch vụ VPN – mạng riêng ảo cung cấp dịch vụ kết nối nhiều mạng khách hàng
qua mạng chia sẻ chung. Dịch vụ VPN sử dụng kết nối ảo để đảm bảo tính riêng tư dữ liệu khách
hàng khi truyền qua mạng dùng chung.

Hình 2 – Mô hình mạng VPN

Trong hạ tầng mạng truyền tải MPLS, các site của khách hàng A có thể kết nối bảo mật qua mạng
nhà cung cấp dịch vụ mà không bị can thiệp bởi mạng của khách hàng B. Lưu lượng mạng A chạy
qua các đường hầm kết nối riêng được tạo ra trong mạng MPLS kết nối các site của A. Các kết nối
này nhìn từ phía khách hàng giống như dịch vụ kênh riêng, hoặc qua một đường ảo bảo mật trên
cùng một kết nối vật lý.
Trên nền MPLS, dịch vụ VPN được phát triển thành 2 kiêu: VPN lớp 3 và VPN lớp 2. Điểm khác
biệt chính của 2 dịch vụ này là VPN lớp 3 thực hiện công việc định tuyến phức tạp cho mạng của
khách hàng, còn trong VPN lớp 2, khách hàng phải tự cấu hình, quản lý định tuyến giữa các site
trong mạng của mình. BGP MPLS VPN và VPLS là 2 công nghệ đại diện cho VPN lớp 3 và lớp 2
trên nền MPLS.

2. Dịch vụ BGP MPLS VPN

BGP MPLS VPN cho phép các site của khách hàng kết nối qua mạng trục IP như sử dụng mạng
riêng. BGP MPLS VPN được định nghĩa trong chuẩn IETF RFC 2547bis. BGP MPLS VPN sử dụng
MPLS chuyển tiếp gói tin qua mạng truc và BGP phân phối định tuyến qua mạng trục. Mỗi BGP
MPLS VPN là một mạng IP riêng với các địa chỉ IP cấu hình theo mạng khách hàng tại các CE và
PE.

Hình 3 – Mô hình BGP MPLS VPN

Mỗi router PE quản lý một Cơ cở thông tin chuyển tiếp riêng của từng VPN, gọi là bảng Chuyển
tiếp định tuyến ảo – VRF. Bảng VRF chứa các thông tin định tuyến nhận từ thiết bị CE. Router PE
sử dụng BGP làm báo hiệu và các giao thức định tuyến để phân phối hướng đi gói tin đến các thiết
bị CE. Thiết bị CE trở thành ngang hàng với router PE. Router PE lưu trữ các bảng VRF cùng với
bảng định tuyến Internet của nhà cung cấp dịch vụ.

Vai trò chuyển tiếp MPLS là quan trong bởi router P trong mạng lõi không cần biết về thông tin
định tuyến riêng đầu khách hàng. Router PE sử dụng 2 mào đầu MPLS để giao tiếp thông tin định
tuyến. Router PE vào thêm mào đầu Next-Hop BGP và mào đầu Next-Hop IGP (Interior Gateway
Protocol) vào gói tin. Tại router PE ra, gói tin được loại bỏ phần mào đầu MPLS và phân phối tiếp
theo gói tin IP đến Router CE.
Ưu nhược điểm của BGP MPLS VPN
BGP MPLS VPN có một số ưu điểm khi lựa chọn cho dịch vụ VPN:

- Tính kết nối WAN – Công nghệ này sử dụng cho kết nối nhiều địa điểm cách biệt về vật lý,
được triển khai như dịch vụ thay thế hoặc kết hợp với dịch vụ VPN truyền thống.
- Tính động và mềm dẻo – Những thay đổi trong sơ đồ kết nối có thể thực hiện trên VPN mà
không cần cấu hình thủ công trên thiết bị mạng phía khách hàng.
- Tính tương thích - BGP MPLS VPN có thể được triển khai trên các dịch vụ truy nhập truyền
thống như Frame relay, đường riêng, ATM. Bên cạnh đó, các dịch vụ hiện tại dễ dàng nâng
cấp lên mạng VPN mà không phải thay đổi về mặt cấu trúc.
- Tích hợp dễ dàng – VPN có thể được tích hợp dễ dàng các dịch vụ IP khác như truy nhập
internet, web, IPSec VPN.
- Tính mở rộng và độ tin cậy – BGP MPLS VPN mở rộng dễ dàng, khả năng mở rộng tối đa
chỉ giới hạn bởi BGP và đạt độ tin cậy cao dựa trên BGP.

Tuy nhiên, BGP MPLS VPN có một số giới hạn:

- Chỉ mạng IP- Chúng chỉ điều khiển lưu lượng IP, không điều khiên lưu lượng trên mạng
khác như SNA hay IPX nếu chúng không được đóng gói trong gói tin IP. Mặc dù phần lớn
khách hàng đang chuyển qua cơ sở hạ tầng IP duy nhất, tuy nhiên vẫn còn nhiều ứng dụng
chạy trên các mạng khác.
- Chia sẻ định tuyến – BGP MPLS VPN yêu cầu khách hàng chia sẻ thông tin về miền định
tuyến trong mạng của họ với router PE. Điều này không được nhiều khách hàng chấp nhận
vì tiết lộ hoạt động cũng như cấu trúc trong mạng của họ.
- Router CE – Để chia sẻ thông tin định tuyến, thiết bị CE tại khách hàng phải là một router
chứ không được là thiết bị đơn giản như Switch. Điều này tương ứng khách hàng phải tốn
thêm chi phí trang bị thiết bị cho mỗi điểm kết nối.
- Phụ thuộc các router PE – Do yêu cầu lưu trữ bảng định tuyến, thực hiện nhiều chức năng
nên router PE phải có cấu hình cao, thậm chí đắt hơn Router lõi.
- Mạng phức tạp - Số lượng định tuyến động nhiều làm gia tăng tải, làm giảm khả năng xử lý
của PE. Nếu số lượng khách hàng cá nhân tăng thì mạng cần mở rộng, bổ sung các router
PE.
- Tính ổn định và toàn vẹn mạng – BGP MPLS VPN có thể làm ảnh hưởng đến tính ổn định
và toàn vẹn của mạng. Nếu thiết bị CE tại một khách hàng hoạt động không ổn định và tác
động đến router PE, thì các kênh dịch vụ VPN của khách hàng khác có thể bị ảnh hưởng.
- Quản lý mạng phức tạp – Cấu hình và quản lý dịch vụ phức tạp, mỗi khách hàng có một hồ
sơ riêng trên router PE. Cần phải quản lý bảng định tuyến riêng trên PE đối với mỗi khách
hàng. Quản lý cấu hình CE là router cũng phức tạp hơn so với thiết bị Switch.
- Thêm cấu hình phía khách hàng – Khách hàng phải cấu hình, quản lý thêm việc định tuyến
đến PE thay vì định tuyến đến các router trong mạng của họ.
Trong khi một vài các hạn chế trên có thể giải quyết như nâng cấp phần cứng, phần mềm của router
PE để bổ sung các tính năng và năng lực xử lý khác, thì một số hạn chế khác không dễ dàng xử lý.
Không thể triển khai dịch vụ với khách hàng có nhiều giao thức trong môi trường LAN nếu mạng
của họ không phải mạng toàn IP. Việc chia sẻ thông tin định tuyến riêng trong mạng khách hàng với
router PE của nhà cung cấp dịch vụ không được nhiều người chấp nhận. Họ muốn có một kết nối
dịch vụ trong suốt từ phía nhà cung cấp dịch vụ để tự quản lý, điều khiền và bảo mật trong mạng nội
bộ.

Đối với một số nhà cung cấp dịch vụ có mạng đường trục IP lớn và đã triển khai router lõi, BGP
MPLS VPN là lựa chọn tốt phát triển khi họ dễ dàng thêm, bớt và thay đổi dịch vụ, sử dụng khám
phá định tuyến tự động của BGP. Tuy nhiên với phần lớn nhà cung cấp dịch vụ Metro , giới hạn
chính của BG_P MPLS VPN là chi phí và độ phức tạp trong việc quản lý và tích hợp với hệ thống
điều hành (OSS).
3. Dịch vụ VPLS - Virtual Private LAN Service

Giải pháp lớp 2 MPLS mới nhất cung cấp dịch vụ đa điểm là dịch vụ LAN riêng ảo – VPLS. Với
VPLS, nhiều mạng khách hàng có thể giao tiếp như kiểu kết nối qua phân đoạn mạng LAN Ethernet
riêng. VPLS nằm trên truyền tải MPLS vì vậy thiết bị lõi là tương tự BGP MPLS. Điểm khác nhau
chính là giao tiếp giữa thiết bị CE và PE. Trong VPLS, CE không cần là một router và PE không
ngang hàng với thiết bị CE nên PE không cần quản lý riêng biệt bảng định tuyến của mỗi CE. VPLS
đơn giản chỉ ánh xạ lưu lượng lớp 2 đến của khách hàng vào một LSP thích hợp trong MPLS. VPLS
hoạt động theo mô hình bao phủ trong khi BGP MPLS VPN là mô hình ngang hàng.

Hình 4 - Dịch vụ VPLS

Nguyên tắc hoạt động cơ bản của dịch vụ VPLS sử dụng giao thức phân phối nhãn (LDP) để thành
lập một mạng đầy đủ các đường dẫn chuyển mạch nhãn (LSP) – đường hầm giữa tất cả các nút PE.
Các đường hầm đó được gán các VPLS-ID nhận dạng các kết nối ảo (VC LSP) giữa các nút PE cho
mạng VPN. Các VC LSP tạo một cầu nối logic các PE cấu hình VPLS cho khách hàng.
Tính năng cơ bản của VPLS là khả năng tự học địa chỉ MAC gửi từ phía mạng khách hàng của các
router PE. Các PE tiếp nhận và học địa chỉ MAC qua các gói tin unicast hoặc multicast gửi qua
mạng. Các địa chỉ MAC sau khi tự học sẽ được gán với một LSP là cơ sở cho việc chuyển tiếp gói
tin truyền giữa các nút PE.

Hình 5 - Cơ chế học địa chỉ MAC gói tin Broadcast

Việc quản lý số lượng lớn địa chỉ MAC trong VPLS có thể thực hiện theo 2 giải pháp.Các thứ nhất,
phía khách hàng sử dụng các thiết bị CPE là router, khi đó các PE nhìn các site phía khách hàng như
một địa chỉ MAC duy nhất. Cách thứ 2, khi các CPE là thiết bị Switch, các PE phải có khả năng giới
hạn số địa chỉ MAC có thể học từ mỗi kết nối đến.

Các ưu nhược điểm của VPLS.

VPLS có ưu điểm quan trọng trong việc lựa chọn dịch vụ Ethernet VPN

- Kết nối đô thị - Kỹ thuật này là ý tưởng cho kết nối nhiều điểm trong một khu vực đô thị và
có thể triển khai thay thế hoặc mở rộng dịch vụ kết nối LAN-LAN truyền thống.
- Chi phí hiệu quả - VPLS cho phép nhà cung cấp dịch vụ được lợi từ chi phí thấp của thiết bị
Ethernet, đơn giản và phổ biến mà không phải thực hiện mở rộng, đảm bảo độ tin cậy, kỹ
thuật lưu lượng và cam kết SLA.
- Đơn giản hóa trên router PE – Với VPLS, các PE không phải quản lý nhiều bảng định tuyến
riêng của khách hàng.
- Đa giao thức – Ngoài lưu lượng IP, VPLS có thể hỗ trợ các lưu lượng khác như SNA, IPX.
- Vùng định tuyến riêng – VPLS không yêu cầu khách hàng chia sẻ thông tin định tuyến mạng
nội bộ với PE
- Thiết bị CE đơn giản – Khi thông tin định tuyến khách hàng không cần chia sẻ, các CE có
thể là thiết bị đơn giản như Ethernet switch, bridge hoặc Hub.
 - Sự phân ranh giới – VPLS cung cấp một ranh giới rõ ràng giữa mạng riêng khách hàng và
mạng nhà cũng cấp dịch vụ
- Báo hiệu động – VPLS sử dụng MPLS để xác định báo hiệu động các đường dẫn mới, cho
phép lưu lượng nhanh chóng chuyển qua đường dự phòng hoặc đường tính toán trước.
- Truy nhập dịch vụ BGP MPLS VPN – Chúng có thể được sử dụng để mang lưu lượng từ
mạng Metro qua mạng đường trục trong truy cập BGP MPLS VPN.
- Dễ dàng quản lý – VPLS là đơn giản và chi phí thấp về mặt quản lý
- Tích hợp Metro Ethernet – VPLS có thể tích hợp với dịch vụ Metro Ethernet khác như
Internet, Web, dịch vụ dự phòng và khôi phục.
- Tích hợp quản lý – Chúng tích hợp dễ dàng với dịch vụ lớp 2 như Frame relay và ATM với
các thành phần cung cấp hạ tầng khác trong tương lai.

Dịch vụ Ethernet VPN trên VPLS cũng tồn tại một số điểm hạn chế:

- Khám phá tự động (Auto discovery) – VPLS không hỗ trợ khám phá tự động của PE trên cơ
sở LDP. VPLS sử dụng LDP để xác định cách thành lập mạch điểm đa điểm Ethernet.
- Khả năng mở rộng – Khi mở rộng mạng VPLS, số lượng các LSP full mesh, các LDP ngang
cấp và việc phân phối các gói tin sao chép gia tăng, dẫn đến việc quản lý phức tạp, tiêu tốn
tài nguyên mạng cũng như khả năng bị tấn công flooding địa chỉ MAC. Vấn đề này có thể
giải quyết bởi sử dụng mô hình VPLS phân cấp theo kiểu Hud – and – Spoke. Trong đó, các
VPLS PE đóng vai trò như các Hub, trao đổi thông tin với các vùng Spoke.

Hình 6 - Mô hình phân cấp VPLS dạng Hub-and-Spoke.

Tích hợp VPLS với mạng hiện có

VPLS có thể không chỉ sử dụng trong dịch vụ Metro Net mà có thể tích hợp với mạng lõi IP VPN
chạy trên các công nghệ lõi khác như mạng SDH thế hệ mới, DWDM, RPR.
 Hình 7 - Tích hợp VPLS với mạng hiện có

Các ISP có thể tiếp tục phát triển các dịch vụ truyền thống như kênh riêng, Frame relay trong khi
giới thiệu dịch vụ mới là ứng dụng của mạng Metro như VPLS, vì vậy tránh phải loại bỏ lợi nhuận
hiện có.

Các ISP giới thiệu dịch vụ băng rộng mới trên công nghệ DSL, cáp và WLAN đối với khách hàng
nhỏ hoặc thị trường SME. Tuy nhiên, sự cạnh tranh về chất lượng, giá thành làm dịch vụ băng rộng
truyền thống chạy trên ATM và SDH không gia tăng thêm được. Sử dụng Metro Ethernet với VPLS
cho phép các nhà cung cấp dịch vụ kết hợp dịch vụ băng rộng hiệu quả hơn, vươn gần tới khách
hàng hơn mà không tốn thêm chi phí.

Mặc dù đường kênh riêng, Frame relay tiếp tục góp phần đáp nhu cầu chia sẻ dữ liệu, ít các ISP
hoặc khách hàng có thể bảo vệ nguồn vốn bổ sung cho các dịch vụ đơn giản đó đảm bảo hiệu quả và
tiết kiệm chi phí hơn so với Ethernet, IP, MPLS. Trong tương lai, các ISP có thể xây dựng nhiều hơn
mạng truyền tải hiệu quả chi phí và mở rộng dịch vụ hiện có đến khách hàng mới mà không cần các
ISP hay khách hàng đầu tư thêm chi phí so với dịch vụ truyền thống.

4. Kết hợp dịch vụ VPLS và BGP MPLS VPN

Trên đây đã phân tích chi tiết những điểm mạnh của 2 công nghệ VPN. Mỗi nhà cung cấp dịch vụ sẽ
lựa chọn giải pháp phù hợp với yêu cầu của khách hàng theo điều kiện thực tế. Công nghệ VPLS là
lựa chọn tốt với các dịch vụ trong môi trường Metro, kết nối nhiều site của khách hàng trong một
mạng Ethernet LAN duy nhất. VPLS là giải pháp thay thế, nâng cấp dịch vụ LAN-to-LAN truyền
thống, triển khai các dịch vụ tầng ứng dụng đến mạng khách hàng.

BGP MPLS VPN thích hợp với môi trường mạng đường trục, kết nối nhiều khu vực qua mạng
WAN. Khả năng mở rộng và việc sử dụng BGP, MPLS là giải pháp tốt mở rộng các mạng VPN trên
mạng đường trục IP/MPLS truyền thống. BGP MPLS VPN sử dụng kết nối các site VPN của mạng
Metro này sang site VPN của mạng Metro khác.
Mô hình kết hợp VPLS và BGP MPLS VPN sẽ tận dụng các ưu điểm của mỗi công nghệ. VPLS
được triển khai tại các mạng Metro, giảm thiểu yêu cầu xử lý trên router Metro, triển khai đơn giản,
chi phí quản lý thấp. BGP MPLS VPN phát triển trên mạng trục IP kết nối mạng VPN giữa các
Metro, tăng độ tin cậy kết nối liên mạng dựa trên BGP.

Hình 8. Mô hình kết hợp dịch vụ VPLS và BGP MPLS VPN

Hình 7 thể hiện ví dụ của dịch vụ MPLS lớp 3 trên mạng trục có thể kết hợp với dịch vụ MPLS lớp
2 trên mạng Metro để cung cấp dịch vụ VPLS trong mạng Metro và dịch vụ IP VPN giữa các mạng
Metro. Lợi ích của các nhà cung cấp dịch vụ gia tăng khi sử dụng kết hợp 2 mô hình này mà không
làm tăng độ phức tạp của mạng lõi, tận dụng được những ưu điểm trên mạng Metro. Về phía khách
hàng, họ cũng có thêm các lựa chọn dịch vụ phù hợp với mô hình kinh doanh của mình.

Kết luận
Hai công nghệ VPN triển khai trên nền MPLS là VPLS và BGP MPLS VPN có những điểm tương
tự nhau nhưng chúng có những hướng triển khai khác nhau. Mỗi công nghệ có những ưu điểm và
giới hạn riêng mà các nhà cung cấp dịch vụ và khách hàng có căn cứ lựa chọn sử dụng dịch vụ trong
các môi trường khác nhau. VPLS thích hợp kết nối nhiều site, dịch vụ đa dạng trong phạm vi Metro.
BGP MPLS VPN là giải pháp kết nối nhiều site của khách hàng giữa các Metro. Việc kết hợp 2 giải
pháp là lựa chon cho nhà cung cấp dịch vụ sử dụng tốt hơn từ khía cạnh dịch vụ đến khách hàng.
 TÀI LIỆU THAM KHẢO

RFC 2858 Multiprotocol Extensions for BGP-4

RFC 2547 BGP/MPLS VPNs

RFC 4364 BGP/MPLS IP Virtual Private Networks (VPNs)

RFC 2764 A Framework for IP Based Virtual Private Networks

RFC 3392 Capabilities Advertisement with BGP-4

RFC 2917 A Core MPLS IP VPN Architecture

RFC 3107 Carrying Label Information in BGP-4

RFC 4026 Provider Provisioned Virtual Private Network (VPN) Terminology

RFC 4577 OSPF as the Provider/Customer Edge Protocol for BGP/MPLS IP Virtual
Private Networks (VPNs)

draft-ietf-l2vpn-vpls-ldp-05 Virtual Private LAN Services over MPLS

draft-ietf-l2vpn-vpls-bgp-04 Virtual Private LAN Service

draft-ietf-l2vpn-oam-req-frmk-01 VPLS OAM Requirements and Framework