Do An Cong Nghe BGP Mpls VPN

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
NGUYỄN DUY THANH
ĐỒ ÁN
*
CÔNG NGHỆ BGP/MPLS VPN
TỐT NGHIỆP ĐẠI HỌC
Đề tài:

*
D2004 VT1
Sinh viên thực hiện : Nguyễn Duy Thanh

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
KHOA VIỄN THÔNG I
-------***-------
ĐỒ ÁN TỐT NGHIỆP
ĐẠI HỌC
Đề tài :
Giáo viên hướng dẫn : TS. Nguyễn Tiến Ban

Sinh viên thực hiện : Nguyễn Duy Thanh
Lớp : D04VT1
Hà Nội - 2008
HỌC VIỆN CÔNG NGHỆ CỘNG HOÀ XÃ HỘI CHỦ NGHĨA VIỆT NAM
BƯU CHÍNH VIỄN THÔNG
Độc Lập - Tự Do - Hạnh Phúc
KHOA VIỄN THÔNG I -------***-------
-------***-------
ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC
Họ và tên : Nguyễn Duy Thanh

Lớp : D04VT1
Khoá : 2004 - 2008
Ngành học : Điện Tử - Viễn Thông
Tên đề tài :
Nội dung đồ án:
 MẠNG RIÊNG ẢO
 CHUYỂN MẠCH NHÃN ĐA GIAO THỨC MPLS
 CÔNG NGHỆ BGP/MPLS VPN
 THỰC HIỆN MÔ PHỎNG TRÊN BỘ ĐỊNH TUYẾN CỦA CISCO
Ngày giao đồ án :…./…../2008
Ngày nộp đồ án :.…./…./2008

NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………
Điểm: ........ (bằng chữ ………………..)
Ngày..........tháng 11 năm 2008
Giáo viên hướng dẫn
TS. Nguyễn Tiến Ban

NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………
Điểm: ........ (bằng chữ ………………..)
Ngày..........tháng 11 năm 2008
Giáo viên phản biện

Đồ án tốt nghiệp Đại học Mục lục
MỤC LỤC
MỤC LỤC.................................................................................................................i
DANH MỤC HÌNH VẼ..........................................................................................iii
DANH MỤC BẢNG BIỂU......................................................................................v
THUẬT NGỮ VIẾT TẮT......................................................................................vi
LỜI NÓI ĐẦU..........................................................................................................x
CHƯƠNG I: MẠNG RIÊNG ẢO VPN..................................................................1
1.1 Giới thiệu VPN............................................................................................1
1.1.1 Đặc điểm của VPN...............................................................................1
1.1.2 Lợi ích của VPN...................................................................................2
1.2 Phân loại VPN.............................................................................................3
1.2.1 Mạng VPN truy nhập từ xa..................................................................4
1.2.2 Mạng VPN cục bộ................................................................................6
1.2.3 Mạng VPN mở rộng.............................................................................7
1.3 Các thiết bị sử dụng trong mạng riêng ảo....................................................8
1.4 Các giao thức dùng trong VPN....................................................................9
1.5 Các mô hình VPN......................................................................................11
1.6 Kết luận chương I......................................................................................14
CHƯƠNG II: CHUYỂN MẠCH NHÃN ĐA GIAO THỨC MPLS...................15
2.1 Giới thiệu về MPLS...................................................................................15
2.2 Các thành phần của MPLS........................................................................16
2.2.1 Các thiết bị trong mạng MPLS..........................................................16
2.2.2 Đường chuyển mạch nhãn.................................................................17
2.2.3 Nhãn và các vấn đề liên quan.............................................................17
2.3 Hoạt động MPLS.......................................................................................22
2.4 Kiến trúc ngăn xếp trong MPLS................................................................24
2.5 Kết luận chương II.....................................................................................25
CHƯƠNG III: BGP/MPLS VPN..........................................................................27
3.1 Giao thức BGP..........................................................................................27
3.1.1 Khái niệm...........................................................................................27
3.1.2 Hoạt động...........................................................................................28
3.1.3 Phương pháp gửi nhãn MPLS............................................................31
3.1.4 BGP với VPN.....................................................................................32
3.2 Bảng định tuyến và chuyển tiếp VRF........................................................33
3.2.1 VRF và các kênh liên kết...................................................................33
3.2.2 Kết hợp các gói IP với VRF...............................................................34
Nguyễn Duy Thanh – Lớp D04VT1 -i-

Đồ án tốt nghiệp Đại học Mục lục
3.3 Phân phối tuyến VPN thông qua BGP.......................................................36

3.3.1 Họ địa chỉ VPN-Ipv4..........................................................................36
3.3.2 Mã hoá RD.........................................................................................36
3.3.3 Điều khiển phân phối tuyến VPN.......................................................38
3.4 Nguyên lý hoạt động BGP/MPLS VPN.....................................................41
3.4.1 Mặt phẳng điều khiển.........................................................................41
3.4.2 Mặt phẳng dữ liệu..............................................................................46
3.5 Các topo BGP/MPLS VPN........................................................................48
3.5.1 Thực hiện phân phối tuyến cho các topo VPN...................................48
3.5.2 Thực hiện truy cập Internet cho các BGP/MPLS VPN.......................53
3.6 Các ưu nhược điểm của BGP/MPLS VPN................................................57
3.7 Kết luận chương III...................................................................................58
CHƯƠNG IV: MÔ PHỎNG TRÊN BỘ ĐỊNH TUYẾN CỦA CISCO..............59
4.1 Chương trình mô phỏng.............................................................................59
4.2 Kịch bản mô phỏng...................................................................................60
4.3 Thực hiện...................................................................................................60
4.4 Kết quả mô phỏng.....................................................................................68
4.5 Đánh giá kết quả mô phỏng.......................................................................69
4.6 Kết luận chương IV...................................................................................69
KẾT LUẬN.............................................................................................................70
TÀI LIỆU THAM KHẢO.....................................................................................xii
PHỤ LỤC...............................................................................................................xiii
Nguyễn Duy Thanh – Lớp D04VT1 - ii -

Đồ án tốt nghiệp Đại học Danh mục hình vẽ
DANH MỤC HÌNH VẼ
Hình 1.1 : Mạng riêng ảo VPN.................................................................................1
Hình 1.2 : Mô hình mạng VPN truy nhập từ xa.......................................................5
Hình 1.3 : Mô hình mạng VPN cục bộ......................................................................6
Hình 1.4: Mô hình mạng VPN mở rộng..................................................................7
Hình 1.5: VPN dựa trên bộ định tuyến CE.............................................................13
Hình 1.6 : Một VPN truy cập từ xa cơ bản............................................................................13
Hình 2.1 : Khuôn dạng tiêu đề nhãn.......................................................................18
Hình 2.2 : Cấu trúc ngăn xếp nhãn.........................................................................19
Hình 2 3 : Hoạt động của mạng MPLS...................................................................23
Hình 2.4 : Ngăn xếp giao thức MPLS.....................................................................................25
Hình 3.1 : BGP/MPLS VPN....................................................................................27
Hình 3. 2 : Khuôn dạng tiêu đề BGP.......................................................................30
Hình 3.3 : Khuôn dạng bản tin cập nhật BGP........................................................30
Hình 3.4 : Khuôn dạng bản tin cập nhật BGP........................................................35
Hình 3.5 : Dùng các RD để phân biệt các tiền tố nhận dạng mạng.......................37
Hình 3.6 : Cài đặt các tuyến VPN vào các VRF dựa trên các RT..........................39
Hình 3.7 : Phân phối tuyến từ CE tới PE................................................................41
Hình 3.8 : Phân phối tuyến giữa các PE.................................................................43
Hình 3.9 : Phân phối tuyến từ PE tới CE................................................................44
Hình 3.10 : Các phiên tái thiêt lập iBGP giữa các PE và các LSP.........................46
Hình 3.11 : Chuyển tiếp qua backbone...................................................................47
Hình 3.12 : Phân phối tuyến trong MPL VPN lớp 3 dạng lưới đầy đủ..................49
Hình 3.13 : Phân phối tuyến trong BGP/MPLS VPN dạng hub-and-Spoke.........50
Hình 3.14 : Phân phối tuyến và cấu hình VRF trong VPN hub-and-spoke...........51
Nguyễn Duy Thanh – Lớp D04VT1 - iii -

Đồ án tốt nghiệp Đại học Danh mục hình vẽ
Hình 3.15 : Kết nối Extranet....................................................................................52
Hình 3.16 : Truy cập Internet thông qua giao diện toàn cầu trên bộ định tuyến
PE.............................................................................................................................. 54
Hình 3.17 : Truy cập Internet thông qua giao diện vật lý.......................................55
Hình 3.18 : Luồng lưu lượng cho truy cập Internet dùng route leaking...............56
Hình 3.19 : Truy cập Internet thông qua một Shared services VPN.....................................57
Hình 4.1 : Giao diện chương trình GNS3...............................................................59
Hình 4.2 : Sơ đồ mạng dùng trong mô phỏng.........................................................60
Hình 4.3 : Cấu hình địa chỉ IP................................................................................61
Hình 4.4 : Cấu hình OSPF......................................................................................61
Hình 4.5 : Cấu hình MPLS trên các giao diện.........................................................62
Hình 4.6 : Cấu hình VRF........................................................................................63
Hình 4.7 : Ping thử VRF khách hàng.....................................................................63
Hình 4.8 : Cấu hình EIGRP trên bộ định tuyến CE (Hanoi).................................64
Hình 4.9 : Cấu hình EIGRP trên bộ định tuyến PE (SP1).....................................64
Hình 4.10 : Bảng định tuyến mặc định của bộ định tuyến SP1.............................65
Hình 4.11 : Bảng định tuyến mặc định của bộ định tuyến SP3.............................65
Hình 4.12 : Bảng định tuyến khách hàng của bộ định tuyến SP1.........................66
Hình 4.14 : Cấu hình BGP trên bộ định tuyến PE (SP1).......................................67
Hình 4.15 : Phân phối thông tin định tuyến giữa 2 giao thức BGP và EIGRP.....67
Hình 4.17 : Bảng định tuyến của bộ định tuyến Hà Nội............................................69
Nguyễn Duy Thanh – Lớp D04VT1 - iv -

Đồ án tốt nghiệp Đại học Danh mục bảng biểu
DANH MỤC BẢNG BIỂU
Bảng 3.1 : VRF tại PE1............................................................................................45
Bảng 3.2 : VRF tại PE2...........................................................................................45
Bảng 3.3 : VRF tại PE3.............................................................................................46
Nguyễn Duy Thanh – Lớp D04VT1 -v-

Đồ án tốt nghiệp Đại học Thuật ngữ viết tắt
THUẬT NGỮ VIẾT TẮT
Từ viết tắt Từ đầy đủ Chú giải tiếng Việt

A
AAL ATM Adapter Layer Lớp tương thích ATM
ACL Access Control List Danh sách điều khiển truy cập
AS Autonomous System Hệ thống tự trị
ASBR Autonomous System Border Bộ định tuyến biên hệ thống tự trị
Router
ATM Asynchronous Transfer Mode Cơ chế truyền tải không đồng bộ
B
BGP Border Gateway Protocol Giao thức định tuyến liên miền
C
CE Customer Edge Thiết bị biên của mạng người dùng
CEP Circuit Emulation over Packet Mô phỏng kênh trên gói
CoS Class of Service Lớp dịch vụ
D
DLCI Data Link Connection Identifier Nhận dạng kết nối lớp kênh dữ liệu
E
EGP External Gateway Protocol Giao thức định tuyến liên miền
F
FEC Forwarding Equivalence Class Lớp chuyển tiếp tương đương
FR Frame Relay Chuyển mạch khung
G
GRE Generic RoutingEncapsulation Giao thức đóng gói định tuyến chung
GMPLS Generalized Multiprotocol Label Chuyển mạch nhãn đa giao thức tổng
Switching quát
H
HDLC High-level Data Link Control Điều khiển liên kết dữ liệu mức cao
HEC Header Error Controller Điều khiển lỗi tiêu đề
I
ID Identifier Nhận dạng
Nguyễn Duy Thanh – Lớp D04VT1 - vi -

IGP Interior Gateway Protocol Giao thức định tuyến trong miền
IP Internet Protocol Giao thức Internet
IPLS IP-Only Private LAN Service Dịch vụ LAN thuê riêng trên nền IP
IP-Sec Internet Protocol Security Giao thức an ninh Internet
ISP Internet Service Provider Nhà cung cấp dịch vụ Internet
L
L2F Layer 2 Forwarding Giao thức chuyển tiếp lớp 2
L2TP Layer 2 Tunneling Protocol Giao thức đường hầm lớp 2
LAC L2TP Access Concentrator Bộ tập trung truy cập L2TP
LAN Local Area Network Mạng cục bộ
LDP Label Distribution Protocol Giao thức phân bổ nhãn
LER Label Edge Router Bộ định tuyến chuyển mạch nhãn biên
LNS L2TP Network Server Máy chủ mạng L2TP
LSP Label Switching Path Đường chuyển mạch nhãn
LSR Label Switching Router Bộ định tuyến chuyển mạch nhãn
M
M2M Multipoint-to-Multipoint Đa điểm tới đa điểm
MD Multicast Domain Miền đa điểm
MPLS Multi Protocol Label Switching Chuyển mạch nhãn đa giao thức
MPLS-TE MPLS-Traffice Engineering Kỹ thuật lưu lượng
MT Multicast Tunnel Đường hầm đa điểm
MTI Multicast Tunnel Interface Giao diện đường hầm đa điểm
MVPN Multicast VPN VPN đa điểm
MVRF Multicast VRF VRF đa điểm
N
NAS Network Access Server Máy chủ truy cập mạng
NGN Next Generation Network Mạng thế hệ kế tiếp
O
OSPF Open Shortest Path First Giao thức đường đi ngắn nhất đầu tiên
P
PAC PPTP Access Concentrator Bộ tập trung truy cập PPTP
PE Provider Edge Thiết bị biên của mạng nhà cung cấp
PNS PPTP Network Server Máy chủ mạng PPTP
Nguyễn Duy Thanh – Lớp D04VT1 - vii -

POP Point of Presence Điểm truy cập truyền thống

PPP Point to Point Tunneling Giao thức đường hầm điểm tới điểm
Protocol
PVC Permanent Virtual Circuit Kênh ảo cố định
PW Pseudowire Dây giả
Q
QoS Quality of Service Chất lượng dịch vụ
R
RD Route Distinguisher Thuộc tính phân biệt tuyến
RSVP Resource Reservation Protocol Giao thức dành trước tài nguyên
RT Route Target Thuộc tính tuyến đích
S
SDH Synchronous Digital Hierachy Phân cấp số đồng bộ
SDU Service Data Unit Đơn vị dữ liệu dịch vụ
SONET Synchronous Optical Network Mạng quang đồng bộ
SP Service Provider Nhà cung cấp dịch vụ
SLIP Serial Line Interface Protocol Giao thức giao diện đường nối tiếp
SLA Service Level Agreement Thỏa thuận mức dịch vụ
SSL Secure Socket Layer Lớp socket an toàn
T
TCP Transmission Control Protocol Giao thức điều khiển truyền dẫn
TDP Tag Distribution Protocol Giao thức phân phối thẻ
TLS Transport Layer Security Bảo mật lớp giao vận
U
UDP User Datagram Protocol Giao thức lược đồ dữ liệu
V
VC Virtual Circuit Kênh ảo
VCI Virtual Circuit Identifier Nhận dạng kênh ảo
VLLS Virtual Leased Line Service Dịchvụ đường dây thuê riêng ảo
VP Virtual Path Đường ảo
VPDN Virtual Private Dial Network Mạng quay số riêng ảo
VPI Virtual Path Identifier Nhận dạng đường ảo
VPLS Virtual Private LAN Service Dịch vụ LAN riêng ảo
Nguyễn Duy Thanh – Lớp D04VT1 - viii -

VPN Virtual Private Network Mạng riêng ảo

VPWS Virtual Private Wire Service Dịch vụ đường dây riêng ảo
VR Virtual Router Bộ định tuyến ảo
VRF VPN Routing and Forwarding Bảng định tuyến và chuyển tiếp VPN
W
WAN Wide Area Network Mạng diện rộng
Nguyễn Duy Thanh – Lớp D04VT1 - ix -

Đồ án tốt nghiệp Đại học Lời nói đầu
LỜI NÓI ĐẦU
Ngày nay, cùng với sự phát triển nhanh chóng của khoa học kỹ thuật, Công
nghệ thông tin và Viễn thông đã góp phần quan trọng vào sự phát triển kinh tế thế
giới.
Các tổ chức, doanh nghiệp có nhiều chi nhánh, các công ty đa quốc gia trong
quá trình hoạt động luôn phải trao đổi thông tin với khách hàng, đối tác, nhân viên
của họ. Chính vì vậy đòi hỏi phải luôn nắm bắt được thông tin mới nhất, chính xác
nhất, đồng thời phải đảm bảo độ tin cậy cao giữa các chi nhánh của mình trên khắp
thế giới, cũng như với các đối tác và khách hàng. Với các tổ chức này, việc truyền
thông dữ liệu một cách an toàn với chi phí thấp, giảm nhẹ các công việc quản lý hoạt
động của mạng luôn được đặt ra, và VPN là một giải pháp hiệu quả.
Đã có rất nhiều phương án triển khai VPN như: X.25, ATM, Frame Relay,
leased line… Tuy nhiên khi thực hiện các giải pháp này thì chi phí rất lớn để mua
sắm các thiết bị, chi phí cho vận hành, duy trì, quản lý rất lớn và do doanh nghiệp
phải gánh chịu trong khi các nhà cung cấp dịch vụ chỉ đảm bảo về một kênh riêng
cho số liệu và không chắc chắn về vấn đề an ninh của kênh riêng này.
Cùng với xu hướng IP hoá mạng viễn thông hiện nay, IP-VPN đã tạo ra bước
ngoặt lớn trong lịch sử phát triển của công nghệ VPN. IP-VPN đã giải quyết được
vấn đề giảm chi phí vận hành, duy trì quản lý đơn giản, linh hoạt. Tuy nhiên IP-VPN
truyền thống còn phải sử dụng các thuật toán mã hoá đi kèm, và các thuật toán mã
hoá này là rất phức tạp. Công nghệ mới - chuyển mạch nhãn đa giao thức MPLS, có
thể coi là một bước phát triển lớn, hoàn thiện công nghệ IP nói chung và IP-VPN nói
riêng. MPLS cho phép triển khai các VPN có khả năng mở rộng và cơ sở xây dựng
các dịch vụ giá trị gia tăng vượt trội so với các VPN truyền thống.
Ở Việt Nam, khi nền kinh tế cũng đang trong thời kỳ phát triển và hội nhập quốc
tế thì nhu cầu sử dụng VPN vừa đáp ứng được các yêu cầu về thông tin, vừa giải
quyết được những khó khăn về kinh tế. Hơn nữa, Tổng công ty BCVT Việt Nam cũng
đã áp dụng công nghệ MPLS cho mạng thế hệ kế tiếp NGN. Đó là một thuận lợi lớn
để triển khai các MPLS VPN.
Với đề tài:”Công nghệ BGP/MPLS VPN”, nội dung đồ án gồm 4 chương sẽ

lần lượt trình bày về những vấn đề cơ bản nhất của mạng MPLS VPN.
 Chương I: Nêu một số khái niệm tổng quan, các đặc điểm của VPN, từ
đó làm cơ sở để phân loại các mạng VPN.
Nguyễn Duy Thanh – Lớp D04VT1 -x-

Đồ án tốt nghiệp Đại học Lời nói đầu
 Chương II: Giới thiệu về công nghệ MPLS, đặc điểm và hoạt động của
một mạng MPLS để có thể dễ dàng nắm được nguyên lý hoạt động của
các VPN được xây dựng trên mạng này.
 Chương III: Đây là chương trọng tâm, nghiên cứu về BGP/MPLS VPN,
nguyên lý hoạt động và đặc biệt là các tính năng tiên tiến, vượt trội mà
công nghệ này hỗ trợ.
 Chương IV: Thực hiện cấu hình mô phỏng BGP/MPLS VPN trên bộ
định tuyến của Cisco.
Việc nghiên cứu, tìm hiểu về cả một công nghệ như BGP/MPLS VPN đòi hỏi
phải có kiến thức sâu rộng, và lâu dài. Do thời gian và trình độ có hạn, nên chắc
chắn những vấn đề được đề cập trong đồ án sẽ không tránh khỏi những sai sót. Em
rất mong nhận được sự phê bình góp ý của các thầy cô giáo, các bạn, và những ai
quan tâm đến công nghệ này.
Em xin chân thành cảm ơn thầy giáo TS. Nguyễn Tiến Ban đã tận tình hướng
dẫn em hoàn thành tốt đồ án này.
Xin gửi lời cảm ơn đến các thầy cô giáo trong khoa Viễn thông, gia đình, bạn
bè và người thân - những người đã dạy dỗ, giúp đỡ và động viên em trong suốt quá
trình học tập vừa qua.
Hà Nội, ngày 18 tháng 10 năm 2008
Sinh viên
Nguyễn Duy Thanh
Nguyễn Duy Thanh – Lớp D04VT1 - xi -

Đồ án tốt nghiệp Đại học Chương I : Mạng riêng ảo VPN
CHƯƠNG I: MẠNG RIÊNG ẢO VPN
1.1 Giới thiệu VPN

Mạng riêng ảo VPN là một mạng riêng rẽ dùng để kết nối nhiều mạng con
khác nhau hoặc tới nhiều người sử dụng từ xa. Các kết nối của mạng riêng ảo dựa vào
các kết nối có sẵn của một mạng công cộng như là Internet nhưng có các chính sách
quản lý và bảo mật giống như một mạng nội bộ.
Hình 1.1 : Mạng riêng ảo VPN
1.1.1 Đặc điểm của VPN

 Virtual : Kết nối trong VPN là động và tồn tại như một kết nối ảo đi qua
Internet. Kết nối này có thể thay đổi và thích ứng với nhiều môi trường
khác nhau và có khả năng chịu đựng những khuyết điểm của mạng
Internet. Khi có yêu cầu kết nối thì nó được thiết lập và duy trì trên cơ
sở hạ tầng mạng giữa những điểm đầu cuối.
 Private : Dữ liệu truyền luôn luôn được giữ bí mật và chỉ có thể bị truy
cập bởi những nguời sử dụng được trao quyền. Điều này rất quan trọng
bởi vì giao thức Internet TCP/IP ban đầu không được thiết kế để cung
cấp các mức độ bảo mật. Do đó, bảo mật sẽ được cung cấp bằng cách
sử dụng phần mềm hoặc thiết bị phần cứng VPN.
 Network : VPN là thực thể hạ tầng mạng giữa những người sử dụng đầu
cuối, những trạm hay những nút để mang dữ liệu. Sử dụng dây dẫn, môi
Nguyễn Duy Thanh – Lớp D04VT1 -1-

trường vô tuyến, Internet hay bất kỳ tài nguyên mạng dành riêng khác
sẵn có để tạo nền mạng.
Khái niệm mạng riêng ảo VPN thực ra không phải là khái niệm mới, chúng đã
từng được sử dụng trong các mạng điện thoại trước đây nhưng do một số hạn chế mà
công nghệ VPN chưa có được sức mạnh và khả năng cạnh tranh lớn. Trong thời gian
gần đây, do sự phát triển của mạng thông minh, cơ sở hạ tầng mạng IP đã làm cho
VPN thực sự có tính mới mẻ. VPN cho phép thiết lập các kết nối riêng với những
người dùng ở xa, các văn phòng chi nhánh của công ty và đối tác của công ty đang sử
dụng chung một mạng công cộng.
Hiện nay, VPN được sử dụng rộng rãi cho các dịch vụ dữ liệu, hình ảnh và các
dịch vụ đa phương tiện.
1.1.2 Lợi ích của VPN

VPN mang lại lợi ích thực sự và tức thời cho các công ty. Có thể dùng VPN
không chỉ để đơn giản hoá việc thông tin giữa các nhân viên làm việc ở xa, người
dùng lưu động, mở rộng Intranet đến từng văn phòng, chi nhánh, thậm chí triển khai
Extranet đến tận khách hàng và các đối tác chủ chốt mà còn làm giảm chi phí hơn
nhiều so với việc mua thiết bị và đường dây cho mạng WAN riêng. Có thể liệt kê một
số lợi ích mà VPN đem lại như sau:
a) Tiết kiệm chi phí
Việc sử dụng một VPN sẽ giúp các công ty giảm được chi phí đầu tư và chi
phí thường xuyên. Tổng giá thành của việc sở hữu một mạng VPN sẽ được giảm đi,
do chỉ phải trả ít hơn cho việc thuê băng thông đường truyền, các thiết bị mạng đường
trục và duy trì hoạt động của hệ thống. Giá thành cho việc kết nối LAN-to-LAN giảm
từ 20 tới 30% so với việc sử dụng đường thuê riêng truyền thống. Còn đối với việc
truy cập từ xa giảm từ 60 tới 80%.
b) Tính linh hoạt
Tính linh hoạt ở đây không chỉ là linh hoạt trong quá trình vận hành và khai
thác mà nó còn thực sự mềm dẻo đối với yêu cầu sử dụng. Khách hàng có thể sử
dụng kết nối T1, T3 giữa các văn phòng và nhiều kiểu kết nối khác cũng có thể được
sử dụng để kết nối các văn phòng nhỏ, các đối tượng di động. Nhà cung cấp dịch vụ
(SP) VPN có thể cung cấp nhiều lựa chọn cho khách hàng, có thể là kết nối modem
56 kbit/s, ISDN 128 kbit/s, xDSL, T1, T3 …
c) Khả năng mở rộng

Do VPN được xây dựng dựa trên cơ sở hạ tầng mạng công cộng, bất cứ ở nơi
nào có mạng công cộng đều có thể triển khai VPN, vì vậy nên khả năng mở rộng của
VPN rất linh động. Một chi nhánh ở xa có thể kết nối một cách dễ dàng đến mạng của
công ty bằng cách sử dụng đường dây điện thoại hay DSL…và có thể gỡ bỏ dễ dàng
theo nhu cầu.
d) Giảm thiểu các hỗ trợ kỹ thuật
Việc chuẩn hoá kiểu kết nối từ đối tượng di động đến một điểm truy nhập
(POP) của nhà cung cấp dịch vụ Internet (ISP) và việc chuẩn hoá các yêu cầu về bảo
mật đã làm giảm thiểu nhu cầu về hỗ trợ kỹ thuật cho mạng VPN. Và ngày nay, khi
mà các cung cấp dịch vụ đảm nhiệm các nhiệm vụ hỗ trợ mạng nhiều hơn thì những
yêu cầu hỗ trợ kỹ thuật đối với người sử dụng ngày càng giảm.
e) Giảm thiểu các yêu cầu về thiết bị
VPN yêu cầu thiết bị ít hơn, đơn giản hơn nhiều so với việc bảo trì các modem
riêng biệt, các card tương thích cho các thiết bị đầu cuối và các máy chủ truy cập từ
xa. Một doanh nghiệp có thể thiết lập các thiết bị khách hàng cho một môi trường
đơn, với phần còn lại của kết nối được thực hiện bởi SP.
f) Đáp ứng các nhu cầu thương mại
Các sản phẩm dịch vụ VPN tuân theo chuẩn chung hiện nay, một phần để đảm
bảo khả năng làm việc của sản phẩm và quan trọng hơn là để sản phẩm của nhiều nhà
cung cấp khác nhau có thể làm việc với nhau.
Đối với các thiết bị và công nghệ Viễn thông mới thì vấn đề cần quan tâm là
chuẩn hoá, khả năng quản trị, khả năng mở rộng, khả năng tích hợp mạng, tính kế
thừa, độ tin cậy và hiệu suất hoạt động, đặc biệt là khả năng thương mại của sản
phẩm.
Mạng riêng ảo VPN sử dụng các công nghệ như FR và kênh ảo ATM đã được
dùng trong một thời gian dài, nhưng mấy năm trở lại đây, các VPN dựa trên IP và
IP/MPLS đang trở nên ngày càng phổ biến hơn.
Các phần sau sẽ tiếp tục tìm hiểu về các thiết bị VPN, các giao thức, các công
nghệ, cũng như các loại và các mô hình VPN.
1.2 Phân loại VPN

Mục tiêu đặt ra đối với công nghệ mạng VPN là thoả mãn ba yêu cầu cơ bản
sau:

 Tại mọi thời điểm, các nhân viên của công ty có thể truy nhập từ xa
hoặc
di động vào mạng nội bộ của công ty.
 Nối liền các chi nhánh, văn phòng di động.
 Khả năng điều khiển được quyền truy nhập của khách hàng, các nhà
cung cấp dịch vụ hoặc các đối tượng bên ngoài khác.
Dựa vào những yêu cầu cơ bản trên, mạng riêng ảo VPN được phân làm ba
loại:
 Mạng VPN truy nhập từ xa (Remote Access VPN)
 Mạng VPN cục bộ (Intranet VPN)
 Mạng VPN mở rộng (Extranet VPN)
1.2.1 Mạng VPN truy nhập từ xa

Các VPN truy nhập từ xa cung cấp khả năng truy nhập từ xa. Tại mọi thời
điểm, các nhân viên, chi nhánh văn phòng di động có khả năng trao đổi, truy nhập
vào mạng của công ty. Đây là kiểu VPN điển hình nhất bởi vì VPN kiểu này có thể
được thiết lập tại bất kỳ thời điểm nào và từ bất cứ nơi nào có mạng Internet.
VPN truy nhập từ xa mở rộng mạng công ty tới những người sử dụng thông
qua cơ sở hạ tầng chia sẻ chung, trong khi những chính sách quản lý và bảo mật
mạng của công ty vẫn được duy trì. Chúng có thể dùng để cung cấp truy nhập an toàn
từ những thiết bị di động, những người sử dụng di động, những chi nhánh và những
bạn hàng của công ty. Những kiểu VPN này được thực hiện thông qua cơ sở hạ tầng
công cộng bằng cách sử dụng công nghệ ISDN, quay số, IP di động, DSL và công
nghệ cáp và thường yêu cầu một vài kiểu phần mềm client chạy trên máy tính của
người sử dụng.

Hình 1.2 : Mô hình mạng VPN truy nhập từ xa
Các ưu điểm của mạng VPN truy nhập từ xa :

 Mạng VPN truy nhập từ xa không cần sự hỗ trợ của nhân viên mạng
bởi vì quá trình kết nối từ xa được các ISP thực hiện.
 Giảm được các chi phí cho kết nối từ khoảng cách xa bởi vì các kết nối
khoảng cách xa được thay thế bởi các kết nối cục bộ thông qua mạng
Internet.
 Cung cấp dịch vụ kết nối giá rẻ cho những người sử dụng ở xa.
 Vì các kết nối truy nhập là nội bộ nên các modem kết nối hoạt động ở
tốc độ cao hơn so với các truy nhập khoảng cách xa.
 Cung cấp khả năng truy nhập tốt hơn đến các site của công ty bởi vì
chúng hỗ trợ mức thấp nhất của dịch vụ kết nối.
Các nhược điểm của mạng VPN truy nhập từ xa :

 Mạng VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo QoS.
 Nguy cơ bị mất dữ liệu cao, các gói có thể bị phân phát không đến nơi
hoặc mất gói.

 Do sử dụng thuật toán mã hoá phức tạp nên tiêu đề giao thức tăng một
cách đáng kể.
1.2.2 Mạng VPN cục bộ

Các VPN cục bộ được sử dụng để kết nối các địa điểm khác nhau của một
công ty, liên kết trụ sở chính, các văn phòng và chi nhánh trên một cơ sở hạ tầng
chung sử dụng các kết nối luôn được mã hoá bảo mật. Điều này cho phép tất cả các
địa điểm có thể truy nhập an toàn các nguồn dữ liệu được phép trong toàn bộ mạng
của công ty.
Mạng VPN kiểu này vẫn cung cấp các đặc tính của mạng WAN như là khả
năng mở rộng, tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phí
thấp nhưng vẫn đảm bảo tính mềm dẻo. Kiểu VPN này thường được cấu hình như là
một VPN Site- to- Site.
Hình 1.3 : Mô hình mạng VPN cục bộ
Các ưu điểm của mạng VPN cục bộ :

 Các mạng lưới cục bộ hay toàn bộ có thể được thiết lập (với điều kiện
mạng thông qua một hay nhiều nhà cung cấp dịch vụ).
 Giảm được số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi
xa.

 Bởi vì những kết nối trung gian được thực hiện thông qua mạng
Internet, nên nó có thể dễ dàng thiết lập thêm một liên kết ngang cấp
mới.
 Tiết kiệm chi phí thu được từ những lợi ích đạt được bằng cách sử dụng
đường ngầm VPN thông qua Internet kết hợp với công nghệ chuyển
mạch tốc độ cao. Ví dụ như công nghệ Frame Relay, ATM.
Các nhược điểm của mạng VPN cục bộ :
 Bởi vì dữ liệu được truyền “ngầm” qua mạng công cộng nên vẫn còn
những mối “đe dọa” về mức độ bảo mật dữ liệu và mức độ chất lượng
dịch vụ (QoS).
 Khả năng các gói dữ liệu bị mất trong khi truyền dẫn vẫn còn khá cao.
 Trường hợp truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện,
với yêu cầu truyền dẫn tốc độ cao và đảm bảo thời gian thực là thách
thức lớn trong môi trường Internet.
1.2.3 Mạng VPN mở rộng

Không giống như mạng VPN truy nhập từ xa và mạng VPN cục bộ, mạng
VPN mở rộng không bị cô lập với “thế giới bên ngoài”. Thực tế mạng VPN mở rộng
cung cấp khả năng điều khiển truy nhập tới những nguồn tài nguyên mạng cần thiết
để mở rộng những đối tượng kinh doanh như là các đối tác, khách hàng, và các nhà
cung cấp… .
Hình 1.4: Mô hình mạng VPN mở rộng

Các VPN mở rộng cung cấp một đường hầm bảo mật giữa các khách hàng, các
nhà cung cấp và các đối tác qua một cơ sở hạ tầng công cộng. Kiểu VPN này sử dụng
các kết nối luôn luôn được bảo mật và được cấu hình như một VPN Site–to–Site. Sự
khác nhau giữa một VPN cục bộ và một VPN mở rộng đó là sự truy cập mạng được
công nhận ở một trong hai đầu cuối của VPN.
Các ưu điểm của mạng VPN mở rộng :
 Chi phí cho mạng VPN mở rộng thấp hơn rất nhiều so với mạng truyền
thống.
 Dễ dàng thiết lập, bảo trì và dễ dàng thay đổi đối với mạng đang hoạt
động.
 Vì mạng VPN mở rộng được xây dựng dựa trên mạng Internet nên có
nhiều cơ hội trong việc cung cấp dịch vụ và chọn lựa giải pháp phù hợp
với các nhu cầu của mỗi công ty hơn.
Bởi vì các kết nối Internet được nhà cung cấp dịch vụ Internet bảo trì, nên
giảm được số lượng nhân viên kỹ thuật hỗ trợ mạng, do vậy giảm được chi phí vận
hành của toàn mạng.
Các nhược điểm của mạng VPN mở rộng :
 Khả năng bảo mật thông tin, mất dữ liệu trong khi truyền qua mạng
công cộng vẫn tồn tại.
 Truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêu cầu
truyền dẫn tốc độ cao và đảm bảo thời gian thực là thách thức lớn trong
môi trường Internet.
 Làm tăng khả năng rủi ro đối với các mạng cục bộ của công ty.
1.3 Các thiết bị sử dụng trong mạng riêng ảo

Các thiết bị trong mạng của khách hàng thuộc về một trong hai loại cơ bản :
 Các thiết bị CE (Customer Edge): là thiết bị đặt ở biên của mạng khách
hàng và kết nối đến nhà cung cấp dịch vụ (thông qua các thiết bị PE).
Các thiết bị CE có thể là bộ định tuyến (CE-r), hoặc chuyển mạch (CE-
s).
 Các thiết bị C (Customer): là thiết bị đơn giản, như các bộ định tuyến
và các chuyển mạch đặt bên trong mạng khách hàng. Các thiết bị này

không có kết nối trực tiếp đến mạng nhà cung cấp. Các thiết bị C không
cần biết sự tồn tại của VPN.
Các thiết bị trong mạng của nhà cung cấp cũng thuộc một trong hai loại sau:
 Các thiết bị P (Provider): là các thiết bị như các bộ định tuyến và
chuyển mạch bên trong mạng nhà cung cấp, không kết nối trực tiếp đến
các mạng khách hàng, các thiết bị P không biết gì về các VPN của
khách hàng.
 Các thiết bị PE (Provider Edge): các thiết bị này kết nối trực tiếp với
mạng của khách hàng thông qua các thiết bị CE. Các thiết bị PE biết về
VPN trong các PE-based VPN nhưng lại không biết gì về các VPN
trong kiểu CE-based VPN. Có 3 kiểu thiết bị PE : bộ định tuyến PE
(PE-r), chuyển mạch PE (PE-s), hoặc PE có thể vừa định tuyến vừa
chuyển mạch (PE-rs).
Các kiểu thiết bị khác được dùng trong VPN bao gồm máy chủ truy nhập tập
trung NAS và các cổng/bộ tập trung VPN (gateways/concentrators). NAS là thiết bị
giao tiếp giữa mạng truy nhập và mạng chuyển mạch gói. Trong một VPN truy cập từ
xa, NAS có thể được dùng như một điểm đầu cuối đường hầm.
Ngoài ra, phụ thuộc vào giao thức VPN truy cập từ xa được dùng, NAS có
nhiều tên gọi khác nhau: L2F Protocol NAS, bộ tập trung truy cập L2TP (LAC), hoặc
bộ tập trung truy cập PPTP (PAC).
Một cổng/bộ tập trung VPN hoạt động như đầu cuối của một đường hầm VPN,
đặc biệt trong VPN truy cập từ xa hoặc CE-based site-to-site VPN (hình 1.4).
Phụ thuộc vào giao thức VPN truy cập từ xa, cổng/bộ tập trung có thể được
gọi là L2F Home Gateway, L2TP Network Server (LNS), hoặc PPTP Network Server
(PNS).
1.4 Các giao thức dùng trong VPN

Trong các VPN site-to-site, lưu lượng dữ liệu người sử dụng khách hàng được
truyền giữa các thiết bị CE hoặc các thiết bị PE.
Các giao thức và công nghệ sử dụng cho VPN site-to-site bao gồm: IP Security
(Ipsec), Generic Routing Encapsulation (GRE), Layer Two Tunneling Protocol
version 3 (L2TPv3), Draft Martini pseudowires (các kênh mô phỏng), đường hầm
IEEE 802.1Q (Q-in-Q), và MPLS LSP.

 Ipsec : Là một bộ các giao thức được thiết kế để bảo vệ lưu lượng IP
giữa các cổng an ninh hoặc các host khi lưu lượng này được truyền tải
trên mạng chung. Các đường hầm Ipsec thường được dùng để xây dựng
một site-to-site CE-based VPN.
 GRE : Có thể dùng để xây dựng các đường hầm và truyền tải lưu lượng
đa giao thức giữa các thiết bị CE trong một VPN. GRE ít đảm bảo về an
ninh nhưng nó có thể được dùng kết hợp với các giao thức khác.
 AToM : Cho phép truyền các lưu lượng giao thức truyền tải point-to-
point (như FR, ATM, Ethernet, Ethernet VLAN-802.1Q, HDLC và
PPP) trên MPLS.
 L2TPv3 : Cho phép truyền các lưu lượng giao thức truyền tải point-to-
point trên một backbone IP hoặc backbone khác.
 Đường hầm IEEE 802.1Q (Q-in-Q): giúp một SP tạo đường hầm
Ethernet thẻ (802.Q) và truyền lưu lượng trên mạng backbone chung.
Lưu lượng 802.1Q được truyền qua đường hầm trên mạng backbone SP
bằng cách gắn một thẻ 802.1Q.
 MPLS LSP : LSP là một đường hầm đi qua các LSR trong một mạng
MPLS. Các gói được chuyển mạch dựa trên nhãn trên gói. Báo hiệu cho
các LSP có thể là TDP, LDP, hay RSVP.
Các giao thức và công nghệ dùng cho VPN truy cập từ xa:
 Giao thức L2F : Là giao thức được thiết kế để cho phép tạo đường hầm
cho các frame PPP (hoặc SLIP) giữa một NAS và một thiết bị gateway
VPN đặt tại điểm trung tâm. Những người sử dụng truy cập từ xa kết
nối đến NAS, và đường hầm được thiết lập để mang các frame PPP từ
người sử dụng truy nhập từ xa qua mạng trung gian đến gateway VPN.
 Giao thức L2TP phiên bản 2 và 3 (L2TPv2/L2TPv3): L2TP là một
chuẩn IETF, kết hợp các ưu điểm tốt nhất của L2F và PPTP. Khi truy
nhập từ xa, L2TP cho phép tạo đường hầm cho các frame PPP máy
khách truy nhập từ xa thông qua NAS đến cổng/bộ tập trung VPN và cả
đường hầm cho các frame PPP trực tiếp từ máy khách truy cập từ xa
đến gateway/bộ tập trung VPN. Nhưng L2TP thực chất lại bị hạn chế
về an ninh, vì vậy các đường hầm L2TP thường sử dụng Ipsec để bảo
vệ.
Nguyễn Duy Thanh – Lớp D04VT1 - 10 -

 Ipsec : Ngoài khả năng tạo các VPN site-to-site, Ipsec còn có thể dùng
để tạo đường hầm an ninh cho lưu lượng dữ liệu giữa những người sử
dụng di động hoặc truy cập từ xa với gateway/bộ tập trung VPN.
 SSL : là giao thức an ninh ban đầu được Netscape Communications
phát triển (SSL phiên bản 1, 2, và 3), cung cấp an ninh truy cập từ xa
cho những người sử dụng di động hoặc tại nhà. Chức năng của SSL bị
hạn chế (so với L2F, PPTP, L2TPv2 hoặc Ipsec) nếu triển khai các
VPN truy cập từ xa SSL clientless. Ngoài ra, còn có TLS, một chuẩn
của IETF tương tự như SSLv3. Mặc dù có những hạn chế khi cung cấp
các clientless SSL VPN, kiểu VPN truy cập từ xa này có một ưu điểm
là không yêu cầu phần mềm client riêng nào bởi vì SSL đã có trong khá
nhiều trình duyệt web. Vì vậy, nếu một người dùng đầu xa có một trình
duyệt web, thì người đó đã có phần mềm client SSL. Chính vì chỉ cần
một trình duyệt web chứ không phải một phần mềm client riêng nào
nên SSL VPNs có lúc được gọi là web VPN hoặc clientless VPN. Cũng
có thể thêm vào SSL VPN nhiều chức năng bằng cách cài đặt phần
mềm SSL VPN riêng trên các thiết bị máy khách truy cập từ xa.
1.5 Các mô hình VPN

Các VPN site-to-site SP (PPVPN)
PPVPN thuộc một trong các loại VPN sau: VPN lớp 1, VPN lớp 2, VPN lớp 3.
Các VPN lớp 1 dùng để truyền tải các dịch vụ lớp 1 trên mạng trung gian
được điều khiển và quản lý bởi GMPLS. Hiện tại, việc phát triển L1VPN vẫn đang
còn khá mới, và bởi vậy ta sẽ không đi vào nghiên cứu sâu hơn về L1VPN.
Các VPN lớp 2
Các VPN site-to-site lớp 2 (L2VPN) có thể thực hiện giữa các chuyển mạch,
các host, và các bộ định tuyến, cho phép kết nối tầng liên kết dữ liệu giữa các điểm
riêng biệt. Việc thông tin giữa các bộ chuyển mạch, host, và các bộ định tuyến khách
hàng dựa trên địa chỉ lớp 2, và các thiết bị PE thực hiện chuyển tiếp lưu lượng dữ liệu
của khách hàng dựa trên liên kết đầu vào và thông tin tiêu đề lớp 2 (ví dụ địa chỉ
MAC, FR DLCI, v.v..)
Các VPN lớp 3
Các VPN site-to-site lớp 3 (L3VPN) kết nối các host và các bộ định tuyến tại
các điểm riêng của khách hàng. Các host và bộ định tuyến khách hàng thông tin với

nhau dựa trên địa chỉ lớp 3, và các thiết bị PE chuyển tiếp lưu lượng khách hàng dựa
trên liên kết đầu vào, và trên các địa chỉ chứa trong tiêu đề IP.
Có hai kiểu L3VPN cơ bản là:
 VPN dựa trên thiết bị PE (PE-based VPN) : Các thiết bị PE tham gia
vào định tuyến và chuyển tiếp lưu lượng mạng khách hàng dựa trên địa
chỉ mạng khách hàng. Lưu lượng của khách hàng thường được chuyển
tiếp giữa các thiết bị PE trên các đường hầm VPN thuộc dạng (MPLS)
LSP, đường hầm Ipsec, đường hầm L2TPv3, hoặc đường hầm GRE.
Trong kiểu này, các thiết bị CE không hề biết rằng chúng đang tham gia
vào một VPN. PE-based VPN cũng đôi khi được gọi là Network-based
VPN. PE-based L3VPN có thể được phân lớp như sau :
 BGP/MPLS VPN : Trong kiểu PE-based L3VPN này, các thiết bị
PE duy trì các bảng định tuyến và chuyển tiếp riêng cho mỗi
VPN. Các tuyến của khách hàng được quảng bá giữa các thiết bị
PE bằng cách sử dụng MP-BGP, các tuyến và không gian địa
chỉ của khách hàng cùng sử dụng các thuộc tính BGP.
 VPN dựa trên bộ định tuyến ảo : Trong kiểu PE-based L3VPN
này, các bộ định tuyến phân chia logic rõ ràng được duy trì trên
các thiết bị PE cho mỗi VPN. Mỗi bộ định tuyến logic duy trì
giao thức định tuyến riêng của nó.
 VPN dựa trên thiết bị CE (CE-based VPN) : Trong CE-based L3VPN,
các thiết bị PE không tham gia vào và cũng không biết việc định tuyến
và chuyển tiếp lưu lượng của khách hàng trong mạng khách hàng dựa
trên địa chỉ duy nhất toàn cầu. Với kiểu VPN này, các đường hầm được
cấu hình giữa các thiết bị CE bằng cách sử dụng các giao thức như GRE
và Ipsec. Các CE-based VPN đôi khi cũng được gọi là CPE-based
VPN.

Định tuyến IP
Đường hầm IPsec
Kết hợp An ninh

(SA)
IP IP
IPsec IP IP IPsec
Layer2 Layer2 Layer2 Layer2 Layer2 Layer2
CE PE PE CE
Mạng Mạng
Người dùng Backbone SP Người dùng
truy nhập truy nhập
Hình 1.5: VPN dựa trên bộ định tuyến CE
Các VPN truy nhập từ xa nhà cung cấp và khách hàng

Các VPN truy cập từ xa có thể được cấu hình theo kiểu đường hầm bắt buộc
hay tự nguyện.
User
Người dùng di
động #2
95 User System Policies Mạng truy
Người dùng di nhập
động #1
NAS
Người dùng
tại nhà
VPN gateway/ Trụ sở chính

concentrator công ty
Hình 1.6 : Một VPN truy cập từ xa cơ bản
Hoạt động của hai kiểu này như sau:

 Kiểu đường hầm bắt buộc: Kiểu VPN truy nhập từ xa này được các
nhà cung cấp dịch vụ cung cấp. Trong hoạt động của kiểu này, các máy
khách truy cập từ xa kết nối tới một NAS mà sau đó đường hầm lưu
lượng dữ liệu máy khách đến và đi từ một VPN gateway. Ví dụ các
giao thức để truy cập từ xa kiểu đường hầm bắt buộc là L2F, PPTP, và
L2TP. Trong hình 1.6, người sử dụng di động số 2 được kết nối thông
qua đường hầm kiểu bắt buộc tới cổng/bộ tập trung VPN. Các VPN

truy cập từ xa kiểu đường hầm bắt buộc đôi khi được gọi là NAS-
initiated remote access VPN (VPN truy cập từ xa khởi tạo từ NAS).
 Kiểu đường hầm tự nguyện: VPN truy cập từ xa kiểu đường hầm tự
nguyện có thể là VPN khách hàng hoặc VPN SP. Hoạt động của kiểu
VPN này như sau, lưu lượng dữ liệu được truyền theo đường hầm trực
tiếp giữa máy khách truy cập từ xa và VPN gateway. Trong hình 1.6,
người dùng tại nhà và người dùng di động số 1 đều được kết nối đến
gateway/concentrator VPN thông qua các đường hầm tự nguyện. Chú ý
là, đôi khi người ta gọi VPN truy nhập từ xa kiểu đường hầm tự nguyện
là Client-initiated remote access VPN (VPN truy cập từ xa khởi tạo từ
máy khách).
Một kiểu VPN truy nhập từ xa nữa là Mạng riêng ảo quay số VPDN. Thuật
ngữ này có thể dùng để mô tả các VPN truy cập từ xa (L2F, PPTP, và L2TP) trong đó
người dùng từ xa sẽ kết nối thông qua PSTN hoặc ISDN đến NAS quay số (Dial
NAS). Lưu lượng người dùng sẽ được truyền trên đường hầm đến VPN gateway.
Những người dùng từ xa như vậy bây giờ thường kết nối qua cáp, DSL và các kết nối
tốc độ cao khác hơn là thông qua các kết nối quay số, vì vậy thuật ngữ này đã khá cổ
điển.
1.6 Kết luận chương I

Trong chương này, đề tài đã trình bày về định nghĩa VPN, các cách phân loại
VPN cùng với các công nghệ được sử dụng cho VPN. Chương tiếp theo sẽ nghiên
cứu về công nghệ MPLS, công nghệ nền tảng để xây dựng các MPLS VPN.

Đồ án tốt nghiệp Đại học Chương II : Chuyển mạch nhãn đa giao thức MPLS
CHƯƠNG II: CHUYỂN MẠCH NHÃN ĐA GIAO THỨC MPLS
2.1 Giới thiệu về MPLS

Chuyển mạch nhãn đa giao thức là một giải pháp chuyển mạch IP và được
chuẩn hoá bởi IETF.
MPLS gồm hai chức năng quan trọng :
 Chức năng chuyển tiếp gói tin: sử dụng cơ chế hoán đổi nhãn, tìm
chặng kế tiếp của gói tin trong một bảng chuyển tiếp nhãn, sau đó thay thế giá trị
nhãn của gói rồi chuyển ra cổng ra của bộ định tuyến.
 Chức năng điều khiển: gồm các giao thức định tuyến lớp mạng có
nhiệm vụ phân phối thông tin giữa các LSR và các thủ tục gán nhãn để
chuyển thông tin định tuyến thành bảng định tuyến chuyển mạch nhãn.
Các đặc điểm chính của MPLS :
 Tốc độ và trễ: Chuyển mạch nhãn nhanh hơn nhiều do giá trị nhãn được
đặt ở tiêu đề của gói và được sử dụng để tìm kiếm trong bảng. Việc tìm
kiếm này chỉ yêu cầu một lần truy nhập tới bảng, khác với truy nhập
bảng định tuyến truyền thống có thể cần hàng ngàn lần truy nhập. Kết
quả là lưu lượng người sử dụng trong gói được gửi qua mạng nhanh
hơn nhiều so với chuyển tiếp IP truyền thống.
 Jitter: Là sự thay đổi độ trễ của lưu lượng người sử dụng do việc
chuyển gói tin qua nhiều nút trong mạng để chuyển tới đích của nó. Tại
từng nút, địa chỉ đích trong gói phải được kiểm tra và so sánh với danh
sách địa chỉ đích khả dụng trong bảng định tuyến của nút, do đó trễ và
biến thiên trễ phụ thuộc vào số lượng gói và khoảng thời gian mà bảng
tìm kiếm phải xử lý trong khoảng thời gian xác định. Kết quả là tại nút
cuối cùng, Jitter là tổng cộng tất cả các biến thiên độ trễ tại mỗi nút
giữa bên gửi và bên thu. Với gói là là lưu lượng thoại thì cuộc thoại bị
mất đi tính liên tục. Do chuyển mạch nhãn hiệu quả hơn, lưu lượng
người dùng được gửi qua mạng nhanh hơn và ít Jitter hơn so với định
tuyến IP truyền thống.
 Khả năng mở rộng mạng: Chuyển mạch nhãn cung cấp các giải pháp
cho sự phát triển nhanh chóng và xây dựng các mạng lớn bằng việc cho

phép một lượng lớn các địa chỉ IP được kết hợp với một hay vài nhãn.
Giải pháp này giảm đáng kể kích cỡ bảng địa chỉ và cho phép bộ định
tuyến hỗ trợ nhiều người sử dụng hơn.
 Tính đơn giản: Chuyển mạch nhãn là giao thức chuyển tiếp cơ bản,
chuyển tiếp gói chỉ dựa vào nhãn. Do tách biệt giữa điều khiển và
chuyển tiếp nên kỹ thuật điều khiển dù phức tạp cũng không ảnh hưởng
đến hiệu quả của dòng lưu lượng người sử dụng. Cụ thể là, sau khi
ràng buộc nhãn được thực hiện, các hoạt động chuyển mạch nhãn để
chuyển tiếp lưu lượng là đơn giản, có thể được thực hiện bằng phần
mềm, bằng mạch tích hợp chuyên dụng hay bằng các bộ xử lý đặc biệt.
 Sử dụng tài nguyên: Các mạng chuyển mạch nhãn không cần nhiều tài
nguyên mạng để thực hiện các công cụ điều khiển trong việc thiết lập
các đường đi chuyển mạch nhãn cho lưu lượng người sử dụng.
 Điều khiển đường đi: Chuyển mạch nhãn cho phép các đường đi qua
một liên mạng được điều khiển tốt hơn. Nó cung cấp một công cụ để bố
trí các nút và liên kết lưu lượng phù hợp hơn, thuận lợi hơn, cũng như
phân lớp lưu lượng dựa trên các yêu cầu về QoS khác nhau của dịch
vụ.
2.2 Các thành phần của MPLS

2.2.1 Các thiết bị trong mạng MPLS
LSR là một thiết bị định tuyến tốc độ cao trong lõi của một mạng MPLS, nó
tham gia trong việc thiết lập các đường dẫn chuyển mạch nhãn LSP bằng việc sử
dụng giao thức báo hiệu nhãn thích ứng và thực hiện chuyển mạch tốc độ cao lưu
lượng số liệu dựa trên các đường dẫn được thiết lập.
LER là một thiết bị hoạt động tại biên của mạng truy nhập và mạng lõi MPLS.
Các LER hỗ trợ đa cổng được kểt nối tới các mạng không giống nhau (chẳng hạn FR,
ATM và Ethernet). LER đóng vai trò quan trọng trong việc chỉ định và huỷ bỏ nhãn,
khi lưu lượng vào trong hay đi ra khỏi mạng MPLS. Sau đó, tại lối vào nó thực hiện
việc chuyển tiếp lưu lượng vào mạng MPLS sau khi đã thiết lập LSP nhờ các giao
thức báo hiệu nhãn và phân bổ lưu lượng trở lại mạng truy nhập tại lối ra.

2.2.2 Đường chuyển mạch nhãn

LSP: là một đường đi để gói tin qua mạng chuyển mạch nhãn trọn vẹn từ điểm
bắt đầu dán nhãn đến điểm nhãn bị loại bỏ khỏi gói tin. Các LSP được thiết lập trước
khi truyền dữ liệu
Đường hầm LSP: LSP từ đầu tới cuối được gọi là đường hầm LSP, nó là
chuỗi liên tiếp các đoạn LSP giữa hai nút kề nhau. Các đặc trưng của đường hầm
LSP, chẳng hạn như phân bổ băng tần, được xác định bởi sự thoả thuận giữa các nút,
nhưng sau khi đã thoả thuận, nút lối vào (bắt đầu của LSP) xác định dòng lưu lượng
bằng việc chọn lựa nhãn của nó. Khi lưu lượng được gửi qua đường hầm, các nút
trung gian không kiểm tra nội dung của tiêu đề mà chỉ kiểm tra nhãn. Do đó, phần lưu
lượng còn lại được xuyên hầm qua LSP mà không phải kiểm tra. Tại cuối đường hầm
LSP, nút lối ra loại bỏ nhãn và chuyển lưu lượng IP tới nút IP.
Các đường hầm LSP có thể sử dụng để thực hiện các chính sách kỹ thuật lưu
lượng liên quan tới việc tối ưu hiệu năng mạng. Chẳng hạn, các đường hầm LSP có
thể được di chuyển tự động hay thủ công ra khỏi vùng mạng bị lỗi, tắc nghẽn, hay là
nút mạng bị nghẽn cổ chai. Ngoài ra, nhiều đường hầm LSP song song có thể được
thiết lập giữa hai nút, và lưu lượng giữa hai nút đó có thể được chuyển vào trong các
đường hầm này theo các chính sách cục bộ.
Trong mạng MPLS các LSP được thiết lập bằng một trong ba cách đó là: Định
tuyến từng chặng, định tuyến hiện (ER) và định tuyến cưỡng bức (CR).
Một số khái niệm liên quan tới đường chuyển mạch nhãn :
Đường lên (Upstream): Hướng đi dọc theo đường dẫn từ đích đến nguồn. Một
bộ định tuyến đường lên có tính chất tương đối so với một bộ định tuyến khác, nghĩa
là nó gần nguồn hơn bộ định tuyến được nói đến đó dọc theo đường dẫn chuyển mạch
nhãn.
Đường xuống (Downstream): Hướng đi dọc theo đường dẫn từ nguồn đến
đích. Một bộ định tuyến đường xuống có tính chất tương đối so với một bộ định
tuyến khác, nghĩa là nó gần đích hơn bộ định tuyến được nói đến đó dọc theo đường
dẫn chuyển mạch nhãn.
2.2.3 Nhãn và các vấn đề liên quan

a. Nhãn, ngăn xếp nhãn, không gian nhãn
Tiêu đề MPLS: MPLS định nghĩa một tiêu đề có độ dài 32 bit, được đặt ngay
sau tiêu đề lớp 2 bất kì và trước một tiêu đề lớp 3. Cấu trúc tiêu đề MPLS:

Link Layer Network Layer Other Layers Headers

MPLS SHIM
Header Header and data
32 bits
20 bits 3 bits 1 bits 8 bits
Hình 2.1 : Khuôn dạng tiêu đề nhãn
Ý nghĩa các trường :

 Nhãn : là một thực thể có chiều dài cố định (20 bit) dùng làm cơ sở cho
việc chuyển tiếp.
 Exp (Experimental) : Các bit Exp được dự trữ về mặt kỹ thuật cho sử
dụng thực tế. Chẳng hạn sử dụng những bit này để chỉ thị QoS - thường
là một bản sao trực tiếp của các bit chỉ thị độ ưu tiên trong gói IP. Khi
các gói MPLS bị xếp hàng, có thể sử dụng các bit Exp như cách sử
dụng các bit chỉ thị độ ưu tiên IP.
 BS (Bottom of stack) : Có thể có hơn một nhãn với một gói. Bit này
dùng để chỉ thị cho nhãn ở cuối ngăn xếp nhãn. Nhãn ở đáy của ngăn
xếp nhãn có giá trị BS bằng 1. Các nhãn khác có giá trị bit BS bằng 0.
 TTL (Time To Live) : Thông thường các bit TTL là một bản sao trực
tiếp của các bit TTL trong tiêu đề gói IP. Chúng giảm giá trị đi một đơn
vị khi gói đi qua mỗi chặng để tránh lặp vòng vô hạn. TTL cũng có thể
được sử dụng khi các nhà điều hành mạng muốn dấu cấu hình mạng
nằm bên dưới.
Ngăn xếp nhãn là một tập các nhãn có thứ tự được chỉ định cho gói. Việc xử
lý các nhãn này cũng tuân theo một thứ tự .

Tiêu đề MPLS Gói IP
Nhãn MPLS (20bit) EXP S TTL
Nhãn#m Nhãn#2 Nhãn#1 Gói IP
Hình 2.2 : Cấu trúc ngăn xếp nhãn
Nếu ngăn xếp nhãn của gói có độ sâu m, nhãn tại đáy của ngăn xếp được xem
như là nhãn mức 1, nhãn trên nó là nhãn mức 2, và nhãn trên cùng là nhãn mức m.
Mục đích của ngăn xếp nhãn là để tăng cường các dịch vụ như VPN, CoS và
cho mở rộng mạng.
Không gian nhãn: Thuật ngữ không gian nhãn dùng để chỉ ra cách thức mà
một nhãn được kết hợp với một LSR. Có hai phương pháp để phân nhãn giữa các
LSR, tương ứng với hai dạng không gian nhãn, đó là không gian nhãn theo từng giao
diện và không gian nhãn theo từng nút.
Không gian nhãn theo từng giao diện: Nhãn được kết hợp với một giao diện
đặc trưng ở một LSR, ví dụ như DS3 hoặc giao diện SONET. LSR sẽ dùng một giá trị
giao diện để giữ dấu vết của các nhãn ở mỗi giao diện, nên nhãn có thể được dùng lại
tại mỗi giao diện, miễn là thoả mãn điều kiện một nhãn là duy nhất trong không gian
nhãn. Và khi này định danh giao diện này trở thành một nhãn nội bộ trong LSR đối
với nhãn bên ngoài được gửi đi giữa các LSR.
Không gian nhãn theo từng nút (theo tất cả các giao diện): Ở đây, các nhãn
đầu vào được xẻ dọc theo tất cả các giao diện tham gia vào một nút. Nghĩa là, nút này
phải chỉ định không gian nhãn dọc theo tất cả các giao diện,
b. Ràng buộc FEC và nhãn
Khái niệm FEC: FEC là một nhóm các gói, nhóm các gói này chia sẻ cùng
yêu cầu trong sự chuyển tiếp chúng qua mạng. Tất cả các gói trong một nhóm như
vậy được cung cấp cùng cách chọn đường tới đích. Dựa trên FEC, nhãn được thoả
thuận giữa các LSR lân cận từ lối vào tới lối ra trong một vùng định tuyến. Mỗi LSR
xây dựng một bảng để xác định xem một gói phải được chuyển tiếp như thế nào.

Bảng này được gọi là cơ sở thông tin nhãn LIB, nó là tổ hợp các ràng buộc FEC với
nhãn (FEC-to-label). Và nhãn lại được sử dụng để chuyển tiếp lưu lượng qua mạng.
Lý do dùng FEC: Thứ nhất, nó cho phép nhóm các gói vào các lớp. Từ nhóm
này, giá trị FEC trong một gói có thể được dùng để thiết lập độ ưu tiên cho việc xử lý
các gói. Thứ hai, FEC có thể được dùng để hỗ trợ hiệu quả hoạt động QoS. Ví dụ,
FEC có thể liên kết với độ ưu tiên cao, lưu lượng thoại thời gian thực, lưu lượng
nhóm mới ưu tiên thấp…
Sự kết hợp một FEC với một gói được thực hiện bởi việc dùng một nhãn để
định danh một FEC đặc trưng. Với các lớp dịch vụ khác nhau, phải dùng các FEC
khác nhau và các nhãn liên kết khác nhau. Đối với lưu lượng Internet, các định danh
sử dụng là các tham số ứng cử cho việc thiết lập một FEC. Trong một vài hệ thống,
chỉ địa chỉ đích IP được sử dụng.
c. Tạo, phân bổ, hợp nhất , duy trì và điều khiển nhãn
 Tạo nhãn
Có một số phương pháp được sử dụng trong việc tạo nhãn:
 Phương pháp dựa trên đồ hình (topology-based): sử dụng các giao thức
định tuyến thông thường như OSPF và BGP.
 Phương pháp dựa trên yêu cầu (request-based): sử dụng giao thức điều
khiển lưu lượng dựa trên yêu cầu như RSVP.
 Phương pháp dựa trên lưu lượng (trafic-based): sử dụng sự tiếp nhận
của gói để phân bổ thông tin nhãn.
Các phương pháp dựa trên đồ hình và dựa trên yêu cầu là các ví dụ về các
ràng buộc nhãn điều khiển, trong khi phương pháp dựa trên lưu lượng là một ví dụ về
các ràng buộc dữ liệu.
 Phân bổ nhãn
Kiến trúc MPLS không sử dụng một phương pháp báo hiệu riêng nào để phân
bổ nhãn. Các giao thức định tuyến đang tồn tại đã được tăng cường để mang thông tin
nhãn trong nội dung của giao thức:
 LDP: ánh xạ các đích IP đơn hướng vào các nhãn.

 RSVP, CP-LDP: được sử dụng cho kĩ thuật lưu lượng và đặt trước tài
nguyên.

 Multicast độc lập giao thức: được sử dụng cho việc ánh xạ nhãn các
trạng thái đa hướng.
 BGP: các nhãn bên ngoài (VPN).
 Hợp nhất nhãn
Dòng lưu lượng đến từ các giao diện khác nhau có thể được kết hợp cùng nhau
và được chuyển mạch bằng cách sử dụng một nhãn chung nếu chúng đang đi qua
mạng hướng tới cùng một đích cuối cùng. Điều này được gọi là sự hợp nhất luồng
hay kết hợp các luồng.
Nếu mạng truyền tải nằm bên dưới là một mạng ATM, các LSR có thể sử dụng
hợp nhất đường ảo (VP) hay kênh ảo (VC).
 Sự duy trì nhãn
MPLS định nghĩa cách xử lý các ràng buộc nhãn nhận được từ các LSR, mà
các LSR đó không phải là chặng kế tiếp với một FEC đã cho. Hai chế độ được định
nghĩa:
 Bảo toàn (conservative): Trong chế độ này, các ràng buộc giữa một
nhãn và một FEC nhận được từ các LSR không là chặng kế tiếp cho
một FEC cho trước bị huỷ bỏ. Chế độ này dùng để một LSR duy trì số
nhãn ít hơn. Đây là chế độ được khuyến khích sử dụng cho các LSR
ATM.
 Tự do (liberal): Trong chế độ này, các ràng buộc giữa một nhãn và một
FEC nhận được từ các LSR không là chặng kế tiếp với một FEC cho
trước được giữ nguyên. Chế độ này cho phép tương thích nhanh hơn
với các thay đổi cấu hình và cho phép chuyển mạch lưu lượng tới các
LSP khác trong trường hợp có sự thay đổi.
 Điều khiển nhãn
MPLS định nghĩa các chế độ cho việc phân bổ nhãn tới các LSR lân cận như
sau:
 Độc lập (Independent): Trong chế độ này, một LSR nhận dạng một
FEC nào đó và ra quyết định ràng buộc một nhãn với một FEC một
cách độc lập để phân bổ ràng buộc đến các thực thể đồng mức của nó.
Các FEC mới được nhận dạng bất cứ khi nào các tuyến (route) trở nên
rõ ràng với bộ định tuyến.

 Có thứ tự (ordered): Trong chế độ này, một LSR ràng buộc một nhãn
với một FEC nào đó nếu và chỉ nếu nó là bộ định tuyến lối ra hay nó đã
nhận được một ràng buộc nhãn cho FEC từ LSR chặng kế tiếp của nó.
Chế độ này được khuyến nghị sử dụng cho các LSR ATM.
2.3 Hoạt động MPLS

Khi một gói tin vào mạng MPLS: LSR lối vào kiểm tra nhiều trường trong tiêu
đề của gói để xác định xem gói thuộc FEC nào:
 Nếu chưa có một ràng buộc nhãn/FEC thì: gói được phân loại gói tin
vào trong các FEC, sau đó nhãn được ánh xạ vào trong FEC. Nhiệm vụ
ấn định và phân bổ các ràng buộc FEC/nhãn cho các LSR do LDP đảm
nhiệm.Khi LDP hoàn thành nhiệm vụ , một LSP được xây dựng từ lối
vào đến lối ra.
 Nếu đã có một ràng buộc nhãn/FEC thì: LSR lối vào gán nhãn cho gói
và định hướng gói tới giao diện đầu ra tương ứng.
Sau đó gói được hoán đổi nhãn qua mạng cho đến khi nó đến LSR đầu ra. Lúc
này nhãn được loại bỏ và gói được xử lý tại lớp 3.
Như vậy, với một gói dữ liệu để đi qua một miền MPLS, cần phải thực hiện
các bước sau:
 Tạo và phân bổ nhãn.
 Tạo bảng tại mỗi bộ định tuyến.
 Tạo các đường dẫn chuyển mạch nhãn.
 Chèn/tìm kiếm bảng nhãn.
 Chuyển tiếp gói.
Phân tích cụ thể các bước như sau:
Tạo & phân bổ nhãn
Trước khi lưu lượng bắt đầu, các bộ định tuyến quyết định để ràng buộc một
nhãn với một FEC xác định và xây dựng bảng của chúng.
Trong LDP, các bộ định tuyến đường xuống khởi tạo sự phân bổ các nhãn và
ràng buộc nhãn/FEC.
Ngoài ra, các đặc tính liên quan đến lưu lượng và khả năng MPLS được thoả
thuận bằng việc sử dụng LDP.

Yêu cầu nhãn
Phân phối nhãn
Luồng dữ liệu
LER2
Computer
LSR2
Computer
LER1 LER4
Computer LSR1
LSR3
Computer
Đích
LER3
Computer
Nguồn
Hình 2 3 : Hoạt động của mạng MPLS
Tạo bảng
Tại phía nhận các ràng buộc nhãn, mỗi LSR tạo các lối vào trong cơ sở thông
tin nhãn LIB.
Nội dung của bảng sẽ xác định ánh xạ giữa một nhãn và một FEC.
Ánh xạ giữa cổng vào và bảng nhãn đầu vào tới cổng ra và bảng nhãn đầu ra.
Các lối vào được cập nhật bất cứ khi nào sự tái đàm phán về ràng buộc nhãn
xảy ra.
Tạo đường dẫn chuyển mạch nhãn
Như được biểu diễn bằng đường ngắt quãng trong hình 2.3, các LSP được tạo
ở phương ngược lại với sự tạo các lối vào trong các LIB.
Chèn/tìm kiếm bảng nhãn
Bộ định tuyến đầu tiên (LER1 trong hình 2.3) sử dụng bảng trong LIB để tìm
chặng kế tiếp và yêu cầu một nhãn cho FEC xác định.
Các bộ định tuyến lần lượt sử dụng nhãn để tìm chặng kế tiếp.
Mỗi lần gói chạm tới LSR lối ra (LER4), nhãn được xoá bỏ và gói được cung
cấp cho đích.
Chuyển tiếp gói
LER1 có thể không có nhãn nào cho gói này khi đó là lần đầu tiên xảy ra yêu
cầu này. Trong một mạng IP, nó sẽ tìm sự phù hợp địa chỉ dài nhất để tìm chặng kế

tiếp. Cho LSR1 là chặng kế tiếp của LER1. LER1 sẽ khởi tạo một yêu cầu nhãn
chuyển tới LSR1.
Yêu cầu này sẽ phát thông qua mạng. Mỗi bộ định tuyến trung gian sẽ nhận
một nhãn từ bộ định tuyến phía sau nó bắt đầu từ LER2 và đi lên trên cho đến LER1.
LSP được thiết lập bằng cách sử dụng LDP hay bất kì giao thức báo hiệu nào khác.
Nếu kĩ thuật lưu lượng được yêu cầu, CR-LDP sẽ được sử dụng trong việc quyết định
thiết lập đường dẫn thực sự để chắc chắn yêu cầu QoS/CoS được tuân thủ.
LER1 sẽ chèn nhãn và chuyển tiếp gói tới LSR 1.
Mỗi LSR lần lượt, nghĩa là LSR2 và LSR3, sẽ kiểm tra nhãn với các gói nhận
được, thay thế nó với các nhãn đầu ra và chuyển tiếp nó.
Khi gói tới LER4, nó sẽ xoá bỏ nhãn bởi vì gói sẽ rời khỏi miền MPLS và
được phân phát tới đích.
2.4 Kiến trúc ngăn xếp trong MPLS

Từ việc phân tích hoạt động MPLS như trên ta có thể chia MPLS ra thành các
thành phần cơ bản sau:
 Các giao thức định tuyến lớp mạng.
 Chuyển tiếp biên của lớp mạng.
 Chuyển tiếp dựa trên nhãn mạng lõi.
 Lược đồ nhãn.
 Giao thức báo hiệu để phân bố nhãn.
 Kĩ thuật lưu lượng.
 Khả năng tương thích với các lược đồ chuyển tiếp lớp 2 khác nhau
(ATM, FR, PPP).

Routing LDP CR – LDP
TCP UDP
IP Fwd
LIB MPLS Fwd
PHY
Hình 2.4 : Ngăn xếp giao thức MPLS
Trong đó:
 Module định tuyến: có thể là bất cứ giao thức nào trong các giao thức
công nghiệp phổ biến. Phụ thuộc vào môi trường hoạt động, module
định tuyến có thể là OSPF, BGP hay PNNI của ATM, etc…
 Module LDP: sử dụng TCP để truyền dẫn tin cậy các dữ liệu điều khiển
từ LSR này đến LSR khác trong suốt một phiên. LDP cũng duy trì LIB.
LDP sử dụng UDP trong suốt quá trình khám phá của nó về trạng thái
hoạt động. Trong trạng thái này, LSP cố gắng nhận dạng các phần tử
lân cận và cũng như sự có mặt của chính các tín hiện của nó với mạng.
Điều này được thực hiện thông qua trao đổi gói hello.
 IP Fwd: là module chuyển tiếp IP cổ điển, nó tìm kiếm chặng kế tiếp
bằng việc so sánh để phù hợp với địa chỉ dài nhất trong các bảng của
nó. Với MPLS, điều này được thực hiện chỉ bởi các LER.
 MPLS Fwd: là module chuyển tiếp MPLS, nó so sánh một nhãn với
một cổng đầu ra và chọn sự phù hợp nhất với một gói đã cho.
 Các lớp được biểu diễn trong hộp với đường gãp khúc có thể được thực
hiện bằng phần cứng để hoạt động nhanh và có hiệu quả.
2.5 Kết luận chương II

Như vậy, trong chương này chúng ta đã tìm hiểu về công nghệ MPLS, các khái
niệm và hoạt động cơ bản của công nghệ này. Có thể thấy rằng, công nghệ MPLS

được thiết kế ban đầu chỉ nhằm mục đích tăng hiệu năng của chuyển mạch lớp 3,
nhưng sau đó những lợi ích mà MPLS đem lại còn hơn cả mục đích ban đầu thiết kế.
MPLS được dùng rất hữu hiệu cho các mạng đa dịch vụ, tích hợp các mạng kế thừa,
kỹ thuật lưu lượng, bảo vệ path/link, hỗ trợ QoS và CoS, tăng cường khả năng mở
rộng của IP và đặc biệt là các ứng dụng trong mạng riêng ảo. MPLS có thể hỗ trợ
cung cấp mạng riêng ảo ở cả lớp 2 và lớp 3, nhất là các MPLS VPN lớp 3
(BGP/MPLS VPN) có rất nhiều ưu điểm. Chương tiếp theo của đồ án sẽ nghiên cứu
về loại MPLS VPN này.

CHƯƠNG III: BGP/MPLS VPN
Chương này sẽ trình bày chi tiết về giao thức báo hiệu dùng cho BGP/MPLS
VPN, nguyên lý hoạt động BGP/MPLS VPN trong mặt phẳng điều khiển và mặt
phẳng dữ liệu, cách phân phối tuyến cho một số topo của loại VPN này cùng một số
tính năng tiên tiến của BGP/MPLS VPN như: hỗ trợ truyền tải Multicast, thực hiện
QoS…
iBGP
Định tuyến Định tuyến

IP IP
IP IP IP
IP
MPLS Đường hầm MPLS
CE PE PE CE
Mạng Mạng
Người dùng Backbone SP Người dùng
truy nhập truy nhập
Hình 3.1 : BGP/MPLS VPN
BGP/MPLS VPN là VPN được cung cấp bởi SP, có các ưu điểm như là kết nối
any-to-any, hỗ trợ các ứng dụng thời gian thực như thoại và video, định tuyến WAN
đơn giản đến các khách hàng. BGP/MPLS VPN được mô tả trong RFC 4364.
3.1 Giao thức BGP

Trước khi nghiên cứu nguyên lý hoạt động của các BGP/MPLS VPN, phần đầu
của chương sẽ giới thiệu về Giao thức định tuyến liên miền BGP. BGP là một giao
thức định tuyến đã được tăng cường để mang thông tin nhãn trong nội dung của giao
thức. Khái niệm và hoạt động của BGP, phương pháp gửi nhãn MPLS bằng BGP và
hoạt động của BGP trong VPN sẽ lần lượt được trình bày trong phần này.
BGP/MPLS VPN dùng BGP để báo hiệu và điều khiển.
3.1.1 Khái niệm

BGP là một giao thức định tuyến giữa các hệ thống tự trị. Một hệ thống tự trị
là một mạng hoặc một nhóm mạng có cùng nhà quản trị và chung các chính sách định
tuyến. Khi BGP được dùng giữa các hệ thống tự trị (AS) thì được gọi là EBGP. Nếu
SP dùng BGP để trao đổi các tuyến bên trong một AS thì giao thức được gọi là IBGP.
Để đạt được quy mô lớn, BGP dùng rất nhiều thông số tuyến, được gọi là các thuộc
tính, để định nghĩa các chính sách và duy trì môi trường định tuyến ổn định.

Các BGP neighbor trao đổi thông tin định tuyến đầy đủ khi thiết lập kết nối
TCP ban đầu giữa các neighbor. Khi phát hiện có sự thay đổi bảng định tuyến, các bộ
định tuyến BGP chỉ gửi các tuyến bị thay đổi cho các neighbor của chúng. Các bộ
định tuyến BGP không gửi định kỳ các cập nhật định tuyến, và các cập nhật định
tuyến BGP này chỉ quảng bá đường đi tối ưu đến mạng đích.
3.1.2 Hoạt động
a. Hoạt động định tuyến

Cũng như bất kỳ giao thức định tuyến nào, BGP duy trì các bảng định tuyến,
truyền các cập nhật định tuyến, và quyết định định tuyến dựa trên các routing metric.
Chức năng cơ bản của một hệ thống BGP là trao đổi thông tin định tuyến mạng, bao
gồm thông tin về danh sách các đường AS với các hệ thống BGP khác. Thông tin này
có thể được dùng để xây dựng lược đồ kết nối AS mà có thể giảm bớt các vòng lặp
định tuyến và áp đặt các quyết định chính sách của AS.
Mỗi bộ định tuyến BGP duy trì một bảng định tuyến liệt kê tất cả các đường
dẫn khả thi tới một mạng cụ thể. Tuy nhiên, bộ định tuyến không refresh lại bảng
định tuyến mà thông tin định tuyến nhận từ các bộ định tuyến đầu cuối được duy trì
cho đến khi nhận được cập nhật định tuyến khá lớn.
Các thiết bị BGP trao đổi thông tin định tuyến nhờ vào các trao đổi dữ liệu ban
đầu và sau các cập nhật định tuyến. Khi một bộ định tuyến bắt đầu kết nối đến mạng,
các bộ định tuyến BGP trao đổi các bảng định tuyến BGP đầy đủ. Tương tự, khi các
bảng định tuyến thay đổi, các bộ định tuyến gửi phần thay đổi của bảng định tuyến.
Các bộ định tuyến BGP không gửi định kỳ các cập nhật định tuyến và các cập nhật
định tuyến chỉ quảng bá đường dẫn tối ưu tới một mạng.
BGP dùng một routing metric để quyết định đường dẫn tốt nhất tới một mạng
xác định. Metric này bao gồm một số đơn vị bất kỳ chỉ định độ ưu tiên của một liên
kết cụ thể. Metric BGP thường được nhà quản trị mạng gán cho mỗi link. Giá trị được
gán cho một link có thể dựa trên một số tiêu chuẩn, bao gồm số lượng các vùng tự trị
mà đường dẫn đi qua, độ ổn định, tốc độ, độ trễ, hoặc chi phí.
BGP thực hiện ba kiểu định tuyến: định tuyến liên miền, định tuyến trong
miền, và định tuyến xuyên qua.
Định tuyến liên miền được thực hiện giữa hai hay nhiều bộ định tuyến BGP
trong các hệ thống tự trị khác nhau. Các bộ định tuyến đầu cuối trong các hệ thống
này dùng BGP để biết topo giữa các mạng. các BGP neighbor giao tiếp giữa các hệ

thống tự trị phải trên cùng một mạng vật lý. Các máy chủ Internet là một ví dụ điển
hình sử dụng kiểu định tuyến này bởi vì nó bao gồm các hệ thống tự trị hoặc các miền
quản lý. Nhiều miền quản lý này đại diện cho các tổ chức, các viện, các thực thể tạo
nên Internet. BGP được dùng để cung cấp quyết định đường dẫn tối ưu bên trong
Internet.
Định tuyến trong miền được thực hiện giữa hai hay nhiều bộ định tuyến BGP
đặt trong cùng hệ thống tự trị. Các bộ định tuyến bên trong cùng một hệ thống tự trị
dùng BGP để biết về topo của hệ thống. BGP cũng được dùng để quyết định bộ định
tuyến nào sẽ được dùng làm điểm kết nối với các hệ thống tự trị bên ngoài.
Định tuyến xuyên qua thực hiện giữa hai hoặc nhiều bộ định tuyến BGP đầu
cuối trao đổi lưu lương qua một hệ thống tự trị không dùng BGP. Lúc này, lưu lượng
BGP không khởi tạo bên trong AS và không được dùng cho nút nào trong AS. BGP
phải tương tác với giao thức định tuyến trong miền để truyền tải được lưu lượng BGP
qua AS đó.
b. Các kiểu bản tin BGP

Trong RFC 4271 định nghĩa bốn kiểu bản tin BGP: bản tin open, bản tin cập
nhật, bản tin thông báo, và bản tin keep-alive.
Bản tin open mở một phiên liên lạc BGP giữa các đầu cuối và là bản tin đầu
tiên được gửi bởi mỗi bên sau khi thiết lập kết nối giao thức truyền tải. Các bản tin
này được xác nhận bằng cách thiết bị đầu cuối gửi lại bản tin keep-alive và phải được
xác nhận trước khi các cập nhật, các thông báo và các keep-alive có thể bị thay đổi.
Bản tin cập nhật được dùng để cung cấp các cập nhật định tuyến đến các hệ
thống BGP khác, cho phép các bộ định tuyến xây dựng lược đồ topo mạng. Các cập
nhật được gửi đi bằng cách dùng TCP để đảm bảo phân phối tin cậy. Các bản tin này
có thể bỏ đi một hoặc vài các tuyến không khả thi trong bảng định tuyến và có thể
đồng thời quảng bá một tuyến trong khi loại bỏ các tuyến khác.
Bản tin thông báo được gửi đi khi phát hiện xảy ra lỗi. Các thông báo được
dùng để kết thúc phiên đang hoạt động và cho biết các bộ định tuyến nào đã được kết
nối và tại sao phiên bị đóng.
Bản tin keep-alive thông báo cho các đầu cuối BGP rằng một thiết bị đang
hoạt động.
c. Khuôn dạng BGP

16 (byte) 2 (byte) 1(byte)

Marker Length Type Data
Hình 3.2 : Khuôn dạng tiêu đề BGP
Khuôn dạng tiêu đề: Tất cả các kiểu bản tin BGP đều dùng tiêu đề gói chung
như hình 3.2.
Các trường của tiêu đề gói BGP như sau :
 Marker: chứa một giá trị nhận thực mà nơi nhận bản tin có thể đoán
được.
 Length: chỉ thị chiều dài tổng cộng của bản tin tính theo byte.
 Type: chỉ thị kiểu bản tin là open, cập nhật, thông báo hay keep-alive.
 Data: thông tin lớp trên được đặt trong trường tuỳ chọn này, có độ dài
biến đổi.
Mỗi bản tin bao gồm tiêu đề BGP và thêm các trường thêm vào. Để trao đổi
thông tin ràng buộc nhãn MPLS, BGP dùng bản tin cập nhật. Khuôn dạng các trường
thêm vào sau tiêu đề BGP trong bản tin cập nhật như sau:
2 (byte) 2 (byte)
Unfeasible Withdraw Total Path Path Attributes Network Layer
Routes Length Routes Attribute Reachability
Length Information
Hình 3.3 : Khuôn dạng bản tin cập nhật BGP
Ý nghĩa của các trường như sau:

 Unfeasible Routes Length: chỉ thị độ dài tổng cộng của trường
Withdraw Routes hoặc chỉ thị rằng trường này không có mặt trong bản
tin này.
 Withdraw Routes: gồm một danh sách các tiền tố địa chỉ IP cho các
tuyến bị thu hồi (trường này có độ dài biến đổi).
 Total Path Attribute Length: chỉ thị độ dài tổng cộng của trường Path
Attribute hoặc chỉ thị rằng trường này không có mặt trong bản tin này.

 Các thuộc tính đường dẫn (Path Attributes): có độ dài biến đổi, mô tả
đặc điểm của đường dẫn quảng bá. Gồm các thuộc tính sau:
 Origin: thuộc tính bắt buộc, định nghĩa thông tin đường dẫn ban
đầu.
 AS Path: thuộc tính bắt buộc, gồm thứ tự các đoạn đường dẫn hệ
thống tự trị.
 Next Hop: thuộc tính bắt buộc, định nghĩa địa chỉ IP của bộ định
tuyến biên nên được dùng làm next-hop tới đích đã được liệt kê
trong trường thông tin định tuyến lớp mạng.
 Mult Exit Disc: thuộc tính tuỳ chọn, dùng để phân biệt giữa các
điểm ra tới hệ thống tự trị neighbor.
 Local Pref: thuộc tính tuỳ chọn, được dùng để chỉ thị độ ưu tiên
của tuyến được quảng bá.
 AToMic Aggregate: Thuộc tính tuỳ chọn, biểu diễn thông tin về
sự lựa chọn tuyến.
 Aggregator: Thuộc tính tuỳ chọn, chứa thông tin về tập các
tuyến.
 Network Layer Reachability Information: Chứa một danh sách các
tiền tố địa chỉ IP của các tuyến được quảng bá.
3.1.3 Phương pháp gửi nhãn MPLS

Khi BGP phân phối một tuyến, nó cũng có thể phân phối một nhãn MPLS
được ràng buộc với tuyến đó. Thông tin ràng buộc nhãn MPLS cho tuyến này được
mang trong bản tin cập nhật BGP vì bản tin này chứa các thông tin về tuyến. Nếu
next hop không bị thay đổi thì nhãn này sẽ được lưu lại.
Các bộ định tuyến BGP quảng bá với nhau sau khi chúng gửi các nhãn MPLS
trên các tuyến. Nếu các bộ định tuyến đàm phán thành công về việc gửi các nhãn
MPLS, các bộ định tuyến sẽ thêm các nhãn MPLS vào tất cả các cập nhật BGP ra
ngoài.
Khi tất cả các bộ định tuyến được cấu hình để phân phối tuyến với nhãn
MPLS, tất cả các tuyến sẽ được mã hoá với các mở rộng đa giao thức và chứa nhãn
MPLS. Ta có thể dùng lược đồ tuyến để điều khiển sự phân phối nhãn MPLS giữa
các bộ định tuyến, cụ thể như sau:

 Với bộ định tuyến phân phối nhãn MPLS, ta có thể chỉ định tuyến nào
có nhãn MPLS được phép phân phối.
 Với bộ định tuyến nhận nhãn MPLS, ta có thể chỉ định tuyến nào được
chấp nhận và được cài đặt trong bảng BGP.
Ưu điểm của việc dùng BGP để phân phối các tuyến Ipv4 và các tuyến nhãn
MPLS :
 Có các bộ ánh xạ tuyến chứa các tuyến VPNv4 nên khả năng mở rộng
cao hơn: Cấu hình này có quy mô lớn hơn cấu hình dùng ASBR để giữ
tất cả các tuyến VPNv4, và chuyển tiếp dựa trên các nhãn VPNv4. Với
cấu hình này, các bộ ánh xạ tuyến giữ các tuyến VPNv4 mà các bộ ánh
xạ này rất dễ dàng cấu hình ở biên mạng.
 Có thể truyền tải cả các tuyến Ipv4 với các nhãn MPLS trên mạng SP
không có dịch vụ MPLS VPN.
 Hạn chế sự cần thiết phải dùng giao thức định tuyến khác giữa các LSR
kế cận.
Hạn chế của việc dùng BGP để phân phối các tuyến Ipv4 và các tuyến quảng
bá nhãn MPLS:
 Trong các mạng được cấu hình với EBGP multihop thì phải thiết lập
LSP giữa các bộ định tuyến không liền kề.
 Không hỗ trợ nhiều tuyến đến một đích xác định.
 Không hỗ trợ eiBGP multipath.
3.1.4 BGP với VPN

Ta có thể cấu hình mạng VPN SP như sau:
 Các bộ ánh xạ tuyến trao đổi các tuyến VPNv4, bằng cách dùng
multihop, multiprotocol EBGP. Cấu hình này cũng lưu giữ thông tin
next hop và các nhãn VPN đi qua các AS.
 Một bộ định tuyến PE cục bộ cần biết thông tin về các tuyến và nhãn
của bộ định tuyến PE đầu xa. Thông tin này có thể trao đổi giữa các bộ
định tuyến PE và ASBR theo một trong hai cách sau:
 IGP và LDP: ASBR có thể phân phối lại các nhãn MPLS và các
tuyến Ipv4 mà nó học được từ EBGP vào IGP và LDP.

 Phân phối nhãn IBGP Ipv4: ASBR và bộ định tuyến PE có thể

sử dụng trực tiếp các phiên IBGP để trao đổi các nhãn MPLS,
các tuyến Ipv4 và VPNv4. Ngoài ra, bộ ánh xạ tuyến có thể phản
hồi các nhãn MPLS và các tuyến Ipv4 đã học được từ ASBR tới
các bộ định tuyến PE trong VPN. Điều này được thực hiện bằng
cách ASBR trao đổi nhãn MPLS và tuyến Ipv4 với bộ ánh xạ
tuyến. Các bộ ánh xạ tuyến cũng phản hồi các tuyến Ipv4 tới các
bộ định tuyến PE trong VPN. Ví dụ, trong VPN1, RR1 (Route
Reflector) phản hồi tới PE1 các tuyến VPNv4, các nhãn MPLS
và các tuyến Ipv4 mà nó học được từ ASBR1. Dùng các bộ ánh
xạ tuyến để chứa các tuyến VPNv4 và chuyển tiếp chúng qua các
bộ định tuyến PE và các ASBR đạt được cấu hình quy mô lớn.
 Các ASBR trao đổi các tuyến Ipv4 và nhãn MPLS với các bộ định
tuyến PE, dùng EBGP.
3.2 Bảng định tuyến và chuyển tiếp VRF

BGP/MPLS VPN thuộc mô hình đầu cuối, nhưng không như các mô hình đầu
cuối khác, thông tin định tuyến giữa các khách hàng khác nhau được đặt trong các
bảng định tuyến và chuyển tiếp hoàn toàn tách biệt với nhau, các bảng này được gọi
là VRF.
Mỗi bộ định tuyến PE duy trì một số bảng chuyển tiếp riêng biệt. Một trong số
này là bảng chuyển tiếp mặc định. Các bảng chuyển tiếp còn lại gọi là bảng định
tuyến và chuyển tiếp VPN (VRF).
3.2.1 VRF và các kênh liên kết

Mỗi một kênh liên kết với PE/CE được kết hợp với một hoặc nhiều VRF. Các
kênh này được gọi là các kênh liên kết VRF.
Thông thường, mỗi kênh liên kết PE/CE chỉ kết hợp với một VRF duy nhất.
Khi gói IP được nhận trên một kênh liên kết xác định, địa chỉ IP đích của nó được tìm
kiếm trong VRF kết hợp với kênh đó. Kết quả tìm kiếm quyết định gói sẽ được định
tuyến như thế nào. VRF được dùng bởi PE đầu vào của gói để định tuyến gói thì gọi
là VRF đầu vào, tương tự như vậy ta có VRF đầu ra trên PE đầu ra của gói.
Nếu một gói IP được nhận trên một kênh liên kết mà không kết hợp với bất kỳ
VRF nào, địa chỉ đích của gói sẽ được tìm kiếm trong bảng chuyển tiếp mặc định, và

gói được định tuyến theo đó. Các gói được chuyển tiếp theo bảng mặc định là các gói
đến từ các bộ định tuyến P hoặc PE kế cận, hoặc đến từ các kênh liên kết giao diện
khách hàng mà không kết hợp với các VRF.
Nhờ tách biệt các tuyến giữa các VRF và giữa VRF với bảng chuyển tiếp mặc
định nên các điểm ở các VPN khác nhau cũng như các điểmVPN và điểm không
VPN không liên lạc được với nhau.
Nếu có nhiều kênh liên kết từ điểm S đến một hoặc nhiều bộ định tuyến PE,
thì có thể dùng nhiều VRF để định tuyến lưu lượng đến hoặc đi từ S. Một kênh liên
kết đơn có thể được kết hợp với nhiều VRF chứ không chỉ riêng VRF nào. Điều này
rất hữu ích khi dùng một VRF cho vài VPN con, lúc này một số đặc điểm của gói dữ
liệu của khách hàng sẽ được dùng để chọn VPN con của nó. Để đơn giản, ta quy ước
một kênh liên kết chỉ được kết hợp với một VRF đơn.
3.2.2 Kết hợp các gói IP với VRF

Khi một bộ định tuyến PE nhận được một gói từ thiết bị CE, PE cần biết kênh
liên kết mà gói đã đến để quyết định VRF dùng để chuyển tiếp gói đó. Thông thường
để biết được kênh liên kết của gói, bộ định tuyến PE thường dựa vào giao diện vật lý
mà gói đến, hoặc tiêu đề lớp 2 của gói. Ví dụ, nếu một kênh liên kết đầu vào của gói
là FR VC, thì nhận dạng kênh bằng giao diện vật lý FR mà gói đã đến cùng với
trường DLCI trong tiêu đề FR của gói.
Mặc dù khách hàng có thể viết trường tiêu đề lớp 2 của gói để đánh lừa SP
kênh liên kết của gói nhưng như trong ví dụ trên, trường DLCI trong tiêu đề FR
không cho phép khách hàng tự do thiết lập mà phải là một tập giá trị do SP chỉ định,
nếu không thì bộ định tuyến PE sẽ không nhận gói đó.

Interface: if_11 Interface: if_21 Site 4

RD=RD_1 RD=RD_4 Red VPN
Export Target=Red Export Target=Red 10.2/16
Site 1
Emport Target=Red Emport Target=Red CE4
Red VPN
10.1/16 Interface: if_12
CE1 If_21
RD=RD_2
Export Target=Blue
VRF Site 5
Emport Target=Blue Blue VPN &
If_22 CE5 Green VPN
PE2
If_2a VRF
10.4/16
If_11
P
Site 2 If_2b Interface: if_22

P
Blue VPN VRF RD=RD_5
CE2 If_12 If_1a
10.5/16 Export Target=Blue Green
VRF P
PE1 Emport Target=Blue Green
If_1b Site 6
VRF P
CE6 Green VPN
If_3a 10.2/16
If_13
If_3b
If_32
Interface: if_13 PE3
CE3 VRF VRF
Site 3 RD=RD_3
Green VPN Export Target=Green If_33
10.1/16 Emport Target=Green If_31
CE7 Site 7
CE8 Green VPN
Site 8 10.3/16
Red VPN
10.3/16
Interface: if_31 Interface: if_32,if_33

RD=RD_8 RD=RD_87
Export Target=Red Export Target=Green
Emport Target=Red Emport Target=Green
Hình 3. 4 : Khuôn dạng bản tin cập nhật BGP
Trong một số trường hợp, mỗi điểm xác định có thể được khách hàng chia
thành vài điểm ảo. SP có thể tạo ra một tập các VRF để chuyển tiếp gói từ điểm đó và
cho phép khách hàng thiết lập các đặc điểm của gói dùng để chọn VRF cho gói đó.
Nếu mỗi điểm ảo được nhận dạng là một VLAN, thì giá trị thẻ VLAN (VLAN tag)
được dùng để nhận dạng VRF cho gói đến từ điểm ảo đó. Cũng có thể dùng địa chỉ IP
nguồn để tìm VRF phù hợp.
Hình 3.4 biểu diễn một mạng nhà cung cấp dịch vụ kết nối với một số điểm đại
diện cho ba VPN (Red, Blue và Green), các VRF được dùng để tách biệt thông tin
định tuyến và chuyển tiếp giữa các khách hàng.
Khách hàng tự quản trị VPN của họ, tự do gán các địa chỉ IP vào các thiết bị
trong mạng. Các địa chỉ này ở trong dải riêng được định nghĩa trong RFC 1918 (nó
có thể không phải là các địa chỉ IP công cộng duy nhất toàn cầu). Vì vậy, các địa chỉ
giống nhau có thể được gán cho các VPN khác nhau. Sự chồng lấn này là có thể xảy
ra với BGP/MPLS VPN.
Trên hình vẽ, điểm 5 là bộ phận của hai VPN: có sự chồng lấn giữa VPN Blue
và Green. Vì vậy CE và VRF tương ứng được tô màu đậm.

Tại một PE, mỗi VRF đại diện cho một VPN được kết nối, một VRF ban đầu
được kết nối tới (được nhận dạng bởi) một hoặc nhiều giao diện con – nơi các điểm
thuộc VPN này được kết nối vào. Trong trường hợp hình 3.4, tất cả VRF chỉ có một
giao diện con trừ giao diện VRF Green tại PE3 có hai giao diện con (các giao diện
của site 6 và 7). Các thông số khác phải được định nghĩa vào thời điểm tạo VRF là
RD và RT cho các chính sách cổng vào và cổng ra; các thông số này được sử dụng
khi phân phối các tuyến VPN thông qua backbone tới các điểm khác. RD tạo khả
năng tránh chồng lấn địa chỉ giữa các VPN trong khi RT giúp phân phối chính xác
các tuyến VPN đến các điểm đầu xa thích hợp.
3.3 Phân phối tuyến VPN thông qua BGP

3.3.1 Họ địa chỉ VPN-Ipv4
Vấn đề phân biệt giữa các tiền tố nhận dạng mạng trong các VPN khác nhau
đã được giải quyết bằng cách thêm vào 8 byte RD cho mỗi tuyến. Một RD chỉ đơn
giản là một số duy nhất cho phép các bộ định tuyến PE phân biệt giữa nhiều tiền tố
nhận dạng mạng. Sau khi gán thêm một RD vào tiền tố mạng Ipv4 ta được tiền tố
mạng VPN-Ipv4. Mỗi tuyến chỉ có thể có duy nhất một RD.
3.3.2 Mã hoá RD
Một RD có 3 trường sau:
Trường Type (2 byte) + Trường Administrator + Trường Assigned Number
Độ dài và ý nghĩa của các trường Administrator và Assigned Number được

quyết định bởi giá trị trong trường Type. Nếu trường Type chứa giá trị 0, trường
Administrator dài 2 byte và mang một ASN, trường Assigned Number là 4 byte có
giá trị duy nhất được SP quy định riêng:
Type (0) + Administrator (2-byte ASN) + Assigned Number (4 byte giá trị duy
nhất)
Nếu trường Type có giá trị là 1, trường Administrator dài 4 byte và chứa một
địa chỉ IP, trường Assigned Number chứa 2 byte giá trị duy nhất được SP quy định
riêng:
Type(1) + Administrator (4-byte địa chỉ IP) + Assigned Number (2-byte giá trị
duy nhất)

Cuối cùng, nếu trường Type có giá trị là 2, trường Administrator dài 4 byte và
chứa một ASN, trường Assigned Number chứa 2 byte giá trị duy nhất được SP quy
định riêng:
Type(1) + Administrator (4-byte ASN) + Assigned Number (2-byte giá trị duy
nhất).
Trong hình 3.5, ta có thể thấy rằng có hai VPN; Red_VPN và Blue_VPN.
Không gian địa chỉ IP trong hai VPN này có sự chồng lấn, tiền tố mạng 10.2.0.0/16
được dùng ở cả Red_VPN site 2 và Blue_VPN site 2.
PE2 quảng bá tiền tố 10.2.0.0/16 của Red_VPN site #2 và tiền tố 10.2.0.0/16

của Blue_VPN site #2 như các địa chỉ VPN_Ipv4 (mỗi tiền tố có gán một RD).
Red_VPN Site#2
Red_VPN Site#1 10.2.0.0/16
Router P
10.1.0.0/16
Router P
CE21
PE2 quảng bá các tuyến
CE11
VPN đến PE1:
0:64512:100:10.2.0.0/16
64512:200:10.2.0.0/16
PE1 PE2
CE12 Router P
Router P
Blue_VPN Site#1
CE22
10.5.0.0/16
Blue_VPN Site#2
10.2.0.0/16
Hình 3.5 : Dùng các RD để phân biệt các tiền tố nhận dạng mạng
Trong ví dụ này, RD 0:64512:100 (Type[0] + Administrator[64512] +

Assigned Number[100]) được gán vào tiền tố Red_VPN Ipv4 10.2.0.0/16, tạo thành
địa chỉ 0:64512:100:10.2.0.0/16. RD 0:64512:200 (Type[0] + Administrator[64512] +
Assigned Number[200]) được gán vào tiền tố Blue_VPN Ipv4 10.2.0.0/16, tạo thành
địa chỉ 0:64512:200:10.2.0.0/16.
Khi PE1 nhận được hai địa chỉ VPN-Ipv4, nó biết là hai địa chỉ khác nhau vì
có các RD khác nhau (0:64512:100 và 0:64512:200).

3.3.3 Điều khiển phân phối tuyến VPN
a. Thuộc tính RT
Các bộ định tuyến PE dùng RD để phân biệt các tiền tố nhận dạng mạng.
Nhưng để các tuyến VPN quảng bá trong BGP được cài đặt chính xác vào đúng VRF
trên bộ định tuyến PE nhận được các tuyến này thì phải dựa trên một thuộc tính giao
tiếp BGP mở rộng được gọi là RT. Một hoặc vài RT được gắn với tuyến VPN-Ipv4
trước khi một bộ định tuyến PE quảng bá tuyến VPN-Ipv4 này đến bộ định tuyến PE
khác.
Giao tiếp BGP mở rộng gồm 8 byte và khuôn dạng của nó như sau:
Trường Type + Trường Value
Khi giao tiếp mở rộng là một RT, trường Type gồm 2 byte và chia thành byte
mức cao và byte mức thấp, byte thấp có giá trị 0x02.
Trường Value có 6 byte khi giao tiếp mở rộng là một RT và được chia làm hai
trường con là Global Administrator và Local Administrator:
Trường Value: Global Administrator + Local Administrator
Khi byte mức cao trường Type trong một RT là 0x00 hay 0x02, trường con
Global Administrator chứa một ASN, và trường con Local Administrator chứa giá trị
được định nghĩa cục bộ.
Khi byte mức cao trường Type trong một RT là 0x01, trường con Global
Administrator chứa một địa chỉ IP, và trường con Local Administrator chứa giá trị
được định nghĩa cục bộ.
Như hình 3.6 cho thấy, PE1 quảng bá các tuyến VPN-Ipv4 10.1.0.0/16 với
Export RT 64512:100 và 10.5.0.0/16 với Export RT 64512:200 đến PE2. Các Export
RT là các RT mà được gán với các tuyến trước khi các tuyến này được quảng bá bởi
một bộ định tuyến PE đến các bộ định tuyến PE khác. Các RT trong ví dụ này có
khuôn dạng ASN:xx (Global Administrator : Local Administrator).
Khi PE2 nhận được các tuyến VPN-Ipv4 từ PE1, và kiểm tra RT gán với mỗi
tuyến, với điều kiện là RT gán vào mỗi tuyến phải phù hợp với RT kết hợp với một
VRF, nó sẽ cài đặt tuyến vào trong VRF. RT được kết hợp với VRF cho mục đích cài
đặt tuyến VPN-Ipv4 được gọi là Import RT.


VPN đến PE1:
VRF Red_VPN 10.2.0.0/16 RT 64512:100 VRF Red_VPN
(RD 0:64512:100) 10.6.0.0/16 RT 64512:200 (RD 0:64512:100)
Import RT Import RT Red_VPN Site#2
Red_VPN Site#1 10.2.0.0/16
64512:100 64512:100
10.1.0.0/16
Export RT Export RT
64512:100 64512:100
Router P Router P
CE21
CE11 Quảng bá các tuyến VPN
bằng (MP) VPN
PE1 PE2
CE12 VRF Blue_VPN Router P VRF Blue_VPN

(RD 0:64512:200) Router P (RD 0:64512:200)
Blue_VPN Site#1
10.5.0.0/16
Import RT Import RT CE22
64512:200 64512:200
Export RT Export RT
VPN đến PE2: Blue_VPN Site#2
64512:200 64512:200 10.6.0.0/16
10.1.0.0/16 RT 64512:100
10.5.0.0/16 RT 64512:200
Hình 3.6 : Cài đặt các tuyến VPN vào các VRF dựa trên các RT
Như vậy, vì tuyến 10.1.0.0/16 có RT 64512:100 gắn với nó, và Import RT

64512:100 được kết hợp với Red_VPN VRF trên PE2, nên tuyến 10.1.0.0/16 sẽ được
cài đặt vào VRF đó. Tuy nhiên tuyến 10.1.0.0/16 không đượccài đặt vào Blue_VPN
VRF bởi vì RT gắn với tuyến (64512:100) không phải là Import RT kết hợp với
Blue_VPN VRF.
Tương tự, vì tuyến 10.5.0.0/16 có RT 64512:200 gắn với nó nên được cài đặt
vào Blue_VPN VRF. Bởi vì Blue_VPN VRF có Import RT là 64512:200 kết hợp với
nó. Tuy nhiên tuyến này không đượccài đặt vào Red_VPN VRF bởi vì Red_VPN
VRF không có RT 64512:200 kết hợp với nó.
PE2 quảng bá VPN-Ipv4 10.2.0.0/16 với RT 64512:100 và 10.6.0.0/16 với RT

64512:200 đến PE1.
Tuyến 10.2.0.0/16 được cài đặt vào Red_VPN VRF trên PE1 bởi vì RT gắn
với nó (64512:100) giống với Import RT kết hợp với Red_VPN VRF. Tuyến
10.6.0.0/16 được cài đặt vào Blue_VPN VRF trên PE1 bởi vì RT gắn với nó
(64512:200) giống với Import RT kết hợp với Blue_VPN VRF.
Ta có thể thấy rằng các RT (64512:100 và 64512:200) trong hình 3.6 giống
với các RD được dùng trong hình 3.5 (0:64512:100 và 0:64512:200). Cấu hình RD và
RT kết hợp cho tập các VRF riêng để tạo thành một VPN dạng lưới đầy đủ (với kết
nối any-to-any) giống như nhau là nhằm mục đích thống nhất. Thực tế, không hề có

yêu cầu nào bắt buộc chúng phải giống nhau hoàn toàn, mà phụ thuộc vào cấu hình
của mỗi VPN.
b. BGP phân phối tuyến giữa các bộ định tuyến PE

Nếu hai điểm của một VPN kết nối với các PE ở cùng một AS thì các PE có
thể phân phối các tuyến VPN-Ipv4 với nhau bằng iBGP. Ngoài ra, mỗi PE có thể có
một kết nối iBGP tới một bộ ánh xạ tuyến (BGP-RR).
Khi một bộ định tuyến PE phân phối một tuyến thông qua BGP, PE sẽ dùng
địa chỉ của chính nó làm “BGP next hop”. Địa chỉ này được mã hoá thành địa chỉ
VPN-Ipv4 với RD bằng 0, bởi vì BGP-MP yêu cầu địa chỉ next hop phải thuộc họ địa
chỉ trong NLRI. PE cũng gán và phân phối nhãn MPLS. Khi PE nhận được gói, nhãn
này sẽ ở trên đỉnh của ngăn xếp, và PE đẩy nhãn này khỏi ngăn xếp và xử lý gói.
PE có thể phân phối nhiều tuyến trong một VRF, hay cũng có thể thực hiện tập
hợp các tuyến lại để phân phối.
Ví dụ một PE gán nhãn L cho tuyến R, và phân phối ràng buộc nhãn này thông
qua BGP. Nếu R là nhãn kết hợp của một tập các tuyến trong VRF, các gói nhận
được có nhãn này sẽ được PE tìm địa chỉ đích của chúng trong cùng một VRF. Khi
PE tìm nhãn trong LIB, nó sẽ biết dùng VRF nào. Còn nếu R không phải là tổ hợp
tuyến thì khi PE tìm nhãn, nó sẽ biết kênh liên kết đầu ra, cũng như tiêu đề cho gói
(nghĩa là không cần phải tìm kiếm trong một VRF nào).
PE có thể dùng một số thuật toán sau để quyết định rằng hai tuyến có được gán
cùng một nhãn hay không:
 PE có thể chọn một nhãn cho mỗi VRF, như vậy, nhãn này sẽ chung
cho tất cả các tuyến đi từ VRF đó. Sau đó, khi PE đầu ra nhận được gói
với nhãn này, nó phải tìm kiếm địa chỉ đích trong VRF đó (VRF ra của
gói), để quyết định kênh liên kết đầu ra của gói và đóng gói lớp 2 tương
ứng.
 PE có thể chọn một nhãn cho mỗi kênh liên kết. Theo cách này, mỗi
nhãn sẽ chung cho tất cả các tuyến có cùng kênh liên kết đầu ra.
 PE có thể chọn một nhãn riêng cho mỗi tuyến.

3.4 Nguyên lý hoạt động BGP/MPLS VPN

Với các điểm VPN được kết nối và vận hành, có hai điều kiện tiên quyết phải
được thực hiện vào thời điểm cấu hình mạng SP: (1) thiết lập các phiên iBGP giữa
các PE và (2) thiết lập các đường chuyển mạch nhãn MPLS giữa các PE. Hai điều
kiện này tóm lược các kỹ thuật cơ sở được sử dụng bởi BGP/MPLS VPN:
 Trong mặt phẳng điều khiển: sử dụng BGP để phân phối các tuyến
VPN qua backbone SP.
 Trong mặt phẳng dữ liệu: sử dụng MPLS để tự chuyển tiếp lưu lượng
IP của nó, chính xác hơn là truyền tải dữ liệu VPN qua backbone SP.
3.4.1 Mặt phẳng điều khiển

Quá trình phân phối tuyến VPN được chỉ ra trong các giai đoạn : (1) từ CE đến
PE, (2) từ PE tới PE, và (3) từ PE tới CE. Ở ví dụ này chỉ đưa ra một số mô phỏng đại
diện cho tất cả các điểm, nhưng thực tế quá trình này xảy ra cả khi một điểm được kết
nối vào hoặc loại bỏ (hoạt động thêm và bớt liên kết) hoặc cả khi một số tuyến được
thêm vào, được chỉnh sửa hoặc được loại bỏ tại một điểm.
Từ CE tới PE
Site 4
Red VPN
10.2/16
Site 1 10.1/16 if_11 1001 10.2/16 if_21 2001 CE4
Red VPN
10.1/16
CE1
If_21
Site 5
Blue VPN &
PE2 CE5 Green VPN
10.6/16 if_12 1002 If_22 10.4/16
If_11
10.4/16 if_22 2002
Site 2
Blue VPN
10.5/16 CE2 If_12
PE1
Site 6
CE6 Green VPN
10.2/16
If_13
If_32
PE3
CE3 10.1/16 if_13 1003
Site 3
If_33
Green VPN
10.1/16 If_31
CE7 Site 7
Nhãn VRF Green VPN
CE8
Site 8 10.3/16
Red VPN
10.3/16
10.3/16 if_31 3001 10.2/16 if_32 3002

10.3/16 if_33 3003
Hình 3.7 : Phân phối tuyến từ CE tới PE

Từ phía khách hàng, quá trình định tuyến xuất hiện thường xuyên. Khi được
sự đồng ý của SP là các điểm nào sẽ là bộ phận của VPN và cấu hình logic của VPN
có thể thành lập cấu hình dạng lưới đầy đủ theo mặc định hay cũng có thể tạo cấu
hình lưới dạng một phần theo cách cấu hình của khách hàng. Các giao thức định
tuyến có thể là các giao thức định tuyến nội (RIP, OSPF) hoặc BGP. Cũng có thể
không sử dụng bất kỳ giao thức định tuyến nào mà chỉ cấu hình định tuyến tĩnh tại
mỗi site. Để làm rõ, chúng ta giả định rằng phần còn lại trong đồ án toàn sử dụng
định tuyến động.
Khi PE nhận được các tuyến trên giao diện con VRF, nó chứa chúng trong
VRF tương ứng. Các tuyến cục bộ này có khuôn dạng IP truyền thống. Trong VRF,
chúng được kết hợp với giao diện con VRF và được gán một giá trị nhãn. Nhãn này
được gọi là nhãn VPN (hay nhãn nội, nhãn đáy – cho biết sự vận chuyển của nó bên
trong LSP). Giá trị nhãn VPN chỉ có ý nghĩa cục bộ đối với PE. PE nhận dạng giao
diện con VRF bằng những gì mà PE đã học được về tuyến này. Vì vậy, các tuyến trên
cùng một giao diện con VRF sẽ có cùng một giá trị nhãn. Điều này giúp PE lựa chọn
được giao diện con phù hợp khi lưu lượng hướng đến một trong các bộ định tuyến CE
này.
Khi cả hai điểm hoặc hơn hai điểm được kết nối đến cùng một PE đều thuộc
một VPN, chúng thêm kết nối trực tiếp thông qua VRF chung. Điều này được minh
hoạ trên hình 3.7 với điểm 6 và 7. Trong hình này, kích thước của VRF là theo số
lượng các tuyến thực sự chứa trong nó. Trong hình, các tuyến cục bộ trong VRF được
biểu diễn bằng hình gạch chéo hoặc chấm nhỏ tương ứng với mỗi VPN. Các nhãn và
các giao diện VRF được đánh số rõ ràng với số thứ nhất tương ứng với số PE (Giao
diện 3-1 và nhãn VPN 3001 cho CE8 được kết nối tới PE3).
Từ PE tới PE
Khi PE đã học được các tuyến cục bộ từ các CE của nó, nó sẽ quảng bá chúng
thông qua BGP đến các PE khác, theo RD và Export RT đã được định nghĩa tại thời
điểm tạo VRF (hình 3.4). Ban đầu, các tuyến VPN chưa được chuyển qua BGP (vì
chồng lấn địa chỉ IP có thể xuất hiện thường xuyên giữa các VPN). Vì vậy, các tuyến
được gán 8 byte RD và trước, thường bao gồm số AS của SP cùng với số nhận dạng
VPN. Bên cạnh đó, nhãn VPN được gán vào cho cho mỗi tuyến cục bộ cũng phải
được vận chuyển theo các tuyến này. Điều này giải thích tại sao chúng ta quy định
khuôn dạng của các tuyến VPN khi quảng bá trên backbone như các tuyến được đánh
nhãn VPN-Ipv4. Các tuyến VPN cũng được thêm vào một hoặc nhiều RT của chúng

như các thuộc tính giao tiếp BGP mở rộng. Cuối cùng giá trị thuộc tính BGP next-
hop chính là địa chỉ loopback PE (quảng bá).
Nhãn LSP
Site 4
Red VPN
10.2/16
Site 1 10.3/16 if_1b,11+ 3001 10.3/16 if_2b, 21+3001 CE4
Red VPN
10.1/16
CE1
Site 5
If_22 Blue VPN &
Cập nhật PE2 CE5 Green VPN
iBGP 10.4/16
Cập nhật
iBGP If_2b
Site 2 10.2/16 if_2b, 22+ 3002
Blue VPN VPN-Ipv4 Nhãn NH RT 10.3/16 if_2b, 22+3003
10.5/16 CE2
Rd_8:10.3/16 3001 PE3 Red
PE1 Rd_67:10.2/16 3002 PE3 Green
Rd_67:10.3/16 3003 PE3 Green Site 6
CE6 Green VPN
If_3a 10.2/16
10.2/16 if_1b, 13+3002 PE3

CE3
Site 3 10.3/16 if_1b, 13+3003
Green VPN
10.1/16 If_31
CE7 Site 7
CE8 Green VPN
Site 8 10.3/16
Red VPN
10.3/16
Hình 3.8 : Phân phối tuyến giữa các PE
Trong hình 3.8, phân phối tuyến VPN từ PE3 đến các PE khác. PE3 xuất các
tuyến cục bộ của hai VRF của nó theo RD và RT Export của mỗi VRF. Khi PE1 và
PE2 nhận các cập nhật BGP này, chúng sẽ lọc các tuyến VPN được đánh nhãn theo
chính sách cổng vào của mỗi VRF của chúng, trước khi hoàn thành các VRF này với
các tuyến VPN thích hợp.
Trong hình 3.8, các tuyến xa trong các VRF Red và Green tại PE1, cũng như
trong các VRF Red và Blue, Green tại PE2, được biểu diễn với màu đậm. Chúng
được chứa trong các VRF như các tuyến Ipv4 (RD đã được bỏ đi) theo giao diện và
ngăn xếp nhãn phù hợp (nơi nhãn ngoài cùng nhất đại diện cho nhãn đầu vào LSP
giúp PE này hướng tới PE đầu ra – như được đề cập trong thông số BGP next hop –
trong khi nhãn bên trong là nhãn VPN vừa được nhận với tuyến VPN này.
Khi tất cả các tuyến VPN được phân phối qua backbone SP, tất cả các VRF ở
tất cả các PE bao gồm cả các tuyến cục bộ cũng như các tuyến đầu xa, như chỉ ra
trong hình 3.9.
Từ PE đến CE

Site 4
Red VPN
10.2/16
Site 1
10.1/16 CE4
Red VPN
10.1/16 10.3/16
CE1 10.2/16
10.3/16 If_21
Site 5
If_22 Blue VPN &
PE2 CE5 Green VPN
10.4/16
If_11
Site 2 10.1/16
Blue VPN 10.2/16
10.5/16 CE2 If_12
10.3/16
PE1 10.5/16
10.4/16 Site 6
CE6 Green VPN
10.2/16
If_13
If_32
10.2/16 PE3 10.1/16
CE3 10.3/16
Site 3 10.4/16
10.4/16 If_33
Green VPN
10.1/16 If_31
10.1/16 CE7 Site 7
CE8 Green VPN
10.1/16 10.4/16 10.3/16
Site 8
10.2/16
Red VPN
10.3/16
Hình 3.9 : Phân phối tuyến từ PE tới CE
Khi một VRF tại một PE được cập nhật với tuyến đầu xa, nó quảng bá tuyến
này với các CE liên kết với nó mà có quan hệ với VRF này. Như chỉ ra trong hình
3.9, sau đó có kết nối IP hoàn toàn giữa các điểm thuộc về cùng VPN. Ví dụ, site 1 đã
học qua PE đầu cuối của nó về các tuyến từ site 4 và site 8. Tương tự, site 5 chung
cho VPN Blue và Green, đã học các tuyến từ site 2 (Blue) đầu xa cũng như các site
đầu xa 3, 6 và 7 (Green).
Sau đây là tổng kết về các bảng (logic) cuối cùng, phù hợp tại mỗi VRF:
 Các tuyến đầu xa được biểu diễn đậm và tô màu xám.

 Không có nhãn ngoài cho các tuyến cục bộ.
Bảng 3.1 : VRF tại PE1

Giao Nhã Nhãn

PE1 Tuyến diện n trong
ra ngoài
VRF 10.1/16 If_11 1001
Red 10.2/16 If_1a 12 2001
10.3/16 If_1b 13 3001
VRF 10.5/16 If_12 1002
Blue 10.4/16 If_1a 12 2002
VRF 10.1/16 If_13 1003
Green 10.2/16 If_1b 13 3002
10.3/16 If_1b 13 3003
10.4/16 If_1a 12 2002
Giao Nhã Nhãn

ra ngoài
VRF 10.2/16 If_21 2001
Red 10.1/16 If_2a 21 1001
10.3/16 If_2b 23 3001
VRF 10.4/16 If_22 2002
Brown 10.1/16 If_2a 21 1003
10.2/16 If_2b 23 3002
10.3/16 If_2b 23 3003
10.5/16 If_2a 21 1002
Giao Nhã Nhãn

ra ngoài
VRF 10.3/16 If_31 3001
Red 10.1/16 If_3b 31 1001
10.2/16 If_3a 32 2001
VRF 10.2/16 If_32 3002
Green 10.3/16 If_33 3003
10.1/16 If_3b 31 1003
10.4/16 If_3a 31 2002
3.4.2 Mặt phẳng dữ liệu
Việc phân phối trên mặt phẳng điều khiển giúp xây dựng các VRF và vì vậy
chuẩn bị cho việc truyền tải lưu lượng IP giữa các điểm.

MP-iBGP
LSP 21 PE2
29
P 3 23
3
P 19
3
MP-iBGP
12 P
PE1 3
13 3 LSP
P
LSP 32
31
PE3
MP-iBGP
Hình 3.10 : Các phiên tái thiêt lập iBGP giữa các PE và các LSP
BGP đa giao thức phải được sử dụng cho các phiên giữa các PE. MP-BGP
được dùng vì nó giúp bộ định tuyến vận chuyển các tuyến khác tuyến Ipv4 cơ bản,
ngoài 4 byte chúng được gán các RD vào trước, và vì vậy dài 12 byte . Thay vì một
lưới đầy đủ các phiên iBGP PE-to-PE, có thể dùng bộ ánh xạ tuyến để tăng khả năng
mở rộng.
Các MPLS LSP là đơn hướng và vì vậy phải thiết lập một đôi LSP giữa các PE
(vì mục đích QoS, có thể thiết lập vài đôi LSP với ưu tiên hàng đợi khác nhau). Theo
khía cạnh truyền tải dữ liệu, con số được đặt ở phía vào LSP trong hình là đại diện
cho nhãn ngoài. Các nhãn được biểu diễn tại mặt ngoài của bộ định tuyến P đại diện
cho các nhãn trao đổi (ví dụ 19 và 29 giữa PE1 và PE2). Các nhãn đánh số 3 đại diện
cho một giá trị nhãn đặc biệt chỉ thị rằng bộ định tuyến P này là chặng áp chót của
đường chuyển mạch nhãn.
Các LSP được thiết lập bằng cách sử dụng LDP hoặc RSVP.
Hình 3.11 minh hoạ hai quá trình truyền tải dữ liệu mô phỏng: (1) từ một host
tại site 1 tới máy chủ tại site 4 (với địa chỉ IP: 10.2.4.2) và (2) từ một host tại site 3
tới máy chủ khác tại site 5 (với địa chỉ IP: 10.4.1.8).

12 19 2001 Site 4
2001 2001 10.2.4.2 Red VPN
10.2.4.2 10.2.4.2 Payload 10.2/16
Site 1
Payload Payload CE4
Red VPN
10.1/16 2002
CE1 19 10.4.1.8 10.2.4.2
10.2.4.2 12 2002 Payload Payload
Payload 2002 10.4.1.8 VRF Site 5
10.4.1.8 Payload Blue VPN &
PE2 If_22 CE5 Green VPN
Payload VRF
10.4/16
P
10.4.1.8
Site 2 P Payload
Blue VPN VRF
10.5/16 CE2
VRF P
PE1
VRF P Site 6
CE6 Green VPN
10.2/16
10.4.1.8
Payload PE3
CE3 VRF VRF
Site 3
Green VPN
10.1/16
CE7 Site 7
CE8 Green VPN
Site 8 10.3/16
Red VPN
10.3/16
Hình 3.11 : Chuyển tiếp qua backbone
Khi một gói IP với địa chỉ đích 10.2.4.2 được nhận bởi PE1 từ CE1, VRF Red
được hỏi dò và lối vào tương ứng với tuyến 10.2/16 chỉ thị nếu: 1a là giao diện đầu
ra, 12 + 2001 là ngăn xếp nhãn, cùng với tiêu đề liên kết dữ liệu (không được chỉ ra
trong hình). Ngăn xếp nhãn được chèn vào trước gói IP, tiêu đề liên kết dữ liệu được
chèn vào trước ngăn xếp nhãn và cuối cùng frame được xếp hàng trên giao diện đầu
ra. Tương tự, khi gói IP với địa chỉ đích 10.4.1.8 được nhận bởi PE1 từ CE3, VRF
Green được hỏi dò và lối ra tương ứng với tuyến 10.4/16 chỉ thị nếu: 1a là giao diện
cổng ra, 12 + 2002 là ngăn xếp nhãn, cùng một tiêu đề liên kết dữ liệu (không được
biểu diễn trong hình). Ngăn xếp nhãn được chèn vào trước tiêu đề IP, tiêu đề liên kết
dữ liệu được chèn vào trước ngăn xếp nhãn và cuối cùng frame được xếp hàng tại
giao diện cổng ra.
Hai frame được gửi trên đường ra LSP (giao diện đầu ra của PE1 nếu là 1a);
tại bộ định tuyến Px, các nhãn trên đỉnh được tráo đổi (19 thay thế 12) và các gói
được gán nhãn sẽ được chuyển tới Py là chặng áp chót của LSP. Sau đó, các nhãn
ngoài được đẩy ra, và các gói được gửi đến PE2 chỉ với nhãn bên trong ở đằng trước.
Tại PE2 đầu ra, giao diện con VRF phù hợp sẽ được lấy ra từ nhãn VPN và gói Ipv4

ban đầu cuối cùng sẽ được chuyển tiếp tới CE giúp gói hướng tới máy chủ bên trong
site.
3.5 Các topo BGP/MPLS VPN

3.5.1 Thực hiện phân phối tuyến cho các topo VPN
Các topo VPN gồm:
 Dạng lưới đầy đủ: Topo này cung cấp đến mọi điểm trong VPN (site-
to-any site).
 Hub and Spoke: Có một điểm hay một số điểm trung tâm (được gọi là
hub site). Tất cả các điểm VPN khác (gọi là spoke site) có thể thông tin
trực tiếp với điểm hoặc các điểm trung tâm và phải gửi lưu lượng thông
qua điểm hub nếu chúng muốn thông tin với các điểm spoke khác.
 Kết nối Extranet: Trong topo này có kết nối giữa VPN khác nhau.
Sau đây chúng ta sẽ tìm hiểu kỹ hơn về 3 topo này.
a. Topo dạng lưới đầy đủ
VRF Red_VPN
Export RT-
Các mạng site#1 65535:100
10.2.2.0/24 Import RT-
10.2.3.0/24 65535:100
10.2.4.0/24
VRF Red_VPN
Export RT-
10.2.1.0/24 65535:100
Import RT-
CE11 65535:100
.1 .2
.1 197.168.2.0/24
Red_VPN Site#1 PE1
(192.168.1.2)
.2 192.168.4.0/24 10.1.1.0/24
.1 .2 .1 .2 CE21
PE3 192.168.3.0/24 .2
(192.168.1.1) P PE2 Red_VPN Site#2
(192.168.2.4/32) (192.168.1.3)
10.3.1.0/24
.1
Các mạng site#2
CE31 10.1.2.0/24
.1 .2
10.1.3.0/24
Red_VPN Site#3 10.1.4.0/24
VRF Red_VPN
Export RT-
65535:100
Các mạng site#3 Import RT-
10.3.2.0/24 65535:100
10.3.3.0/24
10.3.4.0/24
Hình 3.12 : Phân phối tuyến trong MPL VPN lớp 3 dạng lưới đầy đủ

Trong một VPN dạng lưới đầy đủ, tất cả các Import RT và Export RT kết hợp
với 1VPN (tập các VRF kết nối với nhau) có thể giống như nhau. Hình 4.12 minh hoạ
sự phân phối tuyến giữa các VRF này.
Trong hình 3.12, Red_VPN VRF trên mỗi bộ định tuyến PE (PE1, PE2, và
PE3) cùng được cấu hình với các Import RT và Export RT là 65535:100.
b. Topo Hub-and-Spoke
Phân phối tuyến giữa các VRF của một VPN có kết nối kiểu hub-and-spoke
phức tạp hơn yêu cầu đối với kết nối dạng lưới đầy đủ.
Khi kết nối là hub-and-spoke thì cần hai RT khác nhau. Một RT dùng để nhận
dạng các tuyến quảng bá lại từ điểm hub, và RT kia nhận dạng các tuyến từ các điểm
spoke.
Bộ định tuyến PE kết nối đến bộ định tuyến CE điểm hub nhận các tuyến
quảng bá từ các điểm spoke, và các bộ định tuyến PE kết nối đến các bộ định tuyến
CE điểm spoke nhận các tuyến quảng bá lại từ hub. Điều quan trọng ở đây là các
điểm spoke không nhận các tuyến trực tiếp từ các điểm spoke khác.
Ngoài ra, cũng cần chú ý là bộ định tuyến PE kết nối tới bộ định tuyến CE
điểm hub yêu cầu hai VRF cho VPN, trong khi các bộ định tuyến PE kết nối tới các
bộ định tuyến CE điểm spoke chỉ cần một VRF duy nhất cho VPN.
Mỗi VRF trên bộ định tuyến PE được kết hợp với một giao diện riêng kết nối
tới bộ định tuyến CE điểm hub. Các giao diện riêng này có thể phân chia về mặt logic
hay về mặt vật lý.

VRF Red_VPN1 VRF Red_VPN2

Export RT- Export RT-
Các mạng site#1 NONE 65535:500
10.2.2.0/24 Import RT- Import RT-
10.2.3.0/24 65535:100 NONE
10.2.4.0/24
VRF Red_VPN
10.4.1.0/24 Export RT-
65535:100
Import RT-
CE11 10.2.1.0/24 65535:500
.1 .2
.1 197.168.2.0/24
Red_VPN Site#1 PE1
(Hub Site) (192.168.1.2)
.2 192.168.4.0/24 10.1.1.0/24
.1 .2 .1 .2 CE31
PE3 192.168.3.0/24 .2
(192.168.1.1) P PE2 Red_VPN Site#2
(192.168.2.4/32) (192.168.1.3) (Spoke Site)
10.3.1.0/24
.1 Các mạng site#2
CE21
10.1.2.0/24
.1 .2
Red_VPN Site#3 10.1.3.0/24
(Spoke Site) 10.1.4.0/24
VRF Red_VPN
Export RT-
65535:100
Các mạng site#3 Import RT-
10.3.2.0/24 65535:500
10.3.3.0/24
10.3.4.0/24
Hình 3.13 : Phân phối tuyến trong BGP/MPLS VPN dạng hub-and-Spoke
Như có thể thấy trong hình 3.13, VPN trên PE1 (bộ định tuyến PE kết nối với
bộ định tuyến CE điểm hub của VPN) có hai VRF. Một VRF được gọi là Red_VPN1,
và VRF kia gọi là Red_VPN2.
VRF Red_VPN1 được cấu hình với Import RT 65535:100 nhưng không được
cấu hình Export RT. Mục đích của VRF này là nhận các tuyến VPN từ các điểm
spoke. Ngược lại VRF Red_VPN2 được cấu hình với Export RT 65535:500 mà
không có Import RT. Mục đích của VRF này là đưa các tuyến ra các điểm spoke.
Các bộ định tuyến PE kết nối với các bộ định tuyến CE điểm spoke (PE2 và
PE3) có một VRF cho VPN, được gọi là Red_VPN. Import RT của các VRF này là
65535:500, tương ứng với Export RT của VRF Red_VPN2 trên PE1, và Export RT
của các VRF này là 65535:100, tương ứng với Import RT của VRF Red_VPN1 trên
PE1.

VRF Red_VPN1 VRF Red_VPN2

Export RT- Export RT-
Các mạng site#1 NONE 65535:500
10.2.2.0/24 Import RT- Import RT-
10.2.3.0/24 65535:100 NONE
10.2.4.0/24
3 VRF Red_VPN
Export RT-
65535:100
CE11 Import RT-
2 65535:500
4
Red_VPN Site#1
(Hub Site) PE1
(192.168.1.2)
5 CE21
PE3 Red_VPN Site#2

1
(192.168.1.1) P PE2 (Spoke Site)
(192.168.2.4/32) (192.168.1.3)
CE21 Các mạng site#2

10.1.2.0/24
Red_VPN Site#3 6 10.1.3.0/24
(Spoke Site) 10.1.4.0/24
VRF Red_VPN Tuyến
Export RT-
65535:100
Các mạng site#3 Import RT- Quảng bá
10.3.2.0/24 65535:500
10.3.3.0/24
10.3.4.0/24
Hình 3.14 : Phân phối tuyến và cấu hình VRF trong VPN hub-and-spoke
Sự phân phối tuyến từ bộ định tuyến CE điểm spoke CE21 đến bộ định tuyến
CE31 thông qua bộ định tuyến CE11 điểm hub trên hình 3.14 như sau:
1. CE21 quảng bá các bộ định tuyến điểm spoke #2 này (10.1.2.0/24, 10.1.3.0/24,
và 10.1.4.0/24) đến bộ định tuyến PE2 bằng giao thức định tuyến PE-CE.
2. PE2 cài đặt các tuyến này vào VRF Red_VPN. Sau đó nó phân phối lại các
tuyến điểm spoke #2 vào MP-BGP, gắn (Export) RT 65535:100, và quảng bá
chúng đến PE1.
3. PE1 cài đặt các tuyến điểm spoke #2 vào VRF Red_VPN1 bởi vì RTgắn với
các tuyến này phù hợp với Import RT (65535:100). Sau đó, PE1 phân phối lại
và quảng bá các tuyến điểm spoke #2 (từ VRF Red_VPN1) đến bộ định tuyến
CE11 điểm hub trên Frame Relay PVC với DLCI 100 bằng giao thức định
tuyến PE-CE.
4. CE11 nhận các tuyến điểm #2, và sau đó quảng bá chúng trở lại PE1 (trên giao
diện mà bộ định tuyến CE nhận được các tuyến này). Đồng thời CE11 cũng
quảng bá các tuyến điểm hub #1 (10.2.2.0/24, 10.2.3.0/24, và 10.2.4.0/24).
5. PE1 nhận các tuyến điểm spoke #2 (và điểm hub #1) từ CE11 trêngiao diện kết
hợp với VRF Red_VPN2 (trên PVC với DLCI 200). Lúc này, PE1 phân phối

lại các tuyến vừa nhận vào MP-BGP, gắn Export RT 65535:500, và quảng bá
chúng đến bộ định tuyến PE3.
6. PE3 nhận các tuyến điểm spoke #2 từ PE1, và bởi vì RT gán với các tuyến này
bằng Import RT (65535:500), nên nó cài đặt các tuyến vào VRF Red_VPN.
PE3 sau đó sẽ phân phối lại các tuyến điểm spoke #2 (và điểm hub #1) trong
giao thức định tuyến PE-CE và quảng bá chúng tới bộ định tuyến CE31. CE31
nhận các tuyến đó và cài đặt chúng vào bảng định tuyến của nó. Bây giờ điểm
spoke #3 đã có khả năng định tuyến IP tới điểm spoke #2 (và điểm hub #1).
7. Sự phân phối tuyến từ điểm spoke #3 cũng theo các bước như vậy, nhưng
chiều ngược lại.
Bởi vì các tuyến được quảng bá giữa các điểm spoke thông qua bộ định tuyến
CE hub #1, nên lưu lượng spoke-to-spoke cũng được truyền thông qua bộ định tuyến
CE điểm hub này.
c. Cấu hình Extranet

Brown_VPN
Site#1
Các mạng site#1

172.16.1.0/24
172.16.2.0/24
CE22 172.16.3.0/24
Các mạng site#1 172.16.4.0/24
10.2.2.0/24 172.16.5.0/24
10.2.3.0/24
10.2.4.0/24 .1
10.2.1.0/24
CE11 .1 .2
.1 197.168.2.0/24 .2
Red_VPN Site#1 PE1
(192.168.1.2)
.2 192.168.4.0/24 10.1.1.0/24
.1 .2 .1 .2
CE21
PE3 192.168.3.0/24 .2
(192.168.1.1) P PE2 Red_VPN Site#2
(192.168.2.4/32) (192.168.1.3)
10.3.1.0/24 .1
Các mạng site#2
CE31 .1 .2 10.1.2.0/24
Kết nối Extranet 10.1.3.0/24
Red_VPN Site#3 10.1.4.0/24
Kết nối Intranet
Các mạng site#3

10.3.2.0/24
10.3.3.0/24
10.3.4.0/24
Hình 3.15 : Kết nối Extranet
Một Extranet cung cấp kết nối giữa các tổ chức, như minh hoạ trong hình 3.15.
Kết nối Extranet có thể được thực hiện trên backbone MPLS VPN bằng sự phân phối
tuyến VPNv4 có chọn lựa dựa trên các RT.

Trong hình 3.15, kết nối Extranet ở giữa điểm #1 của Red_VPN (CE11) và
điểm #1 của Brown_VPN (CE22). Không có kết nối nào khác giữa các điểm thuộc
VPN Red_VPN và Brown_VPN.
Để có kết nối Extranet giữa các BGP/MPLS VPN khác nhau, ta có thể cấu
hình các RT riêng trên các PE kết nối tới các điểm VPN mà ta muốn thực hiện kết nối
Extranet.
Trong ví dụ này, kết nối Extranet là kết nối giữa các bộ định tuyến CE11 và
CE22, và mỗi bộ định tuyến PE kết nối với các bộ định tuyến CE này có RT riêng
cho kết nối Extranet. Kiểu topo VPN Extranet thường là VPN SP.
3.5.2 Thực hiện truy cập Internet cho các BGP/MPLS VPN
Khi triển khai các BGP/MPLS VPN, khách hàng thường yêu cầu có truy cập
Internet. Truy cập Internet có thể được cung cấp theo một số cách sau:
 Dùng giao diện toàn cầu riêng trên các bộ định tuyến PE.
 Dùng Route leaking giữa các VRF và bảng định tuyến toàn cầu trên các
bộ định tuyến PE.
 Dùng một Shared service VPN.
Cung cấp truy cập Internet thông qua giao diện toàn cầu riêng trên các bộ
định tuyến PE
Một trong các phương pháp mà SP có thể cung cấp truy cập Internet đến khách
hàng trong một BGP/MPLS VPN là cấu hình kết nối Internet thông qua giao diện
toàn cầu riêng trên các bộ định tuyến PE, như chỉ ra trong hình 3.16.
Các giao diện toàn cầu trên bộ định tuyến PE mà truy cập Internet dùng có thể
là giao diện vật lý hoặc giao diện logic (ví dụ các giao diện con Frame Relay hay giao
diện đường hầm GRE). Trong hình 3.16, các khách hàng kết nối thông qua các giao
diện vật lý hay logic để truy cập Internet. Các giao diện này không kết hợp với một
VRF nào, mà là bảng định tuyến toàn cầu bao gồm một tuyến đến một bộ định tuyến
cổng Internet hoặc một bảng định tuyến Internet đầy đủ.

Internet
Các mạng site#1

10.2.2.0/24
10.2.3.0/24
10.2.4.0/24 Giao diện
toàn cầu
CE11
Red_VPN Site#1 PE1

Giao diện (192.168.1.2)
VRF
CE21
PE3
(192.168.1.1) P PE2 Red_VPN Site#2
(192.168.2.4/32) (192.168.1.3)
Các mạng site#2

CE31 10.1.2.0/24
10.1.3.0/24
Red_VPN Site#3 10.1.4.0/24
VRF Red_VPN Luồng lưu lượng Internet
Export RT-
65535:100
Các mạng site#3 Import RT- Luồng lưu lượng VPN
10.3.2.0/24 65535:500
10.3.3.0/24
10.3.4.0/24
Hình 3.16 : Truy cập Internet thông qua giao diện toàn cầu trên bộ định tuyến
PE
Trong ví dụ hình 3.17, truy cập Internet được cung cấp tới tất cả các điểm
khách hàng thông qua một bộ định tuyến CE điểm hub. Nếu truy cập qua bộ định
tuyến CE điểm hub, ta phải phân phối tuyến mặc định từ điểm hub đến các bộ định
tuyến điểm spoke (bằng giao thức định tuyến PE-CE).

Internet
Các mạng site#1

10.2.2.0/24
10.2.3.0/24
10.2.4.0/24 Giao diện
toàn cầu
CE11
Red_VPN Site#1 PE1

(Hub) Giao diện (192.168.1.2)
VRF
CE21
PE3
(192.168.1.1) P PE2
(192.168.2.4/32) (192.168.1.3) Red_VPN Site#2
(Spoke)
Các mạng site#2

CE31 10.1.2.0/24
10.1.3.0/24
Red_VPN Site#3 10.1.4.0/24
(Spoke) VRF Red_VPN
Export RT-
Luồng lưu lượng
65535:100
Các mạng site#3 Import RT- Internet
10.3.2.0/24 65535:500
10.3.3.0/24
10.3.4.0/24
Hình 3.17 : Truy cập Internet thông qua giao diện vật lý
trên bộ định tuyến PE điểm Hub
Cung cấp truy nhập Internet bằng Route Leaking giữa các VRF và bảng
định tuyến toàn cầu trên các bộ định tuyến PE
Một phương pháp phổ biến khác để cung cấp truy nhập Internet cho các
BGP/MPLS VPN là cấu hình Route leaking giữa các VRF và bảng định tuyến toàn
cầu trên các bộ định tuyến PE.
Internet
VRF của Red_VPN chứa tuyến:

Ip router 0.0.0.0/0
Các mạng site#1 (Next-hop: Internet_GW#1) Internet_GW#1
10.2.2.0/24
(192.168.1.5)
10.2.3.0/24
10.2.4.0/24 Giao diện
VRF
PE1
(192.168.1.2)
CE11
Red_VPN Site#1
Bảng toàn cầu:
1. Tuyến IGP tới Internet_GW#1
2. Các tuyến tới các điểm mạng
Red thông qua giao diện VRF CE21
P PE2 Red_VPN Site#2

(192.168.2.4/32) (192.168.1.3)
Các mạng site#2

CE31 10.1.2.0/24
10.1.3.0/24
Red_VPN Site#3 10.1.4.0/24
PE3
(192.168.1.1)
Các mạng site#3

10.3.2.0/24
10.3.3.0/24
10.3.4.0/24
Hình 3.18 : Luồng lưu lượng cho truy cập Internet dùng route leaking

Trong trường hợp này, ta cấu hình một tuyến mặc định VRF tĩnh có Next hop
là một Internet gateway có thể định tuyến thông qua bảng định tuyến toàn cầu. Sau
đó, tuyến mặc định VRF này sẽ được phân phối lại vào giao thức định tuyến PE-CE
để có khả năng định tuyến Internet bên ngoài cho các VPN khách hàng.
Ta cũng phải cấu hình một tuyến toàn cầu tĩnh hay các tuyến tới các mạng
VPN khách hàng trên các bộ định tuyến PE. Các tuyến toàn cầu tĩnh này nên dùng
một giao diện VRF làm giao diện ra của nó và nên được phân phối lại vào BGP toàn
cầu để cho phép các host trên Internet có thể hướng tới mạng khách hàng.
Cung cấp truy cập Internet bằng Shared Services VPN (VPN dịch vụ chia
sẻ)
Phương pháp này, như tên gọi của nó, cấu hình một Share servive VPN được
quản lý bởi SP cho phép một số VPN khách hàng truy cập đến Internet hay các dịch
vụ khác thông qua VPN chung đó. Hình 3.19 minh hoạ một Shared services VPN
này.
Khi cung cấp truy cập Internet thông qua một Shared services VPN, các tuyến
khách hàng phải được nhập vào Share services VRF, các tuyến mặc định phải được đi
ra từ Shared services VRF và đi vào các VRF của khách hàng. Cũng có thể coi Share
services VPN là một kiểu của VPN Extranet.

Internet
Shared Services VPN

Các mạng site#1
10.2.2.0/24
10.2.3.0/24
10.2.4.0/24 .1
10.2.1.0/24
CE11 .1 .2
.1 197.168.2.0/24
Red_VPN Site#1 PE1
(192.168.1.2)
.2 192.168.4.0/24 10.1.1.0/24
.1 .2 .1 .2
CE21
PE3 192.168.3.0/24 .2
(192.168.1.1) P PE2
(192.168.2.4/32)
Red_VPN Site#2
(192.168.1.3)
10.3.1.0/24 .1
Các mạng site#2
CE31 .1 .2 10.1.2.0/24
10.1.3.0/24
Red_VPN Site#3 10.1.4.0/24
Các mạng site#3

10.3.2.0/24
10.3.3.0/24
10.3.4.0/24
Hình 3.19 : Truy cập Internet thông qua một Shared services VPN
3.6 Các ưu nhược điểm của BGP/MPLS VPN

Qua những phân tích ở trên về công nghệ BGP/MPLS VPN, ta có thể rút ra
một số ưu điểm và nhược điểm của công nghệ này như sau:
Ưu điểm :
 Kiến trúc VPN có khả năng mở rộng cực kỳ lớn, có thể lên đến hàng
nghìn điểm khách hàng và hàng nghìn VPN.
 Đưa ra dịch vụ quản lý cho các khách hàng doanh nghiệp từ nhà cung
cấp dịch vụ, hoặc được thực hiện bởi chính các doanh nghiệp: tự họ
phân chia giữa các đơn vị kinh doanh và các dịch vụ.
 Cho phép doanh nghiệp dễ dàng định tuyến WAN của họ. Các bộ định
tuyến CE chỉ cần kết cuối với 1 hoặc vài bộ định tuyến PE (cũng như
các bộ định tuyến C) chứ không cần kết cuối với tất cả các bộ định
tuyến CE khác trong VPN.
 Cho phép kết nối any-to-any cho các điểm khách hàng doanh nghiệp, và
có thể được cấu hình để hỗ trợ QoS cho các ứng dụng kinh doanh và
thời gian thực.

 Kỹ thuật lưu lượng MPLS (một công nghệ kết hợp) cho phép nhà cung
cấp dịch vụ sử dụng băng tần mạng một cách tối ưu, và hỗ trợ SLA chặt
với định tuyến lại nhanh và đảm bảo băng tần.
Nhược điểm :
 Bản chất chỉ hỗ trợ lưu lượng IP. Nếu khách hàng muốn sử dụng các
giao thức khác thì phải cấu hình các đường hầm GRE giữa các bộ định
tuyến CE.
 Nếu SP không hỗ trợ truyền tải IP multicast, lưu lượng multicast phải
truyền theo đường hầm giữa các điểm khách hàng bằng cách cấu hình
các đường hầm GRE giữa các bộ định tuyến CE.
 Trong BGP/MPLS VPN, khách hàng không điều khiển hoàn toàn định
tuyến IP WAN của họ. Các bộ định tuyến CE tại các điểm khách hàng
không cần thiết lập định tuyến trực tiếp giữa các điểm kế cận, nhưng
phải kết cuối với các bộ định tuyến PE.
 BGP/MPLS VPN là VPN uỷ quyền, và mặc dù chúng cung cấp mức an
toàn thông tin tương tự với FR VPN và ATM VPN, nhưng về bản chất
chúng không hỗ trợ nhận thực và mã hoá an ninh VPN mạnh như Ipsec.
Tuy nhiên, nếu yêu cầu mã hoá và nhận thực thì có thể bảo vệ lưu
lượng VPN này khi truyền tải giữa các bộ định tuyến PE bằng cách sử
dụng Ipsec hoặc end-to-end giữa các thiết bị CE .
3.7 Kết luận chương III

Trong chương này, đồ án đã tìm hiểu về giao thức định tuyến liên miền BGP
và làm rõ vai trò của nó trong công nghệ BGP/MPLS VPN. Bên cạnh đó còn tìm hiểu
về nguyên lý hoạt động của BGP/MPLS VPN và các topo mạng điển hình. Trong
chương tiếp theo, chúng ta sẽ thực hiện cấu hình mô phỏng công nghệ này trên bộ
định tuyến của Cisco.

CHƯƠNG IV: MÔ PHỎNG TRÊN BỘ ĐỊNH TUYẾN CỦA

CISCO
4.1 Chương trình mô phỏng

GNS3 là một chương trình dùng để giả lập các bộ định tuyến do Cristophe
Fillot viết ra. Tuy là môi trường giả lập nhưng nó sử dụng các hệ điều hành thật (IOS)
của Cisco. Nhờ vậy khi chạy giả lập nó có đầy đủ các tính năng giống như trong môi
trường thực tế và trở thành một công cụ mô phỏng hữu hiệu đang được sử dụng rất
rộng rãi hiện nay.
Hình 4.1 : Giao diện chương trình GNS3
Trong đồ án này sẽ sử dụng GNS3 để mô phỏng một mô hình mạng MPLS

VPN, sử dụng giao thức BGP để truyền thông tin định tuyến giữa các bộ định tuyến
nhằm làm rõ vai trò của giao thức BGP trong công nghệ BGP/MPLS VPN.

4.2 Kịch bản mô phỏng

Một tổng công ty có nhiều chi nhánh trên cả nước. Do nhu cầu trao đổi thông
tin và quản lý giữa các chi nhánh với nhau nên đặt ra yêu cầu kết nối mạng giữa trụ
sở chính tại Hà Nội tới các chi nhánh tại Đà Nẵng và thành phố Hồ Chí Minh. Nếu sử
dụng các đường thuê bao riêng thì rất tốn kém và giải pháp kỹ thuật cũng không tối
ưu. Công nghệ MPLS VPN là một giải pháp tối ưu cho mô hình mạng như trên. Giải
pháp này tiết kiệm được chi phí và cũng linh hoạt hơn, đáp ứng tốt hơn và cung cấp
nhiều dịch vụ hơn. Trong đó, các site của công ty sẽ được kết nối qua mạng của nhà
cung cấp dịch vụ sử dụng công nghệ MPLS VPN.
Hình 4.2 : Sơ đồ mạng dùng trong mô phỏng
Các bộ định tuyến R1, R2, R3 đại diện cho mạng của nhà cung cấp dịch vụ,
các bộ định tuyến R0, R4, R5 đại diện cho trụ sở chính tại Hà Nội và các chi nhánh
Đà Nẵng, Thành phố Hồ Chí Minh. Các bộ định tuyến trong phần mô phỏng này đều
sử dụng hệ điều hành IOS c2691-adventerprisek9-mz.123-17a có hỗ trợ MPLS
VPN.
4.3 Thực hiện
Bước 1:
- Cấu hình địa chỉ IP như trong sơ đồ mạng ở hình trên.

- Đặt tốc độ xung đồng hồ clock rate trên các giao diện thích hợp.

- Dùng lệnh no shutdown để bật các giao diện vật lý.
Hình 4.3 : Cấu hình địa chỉ IP
Bước 2: Cấu hình định tuyến trong khu vực mạng của nhà cung cấp dịch vụ
Mạng của nhà cung cấp dịch vụ sử dụng OSPF làm giao thức định tuyến,
quảng bá các giao diện loopback cục bộ và các mạng chuyển tiếp. Ở đây ta sẽ cấu
hình OSPF để mô hình mạng của nhà cung cấp dịch vụ và chỉ cần thực hiện trên các
bộ định tuyến của nhà cung cấp dịch vụ.
Hình 4.4 : Cấu hình OSPF
Bước 3: Cấu hình MPLS trong mạng của nhà cung cấp dịch vụ.

Trên tất cả các bộ định tuyến của nhà cung cấp dịch vụ, sử dụng lệnh mpls ldp
bộ định tuyến-id interface force để lựa chọn một giao diện làm bộ định tuyến ID.
Thường sử dụng giao diện loopback làm bộ định tuyến ID vì giao diện loopback là
một giao diện logic trên bộ định tuyến nên các giá trị không bị thay đổi cho dù có sự
thay đổi của mô hình mạng hay các bộ định tuyến khởi động lại. Sau khi chọn giá trị
bộ định tuyến ID cho mỗi bộ định tuyến, kích hoạt MPLS trên tất cả giao diện vật lý
thuộc miền MPLS với lệnh mpls ip:
Hình 4.5 : Cấu hình MPLS trên các giao diện
Bước 4: Cấu hình một VRF

Để cấu hình một VRF trên các bộ định tuyến PE, sử dụng lệnh ip vrf name để
tạo một VRF có tên khachhang. Mỗi VRF cần một giá trị RD và RT. Giá trị RD dùng
để phân biệt các tuyến đường VPN trong mạng của khách hàng với các tuyến đường
nội bộ trong mạng của nhà cung cấp dịch vụ. Giá trị RT được dùng để điều khiển việc
xuất và nhập các tuyến đường VPNv4 thông qua iBGP. Trong mô phỏng này sử dụng
giá trị RD là 100:1 và RT là 1:100.
Sau khi tạo VRF, áp các giao diện vào VRF bằng cách sử dụng lệnh ip vrf
forwarding name trong đó name là tên của VRF. Sử dụng lệnh này trên các giao diện
của hai bộ định tuyến PE có liên kết với bộ định tuyến CE.

Hình 4.6 : Cấu hình VRF
Bây giờ thì liên kết giữa các bộ định tuyến PE và CE đã thông. Chúng ta có
thể kiểm tra kết nối bằng các lệnh ping vrf name address.
Hình 4.7 : Ping thử VRF khách hàng
Bước 5 : Cấu hình EIGRP trong mạng của khách hàng.

Chúng ta quy ước trong phần mô phỏng này, nhà cung cấp dịch vụ có số AS là
100 và mạng của khách hàng có số AS là 1.

Trên các bộ định tuyến của khách hàng CE, cấu hình EIGRP AS1 cho mạng
172.16.0.0.
Hình 4.8 : Cấu hình EIGRP trên bộ định tuyến CE (Hanoi)
Trên các bộ định tuyến PE, thực hiện cấu hình EIGRP cho từng VRF, sử dụng
lệnh address-family ipv4 vrf name trong đó name là tên của VRF.
Hình 4.9 : Cấu hình EIGRP trên bộ định tuyến PE (SP1)
Sau khi cấu hình EIGRP cho các bộ định tuyến CE và PE, ta sử dụng lệnh
show ip route để xem bảng định tuyến mặc định. Để ý rằng trong bảng định tuyến
mặc định của các bộ định tuyến PE không có các tuyến đường về mạng
172.16.0.0/16.

Hình 4.10 : Bảng định tuyến mặc định của bộ định tuyến SP1
Hình 4.11 : Bảng định tuyến mặc định của bộ định tuyến SP3
Để xem thông tin định tuyến về mạng của khách hàng, sử dụng lệnh show ip
route vrf name trong đó name tên của VRF. Để ý rằng trong bảng định tuyến này sẽ
chỉ có thông tin định tuyến về mạng của khách hàng.

Hình 4.12 : Bảng định tuyến khách hàng của bộ định tuyến SP1
Bước 6: Cấu hình BGP

Trong 2 hình trên, tại mỗi bộ định tuyến PE ta chỉ có thể thấy được thông tin
định tuyến về mạng của khách hàng nào liên kết với nó do các bộ định tuyến PE chưa
có sự trao đổi thông tin với nhau. Đề thấy được đầy đủ thông tin định tuyến về mạng
của khách hàng, chúng ta phải sử dụng giao thức BGP để trao đổi thông tin giữa các
bộ định tuyến PE xuyên qua mạng của nhà cung cấp dịch vụ.

Đầu tiên, cấu hình BGP giữa 2 bộ định tuyến PE SP1 và SP3 sử dụng lệnh
router bgp. Để cấu hình sự trao đổi các tuyến VPNv4 qua BGP, sử dụng lệnh
address-family vpnv4.
Hình 4.14 : Cấu hình BGP trên bộ định tuyến PE (SP1)
Cuối cùng, cấu hình BGP để phân phối các tuyến EIGRP trong bảng định
tuyến VRF khách hàng vào trong giao thức BGP để các tuyến này được quảng bá tới
các bộ định tuyến PE đầu xa. Đồng thời cấu hình để phân phối lại các tuyến BGP vào
trong EIGRP với một số giá trị metric.
Hình 4.15 : Phân phối thông tin định tuyến giữa 2 giao thức BGP và EIGRP

4.4 Kết quả mô phỏng

Sau khi đã thực hiện xong các bước cấu hình như trên, ta sử dụng lệnh show
ip route khachhang để xem lại bảng định tuyến về mạng khách hàng của bộ định
tuyến SP1 và so sánh với hình trong bước 5. Ta có thể thấy rằng ngoài 2 mạng của
khách hàng là 172.16.10.0 và 72.16.100.0 mà bộ định tuyến SP1 liên kết tới, trong
bảng định tuyến của SP1 còn có thêm các mạng khác như là 172.16.20.0,
172.16.200.0, 172.16.25.0, 172.16.250.0. Đây cũng là những mạng con nằm trong
mạng của khách hàng liên kết với các bộ định tuyến PE khác nằm ở xa (trong mô
phỏng này là bộ định tuyến SP3). Như vậy, nhờ có giao thức BGP, các bộ định tuyến
của nhà cung cấp dịch vụ đã có thông tin đầy đủ về mạng của khách hàng và có thể
thực hiện quá trình định tuyến.
Đứng trên bộ định tuyến Hanoi tại trụ sở của tổng công ty, xem bảng định
tuyến ta có thể nhìn thấy lần lượt các mạng tại Đà Nẵng và thành phố Hồ Chí Minh.

Hình 4.17 : Bảng định tuyến của bộ định tuyến Hà Nội
4.5 Đánh giá kết quả mô phỏng

Dựa trên thông tin các bảng định tuyến được biểu diễn ở trên, ta có thể nhận thấy
rằng mạng của tổng công ty tại các chi nhánh Hà nội, Đà Nẵng và thành phố Hồ Chí
Minh đã được kết nối với nhau như một mạng cục bộ dù không kết nối trực tiếp với
nhau. Qua các bước cấu hình, chúng đã được kết nối với nhau thông qua mạng của
nhà cung cấp dịch vụ sử dụng công nghệ MPLS VPN và mạng này hoàn toàn trong
suốt đối với mạng của khách hàng. Mô phỏng đã đạt được những kết quả theo đúng
như yêu cầu và lý thuyết.
4.6 Kết luận chương IV

Trong chương này, chúng ta đã thực hiện mô phỏng thành công công nghệ
BGP/MPLS VPN lần lượt qua các bước cấu hình cụ thể. Quá trình mô phỏng đã làm
rõ và giúp chúng ta hiểu thêm về công nghệ BGP/MPLS VPN.

Đồ án tốt nghiệp Đại học Kết luận
KẾT LUẬN
Sau một thời gian tìm hiểu, em đã hoàn thành đồ án với nội dung về:
 Mạng riêng ảo nói chung và cơ bản về công nghệ chuyển mạch nhãn
đa giao thức MPLS.
 Các vấn đề kỹ thuật và mô hình thực hiện công nghệ BGP/MPLS VPN.
Việc tìm hiểu và nghiên cứu về công nghệ BGP/MPLS VPN đã giúp em củng
cố những kiến thức đã học, đặc biệt là hoạt động của mạng sử dụng công nghệ MPLS
- một công nghệ chuyển mạch tiên tiến hiện nay. Hơn nữa em có cơ hội tìm hiểu kỹ
vào một trong những ứng dụng nổi bật của công nghệ này, đó là việc xây dựng các
mạng riêng ảo trên nền mạng MPLS chung.
Trong đồ án đã có thực hiện mô phỏng về công nghệ BGP/MPLS VPN. Tuy
chỉ sử dụng môi trường giả lập nhưng chương trình mô phỏng cũng rất giống so với
thực tế và có thể giúp em áp dụng được những kiến thức đã nghiên cứu vào trong
thực tế.
Mặc dù đã cố gắng nhưng do thời gian và trình độ có hạn nên đồ án này khó
tránh khỏi những thiếu sót. Rất mong nhận được ý kiến đóng góp của thầy cô và bạn
bè để em có thể sửa đổi, bổ sung và hoàn thiện đồ án này.
Một lần nữa, em xin gửi lời cảm ơn chân thành đến thầy giáo TS. Nguyễn
Tiến Ban và các thầy cô giáo trong khoa Viễn Thông thuộc Học viện Công nghệ
Bưu chính Viễn Thông đã tận tình dạy dỗ và giúp đỡ em trong quá trình học tập cũng
như làm đồ án này.
Hà Nội, ngày 18 tháng 11 năm

2008
Sinh viên: Nguyễn Duy Thanh

Đồ án tốt nghiệp Đại học Tài liệu tham khảo
TÀI LIỆU THAM KHẢO
[1] TS. Phùng Văn Vận, KS. Đỗ Mạnh Quyết, “Công nghệ chuyển mạch nhãn
đa giao thức MPLS”, Nhà xuất bản Bưu Điện, 2003.
[2] IETF, “RFC 4271- A Border Gateway Protocol 4 (BGP-4)”.
[3] IETF, “RFC 4364 – BGP/MPLS IP Virtual Private Networks (VPNs)”.
[4] Mark Lewis, “Comparing, Designing, and Deploying VPNs”, Cisco Press,
2006.
[5] Bruce Davie, Yakow Recter, “MPLS Technology and Application”, Morgan
Kaufman, 2000.
[6] Joel Repiquet, “Keep it Simple with BGP/MPLS Virtual Private Networks”,
Copyright © LambdaNet, White Paper, 2002.
[7] Paul Brittain, “MPLS Virtual Private Networks”, Copyright © 2000-2004

Data Connection Limited, White Paper,2000.
[8] Ahmed Abdelhalim, “IP/MPLS-Based VPNs”, Copyright © Poundry

Networks.
Nguyễn Duy Thanh – Lớp D04VT1 - xii -

Đồ án tốt nghiệp Đại học Phụ lục
PHỤ LỤC
LỆNH CẤU HÌNH ĐẨY ĐỦ CỦA CÁC BỘ ĐỊNH TUYẾN TRONG MÔ

PHỎNG
1. Bộ định tuyến Hanoi
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Hanoi
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
ip subnet-zero
ip cef
!
!
!
ip audit po max-events 100
!
!
interface Loopback0
ip address 172.16.10.1 255.255.255.0
!
interface FastEthernet0/0
ip address 172.16.100.1 255.255.255.0
duplex auto
speed auto
!
no ip address
shutdown
duplex auto
speed auto
!
router eigrp 1
network 172.16.0.0
no auto-summary
!
ip classless
!
Nguyễn Duy Thanh – Lớp D04VT1 - xiii -

ip http server
no ip http secure-server
!
line con 0
line aux 0
line vty 0 4
login
!
end
2. Bộ định tuyến SP1

!
version 12.3
!
hostname SP1
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
ip subnet-zero
ip cef
!
!
!
ip vrf khachhang
rd 100:1
route-target export 1:100
route-target import 1:100
!
tag-switching tdp router-id Loopback1 force
!
interface Loopback1
ip address 10.0.1.1 255.255.255.0
!
ip vrf forwarding khachhang
ip address 172.16.100.254 255.255.255.0
duplex auto
speed auto
!
interface Serial0/0
ip address 10.0.12.1 255.255.255.0
tag-switching ip
Nguyễn Duy Thanh – Lớp D04VT1 - xiv -

clock rate 64000

!
no ip address
shutdown
duplex auto
speed auto
!
interface Serial0/1
no ip address
shutdown
clock rate 2000000
!
router eigrp 100
auto-summary
!
address-family ipv4 vrf khachhang
redistribute bgp 100 metric 64 1000 255 1 1500
network 172.16.0.0
no auto-summary
autonomous-system 1
exit-address-family
!
router ospf 1
log-adjacency-changes
network 10.0.0.0 0.255.255.255 area 0
!
router bgp 100
no synchronization
bgp log-neighbor-changes
neighbor 10.0.3.1 remote-as 100
neighbor 10.0.3.1 update-source Loopback1
no auto-summary
!
address-family vpnv4
neighbor 10.0.3.1 activate
neighbor 10.0.3.1 send-community both
exit-address-family
!
redistribute eigrp 1
no auto-summary
no synchronization
exit-address-family
!
ip classless
!
ip http server
!
line con 0
Nguyễn Duy Thanh – Lớp D04VT1 - xv -

line aux 0
line vty 0 4
login
!
end

!
version 12.3
!
hostname SP2
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
ip subnet-zero
ip cef
!
!
interface Loopback2
ip address 10.0.2.1 255.255.255.0
!
no ip address
shutdown
duplex auto
speed auto
!
interface Serial0/0
ip address 10.0.12.2 255.255.255.0
tag-switching ip
clock rate 64000
!
no ip address
shutdown
duplex auto
speed auto
!
interface Serial0/1
ip address 10.0.23.2 255.255.255.0
tag-switching ip
Nguyễn Duy Thanh – Lớp D04VT1 - xvi -

clock rate 64000

!
interface Serial0/2
no ip address
shutdown
clock rate 2000000
!
interface Serial0/3
no ip address
shutdown
clock rate 2000000
!
router ospf 1
network 10.0.0.0 0.255.255.255 area 0
!
ip classless
!
ip http server
!
line con 0
line aux 0
line vty 0 4
login
!
End

!
version 12.3
!
hostname SP3
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
ip subnet-zero
ip cef
!
!
!
ip vrf khachhang
rd 100:1
route-target export 1:100
Nguyễn Duy Thanh – Lớp D04VT1 - xvii -

route-target import 1:100

!
!
interface Loopback3
ip address 10.0.3.1 255.255.255.0
!
ip address 172.16.200.254 255.255.255.0
duplex auto
speed auto
!
interface Serial0/0
ip address 10.0.23.1 255.255.255.0
tag-switching ip
clock rate 64000
!
ip address 172.16.250.254 255.255.255.0
duplex auto
speed auto
!
interface Serial0/1
no ip address
shutdown
clock rate 2000000
!
router eigrp 100
auto-summary
!
redistribute bgp 100 metric 64 1000 255 1 1500
network 172.16.0.0
no auto-summary
autonomous-system 1
exit-address-family
!
router ospf 1
network 10.0.0.0 0.255.255.255 area 0
!
router bgp 100
no synchronization
bgp log-neighbor-changes
neighbor 10.0.1.1 remote-as 100
neighbor 10.0.1.1 update-source Loopback3
no auto-summary
!
Nguyễn Duy Thanh – Lớp D04VT1 - xviii -

address-family vpnv4
neighbor 10.0.1.1 activate
neighbor 10.0.1.1 send-community both
exit-address-family
!
redistribute eigrp 1
no auto-summary
no synchronization
exit-address-family
!
ip classless
!
ip http server
!
!
line con 0
line aux 0
line vty 0 4
login
!
end
5. Bộ định tuyến Danang

!
version 12.3
!
hostname Danang
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
ip subnet-zero
ip cef
!
!
!
!
interface Loopback4
ip address 172.16.20.1 255.255.255.0
!
ip address 172.16.200.1 255.255.255.0
Nguyễn Duy Thanh – Lớp D04VT1 - xix -

duplex auto
speed auto
!
no ip address
shutdown
duplex auto
speed auto
!
router eigrp 1
network 172.16.0.0
no auto-summary
!
ip classless
!
ip http server
!
!
line con 0
line aux 0
line vty 0 4
login
!
end
6. Bộ định tuyến HCMC

!
version 12.3
!
hostname HCMC
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
ip subnet-zero
ip cef
!
!
!
!
!
interface Loopback5
ip address 172.16.25.1 255.255.255.0
Nguyễn Duy Thanh – Lớp D04VT1 - xx -

!
ip address 172.16.250.1 255.255.255.0
duplex auto
speed auto
!
no ip address
shutdown
duplex auto
speed auto
!
router eigrp 1
network 172.16.0.0
no auto-summary
!
ip classless
!
ip http server
!
!
line con 0
line aux 0
line vty 0 4
login
!
end
Nguyễn Duy Thanh – Lớp D04VT1 - xxi -

Do An Cong Nghe BGP Mpls VPN

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Do An Cong Nghe BGP Mpls VPN

Uploaded by

Copyright:

Available Formats

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

NGUYỄN DUY THANH

TỐT NGHIỆP ĐẠI HỌC

CÔNG NGHỆ BGP/MPLS VPN

Sinh viên thực hiện : Nguyễn Duy Thanh

CÔNG NGHỆ BGP/MPLS VPN

Giáo viên hướng dẫn : TS. Nguyễn Tiến Ban

KHOA VIỄN THÔNG I -------***-------

ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC

Họ và tên : Nguyễn Duy Thanh

CÔNG NGHỆ BGP/MPLS VPN

Nội dung đồ án:

Ngày giao đồ án :…./…../2008

Ngày nộp đồ án :.…./…./2008

Điểm: ........ (bằng chữ ………………..)

Ngày..........tháng 11 năm 2008

Giáo viên hướng dẫn

TS. Nguyễn Tiến Ban

Điểm: ........ (bằng chữ ………………..)

Ngày..........tháng 11 năm 2008

Giáo viên phản biện

Nguyễn Duy Thanh – Lớp D04VT1 -i-

3.3 Phân phối tuyến VPN thông qua BGP.......................................................36

Nguyễn Duy Thanh – Lớp D04VT1 - ii -

DANH MỤC HÌNH VẼ

Hình 1.1 : Mạng riêng ảo VPN.................................................................................1

Hình 1.2 : Mô hình mạng VPN truy nhập từ xa.......................................................5

Hình 1.3 : Mô hình mạng VPN cục bộ......................................................................6

Hình 1.4: Mô hình mạng VPN mở rộng..................................................................7

Hình 1.5: VPN dựa trên bộ định tuyến CE.............................................................13

Hình 1.6 : Một VPN truy cập từ xa cơ bản............................................................................13

Hình 2.1 : Khuôn dạng tiêu đề nhãn.......................................................................18

Hình 2.2 : Cấu trúc ngăn xếp nhãn.........................................................................19

Hình 2 3 : Hoạt động của mạng MPLS...................................................................23

Hình 2.4 : Ngăn xếp giao thức MPLS.....................................................................................25

Hình 3.1 : BGP/MPLS VPN....................................................................................27

Hình 3. 2 : Khuôn dạng tiêu đề BGP.......................................................................30

Hình 3.3 : Khuôn dạng bản tin cập nhật BGP........................................................30

Hình 3.4 : Khuôn dạng bản tin cập nhật BGP........................................................35

Hình 3.7 : Phân phối tuyến từ CE tới PE................................................................41

Hình 3.8 : Phân phối tuyến giữa các PE.................................................................43

Hình 3.9 : Phân phối tuyến từ PE tới CE................................................................44

Hình 3.11 : Chuyển tiếp qua backbone...................................................................47

Nguyễn Duy Thanh – Lớp D04VT1 - iii -

Hình 3.15 : Kết nối Extranet....................................................................................52

Hình 4.1 : Giao diện chương trình GNS3...............................................................59

Hình 4.2 : Sơ đồ mạng dùng trong mô phỏng.........................................................60

Hình 4.3 : Cấu hình địa chỉ IP................................................................................61

Hình 4.4 : Cấu hình OSPF......................................................................................61

Hình 4.5 : Cấu hình MPLS trên các giao diện.........................................................62

Hình 4.6 : Cấu hình VRF........................................................................................63

Hình 4.7 : Ping thử VRF khách hàng.....................................................................63

Hình 4.8 : Cấu hình EIGRP trên bộ định tuyến CE (Hanoi).................................64

Hình 4.9 : Cấu hình EIGRP trên bộ định tuyến PE (SP1).....................................64

Hình 4.14 : Cấu hình BGP trên bộ định tuyến PE (SP1).......................................67

Hình 4.17 : Bảng định tuyến của bộ định tuyến Hà Nội............................................69

Nguyễn Duy Thanh – Lớp D04VT1 - iv -

DANH MỤC BẢNG BIỂU

Bảng 3.1 : VRF tại PE1............................................................................................45

Bảng 3.2 : VRF tại PE2...........................................................................................45

Bảng 3.3 : VRF tại PE3.............................................................................................46

Nguyễn Duy Thanh – Lớp D04VT1 -v-

THUẬT NGỮ VIẾT TẮT