Rin Mpls VPN

MỤC LỤC
MỤC LỤC
CHƢƠNG I: TỔNG QUAN VPN ................................................................................... 6
1.2. Định nghĩa VPN. ........................................................................................... 6
1.2. Phân loại VPN. .............................................................................................. 6
1.2.1. VPN cho các doanh nghiệp. .................................................................... 6
1.2.2. VPN đối với các nhà cung cấp dịch vụ. ................................................... 9
1.3. Chức năng, ƣu và nhƣợc điểm của VPN. .................................................... 11
1.3.1. Chức năng VPN. ................................................................................... 11
1.3.2. Ƣu điểm VPN......................................................................................... 12
1.3.3. Khuyết điểm. ......................................................................................... 12
CHƢƠNG II: GIỚI THIỆU KỸ THUẬT CHUYỂN MẠCH MPLS ........................... 13
2.1. Khái niệm MPLS. ........................................................................................ 13
1.2. Kiến trúc cơ bản của LSR. .......................................................................... 13
2.2.1. Mặt phẳng điều khiển. ........................................................................... 13
2.2.2. Mặt phẳng chuyển tiếp. ......................................................................... 14
2.3. Thành phần thiết bị trong MPLS. ................................................................. 14
2.4. Các thành phần cơ bản trong MPLS............................................................ 15
2.4.1. Nhãn. ..................................................................................................... 15
2.4.2. Chồng nhãn. .......................................................................................... 16
2.4.3. Lớp tƣơng đƣơng chuyển tiếp. ............................................................... 17
2.4.4. Đƣờng chuyển mạch nhãn. ................................................................... 17
2.4.5. Bộ định tuyến chuyển mạch nhãn. ........................................................ 18
2.4.6. Giao thức phân phối nhãn LDP. ............................................................ 19
1.5. Nguyên lí hoạt động của MPLS. ................................................................. 22
2.6. Ƣu nhƣợc điểm MPLS. ............................................................................... 23
2.6.1. Ƣu điểm. ................................................................................................ 23
2.6.2. Nhƣợc điểm. .......................................................................................... 23
2.7. Ứng dụng. ..................................................................................................... 23
CHƢƠNG III: MPLS VPN ........................................................................................... 25
3.1. Giới thiệu MPLS VPN. ............................................................................... 25
3.2. Các mô hình MPLS VPN ( L2 VPN và L3VPN). ....................................... 26
3.2.1. Mô hình L2 VPN.................................................................................. 26
3.2.2. Mô hình L3 VPN................................................................................... 27
3.3. Kiến trúc Router PE...................................................................................... 28
3.3.1. Bảng chuyển tiếp định tuyến ảo VRF. ................................................... 28
3.3.2. Route Distinguishers( RD ). .................................................................. 29
3.3.3. Route Targets ( RT). ............................................................................. 30
3.3.4. MP-BGP. ................................................................................................ 30
3.4. Hoạt động của MPLS VPN. ......................................................................... 31
SVTH: Huỳnh Kỳ Rin Lớp: L11CQVT02-N

MỤC LỤC
3.4.1. Hoạt động nhãn. ..................................................................................... 31
3.4.2. Hoạt động mặt bằng điều khiển. ............................................................ 31
3.4.3. Hoạt động mặt phẳng dữ liệu. ................................................................ 33
3.5. Bảo mật trong MPLS VPN. .......................................................................... 34
3.5.1. Tách biệt các VPN. ................................................................................ 34
3.5.2. Chống lại các sự tấn công. ..................................................................... 35
3.6. Ƣu và nhƣợc điểm của MPLS VPN so với VPN truyền thống. ................... 37
CHƢƠNG IV: TRIỂN KHAI MÔ HÌNH MPLS VPN TRÊN GNS3 ......................... 38
4.1. Mô hình triển khai. ...................................................................................... 38
4.2. Cấu hình các thiết bị trong mô hình. ............................................................ 38
4.2.1. Cấu hình trên Router PE1. ..................................................................... 39
4.2.2. Cấu hình trên Router P1. ........................................................................ 41
4.2.3. Cấu hình trên Router P2. ........................................................................ 42
4.2.4. Cấu hình trên Router PE2. ..................................................................... 42
4.2.5. Cấu hình trên Router CEA1. ................................................................. 44
4.2.7. Cấu hình trên Router CEB1. .................................................................. 45
4.2.8. Cấu hình trên Router CEB2. .................................................................. 45
4.2.9. Cấu hình trên Router CEC1. ................................................................. 46
3.2.10. Cấu hình trên Router CEC2. ................................................................ 46
4.3. Kết quả.......................................................................................................... 47
4.3.1. Trên các Router phía nhà cung cấp dịch vụ. .......................................... 47
4.3.2. Trên các Router phía khách hàng. .......................................................... 52
4.4. Phân tích quá trình chuyển tiếp gói tin giữa các Site trong VPN. ............... 55

PHỤ LỤC HÌNH
PHỤ LỤC HÌNH

Hình 1. 1:Mô hình VPN truy nhập từ xa. ........................................................................ 7
Hình 1.2:Mô hình VPN cục bộ. ....................................................................................... 8
Hình 1.3:Mô hình VPN mở rộng. .................................................................................... 9
Hình 1.4:Mô hình Overlay (Frame Relay). .................................................................... 9
Hình 1.5:Mô hình Peer-to-Peer VPN. ........................................................................... 10
Hình 1.6:Mô hình shared-router và dedicated-router. ................................................. 11
Hình 2.1:Kiến trúc một router trong miền MPLS. ........................................................ 13
Hình 2.2:Các miền trong MPLS. ................................................................................... 14
Hình 2.3:Định dạng nhãn. ............................................................................................. 15
Hình 2.4:Vị trí chèn nhãn trong chế độ chuyển tiếp khung ( frame-mode ). ................ 15
Hình 2.5:Label Stack. .................................................................................................... 16
Hình 2.6:Đường chuyển mạch nhãn.............................................................................. 17
Hình 2.7:Mối liên hệ giữa các thành phần trong một LSR. .......................................... 18
Hình 2.8:Cấu trúc bảng LFIB. ...................................................................................... 19
Hình 2.10:Quá trình xây dựng bảng định tuyến............................................................ 20
Hình 2.11:Gán nhãn cho các đích có trong bảng định tuyến. ...................................... 20
Hình 2.12:Xây dựng bảng LIB. .................................................................................... 20
Hình 2.13:Cập nhật nhãn vào bảng LIB. ...................................................................... 21
Hình 2.14:Quảng bá nhãn. ............................................................................................ 21
Hình 2.15:Hoàn thành việc thiết lập LSP. .................................................................... 21
Hình 2.16:Hoạt động MPLS. ......................................................................................... 22
Hình 3.1:Mô hình MPLS-VPN. ..................................................................................... 25
Hình 3.2:Mô hình MPLS VPN lớp 2.............................................................................. 26
Hình 3.3:Mô hình MPLS VPN lớp 3. ........................................................................... 27
Hình 3.4:Kiến trúc PE Router. ...................................................................................... 28
Hình 3.5:Định dạng RD. ............................................................................................... 29
Hình 3.6:Mô hình chuyển đổi địa chỉ IPv4 thành VPNv4. ............................................ 30
Hình 3.7:Cấp phát và phân tán nhãn thứ hai. ............................................................... 31
Hình 3.8:Các giao thức trong mặt phẳng điều khiển MPLS-VPN. ............................... 32
Hình 3.9:Hoạt động của mặt phẳng dữ liệu trong MPLS-VPN. ................................... 33
Hình 3.10:Mặt phẳng địa chỉ trong mạng MPLS VPN. ................................................ 34
Hình 3.11:Tách biệt lưu lượng. ..................................................................................... 35
Hình 3.12:Không gian địa chỉ có thể nhận ra từ VPN. ................................................. 36
Hình 4.1:Mô hình triển khai MPLS VPN lớp 3 trên GNS3. .......................................... 38
Hình 4.2:Các VRF trên PE1. ......................................................................................... 47
Hình 4.3:Các VRF trên PE2. ......................................................................................... 47
Hình 4.4:Bảng định tuyến VRF A trên PE1. ................................................................. 47

PHỤ LỤC HÌNH
Hình 4.5:Bảng định tuyến BGP của VRF A trên PE2. .................................................. 47
Hình 4.6:Bảng định tuyến BGP VRF A trên PE1.......................................................... 48
Hình 4.7:Bảng định tuyến BGP VRF A trên PE2......................................................... 48
Hình 4.8:Bảng LIB trên PE1. ........................................................................................ 48
Hình 4.9:Bảng LIB trên PE2. ........................................................................................ 49
Hình 4.10:Bảng LIB trên P1 ......................................................................................... 49
Hình 4.11:Bảng LIB trên P2. ........................................................................................ 50
Hình 4.12:Bảng LFIB trên PE1..................................................................................... 50
Hình 4.13:Bảng LFIB trên P1. ...................................................................................... 50
Hình 4.14:Bảng LFIB trên P2. ...................................................................................... 51
Hình 4.15:Bảng LFIB trên PE2..................................................................................... 51
Hình 4.16:BGP trao đổi các nhãn VPN trên PE1. ........................................................ 51
Hình 4.17:BGP trao đổi các nhãn VPN trên PE2. ........................................................ 52
Hình 4.18:Bảng định tuyến trên CEA1.......................................................................... 52
Hình 4.19:Bảng định tuyến trên CEA2.......................................................................... 52
Hình 4.20:Kiểm tra kết nối giữa hai site VPN-A........................................................... 53
Hình 4.21:Bảng định tuyến trên CEB1.......................................................................... 53
Hình 4.22:Bảng định tuyến trên CEB2.......................................................................... 53
Hình 4.23:Kiểm tra kết nối giữa hai saite VPN-B......................................................... 53
Hình 4.24:Bảng định tuyến trên CEC1. ........................................................................ 54
Hình 4.25:Bảng định tuyến trên CEC2. ........................................................................ 54
Hình 4.26:Kiểm tra kết nối giữa hai Site của VPN-C. .................................................. 54
Hình 4.27:Kiểm tra kết nối giữa các Site khác VPN với nhau. ..................................... 54
Hình 4.28:Gói tin gửi từ CEA1đến PE1. ....................................................................... 55
Hình 4.29:Gói tin được gán nhãn bởi PE1. .................................................................. 55
Hình 4.30:P1 thay đổi nhãn của gói tin và gửi đến P2. ................................................ 56
Hình 4.31:P2 tháo nhãn của gói tin và gửi đến PE2. ................................................... 56

LỜI MỞ ĐẦU
LỜI MỞ ĐẦU
Ngày nay với sự phát triển và mở rộng không ngừng của Internet kèm theo đó là
sự đáp ứng nhu cầu sử dụng các dịch vụ về chất lƣợng và thời gian thực của con ngƣời
ngày càng tăng. Định tuyến IP qua bộ xử lí Router không còn đáp ứng đƣợc các nhu
cầu tin cậy, tốc độ và độ trễ nữa, việc xử lí một gói tin IP rất phức tạp và tốn nhiều thời
gian khi phải tìm kiếm trong bảng định tuyến, cập nhật và tốn tài nguyên xử lí.
Để khắc phục nhƣợc điểm trên thì công nghệ chuyển mạch nhãn đa giao thức
(Multi Protocol Label Switching) đã ra đời để đáp ứng các yêu cầu về tốc độ và
chuyển mạch nhanh của Internet. MPLS là công nghệ kết hợp những ƣu điểm tốt nhất
của định tuyến lớp 3 và chuyển mạch lớp 2 cho phép chuyển tải dữ liệu rất nhanh
trong mạng lõi và định tuyến tốt ở mạng biên bằng cách dựa vào thông tin nhãn.
Một trong những công nghệ tiêu biểu nhất của MPLS là MPLS-VPN, với MPLS
thì độ trễ trong mạng đƣợc giữ ở mức thấp nhất do các gói tin trong mạng không cần
phải thông qua hoạt động đóng gói và mã hóa. MPLS-VPN đảm bảo tính riêng biệt và
bảo mật, có cách đánh địa chỉ linh hoạt, cơ chế xử lí thông tin của MPLS-VPN nằm
trong mạng lõi và độc lập với các khách hàng. Điểm nỗi bật là mạng khách hàng
không đòi hỏi phải sử dụng các thiết bị hỗ trợ MPLS, đồng thời dễ mở rộng và phát
triển.
Với nhiều ƣu điểm nhƣ thế công nghệ MPLS hứa hẹn sẽ mang lại nhiều giải pháp
cho các nhà cung cấp dịch vụ và đóng vai trò chủ đạo của ngành mạng trong tƣơng lai.
Đây là một công nghệ rất hay và có nhiều ứng dụng quan trọng trong ngành mạng hiện
nay. Vì vậy em quyết định chọn đề tài MPLS-VPN làm đề tài đồ án tốt nghiệp của em,
với kiến thức còn hạn hẹp và thời gian cũng không nhiều cho nên không thể tránh khỏi
những sai xót, rất mong nhận đƣợc những ý kiến đóng góp từ thầy và các bạn để quyển
báo cáo hoàn thiện hơn.
Qua đồ án tốt nghiệp này em xin gửi lời cảm ơn chân thành đến tất cả các thầy cô
trong Khoa Viễn Thông II, những ngƣời đã giảng dạy cung cấp kiến thức cho em trong
suốt 2 năm vừa qua. Đặc biệt là thầy: Lê Duy Khánh là ngƣời trực tiếp giảng dạy,
hƣớng dẫn, cung cấp tài liệu và tạo mọi điều kiện thuận lợi cho em hoàn thành quyển
báo cáo này đúng thời hạn, trân trọng cảm ơn thầy!
SVTH: Huỳnh Kỳ Rin Lớp: L11CQVT02-N Trang 5

CHƢƠNG I: TỔNG QUAN VPN

1.2. Định nghĩa VPN.
VPN (Virtual Private Network) là công nghệ cung cấp một phƣơng thức giao tiếp
an toàn giữa các mạng riêng dựa vào kỹ thuật gọi là tunneling để tạo ra một mạng
riêng trên nền một mạng công cộng. Về bản chất, đây là quá trình đặt toàn bộ gói tin
vào trong một lớp header chứa thông tin định tuyến có thể truyền qua mạng trung gian.
VPN đƣợc hiểu đơn giản nhƣ là sự mở rộng của một mạng riêng (private network)
thông qua các mạng công cộng. Về căn bản, mỗi VPN là một mạng riêng lẻ sử dụng
một mạng chung (thƣờng là Internet) để kết nối cùng với các site (các mạng riêng lẻ)
hay nhiều ngƣời sử dụng từ xa. Thay cho việc sử dụng bởi một kết nối thực, chuyên
dụng nhƣ đƣờng leased line, mỗi VPN sử dụng các kết nối ảo đƣợc dẫn đƣờng qua
Internet từ mạng riêng của các công ty tới các site hay các nhân viên từ xa.
Để có thể gửi và nhận dữ liệu thông qua mạng công cộng mà vẫn bảo đảm tính
an toàn và bảo mật, VPN cung cấp các cơ chế mã hóa dữ liệu trên đƣờng truyền tạo ra
một đƣờng ống bảo mật giữa nơi nhận và nơi gửi giống nhƣ một kết nối point-to-point
trên mạng riêng. Để có thể tạo ra một đƣờng ống bảo mật đó, dữ liệu phải đƣợc mã
hóa hay che giấu đi chỉ cung cấp phần đầu gói dữ liệu (header) là thông tin về đƣờng
đi cho phép nó có thể đi đến đích thông qua mạng công cộng một cách nhanh chóng.
Dữ lịêu đƣợc mã hóa một cách cẩn thận do đó nếu các packet bị bắt lại trên đƣờng
truyền công cộng cũng không thể đọc đƣợc nội dung vì không có khóa để giải mã.
Liên kết với dữ liệu đƣợc mã hóa và đóng gói đƣợc gọi là kết nối VPN, các đƣờng kết
nối VPN thƣờng đƣợc gọi là đƣờng hầm VPN.
VPN gồm các vùng sau:
 Mạng khách hàng (Custumer Network): gồm các Router đặt tại các Site khách
hàng khác nhau, các Router kết nối các Site cá nhân với mạng nhà cung cấp dịch vụ
đƣợc gọi là các Router biên phía khách hàng (Customer Edge Router).
 Mạng nhà cung cấp (Provider Network): đƣợc dùng để cung cấp các kết nối
point-to-point qua hạ tầng mạng của nhà cung cấp. Các thiết bị của nhà cung cấp dịch
vụ mà kết nối trực tiếp với các CE Router đƣợc gọi là Router biên phía nhà cung cấp
dịch vụ (Provider Edge Rouer). Mạng của nhà cung cấp còn có các thiết bị dùng để
chuyển tiếp dữ liệu trong mạng trục đƣợc gọi là các Router nhà cung cung cấp (P-
Provider).
1.2. Phân loại VPN.
VPN bao gồm: VPN cho các doanh nghiệp và VPN đối với các nhà cung cấp
dịch vụ.
1.2.1. VPN cho các doanh nghiệp.
1.2.1.1. Remote Access VPN.
VPN truy cập từ xa hay mạng riêng ảo quay số VPDN đƣợc triển khai, thiết kế
cho những khách hàng riêng lẻ ở xa nhƣ những khách hàng đi đƣờng hay những khách

hàng truy cập vô tuyến. Trƣớc đây, các tổ chức, tập đoàn hỗ trợ cho những khách hàng
từ xa theo những hệ thống quay số. Đây không phải là một giải pháp kinh tế, đặc biệt
khi một ngƣời gọi lại theo đƣờng truyền quốc tế. Với sự ra đời của VPN truy cập từ
xa, một khách hàng di động gọi điện nội hạt cho nhà cung cấp dịch vụ Internet để truy
cập vào mạng nộ bộ của họ chỉ với một máy tính cá nhân đƣợc kết nối Internet cho dù
họ đang ở bất kỳ đâu. VPN truy cập từ xa là sự mở rộng những mạng quay số truyền
thống, trong hệ thống này, phần mềm PC cung cấp một kết nối an toàn nhƣ một đƣờng
hầm cho tổ chức. Bởi vì những ngƣời sử dụng chỉ thực hiện các cuộc gọi nội hạt nên
chi phí giảm.
Hình 1. 1:Mô hình VPN truy nhập từ xa.

1.2.1.2. Site to Site VPN.
Site-to-Site VPN đƣợc triển khai cho các kết nối giữa các vùng khác nhau của
một tổ chức, nói cách khác mạng ở một địa điểm vị trí đƣợc nối kết với mạng ở một vị
trí khác sử dụng một VPN. Trƣớc đây, một kết nối giữa các vị trí này là kênh thuê
riêng hay Frame relay. Tuy nhiên, ngày nay hầu hết các tổ chức đều sử dụng Internet,
với việc sử dụng truy cập Internet, Site-to-Site VPN có thể thay thế kênh thuê riêng
truyền thống và Frame relay, Site-to-Site VPN là sự mở rộng và kế thừa có chọn lọc
mạng WAN.
Site-to-Site VPN chia làm 2 loại:
 VPN cục bộ:
Là một dạng cấu hình tiêu biểu của Site to Site VPN, đƣợc sử dụng để bảo mật
các kết nối giữa các địa điểm khác nhau của một công ty. Nó liên kết trụ sở chính, các
văn phòng, chi nhánh trên một cơ sở hạ tầng chung các kết nối sử dụng luôn đƣợc mã

hóa bảo mật. Do đó cho phép tất cả các địa điểm có thể truy nhập an toàn các nguồn
dữ liệu đƣợc phép trong toàn nội bộ mạng của công ty.
Hình 1.2:Mô hình VPN cục bộ.
 Những ƣu điểm của VPN cục bộ:

 Các mạng cục bộ hay diện rộng có thể đƣợc thiết lập thông qua một hay nhiều
nhà cung cấp dịch vụ.
 Yêu cầu ít số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi xa.
 Có thể dễ dàng thiết lập thêm một liên kết ngang hàng mới, do kết nối trung
gian đƣợc thực hiện thông qua mạng internet.
 Tiết kiệm chi phí từ việc sử dụng đƣờng hầm VPN thông qua internet kết hợp
với công nghệ chuyển mạch tốc độ cao.
 Nhƣợc điểm của VPN cục bộ:
 Do dữ liệu đƣợc truyền “ngầm” qua mạng internet nên vẫn còn những mối đe
dọa về mức độ bảo mật dữ liệu và chất lƣợng dịch vụ.
 Khả năng mất các gói dữ liệu khi truyền dẫn vẫn còn cao.
 Chƣa đảm bảo trong việc truyền khối lƣợng lớn dữ liệu nhƣ đa phƣơng tiện
với yêu cầu tốc độ cao và đảm bảo thời gian thực trong môi trƣờng Internet.
 VPN mở rộng:
VPN mở rộng cung cấp đƣờng hầm bảo mật giữa các khách hàng, nhà cung cấp
và đối tác thông qua một cơ sở hạ tầng công cộng. Giải pháp VPN này sử dụng các kết
nối luôn đƣợc bảo mật và không bị cô lập với mạng bên ngoài nhƣ các trƣờng hợp
VPN cục bộ hay Remote access VPN. VPN mở rộng cung cấp khả năng điều khiển
truy nhập tới những nguồn tài nguyên mạng cần thiết để mở rộng tới những đối tƣợng
kinh doanh.

Hình 1.3:Mô hình VPN mở rộng.

 Những ƣu điểm của VPN mở rộng:
 Chi phí cho VPN mở rộng thấp hơn nhiều so với các giải pháp kết nối khác để
đạt đƣợc mục đích nhƣ vậy.
 Dễ dàng thiết lập, bảo trì và thay đổi đối với mạng đang hoạt động.
 Có nhiều cơ hội trong việc cung cấp dịch vụ và chọn lựa giải pháp phù hợp
với nhu cầu của từng công ty do VPN mở rộng đƣợc xây dựng dựa trên mạng Internet.
 Giảm chi phí vận hành, bảo trì và số lƣợng nhân viên kỹ thuật hỗ trợ mạng do
các kết nối Internet đƣợc nhà cung cấp dịch vụ internet đảm nhiệm.
 Nhƣợc điểm của VPN mở rộng:
 Vấn đề bảo mật gặp khó khăn hơn trong môi trƣờng mở rộng từ đó làm tăng
nguy cơ rủi ro đối với mạng nội bộ của công ty.
 Khả năng mất dữ liệu khi truyền qua mạng công cộng vẫn còn.
 Chƣa giải quyết đƣợc vấn đề khó khăn khi truyền lƣợng lớn dữ liệu với yêu
cầu tốc độ cao và thời gian thực.
1.2.2. VPN đối với các nhà cung cấp dịch vụ.
Dựa trên sự tham gia của nhà cung cấp dịch vụ trong việc định tuyến cho khách
hàng, VPN có thể chia thành hai loại mô hình: Overlay VPN và Peer-to-Peer VPN.
1.2.2.1. Mô hình Overlay VPN.
Hình 1.4:Mô hình Overlay (Frame Relay).

Khi Frame relay và ATM cung cấp cho khách hàng các mạng riêng, nhà cung cấp
không thể tham gia vào việc định tuyến khách hàng. Các nhà cung cấp dịch vụ chỉ vận
chuyển dữ liệu qua các kết nối ảo. Nhƣ vậy, nhà cung cấp chỉ cung cấp cho khách hàng
kết nối ảo tại lớp 2 mà không tham gia vào quá trình định tuyến cho khách hàng, đó là
mô hình Overlay.
Nếu mạch ảo là cố định sẵn sàng cho khách hàng sử dụng mọi lúc thì đƣợc gọi là
mạch ảo cố định PVC. Nếu mạch ảo đƣợc thiết lập theo yêu cầu thì đƣợc gọi là mạch
ảo chuyển đổi SVC. Hạn chế chính của mô hình Overlay là các mạch ảo của các site
khách hàng kết nối dạng full mesh. Nếu có N site khách hàng thì tổng số lƣợng mạch
ảo cần thiết là N(N-1)/2.
Overlay VPN đƣợc thực thi bởi SP để cung cấp các kết nối layer 1(physical) hay
mạch chuyển vận lớp 2 (Data link – dạng dữ liệu frame hoặc cell) giữa các Site khách
hàng bằng cách sử dụng các thiết bị Frame relay hay ATM Switch. Do đó, SP không
thể nhận biết đƣợc việc định tuyến ở khách hàng.
1.2.2.2. Mô hình Peer-to-Peer VPN.
Thông tin định tuyến đƣợc trao đổi giữa
các router CE và router PE
Mạng nhà cung cấp

Customer Site dịch vụ Customer Site
PE Router PE Router
Router A Router C
Customer Site Customer Site
Router B PE Router PE Router Router D
Router PE trao đổi những tuyến

khách hàng qua mạng lõi
Cuối cùng, những tuyến khách hàng truyền xuyên qua

mạng PE và đƣợc gửi đến các router CE khác
Hình 1.5:Mô hình Peer-to-Peer VPN.

Mô hình peer-to-peer khắc phục những nhƣợc điểm của mô hình Overlay và
cung cấp cho khách hàng cơ chế vận chuyển tối ƣu qua SP backbone, vì nhà cung cấp
dịch vụ biết mô hình mạng khách hàng và do đó có thể thiết lập định tuyến tối ƣu cho
các định tuyến của họ. Nhà cung cấp dịch vụ tham gia vào việc định tuyến của khách
hàng, thông tin định tuyến của khách hàng đƣợc quảng bá qua mạng của nhà cung cấp
dịch vụ. Mạng của nhà cung cấp dịch vụ xác định đƣờng đi tối ƣu từ một site khách
hàng đến một site khác.
Việc phát hiện các thông tin định tuyến riêng của khách hàng bằng cách thực
hiện lọc gói ( packet ) tại các router kết nối với mạng khách hàng.
 Peer-to-peer VPN chia làm 2 loại:

 Shared-router: Router dùng chung, tức là khách hàng VPN chia sẻ cùng router
biên mạng nhà cung cấp PE, ở phƣơng pháp này nhiều khách hàng có thể kết nối đến
cùng PE router. Trên PE router, phải cấu hình access-list cho mỗi interface PE-CE để
đảm bảo chắc chắn sự cách ly giữa các khách hàng VPN, để ngăn chặn VPN của
khách hàng này thực hiện các tấn công từ chối dịch vụ DoS vào VPN của khách hàng
khác. Nhà cung cấp dịch vụ chia mỗi phần trong không gian địa chỉ của nó cho khách
hàng và quản lý việc lọc gói tin trên PE router.
 Dedicated-router: Là phƣơng pháp mà khách hàng VPN có PE router dành
riêng. Trong phƣơng pháp này, mỗi khách hàng VPN phải có PE router dành riêng và
do đó chỉ truy cập đến các định tuyến trong bảng định tuyến của PE router đó. Mô
hình Dedicated-router sử dụng các giao thức định tuyến để tạo ra bảng định tuyến một
VPN trên PE router. Bảng định tuyến chỉ có các định tuyến đƣợc quảng bá bởi khách
hàng VPN kết nối đến chúng, kết quả là tạo ra sự cách ly giữa các VPN.
Hình 1.6:Mô hình shared-router và dedicated-router.

 Nhƣợc điểm của mô hình Peer-to-Peer VPN:
 Không gian địa chỉ các khách hàng không đƣợc trùng nhau.
 Địa chỉ khách hàng do nhà cung cấp kiểm soát.
1.3. Chức năng, ƣu và nhƣợc điểm của VPN.
1.3.1. Chức năng VPN.
VPN cung cấp 3 chức năng chính là tính xác thực, tính toàn vẹn và tính bảo mật.
 Tính xác thực: để thiết lập một kết nối VPN thì trƣớc hết cả hai phía phải xác
thực lẫn nhau để khẳng định rằng mình đang trao đổi thông tin với ngƣời mình mong
muốn chứ không phải một ngƣời khác.
 Tính toàn vẹn: đảm bảo dữ liệu không bị thay đổi hay có bất kỳ sự xáo trộn
nào trong quá trình truyền dẫn.
 Tính bảo mật: ngƣời gửi có thể mã hóa các gói dữ liệu trƣớc khi truyền qua
mạng công cộng và dữ liệu sẽ đƣợc giải mã ở phía thu. Bằng cách làm nhƣ vậy, không

một ai có thể truy nhập thông tin mà không đƣợc phép, thậm chí nếu có lấy đƣợc thì
cũng không đọc đƣợc.
1.3.2. Ƣu điểm VPN.
 Giảm chi phí thiết lập: VPN có giá thành thấp hơn rất nhiều so với các giải
pháp truyền tin truyền thống nhƣ Frame Relay, ATM hay ISDN. Lý do là VPNs đã
loại bỏ các kết nối khoảng cách xa bằng cách thay thế chúng bằng các kết nối nội bộ
và mạng truyền tải nhƣ ISP.
 Giảm chi phí vận hành: VPN giúp giảm chi phí truyền thông ở khoảng cách
xa, cũng nhƣ chi phí cho thiết bị đầu cuối đƣợc sử dụng trong mạng WAN. Ngoài ra
VPN còn giúp các doanh nghiệp giảm chi phí trong việc đào tạo và quản lý nhân sự.
 Nâng cao kết nối: do VPN sử dụng mạng Internet cho kết nối nội bộ giữa chi
nhánh, nên dù ở bất cứ chi nhánh nào ngƣời sử dụng cũng có thể kết nối dễ dàng với
mạng nội bộ của doanh nghiệp.
 Bảo mật: bởi vì VPN sử dụng kỹ thuật đƣờng hầm để tryền dữ liệu thông qua
mạng công cộng cho nên tính bảo mật cũng đƣợc cải thiện. Thêm vào đó, VPN sử
dụng thêm các phƣơng pháp tăng cƣờng bảo mật nhƣ mã hóa, chứng thực và ủy quyền.
Do đó VPNs đƣợc đánh giá cao bảo mật trong truyền tin.
 Hiệu suất băng thông: trong kỹ thuật VPN thì các “đƣờng hầm” chỉ đƣợc hình
thành khi có yêu cầu truyền tải thông tin. Băng thông mạng chỉ đƣợc sử dụng khi có
kích hoạt kết nối internet., do đó hạn chế rất nhiều sự lãn phí băng thông.
 Có thể nâng cấp dễ dàng: bởi vì VPN dựa trên cơ sở internet nên nó cho phép
các mạng nội bộ của doanh nghiệp có thể đƣợc mở rộng khi mà hoạt động kinh doanh
phát triển hơn, mà không yêu cầu nâng cấp, hoặc đầu tƣ lại nhiều cho cơ sở hạ tầng
mạng.
1.3.3. Khuyết điểm.
 Phụ thuộc nhiều vào chất lƣợng mạng Internet: sự quá tải hay tắc nghẽn mạng
có thể làm ảnh hƣởng xấu đến chất lƣợng truyền tin của các máy trong mạng VPN.
 Thiếu các giao thức kế thừa hỗ trợ: VPN hiện nay dựa hoàn toàn trên cơ sở kỹ
thuật IP. Tuy nhiên, nhiều tổ chức tiếp tục sử dụng máy tính lớn, các thiết bị và giao
thức kế thừa cho việc truyền tin mỗi ngày. Kết quả là VPN không phù hợp đƣợc với
các thiết bị và giao thức này. Vấn đề này có thể đƣợc giải quyết ở một chừng mực bởi
các cơ chế đƣờng hầm.

CHƢƠNG II: GIỚI THIỆU KỸ THUẬT CHUYỂN MẠCH MPLS
CHƢƠNG II:GIỚI THIỆU KỸ THUẬT CHUYỂN MẠCH MPLS

2.1. Khái niệm MPLS.
MPLS (Multi-Protocol Label Switching) là công nghệ kết hợp đặc điểm tốt nhất
giữa định tuyến lớp ba và chuyển mạch lớp hai cho phép chuyển tải các gói tin rất
nhanh trong mạng lõi và định tuyến tốt ở mạng biên bằng cách dựa vào nhãn. MPLS là
một phƣơng pháp cải tiến việc chuyển tiếp gói trên mạng bằng các nhãn đƣợc gắn vào
mỗi gói IP, tế bào ATM, hoặc frame lớp 2. Phƣơng pháp chuyển mạch nhãn giúp các
Router ra quyết định theo nội dung nhãn tốt hơn việc định tuyến phức tạp theo địa chỉ
IP đích. MPLS kết nối tính thực thi và khả năng chuyển mạch lớp hai với định tuyến
lớp ba cho phép các ISP cung cấp nhiều dịch vụ khác nhau mà không cần phải bỏ đi cơ
sở hạ tầng sẵn có.
MPLS hỗ trợ mọi giao thức lớp hai, triển khai hiệu quả các dịch vụ IP trên một
mạng chuyển mạch IP. MPLS hỗ trợ việc tạo ra các tuyến khác nhau giữa nguồn và
đích trên một đƣờng trục Internet. Bằng việc tích hợp MPLS vào kiến trúc mạng, các
ISP có thể giảm chi phí, tăng lợi nhuận, cung cấp nhiều hiệu quả khác nhau và đạt
đƣợc sự cạnh tranh cao.
1.2. Kiến trúc cơ bản của LSR.
Hình 2.1:Kiến trúc một router trong miền MPLS.

2.2.1. Mặt phẳng điều khiển.
Mặt phẳng điều khiển đƣợc dùng để điều khiển các hoạt động thiết yếu trong
mạng và cung cấp các dịch vụ cho mặt phẳng dữ liệu. Chức năng chính của mặt phẳng
điều khiển trong kiến trúc LSR là thực hiện cơ chế trao đổi thông tin định tuyến và
trao đổi nhãn giữa các thiết bị lân cận. Mặt phẳng điều khiển chứa 2 thành phần nhƣ
sau:

 Tập các giao thức: mặt phẳng điều khiển chứa một tập các giao thức định
tuyến nhƣ OSPF, BGP, RIPv2… và các giao thức thực hiện trao đổi nhãn nhƣ LDP,
BGP (đƣợc sử dụng trong miền MPLS-VPN).
 Bảng định tuyến IP (IP Routing Table), bảng cơ sở thông tin nhãn (LIB)…
2.2.2. Mặt phẳng chuyển tiếp.
Có chức năng chuyển tiếp gói tin đi dựa vào nhãn ở mỗi gói tin, mặt phẳng
chuyển tiếp thực hiện chức năng một cách độc lập với tập giao thức đƣợc sử dụng ở
mặt phẳng điều khiển.
Mặt phẳng dữ liệu chứa hai thành phần nhƣ sau:
 Bảng chuyển tiếp IP (IP Forwading Table).
 Bảng chuyển tiếp nhãn (Lable Forwarding Table).
2.3. Thành phần thiết bị trong MPLS.
Miền MPLS có thể đƣợc phân chia thành hai phần: phần lõi (MPLS Core) và
phần biên (MPLS Edge) nhƣ hình 2.2.
Hình 2.2:Các miền trong MPLS.

Một thành phần thiết bị không thể thiếu trong hoạt động của miền MPLS là các
bộ định tuyến chuyển mạch nhãn (Label Switching Router). Khi gọi tên một LSR, ta
thƣờng gặp những tên gọi nhƣ hình 2.2 nhƣ sau:
 LSR lối vào (Ingress LSR):xử lý lƣu lƣợng đi vào miền MPLS, gói dữ liệu đến
LSR lối vào là gói dữ liệu IP truyền thống, LSR sẽ gán nhãn cho gói tin đó và chuyển
nó vào trong miền MPLS.
 LSR chuyển tiếp (Transit LSR):thực hiện chuyển mạch nhãn cho các gói tin đi
trong miền MPLS.
 LSR lối ra (Egress LSR):xử lý lƣu lƣợng đi ra miền MPLS, các LSR ngõ ra sẽ
tháo bỏ nhãn cuối cùng và định tuyến gói dữ liệu nhƣ gói IP thông thƣờng.
 LSR biên (Edge LSR) hay LER (Label Edge Router):thƣờng đƣợc sử dụng
nhƣ là tên chung của LSR lối vào và LSR lối ra.

2.4. Các thành phần cơ bản trong MPLS.

2.4.1. Nhãn.
Nhãn là một khung nhận dạng ngắn, có chiều dài cố định và không có cấu trúc
bên trong. Nhãn đƣợc gán vào một gói tin sẽ đại diện cho một FEC mà gói tin đó
thuộc về.
Hình 2.3:Định dạng nhãn.

Một khung nhãn trong MPLS có chiều dài 32 bit, chứa các trƣờng thông tin sau:
 LABEL: 20 bits, đây là giá trị của nhãn đƣợc gán cho gói tin.
 EXP (Experimental field): 3 bits, xác định thông tin về chất lƣợng dịch vụ
(QoS) đƣợc gán cho gói tin.
 S (Bottom of Stack indicator): 1 bit, xác định nhãn đang gán vào gói tin có
phải là nhãn cuối cùng trong ngăn xếp chứa nhãn (Stack) hay không. Nếu bit S bật lên
1, đây là nhãn cuối cùng trong ngăn xếp chứa nhãn.
 TTL (Time to live field): 8 bits, có chức năng giống nhƣ trƣờng TTL trong
tiêu đề gói IP nhằm giải quyết sự lặp vòng không mong muốn của gói tin khi đƣợc
chuyển tiếp trên mạng mà không đến đƣợc đích. Khi gói tin có gán nhãn đi qua một
LSR, giá trị trƣờng TTL sẽ đƣợc giảm xuống 1, khi trƣờng này có giá trị 0 gói tin sẽ bị
hủy bỏ.
Trong một miền MPLS, cơ chế chuyển tiếp nhãn đƣợc thực hiện dựa trên việc
phân tích các thông tin trong tiêu đề của khung (frame header) và sau đó thực hiện các
thao tác nhƣ thêm nhãn (push), tháo nhãn (pop), hoặc đổi nhãn (swap)…phụ thuộc vào
vị trí của LSR trong miền MPLS. Trong chế độ hoạt động này, nhãn đƣợc chèn ở giữa
tiêu đề lớp 2 (Layer 2 header) và tiêu đề lớp 3 (Layer 3 header).
Hình 2.4:Vị trí chèn nhãn trong chế độ chuyển tiếp khung (frame-mode).
Khi các LSR ở bìa của miền MPLS nhận đƣợc một gói tin IP chƣa có nhãn, nó sẽ
thực hiện các thao tác cơ bản nhƣ sau:

 Xác định giao diện ngõ ra của gói tin.

 Nếu giao diện ngõ ra hỗ trợ các chức năng MPLS và nhãn ứng với chặng kế
tiếp của gói tin tồn tại hợp lệ thì LSR sẽ chèn nhãn vào giữa phần tiêu đề lớp 2 của
khung và tiêu đề lớp 3 nhƣ hình 2.4.
 Chuyển tiếp gói tin đã đƣợc gán nhãn hoàn tất.
 Các LSR trong vùng lõi của miền MPLS chỉ đơn giản là chuyển tiếp gói tin đi
dựa vào nhãn đã đƣợc gán.
2.4.2. Chồng nhãn.
Chồng nhãn (label stack) là một tập hợp nhãn, mỗi nhãn có một chức năng cụ thể
nào đó. Nếu LSR gán nhiều hơn một nhãn lên gói tin IP thì sẽ tạo thành một tập hợp
nhãn đƣợc gọi là chồng nhãn.
Hình 2.5:Label Stack.
Các vấn đề quan trọng liên quan tới label stack:

 Dựa vào các giá trị của trƣờng Ethertype (hay giá trị định dạng giao thức
Protocol ID) trong tiêu đề Ethernet, ta có thể xác định gói tin đã đƣợc gán nhãn hay
chƣa:
 Protocol ID (PID) = 0x0800 cho biết payload là một gói IP chƣa đƣợc gán
nhãn.
 PID = 0x8847 cho biết payload là một gói tin IP kiểu unicast, và có ít nhất
một nhãn đứng trƣớc trƣờng chứa tiêu đề IP.
 PID = 0x8848 cho biết payload là một gói tin IP theo kiểu multicast và có ít
nhất một nhãn đứng trƣớc trƣờng chứa tiêu đề IP.
 Trƣờng thông tin S trong định dạng nhãn đã đƣợc nêu ở mục trên dùng để xác
định nhãn nào là nhãn cuối cùng trong stack, nếu là nhãn cuối cùng trong chồng nhãn
thì S đƣợc bật lên 1.
 LSR ở phần lõi của miền MPLS chỉ đổi nhãn đầu tiên trong chồng nhãn. Một
LSR biên ngõ ra của miền MPLS sẽ loại bỏ lần lƣợt từng nhãn trong chồng nhãn cho
đến khi nó tìm thấy nhãn cuối cùng (dựa vào giá trị của trƣờng S). Sau khi đã bỏ đi
nhãn cuối cùng, quá trình chuyển tiếp giống nhƣ quá trình chuyển tiếp IP bình thƣờng.

2.4.3. Lớp tƣơng đƣơng chuyển tiếp.

Lớp tƣơng đƣơng chuyển tiếp (Forwarding Equivalence Class) là một tập các gói
tin IP có các đặc tính tƣơng tự và đồng nhất nhau. Mỗi FEC đƣợc định danh bằng cách
gán cho nó một nhãn. Các gói tin IP thuộc cùng một FEC sẽ đƣợc chuyển tiếp bởi
cùng một cách thức, trên cùng một đƣờng dẫn chuyển tiếp ngay cả khi chúng có sự
khác biệt về các thông tin còn lại trong tiêu đề của gói tin (header).
Các đặc tính dùng để xác định một FEC thƣờng là địa chỉ đích đến của các gói
tin IP hoặc một địa chỉ đích đến và một loại lƣu lƣợng liên quan đến một chỉ số cổng
đích nào đó. Với Internet các giá trị sau đƣợc sử dụng để thành lập một FEC: địa chỉ
IP nguồn và đích, chỉ số cổng nguồn và đích, định danh giao thức (PID), điểm mã
(codepoint) của các dịch vụ khác biệt IPv4, dòng nhãn IPv6…
Chức năng của một FEC thể hiện ở việc cho phép nhóm các gói vào các lớp. Từ
nhóm này, giá trị FEC trong một gói có thể đƣợc dùng để thiết lập độ ƣu tiên cho việc
xử lý các gói, FEC cũng có thể đƣợc dùng để hỗ trợ chất lƣợng dịch vụ một cách hiệu
quả. Ví dụ, FEC có thể liên kết với độ ƣu tiêu cao, lƣu lƣợng thoại thời gian thực…
2.4.4. Đƣờng chuyển mạch nhãn.
Đƣờng chuyển mạch nhãn (Label Switching Path) là một chuỗi các LSR liên tiếp
mà các gói tin có gán nhãn thuộc cùng một FEC đi qua để đến đích. Có thể hình dung
LSP nhƣ là một mạch ảo đi xuyên qua miền MPLS. Một LSP bắt đầu tại một LSR ở
ngõ vào, LSR này thực hiện chuyển tiếp gói tin ứng với một FEC đến chặng kế tiếp,
LSR kế tiếp sẽ đổi nhãn và đƣa gói tin đi đến chặng kế tiếp…quá trình này cứ tiếp tục
cho đến điểm cuối của LSP là một LSR ở ngõ ra, LSR ngõ ra sẽ bỏ nhãn của gói tin và
định tuyến nó ra ngoài miền MPLS.
Hình 2.6:Đường chuyển mạch nhãn.

 Tính chất của một LSP: LSP là một đƣờng đơn hƣớng, nghĩa là một gói tin
phải sử dụng đƣờng chuyển mạch nhãn khác khi nó di chuyển ngƣợc chiều ban đầu.
 Quá trình xây dựng nên LSP: để xây dựng nên một LSP cần có hai loại giao
thức: các giao thức định tuyến nội vùng (Internal Gateway Protocol-IGP) nhƣ OSPF,
IS-IS, EIGRP và giao thức phân phối nhãn LDP. IGP có nhiệm vụ phân tán thông tin

định tuyến đến tất cả các router trong miền MPLS và xác định đƣờng đi ngắn nhất
tƣơng ứng với mỗi mạng đích cho từng router đó. Còn LDP thực hiện phân phối nhãn
đến tất cả các chặng trong miền MPLS, quá trình chuyển tiếp gói tin dựa vào nhãn và
đƣờng đi ngắn nhất đã đƣợc xác định trên từng chặng kế tiếp sẽ tạo thành LSP.
2.4.5. Bộ định tuyến chuyển mạch nhãn.
Hình 2.7:Mối liên hệ giữa các thành phần trong một LSR.
 Bảng định tuyến IP (hay bảng cơ sở thông tin định tuyến): bảng RIB (Routing
Information Base) nằm ở mặt phẳng điều khiển, đƣợc tạo ra bởi các giao thức định
tuyến nội vùng IGP khi trao đổi các thông tin định tuyến giữa các LSR, RIB sẽ cung
cấp thông tin cho bảng FIB ở mặt phẳng chuyển tiếp.
 Bảng cơ sở thông tin chuyển tiếp (FIB): bảng FIB (Forwarding Information
Base) nằm ở mặt phẳng chuyển tiếp trong một router của miền MPLS. Một bảng FIB
chứa 3 thuộc tính quan trọng là: địa chỉ mạng đích, địa chỉ trạm kế (next-hop) và nhãn
của chặng kế tiếp (có thể có hoặc không). Chức năng của FIB là đƣợc sử dụng để xử lý
các gói tin đi vào không gán nhãn. Có hai trƣờng hợp xảy ra: nếu nhãn của chặng kế
tiếp tồn tại, gói tin sẽ đƣợc gán nhãn trƣớc khi chuyển mạch. Còn nếu nhãn của chặng
kế tiếp không tồn tại trong FIB, gói tin sẽ đƣợc chuyển mạch với cơ chế CEF nhƣ một
gói tin IP bình thƣờng.
 Bảng cơ sở thông tin nhãn (LIB): bảng LIB (Label Information Base) nằm ở
mặt phẳng điều khiển của một LSR, đƣợc tạo ra bởi giao thức phân phối nhãn LDP.
Bảng LIB chứa 2 thuộc tính quan trọng: các tiền tố địa chỉ mạng đích (prefix) trong
bảng định tuyến đƣợc ánh xạ với các nhãn của chặng kế tiếp mà LSR học đƣợc từ các
hàng xóm xuôi dòng thông qua LDP hay các nhãn nội (local label) đƣợc tạo ra và phân
tán bởi LDP. LIB kết hợp với FIB tạo nên bảng LFIB nằm ở mặt phẳng chuyển tiếp.
 Bảng cơ sở thông tin chuyển tiếp nhãn (LFIB) : bảng LFIB (Label Forwarding
Information Base) nằm ở mặt phẳng chuyển tiếp trong một LSR. LFIB chỉ chứa các
thông tin cần thiết để chuyển tiếp gói tin đến chặng kế trong LSP, nó chính là tập con
của LIB. Cấu trúc một bảng LFIB gồm có nhiều mục thông tin, mỗi mục gồm 1 hay

nhiều mục con, mỗi mục con gồm một nhãn ra, một giao diện ngõ ra, và địa chỉ trạm
kế tiếp (hình 2.8). Ở đây có nhiều mục con là để kiểm soát định tuyến multicast, khi
mà một gói đến từ một ngõ vào cần đƣợc gửi đến nhiều giao diện ngõ ra.
Hình 2.8:Cấu trúc bảng LFIB.

Chức năng của LFIB là đƣợc sử dụng để xử lý các gói tin đi vào đã đƣợc gán
nhãn, hoặc là đổi nhãn cho gói tin, hoặc là bỏ nhãn để trở thành gói tin IP bình thƣờng
trƣớc khi thực hiện chuyển mạch gói tin
2.4.6. Giao thức phân phối nhãn LDP.
Label Distribution Protocol là giao thức tạo nên bảng LIB trong mặt phẳng điều
khiển của một LSR. LDP giúp các LSR khám phá các LSR ngang cấp và thiết lập các
phiên kết nối để thực hiện trao đổi và phân phối thông tin nhãn. LDP sử dụng cổng
646 để truyền thông tin, nó cung cấp 4 loại bản tin cơ bản để thiết lập kết nối và trao
đổi thông tin nhãn giữa các LSR:
 Bản tin Discovery: dùng các thông điệp Hello để một LSR tìm kiếm các LSR
khác có khả năng thiết lập phiên kết nối LDP với nó để trao đổi thông tin nhãn. Thông
điệp Hello gửi đi trên nền UDP, có địa chỉ đích là một địa chỉ multicast 224.0.0.2 và
cổng đích là 646. Còn sự thiết lập kết nối sẽ dựa trên nền TCP với cùng cổng đích là
646.
 Bản tin Adjency: có nhiệm vụ khởi tạo, duy trì và kết thúc những phiên kết nối
giữa các LSR. Bản tin Adjency chạy trên nền giao thức TCP và cung cấp một phiên
khởi tạo sử dụng 2 thông điệp.
 Bản tin Label Advertisement: thực hiện việc thông báo, đƣa ra yêu cầu, hủy bỏ
và giải phóng thông tin nhãn.
 Bản tin Notification: đƣợc sử dụng để thông báo lỗi giữa những LSR ngang
hàng và có một phiên kết nối LDP giữa chúng.
 Quá trình phân phối nhãn:
 Các Router sử dụng các giao thức định tuyến để xây dựng nên bảng định tuyến
 Các LSR gán nhãn cho mỗi tuyến trong bảng định tuyến một cách độc lập và
các nhãn này có ý nghĩa local.
 Các LSR lần lƣợt phân phối các nhãn đƣợc gán đến tất cả các LSR láng giềng
 Tất cả các LSR xây dựng bảng FIB, LIB, LFIB dựa trên các nhãn nhận đƣợc.
Ví dụ sau đây sẽ minh họa quá trình phân phối nhãn trong MPLS:
Đầu tiên các LSR trong mạng chạy giao thức định tuyến để tìm đƣờng đi cho các gói
tin và xây dựng bảng định tuyến của mình. Dựa vào các bảng định tuyến IP, các LSR

hình thành nên bảng FIB, các bảng này không mang thông tin về nhãn. Giả sử Router
A muốn đến mạng X thì phải qua next hop là Router B.
Hình 2.9:Quá trình xây dựng bảng định tuyến.

Sau khi bảng định tuyến đã hoàn thành các Router sẽ gán nhãn cho tất cả các
tuyến đích có trong bảng định tuyến của nó, các nhãn này chỉ có ý nghĩa nội bộ và việc
gán nhãn là không đồng bộ. Ở đây Router B gán nhãn 25 cho mạng X nhƣ hình bên
dƣới:
Hình 2.10:Gán nhãn cho các đích có trong bảng định tuyến.
Router phân phối nhãn cho tất cả các LSR kế cận nó và bảng LIB đƣợc hình
thành.
Hình 2.11:Xây dựng bảng LIB.

Các LSR nhận đƣợc nhãn sẽ cập nhât vào bảng LIB, riêng các LER sẽ cập nhật
vào bảng LIB và FIB của nó.
Hình 2.12:Cập nhật nhãn vào bảng LIB.

Tƣơng tự Router C cũng gán nhãn 47 cho mạng X và quảng bá đến các LSR láng
giềng, Router C không quảng bá cho Router D vì Router D không chạy MPLS.
Hình 2.13:Quảng bá nhãn.

Cùng lúc này trên Router C hình thành 2 bảng LIB và LFIB, sau khi nhận đƣợc
nhãn 47 từ Router C, Router B cập nhật nhãn này vào trong bảng LIB và FIB đồng
thời xây dựng bảng LFIB, riêng Router E chỉ thêm nhãn 47 vào LIB và FIB.
Hình 2.14:Hoàn thành việc thiết lập LSP.

Nhƣ vậy một LSP đã đƣợc hoàn thành từ LER A tới mạng X.
1.5. Nguyên lí hoạt động của MPLS.
 Các thao tác trên nhãn trong MPLS:
 Push: thêm nhãn mới vào gói tin IP hoặc vào chồng nhãn MPLS của gói tin và
nó đƣợc thực hiện ở LSR ngõ vào.
 Swap: nhãn trên cùng của chồng nhãn thì đƣợc hoán đổi bằng một nhãn khác
dựa vào bảng LFIB trƣớc khi chuyển mạch gói tin đến LSR kế tiếp, hoạt động này
đƣợc thực hiện ở LSR trung gian.
 Pop: tháo nhãn trên cùng từ chồng nhãn của gói tin để chuẩn bị chuyển tiếp
gói tin đến đích cuối cùng của nó.
Khi một gói tin vào mạng MPLS, các bộ định tuyến chuyển mạch nhãn không
thực hiện chuyển tiếp theo từng gói mà thực hiện phân loại gói tin vào trong các lớp
tƣơng đƣơng chuyển tiếp (FEC), sau đó các nhãn đƣợc ánh xạ vào trong các FEC. Một
giao thức phân phối nhãn LDP đƣợc xác định và chức năng của nó là để ấn định và
phân phối các ràng buộc FEC/nhãn cho các bộ định tuyến chuyển mạch nhãn LSR.
Khi LDP hoàn thành nhiệm vụ của nó, một đƣờng dẫn chuyển mạch nhãn LSP đƣợc
xây dựng từ ngõ vào tới ngõ ra.
Khi các gói đến LSR ngõ vào của miền MPLS, nó sẽ kiểm tra nhiều trƣờng trong
tiêu đề gói để xác định xem gói thuộc về FEC nào. Sau đó LSR ngõ vào sẽ gán nhãn
cho gói và chuyển tiếp nó tới ngõ ra tƣơng ứng, các gói đƣợc hoán đổi nhãn qua mạng
cho đến khi nó đến LSR ngõ ra, lúc đó nhãn bị loại và đƣợc xử lý tại lớp 3 của gói tin
IP bình thƣờng.
Ví dụ sau sẽ mô tả quá trình hoạt động chuyển mạch của MPLS:
Hình 2.15:Hoạt động MPLS.

 Đầu tiên R1 quảng bá prefix 10.10.10.0/24 vào mạng bằng một giao thức IGP
(OSPF, EIGRP…)
 Một gói tin IP đến R4 với đích là các địa chỉ thuộc mạng 10.10.10.0/24

 Lúc này R4 phân loại gói tin đó vào một FEC, sau đó xem cơ sở thông tin
chuyển tiếp nhãn của nó và xác định đƣợc next hop là R3 và gán nhãn L4 cho FEC
này, gửi đến R3.
 R3 nhận gói tin đƣợc gán nhãn L4 từ R4, nó tìm trong bảng LFIB của mình
sau đó thực hiện thao tác đổi nhãn L4 thành L3 và chuyển qua R2.
 R2 nhận gói tin MPLS từ R3 gửi đến, dò trong bảng LFIB thực hiện thao tác
tháo nhãn ra ( do trƣớc nó là Router biên của miền MPLS nên R2 thực hiện kỹ thuật
PHP) trƣớc khi đƣa đến R1 nhƣ là một gói tin IP bình thƣờng
 R1 nhận gói tin từ R2 và chuyển tiếp gói tin đến đích của nó dựa vào Header
của gói IP.
2.6. Ƣu nhƣợc điểm MPLS.
2.6.1. Ƣu điểm.
Mặc dù thực tế rằng MPLS ban đầu đƣợc phát triển với mục đích để giải quyết
việc chuyển tiếp gói tin, nhƣng lợi điểm chính của MPLS trong môi trƣờng mạng hiện
tại lại từ khả năng điều khiển lƣu lƣợng của nó, một số lợi ích của MPLS nhƣ:
 Hỗ trợ mềm dẻo cho tất cả các dịch vụ (hiện tại và sắp tới) trên một mạng đơn.
 Đơn giản hóa đồ hình và cấu hình mạng khi so với giải pháp IP qua ATM.
 Hỗ trợ tất cả các công cụ điều khiển lƣu lƣợng mạnh mẽ bao gồm cả định
tuyến liên tiếp và chuyển mạch bảo vệ.
 Hỗ trợ đa kết nối và đa giao thức: thiết bị chuyển tiếp chuyển mạch nhãn có
thể đƣợc dùng khi thực hiện chuyển mạch nhãn với IP cũng tốt nhƣ với IPX. Chuyển
mạch nhãn cũng có thể vận hành ảo trên bất kỳ giao thức lớp liên kết dữ liệu.
 Khả năng mở rộng: chuyển mạch nhãn cũng có ƣu điểm về sự tƣơng tác giữa
chức năng điều khiển và chuyển tiếp. Mỗi phần có thể phát triển không cần đến các
phần khác, tạo sự phát triển mạng dễ dàng hơn, giá thành thấp hơn và lỗi ít hơn.
 Hỗ trợ cho tất cả các loại lƣu lƣợng: một ƣu điểm khác của chuyển mạch
nhãn là nó có thể hỗ trợ cho tất cả các loại chuyển tiếp unicast, loại dịch vụ unicast và
các gói multicast.
2.6.2. Nhƣợc điểm.
 Việc hỗ trợ đồng thời nhiều giao thức sẽ gặp phải những vấn đề phức tạp trong
kết nối.
 Các ƣu thế về hiệu năng, tốc độ hay điều khiển lƣu lƣợng của MPLS chỉ thực
sự phát huy tác dụng đối với các mạng qui mô lớn. Đối với các mạng qui mô nhỏ thì
đôi khi việc ứng dụng MPLS lại dẫn đến sự phức tạp hóa mạng không cần thiết, giảm
tốc độ xử lí tại các nút và giảm hiệu năng mạng nói chung.
2.7. Ứng dụng.
 Voice yêu cầu độ trễ thấp, cho phép thất thoát dữ liệu để tăng hiệu quả.
 Video cho phép thất thoát dữ liệu ở mức độ chấp nhận đƣợc, mang tính thời
gian thực.

 Dữ liệu yêu cầu độ bảo mật và chính xác cao, MPLS giúp khai thác tài nguyên
mạng đạt hiệu quả cao.
 Một số ứng dụng đang đƣợc triển khai là:
 MPLS-VPN: nhà cung cấp dịch vụ sử dụng cơ sở hạ tầng mạng công cộng có
sẵn để thực thi các kết nối giữa các site khách hàng.
 MPLS Traffic Engineer: cung cấp khả năng thiết lập một hoặc nhiều đƣờng đi
để điều khiển lƣu lƣợng mạng và các đặc trƣng thực thi cho một loại lƣu lƣợng.
 MPLS Quality of Service: dùng QoS các nhà cung cấp dịch vụ có thể cung cấp
nhiều loại dịch vụ với sự đảm bảo tối đa về QoS cho khách hàng.

CHƢƠNG III: MPLS VPN

3.1. Giới thiệu MPLS VPN.
MPLS-VPN kết hợp những đặc điểm tốt nhất của Overlay VPN và Peer-to-Peer
VPN:
 Các PE router tham gia vào quá trình định tuyến của khách hàng, tối ƣu việc
định tuyến giữa các site của khách hàng.
 Các PE router sử dụng các bảng định tuyến ảo (Virtual Routing Table) cho
từng khách hàng nhằm cung cấp khả năng kết nối vào mạng của nhà cung cấp cho
nhiều khách hàng.
 Các khách hàng có thể sử dụng địa chỉ IP trùng nhau (Overlap address)
MPLS-VPN backbone và các site khách hàng trao đổi thông tin định tuyến lớp 3.
Hình 3.1:Mô hình MPLS-VPN.

 MPLS-VPN đƣợc phân thành hai vùng mạng chính:
 Provider network: hạ tầng mạng đƣợc xây dựng bởi nhà cung cấp dịch vụ
để cung cấp dịch vụ VPN cho khách hàng, bao gồm các thiết bị và sự quản lý của nhà
cung cấp dịch vụ.
 Customer network: hạ tầng mạng của khách hàng nằm dƣới sự quản lý của
khách hàng.
 Các thành phần thiết bị trong miền MPLS-VPN (hình 3.1):
 Customer Edge (CE) Router: đây là bộ định tuyến kết nối một khu vực
trong VPN vào hạ tầng mạng của nhà cung cấp dịch vụ, thƣờng đặt ở site khách hàng
và chịu trách nhiệm trao đổi thông tin định tuyến lớp 3 với các PE của nhà cung cấp
dịch vụ.
 Provider Edge (PE) Router: bộ định tuyến nằm ở vùng biên thuộc mạng lõi
của nhà cung cấp dịch vụ, các CE router sẽ kết nối với các PE router trên mạng lõi

MPLS. PE router này là một phần của lõi MPLS và đƣợc các nhà cung cấp dịch vụ
quản lý.
 Provider (P) Router: bộ định tuyến nằm trong mạng lõi của nhà cung cấp
dịch vụ, nó cung cấp kết nối giữa các PE router. Thông thƣờng một P router không có
thông tin VPN, chỉ có thông tin liên lạc với các PE router. Các P router sẽ cung cấp cơ
chế chuyển mạch nhãn các gói tin, chúng không mang các tuyến VPN và không tham
gia định tuyến trong MPLS-VPN.
3.2. Các mô hình MPLS VPN (L2 VPN và L3 VPN).
3.2.1. Mô hình L2 VPN.
Hình 3.2:Mô hình MPLS VPN lớp 2.

Trong mạng MPLS-VPN lớp 2, một frame (dữ liệu lớp 2) khi di chuyển qua
mạng sẽ đƣợc gán hai nhãn: nhãn L1 đƣợc sử dụng bởi các router lõi (P router) để vận
chuyển các frame trong mạng MPLS và nhãn VC1 đƣợc sử dụng bởi các PE router để
đƣa các frame đến đúng router của khách hàng. Khi khách hàng sử dụng dịch vụ VPN
lớp 2, các thiết bị mạng dùng để kết nối các văn phòng khác nhau của một đơn vị có
cùng một subnet. Thiết bị định tuyến của nhà cung cấp dịch vụ và khách hàng không
trao đổi thông tin định tuyến với nhau.
L2 VPN có ƣu điểm quan trọng nhất là cho phép các giao thức lớp cao đƣợc
truyền trong suốt đối với MPLS. Nó có thể hoạt động trên hầu hết các công nghệ lớp 2
gồm ATM, FR, Ethernet và mở ra khả năng tích hợp các mạng phi kết nối IP với các
mạng hƣớng kết nối. Ngoài ra, trong giải pháp này ngƣời sử dụng đầu cuối không cần
phải cấu hình định tuyến cho các bộ định tuyến khách hàng CE.
Tuy nhiên, L2 VPN không dễ dàng mở rộng nhƣ L3 VPN, một cấu hình đầy đủ
cho các LSP phải đƣợc sử dụng để kết nối các VPN trong mạng. Hơn nữa, L2VPN
không thể tự động định tuyến giữa các site. Vì vậy, tuỳ thuộc vào cấu hình mạng
MPLS và nhu cầu cụ thể mà có thể sử dụng một trong hai mô hình L2 VPN hay là L3
VPN.

3.2.2. Mô hình L3 VPN.

Trong kiến trúc L3 VPN, các bộ định tuyến khách hàng và của nhà cung cấp
đƣợc coi là các phần tử ngang hàng. Bộ định tuyến biên khách hàng CE cung cấp
thông tin định tuyến tới bộ định tuyến biên nhà cung cấp PE, PE lƣu các thông tin định
tuyến trong bảng định tuyến chuyển tiếp ảo VRF. Mỗi khoản mục của VRF tƣơng ứng
với một mạng khách hàng và hoàn toàn biệt lập với các mạng khách hàng khác. Ngƣời
sử dụng VPN chỉ đƣợc phép truy nhập tới các site hoặc máy chủ trong cùng một mạng
riêng này. Bộ định tuyến PE còn hỗ trợ các bảng định tuyến thông thƣờng nhằm
chuyển tiếp lƣu lƣợng của khách hàng qua mạng công cộng. Một cấu hình mạng L3
VPN dựa trên MPLS đƣợc chỉ ra trên hình:
Hình 3.3:Mô hình MPLS VPN lớp 3.

Các gói tin IP qua miền MPLS đƣợc gắn hai loại nhãn bao gồm nhãn IGP chỉ thị
đƣờng dẫn chuyển mạch LSP và nhãn VPN chỉ thị định tuyến chuyển tiếp đến các Site
khách hàng, ngăn xếp nhãn đƣợc thiết lập để chứa các nhãn trên. Các bộ định tuyến P
của nhà cung cấp xử lý nhãn IGP để chuyển tiếp các gói tin qua miền MPLS. Nhãn
VPN chỉ đƣợc xử lý tại thiết bị định tuyến biên PE nối với bộ định tuyến khách hàng.
Mô hình L3VPN có ƣu điểm là không gian địa chỉ khách hàng đƣợc quản lý bởi
nhà khai thác và do vậy nó cho phép đơn giản hóa việc triển khai kết nối với nhà cung
cấp. Ngoài ra, L3VPN còn cung cấp khả năng định tuyến động để phân phối các thông
tin định tuyến tới các bộ định tuyến VPN. Tuy nhiên, L3 VPN chỉ hỗ trợ các lƣu lƣợng
IP hoặc lƣu lƣợng đóng gói vào gói tin IP. Đồng thời, việc tồn tại hai bảng định tuyến
tại các thiết bị biên mạng cũng là một vấn đề phức tạp trong điều hành và ảnh hƣởng
tới khả năng mở rộng các hệ thống thiết bị.

3.3. Kiến trúc Router PE.
Hình 3.4:Kiến trúc PE Router.

Có thể hình dung kiến trúc MPLS-VPN tƣơng tự nhƣ kiến trúc mô hình VPN
ngang cấp sử dụng PE router dành riêng cho mỗi khách hàng . Điểm khác biệt là ở mô
hình VPN ngang cấp, mỗi khách hàng kết nối đến một bảng định tuyến nằm trên một
PE router vật lý, còn trong mô hình MPLS-VPN, các khách hàng sẽ kết nối đến các
bảng định tuyến ảo dành riêng cho mình cùng nằm trong một PE router vật lý. Quá
trình định tuyến xuyên qua đƣờng trục (backbone) của nhà cung cấp dịch vụ đƣợc thực
hiện dựa trên một bảng định tuyến toàn cục (global routing table).
Nhƣ vậy, một PE router gồm 3 thành phần chính:
 Một bảng định tuyến toàn cục.
 Các bảng định tuyến ảo dành cho riêng các site khách hàng đƣợc gọi là bảng
định tuyến và chuyển tiếp ảo VRF (VPN Routing and Forwarding Tables)
 Thành phần thứ ba là giao thức MP-BGP đƣợc cài đặt trên các PE router để
các PE router liên lạc và trao đổi các thông điệp cập nhật cho nhau, các thông điệp này
chứa các địa chỉ VPNv4 và nhãn.
3.3.1. Bảng chuyển tiếp định tuyến ảo VRF.
Chức năng đầu tiên của một PE router là phải cách ly các site khách hàng kết nối
đến nó bằng cách sử dụng một bảng định tuyến ảo dành riêng cho các site khách hàng
đƣợc gọi là bảng định tuyến và chuyển tiếp ảo VRF (Virtual routing and forwarding
table). VRF cung cấp thông tin về mối quan hệ trong VPN của một site khách hàng khi
đƣợc kết nối với PE router và xác định thành viên của một mạng khách hàng nối với
PE router. Mỗi VPN có chứa VRF riêng, nhƣ vậy khách hàng thuộc một VPN chỉ có
thể tới các tuyến chứa trong VRF đó.

Chức năng của VRF tƣơng tự nhƣ bảng định tuyến toàn cục ngoại trừ việc nó chỉ
chứa các tuyến đƣờng thuộc về một VPN cụ thể nào đó. VRF chỉ tồn tại trên các PE
router và sử dụng cơ chế chuyển mạch là CEF. VRF chứa một bảng định tuyến IP
tƣơng ứng với bảng định tuyến IP toàn cục, một bảng CEF liệt kê các cổng giao tiếp
tham gia vào VRF và một tập hợp các nguyên tắc xác định giao thức định tuyến trao
đổi với các CE router. VRF còn chứa các định danh VPN (VPN identifier) nhƣ thông
tin thành viên VPN (RD và RT).
3.3.2. Route Distinguishers (RD).
Điểm khác biệt giữa mô hình MPLS-VPN so với mô hình VPN truyền thống là
MPLS-VPN hỗ trợ không gian địa chỉ chồng lấp lên nhau thay vì một không gian địa
chỉ chung yêu cầu các địa chỉ IPv4 của khách hàng phải là duy nhất nhƣ trong VPN
truyền thống. Vì vậy, một chức năng quan trọng của PE router là phải chuyển đổi tiền
tố địa chỉ IPv4 của khách hàng (có thể là giống nhau) nhận đƣợc từ CE router thành
dạng tiền tố địa chỉ duy nhất để thực hiện truyền tải dữ liệu của khách hàng qua một
mạng lõi chung MPLS của nhà cung cấp dịch vụ mà không xảy ra đụng độ địa chỉ. Để
giải quyết vấn đề này, PE sử dụng một dạng định danh dài 64-bit để thêm vào phía
trƣớc tiền tố địa chỉ IPv4, chuyển đổi tiền tố địa chỉ IPv4 dài 32-bit thành dạng địa chỉ
mới có chiều dài 96-bit và là duy nhất. Dạng định danh 64-bit đƣợc gọi là tham số
phân biệt tuyến RD (Route Distingousher) và dạng địa chỉ sau khi chuyển đổi có chiều
dài 96-bit đƣợc gọi là các địa chỉ VPN IPv4 hay gọi tắt là các địa chỉ VPNv4, dƣới đây
là định dạng của RD:
Hình 3.5: Định dạng RD.

Nhƣ hình 3.6 bên dƣới, ta có hai khối địa chỉ giống nhau là 172.16.10.0/24 thuộc
hai site khách hàng khác nhau đƣợc chuyển đến cùng một PE router. RD gắn với VRF
của khách hàng A có giá trị là 1:100, RD gắn với VRF của khách hàng B có giá trị là
1:101.
Khối địa chỉ VPNv4 của khách hàng A là 1:100:172:16:10:0/24 và khối địa chỉ
VPNv4 của khách hàng B là 1:101:172:16:10:0/24. Hai khối địa chỉ này là duy nhất
khi đƣợc truyền tải qua mạng lõi của nhà cung cấp dịch vụ. Khi đến PE router ngõ ra,
địa chỉ IPv4 đƣợc phục hồi và chuyển tiếp đến các CE router tƣớng ứng.

Hình 3.6:Mô hình chuyển đổi địa chỉ IPv4 thành VPNv4.
3.3.3. Route Targets ( RT).
Trong kiến trúc VPN đơn giản, một site khách hàng chỉ tham gia vào một VPN
thì RD đƣợc xem nhƣ là định danh cho VPN đó. Nhƣng trong thực tế, một site khách
hàng có thể tham gia vào nhiều VPN khác nhau, khi đó RD không thể làm định danh
cho các VPN mà khách hàng đó tham gia mà thật sự chỉ là định danh cho VRF mà site
khách hàng đó kết nối đến. Khái niệm Route Target (RT) ra đời nhằm hỗ trợ cho các
kiến trúc VPN phức tạp, nó chính là định danh thật sự cho một VPN. Khi một tuyến
đƣờng đƣợc gán vào một tập các giá trị RT, nghĩa là nó đang tham gia vào nhiều VPN.
RT đƣợc thực thi bởi các BGP community mở rộng sử dụng 16 bit cao của BGP
extended community (64 bit) mã hóa với một giá trị tƣơng ứng với thành viên VPN
của site cụ thể. Khi một tuyến VPN học từ một CE chèn vào VPNv4 BGP, một danh
sách các thuộc tính community mở rộng cho VPN route target đƣợc kết hợp với nó.
 RT đƣợc kèm theo định tuyến đƣợc gọi là export RT và đƣợc cấu hình riêng
biệt cho mỗi VRF tại PE router. Export RT dùng để xác định thành viên VPN và đƣợc
kết hợp với mỗi VRF. Export RT đƣợc nối thêm vào địa chỉ khách hàng khi chuyển
thành địa chỉ VPNv4 bởi PE và quảng bá trong các cập nhật MP-BGP.
 Import RT kết hợp với mỗi VRF và xác định các tuyến VPNv4 đƣợc thêm vào
VRF cho khách hàng cụ thể, định dạng của RT giống nhƣ giá trị RD.
3.3.4. MP-BGP.
MP-BGP chạy giữa các router biên nhà cung cấp để trao đổi thông tin các tuyến
VPNv4, MP-BGP là mở rộng của giao thức BGP hiện tại. Một phiên bản làm việc
MP-BGP giữa các PE trong một BGP AS đƣợc gọi là MP-iBGP session và kèm theo
các nguyên tắc thực thi của iBGP liên quan đến thuộc tính của BGP (BGP attributes).
Nếu VPN mở rộng ra khỏi phạm vi một AS, các VPNv4 sẽ trao đổi giữa các AS tại
biên bằng MP-eBGP session.

3.4. Hoạt động của MPLS VPN.

3.4.1. Hoạt động nhãn.
Mỗi gói tin IP đến PE router ngõ vào của miền MPLS-VPN sẽ đƣợc PE router
gán vào một chồng nhãn gồm có hai nhãn sau:
 Nhãn đầu tiên đƣợc gán bởi giao thức LDP, nhãn này có chức năng đảm bảo
cho gói tin đi qua các P router bằng kỹ thuật chuyển mạch nhãn và đến đƣợc PE router
ngõ ra. Các P router chỉ thực hiện thao tác đổi nhãn trên nhãn đầu tiên của chồng nhãn
mà không nhìn thấy đƣợc các gói tin IP của khách hàng.
 Nhãn thứ hai cũng đƣợc gán vào chồng nhãn bởi PE router ngõ vào nhƣng
thực ra nhãn thứ hai là nhãn đƣợc phát sinh bởi PE router ngõ ra và đƣợc phân tán đến
PE router ngõ vào bằng giao thức MP-BGP. Mọi thông điệp cập nhật định tuyến của
MP-BGP đến tất cả các PE router khác cung cấp thông tin về một nhãn đƣợc cấp phát
bởi PE router ngõ ra gắn kèm với một tiền tố VPNv4 cụ thể nào đó. Nhãn này đƣợc
gọi là nhãn VPN (VPN label). Ta hình dung quá trình cấp phát và phân tán nhãn thứ
hai qua hình sau:
Hình 3.7:Cấp phát và phân tán nhãn thứ hai.

Trong ví dụ trên hình 3.7: nhãn 26 là nhãn đƣợc cấp phát bởi PE router ngõ vào
(ingress), là nhãn đầu tiên trong chồng nhãn. PE router ngõ ra (egress) cấp phát cho
mạng đích 192.168.10.0/24 một nhãn VPN là 38. Nhãn 38 đƣợc PE router ngõ vào cập
nhật qua thông điệp MP-BGP và nó sử dụng nhãn 38 mà nó biết đƣợc gắn vào các gói
tin đi đến mạng đích 192.168.10.0/24.
Nhƣ vậy khi gói tin VPN đến PE router ngõ ra dựa vào nhãn thứ hai, PE router sẽ
biết phải xử lý gói tin VPN đến nhƣ thế nào hoặc nó sẽ chuyển gói tin trực tiếp đến
giao diện ngõ ra hoặc sẽ xác định bảng VRF của VPN mà gói tin thuộc về và sau đó
thực hiện tìm kiếm địa chỉ IP của đích đến trong bảng VRF.
3.4.2. Hoạt động mặt bằng điều khiển.
Mặt phẳng điều khiển trong MPLS-VPN lƣu trữ tất các thông tin định tuyến ở
lớp 3, các tiến trình định tuyến, cấp phát và phân tán nhãn sử dụng LDP. CE quảng bá
các tuyến IPv4 từ site của nó đến PE và PE quảng bá các tuyến này tới các CE thuộc
các site khác của VPN. Điều này có thể đƣợc thực hiện qua định tuyến tĩnh hoặc động.

Theo nguyên lý thì bất kỳ giao thức định tuyến nào đều thích hợp cho liên kết này (ví
dụ: BGP hay OSPF). Trên PE thông tin định tuyến cho mỗi VPN đƣợc lƣu trữ tại bảng
định tuyến và bảng chuyển tiếp ảo. Mỗi VRF thƣờng có một số giao diện bên ngoài để
CE liên kết tới nó, tất cả đều thuộc cùng một VPN.
PE router ngõ vào phân phối các tuyến nhận từ CE đến tất cả các PE khác cùng
một VPN và lƣu trữ các tuyến này trong bảng VRF. Giao thức định tuyến đƣợc sử
dụng cho mục đích này là Multi-Protocol BGP. Để tách biệt thông tin điều khiển ứng
với các VPN khác nhau thì các PE phải phân biệt đƣợc các VPN khác nhau. Điều này
đƣợc thực hiện bằng cách thêm vào trƣớc mỗi tuyến VPN nhận đƣợc từ các CE một
trƣờng phân biệt tuyến RD (route distinguisher). Và nó tạo ra một không gian địa chỉ
mới thay vì sử dụng không gian địa chỉ thông thƣờng, lõi MPLS sử dụng địa chỉ
VPNv4, trong đó bao gồm trƣờng phân biệt tuyến RD cộng với địa chỉ IP của VPN. Vì
vậy giữa các PE giao thức MP-BGP đƣợc dùng để trao đổi các tuyến VPNv4. Trên PE
việc trao đổi tuyến VPN chỉ định đƣợc kiểm soát bởi RT, RT xác định các tuyến trên
lõi MPLS dựa trên hai thông tin import và export đƣợc lấy ra từ VRF. PE router ngõ ra
cũng sử dụng cơ chế giống nhƣ PE router ngõ vào.
Hình 3.8:Các giao thức trong mặt phẳng điều khiển MPLS-VPN.
Hình trên cho thấy sự tƣơng tác của các giao thức đƣợc sử dụng trong mặt phẳng
điều khiển của MPLS-VPN. Các CE router đƣợc kết nối đến các PE router qua các
giao thức định tuyến IGP, BGP hoặc định tuyến tĩnh. Trong mạng lõi MPLS-VPN
gồm các P và PE router liên lạc với nhau qua giao thức IGP và LDP. Trên các P router
chỉ cần cài đặt LDP và IGP (OSPF), để kết nối với các P và PE router khác. LDP đƣợc
sử dụng để cấp phát và phân tán nhãn nhƣ trong miền MPLS. Còn IGP đƣợc sử dụng
để trao đổi thông tin về các mạng con trong miền MPLS. Các PE router liên lạc trực
tiếp với nhau qua các phiên kết nối MP-BGP (đƣợc gọi là MP-iBGP nếu chỉ cần cấu
hình MPLS-VPN trong cùng một hệ thống tự trị AS). Các thông điệp cập nhật (update)
của MP-BGP sẽ giúp các PE router trao đổi thông tin các địa chỉ VPNv4 và các thuộc
tính BGP.

3.4.3. Hoạt động mặt phẳng dữ liệu.

Hoạt động của mặt phẳng dữ liệu MPLS-VPN tập trung vào quá trình chuyển
tiếp gói tin đi dựa vào chồng nhãn. Nếu mặt phẳng điều khiển lƣu trữ các thông tin
định tuyến, thực hiện các hoạt động cấp phát và phân tán nhãn thì mặt phẳng dữ liệu
thực hiện cơ chế chuyển tiếp gói tin đi qua mạng lõi của miền MPLS dựa vào chồng
nhãn đƣợc gán trên gói tin đã đƣợc giới thiệu ở phần trên.
Khi gói tin đƣợc chuyển tiếp đến một tiền tố địa chỉ thuộc về một VPN nào đó
thông qua mạng lõi MPLS, thao tác đổi nhãn chỉ đƣợc thực hiện trên nhãn đầu tiên còn
nhãn thứ hai là nhãn VPN đƣợc giữ nguyên và chỉ bị loại bỏ khi đến PE router ngõ ra.
Cả hai nhãn đƣợc loại bỏ trƣớc khi chúng đƣợc gửi đến CE, vì thế các CE Router sẽ
nhận đƣợc gói tin IP chuẩn. Nhãn trên đỉnh (nhãn IGP) đƣợc lấy ra trên router trƣớc
các egress PE router khi chuyển tiếp gói tin đến egress PE nhằm giảm tải việc xử lí
cho các egress PE Router. Kỹ thuật này đƣợc gọi là Penultimate Hop Popping (PHP).
Theo cách này, egress PE chỉ nhận đƣợc nhãn VPN với các gói cơ bản. Egress PE sử
dụng nhãn VPN để tìm VPN thích hợp, loại bỏ nhãn và gửi phần còn lại là gói tin IP
đến CE.
Để thực hiện kỹ thuật PHP, PE router ngõ ra có thể cấp phát một nhãn đặc biệt là
Implicit Null và gửi đến P router ngƣợc dòng, yêu cầu P router loại bỏ mức nhãn cao
nhất trƣớc khi chuyển gói dữ liệu đến nó. Với kỹ thuật PHP, PE router ngõ ra sẽ không
phải xử lý nhãn không mang thông tin phục vụ cho quá trình chuyển tiếp gói.
Hình 3.9:Hoạt động của mặt phẳng dữ liệu trong MPLS-VPN.

Hình trên mô tả quá trình chuyển tiếp gói tin đơn giản đi qua đƣờng trục MPLS-
VPN từ Site 2 đến Site 1 của VPN A, giả sử trên tất cả các Router trong mạng đều đã
hoàn thành việc định tuyến và phân phối nhãn, quá trình chuyển tiếp gồm các bƣớc
nhƣ sau:
 Bƣớc 1: CE2 gửi gói tin tới đích 10.1.1.1 đến cho PE2
 Bƣớc 2: PE2 nhận gói tin và gán nhãn VPN là 100 và nhãn IGP là 25 và
chuyển gói tin đến cho Router P trong mạng lõi.
 Bƣớc 3: P Router nhận gói tin đi đến 10.1.1.1 và dựa vào bảng LFIB thực hiện
đổi nhãn IGP từ 25 sang nhãn 50 rồi gửi qua Router P kế tiếp trong mạng.

 Bƣớc 4: Router P nhận gói tin đi đến 10.1.1.1 và gỡ nhãn đầu tiên 50 ra khỏi
gói tin bởi vì trƣớc đó nó nhận đƣợc từ PE1 một nhãn đặc biệt là nhãn Implicit-null
nên kỹ thuật PHP đƣợc thực hiện tại P. Lúc này gói tin chỉ còn gán nhãn VPN và đƣợc
chuyển tiếp đến cho PE1.
 Bƣớc 5: PE1 gỡ nhãn VPN ra khỏi gói tin và chuyển tiếp gói dữ liệu đến đích
CE1.
Nhƣ vậy gói tin đã đƣợc chuyển tiếp thành công từ Site CE2 đến Site CE1 của
VPN A, đến đây là kết thúc quá trình chuyển tiếp.
3.5. Bảo mật trong MPLS VPN.
Ngày nay VPN là một trong những ứng dụng rất quan trọng của công nghệ
MPLS, có rất nhiều doanh nghiệp, công ty đã và đang có nhu cầu rất lớn về loại hình
dịch vụ này vì nó có nhiều tính năng bảo mật trong quá trình sử dụng môi trƣờng
truyền thông công cộng. Các tính năng bảo mật nổi bật của MPLS VPN thƣờng đƣợc
chú ý là: tách biệt các VPN, chống lại các cuộc tấn công từ bên ngoài và bảo vệ chống
sự giả mạo.
3.5.1. Tách biệt các VPN.
Điều quan trọng trong vấn đề bảo mật thông tin của ngƣời dùng sử dụng mạng
VPN là lƣu lƣợng thông tin của họ phải giữ đƣợc sự tách biệt với các lƣu lƣợng thông
tin của các mạng VPN khác và luồng lƣu lƣợng thông tin trong mạng lõi.
 Tách biệt không gian địa chỉ: để có thể phân biệt các địa chỉ khác nhau của các
VPN khác nhau thì khái niệm VPN IPv4 đƣợc đƣa ra. Trong cấu trúc của MPLS VPN
chỉ có bộ định tuyến biên của nhà cung cấp mới biết đƣợc các tuyến VPN và sử dụng
địa chỉ VPNv4 cho các VPN nên không gian địa chỉ là tách biệt giữa các VPN. Hơn
nữa việc sử dụng IPv4 trong mạng lõi đó là các địa chỉ khác với địa chỉ VPNv4 nên
mạng lõi cũng có không gian địa chỉ độc lập cho các VPN khác nhau. Việc cung cấp
này tạo ra sự khác nhau rõ ràng giữa các VPN cũng nhƣ giữa các VPN với mạng lõi.
Hình sau cho thấy không gian địa chỉ khác nhau đƣợc sử dụng trong mạng lõi MPLS
VPN.
Hình 3.10:Mặt phẳng địa chỉ trong mạng MPLS VPN.

 Tách biệt về lƣu lƣơng: lƣu lƣợng VPN bao gồm mặt phẳng dữ liệu và mặt
phẳng điều khiển VPN. Ngƣời sử dụng VPN đòi hỏi lƣu lƣợng của họ không bị lẫn lộn

với lƣu lƣợng mạng VPN khác hoặc với lƣu lƣợng lõi, tức là các gói tin không đƣợc
gửi tới một VPN khác và ngƣơc lại. Trên mạng của nhà cung cấp dịch vụ, yêu cầu này
càng đƣợc rõ ràng vì lƣu lƣợng này đƣợc chuyển qua mạng lõi MPLS. Ở đây phân biệt
lƣu lƣợng miền điều khiển và miền dữ liệu. Miền điều khiển là nơi khởi đầu và kết
thúc bên trong mạng lõi, miền dữ liệu bao gồm lƣu lƣợng từ các VPN khác nhau, lƣu
lƣợng VPN này đƣợc đóng gói thƣờng là đƣờng dẫn chuyển mạch nhãn và đƣợc gửi đi
từ PE-PE. Hình dƣới sẽ mô tả các lƣồng lƣu lƣợng khác nhau trong mạng MPLS VPN.
Hình 3.11:Tách biệt lưu lượng.

3.5.2. Chống lại các sự tấn công.
Ngày nay các cuộc tấn không không chỉ nhằm vào các ứng dụng mà còn tấn công
trực tiếp vào cơ sở hạ tầng mạng. Vì thế nhà cung cấp dịch vụ phải chú trọng đến các
vấn đề bảo mật cho mạng lõi. Có các loại tấn công sau:
 Tấn công mạng lõi MPLS: các VPN thì đƣợc tách biệt với nhau và với mạng
lõi, điều đó hạn chế đến khả năng tấn công các điểm trong mạng. Nhƣ trong hình bên
dƣới chỉ một giao diện là nơi mà một VPN có thể thấy đƣợc mạng lõi và gửi gói tin
đến các thiết bị của mạng lõi đó là bộ định tuyến PE. Bởi vì mạch kết nối giữa CE –
PE thuộc cùng VPN, vì thế chỉ có các điểm tấn công có thể nhìn thấy từ một VPN là
tất cả các giao diện bộ định tuyến PE kết nối đến CE của khách hàng.
 Giả mạo nhãn: bên trong mạng lõi MPLS, các gói tin đƣợc phân biệt bằng
việc thêm vào trƣớc nó một nhãn VPN. Một ngƣời sử dụng VPN giả mạo mong muốn
tạo các gói tin với nhãn giả chèn vào mạng lõi MPLS và cố gắng đƣa các gói tin này
vào các VPN khác. Điều này không thể thực hiện đƣợc vì các bộ định tuyến PE không
chấp nhận các gói tin đã đƣợc gán nhãn từ các bộ định tuyến của khách hàng, vì thế
gói tin sẽ bị chặng bởi PE.

Hình 3.12:Không gian địa chỉ có thể nhận ra từ VPN.

Bộ định tuyến CE đƣợc coi là không tin cậy bởi vì nó luôn đặt ở phía khách
hàng và có thể bị thay thế bởi các bộ định tuyến khác, còn PE phải luôn đặt trong môi
trƣờng an toàn. Một bộ định tuyến PE có thể bị tấn công bởi một luồng lƣu lƣợng
chuyển tiếp hoặc chính bởi luồng lƣu lƣợng mà đích là PE này. Luồng lƣu lƣợng
chuyển tiếp thƣờng ít ảnh hƣởng bởi vì các bộ định tuyến đƣợc thiết kế để chuyển tiếp
gói tin nhanh nhất. Có hai dạng tấn công:
 Từ chối dịch vụ: trong trƣờng hợp này kẻ tấn công cố gắng sử dụng hết tất
cả các tài nguyên có trên PE bằng cách gửi nhiều gói tin cập nhật cho bộ định tuyến,
bộ nhớ sẽ bị sử dụng hết
 Xâm nhập: kẻ tấn công cố gắng sử dụng một kênh hợp lệ để cấu hình lại
PE, ví dụ dùng Telnet, SSH hoặc SNMP để cấu hình lại PE.
 Bảo vệ mạng lõi: tất cả các khả năng tấn công đều có thể kiểm soát đƣợc
bằng cách cấu hình một cách chính xác. Có thể dùng danh sách điều khiển truy nhập
cho tất cả các giao diện của bộ định tuyến PE. Lúc này, bộ định tuyến PE sẽ nhận các
gói tin trên cổng cho giao thức định tuyến và đảm bảo bất kì gói tin nào khác tới PE sẽ
bị chặng bởi ACL. Mạng MPLS VPN sẽ cung cấp tính năng bảo mật cao hơn do giao
diện vào mạng lõi bị giới hạn và chỉ để lộ ra địa chỉ IP của PE. Mạng MPLS VPN ít bị
lộ thông tin để có thể bị tấn công từ bên ngoài so với công nghệ IP truyền thống. Một
ƣu điểm nữa là MPLS VPN dùng bộ định tuyến biên với bên ngoài nên càng có sự
tách biệt mạng hơn.
 Bảo vệ chống sự giả mạo: giả mạo là một dạng phạm vi an toàn trong đó kẻ
tấn công dƣới danh một ngƣời dùng hợp pháp truy cập vào mạng một cách bất hợp
pháp. Hai dạng sau thƣờng dùng để tấn công vào VPN:
 Giả mạo địa chỉ IP: một VPN có thể sử dụng toàn bộ dải địa chỉ IP từ
0.0.0.0 đến 255.255.255.255. Một site VPN có thể giả mạo địa chỉ IP nhƣng địa chỉ
giả mạo này vẫn là địa chỉ cục bộ đối với VPN kia, vì thế địa chỉ IP giả mạo trong một
VPN không ảnh hƣởng tới VPN khác.

3.6. Ƣu và nhƣợc điểm của MPLS VPN so với VPN truyền thống.
Kiến trúc MPLS-VPN kết hợp những ƣu điểm tốt nhất của cả hai mô hình VPN
chồng lấp và ngang hàng, đồng thời bổ sung thêm các tính năng riêng biệt của nó. Ta
tìm hiểu về các ƣu điểm cơ bản của MPLS-VPN so với VPN truyền thống nhƣ sau:
 Các PE router tham gia vào việc định tuyến giữa các site khách hàng, đảm bảo
định tuyến tối ƣu giữa các site. MPLS-VPN không đòi hỏi các thiết bị CE thông minh
bởi vì toàn bộ các chức năng VPN đƣợc thực hiện ở phía mạng lõi của nhà cung cấp
dịch vụ và hoàn toàn trong suốt đối với các CE. Điều này có nghĩa là khách hàng
không phải tốn chi phí quá cao cho các thiết bị CE.
 Không giống nhƣ các mạng VPN truyền thống, các mạng MPLS-VPN không
sử dụng hoạt động đóng gói và mã hóa gói tin để đạt đƣợc mức độ bảo mật cao.
MPLS-VPN sử dụng bảng chuyển tiếp và các nhãn để tạo nên tính bảo mật cho mạng
VPN. Kiến trúc mạng loại này sử dụng các tuyến mạng xác định để phân phối các dịch
vụ VPN và các cơ chế xử lý thông minh của MPLS-VPN nằm hoàn toàn trong phần lõi
của mạng.
 Các PE router cung cấp khả năng cách ly tốt giữa các site khách hàng bằng
cách sử dụng các bảng VRF. Đối với mỗi bảng VRF, thông tin sử dụng để chuyển tiếp
các gói tin đƣợc lƣu trong các bảng định tuyến IP và CEF. Các bảng này đƣợc duy trì
riêng lẻ cho từng VRF nên nó ngăn chặn đƣợc hiện tƣợng thông tin bị chuyển tiếp ra
ngoài mạng VPN cũng nhƣ ngăn chặng các gói tin bên ngoài mạng VPN chuyển tiếp
vào các router bên trong mạng VPN. Đây chính là cơ chế bảo mật của MPLS-VPN.
 Cho phép các site khách hàng sử dụng không gian địa chỉ chồng lấp nhau. RD
giúp cho các tiền tố IPv4 giống nhau của khách hàng chuyển thành các địa chỉ VPNv4
duy nhất. Vì vậy, trong một mạng MPLS-VPN, site phía khách hàng sẽ sử dụng IP
thông thƣờng mà không cần biết đến MPLS hay bất cứ một chức năng VPN đặc biệt
nào.
Nhƣ vậy, có thể thấy rằng MPLS-VPN đáp ứng đƣợc những yêu cầu đặt ra của
một mạng VPN, đồng thời giải quyết đƣợc một cách triệt để những hạn chế của các
mạng VPN truyền thống dựa trên công nghệ ATM, Frame Relay và đƣờng hầm IP.
Ngày nay, tuy VPN vẫn đang còn là một công nghệ mới mẻ ở Việt nam, nhƣng việc
đầu tƣ nghiên cứu để chọn giải pháp tối ƣu cũng là điều nên làm đối với các nhà cung
cấp dịch vụ mạng.

CHƢƠNG IV: TRIỂN KHAI MÔ HÌNH MPLS VPN TRÊN GNS3

4.1. Mô hình triển khai.
Hình 4.1:Mô hình triển khai MPLS VPN lớp 3 trên GNS3.
 Giới thiệu mô hình:
 Bài mô phỏng này minh họa nhà cung cấp dịch vụ cung cấp các kết nối cho
các khách hàng qua mạng trục MPLS bằng cách sử dụng công nghệ MPLS VPN để
đảm bảo tính riêng tƣ của khách hàng.
 Trong mô hình này, ta sẽ cấu hình cho toàn mô hình bao gồm phía khách hàng
và nhà cung cấp dịch vụ.
Trong đó:
 Hai Router PE1 và PE2 là hai Router biên của nhà cung cấp dịch vụ cho
phép các Site của khách hàng kết nối vào.
 Hai Router P1 và P2 kết nối với các Router biên trong mạng lõi cho phép
vận chuyển các route qua lại trong mạng bằng kỹ thuật chuyển mạch MPLS.
 CEA1 và CEA2 là 2 router biên đặt tại 2 site của khách hàng A (Customer
A) đƣợc kết nối đến các PE và sử dụng giao thức định tuyến tĩnh với các Router PE.
 CEB1 và CEB2 là 2 router biên đặt tại 2 site của khách hàng B (Customer
B) đƣợc kết nối đến các PE và sử dụng giao thức định tuyến RIPv2 với Router PE.
 CEC1 và CEC2 là 2 router biên đặt tại 2 site khách hàng C (Customer C)
đƣợc kết nối đến các PE và sử dụng giao thức định tuyến EIGRP với Router PE.
4.2. Cấu hình các thiết bị trong mô hình.
 Nội dung triển khai cấu hình trên các thiết bị trong mạng:
 Enable cơ chế cef trên các Router PE1, PE2, P1 và P2

 Cấu hình giao thức định tuyến OSPF trên các Router PE1, PE2, P1 và P2 ( các
router trong miền MPLS sử dụng giao thức OSPF để định tuyến )
 Cấu hình MPLS trên các Interface hoạt động trong miền MPLS
 Cấu hình định tuyến MP-BGP giữa PE – PE trên PE1 và PE2
 Định dạng VRF và các thuộc tính trên Router PE: cấu hình VRF, RD, RT trên
Router PE và liên kết đến Interface của PE.
 Cấu hình giao thức định tuyến giữa các CE – PE, cụ thể:
 Cấu hình static route giữa CEA1 – PE1 và CEA2 – PE2
 Cấu hình RIPv2 giữa CEB1 – PE1 và CEB2 – PE2
 Cấu hình EIGRP giữa CEC1 – PE1 và CEC2 – PE2.
4.2.1. Cấu hình trên Router PE1.
PE1#conf t
PE1(config)#ip vrf A
PE1(config-vrf)#rd 15:15
PE1(config-vrf)# route-target export 1:1
PE1(config-vrf)#route-target import 5:5
PE1(config-vrf)#exit
PE1(config)#ip vrf B
PE1(config-vrf)#route-target export 6:6
PE1(config-vrf)# route-target import 7:7
PE1(config)#ip vrf C
PE1(config)#ip cef
PE1(config)#interface loopback 0
PE1(config-if)#ip address 3.3.3.3 255.255.255.255
PE1(config-if)#exit
PE1(config)#interface f1/0
PE1(config-if)#no shut
PE1(config-if)#mpls label protocol ldp
PE1(config-if)# mpls ip
PE1(config-if)#exit
PE1(config)#interface s2/0
PE1(config-if)#ip vrf forwarding A

PE1(config-if)# ip address 192.168.10.2 255.255.255.0

PE1(config-if)#exit
PE1(config-if)#ip vrf forwarding B
PE1(config-if)#exit
PE1(config-if)#ip vrf forwarding C
PE1(config-if)#exit
PE1(config)#router ospf 1
PE1(config-router)#network 3.3.3.3 0.0.0.0 area 0
PE1(config-router)#exit
PE1(config)#router eigrp 10
PE1(config-router)#address-family ipv4 vrf C
PE1(config-router-af)#redistribute bgp 234 metric 1 1 255 1 1500
PE1(config-router-af)#network 3.3.3.3
PE1(config-router-af)#autonomous-system 234
PE1(config-router-af)#no auto-summary
PE1(config-router-af)# exit
PE1(config-router)# exit
PE1(config)#router rip
PE1(config-router)#version 2
PE1(config-router)#address-family ipv4 vrf B
PE1(config-router-af)#redistribute bgp 234 metric transparent
PE1(config-router-af)#exit
PE1(config)# ip route vrf A 1.1.1.1 255.255.255.255 192.168.10.1
PE1(config)#router bgp 234
PE1(config-router)#neighbor 5.5.5.5 remote-as 234
PE1(config-router)#neighbor 5.5.5.5 update-source Loopback 0

PE1(config-router)#no auto-summary
PE1(config-router)#address-family vpnv4
PE1(config-router-af)#neighbor 5.5.5.5 activate
PE1(config-router-af)#neighbor 5.5.5.5 send-community extended
PE1(config-router-af)# redistribute eigrp 234
PE1(config-router-af)# no auto-summary
PE1(config-router-af)#redistribute rip
PE1(config-router)#address-family ipv4 vrf A
PE1(config-router-af)#redistribute static
PE1(config)#end
4.2.2. Cấu hình trên Router P1.
P1#conf t
P1(config)#ip cef
P1(config)#interface f1/0
P1(config-if)#ip address 192.168.20.1 255.255.255.0
P1(config-if)#no shut
P1(config-if)#mpls label protocol ldp
P1(config-if)#mpls ip
P1(config-if)#exit
P1(config-if)#exit
P1(config)#router ospf 1
P1(config-router)#network 192.168.20.0 0.0.0.255 area 0
P1(config-router)#end

4.2.3. Cấu hình trên Router P2.

P2#conf t
P2(config)#ip cef
P2(config-if)#exit
P2(config-if)#exit
P2(config)#router ospf 1
P2(config-router)#end
4.2.4. Cấu hình trên Router PE2.
PE2#conf t
PE2(config)#ip vrf A
PE2(config)#ip vrf B
PE2(config)#ip vrf C
PE2(config-vrf)# rd 34:34
PE2(config)#ip cef
PE2(config)#interface loopback 0

PE2(config-if)#exit
PE2(config)#interface f1/0
PE2(config-if)#mpls label protocol ldp
PE2(config-if)#mpls ip
PE2(config-if)#exit
PE2(config-if)#ip vrf forwarding B
PE2(config-if)#exit
PE2(config-if)#ip vrf forwarding A
PE2(config-if)#exit
PE2(config-if)#ip vrf forwarding C
PE2(config-if)#exit
PE2(config)#router ospf 1
PE2(config)#router eigrp 10
PE2(config-router-af)#redistribute bgp 234 metric 1 1 255 1 1500
PE2(config-router-af)# network 5.5.5.5
PE2(config-router-af)# autonomous-system 234
PE2(config)#router rip
PE2(config-router)#version 2
PE2(config-router-af)#redistribute bgp 234 metric transparent

PE2(config)# ip route vrf A 11.11.11.11 255.255.255.255 192.168.40.1
PE2(config)#router bgp 234
PE2(config-router)#neighbor 3.3.3.3 remote-as 234
PE2(config-router)#neighbor 3.3.3.3 update-source Loopback0
PE2(config-router)# no auto-summary
PE2(config-router)#address-family vpnv4
PE2(config-router-af)#neighbor 3.3.3.3 activate
PE2(config-router-af)#neighbor 3.3.3.3 send-community extended
PE2(config-router-af)#redistribute eigrp 234
PE2(config-router-af)#redistribute rip
PE2(config-router)#address-family ipv4 vrf A
PE2(config-router-af)#redistribute static
PE2(config)#end
4.2.5. Cấu hình trên Router CEA1.
CEA1#conf t
CEA1(config)#ip cef
CEA1(config)#interface Loopback0
CEA1(config-if)# ip address 1.1.1.1 255.255.255.255
CEA1(config-if)#exit
CEA1(config)#interface s1/0
CEA1(config-if)#ip address 192.168.10.1 255.255.255.0
CEA1(config-if)#no shut
CEA1(config)# ip route 11.11.11.11 255.255.255.255 192.168.10.2

CEA1(config)#end
4.2.6. Cấu hình trên Router CEA2
CEA2#conf t
CEA2(config)#ip cef
CEA2(config)#interface loopback 0
CEA2(config)#interface s1/0
CEA2(config-if)# no shut
CEA2(config)# ip route 1.1.1.1 255.255.255.255 192.168.40.2
CEA2(config)#end
4.2.7. Cấu hình trên Router CEB1.
CEB1#conf t
CEB1(config)#ip cef
CEB1(config)#interface loopback 0
CEB1(config-if)#ip address 2.2.2.2 255.255.255.255
CEB1(config-if)#exit
CEB1(config)#interface s1/0
CEB1(config-if)#no shut
CEB1(config)#router rip
CEB1(config-router)#version 2
CEB1(config-router)#network 192.168.10.0
CEB1(config-router)# network 2.2.2.2
CEB1(config-router)#no auto-summary
CEB1(config-router)#end
4.2.8. Cấu hình trên Router CEB2.
CEB2#conf t
CEB2(config)#ip cef
CEB2(config)#interface loppback 0
CEB2(config-if)# ip address 22.22.22.22 255.255.255.255
CEB2(config)#interface s1/0
CEB2(config-if)#no shut

CEB2(config)#router rip
CEB2(config-router)#version 2
CEB2(config-router)#no auto-summary
CEB2(config-router)#end
4.2.9. Cấu hình trên Router CEC1.
CEC1#conf t
CEC1(config)#ip cef
CEC1(config)#interface loopback 0
CEC1(config-if)#ip address 4.4.4.4 255.255.255.255
CEC1(config-if)#exit
CEC1(config)#interface s1/0
CEC1(config-if)#no shut
CEC1(config)#router eigrp 234
CEC1(config-router)#network 192.168.10.0
CEC1(config-router)#no auto-summary
CEC1(config-router)#end
3.2.10. Cấu hình trên Router CEC2.
CEC2#conf t
CEC2(config)#ip cef
CEC2(config)#interface loopback 0
CEC2(config-if)# ip address 44.44.44.44 255.255.255.255
CEC2(config)#interface s1/0
CEC2(config-if)#no shut
CEC2(config)#router eigrp 234
CEC2(config-router)#no auto-summary
CEC2(config-router)#end

4.3. Kết quả.

4.3.1. Trên các Router phía nhà cung cấp dịch vụ.
Hình 4.2: Các VRF trên PE1.
Hình 4.3: Các VRF trên PE2.
Hình 4.4: Bảng định tuyến VRF A trên PE1.
Hình 4.5: bảng định tuyến VRF A trên PE2.

Hình 4.6: Bảng định tuyến BGP VRF A trên PE1.
Hình 4.7: Bảng định tuyến BGP VRF A trên PE2.
Hình 4.8: Bảng LIB trên PE1.

Hình 4.9: Bảng LIB trên PE2.
Hình 4.10: bảng LIB trên P1

Hình 4.11: bảng LIB trên P2.
Hình 4.12: Bảng LFIB trên PE1.
Hình 4.13: Bảng LFIB trên P1.

Hình 4.14: Bảng LFIB trên P2.
Hình 4.15: bảng LFIB trên PE2.
Hình 4.16: BGP trao đổi các nhãn VPN trên PE1.

Hình 4.17: BGP trao đổi các nhãn VPN trên PE2.
4.3.2. Trên các Router phía khách hàng.
Hình 4.18: Bảng định tuyến trên CEA1.
Hình 4.19: bảng định tuyến trên CEA2.

Hình 4.20: kiểm tra kết nối giữa hai site VPN-A.
Hình 4.21: Bảng định tuyến trên CEB1.
Hình 4.22: Bảng định tuyến trên CEB2.
Hình 4.23: Kiểm tra kết nối giữa hai saite VPN-B.

Hình 4.24: Bảng định tuyến trên CEC1.
Hình 4.25: Bảng định tuyến trên CEC2.
Hình 4.26: Kiểm tra kết nối giữa hai Site của VPN-C.
 Kiểm tra sự cách ly giữa các VPN
Hình 4.27: kiểm tra kết nối giữa các Site khác VPN với nhau

4.4. Phân tích quá trình chuyển tiếp gói tin giữa các Site trong VPN.
Ở đây ta sẽ dùng phần mềm Wireshark bắt gói tin để phân tích quá trình chuyển
tiếp của 1 gói tin qua mạng MPLS VPN. Cụ thể là gói tin đi từ Site CEA1 đến CEA2
của VPN A. Trên tất cả Router bây giờ đều đã hình thành xong bảng RIB, LIB, FIB và
LFIB.
 Đầu tiên CEA1 gửi gói tin có nguồn: 1.1.1.1 và đích: 11.11.11.11 đến PE1
nhƣ sau:
Hình 4.28: Gói tin gửi từ CEA1đến PE1.

 PE1 nhận gói tin đƣợc gửi từ CEA1 và tiến hành gán nhãn cho gói tin, PE1 sẽ
tiến hành gán hai nhãn cho gói tin (nhãn VPN và nhãn IGP) tạo thành 1 chồng nhãn và
gửi gói tin này đến P1.Nhƣ hình bên dƣới, PE1 gán hai nhãn vào chồng nhãn có giá trị
lần lƣợt là 18 (nhãn IGP) và nhãn 19 (nhãn VPN) với nhãn 18 nằm trên cùng (Bit S=0)
và nhãn 19 nằm dƣới cùng của chồng nhãn (Bit S=1).
Hình 4.29: Gói tin được gán nhãn bởi PE1.

 P1 nhận gói tin đã đƣợc dán nhãn gửi từ PE1, nó dựa vào bản LFIB của mình
và tiến hành thay đổi nhãn 18 thành nhãn 17 và giữ nguyên nhãn 19, sau đó gửi đến
P2.
Hình 4. 30: P1 thay đổi nhãn của gói tin và gửi đến P2.
 P2 nhận gói tin đƣợc gửi từ P1, nó cũng tra bảng LFIB của mình và tiến hành
tháo bỏ nhãn 17 (do trƣớc đó nó nhận đƣợc nhãn Implicit Null đƣợc gửi từ PE2 nên nó
phải tháo bỏ tất cả các nhãn IGP ra trƣớc khi gửi gói tin đến PE2 =>kỹ thuật PHP
trong MPLS) và giữ nguyên nhãn 19, sau đó gửi gói tin đến PE2.
Hình 4.31: P2 tháo nhãn của gói tin và gửi đến PE2.
 PE2 nhận gói tin đƣợc gửi từ P2, lúc này gói tin chỉ còn một nhãn VPN duy
nhất là 19, PE2 tiến hành tháo bỏ nhãn 19 và dựa vào header của gói IP để chuyển tiếp
gói tin đến đích CEA2 (IP address 11.11.11.11) nhƣ là một gói tin IP bình thƣờng.
Kết thúc quá trình chuyển tiếp gói tin từ Site CEA1 đến Site CEA2 của VPN A.

KẾT LUẬN
KẾT LUẬN
Đồ án cơ bản đã đạt đƣợc những yêu cầu mà đề cƣơng tốt nghiệp đã đề ra, nó giúp
cho ngƣời đọc có đƣợc cái nhìn tổng quan về VPN, đồng thời đồ án cũng giới
thiệumột công nghệ khá hay đang đƣợc ƣa chuộng hiện nay là MPLS, đây là công
nghệ kết hợp những ƣu điểm tốt nhất giữa chuyển mạch lớp 2 và định tuyến ở lớp 3.
Một trong những ứng dụng nổi bật của MPLS là VPN. Đồ án đi sâu vào tìm hiểu
MPLS VPN, phân tích quá trình định tuyến, gán nhãn và chuyển tiếp gói tin khi đi từ
Site này đến Site kia của một VPN. MPLS VPN kết hợp đƣợc những ƣu điểm tốt nhất
của hai mô hình Overlay và Peer to Peer VPN, nó giải quyết đƣợc các vấn đề hạn chế
mà VPN truyền thống gặp phải.
Với VPN đƣợc triển khai dựa trên công nghệ MPLS, các doanh nghiệp và tổ chức
có thể dễ dàng đạt đƣợc các mục tiêu của mình nhƣ: đảm bảo dịch vụ hiệu năng và độ
tin cậy cao theo các yêu cầu của ứng dụng, cung cấp đa dịch vụ đến ngƣời dùng, hỗ trợ
hội tụ đa công nghệ và đa lƣu lƣợng trên cùng một mạng... Với nhiều ƣu điểm vƣợt
trội mà MPLS mang lại, nó thật sự là một sự lựa chọn hiệu quả cho các nhà khai thác
mạng.
Hƣớng mở rộng đề tài: MPLS VPN là một đề tài rất hay và rộng. Vì vậy trong thời
gian ngắn không thể tìm hiểu hết đƣợc các vấn đề liên quan đến MPLS. Ngoài những
vấn đề đã đề cập trong đồ án còn rất nhiều ứng dụng của MPLS nhƣ là: chất lƣợng
dịch vụ, điều khiển lƣu lƣơng, chuyển mạch bƣớc sóng đa giao thức...các vấn đề này là
những hƣớng mở rộng của đề tài. Và đặc biệt gần đây IPv6 dần đƣợc đƣa vào sử dụng
để thay thế cho IPv4 nên việc triển khai MPLS VPN bằng IPv6 là việc tất yếu đây là
hƣớng mở rộng thiết thực của đề tài.
Trong suốt quá tình làm đồ án em đã cố gắng tìm hiểu về đề tài của mình, tuy
nhiên do thời gian có hạn và kiến thức còn khá hạn chế nên em chỉ tìm hiểu đƣợc một
ứng dụng của MPLS là MPLS VPN. Vì vậy đồ án không thể tránh khỏi những thiếu
xót, em rất mong nhận đƣợc những lời đóng góp chân thành từ quý thầy cô cùng các
bạn để quyển đồ án trở nên hoàn thiện hơn.
Xin chân thành cảm ơn!
Kỳ Rin

CÁC TỪ VIẾT TẮT
AH Authentication Header Xác thực tiêu đề
AS Autonomous System Hệ tự trị
ATM Asynchronous Transfer Mode Kiểu truyền bất đồng bộ
BGP Border Gateway Protocol Giao thức cổng biên
CE Customer Edge router Bộ định tuyến biên khách hàng
CoS Class of Service Lớp dịch vụ
ESP Encapsulating Security Payload Bọc gói bảo mật tải
FEC Forwarding Equivalence Class Lớp chuyển tiếp tƣơng đƣơng
IP Internet Protocol Giao thức mạng
IPSec IP Security Bảo mật IP
IS Intergrated Service Dịch vụ tích hợp
ISP Internet Service Provider Nhà cung cấp dịch vụ Internet
L3VPN Layer 3 VPN Lớp 3 VPN
LDP Label Distribution Protocol Giao thức phân phối nhãn ràng buộc
LFIB Label Forwarding Information Base Cơ sở thông tin chuyển tiếp nhãn
LIB Label Information Base Cơ sở thông tin nhãn
LSP Label Switching Path Đƣờng chuyển mạch nhãn
LSR Label Switching Router Bộ định tuyến chuyển mạch nhãn

MPLS MultiProtocol Label Switching Chuyển mạch nhãn đa giao thức
OSPF Open Shortest Path First Mở ra đƣờng đi ngắn nhất đầu tiên
P Provider router Bộ định tuyến nhà cung cấp
PE Provider Edge router Bộ định tuyến biên nhà cung cấp
PPP Point to Point Protocol Giao thức điểm - điểm
QoS Quality of Service Chất lƣợng dịch vụ
SPF Shortest Path First Đƣờng đi ngắn nhất đầu tiên
TCP Transmission Control Protocol Giao thức điều khiển kết nối
TSR Tag Switching Router Bộ định tuyến chuyển mạch thẻ
TTL Time To Live Thời gian sống
UDP User Datagram Protocol Giao thức gói tin ngƣời dùng
VPN Virtual Private Network Mạng riêng ảo
VRF Virtual Route Forwarding Chuyển tiếp - định tuyến ảo

TÀI LIỆU THAM KHẢO
TÀI LIỆU THAM KHẢO
1. Cisco_Press MPLS Fundamentals, Luc De Ghein, Nov 2006
2. Lancy Lobo, CCIE. MPLS Configuration on Cisco IOS Software. Cisco

Press. 2005.
3. Kỹ thuật mạng riêng ảo VPN, TS Trần Công Hùng.
4. Bài giảng Kỹ thuật chuyển mạch, Ths.Nguyễn Xuân Khánh.

Rin Mpls VPN

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Rin Mpls VPN

Uploaded by

Copyright:

Available Formats

MỤC LỤC

SVTH: Huỳnh Kỳ Rin Lớp: L11CQVT02-N

SVTH: Huỳnh Kỳ Rin Lớp: L11CQVT02-N

PHỤ LỤC HÌNH

SVTH: Huỳnh Kỳ Rin Lớp: L11CQVT02-N

SVTH: Huỳnh Kỳ Rin Lớp: L11CQVT02-N

SVTH: Huỳnh Kỳ Rin Lớp: L11CQVT02-N Trang 5

CHƢƠNG I: TỔNG QUAN VPN

SVTH: Huỳnh Kỳ Rin Lớp: L11CQVT02-N Trang 6

Hình 1. 1:Mô hình VPN truy nhập từ xa.

SVTH: Huỳnh Kỳ Rin Lớp: L11CQVT02-N Trang 7

Hình 1.2:Mô hình VPN cục bộ.

 Những ƣu điểm của VPN cục bộ:

SVTH: Huỳnh Kỳ Rin Lớp: L11CQVT02-N Trang 8

Hình 1.3:Mô hình VPN mở rộng.

Hình 1.4:Mô hình Overlay (Frame Relay).

SVTH: Huỳnh Kỳ Rin Lớp: L11CQVT02-N Trang 9

Mạng nhà cung cấp

Customer Site Customer Site

Router B PE Router PE Router Router D

Router PE trao đổi những tuyến

Cuối cùng, những tuyến khách hàng truyền xuyên qua

Hình 1.5:Mô hình Peer-to-Peer VPN.

SVTH: Huỳnh Kỳ Rin Lớp: L11CQVT02-N Trang 10

Hình 1.6:Mô hình shared-router và dedicated-router.

SVTH: Huỳnh Kỳ Rin Lớp: L11CQVT02-N Trang 11

SVTH: Huỳnh Kỳ Rin Lớp: L11CQVT02-N Trang 12

CHƢƠNG II:GIỚI THIỆU KỸ THUẬT CHUYỂN MẠCH MPLS

Hình 2.1:Kiến trúc một router trong miền MPLS.

SVTH: Huỳnh Kỳ Rin Lớp: L11CQVT02-N Trang 13

Hình 2.2:Các miền trong MPLS.

SVTH: Huỳnh Kỳ Rin Lớp: L11CQVT02-N Trang 14

2.4. Các thành phần cơ bản trong MPLS.

Hình 2.3:Định dạng nhãn.

SVTH: Huỳnh Kỳ Rin Lớp: L11CQVT02-N Trang 15

 Xác định giao diện ngõ ra của gói tin.

Hình 2.5:Label Stack.

Các vấn đề quan trọng liên quan tới label stack:

SVTH: Huỳnh Kỳ Rin Lớp: L11CQVT02-N Trang 16

2.4.3. Lớp tƣơng đƣơng chuyển tiếp.

Hình 2.6:Đường chuyển mạch nhãn.

SVTH: Huỳnh Kỳ Rin Lớp: L11CQVT02-N Trang 17

SVTH: Huỳnh Kỳ Rin Lớp: L11CQVT02-N Trang 18

Hình 2.8:Cấu trúc bảng LFIB.

SVTH: Huỳnh Kỳ Rin Lớp: L11CQVT02-N Trang 19

Hình 2.9:Quá trình xây dựng bảng định tuyến.

Hình 2.11:Xây dựng bảng LIB.

SVTH: Huỳnh Kỳ Rin Lớp: L11CQVT02-N Trang 20

Hình 2.12:Cập nhật nhãn vào bảng LIB.

Hình 2.13:Quảng bá nhãn.

Hình 2.14:Hoàn thành việc thiết lập LSP.

SVTH: Huỳnh Kỳ Rin Lớp: L11CQVT02-N Trang 21

Hình 2.15:Hoạt động MPLS.

SVTH: Huỳnh Kỳ Rin Lớp: L11CQVT02-N Trang 22

SVTH: Huỳnh Kỳ Rin Lớp: L11CQVT02-N Trang 23

SVTH: Huỳnh Kỳ Rin Lớp: L11CQVT02-N Trang 24

CHƢƠNG III: MPLS VPN

Hình 3.1:Mô hình MPLS-VPN.

SVTH: Huỳnh Kỳ Rin Lớp: L11CQVT02-N Trang 25

Hình 3.2:Mô hình MPLS VPN lớp 2.

SVTH: Huỳnh Kỳ Rin Lớp: L11CQVT02-N Trang 26

3.2.2. Mô hình L3 VPN.

Hình 3.3:Mô hình MPLS VPN lớp 3.

SVTH: Huỳnh Kỳ Rin Lớp: L11CQVT02-N Trang 27